CONTATTACI

Sentenze

Recupero dati e prove cancellate per una causa

Schema del percorso dalla prova digitale cancellata alla sua ammissione in giudizio: dispositivo, copia forense, estrazione e analisi, relazione tecnica, udienza
Il percorso della prova digitale cancellata: dalla copia forense con hash di controllo alla relazione tecnica ammissibile in giudizio, nel rispetto della catena di custodia imposta dalla L. 48/2008.

Le illustrazioni di questa pagina sono schemi tecnici vettoriali realizzati a fini divulgativi: non rappresentano procedimenti reali e potranno essere sostituiti con immagini editoriali. Ogni caso concreto dipende dalle circostanze specifiche.

Il recupero dati per una causa è il processo con cui un consulente informatico-forense estrae, autentica e documenta informazioni digitali — messaggi, file, log di sistema, cronologie — in modo tale che possano essere prodotte come prova in un giudizio civile o penale. Quando un messaggio è stato cancellato, un file eliminato o un account svuotato, non è detto che la prova sia persa per sempre: nella memoria dei dispositivi digitali, ciò che è stato cancellato spesso permane fisicamente finché non viene sovrascritto da nuovi dati.

Questo articolo si rivolge a tre categorie di lettori. Il privato che si trova in una disputa in cui l'altra parte ha cancellato conversazioni o documenti decisivi. L'impresa o il professionista che deve provare o contestare condotte avvenute attraverso canali digitali. Il collega avvocato che cerca un supporto tecnico-forense affidabile per il proprio fascicolo, capace di reggere nel contraddittorio davanti al giudice.

Come funziona il recupero di dati cancellati

Quando un utente elimina un file o un messaggio, il sistema operativo del dispositivo non cancella immediatamente il contenuto: si limita a segnare quello spazio di memoria come "disponibile" per nuovi dati. Il contenuto originale rimane fisicamente nella memoria fino al momento in cui viene sovrascritto. Quanto tempo questo richiede dipende da molti fattori: il volume di dati generati dal dispositivo, le impostazioni di sistema, il tempo trascorso e la capacità di archiviazione disponibile.

Un consulente informatico-forense sfrutta proprio questo principio. Attraverso strumenti di analisi certificati — ampiamente diffusi nel settore della digital forensics — effettua una lettura integrale della memoria del dispositivo, compresi gli spazi teoricamente liberi, estraendo tutto il contenuto ancora presente. Il processo non si limita ai file interi: recupera frammenti, intestazioni, blocchi parziali di dati, con i relativi metadati di creazione, modifica e accesso.

È importante essere precisi su un punto: il recupero non è sempre possibile. Se i settori di memoria sono stati sovrascritti più volte, o se il dispositivo ha subito una formattazione sicura, i dati potrebbero essere irrecuperabili. Questo rende il fattore tempo decisivo: prima si interviene dopo la cancellazione, maggiori sono le probabilità di recupero utile. Lo stesso vale per le copie di backup su servizi cloud, che possono conservare versioni precedenti dei dati anche dopo la cancellazione dal dispositivo principale.

La copia forense e la catena di custodia

Il punto di partenza di qualsiasi attività di informatica forense orientata al processo è la copia forense. Non si tratta di una semplice copia dei file visibili: è la duplicazione bit a bit dell'intero supporto di memorizzazione, eseguita con strumenti che impediscono qualsiasi scrittura sul dispositivo originale (i cosiddetti write blocker). L'originale resta integro e inalterato; tutta l'analisi viene condotta sulla copia.

L'autenticità della copia forense è garantita da una funzione crittografica di controllo: l'hash. I due valori hash più diffusi in ambito forense sono MD5 e SHA-256. Il consulente calcola il valore hash sia sull'originale sia sulla copia: se i due valori coincidono, la duplicazione è avvenuta senza alterazioni. Qualsiasi modifica successiva anche di un singolo byte produrrebbe un hash diverso, rendendo immediatamente rilevabile ogni manomissione.

La catena di custodia è il documento che accompagna la copia forense per tutta la sua vita processuale: registra chi ha avuto accesso al supporto, quando e per quale motivo. Una catena di custodia interrotta o lacunosa può compromettere la credibilità della prova, perché apre la strada all'obiezione che il materiale possa essere stato alterato durante uno dei passaggi. Per questo il consulente informatico-forense documenta ogni operazione con rigore — orari, strumenti utilizzati, valori hash calcolati — producendo una relazione tecnica che il giudice può verificare in ogni sua parte.

La prova digitale vale quanto il metodo con cui è stata acquisita. Un messaggio recuperato senza rispettare le procedure forensi può essere contestato nel contraddittorio e perdere gran parte del suo valore probatorio. La solidità della prova non dipende solo dal contenuto, ma dalla tracciabilità di ogni passo dell'acquisizione.

La Legge 48/2008 e le regole di acquisizione

In Italia il quadro normativo di riferimento per l'acquisizione delle prove informatiche è costruito attorno alla Legge 18 marzo 2008, n. 48, che ha ratificato la Convenzione di Budapest sul crimine informatico e modificato il codice di procedura penale introducendo specifiche disposizioni sulla raccolta di evidenze digitali. La legge richiede che l'acquisizione di sistemi informatici o telematici avvenga adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e a impedire l'alterazione.

Questa cornice normativa è nata per il processo penale, ma i suoi principi — integrità del dato, documentazione del metodo, verificabilità — si riverberano anche nella prassi civile. Quando una parte produce in giudizio dati digitali acquisiti senza rispettare questi criteri, la controparte può contestarne l'autenticità, sollevando dubbi sull'integrità del materiale. Per chi vuole che la propria prova regga davvero nel contraddittorio, seguire le procedure forensi consolidate è una scelta di metodo prima ancora che un obbligo giuridico.

Sul versante delle prove informatiche nel processo civile, si applica la disciplina generale del codice di procedura civile in materia di documenti informatici, coordinata con il Codice dell'Amministrazione Digitale (d.lgs. 82/2005 e successive modifiche). Il CAD stabilisce regole sulla validità e sull'efficacia probatoria dei documenti informatici, distinguendo tra firma elettronica qualificata, avanzata e semplice. I riferimenti precisi agli articoli vanno verificati con il testo vigente, poiché il CAD ha subito numerose revisioni.

Ammissibilità della prova digitale: limiti e condizioni

La prova digitale non è automaticamente ammissibile solo perché esiste. Il giudice valuta la fonte, il metodo di acquisizione e la coerenza del materiale con le altre prove. Tre profili meritano attenzione: l'autenticità, la liceità dell'acquisizione e la rilevanza.

L'autenticità riguarda la garanzia che il dato prodotto in giudizio sia effettivamente quello originale, non modificato. La copia forense con hash verificabile risponde a questa esigenza. Lo screenshot, invece, non offre alcuna garanzia: può essere alterato in pochi secondi con qualsiasi editor grafico e non conserva i metadati originali del messaggio. Per questo, nelle controversie in cui la prova digitale è decisiva, lo screenshot da solo non è sufficiente.

La liceità dell'acquisizione pone un problema diverso: il dato deve essere stato raccolto in modo conforme alla legge. Questo esclude, in via di principio, qualsiasi prova ottenuta accedendo abusivamente ai sistemi informatici altrui, intercettando comunicazioni private o violando le norme sulla protezione dei dati personali. La Corte di Cassazione, nell'orientamento prevalente, tende a escludere dal novero delle prove utilizzabili quelle acquisite in violazione di diritti fondamentali, anche se il tema è oggetto di evoluzione giurisprudenziale e va valutato caso per caso con il legale.

La rilevanza è il terzo filtro: il dato deve essere pertinente ai fatti da provare. Un'estrazione forense enorme di gigabyte di dati, presentata in modo indiscriminato, può essere rigettata per difetto di specificità. Il lavoro del consulente informatico-forense comprende anche la selezione e la spiegazione dei dati significativi ai fini del giudizio.

Tipo di prova digitale Metodo di acquisizione idoneo Principale limite di ammissibilità
Messaggi e chat (WhatsApp, email, SMS) Estrazione forense da dispositivo originale con copia hash-verificata Screenshot non certificato: contestabile per mancanza di autenticità
File cancellati (documenti, foto, video) Acquisizione forense bit a bit con write blocker Irrecuperabilità se i settori sono stati sovrascritti
Log di sistema e cronologie di navigazione Copia forense con documentazione della catena di custodia Necessità di interpretazione tecnica per attribuire le azioni all'utente
Dati da servizi cloud (Google Drive, iCloud, ecc.) Ordine del giudice o consenso del titolare; in sede penale, rogatoria Accesso subordinato a ordine dell'autorità o accordo con il provider
Post e contenuti social cancellati Estrazione forense o acquisizione tramite notaio con marca temporale Piattaforme conservano i dati per periodi limitati; velocità di intervento decisiva

L'accertamento tecnico preventivo ex art. 696 c.p.c.

L'accertamento tecnico preventivo (ATP), previsto dall'art. 696 del codice di procedura civile, è lo strumento che permette di cristallizzare una prova prima che vada perduta, prima ancora di avviare il giudizio di merito o durante il suo corso. Il richiedente presenta al tribunale competente un ricorso in cui illustra l'urgenza dell'accertamento e il rischio che la prova sparisca o si deteriori nell'attesa.

Il giudice, se ritiene sussistente l'urgenza, nomina un consulente tecnico d'ufficio con l'incarico di procedere all'accertamento. Le parti possono nominare i propri consulenti tecnici di parte per assistere alle operazioni e depositare osservazioni. Il verbale dell'ATP costituisce prova precostituita, utilizzabile nel successivo giudizio di merito.

Nei casi di prova digitale, l'ATP è particolarmente utile perché la sua natura cautelare consente di agire con i tempi che la natura volatile dei dati richiede. Un dato digitale può essere sovrascritto, un account può essere chiuso, un backup eliminato: attendere i tempi ordinari del processo civile può significare perdere la prova in modo irreparabile. Il ricorso per ATP, in questi casi, può essere presentato anche con estrema urgenza, chiedendo al giudice un intervento in tempi molto ridotti.

In sintesi

  • Dati cancellati: restano fisicamente nel dispositivo fino alla sovrascrittura; intervenire prima aumenta le possibilità di recupero.
  • Copia forense: duplicazione bit a bit con hash MD5/SHA-256 che garantisce l'integrità e l'autenticità del materiale.
  • Catena di custodia: documentazione di ogni passaggio dal dispositivo originale alla relazione tecnica depositata in giudizio.
  • L. 48/2008: impone di acquisire le prove informatiche senza alterarle; i suoi principi orientano anche il processo civile.
  • ATP ex art. 696 c.p.c.: strumento cautelare per cristallizzare la prova digitale prima che vada perduta.
  • Liceità: la prova deve essere stata raccolta senza violare i sistemi altrui né le norme sulla privacy.

Quali dati si possono recuperare: una panoramica pratica

La gamma di dati recuperabili con le tecniche di informatica forense è ampia, ma non illimitata. Dipende dal tipo di dispositivo, dal sistema operativo, dalle applicazioni installate e dal tempo trascorso dalla cancellazione. Una panoramica orientativa aiuta a capire dove vale la pena investigare.

Dagli smartphone è possibile, in molti casi, estrarre messaggi di testo (SMS), conversazioni di app di messaggistica (WhatsApp, Telegram, Signal, iMessage), email, foto e video eliminati, contatti, cronologie di chiamate, posizioni GPS, log di accesso alle applicazioni. La possibilità concreta dipende molto dal sistema operativo (iOS o Android), dalla versione del firmware e dalla presenza o meno di crittografia attiva.

Dai computer e laptop si possono recuperare documenti, fogli di calcolo, presentazioni eliminati, email locali, cronologie di navigazione, file temporanei, versioni precedenti di documenti. I sistemi operativi moderni tendono a conservare tracce significative delle attività dell'utente anche dopo la cancellazione volontaria. I log di sistema, in particolare, registrano l'accesso a file e applicazioni con timestamp precisi, utili per ricostruire una sequenza di eventi.

Per i dati custoditi su server aziendali o servizi cloud, il discorso è diverso: l'accesso richiede la cooperazione del provider o un ordine dell'autorità giudiziaria. Molte piattaforme conservano i log delle attività per un periodo definito, dopodiché li eliminano definitivamente. In ambito penale, la polizia giudiziaria può richiedere la conservazione di dati telematici all'operatore (cosiddetto data preservation). In sede civile, un ATP con nomina di un CTU può aprire la strada a richieste di produzione documentale verso terzi, nei limiti previsti dalla legge.

Nella pratica dello studio, le situazioni più frequenti che richiedono un supporto di informatica forense riguardano controversie in materia di valore probatorio delle chat WhatsApp in giudizio, contenziosi tra soci o ex dipendenti in cui si sospetta la cancellazione di prove, separazioni e divorzi in cui messaggi o documenti risultano eliminati, e vicende legate ad account violati o furto di identità digitale.

Privacy, accesso ai dispositivi altrui e limiti penali

Una distinzione fondamentale riguarda la differenza tra recuperare dati da un dispositivo proprio e accedere a quello altrui. Il recupero forense su dispositivo proprio — il proprio smartphone, il proprio computer — è in linea di principio lecito: ci si può rivolgere a un consulente informatico-forense per recuperare dati cancellati dal proprio archivio e produrli in giudizio.

L'accesso al dispositivo altrui è un terreno radicalmente diverso. L'art. 615-ter del codice penale punisce l'accesso abusivo a sistemi informatici o telematici: chiunque entri senza autorizzazione nel sistema informatico di un'altra persona commette un reato, indipendentemente dall'intenzione di raccogliere prove. Le prove così ottenute, oltre a esporre chi le ha raccolte a conseguenze penali, rischiano di essere dichiarate inutilizzabili in giudizio.

Un capitolo a sé riguarda i dispositivi condivisi — il computer di casa, un profilo familiare — dove i confini dell'autorizzazione possono essere meno netti. Anche in questi casi la soluzione corretta non è l'accesso autonomo, ma rivolgersi all'avvocato per valutare se sussistano le condizioni per richiedere un accertamento in sede giudiziaria. L'orientamento prevalente tende a valorizzare il contraddittorio e la supervisione del giudice come garanzia di lealtà procedurale.

Sul versante della privacy, il GDPR e il Codice della Privacy (d.lgs. 196/2003, come modificato dal d.lgs. 101/2018) non precludono l'uso processuale di dati personali, ma impongono il rispetto del principio di minimizzazione: la prova deve riguardare strettamente i fatti da accertare, senza portare in giudizio dati personali eccedenti. Un consulente informatico-forense esperto sa selezionare il materiale rilevante, limitando l'esposizione di dati non pertinenti. In controversie come quelle legate al phishing e ai bonifici fraudolenti, questo equilibrio tra prova necessaria e tutela della privacy è spesso al centro del lavoro tecnico-legale.

Domande frequenti

È possibile recuperare dati cancellati da uno smartphone per usarli in causa?
In molti casi sì. I dati eliminati dall'utente restano fisicamente presenti nella memoria del dispositivo finché non vengono sovrascritti da nuovi dati. Un consulente informatico-forense può estrarne copia bit a bit con strumenti forensi certificati, preservando i metadati originali e rispettando le condizioni di ammissibilità previste dalla legge.
Cosa si intende per copia forense e perché è importante?
La copia forense è la duplicazione integrale e verificabile di un dispositivo di memorizzazione, eseguita con strumenti che non alterano il contenuto originale. La sua autenticità è garantita da valori hash (MD5 o SHA-256) che confrontano l'originale con la copia: qualsiasi modifica anche minima produce un hash diverso, rendendo rilevabile qualsiasi alterazione.
La Legge 48/2008 impone obblighi specifici sulla raccolta di prove digitali?
Sì. La Legge 48/2008, che ha ratificato la Convenzione di Budapest sul cybercrime, ha introdotto nell'ordinamento italiano l'obbligo di acquisire le prove informatiche adottando misure tecniche idonee ad assicurarne la conservazione e l'integrità. Questo vale in sede penale e orienta anche la prassi nelle cause civili, dove la solidità della prova dipende dal metodo di acquisizione.
Cos'è l'accertamento tecnico preventivo (ATP) e quando conviene richiederlo?
L'accertamento tecnico preventivo ex art. 696 c.p.c. è una procedura cautelare che permette di cristallizzare una prova prima o durante il giudizio di merito, quando c'è urgenza di raccoglierla o quando si teme che possa andare perduta. È particolarmente utile per i dati digitali, che rischiano di essere sovrascritti, cancellati o diventare inaccessibili nel tempo.
I messaggi WhatsApp cancellati possono essere recuperati e usati come prova?
Dipende dallo stato del dispositivo e dal tempo trascorso dalla cancellazione. Se i dati non sono stati sovrascritti, l'estrazione forense può recuperarli. L'ammissibilità in giudizio dipende però da come sono stati acquisiti: uno screenshot da solo non è sufficiente; occorre un'estrazione forense certificata che garantisca l'autenticità e i metadati del messaggio.
È lecito accedere al dispositivo altrui per raccogliere prove?
No, in linea generale. Accedere senza autorizzazione a un sistema informatico altrui integra il reato di accesso abusivo ai sistemi informatici (art. 615-ter c.p.). Le prove ottenute in questo modo rischiano di essere inutilizzabili e di esporre chi le ha raccolte a responsabilità penali. La via corretta è rivolgersi al giudice per ottenere l'accesso in sede di accertamento tecnico o nell'ambito di un procedimento.
Tutte le domande frequenti del sitoSfogliale raggruppate per tema e per argomentoApri l'indice FAQ →

Hai bisogno di recuperare o proteggere una prova digitale?

Se una prova digitale è stata cancellata o rischia di andare perduta, il tempo è un fattore critico. Lo studio affianca il cliente con competenza tecnico-forense — dalla valutazione della fattibilità del recupero all'eventuale richiesta di accertamento tecnico preventivo — nel rispetto della deontologia e senza promesse di esito. Una prima valutazione riservata può aiutarti a capire cosa è ancora possibile fare.

Contatta lo studio

Articoli correlati

Sentenze

Le chat WhatsApp come prova in giudizio

Giugno 21, 2026
Sentenze

Account violato e furto d'identità digitale

Giugno 21, 2026
Sentenze

Phishing e bonifico fraudolento: quando la banca rimborsa

Giugno 21, 2026