L’utilizzo di una validazione temporale attesta l’esistenza di un documento digitale in un istante temporale certo, indipendente dalla corrente validità della sottoscrizione digitale del documento stesso.
È importante che i processi di formazione di documenti elettronici e soprattutto informatici possano estendere nel tempo la validità della sottoscrizione elettronica anche quando il certificato di firma usato dal sottoscrittore dovesse risultare sospeso, scaduto o revocato e indipendentemente dalla eventuale operazione di messa in conservazione del documento stesso.
La scadenza del certificato qualificato di firma è convenzionalmente fissata a tre anni al termine dei quali vi è la decadenza della validità della firma con le conseguenze che ne possono derivare sull’opponibilità a terzi del documento.
Analizziamo, quindi, la marca temporale quale strumento di validazione temporale partendo da una breve riflessione sui certificati qualificati di firma.
Certificato qualificato di firma
Il certificato di firma elettronica è un oggetto elettronico che permette di collegare un insieme di dati elettronici ad una persona fisica identificata con almeno nome o pseudonimo.
Questo certificato digitale, può essere rilasciato da una certification authority ed è indispensabile per ottenere una Firma Elettronica Qualificata o una Firma Digitale. Questi due termini hanno due differenti definizioni, seppur nel comune linguaggio, soprattutto in Italia, hanno col tempo assunto il medesimo significato.
Di fatti, all’art.3 numero 12 del Regolamento eIDAS[1]si definisce FEQ:
“una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche”.
La Firma Digitale è definita nel CAD [2] all’articolo 1, lettera s) come “un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare ((di firma elettronica)) tramite la chiave privata ((e a un soggetto terzo)) tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici;”.
Il certificato digitale, alla base di queste due tipologie di firma, deve essere in corso di validità al momento dell’opposizione della sottoscrizione di un documento elettronico, ma cosa succede a quest’ ultimo nel momento in cui il certificato usato per la sottoscrizione dovesse risultare sospeso, revocato o scaduto?
L’efficacia giuridica della firma elettronica qualificata o digitale dipende certamente dalla validità del certificato, ma anche dal processo di firma che è stato utilizzato per l’opposizione della firma stessa.
Le soluzioni di firma dovrebbero impedire l’utilizzo di certificati digitali il cui stato risulti essere sospeso, revocato o scaduto, ma un documento firmato correttamente con un certificato valido potrebbe trovarsi, dopo pochi istanti, in uno stato di inconsistenza qualora dovesse intervenire il termine di validità del certificato stesso. Questo rendere il documento sottoscritto non più idoneo a soddisfare il requisito della forma scritto previsto dall’art. 2702 del Codice civile, con le conseguenze immaginabili.
È in questo scenario che diviene centrale l’utilizzo di un riferimento temporale opponibile a terzi, che attesti l’esistenza del documento digitale, nella sua forma e contenuto, in un istante temporale certo. Esistono diversi meccanismi per l’opposizione dei riferimento temporali, previsti tutti nel DPCM 22/02/2013, all’art. 41 “Riferimenti temporali opponibili a terzi”: la marca temporale è forse il più noto, realizzata da un certificatore accreditato, ma vale la pena ricordare anche la segnatura di protocollo, per le PPAA, il riferimento temporale ottenuto attraverso l’utilizzo della PEC, il riferimento ottenuto attraverso la procedura di messa in conservazione in conformità alle norme vigenti, ad opera di un notaio o di un pubblico ufficiale.
Validazione temporale con marca temporale
Quando si parla di riferimento temporale opponibile a terzi, ci si riferisce alla validazione temporale ossia ad una procedura informatica che consente di attribuire ai documenti informatici una data e ora certe e valide, opponibili ai terzi.
Il Regolamento eIDAS definisce infatti la “validazione temporale” all’Art.3 punto 33 come “dati in forma elettronica che collegano altri fati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”.
Si introduce inoltre, la validazione temporale qualificata che segna un cambio di effetti giuridici tra le due. Infatti, sebbene il riferimento temporale apposto al documento informatico sia liberamente valutabile in giudizio, la norma chiarisce che la validazione temporale qualificata gode della presunzione di accuratezza di data e ora che indica e dell’integrità dei dati imputati.
Marca Temporale
È uno strumento informatico di validazione temporale, le cui regole di attuazione trovano spazio nel DPCM 22/02/2013 in particolare all’art 41 alla lettera d) e dagli articoli 47-54
La marca temporale è importante perché consente di attribuire ad un documento una data ed un’ora certe, relativamente alla sua esistenza e forma e integrità.
Con l’apposizione di una marca temporale quindi, un documento informatico, firmato digitalmente, è opponibile ai terzi a condizione che l’apposizione dei riferimenti temporali sia avvenuta in conformità alle regole sulla validazione temporale e a rigorose specifiche tecniche che devono essere adottate anche dal Certificatore Qualificato preposto a tale funzione.
L’utilizzo di una marcatura temporale elettronica quindi non “allunga la vita” alla firma elettronica qualificata e alla firma digitale, ma garantisce per un arco di tempo maggiore, 20 anni da quando viene apposta, la validità della marca temporale, il che fornisce maggiore assicurazione sulla opponibilità a terzi del documento sottoscritto.Ll’art.62 del DPCM 22 febbraio 2013, infatti, dispone che:
“Le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione.”
Cosa deve contenere una marca temporale?
Una marca temporale deve contenere almeno (DPCM 22 febbraio 2013 Art.48 numero 1):
- L’identificativo dell’emittente
- Numero di serie della marca temporale
- Algoritmo di sottoscrizione della marca temporale
- Identificativo del certificato relativo alla chiave utilizzata per la verifica della marca temporale
- Riferimento temporale della generazione della marca temporale
- Identificativo della funzione di hash utilizzata per generare l’impronta dell’evidenza informatica
Durata della marca temporale
L’Art. 53 del DPCM 22/02/2013 “Validazione temporale con marca temporale” prescrive che le marche emesse da un sistema di validazione sono conservate in un archivio digitale non modificabile per un periodo non inferiore ai 20 anni e in questo modo ne sancisce la sua validità in quanto la marca temporale è vigente per il periodo di conservazione stabilito o concordato con il certificatore.
Il processo di marcatura temporale
La marca temporale, o meglio la validazione temporale, è tecnicamente la procedura tramite la quale avviene la generazione e l’apposizione di un riferimento temporale in formato UTC (tempo universale coordinato) mediante l’apposizione di una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato (TSP, trust service provider in eIDAS)
Il processo di generazione della marca temporale segue un percorso a fasi:
- Il programma genera l’impronta del documento (detta digest) calcolata utilizzando la funzione di hash SHA-256
- Il TSP riceve la richiesta contente informazioni varie, tra cui anche il digest del file
- Il TSP verifica la richiesta e successivamente genera la Marca Temporale
- Sul file viene apposta la Marca Temporale
[1] REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE
[2] Codice dell’Amministrazione Digitale D.lgs. 82/2005
Un documento con marca temporale potrà avere estensione:
- tsd (timeStamped Data) se il file comprende sia il documento originale, sia la marca temporale;
- tsr/tst (time stamp token) se il file creato contiene solamente la marca temporale.
A seconda della tipologia di firma, CadES, PadES, XAdES [...] si possono avere risultati differenti nella generazione di queste evidenze.
In conclusione, si può sostenere sicuramente l’importanza di questo sistema di validazione temporale che risulta fondamentale per superare la normale scadenza dei certificati di firma, in quanto estende l’opponibilità a terzi del documento con Marca Temporale a condizione che questa sia stata apposta prima della scadenza, revoca o sospensione del certificato di firma.