QTSP e sigillo elettronico qualificato: guida implementativa per CISO e DPO
Con eIDAS 2 il sigillo elettronico qualificato diventa lo strumento con cui le imprese europee attestano integrità e origine dei dati aziendali con valore legale uniforme in tutta l'Unione. Fin qui la teoria è chiara. Il problema arriva subito dopo: scegliere il QTSP a cui affidarsi, governare il ciclo di vita del certificato e garantire che il sigillo conservi efficacia nel tempo sono decisioni operative che ricadono su CISO e DPO, spesso senza una procedura di riferimento.
La domanda, allora, non è più "cos'è" un sigillo, ma "come lo implemento" in un contesto reale, fatto di sistemi eterogenei, scadenze e obblighi di conservazione. La risposta è che servono tre cose insieme: scegliere bene il prestatore, governare il ciclo di vita del certificato e curare la conservazione nel tempo. Trascurarne una vanifica le altre due, e capita più spesso di quanto si pensi.
Questo approfondimento parte dal quadro normativo già descritto nella guida sul sigillo elettronico qualificato per le imprese e ne estende il lato pratico.
Questo approfondimento fa parte della guida: eIDAS 2 e il sigillo elettronico qualificato per le imprese
Come selezionare il QTSP giusto
La selezione di un QTSP parte da una verifica non negoziabile: il prestatore deve comparire nella EU Trusted List. Tutto il resto viene dopo. Un fornitore può presentarsi come "qualificato" sul proprio sito, ma acquisisce davvero questo status solo nel momento in cui è iscritto nell'elenco di fiducia pubblicato dallo Stato membro.
Secondo gli standard ETSI, la presenza nella EU Trusted List ha effetto costitutivo: non è una formalità descrittiva ma la condizione che attribuisce la qualifica. Un certificato emesso da un soggetto non presente in elenco, alla data di emissione, non gode delle presunzioni legali previste da eIDAS. Per CISO e DPO questo significa che la due diligence sul prestatore deve includere il controllo puntuale dello stato e della data di iscrizione, non solo la lettura di una brochure commerciale. Vanno verificati anche i livelli di servizio dichiarati: tempi di emissione, finestre di revoca, disponibilità delle interfacce per l'integrazione e gestione delle chiavi tramite QSCD. Un QSCD remoto, ospitato su HSM certificato presso il prestatore, abilita il sigillo automatico server-based, indispensabile quando i volumi rendono impraticabile un'operatività manuale.
Quando si confrontano più prestatori, alcune voci pesano più delle altre. Il sigillo automatico server-based diventa indispensabile negli scenari ad alto volume, come fatturazione, log applicativi o acquisizioni continue, dove ogni dato va sigillato senza intervento umano. Le chiavi private devono risiedere su un QSCD: se non vuoi gestire hardware in casa, verifica che il prestatore offra la modalità remota su HSM. Infine guarda all'interoperabilità, perché API documentate e supporto degli standard PAdES accorciano i tempi di integrazione più di qualsiasi altra cosa.
Ciclo di vita del certificato e conservazione a lungo termine
Il certificato di sigillo qualificato ha una vita finita, e ignorarlo è l'errore operativo più comune. Un certificato scaduto non revocato non riapre il rischio di abuso allo stesso modo di uno compromesso, ma interrompe la possibilità di apporre nuovi sigilli e, senza accorgimenti, mette in discussione la verificabilità di quelli già apposti.
La validità tipica di un certificato di sigillo qualificato sul mercato italiano è di circa tre anni, rinnovabile. I principali prestatori, come Aruba e Poste, raccomandano di avviare il rinnovo prima della scadenza per evitare interruzioni del servizio. La revoca, invece, è immediata e va attivata in caso di compromissione della chiave o di cessazione del titolare.
| Fase | Durata tipica | Azione operativa |
|---|---|---|
| Emissione | Iniziale | Identificazione del titolare e generazione chiave su QSCD |
| Validità | ~3 anni | Sigillatura operativa dei dati aziendali |
| Rinnovo | Prima della scadenza | Riemissione del certificato per continuità di servizio |
| Revoca | Immediata, su evento | Invalidazione in caso di compromissione o cessazione |
Il rinnovo, però, non è il vero nodo. Quello che tiene svegli CISO e DPO è cosa succede ai dati già sigillati dopo la scadenza del certificato. Qui entrano in gioco LTV e LTA.
La conservazione a lungo termine del sigillo elettronico qualificato è il processo che mantiene valida e verificabile la prova anche dopo la scadenza del certificato di firma, tramite l'apposizione periodica di marche temporali qualificate e l'incorporazione delle informazioni di validazione nel formato PAdES-LTA.
In pratica, la Long-Term Validation (LTV) incorpora nel documento i dati necessari a verificarne la validità in futuro (catene di certificati, stato di revoca), mentre la Long-Term Archive (LTA) aggiunge marche temporali qualificate a cadenza periodica che "sigillano" lo stato di validità prima che gli algoritmi crittografici o i certificati invecchino. Il formato PAdES-LTA orchestra questo meccanismo per i PDF, mantenendo il valore legale del sigillo nel tempo grazie all'aggancio a una marca temporale qualificata erogata da un QTSP.
C'è poi un equivoco che pesa parecchio: il sigillo qualificato garantisce integrità e origine del dato, ma non equivale alla conservazione digitale a norma. Sono due obblighi distinti. Il sigillo prova che il dato non è stato alterato; la conservazione a norma garantisce che l'intero archivio resti reperibile e leggibile negli anni. Le imprese che li confondono finiscono con documenti perfettamente sigillati ma non opponibili, perché conservati male. Vale la pena distinguere anche tra sigillo e firma digitale, perché i due strumenti rispondono a esigenze diverse: il primo attesta l'origine di un dato da parte di un'organizzazione, il secondo la sottoscrizione di un documento da parte di una persona. Per chi gestisce identità di persone fisiche, la firma elettronica avanzata resta un tassello complementare del quadro eIDAS.
Come TrueScreen integra il sigillo di un QTSP qualificato nel flusso aziendale
TrueScreen integra il sigillo elettronico qualificato di un QTSP terzo direttamente nel flusso di acquisizione e certificazione dei dati aziendali, tramite API. Non emette certificati e non è un prestatore di servizi fiduciari. Applica una metodologia forense che acquisisce il dato alla fonte, ne verifica integrità e autenticità e lo certifica con il sigillo di un QTSP qualificato integrato e una marca temporale qualificata. Per CISO e DPO il vantaggio pratico è che il rapporto tecnico con il prestatore non grava più sul team interno, mentre la qualifica legale dei sigilli resta intatta.
Sul piano operativo, l'integrazione via API consente di sigillare dati e acquisizioni nel momento stesso in cui vengono raccolti, senza estrarli dai sistemi aziendali. Un esempio concreto: un'azienda che acquisisce screenshot di pagine web a fini probatori può far sì che ogni acquisizione venga sigillata e marcata temporalmente all'origine, con il valore legale del QTSP integrato, senza che il team di sicurezza debba presidiare chiavi o HSM. La gestione del ciclo di vita del certificato e della conservazione a lungo termine resta agganciata agli standard descritti sopra, ma il presidio operativo si sposta sulla piattaforma.
Questo approccio è particolarmente rilevante alla luce della scadenza eIDAS 2 del 21 maggio 2026 per i sigilli a distanza, che spinge molte organizzazioni a strutturare ora una procedura di sigillatura solida invece di rincorrere l'adeguamento all'ultimo momento.
