Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuovo paradigma

La catena di custodia come architettura della prova forense

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

La catena di custodia è un processo strutturale, operativo e normativo. Ecco le fasi, gli strumenti, il valore probatorio e l’inquadramento internazionale, in riferimento alla Convenzione di Budapest

Pubblicato il 10 feb 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Catena di custodia
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Nel contesto degli incidenti di sicurezza informatica che presentano o possono presentare profili di rilevanza criminale, la raccolta delle prove (o meglio, fonti di prova) non è sufficiente se non è accompagnata da una gestione rigorosa, documentata e continuativa delle evidenze.

Parliamo della catena di custodia che rappresenta il presidio giuridico che consente di trasformare un dato digitale in una prova spendibile in sede investigativa e giudiziaria.

Il quinto capitolo della esalogia dedicata alle prove forensi nella NIS 2 analizza proprio la catena di custodia come processo strutturale, operativo e normativo, chiarendone le fasi, gli strumenti, il valore probatorio e l’inquadramento internazionale, con particolare riferimento alla Convenzione di Budapest.

Quando un incidente cyber smette di essere un problema tecnico e diventa di interesse pubblico

La catena di custodia: dove la verità diventa legittima

Nei precedenti capitoli della esalogia dedicata alle prove forensi, abbiamo:

  • chiarito quando un incidente informatico cessa di essere un semplice evento tecnico e assume una possibile rilevanza giuridica;
  • mostrato che la prova forense non è uno strumento difensivo da usare secondo convenienza ma un presidio di responsabilità;
  • dimostrato che il tempo e i primi comportamenti determinano in modo irreversibile il destino delle evidenze.

A questo punto del nostro percorso emerge il nodo che tiene insieme l’intero sistema.
Quel nodo è rappresentato dalla catena di custodia, il meccanismo che consente a un’evidenza digitale di conservare nel tempo la propria identità, integrità e riferibilità, anche quando:

  • il contesto operativo cambia;
  • i sistemi vengono ripristinati;
  • le persone si avvicendano;
  • l’evento viene sottoposto a valutazioni esterne, ispettive o giudiziarie.

La catena di custodia nel contesto delle prove forensi digitali

In ambito di digital forensics, la catena di custodia è un processo formalizzato che documenta in modo ininterrotto la vita della prova digitale, dalla sua acquisizione fino alla sua eventuale presentazione in sede giudiziaria.

La catena di custodia è, quindi, ciò che preserva la continuità di senso tra il momento in cui un dato viene acquisito e quello in cui viene valutato.

Essa rende sempre dimostrabile:

  • chi ha raccolto l’evidenza;
  • in quale momento;
  • in quale luogo;
  • con quali strumenti;
  • per quale finalità;
  • chi ne ha avuto la disponibilità nel tempo.

La funzione non è meramente descrittiva, ma difensiva e garantista: serve a prevenire contestazioni su manipolazioni, contaminazioni o alterazioni anche involontarie.

Nel quadro della NIS 2

Una prova priva di una catena di custodia completa è giuridicamente fragile e, in molti casi, inutilizzabile.

Ora, nel quadro disegnato dalla NIS 2 e dal D.lgs. 138/2024, questo passaggio assume una portata ancora più marcata poiché la catena di custodia non è più un dettaglio operativo riservato agli specialisti forensi ma una vera e propria condizione di legittimità della gestione dell’incidente.

È ciò che rende l’azione dell’organizzazione difendibile, sostenibile e credibile nel tempo.

Proteggere la catena di custodia significa, in ultima analisi, proteggere l’organizzazione da sé stessa: dalle improvvisazioni e dalle buone intenzioni mal gestite nonché dalla fretta che cancella le tracce.

Gli strumenti a supporto della catena di custodia

La tenuta della catena di custodia non è affidata a un solo elemento, ma a un insieme coerente di strumenti e procedure e quindi misure di carattere tecnico ed organizzativo.
Nella fase iniziale, il primo obiettivo è l’isolamento del reperto.

Dispositivi come gabbie di Faraday, jammer o sistemi di isolamento radio servono a impedire interferenze esterne, cancellazioni da remoto o modifiche accidentali.
I write blocker (hardware) garantiscono che l’acquisizione avvenga senza alcuna possibilità di scrittura sull’originale.

Segue poi la fase dell’acquisizione forense che deve sempre avvenire tramite copie bit-per-bit.

Gli hash crittografici, calcolati prima e dopo l’acquisizione sono la prova matematica dell’immutabilità del dato.

Eppure, senza documentazione tutto questo perde valore.

I registri di catena di custodia, le etichette numerate, i sigilli e i software di evidence management costituiscono il tessuto narrativo della prova. In questo modo, la tecnica diventa diritto.

Il processo operativo della catena di custodia

Dal punto di vista operativo, la catena di custodia si articola in un percorso coerente che accompagna l’evidenza in ogni sua fase.

La raccolta richiede:

  • l’isolamento del sistema;
  • la documentazione della scena digitale;
  • l’acquisizione forense certificata.

Il trasporto implica sigillatura, tracciabilità e registrazione di ogni passaggio di mano.

L’analisi deve avvenire esclusivamente sulle copie, con documentazione puntuale delle attività svolte.

La conservazione finale prevede ambienti sicuri, accessi controllati e registrazioni verificabili.

Questo approccio è necessario per eseguire l’indagine e serve all’organizzazione per dimostrare metodo, disciplina e correttezza.

Ovviamente siamo ben consapevoli che l’individuazione degli strumenti più adatti al contesto ed il loro utilizzo richiede competenze tecniche notevoli. È quindi necessario ricorrere ad esperti che di volta in volta possono supportare le organizzazioni.

Questo, però, non cambia una circostanza fondamentale: nei primi momenti successivi a un incidente, la conservazione delle evidenze è nelle mani del personale direttamente coinvolto ed è proprio per questo motivo che diventano
determinanti la formazione, le esercitazioni e procedure chiare e condivise che consentono di guidare le azioni immediate e di evitare errori irreversibili.

La catena di custodia e il quadro internazionale

Il valore della catena di custodia emerge con particolare forza nel contesto internazionale.

La Convenzione di Budapest sulla criminalità informatica del 23 novembre 2001 elaborata dal Consiglio d’Europa rappresenta il primo strumento vincolante volto ad armonizzare i reati informatici e le modalità di raccolta delle prove elettroniche.

La Convenzione, ratificata dall’Italia con legge 48/2008, presuppone implicitamente che le evidenze digitali siano gestite secondo criteri tali da renderle affidabili anche oltre i confini nazionali.

Il Secondo Protocollo del 2021, sottoscritto dall’Italia il 12 maggio 2022, rafforza ulteriormente questo impianto, introducendo procedure accelerate e accessi transfrontalieri alle prove.

In questo scenario, una catena di custodia solida è la condizione che consente a una prova acquisita in un Paese di essere utilizzabile in un altro.

La catena di custodia nella digital forensics

In conclusione, la catena di custodia è la struttura portante che consente alla digital forensics di assolvere alla sua funzione più alta che è quella di trasformare un dato in verità giuridicamente sostenibile.

Nel contesto della NIS 2, dove gli incidenti possono rapidamente assumere una dimensione pubblica e penale, la capacità di dimostrare come una evidenza è stata gestita diventa parte integrante della responsabilità organizzativa.

Chi governa correttamente la catena di custodia oltre a garantire un regolare sviluppo dell’indagine, protegge anche l’organizzazione stessa e la sua credibilità.

È qui che la sicurezza smette di essere reazione e diventa governo consapevole dell’accaduto.

Nel prossimo e ultimo capitolo dell’esalogia lo sguardo si allargherà oltre i confini nazionali, analizzando la funzione della Convenzione di Budapest, il quadro giuridico che rende possibile la cooperazione internazionale sugli incidenti cyber.

Si spiegherà perché, senza metodo, documentazione e catena di custodia, la prova digitale smette semplicemente di esistere.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Garante privacy ricostruire fiducia

  • fra crisi e opportunità

    Oltre le dimissioni di un componente del Garante privacy: le 4 opzioni in gioco

    19 Gen 2026

    di Pasquale Mancino

    Condividi
  • Attacco cyber russia polonia; La campagna di sabotaggio della Russia diventa sempre più audace

  • sandworm

    Attacco cyber russo alla Polonia: la guerra è in UE e nessuno si sorprende

    26 Gen 2026

    di Alessandro Longo

    Condividi
  • Conformità a GDPR e NIS 2: come si determina il livello di rischio associato al fornitore

  • Risk Management

    Conformità a GDPR e NIS 2: come si determina il livello di rischio associato al fornitore

    29 Apr 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
0
Lascia un commento, la tua opinione conta.x