Copia forense: cos’è, come si fa e che valore probatorio ha
Un'azienda scopre una recensione diffamatoria online, un dipendente conserva uno scambio WhatsApp che dimostra una promessa contrattuale, un consulente tecnico deve documentare il contenuto di un sito prima che venga modificato. Nella quasi totalità dei casi, la prima reazione è la stessa: si fa uno screenshot, si scarica il file, si stampa la pagina. Sembra sufficiente. In tribunale, quasi mai lo è.
Il problema nasce quando la controparte contesta l'autenticità di quel materiale. Uno screenshot si modifica in trenta secondi con strumenti gratuiti. Un file scaricato a mano non porta con sé alcuna prova di quando e da dove è stato preso, né garanzia che nessuno lo abbia toccato dopo. Manca la catena di custodia, manca un riferimento temporale verificabile, manca un modo per dimostrare che il dato visto dal giudice è identico a quello esistente al momento della cattura. Risultato: la prova viene degradata a semplice indizio, o esclusa del tutto.
Come si trasforma allora un dato digitale fragile in una prova che regge a un'eccezione di parte? Serve una copia forense: la riproduzione integrale e verificabile di un dato digitale che ne conserva contenuto, metadati e integrità, accompagnata da impronta hash, marca temporale e documentazione del processo di acquisizione. È questo l'oggetto dell'articolo, dalla definizione tecnica al valore davanti al giudice, fino a come ottenerla certificata già alla fonte.
Cos'è la copia forense e come si distingue da una copia comune
Una copia forense è la riproduzione bit a bit di un dato digitale, identica all'originale fino al singolo bit, la cui integrità è dimostrabile tramite funzione di hash. Non è un semplice "salva con nome": è una procedura che fotografa il dato e tutto il suo contesto in modo che ogni modifica successiva diventi rilevabile e dimostrabile.
Sul piano tecnico esistono due modi di duplicare un supporto. La copia clone riproduce il dato bit a bit su un altro supporto fisico identico, mentre la copia immagine (l'immagine forense vera e propria) racchiude lo stesso contenuto in un unico file, completo di metadati e spazio non allocato. Entrambe sono fedeli all'originale e verificabili via hash: cambia solo il contenitore in cui la duplicazione viene conservata.
Definizione. La copia forense (in inglese bit stream image, ovvero copia bit a bit o immagine forense) è la duplicazione esatta di un supporto o di un contenuto digitale, bit per bit, comprensiva di spazi non allocati e metadati. La sua fedeltà all'originale si verifica calcolando un valore di hash (per esempio SHA-256) su originale e copia: se i due valori coincidono, la copia è dimostrabilmente integra. Lo standard di riferimento per la gestione delle prove digitali, ISO/IEC 27037, descrive proprio questo principio: ogni potenziale prova digitale va identificata, acquisita e preservata in modo da mantenerne integrità e tracciabilità. È la differenza tra "ho una copia" e "ho una copia di cui posso provare che è identica all'originale".
La differenza tra salvare un file e acquisirlo con metodologia forense
Salvare un file significa portarsi a casa il contenuto. Acquisirlo con metodologia forense significa documentare l'intero atto: cosa è stato preso, quando, da dove, con quale strumento, e con quale prova di integrità. Quando scarichi un PDF dal browser ottieni i byte del documento, ma perdi tutto il resto: l'ora certa, l'indirizzo di provenienza, l'evidenza che nel passaggio nessuno abbia alterato nulla.
La metodologia forense ribalta la logica. L'acquisizione viene trattata come un atto documentato e ripetibile, in cui ogni passaggio è registrato e ogni elemento è sigillato. Per i dati statici si usano strumenti che impediscono qualsiasi scrittura sul supporto di origine (i write blocker); per i contenuti web e dinamici si registra anche il traffico di rete e il contesto della pagina. L'obiettivo non è solo possedere il dato, ma poter ricostruire e dimostrare in seguito come quel dato è stato ottenuto.
Contenuto, metadati e integrità: cosa preserva una copia forense
Una copia comune preserva il contenuto visibile. Una copia forense preserva tre strati: il contenuto, i metadati e la prova di integrità. Il contenuto è ciò che leggi. I metadati sono le informazioni di contorno: data di creazione e modifica, autore, posizione, dati EXIF di una foto, intestazioni di una pagina web. L'integrità è il sigillo che lega contenuto e metadati a un istante preciso, rendendo qualsiasi manomissione successiva rilevabile.
Qui sta il limite più sottovalutato dello screenshot. Una schermata cattura i pixel di un momento, ma butta via i metadati e non porta con sé alcuna prova di integrità: chiunque può ritagliarla, modificarla o ricostruirla. Per questo, sul piano probatorio, una cattura non certificata e un'acquisizione forense appartengono a due mondi diversi. È esattamente la distanza che separa lo screenshot manuale dall'acquisizione certificata con TrueScreen, dove il dato viene catturato con metodologia forense alla fonte e sigillato prima che qualsiasi alterazione sia possibile.
Confronto tra i metodi di raccolta di una prova digitale
| Metodo | Cosa preserva | Valore in giudizio |
|---|---|---|
| Screenshot manuale | Solo i pixel visibili, nessun metadato, nessuna prova di integrità | Molto debole: facilmente contestabile, spesso degradato a indizio |
| File scaricato a mano | Il contenuto del file, metadati parziali, nessuna marca temporale certa né catena di custodia | Debole: nessuna garanzia su provenienza e integrità |
| Copia forense | Contenuto, metadati e integrità verificabile via hash | Solido: prova ripetibile e verificabile, ammissibilità rafforzata |
| Copia forense certificata alla fonte | Contenuto, metadati, integrità, marca temporale qualificata e sigillo elettronico al momento della cattura | Massimo: dato che nasce già certificato, con contesto e ora certa opponibili ai terzi |
Come si esegue una copia forense
Una copia forense si esegue isolando il dato, duplicandolo senza alterarlo, calcolandone l'impronta hash, apponendo una marca temporale e documentando ogni passaggio. La sequenza conta: l'ordine garantisce che tra la cattura e la verifica nessun anello resti scoperto. Ecco come si fa, passo per passo.
- Identificazione e isolamento. Si individua il dato da acquisire (un file, un dispositivo, una pagina web, una chat) e lo si isola per evitare modifiche accidentali. Su supporti fisici si usa un write blocker; per i contenuti online si fotografa lo stato della pagina nell'istante della cattura.
- Acquisizione integrale. Si duplica il dato bit a bit, includendo metadati e, dove presente, lo spazio non allocato. Per le acquisizioni web si registra anche il traffico di rete che documenta la sessione.
- Calcolo dell'hash. Si calcola il valore di hash dell'acquisizione. È l'impronta digitale univoca che permetterà in qualsiasi momento di verificare che nulla è stato modificato.
- Marca temporale e sigillo. All'acquisizione si associa una marca temporale qualificata e un sigillo elettronico, che fissano l'ora certa e legano crittograficamente il dato a quell'istante.
- Documentazione. Si redige il report che descrive cosa è stato acquisito, quando, con quale strumento e con quali valori di hash, costruendo la catena di custodia.
Questo è il flusso che vale per qualsiasi tipo di dato. Quando l'oggetto è una pagina web, valgono accorgimenti specifici: la pagina è dinamica, cambia a ogni caricamento e può sparire da un momento all'altro. Per approfondire come si acquisisce in modo difendibile un contenuto online conviene leggere la guida dedicata alla copia forense di un sito web, che entra nel dettaglio dell'acquisizione forense di pagine web.
Funzione di hash e verifica di integrità
L'hash è una funzione matematica che trasforma qualsiasi dato in una stringa di lunghezza fissa, unica per quel dato. È il meccanismo che rende la copia forense verificabile da chiunque, anche anni dopo.
L'hash come prova di integrità. Una funzione di hash crittografica (come SHA-256, lo standard più diffuso oggi) produce un valore univoco di lunghezza fissa a partire da un input di qualsiasi dimensione. Modificare anche un solo bit del dato originale genera un hash completamente diverso: è l'effetto valanga. Per questo, in ambito forense, l'hash funziona come sigillo di integrità: si calcola al momento dell'acquisizione e si registra nel report. Chiunque, in seguito, può ricalcolarlo sulla copia e confrontarlo con quello documentato. Se i valori coincidono, il dato è integro e identico all'originale; se differiscono, qualcosa è stato alterato. Questo principio è alla base della gestione delle prove digitali descritta dalla norma ISO/IEC 27037 ed è ciò che rende una copia forense opponibile in giudizio.
Marca temporale qualificata e sigillo digitale
La marca temporale qualificata fissa l'ora certa dell'acquisizione, il sigillo elettronico ne garantisce origine e integrità. Insieme rispondono alla domanda che ogni giudice si pone: questo dato esisteva davvero in questa forma in quel momento?
Entrambi gli elementi sono disciplinati dal Regolamento europeo eIDAS, che attribuisce alla marca temporale qualificata e al sigillo elettronico qualificato un valore probatorio rafforzato e un'efficacia transfrontaliera in tutta l'Unione. La marca temporale lega il dato a un istante preciso e opponibile ai terzi; il sigillo attesta che il contenuto non è stato modificato dopo l'apposizione. Va chiarito un punto: la marca temporale qualificata e il sigillo sono erogati da un prestatore di servizi fiduciari qualificato (QTSP). TrueScreen non è un QTSP e non rilascia certificati propri: integra il sigillo e la marca temporale qualificata di QTSP qualificati terzi via API, applicandoli a un dato già acquisito con metodologia forense.
Documentazione del processo e catena di custodia
La catena di custodia è la documentazione continua che lega il dato a chi lo ha acquisito, quando e come, dalla cattura fino alla produzione in giudizio. Senza di essa, anche una copia tecnicamente perfetta può essere contestata.
In pratica, è il racconto verificabile della vita della prova: registra l'istante dell'acquisizione, lo strumento usato, i valori di hash, gli eventuali passaggi di mano e ogni accesso al dato. Più questa documentazione è automatica e a prova di manomissione, meno spazio resta per l'eccezione di parte. La norma ISO/IEC 27037 chiede esattamente questo: poter dimostrare che la prova presentata in giudizio è la stessa raccolta all'origine.
Che valore probatorio ha una copia forense davanti al giudice
Una copia forense non gode di una validità "automatica": rientra nelle prove documentali soggette alla libera valutazione del giudice. Il suo peso dipende dalla capacità di dimostrare integrità, provenienza e ora certa del dato. Più la metodologia è solida, più diventa difficile contestarla.
Valore probatorio e libera valutazione. Nell'ordinamento italiano le riproduzioni informatiche sono disciplinate dall'art. 2712 del Codice civile: formano piena prova dei fatti rappresentati se colui contro il quale sono prodotte non ne disconosce la conformità. Il disconoscimento, però, deve essere specifico e non meramente generico. Qui la copia forense fa la differenza: dimostrare con hash, marca temporale e documentazione che il dato è integro e attribuibile a un istante preciso rende il disconoscimento molto più arduo. La prova resta soggetta alla libera valutazione del giudice ai sensi del Codice di procedura, ma una metodologia forense documentata sposta concretamente l'esito a favore di chi l'ha adottata. In altre parole, la copia forense non garantisce un automatismo, ma costruisce le condizioni perché la prova regga all'eccezione.
Riferimenti normativi: art. 2712 c.c., ISO/IEC 27037, Legge 48/2008, eIDAS
Il valore probatorio di una copia forense poggia su un quadro che intreccia Codice civile, norme processuali, standard tecnici e regolamenti europei. Conoscerli aiuta a capire perché una cattura non certificata sia così fragile e un'acquisizione documentata così solida.
Il quadro normativo. In Italia, l'art. 2712 del Codice civile regola l'efficacia probatoria delle riproduzioni informatiche. La Legge 48/2008, che ha ratificato la Convenzione di Budapest sul cybercrime, ha introdotto nel Codice di procedura penale (artt. 244, 247, 254-bis e seguenti) l'obbligo di adottare misure tecniche che assicurino la conservazione dei dati originali e ne impediscano l'alterazione durante le acquisizioni informatiche. Il Codice dell'Amministrazione Digitale (CAD, artt. 20-23) disciplina valore e copie dei documenti informatici. Sul piano tecnico, lo standard internazionale ISO/IEC 27037 detta le buone pratiche per identificazione, raccolta e conservazione delle prove digitali. A livello europeo, il Regolamento eIDAS attribuisce efficacia probatoria rafforzata a marca temporale qualificata e sigillo elettronico. Una copia forense robusta tocca tutti questi piani contemporaneamente.
Copia forense vs perizia tradizionale: tempi e costi
Una copia forense è l'atto di acquisizione e certificazione del dato; la perizia informatica è l'analisi tecnica che ne interpreta il contenuto. Sono cose diverse, e spesso la prima precede la seconda. La distinzione ha conseguenze pratiche su tempi e costi.
La perizia di un consulente tecnico richiede di norma giorni o settimane e comporta un onorario professionale che varia in base alla complessità. L'acquisizione forense del dato, invece, può ridursi a pochi minuti quando si usano strumenti che automatizzano cattura, hash, marca temporale e report. Per molte aziende e professionisti che devono soltanto cristallizzare una prova prima che svanisca, una pagina web, una chat, una transazione, la copia forense certificata in self-service diventa l'alternativa rapida ed economica alla perizia, che resta necessaria solo quando serve davvero interpretare tecnicamente il merito. Lo stesso vale per chi gestisce prove digitali per il contenzioso in volumi.
Come si certifica un dato alla fonte con valore probatorio
Un dato si certifica alla fonte acquisendolo con metodologia forense nell'istante stesso della cattura, non sigillandolo a posteriori su un file già esistente. È una differenza di fondo: nel modello tradizionale si certifica un dato che potrebbe già essere stato alterato; nel modello alla fonte il dato nasce certificato, prima che qualsiasi manipolazione sia possibile.
È il principio su cui lavora TrueScreen. La piattaforma cattura il dato nel momento della creazione, con il contesto ambientale completo (identità del dispositivo, GPS, rete, marca temporale), e lo sigilla crittograficamente integrando il sigillo di un QTSP qualificato prima che qualsiasi manomissione sia possibile. Il dato non viene notarizzato dopo: nasce già certificato, in modo conforme a ISO/IEC 27037 ed eIDAS. TrueScreen non è un QTSP e non emette certificati propri: acquisisce e certifica con metodologia forense alla fonte, e integra via API il sigillo e la marca temporale qualificata di QTSP terzi.
Il risultato è disponibile su più punti di cattura. L'App TrueScreen certifica foto, video e audio direttamente da smartphone, registrando il contesto dell'acquisizione. Il Forensic Browser acquisisce pagine web e contenuti online in modo difendibile, con tanto di traffico di rete annotato (l'approfondimento sulla copia forense di un sito web entra nel merito). Le API e il Web Portal portano la stessa certificazione su larga scala, integrandola nei processi aziendali esistenti.
Un esempio concreto. Un responsabile legale si accorge che un competitor ha pubblicato online un'affermazione diffamatoria sull'azienda. Sa che il contenuto può sparire da un momento all'altro, cancellando la prova. Invece di limitarsi a uno screenshot, acquisisce la pagina con metodologia forense: in pochi secondi ottiene il dato sigillato, con marca temporale qualificata, hash e contesto completo. Quando il post viene rimosso il giorno dopo, lui ha già in mano una prova che nasce certificata, opponibile in giudizio. Stesso schema per chi gestisce certificato privato di investigazione, dove la difendibilità del materiale raccolto è tutto.
FAQ: copia forense e valore probatorio
Cos'è esattamente una copia forense?
Una copia forense è la riproduzione bit a bit di un dato digitale, identica all'originale, di cui è possibile dimostrare l'integrità tramite funzione di hash. A differenza di una copia comune, conserva non solo il contenuto ma anche i metadati e una prova di integrità che rende rilevabile qualsiasi modifica successiva. In ambito legale, l'acquisizione viene documentata con marca temporale, hash e report, costruendo la catena di custodia che lega il dato a chi l'ha acquisito, quando e come. È lo strumento che trasforma un dato digitale fragile in una prova ripetibile e verificabile, conforme allo standard ISO/IEC 27037 per la gestione delle prove digitali.
Quanto costa una copia forense?
Dipende da chi la esegue e con quale metodo. L'acquisizione e la perizia affidate a un consulente tecnico di parte, secondo i tariffari indicativi degli Ordini degli avvocati e dei periti, vanno da circa 100 euro per attività semplici fino a 1.000 euro e oltre per analisi complesse o supporti voluminosi. Il costo cresce con il numero di dispositivi, la difficoltà dell'estrazione e l'eventuale relazione tecnica. La certificazione in self-service alla fonte cambia l'equazione: automatizzando cattura, hash, marca temporale e report, abbatte il costo per singola acquisizione e la rende immediata, riservando l'intervento del perito ai casi che richiedono davvero un'interpretazione tecnica del merito.
Uno screenshot ha valore legale?
Uno screenshot, da solo, ha un valore legale molto limitato. È una semplice riproduzione dei pixel visibili, priva di metadati, marca temporale certa e prova di integrità: chiunque può modificarlo con strumenti gratuiti. Sul piano dell'art. 2712 del Codice civile può essere prodotto come riproduzione informatica, ma è facilmente disconoscibile dalla controparte, e in caso di contestazione specifica viene spesso degradato a semplice indizio o escluso. Acquista peso solo se accompagnato da elementi che ne dimostrino autenticità e provenienza: ora certa, hash e documentazione del processo. È esattamente ciò che fa una copia forense, e che lo screenshot da solo non offre.
I messaggi WhatsApp sono validi in tribunale senza copia forense?
Spesso no. La Corte di Cassazione, con la sentenza n. 39548 del 2024, ha ribadito che le chat WhatsApp prodotte come semplici screenshot o trascrizioni hanno valore probatorio fragile: per essere pienamente utilizzabili occorre l'estrazione forense del messaggio dal dispositivo, che garantisca integrità del dato e catena di custodia. Una schermata di una conversazione, infatti, non prova che il messaggio sia autentico né che non sia stato alterato. L'acquisizione forense della chat (con hash, marca temporale e documentazione) trasforma quello stesso contenuto in una prova difendibile. Lo stesso principio vale per chi deve gestire la certificazione di chat WhatsApp in ambito contrattuale o di contenzioso.
Qual è la differenza tra copia forense e perizia informatica?
La copia forense è l'atto di acquisire e cristallizzare un dato digitale in modo integro e verificabile; la perizia informatica è l'analisi tecnica che interpreta quel dato e ne ricava conclusioni. La prima risponde alla domanda "questo dato è autentico e identico all'originale?"; la seconda risponde a "cosa significa questo dato e cosa dimostra?". Di norma la copia forense precede la perizia: prima si mette al sicuro la prova, poi eventualmente la si analizza. Molti casi richiedono solo la prima fase, ossia cristallizzare un contenuto prima che svanisca, senza bisogno di una relazione tecnica completa. Per questo la copia forense certificata in self-service copre la maggior parte delle esigenze pratiche di aziende e professionisti.
Quando una copia forense NON è utilizzabile?
Una copia forense perde valore quando l'acquisizione è viziata nel metodo o nelle finalità. Se la catena di custodia presenta interruzioni, se il dato è stato alterato prima della cattura o se mancano hash e marca temporale, la prova diventa contestabile. Esiste poi un limite legato alla legittimità della raccolta: la giurisprudenza più recente della Cassazione, nel corso del 2025, ha ritenuto illegittima la cosiddetta copia forense "esplorativa", ossia l'acquisizione massiva e indiscriminata di dati alla ricerca generica di qualcosa di rilevante, senza un perimetro definito. L'acquisizione deve essere mirata, proporzionata e rispettosa delle garanzie. Una copia forense ben fatta è quindi necessaria, ma non sufficiente: conta anche che sia stata raccolta nel rispetto delle regole.
