{"id":56972,"date":"2026-05-14T20:28:50","date_gmt":"2026-05-14T18:28:50","guid":{"rendered":"https:\/\/truescreen.io\/articoli\/iso-27037-norma-prove-digitali\/"},"modified":"2026-05-14T20:30:32","modified_gmt":"2026-05-14T18:30:32","slug":"iso-27037-norma-prove-digitali","status":"publish","type":"articoli","link":"https:\/\/truescreen.io\/it\/articoli\/iso-27037-norma-prove-digitali\/","title":{"rendered":"ISO\/IEC 27037: la norma per la gestione delle prove digitali"},"content":{"rendered":"<p><div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-1 fusion-flex-container has-pattern-background has-mask-background nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:0px;--awb-padding-bottom:0px;--awb-margin-top:0px;--awb-margin-bottom:0px;--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-0 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><style>\n.fusion-title .fusion-title-heading { font-family: 'Raleway', sans-serif !important; }\n.fusion-text p, .fusion-text li, .fusion-text a, .fusion-text span, .fusion-text strong, .fusion-text b { font-family: 'DM Sans', sans-serif; }\n.fusion-button-text { font-family: 'DM Sans', sans-serif; }\n.panel-title a, .fusion-toggle-heading { font-family: 'DM Sans', sans-serif !important; }\n.toggle-content p { font-family: 'DM Sans', sans-serif; }\n.fusion-checklist .fusion-li-item-content p { font-family: 'DM Sans', sans-serif; }\n<\/style><\/div><\/div><\/div><\/div><br \/>\n<div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-2 fusion-flex-container has-pattern-background has-mask-background nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:38.9913px;--awb-padding-bottom:39.9931px;--awb-padding-top-small:0px;--awb-padding-bottom-small:48px;--awb-margin-top:0px;--awb-margin-top-small:0px;--awb-margin-bottom-small:0px;--awb-background-color:var(--awb-color2);--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-1 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-title title fusion-title-1 fusion-sep-none fusion-title-text fusion-title-size-one\" style=\"--awb-text-color:var(--awb-color1);\"><h1 class=\"fusion-title-heading title-heading-left fusion-responsive-typography-calculated\" style=\"margin:0;--fontSize:36;--minFontSize:36;line-height:1.3;\"><h1>ISO\/IEC 27037: la norma per la gestione delle prove digitali<\/h1><\/h1><\/div><\/div><\/div><\/div><\/div><br \/>\n<div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-3 fusion-flex-container nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:36px;--awb-padding-bottom:48px;--awb-padding-top-small:40px;--awb-padding-bottom-small:0px;--awb-margin-bottom:0px;--awb-background-color:#ffffff;--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-2 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:0px;--awb-spacing-left-large:1.164%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-margin-bottom-small:0px;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><p>Quando un'evidenza digitale viene contestata in giudizio, il primo punto di attacco della controparte non \u00e8 quasi mai il contenuto: \u00e8 il modo in cui \u00e8 stata acquisita. La ISO\/IEC 27037 nasce per rispondere a questo problema e definisce come identificare, raccogliere, acquisire e conservare le prove digitali in modo da renderle ammissibili davanti a un giudice, a un'autorit\u00e0 di vigilanza o a un revisore. Pubblicata dall'ISO nel 2012 e recepita in Italia come UNI CEI EN ISO\/IEC 27037:2017, \u00e8 il riferimento operativo per perizie, contenziosi e incident response. Questa guida spiega cosa prevede, ruoli, principi e processi, il quadro normativo IT\/UE e gli errori che invalidano pi\u00f9 spesso una prova digitale.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>Definizione operativa<\/strong>\nLa ISO\/IEC 27037:2012, recepita in Italia come UNI CEI EN ISO\/IEC 27037:2017, \u00e8 la norma internazionale che fornisce le linee guida per identificare, raccogliere, acquisire e conservare le prove digitali in modo da renderle ammissibili in giudizio e utilizzabili in procedimenti investigativi, contenziosi civili, contestazioni amministrative e indagini interne. La norma definisce due ruoli operativi (Digital Evidence First Responder, DEFR, e Digital Evidence Specialist, DES) e quattro principi di qualit\u00e0: auditabilit\u00e0 (auditability), ripetibilit\u00e0 (repeatability), riproducibilit\u00e0 (reproducibility), giustificabilit\u00e0 (justifiability). Si applica a qualsiasi supporto: dispositivi mobili, computer, sistemi di videosorveglianza, log di rete, contenuti web e sistemi cloud accessibili tramite endpoint controllato. Fa parte di una famiglia di quattro standard (ISO\/IEC 27037, 27041, 27042, 27043) che coprono l'intero ciclo della prova digitale, dall'identificazione fino alla presentazione, e si integra con eIDAS per la marca temporale qualificata e il sigillo elettronico qualificato.<\/p><\/blockquote>\n<h2>Cos'\u00e8 la ISO\/IEC 27037 e perch\u00e9 esiste<\/h2>\n<p>La ISO\/IEC 27037 \u00e8 una linea guida internazionale che stabilisce regole minime per il trattamento delle prove digitali nelle fasi iniziali. Non \u00e8 certificabile come la ISO 27001: fornisce una metodologia che professionisti, periti e aziende devono dimostrare di aver seguito.<\/p>\n<h3>La definizione ufficiale della norma<\/h3>\n<p>Il titolo ufficiale \u00e8 \"Information technology, Security techniques, Guidelines for identification, collection, acquisition and preservation of digital evidence\". Sviluppata dal sottocomitato ISO\/IEC JTC 1\/SC 27, copre prove digitali \"potenziali\" indipendentemente dal supporto: dispositivi mobili, computer, hard disk, log di rete, contenuti web, sistemi cloud. Non entra nel merito dell'analisi forense in laboratorio, competenza della ISO\/IEC 27042.<\/p>\n<h3>Il problema che risolve: prova digitale fragile e ammissibilit\u00e0<\/h3>\n<p>Una prova digitale \u00e8 fragile. Una marca temporale pu\u00f2 essere modificata, un file riscritto senza tracce, un'acquisizione affrettata pu\u00f2 sovrascrivere dati volatili. Senza un protocollo condiviso, ogni perito agirebbe in modo diverso e la controparte potrebbe sempre eccepire che la prova \u00e8 stata contaminata.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>Il problema risolto dalla norma<\/strong>\nPrima della ISO\/IEC 27037, l'acquisizione di prove digitali in Europa avveniva con metodi eterogenei, ispirati a linee guida nazionali (ACPO nel Regno Unito, SWGDE negli Stati Uniti, NIST SP 800-86 per la gestione tecnica degli incidenti). La conseguenza era una frequente eccezione di inammissibilit\u00e0 in giudizio per prove acquisite senza catena di custodia documentata e una difficolt\u00e0 sistematica nei contenziosi cross-border, dove ciascuna parte richiamava una linea guida diversa. La norma risolve il problema fornendo un linguaggio comune, ruoli definiti, principi di qualit\u00e0 misurabili e processi sequenziali. Per la prima volta un perito italiano, un investigatore tedesco e un consulente francese possono dichiarare di aver seguito lo stesso protocollo, riducendo lo spazio di contestazione metodologica. L'ammissibilit\u00e0 diventa difendibile quando i quattro principi sono documentati passo dopo passo con artefatti tecnici verificabili da un terzo qualificato.<\/p><\/blockquote>\n<h3>A chi si rivolge: professionisti, periti, aziende<\/h3>\n<p>Periti informatici e CTU la usano in perizia. Team di incident response vi si appoggiano durante un attacco. Consulenti legali e DPO la richiamano nei contratti con fornitori. Le Forze dell'Ordine la applicano ex artt. 244, 247 e 254-bis c.p.p. Aziende che gestiscono dati sensibili (banche, assicurazioni, sanit\u00e0, telco) hanno interesse a integrarne i principi nei processi di conformit\u00e0.<\/p>\n<h2>Struttura della norma e principi cardine<\/h2>\n<p>La ISO\/IEC 27037 si articola in cinque parti: scope, riferimenti normativi, termini e definizioni, panoramica e processi operativi. La parte pi\u00f9 citata \u00e8 quella sui processi, ma il vero motore concettuale sono i principi cardine, che traducono l'ammissibilit\u00e0 in requisiti tecnici verificabili.<\/p>\n<h3>Storia: dalla ISO\/IEC 27037:2012 alla UNI CEI EN 27037:2017<\/h3>\n<p>Pubblicata dall'ISO il 15 ottobre 2012, adottata dal CEN nel 2016 e recepita in Italia nel 2017 come UNI CEI EN ISO\/IEC 27037:2017. Una revisione (2024) \u00e8 in lavorazione ma non ancora pubblicata.<\/p>\n<h3>Ambito di applicazione e cosa la norma NON copre<\/h3>\n<p>La norma copre la gestione iniziale della prova (identificazione, raccolta, acquisizione, conservazione). Non copre l'analisi del contenuto, l'interpretazione e la presentazione in tribunale (materie di ISO\/IEC 27042 e 27043), n\u00e9 le responsabilit\u00e0 giuridiche locali, che restano materia del diritto nazionale.<\/p>\n<h3>I quattro principi fondamentali<\/h3>\n<p>I quattro principi di qualit\u00e0 sono il cuore della norma e ricorrono in ogni processo: sono ci\u00f2 che un giudice si aspetter\u00e0 di trovare nel verbale di perizia.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>I quattro principi della ISO\/IEC 27037<\/strong>\n1. <strong>Auditability<\/strong> (auditabilit\u00e0): ogni azione svolta sulla prova deve poter essere ricostruita da un terzo qualificato, attraverso log, screenshot, hash e verbali. Non basta dire cosa \u00e8 stato fatto, occorre poterlo dimostrare con artefatti tecnici verificabili in qualsiasi momento successivo.\n2. <strong>Repeatability<\/strong> (ripetibilit\u00e0): la stessa procedura, eseguita dalla stessa persona sullo stesso sistema con gli stessi strumenti, deve produrre gli stessi risultati. \u00c8 il criterio del laboratorio, fondamentale per la verifica interna.\n3. <strong>Reproducibility<\/strong> (riproducibilit\u00e0): la stessa procedura, eseguita da persone diverse con strumenti equivalenti, deve produrre risultati comparabili. \u00c8 il criterio scientifico, fondamentale per la verifica esterna da parte di un secondo perito o di un consulente d'ufficio.\n4. <strong>Justifiability<\/strong> (giustificabilit\u00e0): ogni scelta tecnica, anche quando deroga dai principi precedenti (per esempio sistemi che non possono essere spenti o prove deperibili), deve essere motivata e documentata nel verbale di acquisizione.<\/p><\/blockquote>\n<p>I principi si rinforzano a vicenda. Un'acquisizione auditabile ma non riproducibile, eseguita con uno script personale non documentato, \u00e8 esposta a contestazione perch\u00e9 un secondo perito non pu\u00f2 verificare il risultato.<\/p>\n<h2>I ruoli operativi: DEFR e DES<\/h2>\n<p>La norma definisce due ruoli operativi distinti. Sono ruoli, non titoli: la stessa persona pu\u00f2 ricoprirli entrambi a seconda della formazione e dell'autorizzazione. Il distinguo chiarisce chi pu\u00f2 fare cosa nelle prime ore di un'indagine.<\/p>\n<h3>Chi \u00e8 il Digital Evidence First Responder (DEFR)<\/h3>\n<p>Il DEFR \u00e8 la persona autorizzata a intervenire sulla scena, identificare i sistemi rilevanti, raccoglierli o acquisirli in sicurezza. Non analizza la prova, la mette in condizione di essere analizzata. Le competenze richieste includono conoscenza dei dispositivi, valutazione della volatilit\u00e0 dei dati, dimestichezza con write blocker e imaging forense, capacit\u00e0 di documentare la scena.<\/p>\n<h3>Chi \u00e8 il Digital Evidence Specialist (DES)<\/h3>\n<p>Il DES \u00e8 il professionista autorizzato a operare su sistemi complessi: RAID, ambienti virtualizzati, cloud, dispositivi di rete enterprise, sistemi industriali. Viene coinvolto quando serve un intervento specialistico per non perdere dati volatili.<\/p>\n<h3>DEFR vs DES: differenze, competenze, responsabilit\u00e0<\/h3>\n<p>La distinzione \u00e8 meno netta nella prassi italiana, dove spesso un consulente copre entrambi i ruoli. La norma resta utile come griglia di responsabilit\u00e0: separarli costringe a documentare chi \u00e8 autorizzato a fare cosa.<\/p>\n<div style=\"overflow-x: auto; margin: 24px 0; border-radius: 8px; border: 1px solid #e8e6f0;\"><table style=\"width: 100%; border-collapse: collapse; font-family: 'DM Sans', sans-serif; font-size: 14px; line-height: 1.5; min-width: 600px;\"><thead><tr><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Caratteristica<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">DEFR<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">DES<\/th><\/tr><\/thead><tbody><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Ambito<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Identificazione, raccolta e acquisizione base<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Acquisizione su sistemi complessi (RAID, cloud, virtualizzati, industriali)<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Competenze<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Dispositivi, write blocker, imaging, verbale, fotografia della scena<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Architetture enterprise, dump memoria, acquisizione live, sistemi distribuiti<\/td><\/tr><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Autorit\u00e0<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Riceve mandato dal committente (azienda, magistrato, autorit\u00e0)<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Interviene su delega del DEFR o sotto mandato diretto<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Output<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Verbale di sopralluogo, copia forense, hash, log catena di custodia<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Immagine bit-stream di sistemi complessi, dump di memoria volatile<\/td><\/tr><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Esempio<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Laptop sequestrato: fotografia sigilli, write blocker, imaging<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Cluster Hyper-V con VM attive da preservare in stato di esecuzione<\/td><\/tr><\/tbody><\/table><\/div>\n<h2>I quattro processi della ISO\/IEC 27037<\/h2>\n<p>Il cuore operativo della norma \u00e8 la sequenza dei quattro processi. Non \u00e8 rigida: in scenari reali si itera. Ogni processo va per\u00f2 documentato come tale.<\/p>\n<h3>Identification: cosa cercare e dove<\/h3>\n<p>Il primo processo mappa i sistemi rilevanti, ne valuta lo stato (acceso o spento, connesso, criptato) e il rischio di perdita di dati volatili. In un attacco ransomware spegnere la macchina fa perdere RAM, processi attivi e chiavi di cifratura. Si decide cosa acquisire prima sulla base della \"order of volatility\".<\/p>\n<h3>Collection: spostare l'evidenza fuori dalla scena<\/h3>\n<p>La raccolta trasferisce la prova nell'ambiente sicuro dove sar\u00e0 acquisita, quando il sistema pu\u00f2 essere spento. Richiede etichettatura, sigilli, documentazione fotografica e custodia continua. Senza sigilli la prova perde una parte significativa del valore probatorio.<\/p>\n<h3>Acquisition: creazione della copia forense (bit-stream image)<\/h3>\n<p>L'acquisizione \u00e8 il momento tecnico pi\u00f9 delicato. La norma chiede una copia \"bit-per-bit\" del supporto (bit-stream image) con hash di integrit\u00e0. La copia non deve introdurre modifiche all'originale: per questo si usano write blocker. Quando il sistema non pu\u00f2 essere spento si procede con acquisizione \"live\" documentando la deroga ai principi di ripetibilit\u00e0. Per il web l'acquisizione assume forme specifiche (DOM, MHTML, screenshot certificato, metadati di rete), approfondite nella guida sull'<a href=\"\/it\/articoli\/acquisizione-forense-pagine-web-iso-27037\/\" target=\"_blank\" rel=\"noopener\">applicazione operativa della norma all'acquisizione di pagine web<\/a>.<\/p>\n<h3>Preservation: conservazione nel tempo<\/h3>\n<p>La conservazione accompagna gli altri processi: l'integrit\u00e0 della prova deve essere verificabile in qualsiasi momento. Comprende custodia fisica (caveau, server controllato), logica (hash, sigilli, marca temporale qualificata) e documentale (verbali, log).<\/p>\n<div style=\"overflow-x: auto; margin: 24px 0; border-radius: 8px; border: 1px solid #e8e6f0;\"><table style=\"width: 100%; border-collapse: collapse; font-family: 'DM Sans', sans-serif; font-size: 14px; line-height: 1.5; min-width: 600px;\"><thead><tr><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Processo<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Scopo<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Output<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Principio<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Deliverable<\/th><\/tr><\/thead><tbody><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Identification<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Mappare le prove digitali e decidere l'ordine di intervento<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Inventario sistemi, valutazione volatilit\u00e0<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Justifiability<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Verbale di sopralluogo<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Collection<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Trasferire la prova in ambiente controllato<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Etichettatura, sigilli, verbale di prelievo<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Auditability<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Verbale di raccolta, ricevuta di custodia<\/td><\/tr><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Acquisizione<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Creare copia bit-stream verificabile<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Imaging forense, calcolo hash<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Repeatability + Reproducibility<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Copia forense, hash SHA-256, report<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Preservation<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Mantenere l'integrit\u00e0 nel tempo<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Custodia fisica e logica, log accessi<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Auditability continua<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Registro custodia, sigillo elettronico<\/td><\/tr><\/tbody><\/table><\/div>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>I quattro processi spiegati<\/strong>\nLa gestione della prova digitale secondo la ISO\/IEC 27037 si articola in quattro processi che nella prassi si intrecciano. L'identification mappa la scena e individua le prove rilevanti, valutando volatilit\u00e0 e ordine di intervento sulla base dell'order of volatility descritta nelle RFC e ripresa dalla norma. La collection sposta fisicamente la prova in un ambiente controllato, con sigilli, etichette e verbali, quando il sistema pu\u00f2 essere spento e rimosso. L'acquisition crea una copia bit-stream verificabile attraverso una funzione di hash crittografica (tipicamente SHA-256) e, quando necessario, write blocker hardware o software per evitare alterazioni del supporto originale. La preservation accompagna gli altri processi e conserva la prova nel tempo attraverso custodia fisica (caveau, server controllato), logica (sigillo elettronico qualificato, marca temporale qualificata, ricalcolo periodico dell'hash) e documentale (verbali, log di accesso). Ogni processo \u00e8 soggetto ai quattro principi di qualit\u00e0 della norma e deve essere documentato con artefatti verificabili.<\/p><\/blockquote>\n<h2>Catena di custodia, hash e integrit\u00e0 della prova<\/h2>\n<p>La catena di custodia (catena di custodia) lega tutti i processi della norma. Se la <a href=\"\/it\/articoli\/prove-digitali-tribunale-catena-custodia-certificata\/\" target=\"_blank\" rel=\"noopener\">catena di custodia delle prove digitali<\/a> si interrompe in un solo punto, anche un'acquisizione perfetta pu\u00f2 essere contestata.<\/p>\n<h3>Cosa documenta la catena di custodia<\/h3>\n<p>La catena di custodia documenta quattro elementi. Identificazione: chi ha eseguito l'azione, con quale strumento, dove, quando. Preservazione: hash SHA-256, marca temporale qualificata, sigillo. Trasferimento: log firmato di ogni passaggio. Presentazione: verbale di perizia con riferimento all'art. 234-bis c.p.p. per il penale, all'art. 2712-bis c.c. per il civile. Sui <a href=\"\/it\/approfondimenti\/catena-custodia-digitale-requisiti-tecnici\/\" target=\"_blank\" rel=\"noopener\">requisiti tecnici della catena di custodia digitale<\/a> approfondiamo i pilastri.<\/p>\n<h3>Funzioni hash per la verifica di integrit\u00e0 (SHA-256, SHA-1, MD5)<\/h3>\n<p>Una funzione di hash trasforma un file in un'impronta a lunghezza fissa: cambiare anche un solo bit produce un'impronta diversa. La 27037 non impone uno specifico algoritmo, ma la prassi forense converge su SHA-256. SHA-1 \u00e8 deprecato dopo gli attacchi di collisione dal 2017, MD5 dal 2008. Una perizia che presenta MD5 come unica verifica espone la prova a un'eccezione tecnica.<\/p>\n<h3>Marca temporale qualificata e sigillo elettronico: il ponte con eIDAS<\/h3>\n<p>L'hash dice che un file non \u00e8 cambiato, non quando. Per fissare il \"quando\" in modo opponibile a terzi serve una marca temporale qualificata, definita dal Regolamento UE 910\/2014 (eIDAS) come quella emessa da un Trust Service Provider qualificato (QTSP), con presunzione di accuratezza ex articolo 41. Il sigillo elettronico qualificato aggiunge l'identit\u00e0 del soggetto: anche un'organizzazione pu\u00f2 apporlo tramite un QTSP.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>Catena di custodia e hash: la formula tecnica<\/strong>\nSecondo la ISO\/IEC 27037, una catena di custodia opponibile a terzi si costruisce combinando quattro elementi tecnici verificabili indipendentemente. L'hash SHA-256 della copia forense, calcolato al momento dell'acquisizione e annotato nel verbale, garantisce l'integrit\u00e0 del contenuto bit per bit. La marca temporale qualificata eIDAS, che fissa il momento dell'acquisizione in modo verificabile dal QTSP emittente, soddisfa il requisito di \"quando\" opponibile a terzi richiesto dall'articolo 41 del Regolamento 910\/2014. Il sigillo elettronico qualificato identifica l'organizzazione responsabile dell'acquisizione e attesta l'integrit\u00e0 del pacchetto evidenziale. Il registro di custodia documenta ogni successivo accesso, trasferimento o copia con marca temporale e firma. La perdita di uno solo di questi elementi non invalida automaticamente la prova, ma ne riduce la difendibilit\u00e0 nelle eccezioni di parte. SHA-1 \u00e8 deprecato per nuove acquisizioni, MD5 va affiancato e mai usato come unica verifica.<\/p><\/blockquote>\n<h2>La famiglia ISO\/IEC 27037-27041-27042-27043<\/h2>\n<p>La ISO\/IEC 27037 fa parte di una famiglia di quattro standard che copre l'intero ciclo della prova digitale.<\/p>\n<div style=\"overflow-x: auto; margin: 24px 0; border-radius: 8px; border: 1px solid #e8e6f0;\"><table style=\"width: 100%; border-collapse: collapse; font-family: 'DM Sans', sans-serif; font-size: 14px; line-height: 1.5; min-width: 600px;\"><thead><tr><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Norma<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Anno<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Scope<\/th><th style=\"background-color: #1a1a2e; color: #ffffff; padding: 12px 16px; text-align: left; font-weight: 600; font-size: 13px; white-space: nowrap; border-bottom: 2px solid #7c6bc4;\">Ruolo nel ciclo forense<\/th><\/tr><\/thead><tbody><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">ISO\/IEC 27037<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">2012 (recepita UNI 2017)<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Identification, collection, acquisition, preservation<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Gestione iniziale della prova<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">ISO\/IEC 27041<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">2015<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Assicurazione dell'adeguatezza dei metodi investigativi<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Validazione metodologica<\/td><\/tr><tr><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">ISO\/IEC 27042<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">2015<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Analisi e interpretazione della prova digitale<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Esame in laboratorio<\/td><\/tr><tr style=\"background-color: #f8f7fd;\"><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">ISO\/IEC 27043<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">2015<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Principi del processo di indagine sugli incidenti<\/td><td style=\"padding: 12px 16px; border-bottom: 1px solid #e8e6f0; vertical-align: top; color: #333;\">Cornice processuale complessiva<\/td><\/tr><\/tbody><\/table><\/div>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>La relazione tra le quattro norme<\/strong>\nLe quattro norme della famiglia ISO\/IEC 27037 sono complementari e si applicano in sequenza temporale lungo il ciclo di vita della prova digitale. La 27037 fornisce le linee guida operative per le fasi iniziali (identificazione, raccolta, acquisizione, conservazione) ed \u00e8 il riferimento per il primo intervento sulla scena. La 27041 stabilisce come dimostrare che il metodo investigativo \u00e8 adeguato allo scopo, attraverso processi di assurance, validation e verification, ed \u00e8 il riferimento per la giustificazione metodologica. La 27042 disciplina l'analisi e interpretazione del contenuto della prova, dopo che \u00e8 stata acquisita secondo la 27037, ed \u00e8 il riferimento per la fase di laboratorio. La 27043 fornisce il quadro processuale complessivo dell'indagine sugli incidenti, integrando le altre tre in un unico processo. Una perizia ben strutturata richiama esplicitamente le quattro norme per le rispettive fasi.<\/p><\/blockquote>\n<h3>ISO\/IEC 27041: assicurazione della metodologia investigativa<\/h3>\n<p>La ISO\/IEC 27041 spiega come dimostrare che il metodo applicato \u00e8 adeguato al caso, distinguendo assurance (progettazione corretta), validation (applicazione come previsto), verification (risultato coerente con l'obiettivo). Senza 27041, la giustificabilit\u00e0 della 27037 rischia di restare formale.<\/p>\n<h3>ISO\/IEC 27042: analisi e interpretazione delle prove<\/h3>\n<p>La ISO\/IEC 27042 disciplina la fase successiva all'acquisizione: esame del contenuto, interpretazione, documentazione dei limiti. \u00c8 il riferimento per la \"ricostruzione tecnica\" della perizia di parte e della consulenza del PM.<\/p>\n<h3>ISO\/IEC 27043: principi del processo di indagine sugli incidenti<\/h3>\n<p>La ISO\/IEC 27043 fornisce la cornice del processo investigativo in sette fasi, dalla rilevazione alla post-incident analysis. Si applica agli incidenti enterprise (coordinata con NIS2 e DORA) e ai procedimenti penali.<\/p>\n<h3>Standard collegati (ISO\/IEC 27035, ISO\/IEC 27050)<\/h3>\n<p>La ISO\/IEC 27035 disciplina la gestione degli incidenti di sicurezza. La ISO\/IEC 27050 tratta l'eDiscovery cross-border ed \u00e8 il complemento della 27037 negli scenari di <a href=\"\/it\/articoli\/standard-internazionali-conservazione-prove-digitali\/\" target=\"_blank\" rel=\"noopener\">eDiscovery e EDRM<\/a>.<\/p>\n<h2>ISO 27037 nel quadro normativo italiano ed europeo<\/h2>\n<p>La forza della ISO\/IEC 27037 in Italia viene da come si incastra con il diritto positivo. Quando una legge richiama \"la migliore pratica forense\", il giudice cerca uno standard di riferimento: la 27037 \u00e8 oggi quello standard.<\/p>\n<h3>Recepimento italiano: UNI CEI EN ISO\/IEC 27037:2017<\/h3>\n<p>UNI ha recepito la norma nel 2017. Richiamare \"UNI CEI EN ISO\/IEC 27037:2017\" significa fare riferimento a uno standard adottato in Italia, con valenza nelle gare pubbliche, nei contratti con clausola di conformit\u00e0 a norme italiane vigenti e nei procedimenti che richiedono metodologia riferibile a fonte controllata.<\/p>\n<h3>Codice di procedura penale e codice civile<\/h3>\n<p>Nel processo penale la fonte principale \u00e8 l'art. 234-bis c.p.p., introdotto dalla Legge 48\/2008 (ratifica della Convenzione di Budapest). Gli artt. 244, 247 e 254-bis richiedono \"misure tecniche dirette ad assicurare la conservazione dei dati originali\". Nel processo civile, l'art. 2712-bis c.c. attribuisce alle riproduzioni informatiche valore probatorio salvo disconoscimento, e la tracciabilit\u00e0 27037 difende dalla contestazione.<\/p>\n<h3>eIDAS, eIDAS 2.0 e marca temporale qualificata<\/h3>\n<p>Il Regolamento UE 910\/2014 (eIDAS) stabilisce il quadro europeo per i servizi fiduciari erogati da Trust Service Provider qualificati (QTSP): sigillo elettronico qualificato, marca temporale qualificata. L'articolo 41 attribuisce alla marca temporale presunzione di accuratezza della data, dell'ora e dell'integrit\u00e0 dei dati. Il Regolamento UE 2024\/1183 (eIDAS 2.0), pubblicato nell'aprile 2024 con conformit\u00e0 dei QTSP entro settembre 2026, amplia il quadro con il Portafoglio europeo di identit\u00e0 digitale (EUDI Wallet) e l'archiviazione elettronica qualificata.<\/p>\n<h3>GDPR, NIS2 e DORA: quando la norma diventa requisito operativo<\/h3>\n<p>Tre regolamenti europei rendono la 27037 pi\u00f9 cogente. Il GDPR (Reg. UE 2016\/679) richiede misure tecniche adeguate (art. 32) e notifica delle violazioni entro 72 ore (art. 33). La Direttiva NIS2 (UE 2022\/2555) impone segnalazioni in tre tempi (early warning 24 ore, notifica 72 ore, rapporto finale un mese). Il Regolamento DORA (UE 2022\/2554), applicato al settore finanziario dal gennaio 2025, richiede processi formalizzati: la metodologia forense diventa requisito di conformit\u00e0.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>Mappatura normativa: dove la ISO 27037 incontra il diritto positivo<\/strong>\nLa ISO\/IEC 27037 non \u00e8 formalmente obbligatoria in Italia, ma diventa cogente attraverso quattro canali normativi convergenti che \u00e8 bene conoscere. Il codice di procedura penale (artt. 234-bis, 244, 247, 254-bis, introdotti dalla Legge 48\/2008 di ratifica della Convenzione di Budapest) richiede misure tecniche per impedire l'alterazione dei dati informatici sequestrati: la 27037 fornisce quelle misure ed \u00e8 il riferimento citato in perizia. Il codice civile (art. 2712-bis) attribuisce valore probatorio alle riproduzioni informatiche salvo disconoscimento: la tracciabilit\u00e0 27037 rende il disconoscimento pi\u00f9 difficile per la controparte in sede di contenzioso. Il Regolamento eIDAS (UE 910\/2014) e eIDAS 2.0 (UE 2024\/1183) integrano la norma con marca temporale qualificata e sigillo elettronico qualificato emessi da QTSP. Il pacchetto di conformit\u00e0 europeo (GDPR, NIS2, DORA) trasforma la metodologia forense in requisito operativo per notifica violazioni e gestione degli incidenti significativi.<\/p><\/blockquote>\n<div class=\"ts-feature-banner\" style=\"margin: 40px 0; padding: 0; background-color: #f8f7fd; border-radius: 12px; display: flex; overflow: hidden; border: 1px solid rgba(0,0,0,0.06);\">\n  <div style=\"width: 160px; min-height: 140px; flex-shrink: 0; overflow: hidden;\">\n    <img decoding=\"async\" src=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png\" alt=\"Avvocati e studi legali TrueScreen\" style=\"width: 100%; height: 100%; object-fit: cover;\" \/>\n  <\/div>\n  <div style=\"padding: 20px 24px; flex: 1; display: flex; flex-direction: column; justify-content: center;\">\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 12px; font-weight: 600; color: #7c6bc4; text-transform: uppercase; letter-spacing: 0.5px; margin: 0 0 6px 0;\">Caso d'uso<\/p>\n    <p style=\"font-family: 'Raleway', sans-serif; font-size: 17px; font-weight: 700; color: #1a1a2e; margin: 0 0 6px 0; line-height: 1.3;\">Avvocati e studi legali: prove digitali certificate<\/p>\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 14px; color: #555; margin: 0 0 12px 0; line-height: 1.4;\">Acquisizioni conformi ai principi ISO\/IEC 27037 per studi legali, periti CTU e team di conformit\u00e0.<\/p>\n    <a href=\"https:\/\/truescreen.io\/it\/casi-di-utilizzo\/prove-digitali-avvocati-studi-legali\/\" target=\"_blank\" rel=\"noopener\" style=\"font-family: 'DM Sans', sans-serif; font-size: 14px; font-weight: 600; color: #007afe; text-decoration: none; display: inline-block;\">Scopri di pi\u00f9 \u2192<\/a>\n  <\/div>\n<\/div>\n\n<h2>Quando si applica la ISO\/IEC 27037 in azienda<\/h2>\n<p>La 27037 si applica in scenari spesso non riconosciuti come \"forensi\" dai team coinvolti. Vale qui il principio dell'<a href=\"\/it\/articoli\/ammissibilita-prove-digitali-guida\/\" target=\"_blank\" rel=\"noopener\">ammissibilit\u00e0 delle prove digitali<\/a>: se la metodologia non \u00e8 incorporata nei processi quotidiani, \u00e8 quasi impossibile applicarla bene sotto pressione.<\/p>\n<h3>Incident response e gestione data breach<\/h3>\n<p>In un incidente di sicurezza il team di incident response ha l'obbligo (NIS2, DORA, GDPR) di documentare la violazione. La differenza tra documentazione \"buona\" e difendibile \u00e8 l'adozione dei principi 27037: identificare i sistemi compromessi, acquisire log e immagini con hash, conservare le evidenze. Senza questa disciplina la notifica al Garante o al CSIRT diventa narrativa, non probatoria.<\/p>\n<h3>Contenzioso civile e commerciale<\/h3>\n<p>In un contenzioso pu\u00f2 servire produrre come prova un'email, un file su server, un contenuto online. Una stampa di email senza sigillo n\u00e9 hash \u00e8 disconoscibile ex art. 2712-bis. Acquisirla come pacchetto sigillato (file originale, hash SHA-256, marca temporale, metadati di rete) sposta l'onere della prova sulla controparte.<\/p>\n<h3>Investigazione interna su frodi o illeciti<\/h3>\n<p>La 27037 disciplina le acquisizioni interne che, se sfociano in azione legale, devono reggere un esame forense. Anche se l'azione resta interna, l'adozione della norma protegge l'azienda da eccezioni del lavoratore in contestazione disciplinare.<\/p>\n<h3>eDiscovery e raccolta evidenze cross-border<\/h3>\n<p>Nei contenziosi cross-border verso giurisdizioni di common law l'eDiscovery richiede raccolta sistematica con tracciabilit\u00e0 completa. La 27037 si combina con la 27050 per fornire un quadro che resiste a sistemi giuridici diversi dal nostro.<\/p>\n<div class=\"ts-feature-banner\" style=\"margin: 40px 0; padding: 0; background-color: #f8f7fd; border-radius: 12px; display: flex; overflow: hidden; border: 1px solid rgba(0,0,0,0.06);\">\n  <div style=\"width: 160px; min-height: 140px; flex-shrink: 0; overflow: hidden;\">\n    <img decoding=\"async\" src=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png\" alt=\"Prove digitali per il contenzioso TrueScreen\" style=\"width: 100%; height: 100%; object-fit: cover;\" \/>\n  <\/div>\n  <div style=\"padding: 20px 24px; flex: 1; display: flex; flex-direction: column; justify-content: center;\">\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 12px; font-weight: 600; color: #7c6bc4; text-transform: uppercase; letter-spacing: 0.5px; margin: 0 0 6px 0;\">Caso d'uso<\/p>\n    <p style=\"font-family: 'Raleway', sans-serif; font-size: 17px; font-weight: 700; color: #1a1a2e; margin: 0 0 6px 0; line-height: 1.3;\">Prove digitali certificate per il contenzioso<\/p>\n    <p style=\"font-family: 'DM Sans', sans-serif; font-size: 14px; color: #555; margin: 0 0 12px 0; line-height: 1.4;\">Scopri come TrueScreen applica i principi della ISO\/IEC 27037 per produrre evidenze ammissibili in contenzioso civile e commerciale.<\/p>\n    <a href=\"https:\/\/truescreen.io\/it\/casi-di-utilizzo\/prove-digitali-contenzioso\/\" target=\"_blank\" rel=\"noopener\" style=\"font-family: 'DM Sans', sans-serif; font-size: 14px; font-weight: 600; color: #007afe; text-decoration: none; display: inline-block;\">Scopri di pi\u00f9 \u2192<\/a>\n  <\/div>\n<\/div>\n\n<h2>Errori frequenti che invalidano la prova digitale<\/h2>\n<p>Nei contenziosi pi\u00f9 contestati ricorrono pochi errori operativi.<\/p>\n<h3>Screenshot non autenticato come unica prova<\/h3>\n<p>Uno screenshot salvato sul desktop e portato in giudizio \u00e8 quasi sempre vulnerabile a eccezione: non porta metadati di rete, hash, marca temporale, contesto. \u00c8 prova disconoscibile. Sui <a href=\"\/it\/articoli\/wayback-machine-prova-legale-limiti\/\" target=\"_blank\" rel=\"noopener\">limiti probatori della Wayback Machine<\/a> mostriamo come gli archivi pubblici non sostituiscano un'acquisizione forense.<\/p>\n<h3>Hash assente o algoritmo deprecato<\/h3>\n<p>Un'acquisizione senza hash non si pu\u00f2 verificare nel tempo. Un MD5 da solo \u00e8 poco meglio: la letteratura documenta collisioni dal 2008. La regola operativa: SHA-256, mai SHA-1 o MD5 come unica verifica.<\/p>\n<h3>Catena di custodia interrotta o non documentata<\/h3>\n<p>La catena di custodia si interrompe in punti banali: un file copiato via email senza log, un disco in cassetto senza sigillo, una macchina di laboratorio condivisa senza controllo accessi. La buona prassi: log automatico, sigilli verificabili, ricalcolo periodico dell'hash, conservazione in <a href=\"\/it\/articoli\/data-room-certificata-audit-trail-forense-prove-ammissibili\/\" target=\"_blank\" rel=\"noopener\">data room certificata<\/a>.<\/p>\n<h3>Ruoli DEFR\/DES non definiti formalmente<\/h3>\n<p>Le aziende spesso saltano un passo: definire DEFR e DES, con formazione e autorizzazione. In contenzioso, l'assenza di un mandato scritto \u00e8 la prima eccezione. Definire i ruoli in una policy interna con riferimento esplicito alla norma evita problemi a valle.<\/p>\n<h2>ISO 27037 e TrueScreen: i principi della norma applicati all'acquisizione digitale<\/h2>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p>TrueScreen \u00e8 la piattaforma italiana che traduce i principi della ISO\/IEC 27037 in un processo automatico per l'acquisizione e la certificazione di prove digitali. Ogni acquisizione produce un pacchetto sigillato con hash SHA-256 del contenuto, marca temporale qualificata erogata da QTSP terzo integrato via API, sigillo elettronico qualificato emesso dallo stesso QTSP e registro completo della catena di custodia. I quattro principi della norma (auditability, repeatability, reproducibility, justifiability) sono incorporati nell'architettura: ogni azione \u00e8 registrata in log immutabili, la stessa acquisizione produce risultati equivalenti su esecuzioni indipendenti, le scelte tecniche sono motivate nel verbale. TrueScreen \u00e8 utilizzato da legali, periti CTU, responsabili della conformit\u00e0 e team di incident response per generare evidenze allineate alla norma e ammissibili in giudizio in Italia e nell'Unione Europea.<\/p><\/blockquote>\n<h3>Acquisizione conforme ai principi della norma<\/h3>\n<p>L'acquisizione TrueScreen produce in un'unica operazione un pacchetto che incorpora i quattro processi della norma. L'identificazione avviene con metadati di rete (IP del server, certificato SSL\/TLS, header HTTP, redirect chain). La raccolta \u00e8 automatica e scarica il contenuto in formato verificabile (DOM, MHTML, screenshot multipli, allegati). L'acquisizione produce una copia bit-stream con hash SHA-256. La conservazione \u00e8 garantita dal pacchetto sigillato e dal registro di custodia.<\/p>\n<h3>Sigillo elettronico e marca temporale qualificata tramite QTSP integrati<\/h3>\n<p>TrueScreen non \u00e8 un Trust Service Provider qualificato. Sigillo elettronico qualificato e marca temporale qualificata sono erogati da QTSP terzi ai sensi del Regolamento eIDAS, integrati via API. L'evidenza prodotta incorpora il valore legale di un servizio fiduciario qualificato europeo ed \u00e8 ammissibile in giudizio in tutta l'Unione Europea.<\/p>\n<h3>Pacchetto evidenziale immutabile e catena di custodia automatizzata<\/h3>\n<p>Il pacchetto \u00e8 immutabile per costruzione: qualsiasi modifica produce un hash diverso. Ogni accesso, download e condivisione \u00e8 registrato in un log sigillato con marca temporale qualificata. Il risultato \u00e8 una documentazione tracciabile, ricostruibile da un terzo, conforme ai principi di auditability e repeatability della norma.<\/p>\n<blockquote style=\"border-left: 4px solid #7c6bc4; padding: 16px 20px; margin: 28px 0; background: #f8f7fd; border-radius: 0 8px 8px 0;\"><p><strong>TrueScreen e i principi ISO: il modello operativo<\/strong>\nL'integrazione tra metodologia forense documentata e sigillo qualificato di QTSP terzi \u00e8 il modello che TrueScreen implementa per applicare operativamente la ISO\/IEC 27037 all'acquisizione di prove digitali. La piattaforma incorpora i quattro principi della norma (auditability, repeatability, reproducibility, justifiability) nel proprio funzionamento, generando per ogni acquisizione un pacchetto sigillato verificabile da un perito o da un giudice attraverso strumenti standard di verifica eIDAS, senza necessit\u00e0 di accesso ai sistemi TrueScreen. La separazione dei ruoli \u00e8 chiara e tracciabile: TrueScreen acquisisce e certifica il processo applicando la metodologia, il QTSP integrato eroga marca temporale qualificata e sigillo elettronico qualificato secondo il Regolamento eIDAS. Il risultato \u00e8 un'evidenza utilizzabile in procedimenti giudiziari, segnalazioni regolamentari (Garante, CSIRT NIS2, autorit\u00e0 di vigilanza finanziaria DORA), arbitrati internazionali ed eDiscovery cross-border in giurisdizioni di common law e civil law europee, con valore probatorio equivalente in ogni Stato membro dell'Unione.<\/p><\/blockquote><\/div><\/div><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-3 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-bg-blend:overlay;--awb-bg-size:cover;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-flex-justify-content-flex-start fusion-content-layout-column\"><section class=\"faq faq-truescreen\" aria-labelledby=\"faq-title\">\n<h2 id=\"faq-title\">FAQ: domande frequenti su ISO\/IEC 27037<\/h2>\n<div class=\"faq-list\">\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Cos'\u00e8 la norma ISO\/IEC 27037?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>La ISO\/IEC 27037 \u00e8 lo standard internazionale che definisce come identificare, raccogliere, acquisire e conservare le prove digitali in modo da renderle ammissibili in giudizio. Pubblicata nel 2012 e recepita in Italia come UNI CEI EN ISO\/IEC 27037:2017, definisce due ruoli (DEFR, DES), quattro processi (identification, collection, acquisition, preservation) e quattro principi (auditability, repeatability, reproducibility, justifiability). Non \u00e8 certificabile: stabilisce una metodologia, non un certificato. \u00c8 il riferimento tecnico richiamato dal codice di procedura penale e dal Regolamento eIDAS.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Qual \u00e8 la differenza tra ISO 27037 e ISO 27001?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>La ISO 27001 disciplina i sistemi di gestione della sicurezza delle informazioni (ISMS) ed \u00e8 certificabile da un ente accreditato. La ISO 27037 disciplina la gestione della prova digitale, \u00e8 una linea guida tecnica non certificabile e si applica a professionisti e processi. Le due sono complementari: un'azienda certificata ISO 27001 che subisce un incidente applica la 27037 per acquisire le prove in modo difendibile.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">ISO 27037 \u00e8 obbligatoria in Italia?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>Formalmente no, ma nella prassi diventa cogente. Il codice di procedura penale (artt. 234-bis, 244, 247, 254-bis introdotti dalla Legge 48\/2008) richiede misure tecniche per impedire l'alterazione dei dati informatici sequestrati: la 27037 fornisce quelle misure. L'art. 2712-bis c.c. attribuisce valore probatorio alle riproduzioni informatiche salvo disconoscimento. NIS2, DORA e GDPR la rendono necessaria nella prassi. UNI CEI EN ISO\/IEC 27037:2017 \u00e8 il recepimento italiano disponibile su store.uni.com.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Chi \u00e8 il DEFR (Digital Evidence First Responder)?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>Il Digital Evidence First Responder \u00e8 la persona autorizzata a intervenire per prima sulla scena, con il compito di identificare i sistemi rilevanti, raccoglierli o acquisirli in sicurezza e documentare il proprio operato. Le competenze richieste includono conoscenza dei dispositivi, uso di write blocker e imaging software, documentazione della scena e valutazione della volatilit\u00e0 dei dati. Il DEFR non analizza la prova: la mette in sicurezza per l'analisi del DES o del laboratorio.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Qual \u00e8 la differenza tra ISO 27037 e ISO 27042?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>Sono complementari. La 27037 disciplina le fasi iniziali (identificazione, raccolta, acquisizione, conservazione). La 27042 disciplina la fase successiva: analisi e interpretazione del contenuto in laboratorio, rapporto tecnico, documentazione dei limiti dell'analisi. Una perizia completa richiama entrambe e le applica in sequenza temporale.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">La ISO 27037 vale anche per chat WhatsApp e social media?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>S\u00ec, si applica a qualsiasi prova digitale. Una chat WhatsApp pu\u00f2 essere acquisita in tre modi: dump del dispositivo, backup criptato, acquisizione live della conversazione visualizzata. In tutti i casi la norma chiede hash, marca temporale qualificata e catena di custodia. Per social media e pagine web l'acquisizione richiede strumenti che catturano DOM, MHTML e metadati di rete.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">Quale algoritmo hash usare secondo ISO 27037?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>La norma non impone uno specifico algoritmo, ma la prassi forense converge su SHA-256. SHA-1 \u00e8 deprecato dopo gli attacchi di collisione dal 2017, MD5 dal 2008. La regola \u00e8 SHA-256 per ogni nuova acquisizione, calcolato al momento, annotato nel verbale e ricalcolato a intervalli regolari.<\/p><\/div>\n<\/details>\n<details class=\"faq-item\">\n<summary class=\"faq-question\"><span class=\"faq-question-text\">ISO 27037 \u00e8 compatibile con eIDAS?<\/span><br \/><span class=\"faq-icon\" aria-hidden=\"true\">+<\/span><\/summary>\n<div class=\"faq-answer\"><p>S\u00ec, ed \u00e8 dall'integrazione tra le due che si costruisce un'evidenza opponibile a terzi in Europa. La 27037 fornisce la metodologia di acquisizione. Il Regolamento UE 910\/2014 (eIDAS) e il Regolamento UE 2024\/1183 (eIDAS 2.0) forniscono gli strumenti fiduciari: marca temporale qualificata e sigillo elettronico qualificato. La marca gode di presunzione di accuratezza ex art. 41. Combinare 27037 e servizi qualificati eIDAS \u00e8 il modello di riferimento nell'Unione Europea.<\/p><\/div>\n<\/details>\n<\/div>\n<\/section><\/div><\/div><\/div><\/div><br \/>\n<div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-4 fusion-flex-container nonhundred-percent-fullwidth non-hundred-percent-height-scrolling\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:80px;--awb-padding-bottom:80px;--awb-padding-top-small:40px;--awb-padding-bottom-small:110px;--awb-margin-bottom:0px;--awb-background-color:#ffffff;--awb-background-image:linear-gradient(180deg, var(--awb-color3) 0%,var(--awb-color3) 100%);--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1236px;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-4 fusion_builder_column_1_1 1_1 fusion-flex-column\" style=\"--awb-padding-top:36px;--awb-padding-right:36px;--awb-padding-bottom:36px;--awb-padding-left:36px;--awb-overflow:hidden;--awb-bg-color:var(--awb-color2);--awb-bg-color-hover:var(--awb-color2);--awb-bg-size:cover;--awb-border-radius:8px 8px 8px 8px;--awb-width-large:100%;--awb-margin-top-large:0px;--awb-spacing-right-large:1.455%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:1.455%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-builder-row fusion-builder-row-inner fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"width:103% !important;max-width:103% !important;margin-left: calc(-3% \/ 2 );margin-right: calc(-3% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column_inner fusion-builder-nested-column-0 fusion_builder_column_inner_2_3 2_3 fusion-flex-column fusion-flex-align-self-center\" style=\"--awb-bg-size:cover;--awb-width-large:66.666666666667%;--awb-margin-top-large:0px;--awb-spacing-right-large:2.1825%;--awb-margin-bottom-large:0px;--awb-spacing-left-large:2.1825%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-title title fusion-title-2 fusion-sep-none fusion-title-text fusion-title-size-two\" style=\"--awb-text-color:var(--awb-color1);--awb-margin-top:-40px;--awb-margin-top-small:-32px;\"><h2 class=\"fusion-title-heading title-heading-left fusion-responsive-typography-calculated\" style=\"margin:0;--fontSize:32;--minFontSize:32;line-height:1.3;\"><h2>Acquisisci prove digitali con metodologia forense<\/h2><\/h2><\/div><div class=\"fusion-text fusion-text-1 fusion-text-no-margin\" style=\"--awb-font-size:18px;--awb-text-color:var(--awb-color1);--awb-margin-bottom:32px;\"><p><span style=\"letter-spacing: 0.24px; background-color: rgba(0, 0, 0, 0);\">TrueScreen applica i principi della ISO\/IEC 27037 a ogni acquisizione di evidenze web, video, audio, documenti e chat, producendo un pacchetto evidenziale immutabile con hash, marca temporale qualificata, sigillo elettronico e catena di custodia automatizzata.<\/span><\/p>\n<\/div><div ><a class=\"fusion-button button-flat fusion-button-default-size button-default fusion-button-default button-1 fusion-button-default-span fusion-button-default-type\" target=\"_self\" href=\"https:\/\/portal.truescreen.io\/signin\/\"><span class=\"fusion-button-text\">Inizia ora<\/span><\/a><\/div><div class=\"fusion-separator fusion-full-width-sep\" style=\"align-self: center;margin-left: auto;margin-right: auto;margin-top:12px;width:100%;\"><\/div><div ><a class=\"fusion-button button-flat fusion-button-default-size button-custom fusion-button-default button-2 fusion-button-default-span\" style=\"--button_accent_color:var(--awb-color1);--button_border_color:rgba(255,255,255,0.3);--button_accent_hover_color:var(--awb-color1);--button_border_hover_color:var(--awb-color1);--button_border_width-top:1px;--button_border_width-right:1px;--button_border_width-bottom:1px;--button_border_width-left:1px;--button_gradient_top_color:rgba(0,0,0,0);--button_gradient_bottom_color:rgba(0,0,0,0);--button_gradient_top_color_hover:rgba(255,255,255,0.1);--button_gradient_bottom_color_hover:rgba(255,255,255,0.1);\" target=\"_self\" href=\"https:\/\/truescreen.io\/it\/contattaci\/\"><span class=\"fusion-button-text\">Richiedi una demo<\/span><\/a><\/div><\/div><\/div><div class=\"fusion-layout-column fusion_builder_column_inner fusion-builder-nested-column-1 fusion_builder_column_inner_1_3 1_3 fusion-flex-column fusion-flex-align-self-center fusion-no-small-visibility fusion-no-medium-visibility\" style=\"--awb-bg-size:cover;--awb-width-large:33.333333333333%;--awb-margin-top-large:0px;--awb-spacing-right-large:4.365%;--awb-margin-bottom-large:0px;--awb-spacing-left-large:4.365%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.455%;--awb-spacing-left-medium:1.455%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.455%;--awb-spacing-left-small:1.455%;\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div class=\"fusion-image-element\" style=\"--awb-max-width:300px;--awb-caption-title-font-family:var(--h2_typography-font-family);--awb-caption-title-font-weight:var(--h2_typography-font-weight);--awb-caption-title-font-style:var(--h2_typography-font-style);--awb-caption-title-size:var(--h2_typography-font-size);--awb-caption-title-transform:var(--h2_typography-text-transform);--awb-caption-title-line-height:var(--h2_typography-line-height);--awb-caption-title-letter-spacing:var(--h2_typography-letter-spacing);\"><span class=\"fusion-imageframe imageframe-none imageframe-1 hover-type-none\"><img decoding=\"async\" width=\"1204\" height=\"1208\" alt=\"applicazione mockup\" title=\"Intestazione mobile\" src=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png\" class=\"img-responsive wp-image-45466\" srcset=\"https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-200x201.png 200w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-400x401.png 400w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-600x602.png 600w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-800x803.png 800w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header-1200x1204.png 1200w, https:\/\/truescreen.io\/wp-content\/uploads\/2024\/09\/Mobile-Header.png 1204w\" sizes=\"(max-width: 1024px) 100vw, (max-width: 640px) 100vw, 400px\" \/><\/span><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/p>","protected":false},"featured_media":56973,"template":"","class_list":["post-56972","articoli","type-articoli","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/articoli\/56972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/articoli"}],"about":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/types\/articoli"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/media\/56973"}],"wp:attachment":[{"href":"https:\/\/truescreen.io\/it\/wp-json\/wp\/v2\/media?parent=56972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}