Standard internazionali per la conservazione delle prove digitali: guida pratica

Ogni anno milioni di prove digitali vengono contestate o escluse dai procedimenti giudiziari. Non perché irrilevanti, ma perché acquisite e conservate senza rispettare standard riconosciuti. Secondo una ricerca pubblicata dal National Institute of Standards and Technology, oltre il 70% delle organizzazioni coinvolte in contenziosi digitali non segue procedure standardizzate per la gestione delle evidenze elettroniche. Il risultato: prove che un giudice potrebbe considerare decisive finiscono nel cestino procedurale.

Il problema non è la mancanza di regole. Esistono almeno quattro standard internazionali che definiscono con precisione come identificare, raccogliere, acquisire e conservare le prove digitali: ISO/IEC 27037, ISO/IEC 27042, le linee guida SWGDE e il NIST SP 800-86. Ognuno adotta un approccio diverso, copre fasi diverse del ciclo di vita delle evidenze e si rivolge a destinatari diversi. La risposta alla domanda "quale standard seguire" dipende dal contesto operativo, dalla giurisdizione e dal tipo di prova.

Questo articolo mette a confronto i quattro framework principali, analizza i requisiti chiave di ciascuno e mostra come una piattaforma come TrueScreen li implementa automaticamente nel flusso di lavoro quotidiano.

Perché servono standard internazionali per le prove digitali

Le prove digitali presentano vulnerabilità strutturali che le prove fisiche non hanno. Un file può essere copiato senza lasciare traccia, i metadati possono essere alterati, una marca temporale può essere manipolata. Senza una catena di custodia documentata dal momento dell'acquisizione, qualsiasi prova digitale è contestabile in sede giudiziaria.

Gli standard internazionali risolvono questo problema stabilendo requisiti minimi di integrità, autenticità e riproducibilità. Non sono raccomandazioni generiche: definiscono procedure operative precise per ogni fase del trattamento delle evidenze. L'Ufficio delle Nazioni Unite contro la droga e il crimine (UNODC) ha identificato l'ISO/IEC 27037 come riferimento fondamentale per le indagini digitali a livello globale, confermando il ruolo centrale di questi framework nella cooperazione giudiziaria internazionale.

Un dato significativo: secondo il Rapporto Clusit 2025, gli attacchi informatici in Italia sono cresciuti del 65% rispetto al 2023, generando un volume crescente di evidenze digitali che richiedono conservazione conforme a standard riconosciuti.

ISO/IEC 27037: il riferimento per identificazione, raccolta e conservazione

Pubblicato nel 2012, l'ISO/IEC 27037 è lo standard più citato in ambito forense digitale. Definisce le linee guida per quattro processi fondamentali: identificazione delle fonti di evidenza digitale, raccolta dei dispositivi fisici, acquisizione dei dati tramite copia forense e conservazione dell'integrità nel tempo.

Il principio cardine dello standard è la minimizzazione dell'alterazione. Ogni operazione sul dispositivo o sul dato deve essere documentata: chi ha effettuato l'operazione, quando, come e con quale autorizzazione. L'ISO 27037 richiede, dove possibile, la creazione di copie bit-for-bit verificate tramite hash crittografico (tipicamente SHA-256) per confermare che la copia corrisponda esattamente all'originale.

Lo standard introduce due figure professionali chiave: il DEFR (Digital Evidence First Responder), responsabile delle operazioni iniziali di raccolta, e il DES (Digital Evidence Specialist), che gestisce le fasi più complesse di acquisizione e analisi. Questa distinzione è importante perché stabilisce requisiti di competenza diversi per ruoli diversi nella catena di custodia.

Un aspetto spesso sottovalutato: l'ISO 27037 si applica non solo ai dischi rigidi e ai dispositivi mobili, ma anche alle prove volatili come la memoria RAM, ai dati di rete e alle evidenze nel cloud. La sezione 7.1.3 dello standard affronta specificamente la gestione delle evidenze in ambienti virtualizzati, un tema sempre più rilevante con la migrazione dei dati aziendali verso infrastrutture cloud.

ISO/IEC 27042: analisi e interpretazione delle evidenze

Se l'ISO 27037 copre le fasi di raccolta e conservazione, l'ISO/IEC 27042 (pubblicato nel 2015) si concentra su analisi e interpretazione. I due standard sono complementari: il primo garantisce che la prova arrivi integra al laboratorio, il secondo stabilisce come esaminarla senza comprometterne il valore.

L'ISO 27042 definisce tre tipi di analisi: statica (esame dei dati senza eseguire il sistema), dinamica (analisi del comportamento durante l'esecuzione) e in tempo reale (monitoraggio dei sistemi attivi). Per ciascun tipo, lo standard richiede che il processo sia documentato in modo da essere riproducibile da un altro analista indipendente.

Il concetto di riproducibilità è centrale: l'analista deve poter dimostrare che un altro professionista, seguendo la stessa procedura documentata, arriverebbe alle stesse conclusioni. Questo requisito ha implicazioni dirette sull'ammissibilità della prova in tribunale, perché consente alla controparte di verificare la metodologia utilizzata.

Lo standard richiede anche che ogni analista dimostri la propria competenza specifica per il tipo di evidenza trattata. Non basta essere un esperto informatico generico: chi analizza evidenze da dispositivi mobili deve avere competenze documentate su quel dominio specifico.

SWGDE: le linee guida operative della comunità forense nordamericana

Lo Scientific Working Group on Digital Evidence (SWGDE) non pubblica standard ISO, ma linee guida operative utilizzate da laboratori forensi, forze dell'ordine e tribunali negli Stati Uniti e in Canada. La differenza è rilevante: dove gli standard ISO definiscono principi e requisiti generali, le linee guida SWGDE forniscono procedure dettagliate passo-passo.

Il documento "Best Practices for Digital Evidence Collection" (aggiornato nel novembre 2025) copre l'intero ciclo di raccolta delle evidenze digitali con istruzioni specifiche per ogni tipo di dispositivo e supporto. A differenza dell'ISO 27037, che adotta un approccio più astratto, lo SWGDE indica esattamente quali strumenti utilizzare, quali verifiche eseguire e come documentare ogni passaggio.

Lo SWGDE ha pubblicato nel 2025 anche linee guida specifiche per l'acquisizione di evidenze dal cloud (documento 23-F-004), un tema che gli standard ISO trattano in modo meno dettagliato. Questo riflette una differenza culturale: gli standard ISO mirano all'universalità, le linee guida SWGDE all'operatività immediata nel contesto giudiziario nordamericano.

Un punto di forza dello SWGDE è l'aggiornamento frequente. Mentre l'ISO 27037 risale al 2012, lo SWGDE aggiorna i propri documenti ogni 2-3 anni per incorporare le evoluzioni tecnologiche. Nel solo 2025 ha pubblicato linee guida aggiornate su analisi video forense, raccolta di evidenze da droni e acquisizione forense da dispositivi mobili.

NIST SP 800-86: il framework per la risposta agli incidenti

Il NIST SP 800-86, intitolato "Guide to Integrating Forensic Techniques into Incident Response", adotta una prospettiva diversa dagli standard precedenti. Non si rivolge primariamente ai laboratori forensi, ma ai team IT e di sicurezza informatica delle organizzazioni che devono gestire incidenti di sicurezza.

Lo standard NIST definisce un processo forense in quattro fasi: raccolta, esame, analisi e reportistica. L'enfasi è sull'integrazione delle tecniche forensi nelle procedure operative quotidiane, non sulla risposta post-incidente. Questo approccio è particolarmente rilevante per le organizzazioni che gestiscono grandi volumi di dati e devono garantire la conservazione delle evidenze come parte del normale flusso di lavoro.

Il NIST SP 800-86 si distingue anche per l'attenzione alla gerarchia della volatilità dei dati: i registri di sistema, la memoria RAM e le connessioni di rete attive hanno una finestra di raccolta estremamente breve. Lo standard fornisce una lista di priorità per la raccolta basata sulla volatilità, un elemento operativo che gli standard ISO non dettagliano con lo stesso livello di specificità.

Un contributo specifico del NIST è il documento IR 8387, che aggiorna le definizioni e le classificazioni delle evidenze digitali includendo tipologie emergenti come i dati IoT, le evidenze da sistemi di intelligenza artificiale e i metadati dei servizi cloud.

Tabella comparativa: quattro standard a confronto

Per orientare la scelta dello standard più adatto al proprio contesto, questa tabella riassume le differenze chiave tra i quattro framework per la conservazione delle prove digitali.

Criterio	ISO/IEC 27037	ISO/IEC 27042	SWGDE	NIST SP 800-86
Fasi coperte	Identificazione, raccolta, acquisizione, conservazione	Analisi e interpretazione	Raccolta, acquisizione, conservazione, analisi	Raccolta, esame, analisi, reportistica
Destinatari principali	Laboratori forensi, forze dell'ordine, DEFR/DES	Analisti forensi, periti tecnici	Laboratori forensi, law enforcement (USA/Canada)	Team IT, SOC, incident response
Livello di dettaglio	Principi e requisiti generali	Framework metodologico	Procedure operative passo-passo	Guida integrata con priorità operative
Copertura cloud/IoT	Parziale (sezione 7.1.3)	Limitata	Specifica (doc. 23-F-004, 2025)	Aggiornata (IR 8387)
Ultimo aggiornamento	2012	2015	2025 (aggiornamento continuo)	2006 (base) + IR 8387 (2022)
Riconoscimento giuridico	Globale (citato da UNODC, tribunali UE)	Globale (complementare a 27037)	USA e Canada	USA (agenzie federali)
Hash crittografico	SHA-256 (requisito esplicito)	Riferimento a 27037	MD5 + SHA (doppio hash raccomandato)	SHA-256 (raccomandato)

La scelta dello standard dipende dal contesto. Un laboratorio forense europeo seguirà primariamente ISO 27037 e 27042. Un team di incident response aziendale negli Stati Uniti adotterà NIST SP 800-86 integrato con le linee guida SWGDE. In contesti internazionali con giurisdizioni multiple, la combinazione ISO 27037 + NIST offre la copertura più ampia.

Quale piattaforma implementa automaticamente questi standard per la conservazione delle prove digitali

L'adozione manuale di questi standard richiede competenze specialistiche, strumenti dedicati e procedure documentate che molte organizzazioni non possiedono internamente. TrueScreen, la Data Authenticity Platform, risolve questo problema incorporando i requisiti degli standard internazionali direttamente nel processo di acquisizione e certificazione dei dati.

Quando un utente acquisisce una prova digitale attraverso TrueScreen, la piattaforma esegue automaticamente i passaggi richiesti dagli standard: cattura forense del contenuto all'origine (conforme all'ISO 27037), verifica dell'integrità tramite hash crittografico, documentazione della catena di custodia con marca temporale qualificata e firma digitale emessa da un prestatore di servizi fiduciari qualificato (QTSP) ai sensi del Regolamento eIDAS.

Il Forensic Browser di TrueScreen rappresenta un esempio concreto di implementazione pratica di questi principi. L'applicazione consente di navigare, catturare e certificare pagine web con integrità forense completa. Ogni azione di cattura viene registrata in un audit trail immutabile con doppia marca temporale (orologio locale e tempo verificato via NTP su quattro server indipendenti), acquisizione dei metadati forensi completi (certificati SSL, risoluzioni DNS, traffico HTTP, rilevamento VPN e proxy) e firma digitale del pacchetto evidenziale.

La piattaforma TrueScreen è disponibile tramite app mobile, portale web, API e SDK, rendendo la certificazione accessibile a qualsiasi organizzazione indipendentemente dalle dimensioni o dalle competenze forensi interne.

Come implementare gli standard nella pratica quotidiana

L'implementazione degli standard internazionali per la conservazione delle prove digitali richiede un approccio strutturato che combini formazione, strumenti e procedure. Tre passaggi operativi permettono alle organizzazioni di avviare il processo.

Il primo passaggio è la mappatura delle fonti di evidenza: identificare tutti i sistemi, i dispositivi e i flussi di dati che potrebbero generare prove digitali rilevanti. L'ISO 27037 (sezione 5.4) richiede questa mappatura come prerequisito per qualsiasi programma di gestione delle evidenze. Per molte organizzazioni, le fonti principali includono email, documenti contrattuali, fotografie, registrazioni video, comunicazioni su piattaforme di messaggistica e dati provenienti da applicazioni web.

Il secondo passaggio è la definizione delle procedure di raccolta. Ogni tipo di evidenza richiede una procedura specifica: le evidenze volatili (memoria RAM, connessioni di rete) seguono la gerarchia di priorità definita dal NIST SP 800-86, mentre i contenuti web richiedono acquisizione forense con metadati completi secondo le linee guida SWGDE.

Il terzo passaggio è l'automazione. Gli standard non richiedono che ogni operazione sia manuale: richiedono che sia documentata, riproducibile e verificabile. Strumenti come TrueScreen automatizzano la conformità rendendo ogni acquisizione conforme by design, senza richiedere all'operatore conoscenze forensi approfondite.

Il quadro normativo europeo e italiano per le prove digitali

Gli standard tecnici operano all'interno di un quadro normativo che ne definisce il contesto giuridico. In Europa, il Regolamento eIDAS (UE 910/2014 e successivo eIDAS 2.0) stabilisce il framework per le firme digitali, i sigilli elettronici e le marche temporali qualificate, attribuendo a questi strumenti una presunzione legale di integrità e autenticità in tutti gli Stati membri.

In Italia, il Codice dell'Amministrazione Digitale (D.Lgs. 82/2005, aggiornato dal D.Lgs. 217/2017) definisce il valore giuridico dei documenti informatici e delle copie digitali. L'articolo 20 stabilisce che il documento informatico sottoscritto con firma digitale ha l'efficacia prevista dall'articolo 2702 del Codice Civile. Il D.Lgs. 108/2018, che recepisce la direttiva europea sull'ordine europeo di indagine, disciplina l'acquisizione transfrontaliera delle prove digitali.

Il Regolamento E-Evidenza (UE 2023/1543), pienamente applicabile da agosto 2026, introduce procedure standardizzate per la richiesta e il trasferimento delle prove elettroniche tra Stati membri dell'UE. Questo regolamento rende la conformità agli standard ISO ancora più rilevante, perché le prove digitali dovranno soddisfare requisiti di integrità riconosciuti a livello internazionale per essere utilizzabili in procedimenti transfrontalieri.

La Direttiva NIS2 (UE 2022/2555), in vigore dal 2024, impone alle organizzazioni in settori critici obblighi di conservazione delle evidenze digitali nell'ambito del reporting degli incidenti di sicurezza. Questa convergenza normativa conferma che la gestione strutturata delle prove digitali non è più un'opzione riservata ai laboratori forensi, ma un requisito operativo per qualsiasi organizzazione.

FAQ: Conservazione delle prove digitali e standard internazionali

Qual è la differenza tra ISO 27037 e ISO 27042 per le prove digitali?

L'ISO/IEC 27037 copre le fasi di identificazione, raccolta, acquisizione e conservazione delle evidenze digitali. L'ISO/IEC 27042 si concentra invece su analisi e interpretazione. I due standard sono complementari: il primo garantisce l'integrità della prova durante la raccolta, il secondo stabilisce come esaminarla mantenendo la riproducibilità del processo analitico.

Quali standard servono per rendere ammissibili le prove digitali in tribunale?

Per garantire l'ammissibilità delle prove digitali è necessario seguire standard che documentino la catena di custodia dal momento dell'acquisizione. L'ISO/IEC 27037 è il riferimento più riconosciuto a livello globale. In ambito statunitense, le linee guida SWGDE e il NIST SP 800-86 integrano i requisiti ISO con procedure operative specifiche per il sistema giudiziario federale.

Come si conserva una prova digitale senza alterarla?

La conservazione senza alterazione richiede tre elementi: copia forense bit-for-bit del contenuto originale, verifica dell'integrità tramite hash crittografico SHA-256 e documentazione completa della catena di custodia. Piattaforme di certificazione come TrueScreen automatizzano questi passaggi al momento dell'acquisizione, applicando firma digitale e marca temporale qualificata come prova di integrità.

Lo SWGDE è riconosciuto fuori dagli Stati Uniti?

Le linee guida SWGDE sono sviluppate per il contesto giudiziario nordamericano e hanno riconoscimento primario negli Stati Uniti e in Canada. Nei tribunali europei e internazionali, gli standard ISO/IEC 27037 e 27042 hanno maggiore riconoscimento formale. Tuttavia, le procedure SWGDE sono spesso citate come riferimento tecnico anche in contesti extra-statunitensi per il loro livello di dettaglio operativo.

Cosa richiede il Regolamento E-Evidence per le prove digitali transfrontaliere?

Il Regolamento E-Evidence (UE 2023/1543), pienamente applicabile da agosto 2026, introduce procedure per la richiesta e il trasferimento di prove elettroniche tra Stati membri dell'UE. Richiede che le prove soddisfino requisiti di integrità verificabili e che la catena di custodia sia documentata secondo standard riconosciuti, rendendo la conformità all'ISO 27037 particolarmente rilevante per le indagini transfrontaliere.

Proteggi le tue prove digitali con standard internazionali

TrueScreen certifica automaticamente ogni dato digitale con firma digitale, marca temporale qualificata e catena di custodia conforme agli standard ISO/IEC 27037.

Inizia ora

Richiedi una demo