Catena di custodia delle prove digitali: guida operativa per avvocati e studi legali
Ogni giorno avvocati civilisti, penalisti e CTU informatici producono prove digitali in udienza: screenshot di chat WhatsApp, email, registrazioni audio, log di accesso, post social, pagine web. Eppure il giudice, di fronte a quel materiale, non valuta mai per primo il contenuto. Valuta la procedura. Se la sequenza di passaggi che ha portato il dato dalla sua origine al fascicolo processuale non è documentata in modo verificabile, la prova viene disconosciuta ex art. 2712 c.c. nel civile o esclusa ex art. 191 c.p.p. nel penale, indipendentemente da cosa rappresenti.
Qui entra in gioco la catena di custodia (chain of custody nella terminologia anglosassone): la documentazione tecnica e procedurale che certifica chi ha acquisito il dato, quando, con quale strumento, e quali passaggi ha attraversato fino al deposito. Una catena di custodia difendibile non è un'opzione: è la condizione di ammissibilità della prova digitale stessa. Per inquadrare il contesto operativo dei contenziosi in cui questo principio si applica, è utile partire dalla guida agli usi forensi delle prove digitali per avvocati e studi legali.
Come si costruisce, allora, una catena di custodia digitale che regga in udienza? La risposta poggia su quattro pilastri tecnici, ognuno con artefatti misurabili e verificabili: identità dell'acquirente, hash SHA-256 sul dato originale, marca temporale qualificata eIDAS, registro firmato dei passaggi, verbale di perizia. Senza uno di questi anelli, l'avversario ottiene il disconoscimento.
Questo approfondimento fa parte della guida: Avvocati e studi legali: Certificati digitali e firma digitale
I quattro pilastri della catena di custodia digitale
La dottrina forense italiana e la giurisprudenza convergono su un modello a quattro fasi. Ognuna produce un artefatto tecnico specifico, e ognuna ha un punto di rottura definito.
| Pilastro | Artefatto richiesto | Rischio se manca |
|---|---|---|
| Identificazione | Identità verificata dell'acquirente, dispositivo, credenziali di accesso | Prova attribuibile a "ignoti": valore probatorio annullato |
| Preservazione | Hash SHA-256 + marca temporale qualificata eIDAS al momento della cattura | Disconoscimento ex art. 2712 c.c.: il dato può essere stato alterato |
| Trasferimento | Registro firmato dei passaggi e degli accessi al file | Buco temporale tra acquisizione e deposito: contestazione di manipolazione |
| Presentazione | Verbale di perizia con riferimenti tecnici verificabili in autonomia | CTU del giudice non può replicare la verifica: prova inutilizzabile |
Identificazione
Chi ha catturato il dato? Con quale dispositivo? Da quale rete? Una prova digitale priva di acquirente identificato è equiparabile a una testimonianza anonima. L'identità deve essere ancorata a credenziali forti (SPID, certificato di firma digitale, KYC documentato), non a un semplice nome utente.
Preservazione
L'hash SHA-256 è l'impronta digitale del file: cambia anche se viene modificato un singolo bit. Calcolato al momento dell'acquisizione e sigillato con marca temporale qualificata eIDAS erogata da un QTSP, dimostra che il dato all'istante T era esattamente quello, e che da quel momento in poi qualunque alterazione è rilevabile. Senza questo doppio sigillo, la difesa avversaria può sostenere che il file sia stato alterato dopo la cattura, e l'onere della prova ricade su chi lo ha prodotto.
Trasferimento
Ogni passaggio del file (dal dispositivo di acquisizione al cloud, dal cloud al consulente, dal consulente al fascicolo) deve essere registrato con autore, data, hash di verifica. Il registro firmato dei passaggi risponde alla domanda: il file depositato è identico a quello acquisito?
Presentazione
Il verbale di perizia non è un documento descrittivo: è uno strumento di replica. Deve contenere hash, marca temporale, identificativo del QTSP, link di verifica indipendente. Il CTU del giudice deve poter replicare la verifica senza dipendere dal perito che ha prodotto la prova.
Cosa pretende il giudice: il quadro normativo italiano
Art. 2712 c.c. e il disconoscimento di conformità
L'art. 2712 c.c. disciplina le riproduzioni meccaniche e digitali: hanno valore di prova se non sono disconosciute dalla parte contro cui sono prodotte. Il disconoscimento è lo strumento principale dell'avversario: se la catena di custodia è debole, basta una contestazione formale per spostare l'onere probatorio. Per un'analisi giuridica dettagliata si rimanda all'approfondimento su art. 2712 c.c. e prova digitale.
Art. 234-bis c.p.p. e l'acquisizione di dati informatici esterni
Nel processo penale, l'art. 234-bis c.p.p. consente l'acquisizione di documenti e dati informatici conservati all'estero, anche presso fornitori privati, purché siano rispettate le garanzie di integrità e autenticità. Tradotto: hash, marca temporale e registro dei passaggi non sono opzionali, sono il presupposto di ammissibilità.
Cassazione 6024/2026 sullo screenshot nel reato di stalking
La Cassazione, nella sentenza 6024/2026, ha affermato che lo screenshot di una conversazione, per essere prova nel reato di atti persecutori, deve essere accompagnato da hash e marca temporale apposti al momento della cattura. Lo screenshot manuale, anche se autenticato successivamente da un perito, è considerato prova debole.
Cassazione SU 11197/2023 sul valore probatorio dei documenti informatici
Le Sezioni Unite hanno chiarito che il documento informatico ha pieno valore probatorio quando l'integrità è dimostrata con strumenti tecnici idonei, indicando esplicitamente hash crittografici e marche temporali qualificate. La sentenza ha consolidato il principio: la procedura tecnica di acquisizione è parte costitutiva della prova, non un accessorio.
Catturare alla fonte vs catturare a posteriori: dove TrueScreen rinforza la catena
Il punto debole storico della catena di custodia digitale italiana è la fase di acquisizione. Lo schema classico è questo: l'avvocato fa uno screenshot con lo smartphone, lo invia al perito, il perito calcola l'hash e applica una marca temporale. Tra il momento in cui il dato esiste e il momento in cui viene sigillato passano minuti, ore, giorni. In quell'intervallo, la difesa avversaria ha gioco facile: chi garantisce che lo screenshot non sia stato modificato prima del sigillo?
TrueScreen, Data Authenticity Platform per la certificazione delle prove digitali, risolve il problema chiudendo il primo anello della catena al momento esatto della cattura. Hash SHA-256, marca temporale qualificata eIDAS e firma digitale vengono applicati simultaneamente all'acquisizione, integrando il sigillo di un QTSP terzo qualificato. Non c'è finestra temporale aperta tra il dato e il sigillo: i due nascono insieme.
I prodotti che applicano questa metodologia, dal Forensic Browser per la cattura di pagine web all'app mobile per registrazioni audio-video, producono direttamente un pacchetto probatorio con verbale tecnico, hash, marca temporale e link di verifica indipendente. Il principio tecnico sottostante è la Provenienza digitale: documentare l'origine e il percorso del dato in modo che ogni passaggio sia tracciabile e verificabile da terze parti senza dipendenza dall'autore della prova. Per casi reali di prove digitali nel contenzioso legale si veda la guida dedicata agli studi legali.
La differenza pratica in udienza è netta: con una catena di custodia chiusa alla fonte, il disconoscimento avversario diventa un esercizio formale che il giudice respinge dopo verifica autonoma; con una catena ricostruita a posteriori, anche il perito più competente fatica a colmare il buco probatorio della fase di acquisizione.
