Screenshot e Cassazione 6024/2026: quando il giudice penale accetta le acquisizioni digitali nei reati di stalking
Negli ultimi anni i reati di stalking e cyberbullismo si sono spostati quasi interamente nel perimetro digitale. Messaggi WhatsApp, post sui social, email, videochiamate: il racconto della vittima passa attraverso uno schermo, e la prova di quelle condotte dipende da come quello schermo viene catturato. Uno screenshot, per molti, è il gesto più naturale: un tasto, un'immagine, un file salvato sul telefono. Da lì in avanti, però, il terreno diventa scivoloso.
La Corte di Cassazione penale, con la sentenza n. 6024/2026 pubblicata il 7 aprile scorso, torna su un punto che la pratica forense conosceva ma che i tribunali trattavano con letture disomogenee: non tutti gli screenshot sono uguali davanti a un giudice penale. La Corte distingue, in modo netto, fra immagini catturate con gli strumenti di sistema del dispositivo e immagini acquisite con una metodologia forense sigillata, e ne trae conseguenze concrete sul piano probatorio. Sullo sfondo resta un dato che pesa: oltre il 60 per cento degli screenshot prodotti nei procedimenti penali viene contestato dalla difesa per mancanza di marca temporale qualificata, hash crittografico o catena di custodia ricostruibile.
La risposta, sintetica, è questa: lo screenshot è ammissibile come prova penale nei reati di stalking quando viene acquisito con una metodologia che ne dimostri integrità, paternità e collocazione temporale verificabili. In tutti gli altri casi resta una rappresentazione che può essere disconosciuta, contestata e, senza perizia, scartata. Questo articolo spiega cosa cambia dopo la Cass. 6024/2026, perché gli screenshot tradizionali cadono in tribunale, quali requisiti tecnici li rendono difendibili e come TrueScreen interviene alla fonte per produrre screenshot con valore probatorio, già pronti per il primo grado.
Cassazione 6024/2026: cosa dice la Corte sugli screenshot nei reati di stalking
La pronuncia della Cassazione penale n. 6024/2026 affronta direttamente il nodo dell'ammissibilità degli screenshot come prova nei procedimenti per atti persecutori ex art. 612-bis c.p. La Corte conferma che lo screenshot non è di per sé una prova autoevidente: è una rappresentazione che deve superare un vaglio tecnico sulla sua genuinità prima di poter concorrere a formare il convincimento del giudice. Il giudice penale, secondo la Corte, deve valutare in concreto come quell'immagine sia stata ottenuta, custodita e prodotta in giudizio. Per una sintesi autorevole della pronuncia si può consultare il commento pubblicato da Studio Legale Grici Testa.
I fatti e la decisione
Il caso trae origine da un procedimento per stalking in cui la parte offesa aveva prodotto, a sostegno della denuncia, una sequenza di screenshot di chat e post sui social in cui l'imputato l'avrebbe minacciata e molestata. La difesa aveva eccepito l'inattendibilità degli screenshot: immagini salvate in galleria, senza metadati originali, senza hash, prive di riferimento a un timestamp esterno verificabile. La Corte ha ricordato che la prova documentale digitale va valutata alla luce dell'art. 234 c.p.p. e dell'art. 2712 c.c., e che l'efficacia probatoria dipende dall'assenza di disconoscimento ragionato e dall'integrità dimostrata. Lo screenshot "semplice", se contestato, non supera questo test senza una perizia tecnica che ne ricostruisca la filiera di formazione.
La distinzione tra screenshot di sistema e acquisizione forense
Il passaggio più operativo della sentenza è la distinzione tra due categorie di acquisizione. Lo screenshot di sistema, prodotto dal tasto stampa o dalla funzione nativa del telefono, è una fotografia dello schermo senza alcun vincolo di integrità successivo: può essere modificata, rinominata, ri-salvata senza lasciare tracce tecniche univoche. L'acquisizione forense, invece, è un processo strutturato in cui lo schermo viene catturato con una catena tecnica che applica marca temporale qualificata, hash crittografico e verbale di certificazione sigillato. Per la Corte, solo questa seconda categoria accede a una presunzione di genuinità tecnica che sposta l'onere della contestazione sulla difesa.
Perché uno screenshot tradizionale viene contestato in tribunale
La risposta diretta è che lo screenshot tradizionale non porta con sé gli elementi tecnici che il processo penale richiede per escludere la manipolazione. Non c'è un sigillo che leghi l'immagine alla data di cattura, non c'è un'impronta crittografica che attesti la sua immodificabilità, non c'è un registro indipendente che certifichi da quale dispositivo, quando e da chi sia stata prodotta. Senza questi elementi, ogni contestazione della difesa diventa legittima e, nella maggior parte dei casi, decisiva.
Metadati assenti: hash, timestamp, device
Quando uno screenshot viene salvato nella galleria del telefono, porta con sé solo i metadati che il sistema operativo decide di conservare. Non c'è un hash SHA-256 calcolato al momento della cattura, perché il tasto stampa non ha una funzione crittografica. La marca temporale è quella del file system, facilmente riscrivibile trasferendo l'immagine da un dispositivo all'altro. L'identificativo del device non è firmato da un'autorità indipendente. In un procedimento penale, queste mancanze diventano altrettanti spazi per la difesa: la Corte di Cassazione, anche in pronunce precedenti (ad esempio Cass. pen. Sez. V, n. 8736/2018), ha ribadito che la prova digitale deve consentire la verifica della provenienza e dell'integrità, non solo della pertinenza al fatto.
Art. 2712 c.c. e onere della contestazione
L'art. 2712 del Codice Civile stabilisce che le riproduzioni meccaniche e informatiche formano piena prova dei fatti rappresentati se colui contro il quale sono prodotte non ne disconosce la conformità. È una regola apparentemente favorevole a chi produce lo screenshot, ma va letta con attenzione: il disconoscimento non richiede una perizia, richiede una contestazione ragionata. Se lo screenshot non è sigillato tecnicamente, la parte contro cui è prodotto può limitarsi a dire "non riconosco questa immagine, non corrisponde a un messaggio che ho effettivamente scritto", e l'onere della prova si sposta su chi l'ha presentato. Senza un'acquisizione forense a monte, quell'onere è difficile da assolvere, come approfondisce la nostra guida all'articolo 2712 c.c. e la prova digitale.
Il 60% di contestazioni: dati 2024-2025
I dati raccolti sui procedimenti penali italiani nel biennio 2024-2025 mostrano che oltre il 60 per cento degli screenshot presentati come prova nei reati di stalking e cyberbullismo viene oggetto di contestazione formale da parte della difesa per ragioni tecniche. In circa il 40 per cento di questi casi la contestazione si traduce in una richiesta di perizia, che allunga i tempi del giudizio di 6-12 mesi e, in una frazione significativa, porta a esiti sfavorevoli alla parte offesa. Il punto non è che il giudice non creda alla vittima: il punto è che senza strumenti tecnici per certificare l'immagine, il giudice è costretto a trattarla come indizio e non come prova piena. Su questo pesano anche le raccomandazioni del Garante privacy in materia di acquisizione digitale, che indicano precise cautele tecniche.
Requisiti di ammissibilità: ISO 27037, eIDAS, catena di custodia
La Corte di Cassazione, nella sentenza 6024/2026, non impone un singolo standard tecnico ma richiama principi che la prassi forense riconduce a standard noti. La norma tecnica di riferimento è la ISO/IEC 27037, che disciplina l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove digitali. Il regolamento europeo eIDAS regola la marca temporale qualificata e il sigillo elettronico qualificato, strumenti che conferiscono presunzione di autenticità alle firme e alle attestazioni apposte. La catena di custodia digitale traccia ogni passaggio dell'evidenza dal momento della cattura fino alla produzione in giudizio.
| Requisito | Standard di riferimento | Funzione probatoria |
|---|---|---|
| Marca temporale qualificata | eIDAS, art. 42 | Collocazione temporale opponibile |
| Hash crittografico SHA-256 | ISO/IEC 27037 | Immutabilità e integrità |
| Firma digitale di autorità | eIDAS QTSP | Paternità e non ripudio |
| Verbale di acquisizione | ISO/IEC 27037 | Ricostruibilità della catena |
| Device identificato e attestato | ISO/IEC 27037 | Provenienza tecnica |
Marca temporale qualificata eIDAS
La marca temporale qualificata è un'attestazione elettronica rilasciata da un Qualified Trust Service Provider che lega una sequenza di dati a un istante temporale preciso. A differenza della data riportata dal sistema operativo, la marca temporale qualificata ex eIDAS gode di presunzione di autenticità e di corretta collocazione temporale (art. 42 del regolamento UE n. 910/2014). Per lo screenshot di stalking, significa poter dimostrare al giudice che l'immagine esisteva in quella forma esatta in un certo giorno e a una certa ora, e che nessuna modifica successiva è stata possibile senza invalidare la marca.
Hash SHA-256 e integrità
L'hash SHA-256 è una funzione crittografica che genera una stringa di 256 bit univoca per un dato binario. Cambiare anche un solo pixel dell'immagine produce un hash completamente diverso. Nel processo forense, l'hash viene calcolato al momento dell'acquisizione e registrato nel verbale: in giudizio, chiunque può ricalcolare l'hash del file prodotto e verificare che corrisponda a quello originale. Questo esclude manipolazioni successive in modo matematicamente certo e rende lo screenshot tecnicamente difendibile anche a distanza di anni.
Verbale di certificazione QTSP
Il verbale di acquisizione descrive passo per passo come lo screenshot è stato catturato, su quale dispositivo, con quale strumento, a quale orario, con quale rete, con quale hash risultante. Quando il verbale è firmato digitalmente da un Qualified Trust Service Provider (QTSP) accreditato, diventa un documento con presunzione di autenticità ai sensi dell'art. 20 del CAD (Codice dell'Amministrazione Digitale). Per il giudice penale, significa avere davanti non una foto dello schermo ma un atto tecnico strutturato, con la stessa forza probatoria di un'attestazione notarile in forma digitale.
TrueScreen: screenshot certificato alla fonte per il processo penale
Cos'è uno screenshot certificato alla fonte e come funziona
Uno screenshot certificato alla fonte è un'acquisizione in cui la catena forense si chiude nell'istante stesso della cattura, prima che l'immagine esca dall'ambiente controllato. TrueScreen acquisisce lo schermo del dispositivo applicando, nello stesso processo, marca temporale qualificata eIDAS, calcolo dell'hash SHA-256 e firma digitale del verbale. L'utente non deve fare nulla di tecnico: avvia l'acquisizione, TrueScreen registra lo schermo come richiesto, e al termine produce un pacchetto con l'evidenza sigillata e un verbale di certificazione firmato. La differenza rispetto a uno screenshot di sistema è strutturale: non è un'immagine a cui, in un secondo momento, viene aggiunta una marca; è un'immagine che nasce già dentro la metodologia forense, con integrità garantita dall'origine. Ne parliamo in dettaglio nell'articolo dedicato alla ammissibilità degli screenshot in tribunale, che analizza il percorso probatorio passo per passo.
Le funzionalità: app, web portal, chain of custody
L'acquisizione avviene attraverso l'app mobile, che cattura lo schermo del telefono direttamente, e attraverso il web portal, che consente l'acquisizione di pagine web, chat accessibili da desktop e flussi su browser. Ogni evidenza viene depositata in una data room certificata con catena di custodia tracciata: ogni accesso, ogni download, ogni condivisione viene registrato e firmato digitalmente. Il verbale di certificazione, firmato come QTSP, viene generato automaticamente e include tutti gli elementi richiesti dalla ISO/IEC 27037: identificazione del device, strumento di acquisizione, hash, timestamp qualificato, metadati di contesto.
Casi d'uso: stalking, cyberbullismo, mobbing
Nei procedimenti per stalking ex art. 612-bis c.p., lo screenshot certificato viene utilizzato per acquisire chat WhatsApp, Telegram, DM di Instagram e altri canali, preservando sia il contenuto sia gli identificativi di account e di conversazione. Nei casi di cyberbullismo, l'app viene utilizzata direttamente dalla vittima o dal genitore per catturare i post sui social e le interazioni visibili nel feed prima che vengano rimossi. Nei procedimenti per mobbing, l'acquisizione copre email aziendali, conversazioni su Teams e Slack, documenti condivisi, sempre con catena di custodia ricostruibile. In tutti questi casi, la parte offesa arriva in udienza con un'evidenza che non richiede perizia tecnica per essere discussa nel merito.
Cosa cambia per avvocati penalisti e parti civili
Dopo la Cass. 6024/2026, l'avvocato penalista che assiste una parte offesa in un procedimento per stalking ha un parametro concreto su cui orientare la raccolta della prova. Il consiglio operativo cambia: non "fai uno screenshot e salvalo", ma "acquisisci con metodologia forense dal primo messaggio che presenta profili di rilievo penale". La conseguenza sul piano processuale è duplice: si riduce la probabilità di contestazione formale in dibattimento e si accorciano i tempi di definizione, perché la difesa non ha spazio per chiedere perizie che il giudice sarebbe comunque tenuto a disporre in caso di disconoscimento. Per le parti civili, il vantaggio è anche economico: una perizia tecnica di parte costa in media tra 2.000 e 5.000 euro e allunga i tempi di molti mesi. Un'acquisizione forense fatta al momento della condotta evita, nella maggior parte dei casi, entrambi i costi. L'approccio si inserisce nella più ampia logica della catena di custodia digitale, che tiene insieme la produzione, la conservazione e la presentazione della prova.
