D.Lgs. 215/2025 e Regolamento e-Evidence: il quadro operativo per le imprese italiane dopo il recepimento
Le imprese italiane che gestiscono comunicazioni, contenuti o dati per conto dei propri utenti convivono da anni con richieste di autorità giudiziarie straniere. Fino al 2025, rispondere significava muoversi tra rogatorie, MLAT e protocolli di cooperazione che potevano richiedere mesi. Con il D.Lgs. 215/2025, pubblicato il 30 dicembre 2025, l'Italia ha recepito il Regolamento (UE) 2023/1543 e ha allineato il proprio ordinamento al nuovo quadro europeo sulle prove digitali transfrontaliere.
Il cambio di passo è sostanziale. Un giudice francese, tedesco o spagnolo può ora ordinare direttamente a un fornitore italiano di produrre o conservare dati relativi a un utente, con termini che si misurano in ore, non più in settimane. Molti direttori legali e responsabili della conformità ancora non hanno chiaro chi sia obbligato, quali dati servano realmente e cosa accada se la risposta arriva in ritardo. La domanda, quindi, è concreta: come si organizza un'impresa italiana per gestire un ordine europeo di produzione o di conservazione senza esporsi a sanzioni che possono raggiungere il 2% del fatturato globale?
La risposta richiede tre azioni coordinate: comprendere a fondo il nuovo quadro normativo, designare formalmente i soggetti responsabili della ricezione degli ordini, e costruire un processo interno capace di acquisire, sigillare e trasmettere evidenze digitali con una metodologia forense difendibile in qualsiasi giurisdizione europea. Gli articoli che seguono entrano nel dettaglio di ciascuno di questi passaggi, a partire dalle novità introdotte dal D.Lgs. 215/2025.
Cosa cambia con il D.Lgs. 215/2025
Il D.Lgs. 215/2025 sposta il baricentro della cooperazione giudiziaria penale dall'asse Stato-Stato all'asse autorità-fornitore. Prima del recepimento, una procura estera doveva passare dal Ministero della Giustizia italiano e da una rogatoria formale per ottenere dati da un operatore nazionale. Oggi l'autorità emittente dialoga direttamente con il fornitore italiano attraverso due strumenti standardizzati: l'ordine europeo di produzione (EPO) e l'ordine europeo di conservazione (EPO-PR). Entrambi sono applicabili a livello europeo dal 18 agosto 2026.
Il recepimento italiano del Reg. UE 2023/1543
Il decreto, pubblicato in Gazzetta Ufficiale il 31 dicembre 2025, integra il Regolamento (UE) 2023/1543 e la Direttiva (UE) 2023/1544 nell'ordinamento italiano. Il testo definisce l'autorità centrale incaricata della trasmissione e ricezione degli ordini, individua le autorità di convalida, disciplina le comunicazioni tecniche attraverso la piattaforma decentralizzata e-CODEX e coordina il nuovo regime con il codice di procedura penale e le normative settoriali preesistenti (dal Codice delle comunicazioni elettroniche al GDPR).
Un punto spesso trascurato: il decreto non sostituisce la Convenzione di Budapest sul cybercrime del 2001, che resta il riferimento per la cooperazione con paesi extra-UE, ma la affianca con un canale europeo molto più rapido. I fornitori italiani dovranno quindi gestire in parallelo due binari di richieste, con tempi e requisiti diversi.
La Relazione n. 25/2026 dell'Ufficio del Massimario della Cassazione
Il 7 aprile 2026 l'Ufficio del Massimario della Corte di Cassazione ha pubblicato la Relazione n. 25/2026, prima lettura sistematica del recepimento italiano. Il documento chiarisce tre aspetti operativi critici: l'ambito di applicazione soggettivo (chi è fornitore di servizi ai sensi del Regolamento), l'interazione con la riservatezza delle comunicazioni e la posizione dei professionisti forensi, e i presupposti dell'impugnazione riconosciuta all'utente i cui dati vengono richiesti. Per i legali d'impresa è il testo di riferimento per orientare i primi casi applicativi.
Ordini europei di produzione (EPO) e di conservazione (EPO-PR)
EPO ed EPO-PR sono due strumenti distinti che servono a obiettivi diversi nello stesso procedimento penale. Capire la differenza è la prima operazione che ogni responsabile della conformità deve padroneggiare, perché determina cosa l'impresa deve effettivamente consegnare e con quali tempi.
Che cos'è un ordine europeo di produzione
L'ordine europeo di produzione è la richiesta con cui un'autorità giudiziaria di uno Stato membro ordina a un fornitore di servizi di consegnare determinati dati relativi a un utente. I dati sono classificati in quattro categorie: dati relativi agli abbonati (nome, indirizzo, metodo di pagamento), dati relativi al traffico richiesti al solo scopo di identificare l'utente, dati relativi al traffico e dati relativi al contenuto. Le ultime due categorie, più intrusive, sono soggette a procedure di convalida rafforzate e richiedono la notifica all'autorità dello Stato in cui il fornitore è stabilito, che può opporsi entro 10 giorni se ravvisa violazioni di diritti fondamentali o immunità.
Che cos'è un ordine europeo di conservazione
L'EPO-PR è un ordine conservativo: non impone di consegnare dati, ma di congelarli per evitare che vengano cancellati prima che l'autorità richiedente emetta un ordine di produzione o attivi un'altra procedura (come una rogatoria tradizionale). Serve tipicamente nei casi in cui esistono policy di retention che cancellerebbero log, messaggi o connessioni entro pochi giorni. Il fornitore è tenuto a mantenere i dati per un massimo di 60 giorni, prorogabili una volta di altri 30 giorni se l'autorità emittente conferma di aver avviato la richiesta successiva.
Termini di risposta: 10 giorni standard, 8 ore per casi urgenti
L'art. 10 del Regolamento fissa due termini rigidi. In casi ordinari il fornitore deve trasmettere i dati entro 10 giorni dalla ricezione dell'ordine. Nei casi di urgenza, definiti come minaccia imminente alla vita, all'integrità fisica di una persona o a un'infrastruttura critica, il termine scende a 8 minerale. In pratica, significa che un operatore che riceve un EPO urgente di venerdì sera deve avere un processo operativo capace di estrarre, sigillare e trasmettere i dati entro la mattina di sabato.
| Tipo ordine | Oggetto | Termine standard | Termine urgenza |
|---|---|---|---|
| EPO (dati abbonato) | Identificazione utente | 10 giorni | 8 minerale |
| EPO (dati traffico identificativi) | Identificazione utente | 10 giorni | 8 minerale |
| EPO (traffico / contenuto) | Contenuti comunicazioni | 10 giorni (+ notifica) | 8 minerale |
| EPO-PR | Congelamento dati | Senza indugio | Senza indugio |
La tempistica ha implicazioni organizzative rilevanti: chi non ha un punto di contatto formalmente designato, reperibile anche fuori orario, rischia di non rispettare la finestra di 8 ore per il semplice fatto di non accorgersi in tempo dell'arrivo dell'ordine.
Chi è obbligato a rispondere: il designated establishment
Il Regolamento 2023/1543 introduce un concetto che molte imprese italiane stanno ancora metabolizzando: il designated establishment, ossia lo stabilimento designato come punto di ricezione degli ordini europei. Senza questa designazione formale, un fornitore di servizi non può rispondere a un EPO né tanto meno contestarlo nei tempi richiesti.
I soggetti obbligati (service provider, marketplace, cloud provider)
L'ambito di applicazione è ampio. Rientrano fra i soggetti obbligati i fornitori di servizi di comunicazione elettronica (operatori telefonici, email provider, messaggistica), i servizi della società dell'informazione che consentono agli utenti di interagire (marketplace, piattaforme di contenuti user-generated, social network), e i servizi di infrastruttura internet (registrar, provider di hosting, cloud provider IaaS e PaaS). Non rilevano dimensione o sede principale: qualunque impresa, anche extra-UE, che offra servizi a utenti nell'Unione europea è tenuta a conformarsi. Questo include molte realtà italiane che operano in settori regolati ma non si sono mai considerate formalmente "fornitori di servizi" nel senso del Regolamento.
Il ruolo del designated establishment e del rappresentante legale
L'art. 1 della Direttiva 2023/1544 impone a ogni fornitore di designare uno stabilimento all'interno dell'UE o, se privo di stabilimento UE, di nominare un rappresentante legale in uno Stato membro. Questo soggetto ha il compito di ricevere gli ordini, trasmetterli alla funzione tecnica che estrarrà i dati, coordinare eventuali contestazioni con autorità e procura, e garantire la tracciabilità delle comunicazioni tramite il sistema e-CODEX. Nelle imprese medio-grandi la designazione è tipicamente attribuita al responsabile affari legali o al DPO; nei marketplace e nelle piattaforme, al general counsel affiancato dal team di law enforcement response.
Sanzioni per mancata o parziale risposta
L'art. 15 del Regolamento dà agli Stati membri il potere di sanzionare la mancata o tardiva risposta fino al 2% del fatturato globale dell'impresa. Il D.Lgs. 215/2025 ha integrato questa previsione nell'ordinamento italiano, con un impianto sanzionatorio graduato per gravità (omessa designazione, mancata risposta, risposta incompleta, violazione dell'obbligo di riservatezza). Per un'azienda con fatturato annuo di 100 milioni di euro, parliamo di un'esposizione potenziale di 2 milioni per ogni singolo ordine disatteso. Il tema non è più solo di conformità formale: è di governance del rischio.
Quali evidenze devono essere preservate con metodologia forense
Consegnare dati non significa consegnarli bene. Un file estratto da un database, allegato a un'email e inviato all'autorità francese può non reggere in giudizio se mancano i requisiti di integrità, autenticità e catena di custodia. Le imprese che hanno già gestito contenziosi su prove digitali sanno che la questione non è teorica: un giudice che dubita della genuinità di un log può escluderlo, e con esso l'intero impianto accusatorio.
Integrità, catena di custodia e ISO 27037
Lo standard internazionale ISO/IEC 27037 definisce i requisiti minimi per identificare, raccogliere, acquisire e conservare evidenze digitali in modo difendibile. Tre i pilastri: integrità del dato (prova matematica che non è stato alterato dall'acquisizione in poi, tipicamente attraverso hash SHA-256), catena di custodia documentata (chi ha toccato cosa, quando, con quale strumento) e autenticità attribuibile alla fonte originaria. Nel contesto di un EPO, applicare ISO 27037 non è formalmente obbligatorio, ma diventa il criterio di fatto con cui l'autorità ricevente valuterà se i dati trasmessi sono utilizzabili in processo. Chi consegna dati "grezzi" senza certificazione corre il rischio di vedere il proprio sforzo azzerato in dibattimento.
Esempio operativo: marketplace italiano e richiesta dall'autorità francese
Un caso concreto aiuta a capire il livello di preparazione richiesto. Un marketplace italiano di elettronica riceve un EPO dalla procura di Lione: l'autorità francese indaga su una truffa seriale commessa attraverso account multipli, chiede i dati dell'abbonato e i log di connessione relativi a cinque profili negli ultimi sei mesi, con trattamento urgente (termine 8 ore). Il processo corretto prevede: ricezione dell'ordine sul canale e-CODEX da parte del designated establishment, verifica formale del contenuto, escalation al team tecnico, estrazione dei dati dal sistema di produzione con log di accesso, calcolo dell'hash dei file estratti, apposizione di marca temporale qualificata su ogni artefatto, generazione di un verbale di certificazione firmato digitalmente, trasmissione del pacchetto all'autorità emittente. Senza un processo predefinito, le 8 ore volano in riunioni di coordinamento, non in operazioni. Per approfondire il quadro normativo sovranazionale, è utile leggere la nostra guida sul regolamento e-evidence applicato alle indagini transfrontaliere.
Come si struttura un pacchetto di evidenze certificate per la cooperazione transfrontaliera
Un pacchetto di evidenze certificato pronto per la cooperazione giudiziaria europea è composto da tre livelli: i dati grezzi estratti dai sistemi dell'impresa, gli elementi di garanzia crittografica (hash, marca temporale qualificata, firma digitale del responsabile), e il verbale che documenta l'intero processo di acquisizione. Il tutto deve essere riconducibile a un'autorità di certificazione indipendente, affinché l'autorità giudiziaria ricevente non debba fidarsi sulla parola del fornitore. TrueScreen interviene esattamente su questo punto, operando come layer di certificazione tra i sistemi aziendali e l'output destinato all'autorità.
Il processo applicato da TrueScreen segue una metodologia forense documentata: acquisizione alla fonte dei dati indicati dall'ordine (schermate, file, messaggi, log), calcolo dell'hash SHA-256 di ogni artefatto, apposizione di marca temporale qualificata da prestatore di servizi fiduciari qualificato, generazione di un verbale PDF firmato digitalmente che elenca operatore, data, ora, hash e riferimento dell'ordine ricevuto. Il pacchetto finale è un contenitore unico, verificabile da qualunque autorità europea attraverso strumenti standard e riconducibile a uno standard tecnico indipendente. Studi legali e imprese che gestiscono EPO ricorrenti utilizzano TrueScreen per ridurre il tempo di risposta e per blindare il valore probatorio dei dati consegnati.
Per chi deve rispondere a un primo ordine senza aver mai strutturato il processo, il vantaggio operativo è duplice: da un lato si riduce il carico sui team interni, dall'altro si ottiene una prova che regge agli standard ISO 27037 e resiste alle contestazioni della difesa. Il ragionamento, in fondo, è semplice: le 8 ore di un EPO urgente non sono il momento per improvvisare una metodologia forense, sono il momento per eseguirla.
