Acquisizione forense di pagine web: guida ISO 27037 per professionisti

Nei contenziosi digitali di oggi, la prova principale vive quasi sempre su una pagina web. Diffamazione sui social, marchi contraffatti su un marketplace, concorrenza sleale, accordi stipulati online, condotte in chat pubbliche: tutta materia che sta su URL capaci di cambiare, sparire o essere modificati nel giro di poche ore. L'acquisizione forense di pagine web è lo strumento tecnico e giuridico che trasforma questi contenuti mutevoli in prove opponibili.

Uno screenshot, quello preso col tasto Stampa Schermo, in giudizio non regge. È un'immagine facilmente alterabile, priva di metadati verificabili, senza alcun legame crittografico con il server che l'ha generata. La norma ISO/IEC 27037 fornisce il quadro internazionale per acquisire prove digitali in modo difendibile, ma applicarla alle pagine web richiede conoscenze tecniche che pochi studi legali e consulenti padroneggiano davvero.

Come si esegue un'acquisizione forense di pagine web giuridicamente valida? Catturando DOM, MHTML, certificato SSL, IP del server e metadati di ambiente in un processo conforme ISO 27037, sigillato con hash SHA-256 e marca temporale qualificata eIDAS, tracciato lungo una catena di custodia digitale documentata. Questa guida alla acquisizione forense di pagine web spiega cosa acquisire, perché, e come eseguire ogni passaggio con rigore probatorio.

Perché uno screenshot non basta come prova digitale

A differenza di uno screenshot, l'acquisizione forense di pagine web raccoglie l'intero stato della pagina nel momento dell'osservazione, non solo la sua rappresentazione visiva. Uno screenshot è un'immagine catturata dal sistema operativo: niente metadati tecnici sul server di origine, niente timestamp verificabile da terzi, niente hash crittografico che leghi il pixel al contenuto erogato. In giudizio, la controparte può contestarne la genuinità con un disconoscimento qualificato ex art. 2712 c.c. e il peso probatorio crolla quasi subito. Lo ha ribadito la Cassazione Penale, Sez. III, con la sentenza n. 8736/2018, quando ha ritenuto inutilizzabile un file immagine privo di marca temporale e hash crittografico come elemento di prova autonomo. La stessa logica guida l'art. 234-bis c.p.p., introdotto dalla Legge 48/2008 di ratifica della Convenzione di Budapest (ETS 185), che richiede per la copia dei dati informatici garanzie di conformità all'originale e di immodificabilità verificabili. Lo screenshot puro non ne offre nessuna.

Il problema non è accademico. La Cassazione a Sezioni Unite, con la sentenza n. 11197/2023, ha ribadito che messaggi e contenuti digitali sono utilizzabili come prova documentale solo se restano verificabili l'origine e l'affidabilità della riproduzione. L'ordinanza Cass. n. 1254/2025 della Seconda sezione civile ha poi precisato che il disconoscimento generico non basta a smontare una riproduzione informatica: serve un disconoscimento "chiaro, circostanziato, esplicito e tempestivo" con elementi concreti di divergenza. Il rovescio della medaglia, però, è che la riproduzione deve arrivare robusta dal lato di chi la produce, ancorata al momento, al server e al contenuto reale con prove tecniche.

Uno screenshot da solo non offre nulla di tutto questo. Non dimostra che quel pixel stesse sul sito alle 14:37 di un certo giorno; non dimostra che a servire la pagina fosse il dominio dichiarato; non dimostra che il contenuto non sia stato ritoccato con un editor d'immagini prima del deposito. Per capovolgere l'onere sul disconoscente, serve lavorare sulla metodologia di acquisizione. È qui che entra ISO 27037, e in senso più ampio il tema dell'ammissibilità delle prove digitali in tribunale.

L'art. 2712 del codice civile, integrato nel 2005 con l'aggettivo "informatiche", stabilisce che le riproduzioni formano piena prova dei fatti rappresentati fino a quando non sono disconosciute. L'assetto premia chi arriva in causa con un corredo tecnico tale da rendere un disconoscimento generico insostenibile.

Cosa prevede la norma ISO 27037 per l'acquisizione di prove digitali

ISO/IEC 27037:2012 definisce quattro processi operativi per il trattamento della prova digitale: identificazione (riconoscimento del materiale probatorio), raccolta (presa in carico fisica o logica), acquisizione (creazione della copia verificabile) e conservazione (preservazione nel tempo). Applicata all'acquisizione forense di pagine web, la norma obbliga a trattare ogni URL come una scena probatoria a sé, con protocolli tecnici e documentali tracciabili. Lo standard è pubblicato da ISO e IEC nel 2012 e adottato in Italia come UNI CEI EN ISO/IEC 27037:2017. L'UNODC E4J University Module on Digital Evidence lo qualifica come il riferimento internazionale più citato per l'ammissibilità della prova elettronica. È anche il riferimento più usato dai tribunali europei nelle consulenze tecniche d'ufficio, perché si applica tanto ai dispositivi fisici quanto alle pagine web, pur non avendo un capitolo dedicato al web.

Lo standard, consultabile sulla pagina ufficiale ISO 27037 (iso.org/standard/44381.html) e adottato in Italia come UNI CEI EN ISO/IEC 27037:2017, introduce due figure tecniche che vale la pena conoscere per nome. Il DEFR (Digital Evidence First Responder) è la persona autorizzata e formata che agisce per prima sulla scena, spesso in condizioni di urgenza, per identificare, raccogliere e preservare la potenziale prova. Il DES (Digital Evidence Specialist) è lo specialista con competenze tecniche più avanzate, su sistemi operativi, reti e application forensics, che interviene nelle fasi complesse dell'acquisizione. Entrambi operano seguendo procedure documentate.

I principi cardine, ripetuti nei paragrafi 5.3 e 5.4 dello standard, sono quattro: auditability (ogni azione deve essere tracciabile e verificabile da un terzo indipendente), repeatability (applicando le stesse procedure sugli stessi dati nelle stesse condizioni si devono ottenere gli stessi risultati), reproducibility (un altro esaminatore, con strumenti diversi, deve poter arrivare alle stesse conclusioni), justifiability (ogni scelta tecnica deve essere giustificabile). Sono principi, non opzioni: se anche uno solo salta, la difesa può agganciare un disconoscimento qualificato e togliere peso alla prova.

Secondo ISO/IEC 27037:2012, paragrafo 5.3, le azioni del primo responder devono minimizzare il trattamento del dato originale, documentare ogni passaggio e preservare la catena di custodia, in modo che un terzo competente possa riprodurre le conclusioni in modo indipendente. Lo stesso vale per l'acquisizione di contenuti online, dove il dato "originale" risiede su un server remoto e non è fisicamente sequestrabile.

Sul web lo standard chiede più rigore, non meno: il dato sta su un sistema terzo, l'ambiente è live, non c'è niente da spegnere. Ogni scelta del DEFR o del DES (tool, endpoint, timestamp, logging di rete) deve reggere in sede peritale. Nella che l’informatica forense svolge un ruolo fondamentale. moderna, rispettare ISO 27037 nell'acquisizione forense di pagine web vuol dire trattare ogni URL come una scena del crimine digitale, con protocolli analoghi a quelli di un disco rigido, adattati però all'ambiente di rete.

Cosa acquisire da una pagina web per avere valore probatorio

Una pagina web moderna non è un documento: è il risultato in tempo reale dell'interazione fra client, server, CDN, DNS, certificate authorities, runtime JavaScript e stato dell'utente. L'acquisizione forense di pagine web vuol dire mettere in un singolo dataset verificabile tutti i livelli che compongono la scena probatoria, non la sola immagine.

Un'acquisizione forense di pagine web conforme ISO 27037 include almeno sei elementi tecnici distinti. Ciascuno copre un angolo di attacco difensivo che altrimenti resterebbe aperto, e non ne è sostituibile da un altro. La tabella qui sotto riepiloga il perché di ognuno.

Elemento Cosa dimostra Perché non può mancare
DOM renderizzato Cosa l'utente ha effettivamente visto dopo l'esecuzione di JavaScript I contenuti dinamici (SPA, feed, modali, cookie banner) non sono nell'HTML sorgente
Archivio MHTML La pagina completa con CSS, immagini, font, script in un singolo file Permette a un perito di riaprirla offline anche dopo anni, se il sito sparisce
Certificato SSL/TLS Che al momento t il dominio ha presentato quella chiave pubblica firmata Blinda la prova contro contestazioni di MITM o spoofing del dominio
IP server e DNS Che il dominio risolveva a uno specifico host in una specifica geografia Permette correlazioni con registrar, ASN, giurisdizione
Hash SHA-256 Che il dataset non è stato modificato tra acquisizione e deposito È il pilastro dell'integrità: due hash uguali, nessuna alterazione
Marca temporale qualificata La data e l'ora opponibili a terzi, con presunzione legale eIDAS Ancora la prova al momento, eliminando contestazioni cronologiche

Il DOM renderizzato (stato reale della pagina)

Secondo le SWGDE Best Practices for Acquiring Online Content 21-F-001 v1.1 (2024) dello Scientific Working Group on Digital Evidence, catturare il DOM renderizzato è il passaggio tecnico che distingue un'acquisizione forense di pagine web rigorosa da una cattura amatoriale. Il DOM (Document Object Model) è la rappresentazione in memoria della pagina dopo che il browser ha interpretato l'HTML ed eseguito il JavaScript: corrisponde a ciò che l'utente vede davvero, non a ciò che il server ha inviato inizialmente. La differenza è enorme. Su un'applicazione React, Angular o Vue, l'HTML iniziale può essere quasi vuoto e tutto il contenuto testuale e visivo nasce dinamicamente nel DOM post-rendering. Anche il W3C DOM Living Standard lo specifica: il DOM è la rappresentazione runtime della pagina, non la sua fonte.

Una pagina di marketplace che mostra un prodotto contraffatto, un cookie banner con consenso catturato, un feed social che carica post su scroll: esistono solo dentro il DOM. Acquisire il solo HTML sorgente vuol dire salvare una pagina "morta", diversa da quella che l'utente ha visto davvero, e quindi non rappresentativa del fatto storico che si porta in causa.

Tecnicamente il DOM si acquisisce serializzando l'outerHTML dell'elemento radice dopo il completo rendering, dentro un ambiente browser controllato. Sul risultato si calcola subito l'hash SHA-256, che diventa l'impronta crittografica di quello specifico stato pagina. Le stesse SWGDE indicano le API come metodo di acquisizione preferito quando disponibile, perché catturano sia il contenuto visibile sia i metadati altrimenti inaccessibili dall'interfaccia utente: strumenti che attendono la fine del ciclo di rendering prima di serializzare lo stato rispettano il requisito di fedeltà previsto da ISO 27037.

L'archivio MHTML (snapshot self-contained)

L'MHTML è un formato di archivio che racchiude la pagina HTML insieme a tutte le risorse collegate, CSS, immagini, JavaScript, font, media, in un singolo file. È lo standard supportato nativamente dai browser Chromium ed è il modo più pulito per conservare una pagina come entità autosufficiente, riaprirla offline da un perito tecnico anche dopo anni.

Perché conta? Perché il sito vero, là fuori, cambia di continuo. Le immagini vengono rimosse, i CSS riscritti, i CDN servono asset diversi, i domini passano di mano. Senza un archivio self-contained, anche una cattura impeccabile del DOM diventa in parte incomprensibile: manca il contesto visivo, mancano le risorse che ne davano significato. L'MHTML è la forma tecnica moderna di quella che in letteratura si chiama copia forense sito web, applicata al contenuto online dinamico.

Sul fronte degli standard internazionali di archiviazione web esiste anche il formato WARC (ISO 28500:2017), usato da Library of Congress, British Library, Internet Archive e altre istituzioni di preservazione. Per un'acquisizione forense certificata episodica, MHTML di solito basta ed è più gestibile; per archiviazioni strutturate di grandi volumi, WARC è preferibile. Sul fronte del software forense gratuito, strumenti open source come FAW (Forensic Acquisition of Websites) coprono casi d'uso di base, ma raramente soddisfano la normativa italiana sulla copia forense nei suoi requisiti più stringenti di catena di custodia e marca temporale qualificata.

I certificati SSL/TLS (identità server)

Il certificato SSL/TLS server-side è il documento X.509 presentato dal server durante l'handshake crittografico: lega il contenuto acquisito all'identità verificata del dominio che lo ha erogato. Funziona così: il browser riceve dal server un certificato firmato da una Certification Authority riconosciuta, verifica la catena di fiducia fino alla root CA e, solo se la validazione passa, accetta di trattare quel contenuto come proveniente dal dominio dichiarato. In un'acquisizione forense di pagine web, catturare questo certificato con la sua fingerprint SHA-256 significa congelare la prova crittografica che a quell'ora, su quell'URL, il contenuto arrivava davvero dal server legittimo. Il formato è definito dalla RFC 5280 dell'IETF (X.509 Public Key Infrastructure) e dalla policy delle principali CA (Mozilla CA Program, Apple Root Program, Microsoft Trusted Root Program), riconosciute in tutti i sistemi giuridici occidentali. Senza certificato, la provenienza è un'affermazione verbale; con il certificato, è un fatto crittografico opponibile.

Se il certificato non viene catturato, la difesa può sostenere che la pagina sia stata servita da un intermediario non autorizzato (MITM), da un server clone con DNS dirottato o da un ambiente di sviluppo allestito ad hoc. È uno dei vettori di contestazione tecnica più insidiosi, perché sposta la discussione dal contenuto alla sua provenienza.

Operativamente si salva la fingerprint SHA-256 del certificato, l'intera catena di fiducia fino alla root CA e, quando possibile, si fanno verifiche OCSP o CRL contestuali. Un singolo elemento che può trasformare una prova contestabile in una prova blindata, perché aggiunge un livello crittografico di attribuzione che non è riproducibile da chi non controlla il dominio.

L'IP del server e la risoluzione DNS (origine tecnica)

La risoluzione DNS registrata al momento dell'acquisizione, con i record A, AAAA, CNAME, NS e dove utile lo snapshot WHOIS, dimostra che in quell'istante il dominio puntava a uno specifico indirizzo IP, e quindi a una specifica macchina. Un dato critico quando il dominio in seguito viene trasferito, sequestrato o ripulito.

Il tema va oltre la pignoleria tecnica. Nel contrasto alla contraffazione online, al phishing o alla diffamazione organizzata, la giurisdizione del server, il provider di hosting e l'ASN di appartenenza sono spesso decisivi per individuare il responsabile e scegliere la strategia processuale. Acquisire DNS e IP vuol dire congelare informazioni che nel giro di una settimana potrebbero essere sparite.

I metadati forensi di acquisizione (timestamp, hash, device)

L'ultimo tassello riguarda l'ambiente di cattura. Una prova forense riproducibile richiede che un perito terzo sappia con quale browser, quale versione, quali estensioni, quale fuso orario, quale viewport, quale user-agent e quale configurazione di rete è stata eseguita l'acquisizione. A questi si aggiungono il timestamp locale sincronizzato NTP, l'hash SHA-256 del bundle completo e la marca temporale qualificata eIDAS applicata sopra.

Il Regolamento (UE) 910/2014 eIDAS (art. 41-42) è lo strumento giuridico che trasforma un'informazione temporale auto-dichiarata in una presunzione legale. Una marca temporale qualificata gode di presunzione di accuratezza della data e dell'ora indicate e di integrità del dato collegato, riconosciuta in tutti gli Stati membri dell'Unione. Senza, la cronologia della cattura resta opponibile; con la marca, il momento dell'acquisizione diventa un fatto legalmente opponibile a terzi.

Il processo di acquisizione forense di pagine web passo passo

Un processo di acquisizione forense di pagine web conforme ISO 27037 si articola in tre momenti logici: preparazione dell'ambiente, acquisizione con catena di custodia, sigillatura finale. Rispettare la sequenza è quello che distingue un'operazione difendibile in giudizio da una cattura amatoriale destinata a essere contestata al primo disconoscimento qualificato.

Quello che segue traduce i principi dello standard in passaggi operativi di acquisizione forense di pagine web pensati per avvocati, CTU e consulenti forensi, con riferimenti alle best practices del NIST SP 800-86 (csrc.nist.gov/pubs/sp/800/86/final) e alle linee guida SWGDE già citate.

Preparazione dell'ambiente (browser isolato e profilo pulito)

Prima di catturare qualsiasi cosa serve un ambiente controllato. Un browser commerciale usato tutti i giorni si porta dietro cookie, estensioni, dati di login, cache, impostazioni di A/B testing, geolocalizzazione e altro ancora: elementi che cambiano cosa il server serve in risposta. Un'acquisizione forense di pagine web eseguita su un browser "sporco" non è riproducibile da un perito indipendente, che sullo stesso URL otterrebbe una pagina diversa.

La preparazione corretta prevede un browser forense dedicato o una sessione isolata, profilo pulito, nessuna estensione, clock sincronizzato via NTP verso una sorgente autorevole, lingua e fuso orario dichiarati nel log, eventuale tunneling documentato se si opera tramite VPN. Tutto questo va registrato nel verbale tecnico come parte del setup.

Il documento ACPO (Association of Chief Police Officers, ACPO Good Practice Guide for Digital Evidence v5), citato nelle corti europee insieme a ISO 27037, richiama quattro principi che si applicano anche qui: nessuna alterazione del dato, competenza dell'operatore, audit trail verificabile, responsabilità dell'investigatore. Un setup pulito è la precondizione perché tutti e quattro reggano.

Acquisizione con catena di custodia digitale

La fase centrale dell'acquisizione forense di pagine web cattura in parallelo DOM, MHTML, screenshot full page, certificato SSL/TLS, headers HTTP, DNS, IP e traffico di rete. Ogni elemento finisce in un log strutturato, firmato, con timestamp. Durante la cattura il traffico di rete va registrato tramite packet analyzer o proxy forense: SWGDE 21-F-001 lo richiede esplicitamente, perché serve a dimostrare l'assenza di redirect inaspettati, iniezioni o alterazioni in transito.

La catena di custodia digitale è il tessuto che tiene insieme tutta l'operazione. Risponde alle domande giuste: chi ha acquisito, quando, con quale strumento, con quale hash, dove è stato conservato, chi vi ha avuto accesso dopo. Un log incompleto basta a far saltare l'audit trail e con esso la ripetibilità richiesta dallo standard. Per questo la catena di custodia non è un allegato burocratico ma la struttura portante dell'ammissibilità.

Nei procedimenti penali italiani, gli artt. 244, 247, 254-bis e 260 c.p.p., insieme all'art. 234-bis introdotto dalla Legge 48/2008 (ratifica della Convenzione di Budapest sul cybercrime (ETS 185)), impongono che la copia dei dati informatici garantisca conformità all'originale e immodificabilità. La catena di custodia è il meccanismo tecnico che rende dimostrabile quel requisito.

Sigillatura con hash crittografico e marca temporale qualificata

L'ultima fase chiude la prova. Sul bundle completo (tutti i file singoli più un manifest che li elenca con i relativi hash) si applica un hash SHA-256, un sigillo elettronico e una marca temporale qualificata conformi eIDAS. A quel punto la prova diventa legalmente opponibile nel tempo.

Il meccanismo previsto dal Regolamento (UE) 910/2014 è duplice. Il sigillo elettronico qualificato gode di presunzione di integrità del dato e di correttezza dell'origine (art. 35). La marca temporale qualificata gode di presunzione di accuratezza della data e dell'ora e di integrità del dato collegato (art. 41). I due effetti combinati costruiscono una prova insieme crittografica e giuridica, riconosciuta automaticamente in tutti gli Stati membri UE.

Lato Stati Uniti, la stessa logica è sancita dalla Federal Rule of Evidence 902(14): una copia digitale accompagnata da certificazione di una persona qualificata che ne attesta il digital identification process (tipicamente confronto di hash) è self-authenticating, quindi non richiede testimonianza in aula. Un'acquisizione web sigillata con hash SHA-256 e certificazione formale entra in questa categoria e viaggia con iter abbreviato. Anche quando il contenzioso si svolge fuori dall'Unione, la combinazione ISO 27037 più hash NIST-approved costruisce un ponte probatorio riconosciuto a livello internazionale. È un aspetto che chi guarda solo al diritto interno trascura spesso, ma che diventa cruciale quando la controversia tocca piattaforme con giurisdizione estera.

Hash più marca temporale più sigillo qualificato spostano il peso probatorio dal regime "liberamente valutabile" dell'art. 20 del CAD (D.Lgs. 82/2005, artt. 20-23) al regime pieno dell'art. 2702 c.c. applicato analogicamente ex art. 2712: piena prova fino a disconoscimento qualificato. Nel processo è una differenza operativa enorme.

Come TrueScreen implementa ISO 27037 per l'acquisizione web

TrueScreen è l'infrastruttura di acquisizione forense di pagine web che esegue in automatico i requisiti ISO/IEC 27037, dalla cattura alla conservazione, in un flusso unico verificabile. La metodologia forense applicata copre i quattro processi dello standard (identificazione, raccolta, acquisizione, conservazione) e aggiunge la certificazione con valore legale tramite sigillo elettronico qualificato e marca temporale qualificata eIDAS, fuori dallo scope formale di ISO 27037 ma decisivi per l'opponibilità in giudizio. A differenza dei tool generici, l'intero pipeline è progettato intorno ai principi di auditability, repeatability, reproducibility e justifiability: ogni sessione parte da ambiente pulito, ogni elemento (DOM, MHTML, SSL/TLS, IP, DNS, traffico di rete) viene catturato in parallelo e sigillato alla fonte con hash SHA-256 e marca temporale qualificata, ogni passaggio finisce in un log immutabile che un perito terzo può riprodurre in modo indipendente. Per studi legali, CTU e compliance è la differenza tra una prova pronta per il deposito e una cattura destinata a essere contestata.

Il Forensic Browser è il prodotto di riferimento per l'acquisizione ISO 27037 di pagine web. Isola ogni sessione in un ambiente pulito, senza cookie residui, senza estensioni, con clock sincronizzato NTP, e cattura in parallelo il DOM renderizzato dopo l'esecuzione di JavaScript, l'archivio MHTML self-contained, il certificato SSL/TLS server-side con catena di fiducia, l'indirizzo IP risolto via DNS e la traccia di rete completa. Ogni acquisizione riceve un hash SHA-256 e una marca temporale qualificata eIDAS applicata direttamente alla fonte, e non dopo, quando i file sono già stati esposti a possibili manipolazioni.

La linea di prodotti TrueScreen utile per l'acquisizione web comprende il Forensic Browser, browser proprietario per pagine e contenuti dinamici pensato per sessioni forensi complete in ambiente isolato; il Web Portal, interfaccia browser per la cattura pagine, lo screen recording, la gestione delle evidenze e l'audit trail; la Chrome Extension, che integra la cattura forense nel browser già usato dall'operatore per acquisizioni rapide; l'App per iOS e Android, quando chi acquisisce è in campo; le API e gli SDK, primitive di certificazione per inserire l'acquisizione web in workflow enterprise (archiviazione continua di marketplace, monitoraggio social, pipeline di compliance).

Sul piano della difendibilità in giudizio, TrueScreen copre i quattro principi di ISO 27037 in modo esplicito. L'auditability arriva dal log immutabile del Web Portal, che traccia chi ha acquisito, quando, con quali parametri e in quale ambiente. La repeatability viene dall'ambiente controllato e dal profilo pulito del Forensic Browser. La reproducibility è supportata dalla documentazione completa di metadati, headers, DNS e ambiente. La justifiability vive nei referti tecnici PDF/A firmati che accompagnano ogni acquisizione.

Un esempio operativo. Uno studio legale specializzato in diritto d'autore deve acquisire quaranta annunci di un marketplace che espone prodotti contraffatti, prima che il venditore li rimuova. Con TrueScreen via API, in pochi minuti ottiene quaranta acquisizioni forensi complete (DOM, MHTML, SSL, IP, hash, marca temporale qualificata), ciascuna con il suo referto tecnico. Il giorno dopo il venditore tira giù gli annunci, ma il dataset forense resta opponibile e pronto per il deposito. La stessa dinamica vale per la certificazione di pagine web in casi di diffamazione social, concorrenza sleale, raccolta di prove online in procedimenti penali.

Il tutto si inserisce in un perimetro più ampio di garanzia della provenienza dei dati: lo stesso concetto di provenienza digitale che guida le scelte di TrueScreen è quello che permette di trattare una pagina web come un asset verificabile lungo tutto il suo ciclo di vita, non solo al momento della cattura.

Forensic Browser TrueScreen

Funzionalità

Forensic Browser

Il browser forense proprietario di TrueScreen: ambiente isolato, cattura DOM e MHTML, hash SHA-256 e marca temporale qualificata in un unico flusso.

Scopri di più →

Errori comuni da evitare nell'acquisizione forense di pagine web

Le acquisizioni forensi di pagine web che saltano in giudizio cadono quasi sempre per gli stessi errori ricorrenti. Riconoscerli prima del fatto permette di costruire un processo difendibile e riduce il rischio di un disconoscimento qualificato capace di far decadere la prova.

Ne ho elencati dieci, ricorrenti nei casi di acquisizione forense di pagine web che arrivano in causa con criticità tecniche, mappati sulle best practices SWGDE e NIST e sulla giurisprudenza italiana.

  1. Catturare solo screenshot senza DOM e senza HTML post-rendering. Lo screenshot da solo è debole e ampiamente contestabile. Serve anche il DOM serializzato più il bundle delle risorse.
  2. Omettere la cattura del certificato SSL/TLS. Senza il certificato, la difesa può sostenere che il contenuto provenisse da un server diverso da quello dichiarato. È un vettore di contestazione facile da chiudere ma spesso dimenticato.
  3. Operare con clock di sistema non sincronizzato NTP. Se il timestamp locale non è ancorato a una sorgente autorevole, la cronologia dell'acquisizione è vulnerabile. La marca temporale qualificata risolve in parte, ma solo su un ambiente NTP-certificato.
  4. Calcolare l'hash solo sullo screenshot e non sul bundle. Il dataset forense è il pacchetto aggregato. Serve hash SHA-256 del singolo elemento e hash del bundle completo, con manifest firmato.
  5. Usare un browser "sporco" con cookie, cache ed estensioni. L'ambiente influenza il contenuto renderizzato. Senza un profilo pulito, l'acquisizione non è riproducibile.
  6. Non documentare la catena di custodia digitale. Chi, quando, con quale tool, dove è stato conservato: sono requisiti ISO 27037. Senza log firmato, l'audit trail è rotto.
  7. Non loggare il traffico di rete durante l'acquisizione live. SWGDE 21-F-001 lo richiede esplicitamente. Serve per dimostrare l'assenza di redirect, iniezioni, alterazioni in transito.
  8. Affidarsi al solo timestamp locale senza marca temporale qualificata. Il timestamp del computer è auto-dichiarato. La marca qualificata eIDAS ha presunzione legale in tutta l'Unione. È la differenza tra prova forte e prova contestabile.
  9. Acquisire pagine dinamiche con tool pensati per HTML statico. Su React, Angular, Vue, feed infinite scroll, modali: se il tool non aspetta il rendering completo, cattura una pagina "morta" diversa da quella vista dall'utente.
  10. Assumere che il server conservi per sempre la pagina originale. Le pagine cambiano, spariscono, vengono ridirette. L'acquisizione forense va eseguita al momento dell'evento. Aspettare anche solo ventiquattro ore può significare aver perso l'unica copia utile.

Chi cerca una checklist operativa per conservare le prove digitali dopo l'acquisizione trova nelle prassi citate una base solida. Ma la prima riga di difesa resta sempre la qualità del processo di cattura.

Come certificare una pagina web TrueScreen

Funzionalità

Come certificare una pagina web con valore legale

Guida pratica TrueScreen alla certificazione di una pagina web: i passaggi operativi dall'URL alla prova opponibile in giudizio.

Scopri di più →

Un processo, non un file: cosa portare davanti al giudice

L'acquisizione forense di pagine web come prova non è un'operazione da stampa-PDF del browser. È un processo tecnico-giuridico che parte dall'identificazione del contenuto, passa per un ambiente di cattura isolato e documentato, produce un dataset con DOM, MHTML, certificato SSL, IP, DNS e metadati, si chiude con un hash SHA-256 e una marca temporale qualificata eIDAS lungo una catena di custodia tracciabile. Senza questa filiera, anche la pagina più rilevante rischia di crollare al primo disconoscimento qualificato.

ISO/IEC 27037, con il supporto delle best practices SWGDE e NIST, dei principi ACPO e del quadro eIDAS, fornisce il protocollo di riferimento per l'acquisizione forense di pagine web opponibile in giudizio. Tradurlo in prassi operativa quotidiana richiede strumenti pensati per l'acquisizione forense, non prodotti generici adattati al bisogno. TrueScreen è stata costruita proprio per questo: chiudere con rigore la catena dall'acquisizione alla conservazione, per ogni pagina web che può servire in una vertenza civile, penale, amministrativa o in un contenzioso con profili transfrontalieri.

Per studi legali, CTU, compliance officer e team enterprise che gestiscono volumi crescenti di contenziosi digitali, la domanda non è più se fare acquisizione forense di pagine web. La domanda è se farla con un processo difendibile, oppure rischiare ogni volta che la controparte capisca dove colpire.

FAQ: acquisizione forense di pagine web e ISO 27037

Quali sono i requisiti della norma ISO 27037 per l'acquisizione forense di pagine web?
ISO/IEC 27037:2012 chiede che il processo di acquisizione rispetti quattro principi: verificabilità (ogni azione tracciabile da un terzo indipendente), ripetibilità (stessi risultati nelle stesse condizioni), riproducibilità (conclusioni confermabili con strumenti diversi) e giustificabilità (ogni scelta tecnica motivabile). Lo standard distingue tra Digital Evidence First Responder (DEFR) e Digital Evidence Specialist (DES), pretende la minimizzazione del trattamento del dato originale e una documentazione completa della catena di custodia. L'adozione italiana è UNI CEI EN ISO/IEC 27037:2017.
Uno screenshot con timestamp basta come prova in tribunale?
Da solo è debole. Uno screenshot con timestamp dichiarato dal sistema operativo non offre alcuna prova crittografica dell'integrità né del legame con il server sorgente. La Cassazione SU 11197/2023 e l'ordinanza 1254/2025 ammettono le riproduzioni informatiche come prova documentale solo se origine e affidabilità sono verificabili, e un disconoscimento qualificato può neutralizzarne il valore probatorio senza grossa fatica. Per reggere in giudizio serve una copia forense completa con hash SHA-256 e marca temporale qualificata eIDAS.
Cos'è il DOM e perché conta nell'acquisizione forense di pagine web?
Il DOM (Document Object Model) è la rappresentazione in memoria della pagina dopo che il browser ha interpretato l'HTML ed eseguito il JavaScript. Corrisponde a ciò che l'utente vede davvero, diverso dall'HTML sorgente ricevuto dal server. Su applicazioni React, Angular o Vue, buona parte dei contenuti esiste solo dentro il DOM post-rendering. In un'acquisizione forense di pagine web, catturare il solo HTML iniziale vuol dire salvare una pagina incompleta, non rappresentativa di cosa è apparso sullo schermo. Il DOM serializzato è il cuore tecnico di un'acquisizione forense di pagine web difendibile.
Qual è la differenza tra MHTML e un normale screenshot?
Uno screenshot è solo un'immagine della pagina: niente codice, niente risorse, niente metadati tecnici. L'MHTML è un archivio self-contained che racchiude HTML, CSS, immagini, script, font e media dentro un singolo file. Un perito tecnico può riaprirlo offline anche a distanza di anni, quando il sito originale non esiste più. In termini probatori, lo screenshot illustra; l'MHTML documenta.
Perché devo acquisire il certificato SSL di una pagina web?
Il certificato SSL/TLS lega crittograficamente il contenuto acquisito all'identità verificata del dominio che lo ha erogato. Se non lo cattura nessuno, la difesa può sostenere che la pagina provenisse da un server clone, da un attacco MITM o da un ambiente di sviluppo ad hoc. Acquisire il certificato con fingerprint SHA-256, catena di fiducia fino alla root CA e verifica OCSP/CRL trasforma la provenienza in un fatto crittografico opponibile, difficilmente aggirabile dal disconoscimento qualificato.
Chi può effettuare l'acquisizione forense di pagine web secondo ISO 27037?
ISO/IEC 27037 identifica due figure: il DEFR (Digital Evidence First Responder), personale autorizzato e formato che agisce per primo sulla scena, e il DES (Digital Evidence Specialist), specialista con competenze avanzate su sistemi operativi, reti e application forensics. Nella pratica italiana la figura tipica è il CTU informatico forense o il consulente tecnico di parte. Lo standard pretende che chi opera sia competente e in grado di giustificare ogni scelta tecnica: senza questa premessa, il lavoro non è ripetibile né verificabile da un terzo.
Quanto tempo si conserva una prova web acquisita forensicamente?
Una prova web sigillata con hash SHA-256 e marca temporale qualificata eIDAS ha validità probatoria potenzialmente illimitata, a patto che la catena di custodia digitale resti integra e che gli algoritmi crittografici non diventino obsoleti. Il Regolamento (UE) 2024/1183 (eIDAS 2.0) ha introdotto qualified electronic archiving services pensati proprio per la conservazione a lungo termine delle acquisizioni. Nella prassi italiana la conservazione va dimensionata rispetto ai termini di prescrizione del contenzioso di riferimento, con margini di sicurezza.
Un'acquisizione fatta con TrueScreen è valida anche fuori dall'Italia?
Sì. TrueScreen combina conformità ISO/IEC 27037 (standard internazionale), sigillo elettronico qualificato e marca temporale qualificata eIDAS (riconosciuti automaticamente in tutti gli Stati membri UE ai sensi degli artt. 35 e 41 del Regolamento 910/2014) e hash SHA-256 NIST-approved. Negli Stati Uniti questa combinazione soddisfa i requisiti della Federal Rule of Evidence 902(14) per la self-authentication. Sul piano del diritto internazionale, la Convenzione di Budapest sul cybercrime (ETS 185) copre l'accesso transfrontaliero e la preservazione delle prove elettroniche.

Acquisizioni web ISO 27037 con TrueScreen

Dalla cattura del DOM alla marca temporale qualificata: genera prove web opponibili in giudizio in pochi secondi, con TrueScreen.

applicazione mockup