AI agentica e prova penale: come acquisire i log dai provider esteri

Budapest, e-evidence e Convenzione di Hanoi sono i tre canali con cui le procure italiane dovranno ottenere prove digitali dai provider AI. Ma il vero nodo resta la validabilità processuale dei log, delle sessioni conversazionali e della catena decisionale degli agenti autonomi.

La prova digitale si sposta dai dispositivi ai server dei provider AI

Per oltre vent’anni la prova nei reati informatici si è cercata sui dispositivi: dischi, immagini di memoria, traffico di rete, log di sistema. La forense digitale si è costruita attorno a questa materia, con protocolli di acquisizione, sigilli crittografici, catene di custodia e perizie tecniche tarate sui supporti fisici e sui flussi di rete. Funzionava perché l’autore materiale del reato lasciava tracce nei luoghi in cui agiva.

Perché i log degli agenti AI diventano centrali nelle indagini penali

Quando l’autore materiale è una sessione conversazionale con un modello erogato via API, le tracce si spostano. La prova rilevante non è più, o non è più soltanto, sul dispositivo della vittima. È nei server del provider del modello: il system prompt che ha definito l’identità dell’agente, il contesto operativo che gli ha dato istruzioni, la sequenza di chiamate a tool esterni, le decisioni autonome prese dal modello, il log delle conversazioni che hanno orientato l’attacco. Materiale che vive in giurisdizioni diverse da quella in cui si è consumato il reato e che, prima ancora che esibibile in dibattimento, deve essere acquisibile.

Il primo articolo di questa inchiesta ha ricostruito perché lo scenario non è ipotetico. Il caso GTG-2002 documentato da Anthropic mostra un agente AI che ha condotto direttamente una campagna di estorsione contro 17 organizzazioni in un mese, scegliendo bersagli, calibrando riscatti, scrivendo le note in HTML personalizzate per ciascuna vittima. La pista probatoria di un attacco di questa natura passa, necessariamente, dai server del provider che ha erogato l’agente. La domanda che si pongono oggi le procure italiane è come trasformare questa pista in elementi opponibili in giudizio.

Validabilità processuale: il nodo decisivo della prova generata dall’AI

Alla 14ª Cyber Crime Conference (Roma, 6-7 maggio 2026) il Direttore del Servizio Polizia Postale per la Sicurezza Cibernetica, Ivano Gabrielli, ha formulato il problema in modo netto: “Il problema che oggi abbiamo non è tanto quello di acquisire elementi di prova, ma è quello di renderli validabili dal punto di vista del processo giudiziario, di renderli spendibili all’interno di un procedimento”.

La distinzione è fondamentale. Acquisire significa entrare in possesso dell’evidenza; validare significa garantirne in dibattimento l’integrità, attestare la catena di custodia, dimostrare i processi logici e tecnici che hanno condotto al risultato. Quando questi processi includono sistemi di AI sia in fase di analisi sia in fase di ricostruzione dell’attacco originario, la trasparenza diventa requisito non negoziabile: trasparenza sull’addestramento dei modelli, sulle logiche di funzionamento, sui dati utilizzati. L’AI Act fornisce qui il riferimento normativo entro cui inscrivere un uso dell’AI compatibile con gli standard probatori del processo penale.

Il corollario operativo è che la sola acquisizione, anche se tempestiva, non basta. Un log del provider ottenuto attraverso un canale di cooperazione internazionale ha valore probatorio se, e solo se, sono documentati: l’identificazione univoca della sessione, l’integrità del dato originario, la corrispondenza fra ciò che il provider ha fornito e ciò che è stato esibito al giudice, le metodologie di analisi applicate. Per chi indaga su un caso tipo GTG-2002, la sfida è costruire una prassi che renda questi requisiti routinari, non eccezionali. È una disciplina nuova, ancora da codificare, ed è il punto su cui la formazione delle procure distrettuali e della Polizia giudiziaria si gioca nei prossimi due o tre anni.

Cooperazione transfrontaliera: i tre canali per acquisire evidenze digitali

Acquisire dai server di un provider stabilito altrove, però, è precondizione di tutto il resto. Gli strumenti giuridici disponibili nel 2026 operano su tre piani sovrapposti, con vincoli, tempi e ambiti distinti.

l Secondo Protocollo di Budapest e l’accesso ai dati dei provider esteri

Il Secondo Protocollo Aggiuntivo alla Convenzione sulla criminalità informatica, adottato dal Consiglio d’Europa il 17 novembre 2021, firmato dall’Italia il 12 maggio 2022, ratificato il 12 maggio 2023, è in vigore dal 1° dicembre 2023. Costituisce il regime convenzionale di riferimento per la cooperazione con i prestatori di servizi residenti negli Stati parte e prevede, fra l’altro, la cooperazione diretta dell’autorità giudiziaria con i registri di nomi di dominio, l’assistenza in situazioni di emergenza, la divulgazione accelerata di dati elettronici conservati, un sistema di salvaguardie a tutela dei dati personali coordinato fra ordinamenti.

Per le procure italiane è oggi lo strumento principale di interlocuzione con fornitori in giurisdizioni che hanno aderito al Protocollo, fra cui gli Stati Uniti. L’efficacia operativa dipende dalla qualità dei singoli accordi attuativi e dalla velocità di risposta dei provider, ma il quadro giuridico è consolidato e i punti di contatto 24/7 sono operativi.

Regolamento e-evidence: ordini europei di produzione e conservazione dei dati

Il Regolamento (UE) 2023/1543 introduce due strumenti dell’Unione: l’Ordine Europeo di Produzione (EPOC) e l’Ordine Europeo di Conservazione (EPOC-PR). Permettono all’autorità giudiziaria di uno Stato membro di rivolgersi direttamente al prestatore di servizi digitali stabilito in un altro Stato membro, senza passare attraverso la cooperazione orizzontale fra autorità giudiziarie. Si applicano dal 18 agosto 2026; la Direttiva (UE) 2023/1544, complementare, impone ai prestatori che offrono servizi nell’Unione di designare uno stabilimento o un rappresentante legale destinatario degli ordini.

Il punto cruciale, spesso trascurato, è l’ambito di applicazione extraterritoriale. Il regolamento non si rivolge soltanto ai fornitori con sede legale nell’Unione, ma a chiunque offra servizi nel territorio unionale con un numero significativo di utenti o indirizzando attivamente le proprie attività al mercato europeo. Il perimetro include così i grandi provider statunitensi di modelli e infrastrutture AI: una procura italiana potrà rivolgersi direttamente al loro stabilimento o rappresentante legale designato in UE, senza intermediazione di un’autorità giudiziaria estera. È il presupposto pratico perché lo strumento abbia un senso operativo nei casi tipo GTG-2002.

L’Italia ha posto l’ossatura del recepimento con i decreti 215 e 216 del 30 dicembre 2025, pubblicati in Gazzetta Ufficiale il 15 gennaio 2026 ed efficaci dal 30 gennaio 2026. È un cambio di paradigma rispetto all’Ordine Europeo di Indagine e alle rogatorie: il dialogo Stato-Stato lascia il posto al canale diretto autorità-prestatore, con tempi di risposta misurati in giorni anziché in mesi. Per un’inchiesta su un attacco agentico la differenza di tempistica può essere decisiva: i log delle sessioni hanno una vita di conservazione limitata, dettata dalle policy del provider e non dall’opportunità investigativa, e si esauriscono prima dei mesi che una rogatoria classica richiede.

Convenzione di Hanoi: opportunità investigative e rischi per i diritti fondamentali

La Convenzione di Hanoi (United Nations Convention against Cybercrime) è stata adottata dall’Assemblea Generale ONU il 24 dicembre 2024 (Risoluzione 79/243) e aperta alla firma fra il 25 e il 26 ottobre 2025. Resta aperta alla firma fino al 31 dicembre 2026. Per l’entrata in vigore servono 40 ratifiche; a maggio 2026 ne sono state depositate due, quelle del Qatar (febbraio 2026) e del Vietnam (17 aprile 2026), con un terzo Stato avviato verso il deposito. La Convenzione promette una piattaforma universale per la mutual legal assistance in materia di reati informatici, punti di contatto 24/7, ordini di conservazione e produzione, raccolta in tempo reale del traffico internet.

Le perplessità non sono marginali. Le garanzie sui diritti umani sono formulate con il verbo “may” (gli Stati parte possono applicarle), lasciate alla discrezionalità nazionale; il meccanismo di cooperazione si applica a qualunque reato punibile con almeno quattro anni, soglia che in numerosi ordinamenti include la criminalizzazione dell’omosessualità, dell’apostasia o della dissidenza politica.

La ratifica del Qatar è accompagnata da una riserva sugli articoli 14-16, quelli che disciplinano la protezione dei minori da abusi sessuali online, sfruttamento sessuale e diffusione non consensuale di immagini intime: un primo segnale del pattern di adesioni selettive in cui gli Stati prendono i poteri investigativi e rinunciano agli obblighi di tutela. Il Cybersecurity Tech Accord, organizzazioni per i diritti civili e analisti accademici hanno espresso riserve documentate sul testo.

Per le procure italiane Hanoi va trattata come strumento di apertura selettiva: utile per moltiplicare i canali verso paesi finora fuori dalla rete europea, ma non sostituibile né intercambiabile con Budapest ed e-evidence sul piano delle garanzie. La scelta del canale, in altri termini, non è solo tecnica: è anche politica e di tutela dei diritti dell’indagato.

Aggravante 11-decies: quando l’AI diventa mezzo insidioso del reato

Sul piano sostanziale, dal 10 ottobre 2025 è in vigore la legge 132/2025, che introduce nel codice penale italiano un’aggravante comune all’articolo 61 n. 11-decies. Il testo recita: la pena è aumentata per i reati commessi “mediante l’impiego di sistemi di intelligenza artificiale, quando gli stessi, per la loro natura o per le modalità di utilizzo, abbiano costituito mezzo insidioso, ovvero quando il loro impiego abbia comunque ostacolato la pubblica o la privata difesa, ovvero aggravato le conseguenze del reato”.

È la disposizione più rilevante per i casi di tipo GTG-2002. Una campagna di estorsione condotta da un agente AI che analizza i bilanci della vittima per calibrare il riscatto, genera note personalizzate per ciascuna organizzazione, maschera eseguibili malevoli da strumenti Microsoft legittimi, presenta tutti i tratti del “mezzo insidioso” che ha “aggravato le conseguenze del reato”.

L’aggravante incrocia il catalogo del decreto legislativo 231/2001, con riflessi sulla responsabilità delle persone giuridiche che si avvalgano impropriamente di sistemi di AI. La stessa legge introduce poi l’articolo 612-quater c.p. (illecita diffusione di contenuti generati o alterati con sistemi di intelligenza artificiale, reclusione da uno a cinque anni) e modifiche specifiche su reati elettorali, aggiotaggio, manipolazione del mercato, tutti con aumenti di pena quando la condotta è realizzata tramite AI.

La sfida, per il pubblico ministero che voglia contestare l’aggravante in un caso tipo GTG-2002, è documentare la catena agentica con un livello di dettaglio sufficiente: dimostrare che il sistema di AI ha effettivamente partecipato alla condotta, in quale misura, con quali decisioni autonome, sulla base di quali istruzioni dell’imputato. Significa, di nuovo, accedere ai log del provider e renderli opponibili. Si chiude qui il cerchio fra qualificazione penale, acquisizione transfrontaliera della prova e validabilità processuale.

Forense agentica: le nuove competenze per magistrati e Polizia giudiziaria

Lo scenario disegnato dai tre canali di cooperazione, dall’aggravante 11-decies e dal nodo della validità processuale, richiede competenze investigative che la forense classica non copre completamente. Si tratta di figure miste, in cui convergono l’analisi del traffico di rete e l’esame dei log del provider, la conoscenza del Model Context Protocol e dei system prompt, la familiarità con le strutture dati delle sessioni di Claude, GPT o Gemini, la capacità di documentare la catena agentica con linguaggio comprensibile a un giudice non specialista.

Sul piano istituzionale, il Servizio Polizia Postale per la Sicurezza Cibernetica ha aperto percorsi di specializzazione su analista di fonti aperte, operatore cyber, Child Sexual Exploitation Operator, oltre al Master in Cyber Security, Legislazione e Gestione della Sicurezza. La rete dei Nuclei Operativi per la Sicurezza Cibernetica costituisce il primo livello di risposta sul territorio. Resta da costruire l’innesto specifico della forense agentica nei flussi di lavoro operativi e nei capitolati di formazione di magistrati e Polizia giudiziaria. È un cantiere che le procure distrettuali stanno aprendo con tempi diseguali e che, presumibilmente, troverà nei prossimi tre o quattro anni la propria fisionomia matura.

AI agentica e processo penale: una disciplina ancora da costruire

L’AI agentica come autore materiale di reato non è uno scenario di laboratorio: è una fattispecie concreta documentata in rapporti pubblici di provider e prevista da un’aggravante del codice penale italiano. La filiera investigativa che la persegue, però, è ancora in costruzione. I tre canali di cooperazione transfrontaliera (Budapest, e-evidence, Hanoi) offrono strumenti differenti per acquisire la prova dai server dei provider; ognuno con tempi, ambiti e garanzie propri, nessuno sostituibile con gli altri. L’aggravante 11-decies fornisce la qualificazione sostanziale del fatto. La forense agentica, intesa come disciplina di ricostruzione opponibile in giudizio della catena decisionale di un modello, è la competenza tecnica che tiene insieme i due lati.

Manca, in larga parte, l’esperienza giurisprudenziale che renda routinarie queste prassi. È quello che si guadagna soltanto con i primi procedimenti effettivamente portati a sentenza, e con la documentazione metodica delle decisioni adottate caso per caso.