Catena di custodia: il filo invisibile che garantisce l’integrità delle prove digitali
Yuri Lucarini – Informatico Forense – Criminologo
Una prova digitale può essere perfetta e, nello stesso istante, inutilizzabile. Non perché sia falsa. Perché nessuno riesce più a dimostrare dove sia stata, chi l’abbia toccata, in quale condizione sia arrivata fino a noi. È un paradosso che chiunque abbia messo piede in un’aula o in un laboratorio ha visto almeno una volta: il contenuto sembra parlare, ma il percorso tace. E quando il percorso tace, la prova si sgonfia. Non fa rumore, non esplode. Semplicemente smette di valere.
La catena di custodia, in fondo, è questo: il processo documentale e operativo che rende tracciabile e difendibile l’identità di un’evidenza digitale, dalla raccolta fino alla sua presentazione in giudizio. È il “filo” che impedisce ai bit di trasformarsi in opinioni. È centrale nelle indagini digitali di oggi, nel penale come nel civile, perché la prova informatica non è più un ospite raro: è l’aria che respiriamo in quasi ogni vicenda, dal contenzioso societario alle frodi, dalle dispute familiari alle indagini su intrusioni e data breach.
Eppure, proprio perché è ovunque, la catena di custodia finisce spesso trattata come una formalità. Un documento da firmare. Un’etichetta da attaccare. Un passaggio che “tanto si capisce”. È qui che le cose iniziano a incrinarsi: non quando qualcuno altera deliberatamente, ma quando la gestione quotidiana si riempie di scorciatoie, piccoli silenzi, dettagli dati per scontati. La catena di custodia si rompe quasi sempre così: con la leggerezza.
Mi piace pensare alla digital forensics come a un mestiere che vive di una promessa implicita: se domani qualcuno ti chiede “rifallo”, tu devi poter rispondere. Non nello stesso modo teatrale, non con la stessa emozione, ma con la stessa solidità. Questa promessa si regge su quattro parole che tornano continuamente, anche quando non le pronunciamo: integrità, tracciabilità, ripetibilità, documentazione.
Sono parole che, nel nostro settore, hanno un valore quasi fisico. Non descrivono un’aspirazione: descrivono un requisito.
Gli standard internazionali hanno dato a queste parole un perimetro concreto. ISO/IEC 27037, ad esempio, colloca la gestione dell’evidenza digitale in una sequenza precisa: identificazione, raccolta, acquisizione, preservazione. Non è un esercizio teorico; è una mappa che, se seguita, riduce la quantità di “zone grigie” che una controparte può sfruttare.
Poi c’è un passaggio che molti sottovalutano: non basta fare le cose “bene”, bisogna anche poter dimostrare che erano adatte a quello specifico caso, a quel dispositivo, a quel contesto. ISO/IEC 27041 usa un’espressione che suona quasi semplice, ma in udienza diventa una lama: “fit for purpose”. Metodi e processi devono essere appropriati allo scopo e accompagnati da evidenza della loro adeguatezza. Non è un dettaglio. È l’argomento che ti salva quando qualcuno prova a ridurre il tuo lavoro a un’operazione standardizzata e, quindi, attaccabile.
ISO/IEC 27042, invece, porta la discussione nel punto più delicato: l’analisi e l’interpretazione della prova. Continuità, validità, riproducibilità, ripetibilità. Qui la catena di custodia non è più “solo” gestione, è anche continuità logica: se ciò che hai analizzato non è difendibilmente lo stesso oggetto acquisito, ogni inferenza successiva diventa un castello costruito su un terreno mobile.
Fin qui gli standard. Ma la catena di custodia, nella pratica, comincia sempre con un gesto. Il gesto di raccogliere, spegnere o non spegnere, isolare o non isolare, prendere nota o affidarsi alla memoria. E nel digitale la memoria è una pessima alleata: è selettiva, si addolcisce col tempo, riempie i vuoti con ciò che “probabilmente” è successo. Proprio quello che un controesame aspetta.
Quando parliamo di acquisizione forense corretta, la parola “corretta” spesso viene compressa in un’immagine: la copia bitstream. È un simbolo utile, ma rischia di diventare un feticcio. Perché la copia, da sola, non basta: serve sapere con che strumenti è stata fatta, in che condizioni, da chi, con quali accorgimenti per ridurre al minimo le modifiche involontarie.
E serve un registro: non un racconto a posteriori, ma una traccia contemporanea degli eventi.
Qui entra l’hashing, che nel lessico quotidiano viene chiamato “impronta” ma, in realtà, funziona come un sigillo. NIST, nel lavoro dedicato alla preservazione dell’evidenza digitale, insiste su un punto che dovrebbe essere inciso sui muri di ogni evidence room: è best practice calcolare hash di immagini e oggetti con algoritmi approvati e conservare quei valori separatamente dal file, in modo sicuro, perché la facilità con cui i file digitali possono essere modificati rende l’integrità una preoccupazione critica.
C’è un aspetto che spesso sfugge: la catena di custodia non protegge solo dalla manomissione esterna. Protegge anche noi, i professionisti.
Protegge dalla tentazione di “fare prima”. Protegge dalle contestazioni costruite sul non detto. Protegge, persino, dall’infrastruttura: perché i sistemi operativi cambiano cose senza chiedere permesso, aggiornano attributi, riscrivono metadati, sincronizzano. Nel digitale, molte alterazioni non hanno un colpevole. Hanno solo una causa.
E allora la catena di custodia diventa una forma di disciplina: non la disciplina sterile del modulo compilato, ma la disciplina del dettaglio che non lasci in ombra. Identificatori univoci, orari, persone, luoghi, trasferimenti, condizioni di conservazione, accessi. Se qualcosa passa di mano, dev’essere visibile. Se qualcosa viene duplicato, dev’essere dimostrabile. Se qualcosa viene analizzato, dev’essere ripercorribile.
Non è raro che il punto debole sia proprio la fase intermedia, quella che molti trattano come “logistica”: conservazione e gestione della prova. La prova viene acquisita bene, magari anche con impronta hash, e poi viene copiato un file su una macchina di lavoro senza una vera separazione tra originali e copie operative, o viene depositata una copia in una cartella condivisa “solo per comodità”. E la comodità, nella forensics, è quasi sempre un debito che pagherai più avanti.
In questo quadro, la responsabilità del perito o del consulente tecnico è meno romantica e più pesante di quanto si dica nelle presentazioni. Non si tratta solo di competenza tecnica. Si tratta di continuità probatoria: garantire che ciò che arriva in giudizio sia difendibilmente lo stesso oggetto che è stato raccolto, e che ogni passaggio sia leggibile da un terzo indipendente.
È un ruolo di garanzia, più che di performance. E spesso è qui che si misura la differenza tra un lavoro “buono” e un lavoro “processualmente solido”.
La catena di custodia, però, si capisce davvero solo quando si spezza. Quando qualcuno, magari mesi dopo, ti guarda e chiede: “Mi indica con precisione dove si trovava questo “file – questa microSD” , il giorno X, chi vi ha avuto accesso, e come può escludere modifiche?” A quel punto non serve più l’autorevolezza, non serve nemmeno l’esperienza. Serve la traccia. Serve il filo.
Le conseguenze tecniche di una rottura sono spesso più banali di quanto immaginiamo. Non è sempre l’alterazione intenzionale. È la perdita di metadati, la compressione automatica, la conversione di formato, la ri-sincronizzazione di un backup, l’apertura accidentale di un file su un sistema che modifica date e attributi, la manipolazione involontaria di un dispositivo acceso e connesso. Oppure è la cosa che fa più male perché sembra innocua: il “solo controllo veloce” fatto prima di mettere il supporto in sicurezza. Un’azione piccola, quasi istintiva. Eppure capace di cambiare il racconto tecnico, e quindi quello giuridico.
Sul piano legale, la rottura della catena di custodia non è soltanto un problema di forma. È un problema di affidabilità. Una prova informatica senza una catena di custodia credibile non è più una prova controllabile: e se non è controllabile, diventa attaccabile. A volte verrà esclusa, a volte verrà svalutata, a volte diventerà un elemento “di contorno” che non regge da solo. Ma, in tutti i casi, cambia il baricentro del processo: invece di discutere del fatto, si discute del percorso. E la discussione sul percorso può divorare mesi.
Nel primo, un procedimento penale per atti persecutori, la discussione ruota attorno a conversazioni WhatsApp che l’imputato descriveva come “tenere”, quasi concilianti, e che a suo dire avrebbero ridimensionato la credibilità della persona offesa. Il problema è che in atti non c’era il dispositivo, non c’era la possibilità di verificare direttamente la registrazione originaria: c’erano trascrizioni, copie, riproduzioni del contenuto. La Cassazione, in sostanza, non si lascia sedurre dalla trama emotiva dei messaggi e riporta tutto a un punto secco: senza acquisizione del supporto materiale che contiene la conversazione, la trascrizione resta una copia della copia. E una copia, per quanto “fedele” sembri, non consente di accertare davvero paternità e affidabilità del documento digitale. Qui la catena di custodia non è un vezzo procedurale: è la condizione stessa per poter parlare di prova, non di narrazione.
Nel secondo, il contesto è civile e più quotidiano, quello in cui una chat diventa improvvisamente la spina dorsale di un fatto: accordi, conferme, promesse, ammissioni. La Cassazione civile, con un passaggio che ha fatto scuola, ha riconosciuto che messaggi WhatsApp e SMS conservati su un dispositivo possono essere trattati come documenti e possono entrare nel processo anche tramite semplice riproduzione fotografica.
Poi, con una successiva pronuncia, ha chiarito il punto che spesso viene dimenticato quando ci si affida allo screenshot come a una scorciatoia: il suo peso probatorio regge finché la controparte non lo contesta in modo puntuale e circostanziato. Da quel momento in poi, se non hai un percorso tecnico che consenta verifiche serie sull’origine e sull’integrità, l’immagine rischia di restare sola, come una fotografia senza negativo: può impressionare, ma non è detto che regga quando qualcuno inizia a farle domande.
Questi esempi servono a ricordare una cosa che, nel lavoro quotidiano, tendiamo a dimenticare: il processo non valuta solo il risultato. Valuta la capacità di ricostruire il percorso. E quando il percorso è fragile, l’avversario non ha nemmeno bisogno di un grande esperto per attaccare: gli basta fare domande semplici e lasciarti senza risposte altrettanto semplici.
Per questo le buone pratiche non vanno viste come una collezione di adempimenti, ma come una forma di autoprotezione. Avere protocolli operativi standard interni non significa ingessarsi; significa ridurre la variabilità dove la variabilità è solo rischio. Documentare ogni passaggio, in modo contemporaneo e leggibile, significa evitare che la tua memoria venga messa in discussione. Usare strumenti affidabili e procedure che producano log significa trasformare il “mi pare” in “si vede”.
L’hashing, se fatto bene, diventa un refrain che accompagna tutta la vita della prova: all’acquisizione, al trasferimento, alla creazione di copie di lavoro, al deposito, alla riapertura. Non per ossessione, ma per coerenza. E la conservazione in ambienti controllati, con accesso registrato, non è una postura da laboratorio perfetto: è un modo per spegnere sul nascere la domanda più tossica che possa arrivare in aula, quella che riguarda chi avrebbe potuto intervenire senza lasciare traccia.
Anche la formazione conta più di quanto ammettiamo. Molte rotture della catena di custodia non derivano da cattiva fede, ma da improvvisazione, o da una cultura “ibrida” in cui un pezzo del lavoro viene trattato con standard forensi e un altro pezzo con abitudini informatiche ordinarie. Il digitale, però, non perdona le abitudini ordinarie quando diventa prova.
E qui torno al ruolo del digital forensics expert, quello vero, non quello da brochure. È il garante tecnico-giuridico della prova nel senso più concreto possibile: colui che rende la prova difendibile non perché la rende “impressionante”, ma perché la rende verificabile. In certi casi è persino un ruolo impopolare, perché costringe a rallentare quando tutti vogliono correre. Ma il punto è che la velocità, nel processo, è un vantaggio solo finché non si trasforma in vulnerabilità.
La catena di custodia è il filo invisibile che tiene insieme la verità tecnica e la credibilità processuale. Non è un accessorio della digital forensics: è la sua grammatica. Quando è solida, il contenuto può essere discusso sul merito. Quando è fragile, il contenuto diventa quasi irrilevante, perché la prova si trasforma in un oggetto contestabile in radice. E, nel mezzo, c’è la nostra responsabilità: non solo quella di saper fare, ma quella di saper dimostrare.
potrebbero interessarti…
Gli approfondimenti…
Contatti
Iscrivendoti alla nostra Newsletter acconsenti al trattamento dei dati personali ai sensi della legge n. 196/2003 e successive modifiche Regolamento UE 2016/679. Per ulteriori informazioni, clicca qui