Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 - definisce la marca temporale (o timestamp) come il servizio offerto da un certificatore accreditato che permette di associare a un documento informatico, firmato o meno elettronicamente, data e ora certe, ovvero legalmente valide e opponibili a terzi.
La marca temporale stabilisce l’esistenza di un documento informatico a partire da un certo istante nel tempo e ne garantisce la validità agli occhi della legge per almeno 20 anni. Inoltre, certifica la validità dell’ID del firmatario
Per l’acquisto delle marche temporali occorre rivolgersi ad un prestatore di servizi fiduciari qualificato (noto come Time Stamping Authority - TSA), che sia conforme al Regolamento eIDAS e accettato dall'AgID (Agenzia per l'Italia Digitale) e che, una volta verificata la correttezza di domanda e informazioni, genera la marca temporale da apporre sul documento. A titolo di esempio, menzioniamo: Aruba, Infocert, Namirial, Poste Italiane, ecc.
Perché usare la marca temporale
Shutterstock
Con la crescente dematerializzazione dei documenti cartacei, si è posto il problema di come garantirne la validità legale. Una delle caratteristiche della marca temporale è l’opponibilità a terzi nel senso che, in caso di necessità o di dispute legali in ambito amministrativo, la veridicità della data e dell’ora apposte sul documento può essere dimostrata anche da terze parti e non solo dalle contraenti.
La marca temporale non è vincolata al servizio di firma digitale; pertanto, può essere acquistata ed utilizzata anche da chi non usufruisce di questo servizio
Tra i vantaggi c’è la riduzione dei costi e tempi di trattamento del cartaceo come una maggiore sicurezza, trasparenza e valore legale, l’ottimizzazione dei processi, l’annullamento dei costi di francobolli e timbri, e la riduzione del consumo di carta.
Per questi motivi, i documenti sui quali è indicato l’uso delle marche temporali sono quelli per cui è importante definire legalmente, e con certezza, la data di creazione: richieste di emissione di credito o di anticipo su forniture/esportazioni; finanziamenti a medio lungo termine; documenti di valutazione dei rischi; contratti, ordini e fatture; documenti bancari e atti pubblici.
Marca temporale e firma digitale
Shutterstock
Anche la firma digitale è nata per garantire il pieno valore giuridico di un documento informatico e, grazie al meccanismo di chiavi crittografiche asimmetriche, garantisce autenticità e integrità del documento sul quale è apposta, associandolo in maniera univoca al suo firmatario. Ma questo valore non è immutato nel tempo: il certificato ha una durata di 3 anni, scaduti i quali bisogna procedere con il rinnovo.
Apporre una marca temporale su un documento firmato digitalmente, congela la validità della firma digitale, anche oltre la scadenza del certificato, o nel caso in cui quest’ultimo venga sospeso o revocato
Si pensi al caso di documenti digitali di natura giudiziaria che vengono firmati digitalmente quando il certificato è valido, ma che poi vengono depositati telematicamente e nel frattempo intervenga la scadenza del certificato. Ciò comporta il mancato riconoscimento della firma digitale e l’impossibilità di depositare l’atto.
La marcatura temporale risolve il problema perché salvaguarda il valore probatorio del documento firmato digitalmente nel tempo anche dopo un’eventuale scadenza del certificato di validità della firma
Questo “effetto estensione” della firma digitale dura almeno 20 anni, ma può arrivare anche oltre. La legge stabilisce che tutte le marche temporali emesse vengano conservate in un archivio digitale per un periodo non inferiore a 20 anni. Sul mercato ci sono operatori che propongono una conservazione fino a 30.
Marca temporale elettronica o qualificata
Shutterstock
Il regolamento eIDAS distingue due tipi di validazione temporale.
L'articolo 2 definisce la validazione temporale elettronica come un insieme di “dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”.
La validazione temporale qualificata è descritta come una marca temporale che rispetta le caratteristiche elencate nell’articolo 42 del regolamento eIDAS e dà luogo a una presunzione legale relativa alla certezza della data e dell’ora.
Una marca temporale qualificata:
- collega data e ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili degli stessi;
- si basa su un orologio esatto collegato al tempo universale coordinato;
- viene utilizzata mediante una firma elettronica avanzata o sigillata mediante un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o con un metodo equivalente.
Marca temporale: come funziona
Shutterstock
La marca temporale è rilasciata da un ente accreditato o TSA (Time Stamping Authority), una terza parte fidata che attesta l’effettiva esistenza del documento nell’istante preciso in cui viene generata la marca temporale.
Il processo di marcatura temporale parte dall’invio alla TSA della richiesta dell’utente che contiene anche l’impronta digitale del documento (digest): una sequenza di lettere e numeri che dipende dal suo contenuto e dal riferimento temporale, calcolata da un’apposita funzione di hashing.
L’impronta consentirà di identificare, univocamente, non solo il contenuto del documento ma anche il momento esatto in cui è stato creato e al quale fare riferimento
La TSA verifica la correttezza dei dati contenuti nella richiesta e genera la marca temporale, inviandola all’utente con un sistema ad alta affidabilità che fa coincidere il momento esatto in cui viene generata la marca temporale con l’orario espresso dal Tempo Universale Coordinato (UTC).
Per saperne di più: Firma digitale: cos'è, a cosa serve e come si rinnova