Aspetti generali
La diffusione della firma digitale in Italia ha raggiunto livelli elevatissimi, secondo gli ultimi dati diffusi dall’Agenzia per l’Italia Digitale (AgID), disponibili a https://eidas.agid.gov.it/Statistiche/Diffusione.pdf il numero di firme digitali remote ha ampiamente superato ben 2.600.000.000 apposizioni.
Considerando anche le firme apposte con dispositivi personali (chiavetta USB o smart card) il numero cresce ulteriormente.
In parallelo, sempre AgID, ci informa che anche le marche temporali hanno raggiunto il rilevante numero di oltre 1.200.000.000 emissioni.
I numeri della diffusione potrebbero far ritenere che la cultura sul tema delle firme digitali e delle marche temporali sia diffusa e di livello della stessa almeno sufficiente, ma purtroppo ancora non è così.
In particolare, non è ancora ben chiaro il rapporto tra documento informatico sottoscritto o non sottoscritto e il tempo “digitale”.
In questa sede, con una serie di articoli, vengono descritti i principali aspetti normativi, le generalità tecnologiche e gli scenari di utilizzo della validazione temporale e il suo ruolo nel ciclo di vita del documento informatico.
Iniziamo con gli aspetti generali e con i principali aspetti stabiliti nella normativa di riferimento.
Il principio della validazione temporale è stabilito nel regolamento eIDAS; ulteriori regole per i riferimenti temporali opponibili ai terzi sono stabilite a livello nazionale nell’articolo 41 del DPCM 22 febbraio 2013.
La marca temporale è una fattispecie particolare di validazione temporale, che nei fatti è l’unica prevista dal regolamento eIDAS.
La gerarchia delle fonti normative sugli aspetti legati al tempo nello scenario delle firme informatiche deve necessariamente partire dal Regolamento Europeo eIDAS (nr. 910/2014) che definisce la “validazione temporale elettronica” (art. 3, numero 33).
Questa è realizzata con “dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”.
Nel successivo numero 34) viene anche definita la validazione temporale elettronica qualificata come “una validazione temporale elettronica che soddisfa i requisiti di cui all’articolo 42”.
Tali requisiti sono:
a) collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati;
b) si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato; e
c) è apposta mediante una firma elettronica avanzata o sigillata con un sigillo avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente.
La specifica normativa nazionale è nel Codice dell’Amministrazione Digitale e in particolare nell’ultimo capoverso dell’articolo 20, comma 1-bis.
“La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida”.
Ad oggi non sono state emesse Linee guida sul tema e si fa riferimento ancora al DPCM 22 febbraio 2013.
Prima di addentrarci in ulteriori dettagli sul documento informatico e il tempo, citiamo anche la definizione di riferimento temporale stabilita nell’articolo 1, comma 1, lettera m) del sopra citato DPCM 22 febbraio 2013.
m) riferimento temporale: evidenza informatica, contenente la data e l’ora, che viene associata ad uno o più documenti informatici.
L’utilizzo normativamente efficace del tempo per i documenti informatici ha introdotto i riferimenti temporali opponibili ai terzi.
I riferimenti temporali opponibili ai terzi sono stabiliti nell’art. 41 del DPCM 22 febbraio 2013.
Questo articolo a causa del mancato coordinamento con il Codice dell’Amministrazione Digitale , il già citato Regolamento eIDAS e altre Linee guida nazionali.
Il testo dell’articolo è comunque quello del testo in vigore.
Al testo sono aggiunti dei commenti [tra parentesi quadre] che attualizzano le regole, coordinandole, in modo informale, allo scenario attuale.
Art. 41
I riferimenti temporali realizzati dai certificatori accreditati in conformità con quanto disposto dal titolo IV sono opponibili ai terzi ai sensi dell’art. 20, comma 3 del Codice [art. 20, comma 1-bis del CAD].
I riferimenti temporali apposti sul giornale di controllo da un certificatore accreditato, secondo quanto indicato nel proprio manuale operativo, sono opponibili ai terzi ai sensi dell’art. 20, comma 3 del Codice [art. 20, comma 1-bis del CAD].
L’ora assegnata ai riferimenti temporali di cui al comma 2 del presente articolo, deve corrispondere alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell’industria, del commercio e dell’artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo.
Costituiscono inoltre validazione temporale:
a) il riferimento temporale contenuto nella segnatura di protocollo di cui all’art. 9 del decreto del Presidente del Consiglio dei ministri, 31 ottobre 2000, pubblicato nella Gazzetta Ufficiale 21 novembre 2000, n. 272; [decreto abrogato; dal 1° gennaio 2022 sono attive le Linee guida di AgID sulla formazione, gestione e conservazione dei documenti informatici]
b) il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti, ad opera di un pubblico ufficiale o di una pubblica amministrazione;
c) il riferimento temporale attraverso l’utilizzo di posta elettronica certificata ai sensi dell’art. 48 del Codice;
d) il riferimento temporale ottenuto attraverso l’utilizzo della marcatura postale elettronica ai sensi dell’art. 14, comma 1, punto 1.4 della Convenzione postale universale, come modificata dalle decisioni adottate dal XXIII Congresso dell’Unione postale universale, recepite dal Regolamento di esecuzione emanato con il decreto del Presidente della Repubblica 12 gennaio 2007, n. 18. [È evidente l’analogia con la data certa che nel mondo cartaceo si apponeva con il classico timbro postale].
Quanto stabilito in questo articolo è utilizzabile a livello internazionale limitatamente a quanto attiene al Titolo IV del DPCM 22 febbraio 2013, che stabilisce le regole per la validazione temporale mediante marca temporale.
Nel mondo reale viene utilizzata anche la conservazione digitale dei documenti e i riferimenti temporali derivanti dalle ricevute di trasmissione e ricezione della posta elettronica certificata (PEC).
Peraltro, anche queste tipologie di riferimento temporale sono riconducibili alla marcatura temporale, quindi in base a quanto illustrato fino ad ora, è evidente che l’associazione più diffusa tra il documento informatico e il tempo è quella della cosiddetta apposizione della marca temporale al documento stesso.
Queste operazioni sono in linea con l’articolo 2704 del Codice civile che tratta della “Data della scrittura privata nel confronti di terzi”. Questa circostanza crea un importante parallelo tra il mondo cartaceo e quello digitale.
Nel prossimo articolo descriveremo come la marca temporale viene associata al documento informatico rappresentando quindi, per le norme sopra descritte, un riferimento temporale opponibile ai terzi e quindi una tipologia di oggetto informatico che è “data certa” nel ciclo del documento stesso.
留言