Analisi Forense Analisi Forense Analisi Forense
Bologna, Italy
(dalle 8 alle 22)
Analisi Forense Analisi Forense Analisi Forense

Un contenuto web cancellato può ancora essere utilizzato come prova

“Dare un’occhiata” a un file digitale: cosa significa davvero in ambito forense

Una pagina web può essere modificata, cancellata o sostituita in pochi minuti. Questo crea un problema concreto in ambito legale: come si può dimostrare che un contenuto era realmente online in una certa data, se oggi non è più visibile?

Nota metodologica
Questo articolo spiega come può essere ricostruita e documentata l’esistenza passata di contenuti web, distinguendo tra screenshot, archivi indipendenti, backup di hosting, prove documentali e certificazioni forensi.

Il problema: provare ciò che non è più online

In molti contenziosi la domanda decisiva non è cosa sia visibile oggi, ma cosa fosse visibile ieri. Un debitore può negare che il proprio profilo fosse pubblicato su una directory. Un concorrente può rimuovere una pagina diffamatoria. Un sito può modificare condizioni, prezzi, policy o offerte dopo una contestazione.

Quando questo accade, la prova non riguarda più soltanto l’esistenza attuale di una pagina, ma la ricostruzione della sua pubblicazione passata.

Perché uno screenshot non basta quasi mai

Lo screenshot è una rappresentazione visiva, utile per comprendere un contenuto, ma debole dal punto di vista tecnico se non è accompagnato da elementi di verifica.

Uno screenshot può essere contestato perché:

  • può essere ritagliato
  • può essere modificato graficamente
  • può non mostrare URL completo, data, ora e contesto
  • non contiene necessariamente il codice sorgente della pagina
  • non documenta header, risorse collegate e struttura tecnica

Per questo motivo, quando un contenuto web deve essere usato in sede legale, è preferibile procedere con una raccolta tecnica più completa.

Il timestamp da solo non prova il contenuto

Un altro errore comune è pensare che basti applicare una marca temporale a un file per trasformarlo automaticamente in prova forte.

La marca temporale dimostra che un determinato file esisteva in un certo momento. Non dimostra, da sola, che quel file sia stato realmente acquisito da uno specifico URL, che rappresenti fedelmente una pagina online o che non sia stato modificato prima della marcatura.

Il timestamp è importante, ma deve essere inserito in una catena più ampia: acquisizione documentata, hash, firma digitale, relazione tecnica e descrizione della fonte.

Le fonti utili per dimostrare una pubblicazione passata

Quando una pagina non è più online, l’analisi forense deve cercare fonti indipendenti o tecniche che possano ricostruire la sua esistenza storica.

Archivi web indipendenti

Servizi come Wayback Machine, archive.today, perma.cc o arquivo.pt possono avere conservato istantanee della pagina. Queste fonti sono spesso molto utili perché l’acquisizione è stata effettuata da soggetti terzi rispetto alle parti.

Un’istantanea archiviata può mostrare:

  • URL originale
  • data della cattura
  • contenuto visibile in quel momento
  • risorse collegate conservate dall’archivio

Pagine ancora online ma modificate

Se la pagina è ancora attiva, è possibile certificarla nello stato attuale, distinguendo però tra data di acquisizione forense e data dichiarata dalla pagina.

Ad esempio, una pagina può mostrare una data di pubblicazione interna, ma la certificazione dimostra solo che quel contenuto era visibile al momento dell’acquisizione, salvo ulteriori elementi storici.

Backup di hosting e ambienti server

Quando il sito è stato modificato o cancellato, i backup di hosting possono essere fondamentali. In alcuni casi è possibile recuperare file, directory, database o snapshot del provider.

Queste fonti possono aiutare a ricostruire:

  • quando una pagina era presente sul server
  • quali file componevano il contenuto
  • quali versioni erano disponibili in un determinato periodo
  • quali dati erano registrati nel database

Email, comunicazioni e prove documentali

Anche email, messaggi, notifiche e comunicazioni tra le parti possono dimostrare che una pagina era stata pubblicata o comunicata a terzi.

Ad esempio, una email originale in formato EML o MSG può contenere:

  • URL della pagina
  • data e ora della comunicazione
  • mittente e destinatario
  • header tecnici verificabili

Tracce OSINT residue

Quando non sono disponibili archivi completi, possono essere utili tracce residue: backlink, cache, mirror, dati strutturati indicizzati, snippet di motori di ricerca, cronologie DNS o WHOIS.

Queste tracce non sempre bastano da sole, ma possono contribuire a costruire un quadro coerente.

Il punto forense: non basta trovare una traccia

Trovare una traccia non significa automaticamente avere una prova pronta. La fonte deve essere acquisita, documentata e preservata correttamente.

Una procedura solida dovrebbe includere:

  • identificazione della fonte
  • acquisizione tecnica del contenuto
  • raccolta di URL, codice sorgente, risorse e metadati
  • calcolo degli hash
  • applicazione di firma digitale e marca temporale
  • relazione tecnica con metodo, limiti e catena di custodia

Quando serve una certificazione dell’esistenza di contenuti web passati

Questo tipo di certificazione può essere utile quando:

  • una controparte nega che una pagina fosse online
  • un debitore contesta la pubblicazione su un portale o directory
  • un contenuto diffamatorio è stato rimosso
  • un sito truffa è sparito dopo aver raccolto pagamenti
  • termini, prezzi o condizioni sono stati modificati retroattivamente
  • un marketplace o una piattaforma ha cancellato una scheda prodotto
  • serve dimostrare la presenza storica di una policy, di un elenco o di una comunicazione pubblica

Approfondimento sul servizio di certificazione

Quando il problema riguarda la prova di ciò che era online in passato, può essere utile ricorrere a una certificazione specifica dell’esistenza di contenuti web passati.

Su Certify Web Content è disponibile una pagina dedicata a questo tipo di attività, con esempi di fonti utilizzabili come archivi indipendenti, backup hosting, prove documentali e OSINT:

Certificazione dell’esistenza di contenuti web passati (prove archiviate e non archiviate)


È importante ricordarsi che …

Un contenuto web cancellato non è sempre perso. Ma per utilizzarlo come prova è necessario ricostruirne l’esistenza con metodo, distinguendo tra indizi, fonti storiche e certificazione forense.

La domanda corretta non è solo “abbiamo uno screenshot?”, ma “possiamo dimostrare cosa era online, quando, da quale fonte e con quale integrità?”.

Informatica in Azienda è diretta dal Dott. Emanuel Celano
Ascolta i nostri articoli sulla sicurezza informatica mentre sei in macchina, click qui per i canali podcast:

Podcast sicurezza informatica : in macchina ascolta gli articoli di allerta pericoli informatici


⬇️CONDIVIDI QUESTO ARTICOLO CON I TUOI AMICI⬇️
(Scarica le nostre App ufficiali)

“Dare un’occhiata” a un file digitale: cosa significa davvero in ambito forense
Fai clic per accedere alla pagina di accesso o registrazione
Condividi
Copia il link
×