Ogni giorno lasciamo tracce: un accesso a un account, un messaggio WhatsApp, un log di sistema, una PEC, un post sui social. Il punto è che non tutto ciò che è “digitale” diventa automaticamente una prova.
Nel contenzioso (civile o penale) la differenza la fanno metodo, integrità, attribuzione e documentazione: cioè la capacità di dimostrare come quel dato è stato raccolto, da dove proviene e che non è stato alterato.
Indice dei contenuti
- Che cos’è la prova digitale e perché è diversa dalle prove “tradizionali”
- Norme e principi in Italia: dalla criminalità informatica alla gestione della digital evidence
- Autenticità e integrità: come si costruisce una prova che regge alle contestazioni
- Come acquisire correttamente le prove digitali più comuni
- Chat (WhatsApp/Telegram/SMS): screenshot sì, ma con consapevolezza
- Email e PEC: “vale l’invio”, ma attenzione agli allegati e al formato
- Social e pagine web: contenuti dinamici, modifiche e cancellazioni
- Audio, video, videosorveglianza: originali, metadati e rischio “editing”
- Dispositivi, cloud e log: dove “sta” la prova?
- Prove digitali oltreconfine: rogatoria, OEI ed e-Evidence
- IA, deepfake e affidabilità scientifica: il punto non è solo “cosa c’è”, ma “come lo dimostri”
Che cos’è la prova digitale e perché è diversa dalle prove “tradizionali”
La prova digitale (o digital evidence) non è “un file” in senso generico: è un’informazione in formato digitale che può avere valore probatorio, perché descrive un fatto rilevante (un evento, una condotta, una comunicazione, un accesso).
La differenza rispetto a molte prove tradizionali è che il dato digitale è immateriale, volatile e facilmente modificabile: spesso senza segni visibili.
Contenuto, contenitore e metadati: cosa stai davvero producendo?
Quando produci una chat, un’email o un documento, devi distinguere tra:
-
contenuto (testo, audio, immagine, allegato);
-
contenitore (device, account, file, piattaforma);
-
metadati (timestamp, ID messaggio, header email, informazioni di creazione/modifica, log, ecc.).
Uno screenshot, ad esempio, “fotografa” il contenuto, ma perde o riduce parte dei metadati e del contesto (sequenza completa, identificativi tecnici, coerenza temporale). Per questo, a parità di contenuto, il formato “nativo” (export, file .eml/.msg, log, copia forense) tende a essere più robusto di una semplice immagine.
Volatilità: perché “un click” può cambiare la scena
Nel digitale esiste un principio operativo spesso richiamato nelle linee guida tecniche: l’ordine di volatilità. In sintesi: alcuni dati (cache, RAM, sessioni, informazioni temporanee) spariscono o cambiano molto rapidamente, altri sono più stabili (dischi, archivi, backup).
È il motivo per cui le buone prassi prevedono di acquisire prima ciò che è più volatile.
Civile vs penale: cosa cambia nella pratica
Senza entrare in “ricette” (ogni caso va valutato con un legale), è utile capire che:
-
nel civile spesso si discute di riproduzioni informatiche e di contestazioni (ad esempio, disconoscimento);
-
nel penale la tenuta della prova è legata in modo più critico a modalità di acquisizione, garanzie e sanzioni processuali.
In entrambi i mondi, però, vale la regola d’oro: se il dato è contestabile, la prova è fragile.
Norme e principi in Italia: dalla criminalità informatica alla gestione della digital evidence
Per capire perché oggi si parla tanto di best practices e catena di custodia, serve un minimo di contesto normativo.
Le tappe chiave: Legge 547/1993 e Legge 48/2008
In Italia la prima grande svolta sui reati informatici arriva con la Legge 547/1993, che interviene su codice penale e procedura per la criminalità informatica.
Il passaggio decisivo sulla prova digitale, però, è la Legge 48/2008, che ratifica la Convenzione di Budapest (cybercrime) e consolida l’idea che il dato digitale vada raccolto e preservato con cautele specifiche.
“Best practices” e catena di custodia: non sono teoria, sono difendibilità
Nella prassi forense, per rendere una prova digitale “tenace” servono due pilastri:
-
best practices: modalità operative riconosciute come corrette (es. non alterare, copiare in modo conforme, garantire immodificabilità);
-
chain of custody (catena di custodia): tracciabilità completa di ogni passaggio (chi, quando, come, dove).
La sanzione più temuta: inutilizzabilità (art. 191 c.p.p.)
Quando le modalità di acquisizione violano divieti o garanzie, il rischio (in ambito penale) è che la prova diventi processualmente inutilizzabile. L’art. 191 c.p.p. sancisce che le prove acquisite in violazione di divieti di legge non possono essere utilizzate.
Autenticità e integrità: come si costruisce una prova che regge alle contestazioni
Qui si concentrano la maggior parte dei dubbi: “Come dimostro che non è stato alterato?”, “Serve l’hash?”, “Qual è l’originale?”, “Se ho già ‘toccato’ il dispositivo, è tutto perso?”.
Catena di custodia: cosa deve contenere (davvero)
Una catena di custodia efficace non è un foglio generico: è un registro dettagliato che consente di ricostruire e verificare:
-
chi ha preso in carico il reperto/dato;
-
quando e dove;
-
con quali strumenti e impostazioni;
-
come è stato conservato (supporti, accessi, sigilli, controlli);
-
chi ha avuto accesso successivamente e perché.
Senza questi elementi, la controparte può insinuare (anche solo come dubbio ragionevole) alterazioni, selezioni opportunistiche (“cherry picking”) o contaminazioni.
Hash e copia forense bit-a-bit: il “sigillo” tecnico dell’integrità
L’hash è un’impronta matematica: se cambia anche un singolo bit, cambia anche l’hash. È uno dei modi più solidi per dimostrare integrità e immutabilità di una copia.
La copia forense bit-a-bit (bit stream image) non copia “i file visibili”, ma tutto: anche spazio non allocato e tracce di file cancellati. Questo è cruciale quando si discute di dati eliminati o manipolazioni.
Standard e linee guida: perché contano anche se non sono “codice”
Molti operatori si rifanno a standard internazionali come ISO/IEC 27037 (identificazione, raccolta, acquisizione e conservazione delle prove digitali) e a linee guida tecniche come la RFC 3227 sull’evidence collection e l’ordine di volatilità.
Non “sostituiscono” la legge, ma aiutano a dimostrare che il metodo seguito è razionale, verificabile e ripetibile.
Come acquisire correttamente le prove digitali più comuni
In questa sezione traduciamo i dubbi più cercati in scelte operative: non “trucchi”, ma criteri per capire quando un’evidenza è robusta e quando è facilmente smontabile.
Chat (WhatsApp/Telegram/SMS): screenshot sì, ma con consapevolezza
Nel civile, la Cassazione ha ribadito che screenshot di messaggi (WhatsApp/SMS) possono assumere valore di prova documentale se non disconosciuti e se ne risultano verificabili provenienza e affidabilità.
Il problema è proprio la contestazione: se l’altra parte disconosce o sostiene “non ero io”, “account compromesso”, “numero clonato”, serve rinforzare con:
-
contesto completo (non solo la singola battuta);
-
dati del dispositivo/account;
-
eventuale acquisizione tecnica o mobile forensics quando la posta in gioco è alta.
Email e PEC: “vale l’invio”, ma attenzione agli allegati e al formato
Per le email ordinarie, il nodo è la falsificabilità: gli header e i file nativi (.eml/.msg) contengono informazioni più verificabili di un PDF stampato.
Per la PEC, la giurisprudenza ha più volte chiarito che la PEC prova invio/ricezione, ma non automaticamente il contenuto dell’allegato se non si ricostruisce correttamente il flusso e le ricevute; inoltre è centrale la Ricevuta di Avvenuta Consegna (RdAC) per attribuire valore probatorio nel contesto specifico.
Tradotto: conservare messaggio PEC e ricevute nel formato originale, non solo “stampate”.
Social e pagine web: contenuti dinamici, modifiche e cancellazioni
Qui lo screenshot è spesso il punto di partenza, non di arrivo. Post, recensioni e pagine possono cambiare, sparire o essere “personalizzati” in base all’utente.
Per questo è fondamentale acquisire anche:
-
URL, data/ora e contesto di navigazione;
-
codice/pagina e risorse collegate, quando possibile;
-
elementi che rendano l’acquisizione verificabile e databile.
Il caso Google-Vivi Down viene spesso citato proprio per evidenziare i limiti di “stampa + copia/incolla” come prova robusta, quando mancano garanzie forensi.
Audio, video, videosorveglianza: originali, metadati e rischio “editing”
La domanda tipica è: “come dimostro che non è stato tagliato?”.
La risposta è metodologica:
-
privilegiare file originali (non versioni rielaborate);
-
preservare metadati e provenienza;
-
documentare trasferimenti e copie (catena di custodia).
Sul fronte privacy/liceità, la regola è semplice: acquisire una cosa e diffonderla è un’altra. In contenzioso, la valutazione va sempre vista con il legale.
Dispositivi, cloud e log: dove “sta” la prova?
Spesso la prova non è solo nel telefono, ma anche in:
-
backup, cloud, account connessi;
-
log di accesso, eventi, IP, cronologie;
-
copie automatiche (es. sincronizzazioni).
Qui emergono due criticità: attribuzione (chi ha davvero compiuto l’azione?) e conservazione (log che ruotano, dati che si perdono). Quando la prova è decisiva, l’approccio corretto è progettare l’acquisizione per ridurre al minimo sia la perdita del dato sia le obiezioni.
Prove digitali oltreconfine: rogatoria, OEI ed e-Evidence
Quando i dati sono su server esteri o gestiti da provider internazionali, entrano in gioco strumenti di cooperazione.
Ordine Europeo di Indagine (OEI) e rogatoria: il tema dell’utilizzabilità
L’OEI è disciplinato in Italia dal D.Lgs. 108/2017.
Per la rogatoria e l’utilizzabilità degli atti assunti all’estero, il quadro si intreccia con l’art. 729 c.p.p. (e relative riforme): in sostanza, anche l’atto “fatto fuori” deve arrivare in giudizio con garanzie tali da non diventare inutilizzabile.
Il pacchetto e-Evidence: ordini europei di produzione e conservazione
A livello UE, il Regolamento (UE) 2023/1543 introduce un sistema per ottenere prove elettroniche in modo più rapido, con strumenti come gli ordini europei di produzione e conservazione (EPOC/EPOC-PR).
È un tema “nuovo” e in forte evoluzione: chi gestisce casi con provider esteri deve considerarlo già oggi nella strategia probatoria.
IA, deepfake e affidabilità scientifica: il punto non è solo “cosa c’è”, ma “come lo dimostri”
Nel 2026 un dubbio è esploso: “E se fosse un deepfake?”. Qui conta la capacità di ancorare l’evidenza a un metodo verificabile.
Dai criteri Frye a Daubert e alla sentenza Cozzini
In ambito di prova scientifica, il passaggio chiave è l’idea che il giudice valuti l’affidabilità della metodologia con criteri come:
-
testabilità/falsificabilità,
-
peer review,
-
tasso di errore,
-
standard di controllo,
-
grado di accettazione nella comunità scientifica.
In Italia, questi criteri sono spesso richiamati nella scia della Cassazione penale n. 43786/2010 (Cozzini).
Checklist finale: 10 errori che rendono una prova digitale “smontabile”
-
limitarsi a uno screenshot senza contesto;
-
non conservare file nativi (export, .eml, log);
-
non documentare chi/come/quando (catena di custodia);
-
aprire/accendere un dispositivo senza cautele;
-
non calcolare/verbalizzare l’hash;
-
lavorare sull’originale invece che su copia forense;
-
perdere ricevute PEC o conservarle solo in stampa;
-
non gestire correttamente dati di terzi (privacy, oscuramenti);
-
ignorare la dimensione transfrontaliera (provider esteri);
-
non prevedere una strategia “anti-contestazione” (ripetibilità, verificabilità, report).
Conclusione
La prova digitale non è “ciò che appare sullo schermo”: è un equilibrio tra contenuto, provenienza, integrità e procedura.
Quando la posta in gioco è alta, la domanda giusta non è “posso portare questo in tribunale?”, ma: posso dimostrare come è stato acquisito, che non è stato alterato e che è attribuibile?
È lì che una digital evidence diventa davvero spendibile nei processi.
