Nel contesto disegnato dalla NIS 2 e dal D.Lgs. 138/2024, per i soggetti rientranti nel perimetro, la gestione degli incidenti di sicurezza informatica non può più limitarsi al ripristino dei sistemi e alla continuità operativa.

Quando un incidente assume o può assumere possibile rilevanza penalistica, la capacità di raccogliere, preservare e documentare correttamente le prove forensi diventa un elemento centrale di tutela per l’organizzazione stessa.

Il secondo capitolo della nuova esalogia analizza il ruolo delle prove forensi come strumento neutro e ambivalente che può operare a favore, contro o in una posizione intermedia rispetto all’organizzazione e chiarisce perché l’assenza di prove rappresenti spesso il rischio maggiore.

Attraverso una lettura giuridica, organizzativa e culturale, si mostra come la prova forense sia non solo un tema tecnico, ma anche una componente essenziale della responsabilità e della maturità organizzativa.

La prova come spartiacque tra gestione tecnica e responsabilità giuridica

Nel momento in cui un incidente notificato al CSIRT presenta anche potenziali profili di rilevanza penalistica, l’organizzazione entra in una fase nuova, certamente più complessa e meno governabile con gli strumenti ordinari della cyber security.

Da quel momento in avanti, non conta più soltanto cosa è stato fatto per ripristinare i servizi ma essenzialmente rileva:

• come sono stati gestiti i fatti;
• quali evidenze (fonti di prova) sono state preservate;
• quali decisioni sono state assunte e con quale grado di consapevolezza.

In questo passaggio, la “prova forense” smette di essere una questione per addetti ai lavori e diventa una variabile strategica.

L’evidenza – che sotto il profilo processual-penalistico può assumere la natura di “fonte di prova” è il fondamento su cui si basano:

• ricostruzione degli eventi;
• la valutazione delle responsabilità e, in molti casi, la difesa dell’organizzazione stessa.

Eppure, proprio su questo terreno si registra uno dei maggiori fraintendimenti culturali cioè l’idea che la raccolta delle prove forensi sia “pericolosa” per l’azienda perché potrebbe far emergere criticità, errori o mancanze.

Questa visione è miope e, soprattutto, molto rischiosa.

La prova forense come strumento neutro

Un primo punto deve essere chiarito con nettezza: la prova forense non è contro l’organizzazione e, per la verità, non è nemmeno automaticamente a suo favore.
È, per definizione, neutra perché serve a ricostruire i fatti.

Questa neutralità è ciò che la rende tanto potente quanto temuta perché le evidenze possono:

• dimostrare l’estraneità dell’organizzazione a una condotta criminale;
• confermare che tutte le misure ragionevolmente esigibili erano state adottate;
• evidenziare una collaborazione piena e tempestiva con le Autorità;
• però, anche mettere in luce carenze, omissioni o condotte negligenti.

Ma c’è una verità che l’esperienza insegna con chiarezza: l’assenza di prove gioca quasi sempre contro l’organizzazione.

Lo stesso vale per il semplice sospetto che tali prove possano essere state, anche solo involontariamente, alterate o compromesse.

In mancanza di evidenze verificabili, ogni ricostruzione dei fatti resta una mera dichiarazione e ogni spiegazione si riduce a una narrazione priva di dimostrabilità, e che quindi non può reggere il confronto sul piano giuridico, tecnico e decisionale.

Dalla sicurezza alla prova: un cambio di logica imposto dalla NIS 2

La NIS 2 ha imposto una logica di responsabilità dimostrabile, analoga all’accountability già nota nel GDPR.

Così, quando un incidente presenta una possibile rilevanza penalistica, la domanda non può più limitarsi a “come si risolve?”, ma deve estendersi a capire:

• cosa è accaduto realmente;
• quando è accaduto;
• chi era coinvolto;
• quali sistemi sono stati compromessi;
• quali azioni sono state intraprese e in quale sequenza.

Tutte queste domande trovano risposta solo se esistono evidenze ed è qui che la gestione tecnica dell’incidente si intreccia in modo indissolubile con il diritto.

Dimostrare l’estraneità e la diligenza

Uno degli aspetti più delicati riguarda la posizione dell’organizzazione rispetto all’evento criminale.

In presenza di un’indagine di polizia giudiziaria, l’azienda può trovarsi in diverse situazioni e presentarsi come:

• vittima diretta dell’azione criminale;
• parzialmente coinvolta per carenze organizzative;
• esposta a valutazioni intermedie, in cui responsabilità e diligenza devono essere ponderate;
• coinvolta in condotte poste in essere da propri esponenti o soggetti apicali, che abbiano agito nell’interesse o a vantaggio dell’organizzazione, con conseguente necessità di valutare la responsabilità dell’ente sul piano organizzativo e di governance.

Le prove forensi in tutti questi casi costituiscono lo strumento che consente di dimostrare e non solo di affermare. In particolare, consente di dimostrare:

• l’adozione di misure di sicurezza adeguate;
• la tempestività della risposta;
• correttezza delle procedure seguite;
• la collaborazione offerta.

Senza prove/evidenze, anche la migliore organizzazione rischia di non poter sostenere le proprie ragioni.

La prova come strumento anche “contro”

Esiste un punto che va affrontato con onestà intellettuale: le prove forensi possono anche mettere in luce errori, omissioni e falle organizzative fino ad evidenziare, nei casi estremi, complicità.

Questo è il motivo per cui, spesso, si tende inconsciamente a evitarle.

Ma attenzione: rimuovere le prove o non raccoglierle non elimina il problema; al contrario, lo amplifica.

In un contesto normativo come quello della NIS 2, l’opacità è sempre più rischiosa della trasparenza.

Accettare che la prova possa essere anche “scomoda” è un segno di maturità organizzativa e dimostra la capacità di riconoscere che la sicurezza è un processo migliorabile e che gli incidenti, per quanto gravi, possono diventare occasioni di apprendimento e rafforzamento.

La catena di custodia: il cuore giuridico della prova forense

La validità di una prova non dipende solo da ciò che rappresenta ma anche da come è stata raccolta, conservata e documentata.

Qui entra in gioco il concetto di catena di custodia, spesso citato ma raramente compreso fino in fondo.

La chain of custody è il registro ininterrotto e non alterabile che documenta:

• chi ha acquisito la prova;
• quando e dove;
• con quali strumenti;
• per quale motivo;
• chi ne ha avuto il controllo nel tempo.

Senza una catena di custodia corretta, anche la prova più significativa rischia di perdere valore giuridico e non perché sia falsa ma perché non è dimostrabile la sua integrità.

Prova tecnica e prova giuridica: due piani che devono dialogare

Un altro errore diffuso è pensare che la prova forense sia esclusivamente una questione tecnica.

In realtà, la prova vive su due piani distinti ma interconnessi:

• il piano tecnico, che riguarda l’acquisizione, l’analisi e l’interpretazione dei dati;
• il piano giuridico, che riguarda l’ammissibilità, l’affidabilità e la spendibilità dell’evidenza che acquista la natura di fonte di prova processuale.

Una prova/evidenza tecnicamente perfetta ma giuridicamente fragile è inutile e, allo stesso modo, una prova giuridicamente rilevante ma tecnicamente compromessa non regge.

Per questo motivo, la raccolta delle prove non può essere improvvisata né delegata a personale privo di esperienza, competenza e consapevolezza.

È fondamentale quindi ribadire un principio: la raccolta delle prove forensi complesse deve essere affidata a esperti qualificati, giuristi informatici, consulenti forensi, professionisti certificati.

Questo non è in discussione.

Ma questo, comunque, non significa che l’organizzazione e il suo personale siano irrilevanti, anzi, i primissimi comportamenti messi in atto durante un incidente possono preservare o distruggere irrimediabilmente le prove.

Proprio su questo confine che si gioca una parte decisiva della responsabilità organizzativa.

La prova come elemento di collaborazione con le Autorità

Quando un incidente entra nel perimetro penale, la disponibilità di prove corrette può facilitare enormemente il rapporto con le Autorità di contrasto, perché dimostra collaborazione, serietà, affidabilità e, contestualmente, tende a ridurre incomprensioni, accelera le valutazioni, rafforza la posizione dell’organizzazione.

Invece, l’assenza di prove, o la loro compromissione, genera sospetti, rallenta le attività e può indurre valutazioni più severe.

Una cultura delle prove forensi ancora da costruire

Molte organizzazioni investono in tecnologie avanzate, ma trascurano l’aspetto culturale.

La prova forense è prima di tutto una questione di cultura organizzativa: sapere che ogni intervento va documentato e che ogni decisione deve essere tracciabile.

Questa cultura, però, non nasce spontaneamente; va costruita attraverso procedure chiare, formazione mirata e consapevolezza diffusa.

Un punto di incontro tra tecnologia, diritto e responsabilità

In un contesto come quello delineato dalla NIS 2, la prova forense rappresenta il punto di incontro tra tecnologia, diritto e responsabilità.

Certamente non è un’arma contro l’organizzazione, ma uno strumento che consente di dire, con credibilità, cosa è accaduto e come è stato gestito.

Nel prossimo articolo entreremo nel dettaglio operativo, analizzando come le prove devono essere preservate fin dai primi minuti di un incidente, quale ruolo può e deve avere il personale non tecnico e perché alcune azioni, apparentemente innocue, possono compromettere in modo irreversibile il valore delle evidenze.