In questo case study, tratto da una recente controversia decisa presso il Tribunale Civile, presento l’uso dell’intelligenza artificiale in ambito e-Discovery. In particolare lo strumento IA di tipo RAG (Retrieval-Augmented Generation), opportunamente configurato, mi ha supportato nell’analisi forense al fine di dimostrare che i documenti contrattuali presentati dal broker non erano validi. Grazie a questa perizia il Giudice ha condannato il broker alla restituzione di quasi un quarto di milione di euro al risparmiatore.

Il contesto: la validità della firma “Point and Click”

La controversia nasceva dalla richiesta di un investitore di vedersi restituire il capitale investito tramite una piattaforma di trading online. Il nodo del contendere riguardava la validità del contratto: la normativa richiede la forma scritta, che la piattaforma sosteneva di aver assolto tramite una firma elettronica acquisita con modalità “point and click” (la classica spunta di accettazione web). Per dirimere la questione tecnica, il Giudice ha nominato un Consulente Tecnico d’Ufficio (CTU) a cui ha dato mandato di accertare “se e con quali modalità (e previe quali operazioni di registrazione ed autenticazione) il contratto […] sia stato firmato dall’attore e se le modalità impiegate soddisfino il requisito minimo della sottoscrizione point and click”. Per rispondere a tale quesito il CTU ha dovuto analizzare l’intero percorso informatico di formazione della volontà contrattuale .

In qualità di Consulente Tecnico di Parte (CTP) per l’investitore, il mio compito è stato quello di verificare i documenti prodotti in causa e presenziare a tutte le fasi di analisi dei dispositivi informatici e dei relativi log, prodotti dal broker, per comprendere se garantissero effettivamente l’autenticità e l’integrità di quella firma. Il confronto si è rivelato particolarmente stimolante, oltre che per la competenza del CTU, anche per la presenza, per la controparte, di un collega di grande ed indiscussa esperienza. Tale livello di professionalità ha garantito un contraddittorio tecnico di alto profilo e di assoluto rigore metodologico..

L’architettura RAG Ollama + AnythingLLM

Affrontare le pagine di fascicoli, memorie e log di connessione richiede un lavoro importante e, anche con il dovuto tempo e la massima attenzione, il rischio che sfuggano dettagli cruciali è alto. Per questo motivo, ho deciso di affiancare alla metodologia forense tradizionale un sistema di Intelligenza Artificiale basato su architettura RAG.

Per garantire la totale riservatezza dei dati processuali, il rispetto del GDPR e l’integrità della catena di custodia, ho escluso a priori l’utilizzo di API o servizi basati sul Cloud. Ho invece progettato e implementato un ambiente air-gapped (completamente offline) direttamente sulla mia workstation forense. La configurazione tecnica adottata si è basata su due strumenti IA:

1. Ollama: utilizzato come motore di inferenza locale per eseguire in sicurezza modelli linguistici open-weight, sfruttando l’accelerazione hardware della workstation senza che alcun byte uscisse dal mio laboratorio;
2. AnythingLLM: configurato come frontend e gestore del database vettoriale (Vector DB). Questo strumento mi ha permesso di effettuare il parsing, il chunking (frammentazione) e l’indicizzazione semantica dell’intero corpus documentale (PDF, log di sistema, dump dei database).

L’implementazione di questo ecosistema ha trasformato una mia workstation in un potente motore di ricerca semantica. L’algoritmo ha agito da “super-lente d’ingrandimento” per processare i dati, lasciando però esclusivamente a me — in qualità di perito — il compito di verificare i riscontri sui documenti originali. L’interrogazione massiva e intelligente dei dati ha fatto emergere discrepanze, che ho relazionato in sede di quesiti alla bozza di CTU:

• Incongruenze negli indirizzi IP: Confrontando i documenti depositati in giudizio dalla convenuta con i dati estratti dal loro database, è emersa una contraddizione. Per la medesima transazione di accettazione, il sistema attribuiva due indirizzi IP pubblici differenti. Questo dato ha dimostrato l’incoerenza strutturale del dataset e la comprovata possibilità di alterazione dei log ex post;
• La vulnerabilità delle password “in chiaro”: L’analisi ha rivelato che le credenziali degli utenti venivano conservate “in chiaro” (senza crittografia) nei sistemi del broker. Questo contraddice il principio del controllo esclusivo: in iperbole il personale interno avrebbe potuto tecnicamente impersonare l’utente e compiere operazioni a sua insaputa;
• Assenza di tracciamento e percorso di accettazione inequivoco: Indipendentemente dalle falle di autenticazione, il meccanismo di firma “point and click” adottato dalla piattaforma difettava dei requisiti strutturali minimi per cristallizzare la volontà contrattuale. L’architettura del sistema non prevedeva alcun meccanismo di garanzia dell’integrità, come l’apposizione di una marcatura temporale certificata da un ente terzo o l’utilizzo di funzioni di hashing sui log. Inoltre, la piattaforma mancava totalmente di un adeguato sistema di datazione e registrazione delle revisioni documentali.

Nonostante l’autorevole difesa del CTP avversario, queste lacune si sono rivelate dirimenti, rompendo il nesso di imputabilità esclusiva della firma. A suggellare questa inidoneità tecnica, l’analisi peritale ha dimostrato che il consumatore veniva condotto alla firma attraverso un percorso informatico per nulla chiaro ed inequivocabile, venendo indotto a cliccare su pulsanti generici (come “INVIA” o “ISCRIVITI GRATIS”) che non soddisfano minimamente i requisiti normativi previsti per la manifestazione di un consenso economico vincolante. Di conseguenza, è venuta a mancare ogni garanzia tecnica sulla genuinità e inalterabilità del contratto stesso.

Security by design: da best practice a necessità giuridica

Di fronte a queste evidenze il Giudice ha stabilito che la procedura di firma non soddisfaceva i requisiti minimi di sicurezza e affidabilità. Un sistema in cui i log sono contraddittori e le credenziali vulnerabili non può garantire la genuinità della contrattualistica. Il contratto è stato pertanto dichiarato nullo, con conseguente condanna del broker alla restituzione dell’intero importo originariamente investito.

Questo caso evidenzia come, soprattutto in ambito FinTech, la mancanza di una reale architettura Security by Design sia fatale quando sottoposta al vaglio di un’analisi professionale. Dimostra inoltre che l’informatica forense, nel tutelare i diritti delle parti, trae vantaggio dall’adozione di strumenti AI locali. L’integrazione di sistemi RAG on-premise rappresenta oggi la nuova frontiera per supportare l’analista verso informazioni cruciali, spesse nascoste nella vastità dei dati processuali.