Certificazione e Raccolta Tracce Online · servizio attivo
WACZ · ISO 28500/ Marca temporale eIDAS/ Area riservata
C.E.R.T.O.
Accedi Registrati gratis
IT EN
C.E.R.T.O. / Guide / Catena di custodia

Catena di custodia della prova digitale

Catena di custodia · 29 giugno 2026 · C.E.R.T.O.

Si può avere in mano il contenuto giusto — l'email, la chat, la pagina — e perdere comunque, se non si riesce a dimostrare che quel contenuto è arrivato in aula esattamente com'era all'origine. È qui che entra in gioco la catena di custodia: il concetto che, più di ogni altro, decide se una prova digitale «tiene».

Cos'è la catena di custodia

Nel mondo fisico è la traccia documentata di chi ha toccato un reperto, quando e come, dal luogo del fatto fino all'aula. Per una prova digitale vale lo stesso principio, ma applicato a un file: bisogna poter dimostrare che, dal momento dell'acquisizione fino al deposito, nulla è cambiato — e che si sa esattamente chi, come e quando l'ha raccolto.

Le quattro domande a cui deve rispondere

  • Integrità — il file è identico a quello acquisito? (nessuna alterazione)
  • Temporalità — quando è stato acquisito, con una data non falsificabile?
  • Provenienza — da dove proveniva il contenuto (quale URL, quale casella, quale server)?
  • Identità — chi ha eseguito l'acquisizione, con quale strumento?

Finché anche una sola di queste resta senza risposta verificabile, la controparte ha un appiglio per chiedere l'inammissibilità.

Come si costruisce, tecnicamente

Una catena di custodia digitale solida non è una dichiarazione, ma un insieme di elementi crittografici che si controllano l'un l'altro:

  • una batteria di hash (più impronte digitali calcolate con algoritmi diversi: MD5, SHA-1, SHA-256, SHA-512) risponde all'integrità — se un bit cambia, le impronte non tornano;
  • una marca temporale RFC 3161 (data certificata da un terzo indipendente) risponde alla temporalità;
  • una firma digitale Ed25519 legata all'identità del dispositivo, insieme ai dati dell'operatore, risponde all'identità;
  • una descrizione strutturata in CASE/UCO (un linguaggio standard internazionale per le prove digitali) mette tutto in relazione e risponde alla provenienza.

Perché senza non regge

Una prova senza catena di custodia è come un reperto senza etichetta: anche se autentico, è contestabile. Basta che la controparte insinui che potrebbe essere stato modificato, e l'onere di smentirlo ricade su di te — spesso senza gli strumenti per farlo. Con una catena di custodia verificabile, invece, è la prova stessa a difendersi.

Gli standard contano

Usare formati riconosciuti — ISO/IEC 27037 (linee guida per il trattamento della prova digitale), SWGDE, BagIt e CASE/UCO — significa parlare una lingua che giudici e consulenti tecnici conoscono, e non una scatola nera proprietaria.

Come C.E.R.T.O. la garantisce in automatico

Ogni acquisizione produce un fascicolo BagIt che contiene già tutti questi elementi — hash, doppia marca temporale, firma, descrizione CASE/UCO — senza che tu debba essere un informatico forense. E chiunque può verificarlo in autonomia.

Da leggere: perché lo screenshot da solo non ha valore legale.

Continua a leggere