E-evidence, l'Italia chiude il cerchio: cosa cambia davvero con i d.lgs. 215 e 216 del 2025

Con i decreti legislativi 30 dicembre 2025, n. 215 e n. 216, pubblicati nella Gazzetta Ufficiale n. 11 del 15 gennaio 2026, l’Italia ha imboccato il tratto finale di attuazione del pacchetto europeo sulle prove elettroniche (E-evidence). Due testi, due tempi, un unico obiettivo: rendere operativo sul territorio nazionale un modello di acquisizione transfrontaliera dei dati digitali che, dal 18 agosto 2026, cambierà in modo strutturale il rapporto fra autorità giudiziarie, prestatori di servizi e cittadini. Il 7 aprile 2026, a poche settimane dall’operatività, l’Ufficio del Massimario della Corte di Cassazione ha pubblicato la Relazione n. 25/2026, a firma della dott.ssa Caterina Brignone, che offre la prima lettura sistematica del quadro attuativo nazionale.

La posta in gioco si misura con un dato ricorrente nei documenti della Commissione europea: circa l’85% delle indagini penali nell’Unione coinvolge prove elettroniche, e in una quota significativa dei casi quei dati sono conservati in uno Stato diverso da quello in cui il reato è stato commesso. Fino a ieri, per raggiungerli, le procure dovevano attivare canali di assistenza giudiziaria lenti e spesso scoordinati. L’e-evidence package nasce per scardinare questa asimmetria fra la velocità del dato e la lentezza del diritto.

Due pilastri europei, scadenze a incastro

Il pacchetto si compone del regolamento (UE) 2023/1543 e della direttiva (UE) 2023/1544, entrambi del 12 luglio 2023 e pubblicati nella Gazzetta Ufficiale dell’Unione il 28 luglio dello stesso anno. La scelta di procedere con un doppio strumento riflette una divisione del lavoro precisa: da un lato le regole di procedura, direttamente applicabili negli ordinamenti nazionali; dall’altro l’architettura di compliance imposta ai prestatori di servizi, che richiede interventi adattivi di ciascuno Stato membro. È un tassello di quella più ampia convergenza normativa europea in materia di sicurezza digitale in cui si inseriscono anche NIS2, DORA e CER.

Il cuore operativo del regolamento sono due strumenti giudiziari, destinati a entrare nel lessico quotidiano degli operatori: l’ordine europeo di produzione (EPOC) e l’ordine europeo di conservazione (EPOC-PR). Il primo consente all’autorità giudiziaria di uno Stato membro di richiedere direttamente al fornitore di servizi, anche se stabilito altrove nell’Unione, la trasmissione di dati elettronici già esistenti. Il secondo ha funzione preservativa: impone al provider di congelare i dati per un massimo di sessanta giorni, prorogabili di ulteriori trenta, in attesa di un successivo ordine di produzione o di una rogatoria. I tempi di risposta sono stringenti: dieci giorni in via ordinaria, otto ore nei casi di emergenza.

La direttiva, dal canto suo, costringe ogni prestatore che offre servizi nell’Unione a dotarsi di un interlocutore fisico nel territorio UE, sotto forma di stabilimento designato o di rappresentante legale. Senza questa figura, gli ordini europei non avrebbero un destinatario certo e il meccanismo si svuoterebbe di efficacia.

Le scadenze europee si muovono su due livelli da non confondere: entro il 18 febbraio 2026 gli Stati membri devono recepire la direttiva e notificare alla Commissione le disposizioni sulle sanzioni; entro il 18 agosto 2026 devono essere rese operative le designazioni da parte dei prestatori che offrono servizi nell’Unione a quella data, mentre i nuovi provider dispongono di sei mesi dall’avvio dell’attività (articolo 3, paragrafo 6 della direttiva).

La data del 18 agosto 2026 coincide, non a caso, con la data di applicazione del regolamento (articolo 34, paragrafo 2). Il regolamento, entrato in vigore il 18 agosto 2023, diventa quindi pienamente operativo tre anni dopo, in un sistema finalmente completo di destinatari.

Il doppio binario italiano: prima il “chi”, poi il “come”

La legge di delegazione europea 2024, legge 13 giugno 2025, n. 91, ha programmato l’implementazione disegnando un cronoprogramma simmetrico a quello dei due strumenti europei. Agli articoli 7 e 19 ha introdotto principi e criteri direttivi per il recepimento, rispettivamente, della direttiva e del regolamento.

Il Governo ha scelto una via a due tappe: un primo decreto, il 215/2025, orientato a rispettare la scadenza del 18 agosto 2025, data entro la quale gli Stati membri dovevano notificare alla Commissione le autorità competenti ex articolo 31 del regolamento; un secondo decreto, tuttora in iter (lo schema è stato approvato in esame preliminare dal Consiglio dei Ministri il 22 dicembre 2025), che completerà l’adeguamento dell’ordinamento interno. In parallelo, il d.lgs. 216/2025 ha recepito la direttiva, fissando sul suolo italiano il perimetro degli obblighi a carico dei prestatori.

Il d.lgs. 215/2025, a seguito della pubblicazione in Gazzetta Ufficiale del 15 gennaio 2026, è entrato in vigore il 30 gennaio 2026. La Relazione dell’Ufficio del Massimario della Cassazione articola la propria analisi in tre parti: quadro europeo della prova digitale, attuazione nazionale del pacchetto con il modello processuale degli ordini europei, ricadute organizzative e prospettive di sistema. Una lettura di riferimento, destinata a orientare la prassi nei mesi che precedono l’ingresso a regime del meccanismo, che si affianca al primo commento di Claudio De Lazzaro già circolato in dottrina.

D.lgs. 216/2025: il pre-requisito di sistema

Il primo decreto legislativo che conviene leggere, dal punto di vista dei provider, non è il 215 ma il 216. Stabilisce infatti la condizione abilitante di tutto ciò che verrà dopo: senza stabilimento designato o rappresentante legale, nessun ordine europeo potrà essere legittimamente ricevuto ed eseguito.

L’obbligo grava su una platea ampia: operatori di comunicazione elettronica, registrar di nomi di dominio, assegnatari di numerazione IP, prestatori di servizi della società dell’informazione che consentono comunicazioni fra utenti o ne conservano i dati.

In termini concreti: cloud provider, piattaforme di messaggistica, social network, servizi over-the-top, fornitori di hosting, marketplace e simili. Sono invece espressamente esclusi dall’ambito di applicazione i prestatori di servizi finanziari (banche, assicurazioni, intermediari, servizi di pagamento, consulenza sugli investimenti), che non saranno quindi chiamati a designare stabilimenti o a nominare rappresentanti ai fini del pacchetto e-evidence, e non potranno essere destinatari di EPOC o EPOC-PR. Una scelta non priva di conseguenze, che riflette la decisione del legislatore europeo di tenere il comparto finanziario al riparo da questo circuito, in attesa di strumenti dedicati.

L’autorità centrale nazionale, quella a cui i prestatori devono notificare l’avvenuta designazione, è stata individuata nel Ministero dell’interno e, in particolare, nell’organo per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 144/2005, convertito dalla legge 155/2005. La notifica va effettuata entro trenta giorni dalla designazione o nomina; i dati di contatto e la lingua accettata saranno poi pubblicati sul sito della rete giudiziaria europea in materia penale e sul portale del Ministero della giustizia. Per un approfondimento sull’articolato del decreto rinviamo al dossier del Senato sull’Atto del Governo n. 330.

Il decreto chiude il cerchio con due previsioni che meritano attenzione: la responsabilità solidale fra prestatore, stabilimento designato e rappresentante legale in caso di inottemperanza, pensata per impedire il rimpallo di responsabilità fondato sull’asserita mancanza di procedure interne adeguate; e un regime sanzionatorio speciale, regolato dall’articolo 7, che si affianca e non si sovrappone alle sanzioni penali eventualmente applicabili. Un’architettura che, sul piano della compliance, impone al prestatore di trattare la figura del rappresentante legale non come un adempimento formale, ma come nodo critico del proprio modello organizzativo.

D.lgs. 215/2025: chi emette, chi riceve, chi controlla

Il 215 è il decreto che traccia la mappa delle autorità italiane coinvolte, sia in fase attiva (emissione) sia in fase passiva (ricezione ed esecuzione di ordini provenienti da altri Stati membri). La relazione illustrativa al Senato chiarisce che si tratta di un primo step di implementazione, concepito per rispettare la scadenza di notifica alla Commissione e in attesa del decreto complementare.

La logica di fondo ricalca fedelmente la graduazione delle garanzie prevista dal regolamento, che distingue quattro categorie di dati lungo una scala di invasività crescente:

dati relativi agli abbonati (articolo 3, punto 9);
dati richiesti al solo scopo di identificare l’utente (punto 10);
dati relativi al traffico (punto 11);
dati relativi al contenuto (punto 12).

Alle prime due categorie corrispondono garanzie più snelle; alle ultime due, presidi più rigorosi. Il decreto traduce questa scala nel linguaggio del processo penale italiano. Nel corso delle indagini preliminari, per gli ordini di produzione relativi ai dati degli abbonati e di identificazione provvede il pubblico ministero; per i dati di traffico e di contenuto, il giudice per le indagini preliminari. Per l’ordine di conservazione, trattandosi di un “congelamento” preliminare e non di un’apprensione, provvede sempre il pubblico ministero in via esclusiva, qualsiasi sia la natura del dato.

Nei casi di emergenza, definiti all’articolo 3, punto 18 del regolamento come situazioni di minaccia imminente alla vita, all’integrità fisica o a un’infrastruttura critica, gli ufficiali di polizia giudiziaria possono emettere l’ordine con efficacia immediata, trasmettendolo al pubblico ministero entro quarantotto ore per la convalida, a sua volta da adottare entro le successive quarantotto ore con decreto motivato.

Per le fasi successive alle indagini preliminari, la competenza coincide con quella del giudice che procede, su richiesta del pubblico ministero, della persona offesa, dell’indagato, dell’imputato o delle parti private. Il regolamento consente infatti anche alla difesa di sollecitare l’emissione di un EPOC, aprendo uno spazio nuovo di iniziativa difensiva che, a regime, potrebbe modificare in profondità la geografia dell’acquisizione della prova digitale nel procedimento penale.

Un presidio di sistema non marginale è la clausola di inutilizzabilità sancita all’articolo 2, comma 7: i dati acquisiti con un ordine europeo di produzione emesso fuori dai casi o in mancanza delle condizioni previste dal regolamento e dal decreto non possono essere utilizzati nel procedimento.

La “procedura accelerata”: una novità senza precedenti

Uno dei profili più interessanti del 215 è l’articolo 4, che introduce una procedura accelerata destinata a operare fuori dai casi di emergenza tipici definiti dal regolamento, ma in situazioni d’urgenza che impongono comunque una decisione tempestiva. Secondo la stessa relazione illustrativa, si tratta di un modulo che non trova precedenti nella legge processuale nazionale.

Il meccanismo è quello della previa convalida: il pubblico ministero (per ottenere i dati di traffico o di contenuto) o l’ufficiale di polizia giudiziaria (per i dati degli abbonati e di identificazione) emette l’ordine, la cui efficacia è però sospesa fino alla convalida dell’autorità superiore. L’ordine è trasmesso entro ventiquattro ore dall’emissione; il giudice per le indagini preliminari (nel primo caso) o il pubblico ministero (nel secondo) decide sulla convalida entro le successive quarantotto ore.

Un’architettura che si distingue per tempistiche da quella della procedura d’emergenza, disegnata con un modulo 48+48. La base normativa si rinviene nell’articolo 4, paragrafo 1, lettera b) e paragrafo 2, lettera b) del regolamento, che lascia agli Stati margine di manovra per definire autorità e procedure in casi urgenti. L’Italia ha sfruttato questo spazio per disegnare un percorso speditivo destinato a coprire quella zona grigia in cui l’emergenza tipizzata non sussiste, ma l’attesa dei tempi ordinari rischierebbe di compromettere l’indagine.

Coordinamento investigativo: DNA, Procura generale, Eurojust

Il decreto non trascura il profilo del coordinamento. Quando l’ordine riguarda delitti rientranti nella competenza distrettuale rafforzata (articoli 51, commi 3-bis e 3-quater, e 371-bis, comma 4-bis, c.p.p., nonché i delitti di cui all’articolo 118-bis delle norme di attuazione del codice di procedura penale), copia del certificato EPOC o EPOC-PR è trasmessa alla Procura nazionale antimafia e antiterrorismo o al Procuratore generale presso la Corte d’appello. Dove operino i meccanismi di coordinamento europeo, l’informazione è trasmessa anche al membro nazionale di Eurojust, ai sensi dell’articolo 21, paragrafo 5 del regolamento (UE) 2018/1727.

È una previsione tutt’altro che marginale. Per la prima volta, un flusso investigativo digitale così denso di dati, spesso relativi a soggetti stranieri o transnazionali, viene canalizzato fin dall’origine verso gli organi di coordinamento nazionali ed europei. Per i CISO delle aziende destinatarie di ordini, questo significa che ogni EPOC ricevuto potrebbe avere, a monte, un’operazione di respiro europeo di cui il prestatore è solo una tessera.

Fase passiva: chi riceve gli ordini stranieri

Simmetricamente, il 215 disciplina la competenza interna per la ricezione e l’esecuzione di ordini emessi da autorità di altri Stati membri. La scelta del legislatore è quella della procura distrettuale: è il procuratore della Repubblica presso il tribunale del capoluogo del distretto in cui lo stabilimento designato o il rappresentante legale sono stabiliti a ricevere le notifiche e a gestire l’esecuzione degli ordini di produzione per dati abbonati e identificativi e degli ordini di conservazione. Per gli ordini di produzione relativi a dati di traffico o di contenuto la competenza si sposta sul GIP dello stesso tribunale, coerentemente con la graduazione delle garanzie.

Quanto alla trasmissione amministrativa degli ordini e delle notifiche, l’articolo 5 individua nel Ministero della giustizia l’autorità centrale cui fare riferimento ai sensi dell’articolo 4, paragrafo 6 del regolamento.

Per gestire l’articolo 17 del regolamento, che regola i casi in cui il prestatore solleva un’obiezione motivata per contrasto con obblighi di diritto di un paese terzo, il decreto individua due percorsi alternativi di riesame: il tribunale del riesame delle misure reali se l’ordine è stato emesso o convalidato dal giudice, il GIP se è stato emesso o convalidato dal pubblico ministero.

L’onda lunga sul diritto interno: art. 132 Codice Privacy e il nuovo art. 263-bis c.p.p.

Forse il segmento più sottovalutato del 215, ma quello con l’impatto sistemico più ampio, è l’articolo 9. Qui il legislatore ha compiuto una serie di interventi di coordinamento sull’ordinamento interno, con due effetti principali.

Il primo riguarda l’articolo 132 del Codice Privacy (d.lgs. 196/2003), la disposizione cardine sulla conservazione e l’acquisizione del traffico telefonico e telematico.

Il testo viene riscritto in più punti: si introduce la possibilità di acquisire i dati di traffico anche per agevolare le ricerche di un latitante condannato con sentenza definitiva a pena non inferiore a quattro mesi, in coerenza con l’articolo 5 del regolamento; si estende il potere di ordinare la conservazione dei dati al pubblico ministero, che diventa così titolare di uno strumento “domestico” simmetrico all’EPOC-PR europeo; si uniforma la disciplina dei dati telefonici e telematici, eliminando un’asimmetria del vecchio comma 4-ter non più giustificata. Il parere del Garante Privacy del 25 settembre 2025 aveva già auspicato questo coordinamento, sottolineando la necessità di evitare fratture fra disciplina europea e disciplina domestica della data retention.

Il secondo intervento è l’introduzione di un nuovo articolo nel codice di procedura penale, il 263-bis c.p.p., che disciplina la conservazione dei dati relativi al contenuto, la categoria che l’articolo 132 del Codice Privacy, per sua vocazione, non copriva. Il pubblico ministero può ordinarne la conservazione; la polizia giudiziaria può provvedervi in via d’urgenza, con convalida successiva. Per la prima volta l’ordinamento italiano ha uno strumento nominato e disciplinato per “congelare” i contenuti delle comunicazioni in attesa dell’acquisizione vera e propria, saldando un vuoto che, nella prassi, veniva coperto con strumenti atipici e non sempre solidi in fase dibattimentale.

Che cosa devono fare, in concreto, i provider

Per i responsabili della sicurezza e i legal compliance manager delle aziende che offrono servizi in UE, il calendario si è fatto serrato. Tre sono i fronti da presidiare entro l’estate del 2026.

Il primo è organizzativo: individuare o costituire uno stabilimento designato nell’Unione (se il gruppo vi ha sede) oppure nominare un rappresentante legale. La scelta non è neutra: il rappresentante andrà dotato di poteri e risorse effettive per rispondere a ordini con scadenze di dieci giorni, o di otto ore in emergenza. Significa processi interni, playbook di risposta, SLA con il resto del gruppo, procedure di escalation.

Il secondo è tecnologico: collegarsi al sistema informatico decentrato, istituito dall’articolo 19 del regolamento, attraverso cui transiteranno in forma elettronica tutti gli ordini, i moduli EPOC ed EPOC-PR e i dati richiesti. Gli atti di esecuzione che ne definiscono le specifiche tecniche sono previsti dall’articolo 25, e l’obbligo di utilizzare il sistema decorre un anno dopo la loro adozione. I costi di integrazione gravano sui prestatori; le opportunità di rimborso previste dall’articolo 14 riguardano le spese di esecuzione, non quelle infrastrutturali, e sono subordinate alla disciplina interna dello Stato di emissione. La tempistica di otto ore per le emergenze richiede processi automatizzati di ricerca, estrazione e trasmissione dei dati, non improvvisazioni.

Il terzo è di data governance: mappare con precisione le categorie di dati detenute (abbonati, identificativi, traffico, contenuto) secondo la tassonomia dell’articolo 3 del regolamento, e garantire la capacità di rispondere selettivamente. Un’acquisizione indifferenziata esporrebbe l’azienda sia al rischio di contestazioni in sede di riesame europeo sia a profili GDPR tutt’altro che banali.

Il calendario che conta

Per orientarsi, sintetizziamo le date chiave:

15 gennaio 2026: pubblicazione in Gazzetta Ufficiale dei d.lgs. 215 e 216/2025;
30 gennaio 2026: entrata in vigore del d.lgs. 215/2025;
18 febbraio 2026: scadenza per il recepimento della direttiva 2023/1544 da parte degli Stati membri e per la notifica alla Commissione delle disposizioni sanzionatorie;
7 aprile 2026: pubblicazione della Relazione n. 25/2026 dell’Ufficio del Massimario della Corte di Cassazione;
18 agosto 2026: termine entro cui i prestatori di servizi che offrono servizi nell’Unione devono aver designato lo stabilimento o nominato il rappresentante legale, e contestuale data di applicazione del regolamento 2023/1543. Per i nuovi prestatori che iniziano a offrire servizi dopo il 18 febbraio 2026, il termine è di sei mesi dall’avvio dell’attività.

In mezzo, un secondo decreto legislativo, complementare al 215, è atteso per completare il quadro. L’Italia, a quel punto, sarà uno dei ventisette nodi attivi di un sistema di cooperazione giudiziaria che, per la prima volta, azzera le distanze fra autorità inquirente e prestatore, ovunque questo sia stabilito in Europa. Un’infrastruttura giuridica che, se funzionerà come progettata, ridefinirà in profondità il modo in cui si costruisce la prova digitale nel procedimento penale. Se non funzionerà, resterà comunque il cambiamento più ambizioso tentato dall’Unione in materia di cooperazione penale dall’ordine di indagine europeo in poi.

Condividi sui Social Network:

ID.RA-08: la misura ACN che trasforma la gestione delle vulnerabilità in un processo strutturato

Zero Trust Security: come superare le sfide più comuni

La responsabilità penale dell’ethical hacker: confini incerti tra ricerca e reato

Dopo Claude Mythos, cosa deve fare concretamente un CISO: la guida strategica del 2026

Misure di sicurezza NIS2: come il Regolamento UE 2024/2690 e le specifiche ACN definiscono gli obblighi di compliance

Oltre le Terze Parti, la cybersecurity della supply chain nel 2026

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine