Trattare questioni ufficiali o di lavoro senza carta sta diventando la norma. Firmiamo contratti online, emettiamo fatture per via elettronica, inviamo documenti importanti per e-mail. Ma come possiamo assicurarci che questi documenti digitali siano affidabili e che il loro contenuto sia intatto? Possiamo aiutarvi con servizi fiduciari digitali - un insieme di strumenti che garantiscono la sicurezza e l'autenticità dei documenti elettronici. Anche se sembra tecnico, in pratica è l'equivalente digitale di ciò che conosciamo: una firma autografa, un timbro aziendale, un timbro con la data o una lettera raccomandata, solo in forma elettronica.
In parole povere, servizi fiduciari digitali sono strumenti e tecnologie che garantiscono l'integrità e l'autenticità dei documenti e delle comunicazioni elettroniche. Consentono di fidarsi che il documento elettronico non sia stato alterato e che l'identità del firmatario sia stata verificata. Regolamento eIDAS (Regolamento UE) ha dato a questi servizi un quadro giuridico - ad esempio, le firme elettroniche qualificate sono state riconosciute come equivalenti alle firme autografe in tutti i Paesi dell'UE. Quali soluzioni specifiche vengono considerate servizi fiduciari? Ecco le più importanti:
(Nota: il Regolamento eIDAS menziona anche i certificati di autenticazione dei siti web come servizio fiduciario, anche se nel contesto di questo articolo ci concentriamo principalmente sui servizi di documenti elettronici).
Il crescente utilizzo di questi servizi è dovuto al risparmio di tempo e alla comodità offerta dai documenti digitali. Le firme e i sigilli elettronici consentono di effettuare operazioni a distanza, senza stampare e firmare a mano pile di carta. Un documento elettronico con firma o sigillo qualificato può sostituire un documento cartaceo in molte procedure, a patto che rimanga affidabile nel tempo. E qui arriviamo al nocciolo del problema: come garantire la validità a lungo termine di tali file firmati? Dopo tutto, un documento firmato oggi deve essere verificabile e valido anche tra alcuni o diversi anni, soprattutto se lo conserviamo in un archivio. Questa è la sfida principale nel mondo dei documenti digitali.
La firma elettronica qualificata (QES) si basa su un certificato qualificato rilasciato da un fornitore di servizi fiduciari per un determinato periodo di tempo, solitamente uno, due o tre anni. Durante il periodo di validità del certificato, qualsiasi documento firmato con questa firma viene considerato come validamente firmato. I sistemi di verifica confermano facilmente la validità di una firma elettronica durante il periodo di validità del certificato.
Il problema si verifica dopo la scadenza del certificato. Il documento è ancora rimane legalmente firmatoTuttavia, può essere difficile dimostrarlo a distanza di anni se non si adottano misure di sicurezza aggiuntive. In senso figurato: una firma elettronica ha una "data di scadenza" che dipende dal certificato. Quando un certificato diventa non valido, dopo un certo periodo di tempo, i programmi possono iniziare a segnalare in fase di verifica che la firma non è valida o "insicura". Perché? Perché il certificato è scaduto e il sistema non è sicuro che la firma sia stata apposta prima che ciò avvenisse o che il documento sia stato firmato solo in un secondo momento. solo in un secondo momento (con un certificato già scaduto). Sembra assurdo, ma questi segnali di avvertimento ci danno gli strumenti per verificare quando mancano dati aggiuntivi che confermino il momento della firma.
Per illustrare meglio il problema, utilizziamo un esempio. Il signor Jan ha firmato un contratto valido con una firma elettronica qualificata e ha archiviato tranquillamente il file sul suo computer. Tuttavia, il certificato del signor Jan è scaduto dopo un anno e il nostro protagonista non ha applicato alcuna misura di sicurezza aggiuntiva. Dopo alcuni mesi, c'è stata una controversia giudiziaria con il contraente e improvvisamente è emerso che il software di verifica indicava la firma nel contratto come "non valida" - il certificato non era più valido, non c'erano liste di revoca aggiornate, in una parola, la firma sembrava essere "caduta in prescrizione". Il tribunale dubitava che il contratto fosse stato effettivamente firmato mentre il certificato del sig. John era valido, poiché nel fascicolo non vi era alcuna prova di una data specifica per la firma. In breve, la mancanza di preparazione del documento per la conservazione a lungo termine ne ha compromesso la forza probatoria. - Il signor Jan non si è preoccupatoJan non si è preoccupato di essere in grado di dimostrare la validità della sua firma elettronica in futuro.
Questo esempio mostra chiaramente che la firma elettronica non è un "pezzo unico" - se vogliamo che un documento rimanga legalmente valido, dobbiamo pensare alla sua verificabilità nel corso degli anni. Fortunatamente esiste un modo per farlo.
La soluzione al problema di Jan (e di chiunque voglia archiviare documenti elettronici per lungo tempo) è una marca temporale qualificata. marcatura temporale qualificata. Questo non è altro che un timbro speciale e affidabile. timbro temporaleche conferma la data e l'ora in cui il documento è stato firmato. Il fornitore della marca temporale utilizza una fonte di tempo indipendente e sincronizzata, rendendo la marca temporale oggettiva e affidabile. Una volta che un file firmato viene marcato temporalmente, anche se il certificato del firmatario scade o viene revocato, il file ha una prova inconfutabile. prova inconfutabileche la firma esisteva ed era valida al momento indicato dalla data.
In senso figurato, la marca temporale "congela" lo stato del documento e della firma al momento in cui al momento in cui è stata apposta. A distanza di anni, quando è necessaria una verifica, si può dimostrare che la firma era valida al momento dell'apposizione della marca da bollo, proprio come una fotografia con la marca da bollo conferma l'aspetto di un oggetto in un determinato momento. Nel mondo dei documenti elettronici, questo aspetto è fondamentale per mantenere la validità legale dei file conservati a lungo. La buona pratica dice anche di aggiungere la marca temporale immediatamente al momento della firma del documento - in questo modo si ha la conferma fin dall'inizio che la firma è stata apposta quando il certificato era valido. Se il sig. Jan avesse apposto un timestamp qualificato sul suo accordo, probabilmente il suo problema non si sarebbe verificato: la data della firma sarebbe stata confermata in modo inequivocabile.
Ma durerà per sempre? Un singolo timbro temporale che documenta perfettamente documenta perfettamente il momento in cui viene apposta una firmaMa se si prevede di conservare un documento elettronico per molti anni (ad esempio 5, 10 o addirittura 50), un singolo timbro da solo potrebbe non essere sufficiente. In pochi anni, le tecnologie, gli algoritmi di sicurezza o le politiche di certificazione possono cambiare. Pertanto, oltre a timbrare il documento una volta ogni tanto, vale la pena di pensare a ulteriore manutenzione - come mantenere una firma viva e valida valida nonostante il passare del tempo.
Nel prossimo articolo: Firma elettronica per gli anni a venire - Conservazione e archiviazione dei documenti nella pratica vi spiegheremo cosa comporta la conservazione di una firma elettronica e come archiviare in modo sicuro i documenti firmati affinché rimangano validi per molti anni a venire. Vi invitiamo a leggere la seconda parte, perché anche una firma elettronica, proprio come un quadro di valore, ha bisogno di cure adeguate per non perdere il suo splendore.
