Perquisizione digitale: il tuo telefono vale più di una cassaforte e le regole per aprirlo sono ancora in costruzione

Immagina di sentirti bussare alla porta, forze dell’ordine, hanno un decreto di perquisizione e tu, mentre cerchi di capire cosa stia succedendo, realizzi che quello che vogliono non sono le tue carte, i tuoi cassetti, i tuoi armadi.
Vogliono il tuo telefono, il tuo laptop, i tuoi backup cloud.

Siamo abituati a pensare alla perquisizione come a qualcosa di fisico, quasi cinematografico. Qualcuno che rovista tra gli oggetti, apre scatole, esamina documenti cartacei, ma il perimetro di ciò che può essere sequestrato e analizzato si è spostato in modo radicale, e la maggior parte delle persone lo scopre solo quando si trova davanti a quella porta.

Questo articolo serve a capire come funziona la perquisizione digitale nel sistema giuridico italiano, cosa prevede la legge, quali diritti esistono e, soprattutto, dove si situano le zone grigie che ancora attendono risposta.

Cosa si intende per perquisizione digitale

La perquisizione digitale non è una categoria giuridica autonoma nel codice di procedura penale italiano.
Il legislatore, nella struttura originaria del codice, non l’aveva prevista in quanto tale.
Si applica il quadro generale degli articoli 247 e seguenti del c.p.p., che disciplinano la perquisizione personale e locale, integrato da una serie di norme speciali introdotte progressivamente negli anni.
Il decreto di perquisizione, emesso dal pubblico ministero che può delegare per l’esecuzione la polizia giudiziaria, autorizza la ricerca del corpo del reato o di cose pertinenti al reato.
In ambito digitale questo si traduce concretamente nel sequestro di dispositivi, nell’accesso ai contenuti memorizzati, nell’acquisizione di dati da sistemi informatici o telematici.
Chi lavora nel diritto processuale sa che questa formula, all’apparenza tecnica, copre nella pratica un perimetro molto più ampio di quanto suoni.

Il problema strutturale è che il codice è stato concepito pensando a oggetti materiali.
I dati digitali hanno caratteristiche profondamente diverse: sono duplicabili senza deteriorarsi, possono essere analizzati in modo massivo, e la loro acquisizione non implica necessariamente che il dispositivo venga sottratto fisicamente.
Si può fare una copia forense esatta di un intero hard disk e riconsegnare il computer al proprietario o non riconsegnarlo affatto, per mesi.

Il quadro normativo

La disciplina si articola su più livelli, e per capirla conviene seguire l’ordine cronologico con cui si è formata, perché ogni intervento ha risposto a un problema che quello precedente non riusciva a risolvere.

La legge 547/1993 ha introdotto nel codice penale i reati informatici, senza però intervenire in modo organico sulle regole processuali per l’acquisizione delle prove digitali, era un primo passo, necessario ma insufficiente.

La svolta arriva con la legge 48/2008, che ha ratificato la Convenzione di Budapest sul cybercrime del 2001, è la fonte normativa centrale in questa materia, spesso citata meno di quanto meriti. Ha modificato direttamente il codice di procedura penale introducendo disposizioni specifiche per i sistemi informatici:

• l’art. 244 co. 2 estende l’ispezione ai sistemi informatici;
• l’art. 247 co. 1-bis disciplina la perquisizione di sistemi informatici e telematici;
• l’art. 254-bis regola il sequestro di dati informatici presso fornitori di servizi, prevedendo la consegna di copie anziché l’acquisizione dei sistemi originali quando possibile;
• gli artt. 259 co. 2 e 260 co. 3 stabiliscono le modalità di custodia e conservazione delle prove digitali.

Tutta la disciplina processuale specifica sulle prove digitali, in sostanza, discende da questa legge.

Il Codice Privacy (d.lgs. 196/2003), modificato dal d.lgs. 101/2018 per coordinarlo con il regolamento (UE) 2016/679 (GDPR), direttamente applicabile negli Stati membri, aggiunge un ulteriore strato. I dati personali acquisiti durante una perquisizione rimangono tali anche quando finiscono nel fascicolo di un procedimento penale, ma il regime applicabile non è quello ordinario del GDPR.

Il trattamento in ambito penale segue le logiche autonome della direttiva 2016/680, recepita in Italia con il d.lgs. 51/2018, che limita significativamente il diritto di accesso dell’interessato.

Chi pensa di poter esercitare i propri diritti GDPR “normali” sul fascicolo che lo riguarda si troverà davanti a un quadro molto più ristretto.

Sul piano europeo, il regolamento (UE) 2023/1543 sull’e-Evidence, pubblicato in Gazzetta Ufficiale UE il 28 luglio 2023, introduce ordini europei di produzione e conservazione di prove elettroniche, permettendo alle autorità di uno Stato membro di richiedere dati direttamente ai fornitori di servizi stabiliti in un altro Stato membro.

Gli Stati hanno tempo fino ad agosto 2026 per adeguarsi pienamente: il regolamento non è ancora operativo in modo uniforme, ma quando lo sarà ridefinirà in modo strutturale la cooperazione giudiziaria digitale in Europa.

Cosa viene acquisito e come

Quando le forze dell’ordine eseguono una perquisizione digitale, possono acquisire smartphone, tablet, laptop, dispositivi di archiviazione esterna, router, e qualunque altro sistema informatico che rientri nell’ambito del decreto.

Vale distinguere tre livelli di acquisizione che nella pratica vengono spesso confusi:
1) il sequestro del supporto fisico, cioè la sottrazione materiale del dispositivo;
2) la copia dei dati, cioè l’estrazione forense che può avvenire anche senza trattenere il dispositivo;
3) l’accesso ai sistemi remoti, che riguarda cloud e sessioni attive e segue regole diverse.

Capire a quale delle tre ci si trova davanti è rilevante perché cambiano le tutele applicabili e gli strumenti di contestazione.
La copia forense è la procedura standard.
Prevede la creazione di una replica bit-a-bit del dispositivo, la cui integrità è garantita da impronte hash che ne certificano l’inalterabilità e da una catena di custodia tracciata che documenta ogni passaggio.
Questo garantisce l’integrità della prova ma ha una conseguenza che il soggetto perquisito spesso non considera: viene acquisita una quantità di dati enormemente superiore a quella strettamente pertinente all’indagine.
Tutto ciò che è sul dispositivo diventa tecnicamente accessibile, ma non per questo automaticamente utilizzabile: il principio di proporzionalità impone che l’analisi rimanga nei limiti della pertinenza, e su questo punto la giurisprudenza si è fatta progressivamente più precisa, come si vedrà nella sezione dedicata.
La qualificazione della copia forense come accertamento tecnico non ripetibile ex art. 360 c.p.p., con le conseguenti garanzie difensive anticipate, non è automatica né pacifica.
La Cassazione ha chiarito in più occasioni che la clonazione bit-stream, in quanto attività meccanica che non altera il reperto originario, può essere ricondotta agli accertamenti ripetibili ex art. 359 c.p.p.
La difesa può sostenere l’applicazione dell’art. 360 in presenza di elementi specifici: dati volatili, connessioni in corso, condizioni che rendono il dispositivo fisicamente instabile.
Non è una battaglia persa in partenza, ma va condotta con argomenti tecnici precisi e non data per scontata.

Sul cloud la situazione è più articolata di quanto sembri.
In linea generale, l’accesso a dati non presenti fisicamente sul dispositivo può richiedere un titolo autonomo o una specifica previsione nel decreto, con regole che variano a seconda della localizzazione del server e della nazionalità del fornitore.
Nella prassi operativa, tuttavia, se lo smartphone sequestrato ha le app di archiviazione già autenticate e le sessioni aperte, la polizia giudiziaria tende a estrarre i dati trattandoli come nella disponibilità locale e immediata del dispositivo.
Questo può ridurre, di fatto, la rilevanza immediata della questione sulla localizzazione del server, anche se non la elimina sul piano della legittimità dell’acquisizione, soprattutto alla luce dei principi di proporzionalità e minimizzazione affermati dalla giurisprudenza europea.

La proporzionalità e la giurisprudenza recente

Il quadro normativo sopra descritto è stato messo in crisi da una sentenza europea che ne ha rivelato i limiti strutturali, innescando una reazione a catena che non si è ancora conclusa.
Con la sentenza del 4 ottobre 2024 nella causa C-548/21, la Grande Sezione della Corte di giustizia UE ha stabilito che l’accesso ai dati contenuti in un telefono cellulare, nell’ambito di un’indagine penale, deve rispettare il principio di proporzionalità e, salvo casi di urgenza debitamente giustificata, essere subordinato al controllo preventivo di un soggetto terzo rispetto a quello che chiede l’accesso, vale a dire un giudice o un’autorità indipendente in grado di esercitare quel controllo in modo obiettivo e imparziale.

La Corte ha anche chiarito che un controllo esercitato solo dopo l’acquisizione non è sufficiente, perché l’ingerenza nella vita privata si produce nel momento dell’accesso, non in quello del giudizio successivo.

Questa affermazione mette in tensione diretta la disciplina italiana vigente, che affida al pubblico ministero il decreto di sequestro senza prevedere sistematicamente un’autorizzazione giurisdizionale preventiva.

Il terreno su cui si muoveva la Cassazione, però, non era vergine.
Le Sezioni Unite – Andreucci (Cass. pen., Sez. Un., n. 40963 del 20 luglio 2017) avevano già fissato un pilastro importante: la restituzione del dispositivo fisico non esaurisce il pregiudizio derivante dal sequestro, perché la disponibilità esclusiva del proprio patrimonio informativo costituisce un diritto autonomo, tutelato dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE e dall’art. 8 CEDU.
Su questo fondamento si è sviluppata una giurisprudenza progressivamente più precisa sui limiti del sequestro digitale.

La Sesta Sezione penale, con la sentenza n. 38331 del 26 novembre 2025, ha ribadito che la proporzionalità del sequestro deve essere verificabile fin dall’origine: il pubblico ministero è tenuto a indicare nel decreto le ragioni che giustificano un’acquisizione estesa, i criteri di selezione del materiale informatico e i tempi entro cui verrà effettuata la cernita con conseguente restituzione dei dati non rilevanti.
Un decreto privo di questi elementi non ha un vizio formale sanabile, ha un difetto genetico del provvedimento.
In sede di riesame ex art. 324 c.p.p., contestare un decreto fotocopia privo di criteri e perimetrazione temporale è oggi l’argomento più solido a disposizione della difesa.

La stessa Sesta Sezione, con la sentenza n. 13585 del 1° aprile 2025, ha poi fatto i conti direttamente con la CGUE C-548/21: ha riconosciuto che la normativa italiana non è conforme alla direttiva 2016/680 come interpretata dalla Corte di giustizia, poiché non prevede un controllo preventivo da parte di un soggetto terzo.
Ha però escluso che questo si traduca automaticamente in inutilizzabilità della prova, non esistendo un divieto probatorio tipizzato ex art. 191 c.p.p.: al più potrebbe configurarsi una nullità.
Nel caso concreto, tuttavia, nemmeno questa è stata dichiarata, perché il tribunale del riesame si era già pronunciato sul sequestro garantendo un controllo giurisdizionale effettivo, e la lesione del diritto di difesa non era ravvisabile.
Il risultato pratico è che il materiale acquisito era pienamente utilizzabile.

La tensione con la sentenza europea, che aveva escluso la sufficienza del controllo ex post, rimane aperta: la Cassazione ha aggirato il problema nel caso concreto, non lo ha risolto.

Il Parlamento ha risposto con la legge n. 36 del 17 marzo 2026 (legge di delegazione europea 2025), pubblicata in Gazzetta Ufficiale il 25 marzo 2026, che delega il Governo ad adeguare il d.lgs. 51/2018 e il codice di procedura penale entro sei mesi dall’entrata in vigore, con scadenza entro l’autunno 2026.

Siamo in piena fase transitoria: la sentenza europea c’è, il recepimento italiano non ancora, e il decreto attuativo sarà il momento in cui il legislatore dovrà dare una risposta che la giurisprudenza, per ora, ha solo eluso.

I diritti durante la perquisizione

La prima cosa da tenere presente è che durante una perquisizione hai diritto di farti assistere da un avvocato, ma con un limite concreto: durante la fase di esecuzione immediata della perquisizione non è sempre possibile attendere che il difensore arrivi fisicamente.
Puoi contattarlo, e dovresti farlo subito, ma la perquisizione può procedere anche in sua assenza.

Hai diritto di ricevere copia del decreto di perquisizione, o almeno di prenderne visione.

Se non viene mostrato, è un’irregolarità che il tuo difensore potrà far valere in seguito, con potenziali ricadute sull’utilizzabilità degli elementi acquisiti.

Sul tema delle password il dibattito giurisprudenziale si sta concentrando su una distinzione che è utile conoscere, anche se non ancora stabilizzata in modo uniforme.
Il principio del nemo tenetur se detegere, cioè il diritto a non contribuire alla propria incriminazione, copre tendenzialmente il PIN o la password mnemonica, perché richiederli equivale a costringere il soggetto a un’attività di natura dichiarativa.
Lo sblocco biometrico, tramite impronta digitale o riconoscimento facciale, viene invece spesso assimilato a un rilievo fisico o dattiloscopico, e la sua coercibilità è oggetto di discussione in termini diversi.

Anche il rifiuto di fornire la password, pur non configurando un obbligo tipizzato, non è privo di conseguenze indirette nel contesto dell’indagine.
La scelta va valutata con il difensore nel caso concreto, senza dare per scontato né l’obbligo né l’impunità del rifiuto.

Hai diritto a che venga redatto un verbale dettagliato di tutto ciò che viene acquisito, ed è spesso l’unico strumento concreto che rimane in mano al soggetto perquisito.

In fase di acquisizione, puoi chiedere che venga indicato il perimetro dell’acquisizione, che si specifichi se viene effettuata copia o sequestro del supporto fisico, e che vengano annotati eventuali accessi a dati palesemente estranei al reato contestato.
Sono dettagli che possono fare la differenza nella contestazione successiva.

Hai infine il diritto di richiedere la restituzione dei dispositivi sequestrati attraverso un’istanza di dissequestro e restituzione ai sensi dell’art. 262 c.p.p.
I tempi non sono garantiti, ma lo strumento esiste e può essere azionato.
Per chi usa i propri dispositivi per l’attività professionale è spesso la prima mossa utile da intraprendere dopo la nomina del difensore.

Le zone grigie: segreto professionale e tutele differenziate

Il segreto professionale è un’area in cui la disciplina è più articolata di quanto sembri e i tre regimi applicabili non possono essere trattati come un blocco unico.

Per i difensori, l’art. 103 c.p.p. prevede garanzie specifiche nelle perquisizioni presso i loro uffici, estese ai collaboratori.

Per i professionisti soggetti al segreto professionale in senso lato, medici e consulenti tra gli altri, si applicano le disposizioni dell’art. 200 c.p.p.

Per i giornalisti, entra in gioco anche la legge 69/1963 sull’ordinamento professionale, con tutele che riguardano specificamente le fonti.

Il problema comune, irrisolto in tutti e tre i casi, è che la separazione tra dati pertinenti all’indagine e dati coperti da segreto è quasi impossibile da realizzare automaticamente durante l’acquisizione digitale.
Dipende quasi interamente dalla correttezza delle procedure successive, e su questo il controllo è scarso.

Il controllo giurisdizionale: cosa esiste e dove mostra i suoi limiti

Sarebbe sbagliato dire che il controllo giurisdizionale sulle perquisizioni digitali non esiste.
Esiste ed è articolato: il PM emette il decreto, o nei casi più gravi il GIP lo autorizza preventivamente; la polizia giudiziaria può procedere d’urgenza ex art. 352 c.p.p., ma il decreto deve essere convalidato dal PM entro 48 ore, pena l’inutilizzabilità degli elementi acquisiti; per il sequestro conseguente è possibile proporre riesame ex art. 324 c.p.p.

Il problema è strutturale, e in ambito digitale diventa particolarmente acuto.
Il controllo giurisdizionale è quasi sempre successivo e mai preventivo nella fase esecutiva.
Una volta che i dati sono stati copiati, il pregiudizio alla riservatezza può considerarsi già prodotto sotto il profilo sostanziale, indipendentemente dal successivo esito del controllo.

Il riesame può portare alla restituzione del dispositivo, all’inutilizzabilità degli elementi acquisiti, perfino all’annullamento del decreto, ma non cancella il fatto che quella copia forense esiste.

È esattamente questa asimmetria che la sentenza CGUE C-548/21 ha messo al centro: il controllo ex post non è sufficiente a garantire i diritti fondamentali dell’interessato, perché l’ingerenza nella vita privata si produce nel momento dell’accesso, non nel momento del giudizio.

La Cassazione ha riconosciuto il problema, la legge delega lo ha istituzionalizzato, il decreto attuativo deve ancora arrivare.

Cosa fare in pratica

Se ti trovi in una situazione di questo tipo, le priorità sono poche e chiare.
– Non opporre resistenza fisica all’esecuzione del decreto, anche se ritieni che ci siano irregolarità: quelle si contestano successivamente, nelle sedi competenti.
– Chiama immediatamente un avvocato, o fallo chiamare da qualcuno di fiducia. Non aspettare di capire da solo come stanno le cose.
– Prendi nota di tutto: orario di inizio e fine della perquisizione, identità degli agenti presenti, elenco di ciò che viene acquisito.
– Chiedi esplicitamente che nel verbale sia indicato il perimetro dell’acquisizione, se viene effettuata copia o sequestro fisico, e se vengono interessati dati diversi da quelli indicati nel decreto.
– Chiedi copia del verbale, se ti viene negata, fallo mettere a verbale.
– Non rilasciare dichiarazioni spontanee sul contenuto dei dispositivi o sulle ragioni dell’indagine, non perché il silenzio protegga solo i colpevoli, ma perché dichiarazioni rese in un momento di pressione possono essere fraintese o verbalizzate in modo impreciso.
Hai il diritto al silenzio, ed è una garanzia che l’ordinamento ti riconosce indipendentemente dalla tua posizione nell’indagine.

Una riflessione finale

C’è qualcosa di strutturalmente asimmetrico nella perquisizione digitale.
Chi subisce il provvedimento si trova, in pochi minuti, a consegnare l’intera propria vita digitale, anni di comunicazioni, dati personali e professionali, a un’autorità che li analizzerà in modo selettivo e in tempi non prevedibili.

Non si tratta di mettere in discussione la legittimità delle indagini penali.

Si tratta di riconoscere che il diritto processuale è stato costruito intorno all’idea di oggetti fisici, e che gli strumenti di tutela del singolo, pur esistendo, risentono ancora di questa origine.

La giurisprudenza sta cercando di colmare lo spazio: le Sezioni Unite del 2017, la Corte di giustizia UE del 2024, la Cassazione del 2025, la legge delega del 2026 sono tutti segnali di un sistema che avverte la pressione e cerca un equilibrio.

Il legislatore nazionale si muove, ma più lentamente del problema.

Ognuno di noi porta in tasca un dispositivo che contiene più informazioni private di qualunque cassaforte fisica che un legislatore del secolo scorso avrebbe mai potuto immaginare di dover proteggere, e le regole per aprirla sono ancora in corso di scrittura.