Prove digitali in tribunale: il valore della catena di custodia certificata

Ogni giorno, nei tribunali italiani, vengono depositate migliaia di prove digitali: fotografie, video, screenshot di conversazioni WhatsApp, email, registrazioni audio. La Corte di Cassazione, con l'ordinanza n. 1254/2025, ha confermato che i messaggi WhatsApp formano piena prova ai sensi dell'art. 2712 c.c., a condizione che la controparte non ne disconosca la conformità.

Il problema sta in quell'ultima frase. Il disconoscimento è un'operazione semplice: basta contestare l'autenticità del contenuto per spostare l'intero onere della prova. E la stragrande maggioranza delle evidenze digitali presentate in giudizio non ha una catena di custodia documentata. I metadati EXIF di una foto si modificano con qualsiasi editor. Uno screenshot si fabbrica in pochi minuti. Un video si rimonta e si retrodata senza competenze particolari.

La risposta a questa fragilità non è la verifica a posteriori, che parte da un file già potenzialmente compromesso. È la certificazione al momento della creazione. Un'evidenza digitale raccolta con firma digitale, marca temporale da ente terzo e geolocalizzazione verificata possiede una catena di custodia completa fin dall'origine, e il suo disconoscimento diventa molto più difficile da sostenere.

Come i tribunali italiani trattano le prove digitali

Art. 2712 c.c.: il meccanismo di piena prova e disconoscimento

L'articolo 2712 del Codice Civile stabilisce che le riproduzioni informatiche "formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime". La formulazione crea un regime probatorio a due velocità.

Se la controparte non contesta, l'evidenza digitale ha piena efficacia probatoria. Se la contesta, perde il suo status di prova piena e diventa un elemento liberamente valutabile dal giudice ai sensi dell'art. 116 c.p.c. Non serve dimostrare che il file è stato manipolato: basta sollevare il dubbio.

Chi deposita prove digitali in giudizio si trova davanti a un'asimmetria evidente: produrre un'evidenza autentica costa tempo e risorse, contestarla richiede una sola dichiarazione.

Giurisprudenza recente: screenshot, WhatsApp e documenti digitali

La giurisprudenza degli ultimi anni ha via via definito i contorni della prova digitale nel processo civile e penale.

L'ordinanza n. 1254/2025 della Cassazione ha stabilito che i messaggi WhatsApp rientrano tra le riproduzioni informatiche ex art. 2712 c.c. e formano piena prova se non disconosciuti. Ha anche precisato che il disconoscimento deve riguardare "la natura artificiosa del contenuto": una generica negazione non basta.

Per gli screenshot la situazione è più spinosa. Diverse pronunce hanno chiarito che uno screenshot è una riproduzione di secondo livello: non è il dato originale, ma una sua rappresentazione visiva. La sua affidabilità dipende dalla possibilità di verificare che la cattura rifletta fedelmente il contenuto al momento dello scatto.

Gli estratti conto ottenuti via home banking, secondo la giurisprudenza consolidata, sono copie analogiche di documenti informatici ai sensi del Codice dell'Amministrazione Digitale (D.Lgs. 82/2005) e hanno efficacia probatoria ex art. 2712 c.c. in assenza di contestazione circostanziata.

In sintesi, le prove digitali hanno valore, ma la loro tenuta in giudizio dipende dalla capacità di resistere al disconoscimento. Che a sua volta dipende dalla qualità della catena di custodia.

Perché le prove digitali sono strutturalmente contestabili

Integrità del file: il contenuto è stato alterato?

Un file digitale è modificabile senza lasciare tracce visibili. Un'immagine si ritocca, un PDF si edita, un video si taglia o si rimonta. Nessuna di queste operazioni lascia segni evidenti nel file risultante.

L'unico meccanismo tecnico che certifica l'assenza di modifiche è l'hash crittografico: una sorta di impronta digitale del file, calcolata al momento della creazione. Qualsiasi modifica successiva, anche di un singolo byte, produce un hash completamente diverso. Se l'hash calcolato al momento del deposito in giudizio corrisponde a quello registrato all'origine, l'integrità è verificata. Senza hash, l'integrità resta una dichiarazione.

Timeline: quando è stato creato il file?

I metadati temporali (data di creazione, modifica, ultimo accesso) sono tra gli elementi più facili da alterare in un file digitale. I dati EXIF di una fotografia si cambiano con software gratuiti. La data di creazione di un documento si modifica dalle proprietà del file system in pochi clic.

Qui entra in gioco la marca temporale emessa da un ente terzo certificato (Qualified Trust Service Provider ai sensi del Regolamento eIDAS). A differenza dei metadati interni, il timestamp è un'attestazione esterna e indipendente. Colloca il file in un punto preciso della linea temporale, con presunzione legale di accuratezza. Non è un dato che il creatore del file può manipolare.

Provenienza: chi ha creato l'evidenza e dove?

Chi ha scattato quella foto? Con quale dispositivo? Da quale posizione? Sono domande che un avvocato della controparte porrà quasi certamente.

Senza verifica dell'identità del creatore e geolocalizzazione certificata, la provenienza di un'evidenza digitale resta un'affermazione senza riscontro oggettivo. Il perito che ha documentato un danno non può dimostrare di essere stato effettivamente sul posto. L'investigatore che ha raccolto le prove non può provare che fossero quelle foto, in quel luogo, in quel momento.

Catena di custodia: quali passaggi ha subito il file?

La catena di custodia traccia ogni passaggio del file dalla creazione alla presentazione in giudizio. Ogni trasferimento, copia, conversione o archiviazione dovrebbe essere tracciato e attribuibile a un soggetto identificato.

In pratica, questa catena è quasi sempre incompleta. Un caso tipico: un'immagine scattata con lo smartphone viene inviata via email, salvata su un computer, caricata su un servizio cloud, poi scaricata e allegata a una perizia. Cinque passaggi, nessuno documentato. Lo standard ISO/IEC 27037 richiede che ogni trasferimento sia registrato con riferimento alla persona responsabile, alla data e alle condizioni, ma quanti professionisti seguono davvero questa procedura nella raccolta quotidiana delle prove?

Lo standard forense per le evidenze digitali

ISO/IEC 27037: identificazione, raccolta, acquisizione e conservazione

Lo standard ISO/IEC 27037 è il riferimento internazionale per il trattamento delle evidenze digitali. Copre quattro fasi: identificazione della potenziale evidenza, raccolta dei dispositivi, acquisizione dei dati e conservazione del materiale.

Lo standard definisce anche il ruolo del DEFR (Digital Evidence First Responder): la persona che per prima interagisce con l'evidenza digitale. Il DEFR deve documentare ogni azione, assicurarsi che il dato originale non venga modificato e mantenere la catena di custodia per l'intero processo di raccolta e trasporto.

I principi di auditabilità, ripetibilità e giustificabilità

Lo standard poggia su tre principi operativi, ciascuno con implicazioni concrete per l'ammissibilità delle prove.

L'auditabilità impone la documentazione completa di ogni processo applicato all'evidenza. Un soggetto terzo deve poter ricostruire ogni passaggio e verificarne la correttezza. La ripetibilità richiede che, replicando le stesse procedure nello stesso ambiente, si ottengano risultati identici: se l'acquisizione non è ripetibile, l'affidabilità vacilla. La giustificabilità prescrive che ogni azione sia fondata su metodologie riconosciute: decisioni non documentate o arbitrarie indeboliscono l'intera catena probatoria.

Questi principi sono nati per la digital forensics tradizionale, dove un esperto interviene su un dispositivo già sequestrato o acquisito. La questione che si pone oggi è diversa: come applicare gli stessi standard al momento della creazione dell'evidenza, prima che questa entri nel circuito giudiziario?

Certificare le evidenze alla fonte: l'approccio preventivo

Dalla validazione a posteriori alla certificazione al momento della creazione

L'approccio forense tradizionale opera a posteriori: un file viene creato, conservato e sottoposto a verifica solo quando serve come prova. La perizia tecnica analizza i metadati, verifica la coerenza del file e tenta di ricostruire la storia del contenuto.

Due limiti rendono questo approccio fragile. Se il file è stato alterato prima della perizia, la modifica potrebbe non essere rilevabile. E anche quando la perizia è accurata, può attestare lo stato attuale del file ma non dimostrare con certezza quale fosse il suo stato originale.

La certificazione alla fonte capovolge l'ordine. L'evidenza viene protetta nel momento stesso della creazione: firma digitale conforme al Regolamento eIDAS, marca temporale da ente terzo qualificato, hash crittografico, verifica dell'identità del creatore e coordinate GPS. Ogni parametro viene sigillato in modo immutabile. La catena di custodia non va ricostruita a distanza di mesi: esiste dal primo istante.

Per un avvocato che deve produrre un'evidenza fotografica in giudizio, la differenza è pratica. Con una foto ordinaria, la controparte può disconoscerla ex art. 2712 c.c. e il giudice dovrà decidere se ammetterla. Con una foto certificata alla fonte, il disconoscimento deve confrontarsi con firma digitale, timestamp qualificato e metadati verificabili. L'onere probatorio si sposta su chi contesta.

TrueScreen nel contesto giudiziario: come funziona la certificazione

TrueScreen certifica il contenuto al momento dell'acquisizione, con una metodologia conforme a ISO/IEC 27037, ISO/IEC 27001 e alle raccomandazioni della Convenzione di Budapest. Ogni contenuto acquisito (foto, video, audio, documento, screenshot, email, pagina web) viene sigillato con firma digitale e marca temporale emesse da un Qualified Trust Service Provider ai sensi del Regolamento eIDAS, in un ambiente forense sicuro.

Il sistema genera un report metodologico che documenta il processo di acquisizione, i parametri del dispositivo, la geolocalizzazione e l'identità dell'operatore. L'hash crittografico rende qualsiasi modifica successiva immediatamente rilevabile. Il risultato è un'evidenza verificabile autonomamente da qualsiasi soggetto terzo, senza necessità di accedere alla piattaforma TrueScreen.

Per avvocati e studi legali, questo significa prove che soddisfano i requisiti dell'art. 2712 c.c. con garanzie tecniche che rendono il disconoscimento molto più oneroso per la controparte. Per investigatori e CTU, evidenze raccolte con standard forensi direttamente sul campo, senza perizie integrative sulla catena di custodia.

FAQ: le domande più frequenti sulle prove digitali in tribunale

Il disconoscimento ex art. 2712 c.c. invalida automaticamente una prova digitale?

No. Il disconoscimento non rende la prova inutilizzabile, ma ne modifica lo status probatorio: da piena prova diventa elemento liberamente valutabile dal giudice. La tenuta dell'evidenza dipende dalla documentazione a supporto della sua autenticità, in particolare dalla catena di custodia.

Quali prove digitali possono essere certificate con catena di custodia?

Fotografie, video, registrazioni audio, screenshot, messaggi email, pagine web, documenti in qualsiasi formato e conversazioni chat. La certificazione si applica al momento dell'acquisizione, indipendentemente dal tipo di file.

Uno screenshot certificato ha più valore probatorio di uno screenshot ordinario?

Uno screenshot ordinario è una riproduzione di secondo livello senza garanzie tecniche di autenticità. Uno screenshot acquisito con certificazione alla fonte ha firma digitale, marca temporale da ente terzo e metadati verificati: elementi che lo rendono equiparabile a una prova con catena di custodia documentata.

La certificazione TrueScreen è valida in tutti i tribunali italiani?

La certificazione è progettata per supportare i requisiti legali italiani e internazionali. Firma digitale e marca temporale conformi al Regolamento eIDAS godono di presunzione di integrità e autenticità. La decisione finale sull'ammissibilità, come per qualsiasi prova, resta al giudice ai sensi dell'art. 116 c.p.c.

Qual è la differenza tra certificazione alla fonte e perizia informatica?

La perizia informatica analizza a posteriori un file già esistente e ne attesta lo stato attuale. La certificazione alla fonte protegge il file al momento della creazione, con integrità, provenienza e timeline garantite dall'origine. Sono complementari, ma la certificazione alla fonte elimina la finestra temporale non documentata tra creazione e perizia.

Certifica le tue prove digitali con valore legale

Proteggi le evidenze digitali fin dal momento della creazione con firma digitale, marca temporale e catena di custodia verificabile. Contattaci per scoprire come TrueScreen può supportare il tuo studio o la tua organizzazione.

Richiedi una demo