{"id":56297,"date":"2026-04-17T19:02:01","date_gmt":"2026-04-17T17:02:01","guid":{"rendered":"https:\/\/truescreen.io\/articoli\/acquisizione-forense-pagine-web-iso-27037\/"},"modified":"2026-04-19T06:09:43","modified_gmt":"2026-04-19T04:09:43","slug":"acquisizione-forense-pagine-web-iso-27037","status":"publish","type":"articoli","link":"https:\/\/truescreen.io\/it\/articoli\/acquisizione-forense-pagine-web-iso-27037\/","title":{"rendered":"Acquisizione forense di pagine web: guida ISO 27037 per professionisti"},"content":{"rendered":"<p><div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-1 fusion-flex-container has-pattern-background has-mask-background nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:0px;--awb-padding-bottom:0px;--awb-margin-top:0px;--awb-margin-bottom:0px;--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-0 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><style>\n.fusion-title .fusion-title-heading { font-family: 'Raleway', sans-serif !important; }\n.fusion-text p, .fusion-text li, .fusion-text a, .fusion-text span, .fusion-text strong, .fusion-text b { font-family: 'DM Sans', sans-serif; }\n.fusion-button-text { font-family: 'DM Sans', sans-serif; }\n.panel-title a, .fusion-toggle-heading { font-family: 'DM Sans', sans-serif !important; }\n.toggle-content p { font-family: 'DM Sans', sans-serif; }\n.fusion-checklist .fusion-li-item-content p { font-family: 'DM Sans', sans-serif; }\n<\/style><\/div><\/div><\/div><\/div><div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-2 fusion-flex-container has-pattern-background has-mask-background nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:38.9913px;--awb-padding-bottom:39.9931px;--awb-padding-top-small:0px;--awb-padding-bottom-small:48px;--awb-margin-top:0px;--awb-margin-top-small:0px;--awb-margin-bottom-small:0px;--awb-background-color:var(--awb-color2);--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-1 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-title title fusion-title-1 fusion-sep-none fusion-title-text fusion-title-size-one\" style=\"--awb-text-color:var(--awb-color1);\"><h1 class=\"fusion-title-heading title-heading-left fusion-responsive-typography-calculated\" style=\"margin:0;--fontSize:36;--minFontSize:36;line-height:1.3;\"><h1>Acquisizione forense di pagine web: guida ISO 27037 per professionisti<\/h1><\/h1><\/div><\/div><\/div><\/div><\/div><div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-3 fusion-flex-container nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:36px;--awb-padding-bottom:48px;--awb-padding-top-small:40px;--awb-padding-bottom-small:0px;--awb-margin-bottom:0px;--awb-background-color:#ffffff;--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-2 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:0px;--awb-spacing-left-large:1.164%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-margin-bottom-small:0px;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><p>Nei contenziosi digitali di oggi, la prova principale vive quasi sempre su una pagina web. Diffamazione sui social, marchi contraffatti su un marketplace, concorrenza sleale, accordi stipulati online, condotte in chat pubbliche: tutta materia che sta su URL capaci di cambiare, sparire o essere modificati nel giro di poche ore. L'acquisizione forense di pagine web \u00e8 lo strumento tecnico e giuridico che trasforma questi contenuti mutevoli in prove opponibili.<\/p>\n<p>Uno screenshot, quello preso col tasto Stampa Schermo, in giudizio non regge. \u00c8 un'immagine facilmente alterabile, priva di metadati verificabili, senza alcun legame crittografico con il server che l'ha generata. La norma ISO\/IEC 27037 fornisce il quadro internazionale per acquisire prove digitali in modo difendibile, ma applicarla alle pagine web richiede conoscenze tecniche che pochi studi legali e consulenti padroneggiano davvero.<\/p>\n<p>Come si esegue un'acquisizione forense di pagine web giuridicamente valida? Catturando DOM, MHTML, certificato SSL, IP del server e metadati di ambiente in un processo conforme ISO 27037, sigillato con hash SHA-256 e marca temporale qualificata eIDAS, tracciato lungo una catena di custodia digitale documentata. Questa guida alla acquisizione forense di pagine web spiega cosa acquisire, perch\u00e9, e come eseguire ogni passaggio con rigore probatorio.<\/p>\n<h2>Perch\u00e9 uno screenshot non basta come prova digitale<\/h2>\n<p>A differenza di uno screenshot, l'acquisizione forense di pagine web raccoglie l'intero stato della pagina nel momento dell'osservazione, non solo la sua rappresentazione visiva. Uno screenshot \u00e8 un'immagine catturata dal sistema operativo: niente metadati tecnici sul server di origine, niente timestamp verificabile da terzi, niente hash crittografico che leghi il pixel al contenuto erogato. In giudizio, la controparte pu\u00f2 contestarne la genuinit\u00e0 con un disconoscimento qualificato ex art. 2712 c.c. e il peso probatorio crolla quasi subito. Lo ha ribadito la Cassazione Penale, Sez. III, con la sentenza n. 8736\/2018, quando ha ritenuto inutilizzabile un file immagine privo di marca temporale e hash crittografico come elemento di prova autonomo. La stessa logica guida l'art. 234-bis c.p.p., introdotto dalla <a href=\"https:\/\/rm.coe.int\/1680081561\" target=\"_blank\" rel=\"noopener\">Legge 48\/2008 di ratifica della Convenzione di Budapest (ETS 185)<\/a>, che richiede per la copia dei dati informatici garanzie di conformit\u00e0 all'originale e di immodificabilit\u00e0 verificabili. Lo screenshot puro non ne offre nessuna.<\/p>\n<p>Il problema non \u00e8 accademico. La Cassazione a Sezioni Unite, con la sentenza n. 11197\/2023, ha ribadito che messaggi e contenuti digitali sono utilizzabili come prova documentale solo se restano verificabili l'origine e l'affidabilit\u00e0 della riproduzione. L'ordinanza Cass. n. 1254\/2025 della Seconda sezione civile ha poi precisato che il disconoscimento generico non basta a smontare una riproduzione informatica: serve un disconoscimento \"chiaro, circostanziato, esplicito e tempestivo\" con elementi concreti di divergenza. Il rovescio della medaglia, per\u00f2, \u00e8 che la riproduzione deve arrivare robusta dal lato di chi la produce, ancorata al momento, al server e al contenuto reale con prove tecniche.<\/p>\n<p>Uno screenshot da solo non offre nulla di tutto questo. Non dimostra che quel pixel stesse sul sito alle 14:37 di un certo giorno; non dimostra che a servire la pagina fosse il dominio dichiarato; non dimostra che il contenuto non sia stato ritoccato con un editor d'immagini prima del deposito. Per capovolgere l'onere sul disconoscente, serve lavorare sulla metodologia di acquisizione. \u00c8 qui che entra ISO 27037, e in senso pi\u00f9 ampio il tema dell'<a href=\"https:\/\/truescreen.io\/it\/articoli\/ammissibilita-prove-digitali-guida\/\" target=\"_blank\" rel=\"noopener\">ammissibilit\u00e0 delle prove digitali<\/a> in tribunale.<\/p>\n<p>L'art. 2712 del codice civile, integrato nel 2005 con l'aggettivo \"informatiche\", stabilisce che le riproduzioni formano piena prova dei fatti rappresentati fino a quando non sono disconosciute. L'assetto premia chi arriva in causa con un corredo tecnico tale da rendere un disconoscimento generico insostenibile.<\/p>\n<h2>Cosa prevede la norma ISO 27037 per l'acquisizione di prove digitali<\/h2>\n<p>ISO\/IEC 27037:2012 definisce quattro processi operativi per il trattamento della prova digitale: identificazione (riconoscimento del materiale probatorio), raccolta (presa in carico fisica o logica), acquisizione (creazione della copia verificabile) e conservazione (preservazione nel tempo). Applicata all'acquisizione forense di pagine web, la norma obbliga a trattare ogni URL come una scena probatoria a s\u00e9, con protocolli tecnici e documentali tracciabili. Lo <a href=\"https:\/\/truescreen.io\/it\/articoli\/standard-internazionali-conservazione-prove-digitali\/\" target=\"_blank\" rel=\"noopener\">standard<\/a> \u00e8 pubblicato da ISO e IEC nel 2012 e adottato in Italia come UNI CEI EN ISO\/IEC 27037:2017. L'<a href=\"https:\/\/www.unodc.org\/cld\/en\/education\/tertiary\/cybercrime\/module-6\/key-issues\/digital-evidence-admissibility.html\" target=\"_blank\" rel=\"noopener\">UNODC E4J University Module on Digital Evidence<\/a> lo qualifica come il riferimento internazionale pi\u00f9 citato per l'ammissibilit\u00e0 della prova elettronica. \u00c8 anche il riferimento pi\u00f9 usato dai tribunali europei nelle consulenze tecniche d'ufficio, perch\u00e9 si applica tanto ai dispositivi fisici quanto alle pagine web, pur non avendo un capitolo dedicato al web.<\/p>\n<p>Lo standard, consultabile sulla pagina ufficiale <a href=\"https:\/\/www.iso.org\/standard\/44381.html\" target=\"_blank\" rel=\"noopener\">ISO 27037 (iso.org\/standard\/44381.html)<\/a> e adottato in Italia come UNI CEI EN ISO\/IEC 27037:2017, introduce due figure tecniche che vale la pena conoscere per nome. Il DEFR (Digital Evidence First Responder) \u00e8 la persona autorizzata e formata che agisce per prima sulla scena, spesso in condizioni di urgenza, per identificare, raccogliere e preservare la potenziale prova. Il DES (Digital Evidence Specialist) \u00e8 lo specialista con competenze tecniche pi\u00f9 avanzate, su sistemi operativi, reti e application forensics, che interviene nelle fasi complesse dell'acquisizione. Entrambi operano seguendo procedure documentate.<\/p>\n<p>I principi cardine, ripetuti nei paragrafi 5.3 e 5.4 dello standard, sono quattro: auditability (ogni azione deve essere tracciabile e verificabile da un terzo indipendente), repeatability (applicando le stesse procedure sugli stessi dati nelle stesse condizioni si devono ottenere gli stessi risultati), reproducibility (un altro esaminatore, con strumenti diversi, deve poter arrivare alle stesse conclusioni), justifiability (ogni scelta tecnica deve essere giustificabile). Sono principi, non opzioni: se anche uno solo salta, la difesa pu\u00f2 agganciare un disconoscimento qualificato e togliere peso alla prova.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\">Secondo ISO\/IEC 27037:2012, paragrafo 5.3, le azioni del primo responder devono minimizzare il trattamento del dato originale, documentare ogni passaggio e preservare la catena di custodia, in modo che un terzo competente possa riprodurre le conclusioni in modo indipendente. Lo stesso vale per l'acquisizione di contenuti online, dove il dato \"originale\" risiede su un server remoto e non \u00e8 fisicamente sequestrabile.<\/blockquote>\n<p>Sul web lo standard chiede pi\u00f9 rigore, non meno: il dato sta su un sistema terzo, l'ambiente \u00e8 live, non c'\u00e8 niente da spegnere. Ogni scelta del DEFR o del DES (tool, endpoint, timestamp, logging di rete) deve reggere in sede peritale. Nella <a href=\"https:\/\/truescreen.io\/it\/articoli\/digital-forensics-certification\/\" target=\"_blank\" rel=\"noopener\">che l\u2019informatica forense svolge un ruolo fondamentale.<\/a> moderna, rispettare ISO 27037 nell'acquisizione forense di pagine web vuol dire trattare ogni URL come una scena del crimine digitale, con protocolli analoghi a quelli di un disco rigido, adattati per\u00f2 all'ambiente di rete.<\/p>\n<h2>Cosa acquisire da una pagina web per avere valore probatorio<\/h2>\n<p>Una pagina web moderna non \u00e8 un documento: \u00e8 il risultato in tempo reale dell'interazione fra client, server, CDN, DNS, certificate authorities, runtime JavaScript e stato dell'utente. L'acquisizione forense di pagine web vuol dire mettere in un singolo dataset verificabile tutti i livelli che compongono la scena probatoria, non la sola immagine.<\/p>\n<p>Un'acquisizione forense di pagine web conforme ISO 27037 include almeno sei elementi tecnici distinti. Ciascuno copre un angolo di attacco difensivo che altrimenti resterebbe aperto, e non ne \u00e8 sostituibile da un altro. La tabella qui sotto riepiloga il perch\u00e9 di ognuno.<\/p>\n<div style=\"overflow-x: auto; margin: 24px 0; border-radius: 8px; border: 1px solid #e8e6f0;\"><table style=\"width: 100%; border-collapse: collapse; font-family: 'DM Sans', sans-serif; font-size: 14px; line-height: 1.5; min-width: 600px;\"><thead><tr><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Elemento<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Cosa dimostra<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Perch\u00e9 non pu\u00f2 mancare<\/th><\/tr><\/thead><tbody><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">DOM renderizzato<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Cosa l'utente ha effettivamente visto dopo l'esecuzione di JavaScript<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">I contenuti dinamici (SPA, feed, modali, cookie banner) non sono nell'HTML sorgente<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Archivio MHTML<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">La pagina completa con CSS, immagini, font, script in un singolo file<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Permette a un perito di riaprirla offline anche dopo anni, se il sito sparisce<\/td><\/tr><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Certificato SSL\/TLS<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Che al momento t il dominio ha presentato quella chiave pubblica firmata<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Blinda la prova contro contestazioni di MITM o spoofing del dominio<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">IP server e DNS<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Che il dominio risolveva a uno specifico host in una specifica geografia<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Permette correlazioni con registrar, ASN, giurisdizione<\/td><\/tr><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Hash SHA-256<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Che il dataset non \u00e8 stato modificato tra acquisizione e deposito<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">\u00c8 il pilastro dell'integrit\u00e0: due hash uguali, nessuna alterazione<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Marca temporale qualificata<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">La data e l'ora opponibili a terzi, con presunzione legale eIDAS<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Ancora la prova al momento, eliminando contestazioni cronologiche<\/td><\/tr><\/tbody><\/table><\/div>\n<h3>Il DOM renderizzato (stato reale della pagina)<\/h3>\n<p>Secondo le <a href=\"https:\/\/www.swgde.org\/wp-content\/uploads\/2024\/04\/2024-03-15-SWGDE-Best-Practices-for-Acquiring-Online-Content-21-F-001-1.1.pdf\" target=\"_blank\" rel=\"noopener\">SWGDE Best Practices for Acquiring Online Content 21-F-001 v1.1 (2024)<\/a> dello Scientific Working Group on Digital Evidence, catturare il DOM renderizzato \u00e8 il passaggio tecnico che distingue un'acquisizione forense di pagine web rigorosa da una cattura amatoriale. Il DOM (Document Object Model) \u00e8 la rappresentazione in memoria della pagina dopo che il browser ha interpretato l'HTML ed eseguito il JavaScript: corrisponde a ci\u00f2 che l'utente vede davvero, non a ci\u00f2 che il server ha inviato inizialmente. La differenza \u00e8 enorme. Su un'applicazione React, Angular o Vue, l'HTML iniziale pu\u00f2 essere quasi vuoto e tutto il contenuto testuale e visivo nasce dinamicamente nel DOM post-rendering. Anche il <a href=\"https:\/\/dom.spec.whatwg.org\/\" target=\"_blank\" rel=\"noopener\">W3C DOM Living Standard<\/a> lo specifica: il DOM \u00e8 la rappresentazione runtime della pagina, non la sua fonte.<\/p>\n<p>Una pagina di marketplace che mostra un prodotto contraffatto, un cookie banner con consenso catturato, un feed social che carica post su scroll: esistono solo dentro il DOM. Acquisire il solo HTML sorgente vuol dire salvare una pagina \"morta\", diversa da quella che l'utente ha visto davvero, e quindi non rappresentativa del fatto storico che si porta in causa.<\/p>\n<p>Tecnicamente il DOM si acquisisce serializzando l'<strong>outerHTML<\/strong> dell'elemento radice dopo il completo rendering, dentro un ambiente browser controllato. Sul risultato si calcola subito l'hash SHA-256, che diventa l'impronta crittografica di quello specifico stato pagina. Le stesse SWGDE indicano le API come metodo di acquisizione preferito quando disponibile, perch\u00e9 catturano sia il contenuto visibile sia i metadati altrimenti inaccessibili dall'interfaccia utente: strumenti che attendono la fine del ciclo di rendering prima di serializzare lo stato rispettano il requisito di fedelt\u00e0 previsto da ISO 27037.<\/p>\n<h3>L'archivio MHTML (snapshot self-contained)<\/h3>\n<p>L'MHTML \u00e8 un formato di archivio che racchiude la pagina HTML insieme a tutte le risorse collegate, CSS, immagini, JavaScript, font, media, in un singolo file. \u00c8 lo standard supportato nativamente dai browser Chromium ed \u00e8 il modo pi\u00f9 pulito per conservare una pagina come entit\u00e0 autosufficiente, riaprirla offline da un perito tecnico anche dopo anni.<\/p>\n<p>Perch\u00e9 conta? Perch\u00e9 il sito vero, l\u00e0 fuori, cambia di continuo. Le immagini vengono rimosse, i CSS riscritti, i CDN servono asset diversi, i domini passano di mano. Senza un archivio self-contained, anche una cattura impeccabile del DOM diventa in parte incomprensibile: manca il contesto visivo, mancano le risorse che ne davano significato. L'MHTML \u00e8 la forma tecnica moderna di quella che in letteratura si chiama <a href=\"https:\/\/truescreen.io\/it\/approfondimenti\/copia-forense-sito-web\/\" target=\"_blank\" rel=\"noopener\">copia forense sito web<\/a>, applicata al contenuto online dinamico.<\/p>\n<p>Sul fronte degli standard internazionali di archiviazione web esiste anche il formato WARC (ISO 28500:2017), usato da Library of Congress, British Library, Internet Archive e altre istituzioni di preservazione. Per un'<a href=\"https:\/\/truescreen.io\/it\/articoli\/certificazione-pagine-web\/\" target=\"_blank\" rel=\"noopener\">acquisizione forense certificata<\/a> episodica, MHTML di solito basta ed \u00e8 pi\u00f9 gestibile; per archiviazioni strutturate di grandi volumi, WARC \u00e8 preferibile. Sul fronte del software forense gratuito, strumenti open source come FAW (Forensic Acquisition of Websites) coprono casi d'uso di base, ma raramente soddisfano la normativa italiana sulla copia forense nei suoi requisiti pi\u00f9 stringenti di catena di custodia e marca temporale qualificata.<\/p>\n<h3>I certificati SSL\/TLS (identit\u00e0 server)<\/h3>\n<p>Il certificato SSL\/TLS server-side \u00e8 il documento X.509 presentato dal server durante l'handshake crittografico: lega il contenuto acquisito all'identit\u00e0 verificata del dominio che lo ha erogato. Funziona cos\u00ec: il browser riceve dal server un certificato firmato da una Certification Authority riconosciuta, verifica la catena di fiducia fino alla root CA e, solo se la validazione passa, accetta di trattare quel contenuto come proveniente dal dominio dichiarato. In un'acquisizione forense di pagine web, catturare questo certificato con la sua fingerprint SHA-256 significa congelare la prova crittografica che a quell'ora, su quell'URL, il contenuto arrivava davvero dal server legittimo. Il formato \u00e8 definito dalla <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc5280\" target=\"_blank\" rel=\"noopener\">RFC 5280 dell'IETF (X.509 Public Key Infrastructure)<\/a> e dalla policy delle principali CA (Mozilla CA Program, Apple Root Program, Microsoft Trusted Root Program), riconosciute in tutti i sistemi giuridici occidentali. Senza certificato, la provenienza \u00e8 un'affermazione verbale; con il certificato, \u00e8 un fatto crittografico opponibile.<\/p>\n<p>Se il certificato non viene catturato, la difesa pu\u00f2 sostenere che la pagina sia stata servita da un intermediario non autorizzato (MITM), da un server clone con DNS dirottato o da un ambiente di sviluppo allestito ad hoc. \u00c8 uno dei vettori di contestazione tecnica pi\u00f9 insidiosi, perch\u00e9 sposta la discussione dal contenuto alla sua provenienza.<\/p>\n<p>Operativamente si salva la fingerprint SHA-256 del certificato, l'intera catena di fiducia fino alla root CA e, quando possibile, si fanno verifiche OCSP o CRL contestuali. Un singolo elemento che pu\u00f2 trasformare una prova contestabile in una prova blindata, perch\u00e9 aggiunge un livello crittografico di attribuzione che non \u00e8 riproducibile da chi non controlla il dominio.<\/p>\n<h3>L'IP del server e la risoluzione DNS (origine tecnica)<\/h3>\n<p>La risoluzione DNS registrata al momento dell'acquisizione, con i record A, AAAA, CNAME, NS e dove utile lo snapshot WHOIS, dimostra che in quell'istante il dominio puntava a uno specifico indirizzo IP, e quindi a una specifica macchina. Un dato critico quando il dominio in seguito viene trasferito, sequestrato o ripulito.<\/p>\n<p>Il tema va oltre la pignoleria tecnica. Nel contrasto alla contraffazione online, al phishing o alla diffamazione organizzata, la giurisdizione del server, il provider di hosting e l'ASN di appartenenza sono spesso decisivi per individuare il responsabile e scegliere la strategia processuale. Acquisire DNS e IP vuol dire congelare informazioni che nel giro di una settimana potrebbero essere sparite.<\/p>\n<h3>I metadati forensi di acquisizione (timestamp, hash, device)<\/h3>\n<p>L'ultimo tassello riguarda l'ambiente di cattura. Una prova forense riproducibile richiede che un perito terzo sappia con quale browser, quale versione, quali estensioni, quale fuso orario, quale viewport, quale user-agent e quale configurazione di rete \u00e8 stata eseguita l'acquisizione. A questi si aggiungono il timestamp locale sincronizzato NTP, l'hash SHA-256 del bundle completo e la marca temporale qualificata eIDAS applicata sopra.<\/p>\n<p>Il Regolamento (UE) 910\/2014 <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ITA\" target=\"_blank\" rel=\"noopener\">eIDAS (art. 41-42)<\/a> \u00e8 lo strumento giuridico che trasforma un'informazione temporale auto-dichiarata in una presunzione legale. Una marca temporale qualificata gode di presunzione di accuratezza della data e dell'ora indicate e di integrit\u00e0 del dato collegato, riconosciuta in tutti gli Stati membri dell'Unione. Senza, la cronologia della cattura resta opponibile; con la marca, il momento dell'acquisizione diventa un fatto legalmente opponibile a terzi.<\/p>\n<h2>Il processo di acquisizione forense di pagine web passo passo<\/h2>\n<p>Un processo di acquisizione forense di pagine web conforme ISO 27037 si articola in tre momenti logici: preparazione dell'ambiente, acquisizione con catena di custodia, sigillatura finale. Rispettare la sequenza \u00e8 quello che distingue un'operazione difendibile in giudizio da una cattura amatoriale destinata a essere contestata al primo disconoscimento qualificato.<\/p>\n<p>Quello che segue traduce i principi dello standard in passaggi operativi di acquisizione forense di pagine web pensati per avvocati, CTU e consulenti forensi, con riferimenti alle best practices del <a href=\"https:\/\/csrc.nist.gov\/pubs\/sp\/800\/86\/final\" target=\"_blank\" rel=\"noopener\">NIST SP 800-86 (csrc.nist.gov\/pubs\/sp\/800\/86\/final)<\/a> e alle linee guida SWGDE gi\u00e0 citate.<\/p>\n<h3>Preparazione dell'ambiente (browser isolato e profilo pulito)<\/h3>\n<p>Prima di catturare qualsiasi cosa serve un ambiente controllato. Un browser commerciale usato tutti i giorni si porta dietro cookie, estensioni, dati di login, cache, impostazioni di A\/B testing, geolocalizzazione e altro ancora: elementi che cambiano cosa il server serve in risposta. Un'acquisizione forense di pagine web eseguita su un browser \"sporco\" non \u00e8 riproducibile da un perito indipendente, che sullo stesso URL otterrebbe una pagina diversa.<\/p>\n<p>La preparazione corretta prevede un browser forense dedicato o una sessione isolata, profilo pulito, nessuna estensione, clock sincronizzato via NTP verso una sorgente autorevole, lingua e fuso orario dichiarati nel log, eventuale tunneling documentato se si opera tramite VPN. Tutto questo va registrato nel verbale tecnico come parte del setup.<\/p>\n<p>Il documento ACPO (Association of Chief Police Officers, <a href=\"https:\/\/www.digital-detective.net\/digital-forensics-documents\/ACPO_Good_Practice_Guide_for_Digital_Evidence_v5.pdf\" target=\"_blank\" rel=\"noopener\">ACPO Good Practice Guide for Digital Evidence v5<\/a>), citato nelle corti europee insieme a ISO 27037, richiama quattro principi che si applicano anche qui: nessuna alterazione del dato, competenza dell'operatore, audit trail verificabile, responsabilit\u00e0 dell'investigatore. Un setup pulito \u00e8 la precondizione perch\u00e9 tutti e quattro reggano.<\/p>\n<h3>Acquisizione con catena di custodia digitale<\/h3>\n<p>La fase centrale dell'acquisizione forense di pagine web cattura in parallelo DOM, MHTML, screenshot full page, certificato SSL\/TLS, headers HTTP, DNS, IP e traffico di rete. Ogni elemento finisce in un log strutturato, firmato, con timestamp. Durante la cattura il traffico di rete va registrato tramite packet analyzer o proxy forense: SWGDE 21-F-001 lo richiede esplicitamente, perch\u00e9 serve a dimostrare l'assenza di redirect inaspettati, iniezioni o alterazioni in transito.<\/p>\n<p>La <a href=\"https:\/\/truescreen.io\/it\/articoli\/catena-custodia-digitale\/\" target=\"_blank\" rel=\"noopener\">catena di custodia digitale<\/a> \u00e8 il tessuto che tiene insieme tutta l'operazione. Risponde alle domande giuste: chi ha acquisito, quando, con quale strumento, con quale hash, dove \u00e8 stato conservato, chi vi ha avuto accesso dopo. Un log incompleto basta a far saltare l'audit trail e con esso la ripetibilit\u00e0 richiesta dallo standard. Per questo la catena di custodia non \u00e8 un allegato burocratico ma la struttura portante dell'ammissibilit\u00e0.<\/p>\n<p>Nei procedimenti penali italiani, gli artt. 244, 247, 254-bis e 260 c.p.p., insieme all'art. 234-bis introdotto dalla Legge 48\/2008 (ratifica della <a href=\"https:\/\/rm.coe.int\/1680081561\" target=\"_blank\" rel=\"noopener\">Convenzione di Budapest sul cybercrime (ETS 185)<\/a>), impongono che la copia dei dati informatici garantisca conformit\u00e0 all'originale e immodificabilit\u00e0. La catena di custodia \u00e8 il meccanismo tecnico che rende dimostrabile quel requisito.<\/p>\n<h3>Sigillatura con hash crittografico e marca temporale qualificata<\/h3>\n<p>L'ultima fase chiude la prova. Sul bundle completo (tutti i file singoli pi\u00f9 un manifest che li elenca con i relativi hash) si applica un hash SHA-256, un sigillo elettronico e una marca temporale qualificata conformi eIDAS. A quel punto la prova diventa legalmente opponibile nel tempo.<\/p>\n<p>Il meccanismo previsto dal Regolamento (UE) 910\/2014 \u00e8 duplice. Il sigillo elettronico qualificato gode di presunzione di integrit\u00e0 del dato e di correttezza dell'origine (art. 35). La marca temporale qualificata gode di presunzione di accuratezza della data e dell'ora e di integrit\u00e0 del dato collegato (art. 41). I due effetti combinati costruiscono una prova insieme crittografica e giuridica, riconosciuta automaticamente in tutti gli Stati membri UE.<\/p>\n<p>Lato Stati Uniti, la stessa logica \u00e8 sancita dalla <a href=\"https:\/\/www.law.cornell.edu\/rules\/fre\/rule_902\" target=\"_blank\" rel=\"noopener\">Federal Rule of Evidence 902(14)<\/a>: una copia digitale accompagnata da certificazione di una persona qualificata che ne attesta il digital identification process (tipicamente confronto di hash) \u00e8 self-authenticating, quindi non richiede testimonianza in aula. Un'acquisizione web sigillata con hash SHA-256 e certificazione formale entra in questa categoria e viaggia con iter abbreviato. Anche quando il contenzioso si svolge fuori dall'Unione, la combinazione ISO 27037 pi\u00f9 hash NIST-approved costruisce un ponte probatorio riconosciuto a livello internazionale. \u00c8 un aspetto che chi guarda solo al diritto interno trascura spesso, ma che diventa cruciale quando la controversia tocca piattaforme con giurisdizione estera.<\/p>\n<p>Hash pi\u00f9 marca temporale pi\u00f9 sigillo qualificato spostano il peso probatorio dal regime \"liberamente valutabile\" dell'art. 20 del CAD (D.Lgs. 82\/2005, artt. 20-23) al regime pieno dell'art. 2702 c.c. applicato analogicamente ex art. 2712: piena prova fino a disconoscimento qualificato. Nel processo \u00e8 una differenza operativa enorme.<\/p>\n<h2>Come TrueScreen implementa ISO 27037 per l'acquisizione web<\/h2>\n<p><a href=\"https:\/\/truescreen.io\/it\" target=\"_blank\" rel=\"noopener\">TrueScreen<\/a> \u00e8 l'infrastruttura di acquisizione forense di pagine web che esegue in automatico i requisiti ISO\/IEC 27037, dalla cattura alla conservazione, in un flusso unico verificabile. La metodologia forense applicata copre i quattro processi dello standard (identificazione, raccolta, acquisizione, conservazione) e aggiunge la certificazione con valore legale tramite sigillo elettronico qualificato e marca temporale qualificata eIDAS, fuori dallo scope formale di ISO 27037 ma decisivi per l'opponibilit\u00e0 in giudizio. A differenza dei tool generici, l'intero pipeline \u00e8 progettato intorno ai principi di auditability, repeatability, reproducibility e justifiability: ogni sessione parte da ambiente pulito, ogni elemento (DOM, MHTML, SSL\/TLS, IP, DNS, traffico di rete) viene catturato in parallelo e sigillato alla fonte con hash SHA-256 e marca temporale qualificata, ogni passaggio finisce in un log immutabile che un perito terzo pu\u00f2 riprodurre in modo indipendente. Per studi legali, CTU e compliance \u00e8 la differenza tra una prova pronta per il deposito e una cattura destinata a essere contestata.<\/p>\n<p>Il Forensic Browser \u00e8 il prodotto di riferimento per l'acquisizione ISO 27037 di pagine web. Isola ogni sessione in un ambiente pulito, senza cookie residui, senza estensioni, con clock sincronizzato NTP, e cattura in parallelo il DOM renderizzato dopo l'esecuzione di JavaScript, l'archivio MHTML self-contained, il certificato SSL\/TLS server-side con catena di fiducia, l'indirizzo IP risolto via DNS e la traccia di rete completa. Ogni acquisizione riceve un hash SHA-256 e una marca temporale qualificata eIDAS applicata direttamente alla fonte, e non dopo, quando i file sono gi\u00e0 stati esposti a possibili manipolazioni.<\/p>\n<p>La linea di prodotti TrueScreen utile per l'acquisizione web comprende il Forensic Browser, browser proprietario per pagine e contenuti dinamici pensato per sessioni forensi complete in ambiente isolato; il Web Portal, interfaccia browser per la cattura pagine, lo screen recording, la gestione delle evidenze e l'audit trail; la Chrome Extension, che integra la cattura forense nel browser gi\u00e0 usato dall'operatore per acquisizioni rapide; l'App per iOS e Android, quando chi acquisisce \u00e8 in campo; le API e gli SDK, primitive di certificazione per inserire l'acquisizione web in workflow enterprise (archiviazione continua di marketplace, monitoraggio social, pipeline di compliance).<\/p>\n<p>Sul piano della difendibilit\u00e0 in giudizio, TrueScreen copre i quattro principi di ISO 27037 in modo esplicito. L'auditability arriva dal log immutabile del Web Portal, che traccia chi ha acquisito, quando, con quali parametri e in quale ambiente. La repeatability viene dall'ambiente controllato e dal profilo pulito del Forensic Browser. La reproducibility \u00e8 supportata dalla documentazione completa di metadati, headers, DNS e ambiente. La justifiability vive nei referti tecnici PDF\/A firmati che accompagnano ogni acquisizione.<\/p>\n<p>Un esempio operativo. Uno studio legale specializzato in diritto d'autore deve acquisire quaranta annunci di un marketplace che espone prodotti contraffatti, prima che il venditore li rimuova. Con TrueScreen via API, in pochi minuti ottiene quaranta acquisizioni forensi complete (DOM, MHTML, SSL, IP, hash, marca temporale qualificata), ciascuna con il suo referto tecnico. Il giorno dopo il venditore tira gi\u00f9 gli annunci, ma il dataset forense resta opponibile e pronto per il deposito. La stessa dinamica vale per la certificazione di pagine web in casi di diffamazione social, concorrenza sleale, raccolta di prove online in procedimenti penali.<\/p>\n<p>Il tutto si inserisce in un perimetro pi\u00f9 ampio di garanzia della provenienza dei dati: lo stesso concetto di <a href=\"https:\/\/truescreen.io\/it\/digital-provenance\/\" target=\"_blank\" rel=\"noopener\">provenienza digitale<\/a> che guida le scelte di TrueScreen \u00e8 quello che permette di trattare una pagina web come un asset verificabile lungo tutto il suo ciclo di vita, non solo al momento della cattura.<\/p>\n<div class=\"ts-feature-banner\" style=\"margin: 40px 0; padding: 0; background-color: #f8f7fd; border-radius: 12px; display: flex; overflow: hidden; border: 1px solid rgba(0,0,0,0.06);\">\n  <div style=\"width: 160px; min-height: 140px; flex-shrink: 0; overflow: hidden;\">\n    <img decoding=\"async\" src=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png\" alt=\"Forensic Browser TrueScreen\" style=\"width: 100%; height: 100%; object-fit: cover;\" \/>\n  <\/div>\n  <div style=\"padding: 20px 24px; flex: 1; display: flex; flex-direction: column; justify-content: center;\">\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 12px; font-weight: 600; color: #7c6bc4; text-transform: uppercase; letter-spacing: 0.5px; margin: 0 0 6px 0;\">Funzionalit\u00e0<\/p>\n    <p style=\"font-family: 'Raleway', sans-serif; font-size: 17px; font-weight: 700; color: #1a1a2e; margin: 0 0 6px 0; line-height: 1.3;\">Forensic Browser<\/p>\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 14px; color: #555; margin: 0 0 12px 0; line-height: 1.4;\">Il browser forense proprietario di TrueScreen: ambiente isolato, cattura DOM e MHTML, hash SHA-256 e marca temporale qualificata in un unico flusso.<\/p>\n    <a href=\"https:\/\/truescreen.io\/it\/browser-forense\/\" style=\"font-family: &#039;DM Sans&#039;, sans-serif; font-size: 14px; font-weight: 600; color: #007afe; text-decoration: none; display: inline-block;\">Scopri di pi\u00f9 \u2192<\/a>\n  <\/div>\n<\/div>\n<h2>Errori comuni da evitare nell'acquisizione forense di pagine web<\/h2>\n<p>Le acquisizioni forensi di pagine web che saltano in giudizio cadono quasi sempre per gli stessi errori ricorrenti. Riconoscerli prima del fatto permette di costruire un processo difendibile e riduce il rischio di un disconoscimento qualificato capace di far decadere la prova.<\/p>\n<p>Ne ho elencati dieci, ricorrenti nei casi di acquisizione forense di pagine web che arrivano in causa con criticit\u00e0 tecniche, mappati sulle best practices SWGDE e NIST e sulla giurisprudenza italiana.<\/p>\n<ol>\n<li><strong>Catturare solo screenshot senza DOM e senza HTML post-rendering.<\/strong> Lo screenshot da solo \u00e8 debole e ampiamente contestabile. Serve anche il DOM serializzato pi\u00f9 il bundle delle risorse.<\/li>\n<li><strong>Omettere la cattura del certificato SSL\/TLS.<\/strong> Senza il certificato, la difesa pu\u00f2 sostenere che il contenuto provenisse da un server diverso da quello dichiarato. \u00c8 un vettore di contestazione facile da chiudere ma spesso dimenticato.<\/li>\n<li><strong>Operare con clock di sistema non sincronizzato NTP.<\/strong> Se il timestamp locale non \u00e8 ancorato a una sorgente autorevole, la cronologia dell'acquisizione \u00e8 vulnerabile. La marca temporale qualificata risolve in parte, ma solo su un ambiente NTP-certificato.<\/li>\n<li><strong>Calcolare l'hash solo sullo screenshot e non sul bundle.<\/strong> Il dataset forense \u00e8 il pacchetto aggregato. Serve hash SHA-256 del singolo elemento e hash del bundle completo, con manifest firmato.<\/li>\n<li><strong>Usare un browser \"sporco\" con cookie, cache ed estensioni.<\/strong> L'ambiente influenza il contenuto renderizzato. Senza un profilo pulito, l'acquisizione non \u00e8 riproducibile.<\/li>\n<li><strong>Non documentare la catena di custodia digitale.<\/strong> Chi, quando, con quale tool, dove \u00e8 stato conservato: sono requisiti ISO 27037. Senza log firmato, l'audit trail \u00e8 rotto.<\/li>\n<li><strong>Non loggare il traffico di rete durante l'acquisizione live.<\/strong> SWGDE 21-F-001 lo richiede esplicitamente. Serve per dimostrare l'assenza di redirect, iniezioni, alterazioni in transito.<\/li>\n<li><strong>Affidarsi al solo timestamp locale senza marca temporale qualificata.<\/strong> Il timestamp del computer \u00e8 auto-dichiarato. La marca qualificata eIDAS ha presunzione legale in tutta l'Unione. \u00c8 la differenza tra prova forte e prova contestabile.<\/li>\n<li><strong>Acquisire pagine dinamiche con tool pensati per HTML statico.<\/strong> Su React, Angular, Vue, feed infinite scroll, modali: se il tool non aspetta il rendering completo, cattura una pagina \"morta\" diversa da quella vista dall'utente.<\/li>\n<li><strong>Assumere che il server conservi per sempre la pagina originale.<\/strong> Le pagine cambiano, spariscono, vengono ridirette. L'acquisizione forense va eseguita al momento dell'evento. Aspettare anche solo ventiquattro ore pu\u00f2 significare aver perso l'unica copia utile.<\/li>\n<\/ol>\n<p>Chi cerca una checklist operativa per <a href=\"https:\/\/truescreen.io\/it\/articoli\/conservazione-prove-digitali-tribunale\/\" target=\"_blank\" rel=\"noopener\">conservare le prove digitali<\/a> dopo l'acquisizione trova nelle prassi citate una base solida. Ma la prima riga di difesa resta sempre la qualit\u00e0 del processo di cattura.<\/p>\n<div class=\"ts-feature-banner\" style=\"margin: 40px 0; padding: 0; background-color: #f8f7fd; border-radius: 12px; display: flex; overflow: hidden; border: 1px solid rgba(0,0,0,0.06);\">\n  <div style=\"width: 160px; min-height: 140px; flex-shrink: 0; overflow: hidden;\">\n    <img decoding=\"async\" src=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/preview-image-website.png\" alt=\"Come certificare una pagina web TrueScreen\" style=\"width: 100%; height: 100%; object-fit: cover;\" \/>\n  <\/div>\n  <div style=\"padding: 20px 24px; flex: 1; display: flex; flex-direction: column; justify-content: center;\">\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 12px; font-weight: 600; color: #7c6bc4; text-transform: uppercase; letter-spacing: 0.5px; margin: 0 0 6px 0;\">Funzionalit\u00e0<\/p>\n    <p style=\"font-family: 'Raleway', sans-serif; font-size: 17px; font-weight: 700; color: #1a1a2e; margin: 0 0 6px 0; line-height: 1.3;\">Come certificare una pagina web con valore legale<\/p>\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 14px; color: #555; margin: 0 0 12px 0; line-height: 1.4;\">Guida pratica TrueScreen alla certificazione di una pagina web: i passaggi operativi dall'URL alla prova opponibile in giudizio.<\/p>\n    <a href=\"https:\/\/truescreen.io\/it\/how-to-certify-a-web-page\/\" style=\"font-family: &#039;DM Sans&#039;, sans-serif; font-size: 14px; font-weight: 600; color: #007afe; text-decoration: none; display: inline-block;\">Scopri di pi\u00f9 \u2192<\/a>\n  <\/div>\n<\/div>\n<h2>Un processo, non un file: cosa portare davanti al giudice<\/h2>\n<p>L'acquisizione forense di pagine web come prova non \u00e8 un'operazione da stampa-PDF del browser. \u00c8 un processo tecnico-giuridico che parte dall'identificazione del contenuto, passa per un ambiente di cattura isolato e documentato, produce un dataset con DOM, MHTML, certificato SSL, IP, DNS e metadati, si chiude con un hash SHA-256 e una marca temporale qualificata eIDAS lungo una catena di custodia tracciabile. Senza questa filiera, anche la pagina pi\u00f9 rilevante rischia di crollare al primo disconoscimento qualificato.<\/p>\n<p>ISO\/IEC 27037, con il supporto delle best practices SWGDE e NIST, dei principi ACPO e del quadro eIDAS, fornisce il protocollo di riferimento per l'acquisizione forense di pagine web opponibile in giudizio. Tradurlo in prassi operativa quotidiana richiede strumenti pensati per l'acquisizione forense, non prodotti generici adattati al bisogno. TrueScreen \u00e8 stata costruita proprio per questo: chiudere con rigore la catena dall'acquisizione alla conservazione, per ogni pagina web che pu\u00f2 servire in una vertenza civile, penale, amministrativa o in un contenzioso con profili transfrontalieri.<\/p>\n<p>Per studi legali, CTU, compliance officer e team enterprise che gestiscono volumi crescenti di contenziosi digitali, la domanda non \u00e8 pi\u00f9 se fare acquisizione forense di pagine web. La domanda \u00e8 se farla con un processo difendibile, oppure rischiare ogni volta che la controparte capisca dove colpire.<\/p><\/div><\/div><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-3 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-blend:overlay;--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-flex-justify-content-flex-start fusion-content-layout-column\"><section class=\"faq faq-truescreen\" aria-labelledby=\"faq-title\">\n<h2 id=\"faq-title\">FAQ: acquisizione forense di pagine web e ISO 27037<\/h2>\n<div class=\"faq-list\">\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Quali sono i requisiti della norma ISO 27037 per l'acquisizione forense di pagine web?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">ISO\/IEC 27037:2012 chiede che il processo di acquisizione rispetti quattro principi: verificabilit\u00e0 (ogni azione tracciabile da un terzo indipendente), ripetibilit\u00e0 (stessi risultati nelle stesse condizioni), riproducibilit\u00e0 (conclusioni confermabili con strumenti diversi) e giustificabilit\u00e0 (ogni scelta tecnica motivabile). Lo standard distingue tra Digital Evidence First Responder (DEFR) e Digital Evidence Specialist (DES), pretende la minimizzazione del trattamento del dato originale e una documentazione completa della catena di custodia. L'adozione italiana \u00e8 UNI CEI EN ISO\/IEC 27037:2017.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Uno screenshot con timestamp basta come prova in tribunale?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">Da solo \u00e8 debole. Uno screenshot con timestamp dichiarato dal sistema operativo non offre alcuna prova crittografica dell'integrit\u00e0 n\u00e9 del legame con il server sorgente. La Cassazione SU 11197\/2023 e l'ordinanza 1254\/2025 ammettono le riproduzioni informatiche come prova documentale solo se origine e affidabilit\u00e0 sono verificabili, e un disconoscimento qualificato pu\u00f2 neutralizzarne il valore probatorio senza grossa fatica. Per reggere in giudizio serve una copia forense completa con hash SHA-256 e marca temporale qualificata eIDAS.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Cos'\u00e8 il DOM e perch\u00e9 conta nell'acquisizione forense di pagine web?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">Il DOM (Document Object Model) \u00e8 la rappresentazione in memoria della pagina dopo che il browser ha interpretato l'HTML ed eseguito il JavaScript. Corrisponde a ci\u00f2 che l'utente vede davvero, diverso dall'HTML sorgente ricevuto dal server. Su applicazioni React, Angular o Vue, buona parte dei contenuti esiste solo dentro il DOM post-rendering. In un'acquisizione forense di pagine web, catturare il solo HTML iniziale vuol dire salvare una pagina incompleta, non rappresentativa di cosa \u00e8 apparso sullo schermo. Il DOM serializzato \u00e8 il cuore tecnico di un'acquisizione forense di pagine web difendibile.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Qual \u00e8 la differenza tra MHTML e un normale screenshot?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">Uno screenshot \u00e8 solo un'immagine della pagina: niente codice, niente risorse, niente metadati tecnici. L'MHTML \u00e8 un archivio self-contained che racchiude HTML, CSS, immagini, script, font e media dentro un singolo file. Un perito tecnico pu\u00f2 riaprirlo offline anche a distanza di anni, quando il sito originale non esiste pi\u00f9. In termini probatori, lo screenshot illustra; l'MHTML documenta.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Perch\u00e9 devo acquisire il certificato SSL di una pagina web?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">Il certificato SSL\/TLS lega crittograficamente il contenuto acquisito all'identit\u00e0 verificata del dominio che lo ha erogato. Se non lo cattura nessuno, la difesa pu\u00f2 sostenere che la pagina provenisse da un server clone, da un attacco MITM o da un ambiente di sviluppo ad hoc. Acquisire il certificato con fingerprint SHA-256, catena di fiducia fino alla root CA e verifica OCSP\/CRL trasforma la provenienza in un fatto crittografico opponibile, difficilmente aggirabile dal disconoscimento qualificato.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Chi pu\u00f2 effettuare l'acquisizione forense di pagine web secondo ISO 27037?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">ISO\/IEC 27037 identifica due figure: il DEFR (Digital Evidence First Responder), personale autorizzato e formato che agisce per primo sulla scena, e il DES (Digital Evidence Specialist), specialista con competenze avanzate su sistemi operativi, reti e application forensics. Nella pratica italiana la figura tipica \u00e8 il CTU informatico forense o il consulente tecnico di parte. Lo standard pretende che chi opera sia competente e in grado di giustificare ogni scelta tecnica: senza questa premessa, il lavoro non \u00e8 ripetibile n\u00e9 verificabile da un terzo.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Quanto tempo si conserva una prova web acquisita forensicamente?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">Una prova web sigillata con hash SHA-256 e marca temporale qualificata eIDAS ha validit\u00e0 probatoria potenzialmente illimitata, a patto che la catena di custodia digitale resti integra e che gli algoritmi crittografici non diventino obsoleti. Il Regolamento (UE) 2024\/1183 (eIDAS 2.0) ha introdotto qualified electronic archiving services pensati proprio per la conservazione a lungo termine delle acquisizioni. Nella prassi italiana la conservazione va dimensionata rispetto ai termini di prescrizione del contenzioso di riferimento, con margini di sicurezza.<\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Un'acquisizione fatta con TrueScreen \u00e8 valida anche fuori dall'Italia?<\/span><br \/>\n<span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\">S\u00ec. TrueScreen combina conformit\u00e0 ISO\/IEC 27037 (standard internazionale), sigillo elettronico qualificato e marca temporale qualificata eIDAS (riconosciuti automaticamente in tutti gli Stati membri UE ai sensi degli artt. 35 e 41 del Regolamento 910\/2014) e hash SHA-256 NIST-approved. Negli Stati Uniti questa combinazione soddisfa i requisiti della Federal Rule of Evidence 902(14) per la self-authentication. Sul piano del diritto internazionale, la Convenzione di Budapest sul cybercrime (ETS 185) copre l'accesso transfrontaliero e la preservazione delle prove elettroniche.<\/div>\n<\/details>\n<\/div>\n<\/section><\/div><\/div><\/div><\/div><div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-4 fusion-flex-container nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:80px;--awb-padding-bottom:80px;--awb-padding-top-small:40px;--awb-padding-bottom-small:110px;--awb-margin-bottom:0px;--awb-background-color:#ffffff;--awb-background-image:linear-gradient(180deg, var(--awb-color3) 0%,var(--awb-color3) 100%);--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-4 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-padding-top:36px;--awb-padding-right:36px;--awb-padding-bottom:36px;--awb-padding-left:36px;--awb-overflow:hidden;--awb-bg-color:var(--awb-color2);--awb-bg-color-hover:var(--awb-color2);--awb-bg-size:cover;--awb-border-radius:8px 8px 8px 8px;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-builder-row fusion-builder-row-inner fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"width:103% !important;max-width:103% !important;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column_inner fusion-builder-nested-column-0 fusion_builder_column_inner_2_3 2_3 fusion-flex-column fusion-flex-align-self-center\" style=\"--awb-bg-size:cover;--awb-width-large:66.666666666667%;--awb-margin-top-large:0px;--awb-spacing-right-large:2.1825%;--awb-margin-bottom-large:0px;--awb-spacing-left-large:2.1825%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-title title fusion-title-2 fusion-sep-none fusion-title-text fusion-title-size-two\" style=\"--awb-text-color:var(--awb-color1);--awb-margin-top:-40px;--awb-margin-top-small:-32px;\"><h2 class=\"fusion-title-heading title-heading-left fusion-responsive-typography-calculated\" style=\"margin:0;--fontSize:32;--minFontSize:32;line-height:1.3;\"><h2>Acquisizioni web ISO 27037 con TrueScreen<\/h2><\/h2><\/div><div class=\"fusion-text fusion-text-1 fusion-text-no-margin\" style=\"--awb-font-size:18px;--awb-text-color:var(--awb-color1);--awb-margin-bottom:32px;\"><p><span style=\"letter-spacing: 0.24px; background-color: rgba(0, 0, 0, 0);\">Dalla cattura del DOM alla marca temporale qualificata: genera prove web opponibili in giudizio in pochi secondi, con TrueScreen.<\/span><\/p>\n<\/div><div ><a class=\"fusion-button button-flat fusion-button-default-size button-default fusion-button-default button-1 fusion-button-default-span fusion-button-default-type\" target=\"_self\" href=\"https:\/\/portal.truescreen.io\/signin\/\"><span class=\"fusion-button-text\">Inizia ora<\/span><\/a><\/div><div class=\"fusion-separator fusion-full-width-sep\" style=\"align-self: center;margin-left: auto;margin-right: auto;margin-top:12px;width:100%;\"><\/div><div ><a class=\"fusion-button button-flat fusion-button-default-size button-custom fusion-button-default button-2 fusion-button-default-span\" style=\"--button_accent_color:var(--awb-color1);--button_border_color:rgba(255,255,255,0.3);--button_accent_hover_color:var(--awb-color1);--button_border_hover_color:var(--awb-color1);--button_border_width-top:1px;--button_border_width-right:1px;--button_border_width-bottom:1px;--button_border_width-left:1px;--button_gradient_top_color:rgba(0,0,0,0);--button_gradient_bottom_color:rgba(0,0,0,0);--button_gradient_top_color_hover:rgba(255,255,255,0.1);--button_gradient_bottom_color_hover:rgba(255,255,255,0.1);\" target=\"_self\" href=\"https:\/\/truescreen.io\/it\/contattaci\/\"><span class=\"fusion-button-text\">Richiedi una demo<\/span><\/a><\/div><\/div><\/div><div class=\"fusion-layout-column fusion_builder_column_inner fusion-builder-nested-column-1 fusion_builder_column_inner_1_3 1_3 fusion-flex-column fusion-flex-align-self-center fusion-no-small-visibility fusion-no-medium-visibility\" style=\"--awb-bg-size:cover;--awb-width-large:33.333333333333%;--awb-margin-top-large:0px;--awb-spacing-right-large:4.365%;--awb-margin-bottom-large:0px;--awb-spacing-left-large:4.365%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-image-element\" style=\"--awb-max-width:300px;--awb-caption-title-font-family:var(--h2_typography-font-family);--awb-caption-title-font-weight:var(--h2_typography-font-weight);--awb-caption-title-font-style:var(--h2_typography-font-style);--awb-caption-title-size:var(--h2_typography-font-size);--awb-caption-title-transform:var(--h2_typography-text-transform);--awb-caption-title-line-height:var(--h2_typography-line-height);--awb-caption-title-letter-spacing:var(--h2_typography-letter-spacing);\"><span class=\"fusion-imageframe imageframe-none imageframe-1 hover-type-none\"><img decoding=\"async\" width=\"1204\" height=\"1208\" alt=\"applicazione mockup\" title=\"Intestazione mobile\" src=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png\" class=\"img-responsive wp-image-45466\" srcset=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-200x201.png 200w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-400x401.png 400w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-600x602.png 600w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-800x803.png 800w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-1200x1204.png 1200w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png 1204w\" sizes=\"(max-width: 1024px) 100vw, (max-width: 640px) 100vw, 400px\" \/><\/span><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/p>","protected":false},"featured_media":56302,"template":"","class_list":["post-56297","articoli","type-articoli","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/articoli\/56297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/articoli"}],"about":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/types\/articoli"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/media\/56302"}],"wp:attachment":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/media?parent=56297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}