C’è un momento preciso in cui la digital forensics tradizionale smette di funzionare, non è un guasto tecnico, né un errore umano: è il momento in cui l’investigatore si trova di fronte non a un file salvato su un disco, ma all’output di una conversazione con ChatGPT. Quel testo non era lì prima. È stato generato. Ed è questa parola “generato” a cambiare tutto.
Indice degli argomenti
Quando la prova digitale IA generativa rompe gli schemi classici
La digital forensics si è consolidata attorno a un’idea solida e rassicurante: la cd. bit-stream imaging, la copia speculare di un supporto, garantisce che ciò che si acquisisce corrisponda esattamente a ciò che esisteva. Ma con i modelli linguistici di grandi dimensioni (LLM), quel dogma vacilla. Il “corpo del reato” ai sensi dell’art. 253 c.p.p. non è più un’entità binaria preesistente e silenziosa in un settore di memoria: è il risultato di un processo generativo innescato da un prompt, dove l’utente e l’algoritmo sono diventati, in qualche misura, co-autori dell’evidenza.
Questo apre una questione costituzionale che la dottrina non ha ancora risolto. Quando l’indagato interagisce con un sistema di IA, stiamo parlando di un documento statico tutelato come tale, o di una forma di corrispondenza dinamica, magari protetta dall’art. 15 della Costituzione? La risposta che verrà probabilmente dalla giurisprudenza prima che dalla dottrina avrà conseguenze enormi sui presupposti e sui limiti dell’acquisizione probatoria. Del resto, mesi fa, sempre qui, evidenziavo come sempre più la cd. “messaggistica” tende ad essere parificata a mezzo di “corrispondenza” costituzionalmente tutelata e protetta.
In questa prospettiva, la sfida investigativa si sposta dall’estrazione meccanica alla contestualizzazione procedurale. Non è più sufficiente isolare l’output, il testo o l’immagine generata, ma è imperativo mappare il flusso logico che lo ha prodotto: i parametri di generazione, la sequenza dei prompt, lo stato del modello al momento dell’interrogazione. Senza questa visione d’insieme, l’evidenza rimane un’entità orfana, e la difesa si trova nell’impossibilità di esercitare un controllo reale sulla sua genuinità.
Prompt, intenzione e limiti del sequestro nell’era dei sistemi IA
C’è qualcosa di quasi paradossale nell’idea che la parola digitata da un indagato per chiedere aiuto a una macchina possa trasformarsi nella prova più incriminante a suo carico. Eppure, è esattamente questo che sta accadendo. La cronologia dei prompt non documenta solo ciò che una persona ha fatto: rivela come ha pensato di farlo, quali dubbi ha avuto, quali filtri di sicurezza ha cercato di aggirare. Il jailbreaking algoritmico — il tentativo sistematico di eludere i limiti etici del modello — diventa, in questa logica, la mappa di un’intenzione criminosa.
Il problema è che questa straordinaria ricchezza informativa ha un rovescio pericoloso. Il principio di determinatezza del decreto di sequestro (art. 253 c.p.p.) — pietra angolare delle garanzie difensive — rischia di sgretolarsi davanti alla vastità di ciò che un account IA contiene. Accedere all’intera storia delle interazioni di un individuo con un sistema di intelligenza artificiale significa acquisire, in un colpo solo, un profilo psicologico, intellettuale e comportamentale di profondità inaudita. Non è un sequestro: è una scansione della mente digitale del cittadino.
La giurisprudenza di legittimità ha già affrontato, con le note pronunce delle Sezioni Unite sul sequestro di dispositivi informatici integrali, il tema della pertinenza al reato come limite invalicabile. Ma quei principi, elaborati per i telefoni cellulari e i computer, devono essere urgentemente estesi — e ripensati — per i sistemi di IA, dove il nesso tra dato e reato rischia di diluirsi in un’analisi indiziaria che anticipa il giudizio sulla personalità dell’indagato, in aperto contrasto con le garanzie costituzionali.
La sfida pratica per il magistrato e per il consulente/perito è quella di definire parole chiave e ambiti temporali che non siano semplici filtri tecnici, ma veri e propri limiti di garanzia. Il decreto di sequestro nell’era di ChatGPT deve contenere una motivazione analitica che giustifichi non solo l’accesso all’account, ma la profondità e l’ampiezza dell’acquisizione, pena la sua invalidità per violazione del divieto di sequestri meramente esplorativi.
La prova digitale IA generativa davanti alla black box algoritmica
C’è un momento nell’indagine digitale moderna che nessuno ama discutere apertamente: il triage. Di fronte a sequestri nell’ordine dei terabyte, nessun consulente tecnico può esaminare tutto a mano, passo dopo passo, step by step. L’IA viene in soccorso: riconosce immagini, raggruppa semanticamente migliaia di messaggi, individua correlazioni che sfuggirebbero a qualsiasi analisi umana. Il problema è che lo fa in modo che spesso nemmeno il suo sviluppatore sa spiegare completamente.
Questo ci mette di fronte a una frizione insanabile con l’art. 360 c.p.p. e con il principio di ripetibilità dell’accertamento tecnico. Se il filtro algoritmico che ha selezionato le prove rilevanti opera secondo logiche non deterministiche e molti sistemi di IA operano così, come può la difesa verificare che un file ritenuto “irrilevante” dall’algoritmo non contenesse in realtà elementi favorevoli e strategici per l’indagato? La black box degli algoritmi proprietari, spesso protetti da segreto industriale, trasforma il consulente tecnico da perito in supervisore di un processo opaco.
Nel diritto penale (soprattutto nei sistemi accusatori), il contraddittorio nella formazione della prova è il motore della verità, qui il difensore ha il diritto di smontare la tesi dell’accusa facendo domande mirate al testimone o al consulente tecnico: “Perché ha dedotto questo?”, “Quale margine di errore ha il suo calcolo?”, “Ha tenuto conto di questa variabile?”.
Quando viene utilizzato un sistema di intelligenza artificiale basato sul Deep Learning, il sistema riceve dei dati in ingresso (es. un frame di una telecamera di sicurezza) e restituisce un risultato in uscita (es. “corrispondenza facciale al 98% con l’imputato”). Il problema è che i passaggi matematici e statistici intermedi che collegano l’input all’output sono così complessi, composti da milioni o miliardi di parametri, che sfuggono alla comprensione umana.
Di conseguenza, il difensore si scontra con un muro: non può interrogare la macchina. E peggio ancora, se interroga il consulente tecnico dell’accusa, quest’ultimo non saprà spiegare come la macchina abbia ragionato. Potrà solo dire: “Ho inserito i dati, e il software ha detto così”.
I criteri di ammissibilità della prova scientifica
Già dalla sentenza statunitense “Daubert” sappiamo che affinché una prova scientifica sia ammessa in tribunale, deve essere:
• verificabile: Il metodo deve essere noto e replicabile.
• falsificabile: La difesa deve avere la possibilità tecnica di dimostrare che il risultato è sbagliato.
• con un tasso di errore noto: Bisogna sapere quante volte il sistema sbaglia (falsi positivi/falsi negativi).
Un algoritmo opaco viola frontalmente la falsificabilità, del resto, se non posso conoscere i “pesi” e i “bias” (pregiudizi) matematici che l’IA ha applicato ai dati, non posso trovare l’eventuale errore di calcolo o di logica. La prova diventa un dogma, un atto di fede tecnologico, incompatibile con lo Stato di Diritto.
Il rischio delle allucinazioni e il ruolo della spiegabilità
A questo si aggiunge il problema delle allucinazioni. In ambito investigativo, la tendenza di un modello linguistico a generare informazioni plausibili ma false non è un inconveniente: è potenzialmente letale per la giustizia. Invero, un sistema di IA che sintetizza migliaia di messaggi potrebbe “inventare” un collegamento logico mai esistito, attribuire un senso semantico errato a una conversazione gergale, o peggio, cristallizzare una prova falsa che, per l’autorevolezza percepita dello strumento, entra acriticamente nel fascicolo del dibattimento. Un’IA che allucinava ha già prodotto citazioni giuridiche inesistenti depositate in udienza da avvocati ignari. Nell’investigazione penale, lo stesso errore avrebbe pesanti conseguenze sull’innocenza o la colpevolezza di una persona.
La risposta tecnica a questo scenario si chiama XAI — Explainable Artificial Intelligence: la capacità di un sistema di rendere intellegibile il proprio processo decisionale. Non è sufficiente che lo strumento funzioni; è necessario che sia spiegabile. Il consulente tecnico del pubblico ministero non può limitarsi a usare l’IA: deve validarla, sottoporla a stress-test, documentarne i limiti. La validità scientifica della prova digitale richiede verificabilità e falsificabilità — i classici criteri Daubert — che un algoritmo opaco non riesce oggi a soddisfare.
Cloud, sovranità e giurisdizione nella prova digitale IA generativa
Dov’è la prova quando l’indagato ha usato ChatGPT? La risposta onesta è: non lo sa nessuno con certezza.
I dati di OpenAI transitano su infrastrutture Microsoft Azure distribuite su decine di regioni geografiche — Virginia, Dublino, Singapore — secondo logiche di bilanciamento del carico e ridondanza che non hanno nulla a che fare con i confini statali. Una singola conversazione può essere fisicamente custodita in tre continenti contemporaneamente.
Questo non è un problema tecnico: è una crisi di legittimazione giurisdizionale. L’intero edificio della cooperazione giudiziaria internazionale, dal modello rogatoriale alle Convenzioni di Strasburgo, sino alla più recente direttiva sull’ordine europeo di indagine, è stato costruito sull’assunzione che la prova abbia una collocazione fisica determinabile.
Quell’assunzione, nell’era del cloud, è diventata strutturalmente falsa.
Al centro di questa crisi c’è il conflitto tra due sistemi normativi che si combattono il primato sui dati digitali. Il Cloud Act americano del 2018 consente, per esempio, alle autorità statunitensi di ordinare a società come OpenAI (di diritto californiano) di produrre dati archiviati ovunque nel mondo, senza necessità di rogatorie internazionali. Il GDPR europeo, all’opposto, vieta tendenzialmente il trasferimento di dati personali ad autorità straniere al di fuori dei canali convenzionali. Il fornitore di servizi si trova intrappolato in un doppio vincolo: rispettare l’ordine americano significa violare il GDPR; rifiutarlo significa incorrere in sanzioni penali statunitensi.
Per l’investigatore italiano, questo si traduce in un problema pratico immediato. I canali di mutua assistenza giudiziaria sono lenti — settimane, spesso mesi — mentre i dati cloud hanno una volatilità strutturale: le data retention policies di OpenAI prevedono eliminazioni automatiche, migrazioni tra nodi, sovrascritture. La prova digitale non aspetta i tempi della burocrazia giudiziaria internazionale.
L’acquisizione “a caldo” tramite le credenziali dell’indagato è tecnicamente efficace, ma giuridicamente esposta: rischia di configurare una violazione della sovranità digitale di uno Stato straniero e, con essa, l’inutilizzabilità della prova ai sensi dell’art. 191 c.p.p.
Il Regolamento E-Evidence (UE 2023/1543), applicabile dal 2026, introduce uno strumento promettente: l’Ordine Europeo di Produzione o Conservazione consente di richiedere dati direttamente al provider entro dieci giorni, o otto ore in caso di urgenza. Ma il suo perimetro si ferma ai confini europei. Per i provider americani come OpenAI, il nodo rimane irrisolto, e i negoziati in corso per un accordo bilaterale UE-USA procedono a una velocità strutturalmente incompatibile con i ritmi delle indagini penali.
Cosa serve alla prova digitale IA generativa per restare utilizzabile
Le sfide descritte non sono scenari futuri: stanno accadendo già oggi, nelle aule delle procure e dei tribunali, in procedimenti che spesso nessuno ha ancora gli strumenti per affrontare correttamente. Il divario tra la velocità dell’innovazione tecnologica e i tempi del diritto non è una novità, ma nell’era dell’IA generativa quel divario si è trasformato in un abisso, sempre più incolmabile. E come ogni abisso, non si attraversa con un salto: richiede un ponte, costruito mattone per mattone, con pazienza e competenza.
Ripensare i fondamenti dell’acquisizione probatoria
Il primo nodo da sciogliere è concettuale prima ancora che normativo. Finché continueremo a trattare il dato generato dall’IA come una variante del documento informatico tradizionale, applicheremo strumenti sbagliati a un problema nuovo. La prova digitale nell’era degli LLM non è un reperto: è il residuo cristallizzato di un’interazione dinamica tra una mente umana e un sistema probabilistico. Questa differenza non è filosofica ed ha conseguenze dirette su come si acquisisce, si conserva e si valuta l’evidenza in sede processuale.
Sul piano tecnico, la risposta si chiama forensics di processo: l’acquisizione non può più limitarsi all’output finale, ma deve documentare integralmente l’interazione — parametri del modello, cronologia dei prompt, metadati di sessione, versione dell’algoritmo attivo in quel momento.
Questa forensics di processo (Interaction Forensics) non va confusa con la cd. Model forensics, infatti se l’Interaction Forensics è il verbale dettagliato di un interrogatorio (chi ha fatto la domanda, in che stanza, a che ora, con che tono), la Model Forensics è l’esame psicologico e tossicologico sul testimone (è lucido? ha dei pregiudizi intrinseci? è stato manipolato in passato?). Del resto, nella maggior parte dei casi l’IA usata per indagini o analisi è proprietaria (es. software di aziende private), la vera Model Forensics è preclusa al difensore (che non ha accesso al codice sorgente). Di conseguenza, la Forensics di processo diventa l’unica vera ancora di salvezza per garantire il contraddittorio. Se manca quella, la prova digitale è insanabilmente nulla per impossibilità di replica.
Anche la cd. copia-mezzo deve evolversi in snapshot logico dell’intero contesto computazionale, con tanto di verifica dell’impronta hash calcolata non sul testo prodotto, ma sull’insieme dei parametri che ne hanno determinato la generazione. Solo così la difesa potrà esercitare un controllo reale sull’attendibilità della prova, verificando ad esempio se una risposta apparentemente inequivocabile dell’IA sarebbe stata identica con una formulazione leggermente diversa del prompt, o con una versione precedente del modello.
Non basta acquisire cosa ha risposto l’algoritmo, ma bisogna saper ricostruire perché lo ha fatto: con quale versione del modello, in quale contesto, con quale sequenza di istruzioni precedenti.
Regole e standard per il processo penale dell’IA
Sul piano normativo, il cantiere è aperto su più fronti e nessuno di essi può attendere i tempi ordinari del processo legislativo. Il primo intervento urgente riguarda le norme sul sequestro informatico: l’art. 247, comma 1-bis, c.p.p. è stato introdotto nel 2008, quando ChatGPT non esisteva nemmeno come idea. Applicarlo oggi ai dati cloud generati da sistemi di IA senza alcun adattamento interpretativo è come usare il codice della strada del dopoguerra per regolare la circolazione dei veicoli a guida autonoma che presto sfrecceranno sulle nostre strade.
Ciò che serve non è necessariamente una riforma organica, i tempi del Parlamento raramente coincidono con quelli dell’innovazione, ma almeno linee guida operative, che definiscano con precisione: i criteri di proporzionalità e pertinenza da applicare ai dati AI nel decreto di sequestro; le modalità tecniche dell’acquisizione forense di conversazioni con LLM; le condizioni in presenza delle quali l’urgenza investigativa giustifica l’accesso “a caldo” tramite credenziali dell’indagato, e i limiti entro i quali tale accesso può spingersi senza sconfinare nella violazione della sovranità digitale.
Sul fronte del triage algoritmico, il punto è ancora più delicato. Se vogliamo che l’IA possa essere legittimamente usata per selezionare le prove rilevanti in indagini complesse — e difficilmente potremo farne a meno, visti i volumi di dati in gioco — dobbiamo stabilire che ogni sistema di IA forense debba soddisfare standard minimi di spiegabilità (XAI), documentare il proprio tasso di errore noto, e mettere a disposizione della difesa i log delle decisioni algoritmiche con la stessa completezza con cui si mette a disposizione il verbale di una perquisizione. Un algoritmo che seleziona prove senza lasciare traccia del proprio ragionamento non è uno strumento investigativo: è un oracolo. E gli oracoli non hanno posto in un’aula di giustizia. Se un consulente tecnico non può spiegare perché l’IA ha scartato un file, non può garantirne l’assenza di valenza probatoria. E se non può garantirlo, quella prova non esiste processualmente con tutte le conseguenze del caso.
La formazione di magistrati, avvocati e periti
C’è un piano su cui nessuna riforma normativa può sostituire il lavoro umano: la formazione. Magistrati, avvocati e periti forensi si trovano oggi a dover comprendere sistemi tecnologici di una complessità senza precedenti, in tempi rapidi, spesso senza alcun supporto istituzionale strutturato. Il risultato è prevedibile: alcuni si affidano ciecamente allo strumento tecnologico, altri lo rifiutano per principio ed entrambi gli atteggiamenti sono ugualmente pericolosi.
La comprensione dell’IA che serve a un magistrato non è quella di un informatico: non deve saper programmare un modello linguistico. Deve invece saper fare le domande giuste al consulente tecnico, al perito della difesa, allo stesso sistema. Deve sapere che un LLM può allucinare, e quindi non può fidarsi di un output non verificato. Deve sapere che la natura probabilistica del modello rende ogni acquisizione tendenzialmente irripetibile, e quindi deve pretendere che ogni operazione forense su sistemi di IA sia documentata con un rigore che finora si è richiesto solo agli accertamenti tecnici non ripetibili.
In questa prospettiva, le Scuole di formazione della magistratura, i Consigli degli Ordini forensi e le Università dovrebbero urgentemente integrare nei propri curricula moduli specifici di AI literacy giuridica — non corsi di programmazione, ma percorsi di pensiero critico applicato ai sistemi algoritmici. Perché un sistema giudiziario che delega all’algoritmo la selezione della verità senza capirne il funzionamento non è più uno Stato di diritto: è uno Stato di fede tecnologica. E la fede, per quanto utile in altri contesti, non ha mai vinto un ricorso in Cassazione.
La perquisizione nell’era di ChatGPT non può essere un atto di prelievo cieco, deve essere la testimonianza rigorosa di un metodo, perché la giustizia, per essere tale, deve saper spiegare non solo trovare!
