Nel contesto degli incidenti di sicurezza informatica che presentano o possono presentare profili di rilevanza criminale, la raccolta delle prove (o meglio, fonti di prova) non è sufficiente se non è accompagnata da una gestione rigorosa, documentata e continuativa delle evidenze.

Parliamo della catena di custodia che rappresenta il presidio giuridico che consente di trasformare un dato digitale in una prova spendibile in sede investigativa e giudiziaria.

Il quinto capitolo della esalogia dedicata alle prove forensi nella NIS 2 analizza proprio la catena di custodia come processo strutturale, operativo e normativo, chiarendone le fasi, gli strumenti, il valore probatorio e l’inquadramento internazionale, con particolare riferimento alla Convenzione di Budapest.

La catena di custodia: dove la verità diventa legittima

Nei precedenti capitoli della esalogia dedicata alle prove forensi, abbiamo:

• chiarito quando un incidente informatico cessa di essere un semplice evento tecnico e assume una possibile rilevanza giuridica;
• mostrato che la prova forense non è uno strumento difensivo da usare secondo convenienza ma un presidio di responsabilità;
• dimostrato che il tempo e i primi comportamenti determinano in modo irreversibile il destino delle evidenze.

A questo punto del nostro percorso emerge il nodo che tiene insieme l’intero sistema.
Quel nodo è rappresentato dalla catena di custodia, il meccanismo che consente a un’evidenza digitale di conservare nel tempo la propria identità, integrità e riferibilità, anche quando:

• il contesto operativo cambia;
• i sistemi vengono ripristinati;
• le persone si avvicendano;
• l’evento viene sottoposto a valutazioni esterne, ispettive o giudiziarie.

La catena di custodia nel contesto delle prove forensi digitali

In ambito di digital forensics, la catena di custodia è un processo formalizzato che documenta in modo ininterrotto la vita della prova digitale, dalla sua acquisizione fino alla sua eventuale presentazione in sede giudiziaria.

La catena di custodia è, quindi, ciò che preserva la continuità di senso tra il momento in cui un dato viene acquisito e quello in cui viene valutato.

Essa rende sempre dimostrabile:

• chi ha raccolto l’evidenza;
• in quale momento;
• in quale luogo;
• con quali strumenti;
• per quale finalità;
• chi ne ha avuto la disponibilità nel tempo.

La funzione non è meramente descrittiva, ma difensiva e garantista: serve a prevenire contestazioni su manipolazioni, contaminazioni o alterazioni anche involontarie.

Nel quadro della NIS 2

Una prova priva di una catena di custodia completa è giuridicamente fragile e, in molti casi, inutilizzabile.

Ora, nel quadro disegnato dalla NIS 2 e dal D.lgs. 138/2024, questo passaggio assume una portata ancora più marcata poiché la catena di custodia non è più un dettaglio operativo riservato agli specialisti forensi ma una vera e propria condizione di legittimità della gestione dell’incidente.

È ciò che rende l’azione dell’organizzazione difendibile, sostenibile e credibile nel tempo.

Proteggere la catena di custodia significa, in ultima analisi, proteggere l’organizzazione da sé stessa: dalle improvvisazioni e dalle buone intenzioni mal gestite nonché dalla fretta che cancella le tracce.

Gli strumenti a supporto della catena di custodia

La tenuta della catena di custodia non è affidata a un solo elemento, ma a un insieme coerente di strumenti e procedure e quindi misure di carattere tecnico ed organizzativo.
Nella fase iniziale, il primo obiettivo è l’isolamento del reperto.

Dispositivi come gabbie di Faraday, jammer o sistemi di isolamento radio servono a impedire interferenze esterne, cancellazioni da remoto o modifiche accidentali.
I write blocker (hardware) garantiscono che l’acquisizione avvenga senza alcuna possibilità di scrittura sull’originale.

Segue poi la fase dell’acquisizione forense che deve sempre avvenire tramite copie bit-per-bit.

Gli hash crittografici, calcolati prima e dopo l’acquisizione sono la prova matematica dell’immutabilità del dato.

Eppure, senza documentazione tutto questo perde valore.

I registri di catena di custodia, le etichette numerate, i sigilli e i software di evidence management costituiscono il tessuto narrativo della prova. In questo modo, la tecnica diventa diritto.

Il processo operativo della catena di custodia

Dal punto di vista operativo, la catena di custodia si articola in un percorso coerente che accompagna l’evidenza in ogni sua fase.

La raccolta richiede:

• l’isolamento del sistema;
• la documentazione della scena digitale;
• l’acquisizione forense certificata.

Il trasporto implica sigillatura, tracciabilità e registrazione di ogni passaggio di mano.

L’analisi deve avvenire esclusivamente sulle copie, con documentazione puntuale delle attività svolte.

La conservazione finale prevede ambienti sicuri, accessi controllati e registrazioni verificabili.

Questo approccio è necessario per eseguire l’indagine e serve all’organizzazione per dimostrare metodo, disciplina e correttezza.

Ovviamente siamo ben consapevoli che l’individuazione degli strumenti più adatti al contesto ed il loro utilizzo richiede competenze tecniche notevoli. È quindi necessario ricorrere ad esperti che di volta in volta possono supportare le organizzazioni.

Questo, però, non cambia una circostanza fondamentale: nei primi momenti successivi a un incidente, la conservazione delle evidenze è nelle mani del personale direttamente coinvolto ed è proprio per questo motivo che diventano
determinanti la formazione, le esercitazioni e procedure chiare e condivise che consentono di guidare le azioni immediate e di evitare errori irreversibili.

La catena di custodia e il quadro internazionale

Il valore della catena di custodia emerge con particolare forza nel contesto internazionale.

La Convenzione di Budapest sulla criminalità informatica del 23 novembre 2001 elaborata dal Consiglio d’Europa rappresenta il primo strumento vincolante volto ad armonizzare i reati informatici e le modalità di raccolta delle prove elettroniche.

La Convenzione, ratificata dall’Italia con legge 48/2008, presuppone implicitamente che le evidenze digitali siano gestite secondo criteri tali da renderle affidabili anche oltre i confini nazionali.

Il Secondo Protocollo del 2021, sottoscritto dall’Italia il 12 maggio 2022, rafforza ulteriormente questo impianto, introducendo procedure accelerate e accessi transfrontalieri alle prove.

In questo scenario, una catena di custodia solida è la condizione che consente a una prova acquisita in un Paese di essere utilizzabile in un altro.

La catena di custodia nella digital forensics

In conclusione, la catena di custodia è la struttura portante che consente alla digital forensics di assolvere alla sua funzione più alta che è quella di trasformare un dato in verità giuridicamente sostenibile.

Nel contesto della NIS 2, dove gli incidenti possono rapidamente assumere una dimensione pubblica e penale, la capacità di dimostrare come una evidenza è stata gestita diventa parte integrante della responsabilità organizzativa.

Chi governa correttamente la catena di custodia oltre a garantire un regolare sviluppo dell’indagine, protegge anche l’organizzazione stessa e la sua credibilità.

È qui che la sicurezza smette di essere reazione e diventa governo consapevole dell’accaduto.

Nel prossimo e ultimo capitolo dell’esalogia lo sguardo si allargherà oltre i confini nazionali, analizzando la funzione della Convenzione di Budapest, il quadro giuridico che rende possibile la cooperazione internazionale sugli incidenti cyber.

Si spiegherà perché, senza metodo, documentazione e catena di custodia, la prova digitale smette semplicemente di esistere.