Perizia informatica forense: cosa chiedere al CTU e come preparare la domanda giudiziale
Una chat WhatsApp, una registrazione audio, un log di accessi al gestionale aziendale. Sempre più spesso il cuore di una causa civile o penale non sta in un documento cartaceo, ma in un dato digitale, e proprio lì entra in gioco la perizia informatica forense. E qui nasce il problema concreto per chi assiste la parte: il dato digitale è fragile, contestabile, e basta una eccezione ben costruita della controparte per metterne in dubbio l'autenticità.
Il punto è che la prova digitale, da sola, raramente regge. Serve qualcuno che la acquisisca con metodo, ne verifichi l'integrità e la traduca in un linguaggio che il giudice possa usare per decidere. Questo qualcuno è il consulente tecnico d'ufficio, e lo strumento è la perizia informatica forense. Per l'avvocato, però, la vera partita non si gioca sulla nomina del tecnico: si gioca prima, su come la prova digitale viene introdotta nella domanda istruttoria e su come vengono scritti i quesiti.
Una perizia informatica forense, in fondo, vale quanto valgono i quesiti che la guidano. Un quesito generico produce una relazione generica, costosa e spesso poco utile in giudizio. Un quesito chiuso, tecnico e verificabile orienta il CTU verso un accertamento difendibile. In questa guida vediamo cosa può accertare davvero una perizia informatica forense, la differenza tra CTU e CTP informatico, quanto costa secondo il tariffario del DM 30 maggio 2002 e quattro modelli di quesiti pronti per gli scenari più ricorrenti. C'è poi un ultimo punto che fa la differenza: certificare la prova alla fonte, con uno strumento come TrueScreen, abbassa costi e tempi della consulenza perché il CTU parte da una baseline difficile da contestare.
Perizia informatica forense: quando serve e cosa può accertare
Serve ogni volta che una prova digitale è contestata o potrebbe esserlo: chat, email, file, registrazioni, accessi a sistemi, tabulati. La perizia informatica forense accerta autenticità, integrità e provenienza del dato, e ricostruisce cosa è successo e quando. Non si limita a "guardare" il contenuto: lo acquisisce con metodo forense in modo da renderlo utilizzabile davanti al giudice.
La perizia informatica forense è l'accertamento tecnico con cui si acquisisce, si conserva e si analizza un dato digitale per stabilirne autenticità e integrità con valore probatorio. Si basa sulla copia forense bit a bit: una duplicazione integrale del supporto o del contenuto, non una semplice copia dei file. Su questa copia si calcola un valore di hash (algoritmi come SHA-256 o MD5), una sorta di impronta digitale univoca: se anche un solo bit cambia, l'hash cambia, e la manomissione diventa evidente. È questo che dà solidità alla prova. In ambito civile, le riproduzioni informatiche fanno piena prova dei fatti rappresentati se la loro conformità non è disconosciuta dalla parte contro cui sono prodotte, secondo l'articolo 2712 del Codice civile (testo su Normattiva). La copia forense con hash serve proprio a rendere quel disconoscimento il più difficile possibile.
Un secondo aspetto che l'avvocato deve presidiare è la distinzione tra accertamenti ripetibili e irripetibili. In sede penale, l'articolo 359 del Codice di procedura penale disciplina gli accertamenti tecnici ripetibili, mentre l'articolo 360 regola quelli irripetibili, cioè quelli che, per la natura del dato, modificano o consumano l'oggetto dell'analisi e impongono garanzie difensive rafforzate (avviso alle parti, presenza dei consulenti). L'analisi di uno smartphone acceso o di una memoria volatile può rientrare tra gli accertamenti irripetibili: sbagliare la qualificazione significa rischiare l'inutilizzabilità della prova. Per questo l'acquisizione forense va impostata correttamente fin dal primo accesso al dispositivo, e ogni passaggio va tracciato in una catena di custodia documentata.
CTU e CTP a confronto: chi nomina chi e quando conviene ciascuno
Il CTU è nominato dal giudice e lavora per il tribunale; il CTP è nominato dalla parte e lavora per la sua difesa tecnica. Non si escludono: nella stessa causa convivono, e una buona strategia li usa entrambi. La scelta non è "uno o l'altro", ma quando e come schierarli.
Il consulente tecnico d'ufficio (CTU): la nomina del giudice
Il consulente tecnico d'ufficio è l'ausiliario che il giudice nomina quando la decisione richiede competenze tecniche che non possiede. La nomina avviene ai sensi dell'articolo 191 del Codice di procedura penale e civile: nel processo civile, l'articolo 191 c.p.c. (testo su Normattiva) prevede che il giudice istruttore, con l'ordinanza di nomina, formuli i quesiti su cui il consulente dovrà rispondere. La relazione del CTU entra nel fascicolo come elemento su cui il giudice fonda il proprio convincimento.
Per essere nominato CTU informatico non basta la competenza: serve l'iscrizione all'Albo dei consulenti tecnici del Tribunale, nella categoria informatica. È un requisito che distingue nettamente il CTU dal CTP. Questo significa, per l'avvocato, che la qualità del consulente d'ufficio dipende dalla composizione dell'Albo locale: conoscere chi è iscritto, e con quale specializzazione, aiuta a calibrare le osservazioni alla nomina e a proporre quesiti adeguati al profilo.
Il consulente tecnico di parte (CTP): la difesa tecnica
Il consulente tecnico di parte è il tecnico che la singola parte nomina per assisterla. Non ha bisogno dell'iscrizione all'Albo del Tribunale: la parte lo sceglie liberamente in base alla competenza. Il suo ruolo è duplice: prima della CTU, aiuta l'avvocato a impostare i quesiti e la strategia tecnica; durante la CTU, partecipa alle operazioni peritali, solleva osservazioni, contesta metodologie e deposita note critiche alla relazione del consulente d'ufficio.
In molti contenziosi sulla prova digitale, il CTP entra in gioco prima ancora del CTU. È il tecnico che, all'inizio, esamina i dispositivi, valuta la solidità della prova e suggerisce all'avvocato se e come chiedere la consulenza d'ufficio. Una perizia di parte ben fatta può anche evitare la CTU, quando i fatti tecnici sono chiari e non contestati, oppure può rendere la successiva CTU più rapida fornendo già una base di accertamento ordinata.
Tabella comparativa CTU vs CTP
A differenza del CTP, nominato dalla parte e privo di vincoli di Albo, il CTU informatico è nominato dal giudice ex articolo 191 c.p.c. e deve essere iscritto all'Albo dei consulenti tecnici del Tribunale. Il CTU risponde al giudice e i suoi accertamenti entrano nel fascicolo con la forza della consulenza d'ufficio; il CTP risponde alla parte e produce note tecniche di natura difensiva. La differenza tra CTU e CTP non è gerarchica ma funzionale: il primo serve l'imparzialità del processo, il secondo la difesa tecnica di chi lo nomina. Nella pratica, una perizia informatica forense affidata al CTU vincola entrambe le parti, mentre la relazione del CTP resta un contributo critico di parte, depositato per orientare il giudice. Capire questa distinzione è il presupposto per decidere quale figura attivare e quando, e per impostare correttamente la perizia informatica forense nella strategia processuale.
| Aspetto | CTU (consulente tecnico d'ufficio) | CTP (consulente tecnico di parte) |
|---|---|---|
| Chi lo nomina | Il giudice (art. 191 c.p.c.) | La singola parte |
| Per chi lavora | Il tribunale, in posizione di terzietà | La parte che lo ha incaricato |
| Iscrizione all'Albo del Tribunale | Obbligatoria (categoria informatica) | Non richiesta |
| Valore dell'elaborato | Relazione su cui il giudice fonda la decisione | Note tecniche e osservazioni difensive |
| Quando interviene | Dopo la nomina e i quesiti del giudice | In ogni fase, anche prima del giudizio |
| Chi paga il compenso | Anticipo a carico delle parti, poi liquidato dal giudice | La parte che lo ha nominato |
Come formulare i quesiti al CTU: la chiave della perizia informatica forense
Un quesito al CTU informatico è efficace quando è chiuso, tecnico e verificabile: chiede una verifica circoscritta, su un oggetto definito, con una risposta che può essere confermata o smentita. Secondo l'articolo 191 c.p.c. è il giudice a formulare i quesiti, ma lo fa tenendo conto delle proposte e delle osservazioni delle parti. Qui sta lo spazio dell'avvocato.
La formulazione dei quesiti è il momento in cui l'avvocato incide di più sull'esito della consulenza tecnica informatica. Un quesito vago come "accerti il consulente l'autenticità dei messaggi" lascia al CTU una discrezionalità enorme e produce risposte ambigue. Un quesito efficace, invece, indica l'oggetto preciso (questo dispositivo, questo file, questo intervallo temporale), il tipo di verifica richiesta (integrità, provenienza, data di modifica) e il metodo atteso (copia forense, calcolo dell'hash, analisi dei metadati). In pratica, conviene proporre al giudice quesiti già scritti in forma chiusa, così che l'ordinanza di nomina recepisca una formulazione tecnicamente solida. Il giudice resta titolare della scelta, ma osservazioni ben costruite alla nomina, depositate nei termini, orientano concretamente il perimetro dell'accertamento. Un buon quesito riduce anche il rischio di una relazione fuori fuoco, che costringerebbe a chiedere supplementi di consulenza, con costi e tempi aggiuntivi.
Tre criteri pratici per scrivere un quesito di perizia informatica forense che funziona: primo, deve essere falsificabile, cioè la risposta deve poter essere sì o no, non un'opinione. Secondo, deve indicare il metodo forense atteso, così la relazione è ripetibile e verificabile dal CTP. Terzo, deve restare ancorato a un oggetto materiale identificato (numero di serie del dispositivo, percorso del file, hash di riferimento), per evitare contestazioni sull'oggetto stesso dell'analisi.
Template di quesiti tipo per quattro scenari ricorrenti
Di seguito quattro modelli di quesiti pronti per una perizia informatica forense, uno per ciascuno degli scenari più frequenti nei contenziosi sulla prova digitale. Sono formulazioni di base da adattare al caso concreto: vanno calibrate sui fatti, sui dispositivi disponibili e sul thema decidendum. L'obiettivo è offrire all'avvocato una traccia chiusa e tecnica da proporre al giudice in sede di nomina.
Autenticità di chat WhatsApp contestate
Le chat WhatsApp sono il caso più ricorrente e anche il più insidioso, perché uno screenshot è facilmente alterabile. La Corte di cassazione, Sezione II civile, con l'ordinanza n. 1254 del 18 gennaio 2025, ha ribadito che i messaggi WhatsApp sono documenti informatici riconducibili all'articolo 2712 c.c. e fanno prova dei fatti rappresentati a condizione che ne siano verificate provenienza e autenticità (riferimento divulgativo: Il Sole 24 Ore, aprile 2026). Il disconoscimento della controparte, se circostanziato, sposta sul produttore l'onere di dimostrare la genuinità della chat. Per questo è utile arrivare in giudizio avendo già pensato a come produrre i messaggi WhatsApp in giudizio in forma difendibile.
Quesito tipo (WhatsApp): "Accerti il consulente, previa copia forense del dispositivo [marca/modello, IMEI o numero di serie] di [parte], se la conversazione WhatsApp intercorsa tra le utenze [numero A] e [numero B] nel periodo [data inizio / data fine] sia integra e priva di alterazioni, modifiche o cancellazioni; verifichi la corrispondenza tra il contenuto presente sul dispositivo e i messaggi prodotti in atti, calcolando il valore di hash dei dati acquisiti; accerti, ove tecnicamente possibile, la provenienza e la data certa dei singoli messaggi sulla base dei metadati disponibili."
Integrità di registrazioni audio e video
Per audio e video il rischio è il taglio, il montaggio o la rimozione di porzioni. Qui il quesito deve concentrarsi su continuità e integrità del file originale, non sulla sola visione del contenuto. Quando è possibile, conviene partire dal file sorgente e non da una copia ricompressa, perché ogni ri-esportazione altera i metadati. Sul fronte preventivo, la possibilità di certificare un video con valore legale nel momento stesso della ripresa elimina gran parte delle contestazioni successive sulla genuinità.
Quesito tipo (audio/video): "Accerti il consulente, previa acquisizione forense del file [nome file, formato, dimensione, hash dichiarato], se la registrazione audio/video sia un originale o una copia; verifichi la presenza di tagli, montaggi, inserimenti o rimozioni di porzioni e la continuità temporale del flusso; analizzi i metadati del file (data e ora di creazione e modifica, dispositivo di ripresa, eventuali tracce di rielaborazione con software di editing) e ne attesti l'integrità calcolando il relativo valore di hash."
Tracciabilità di accesso a sistemi aziendali
Negli illeciti commessi da dipendenti o ex dipendenti, accesso abusivo, sottrazione di dati, furto di know-how, la prova sta nei log di accesso ai sistemi aziendali. Il quesito deve chiedere chi ha fatto cosa, quando e da dove, incrociando log applicativi, autenticazioni e tracce di rete. La sfida tecnica è la conservazione dei log nel tempo e la loro non alterabilità: per questo certificare gli accessi in via preventiva rafforza molto la posizione di chi poi li produce in giudizio.
Quesito tipo (accessi a sistemi): "Accerti il consulente, esaminati i log e i sistemi [gestionale/file server/dominio indicato], se e quando l'account [username] abbia effettuato accessi nel periodo [data inizio / data fine], indicando data, ora, indirizzo IP e dispositivo di origine; verifichi quali file, cartelle o record siano stati consultati, copiati, modificati o cancellati da tale account; attesti l'integrità e la non alterazione dei log analizzati, documentando metodo di acquisizione e valore di hash."
Timeline di modifica file su file server
Nelle dispute su documenti, contratti, progetti, brevetti, la domanda è: questo file è davvero del [data]? La perizia informatica forense ricostruisce la cosiddetta timeline forense, cioè la sequenza temporale di creazione, modifica e accesso ricavata dai metadati del file system. Attenzione alla distinzione tra le date dichiarate dal documento e quelle registrate dal file server, che possono divergere e raccontano due storie diverse.
Quesito tipo (timeline file server): "Accerti il consulente, previa copia forense della porzione rilevante del file server [identificazione volume/percorso], la timeline di creazione, ultima modifica e ultimo accesso del file [nome file, percorso, hash]; verifichi la coerenza tra i metadati del file system e la data dichiarata nel documento; individui eventuali versioni precedenti, copie o tracce di modifica successive alla data dedotta in giudizio; attesti l'integrità dei dati acquisiti mediante calcolo del valore di hash."
Quanto costa e quanto dura una CTU informatica
Una CTU informatica, cioè la perizia informatica forense disposta dal giudice, costa orientativamente tra 1.000 e 5.000 euro per dispositivo, con punte superiori per casi complessi o supporti danneggiati. Il compenso del consulente d'ufficio non è arbitrario: è regolato dal tariffario del DM 30 maggio 2002, che fissa scaglioni e percentuali per la liquidazione giudiziale. La durata tipica va da poche settimane a diversi mesi, in funzione della mole di dati e della complessità dei quesiti.
Il compenso di una CTU informatica liquidato dal giudice segue il DM 30 maggio 2002 (Gazzetta Ufficiale), che per gli onorari a percentuale prevede, sullo scaglione di valore fino a 5.164,57 euro, una forbice tra il 6,57% e il 13,15%, con percentuali decrescenti per gli scaglioni superiori. Accanto agli onorari, vanno considerate le spese vive e, per la perizia giurata depositata in tribunale, la marca da bollo di 16 euro ogni 100 facciate (o frazione). Il prezzo di mercato di una perizia di parte segue invece logiche diverse, legate alla complessità: per un singolo smartphone si parte spesso da circa 500 euro, mentre l'analisi di più dispositivi o di un'infrastruttura aziendale può superare ampiamente i 5.000 euro. A parità di dati, una prova già certificata e integra alla fonte riduce le ore di acquisizione e verifica, e quindi la base su cui matura il compenso.
| Voce | Riferimento / range | Note |
|---|---|---|
| Onorario a percentuale CTU (scaglione fino a 5.164,57 €) | dal 6,57% al 13,15% | DM 30/05/2002, percentuali decrescenti oltre lo scaglione |
| Range di mercato per dispositivo | da 1.000 a 5.000 € | Punte superiori per casi complessi |
| Singolo smartphone | da ~500 € | Costo base più ricorrente |
| Marca da bollo (perizia giurata) | 16 € ogni 100 facciate | Per il deposito in tribunale |
| Durata tipica | da poche settimane a diversi mesi | In funzione di mole dati e quesiti |
Sul valore legale incide anche la forma. La perizia giurata acquista efficacia con il giuramento reso dal perito davanti a un pubblico ufficiale (cancelliere o giudice di pace), che ne attesta la veridicità; l'asseverazione è una dichiarazione di conformità resa dal tecnico, meno solenne. Per l'uso in giudizio, la perizia giurata offre una garanzia formale maggiore.
Come la prova certificata alla fonte riduce costi e tempi della CTU informatica
Quando la prova digitale è certificata nel momento in cui viene generata, il CTU parte da una baseline difficile da contestare: data, ora e integrità del contenuto sono già bloccate. Questo accorcia la fase di acquisizione e verifica e riduce i quesiti dedicati all'autenticità, lasciando alla consulenza il merito della questione. Meno passaggi tecnici da ricostruire vogliono dire meno ore di lavoro, e quindi tempi più brevi e costi più bassi.
TrueScreen è la piattaforma che certifica l'autenticità dei dati acquisendoli al momento della creazione, con valore legale. Acquisisce e blocca contenuti digitali, email, PEC, pagine web, chat, foto, video, audio, documenti, direttamente dal dispositivo, sigillando ciascuno con sigillo digitale, marca temporale conforme allo standard eIDAS e metadati di contesto come geolocalizzazione, identità dell'operatore e data e ora certa. Il risultato è un dato certificato con integrità verificabile e una catena di custodia delle prove digitali completa, che fa piena prova ex articolo 2712 c.c. salvo disconoscimento circostanziato. La marca temporale qualificata e il sigillo derivano da un QTSP qualificato terzo integrato via API: TrueScreen non è un certificatore qualificato, ma integra il sigillo di chi lo è. Il processo segue lo standard ISO 27037 per l'acquisizione delle evidenze digitali.
Certificare una chat o un accesso a un sistema con TrueScreen produce una prova con data, ora e integrità verificabili, utile come baseline per la CTU. Per acquisire pagine web, profili social o video con valore probatorio, è disponibile un browser forense dedicato; per la firma dei documenti, la firma digitale conforme a eIDAS e CAD attribuisce l'efficacia probatoria della scrittura privata ex articolo 2702 c.c. L'acquisizione certificata parte dall'app mobile o dalla piattaforma, con integrazione anche via API.
Un esempio concreto. Un'azienda che, prima di un contenzioso su un licenziamento, certifica con TrueScreen le chat WhatsApp e gli accessi al gestionale arriva in giudizio con una baseline già integra. Il CTU non deve ricostruire da zero l'autenticità: la verifica, riducendo i quesiti dedicati e i tempi del contraddittorio tecnico. La consulenza si concentra sul merito, e l'avvocato dispone di una prova robusta fin dall'inizio. Lo stesso principio vale per gli studi legali che assistono imprese su prove digitali per avvocati e studi legali: certificare alla fonte sposta il lavoro tecnico prima della causa, dove costa meno e vale di più.
