Certificare un file: come dargli valore legale e data certa

Hai un contratto firmato, una conversazione che dimostra un accordo, le foto di un danno, il video di un sopralluogo. Sono salvati sul tuo computer e per te sono prove. Il problema nasce quando devi usarli davvero: in una disputa, davanti a un cliente che nega, in una richiesta formale a un’autorità. A quel punto la domanda non è più “ce l’ho?”, ma “qualcuno può dimostrare che questo file è autentico e che esisteva già a una certa data?”. Quasi sempre la risposta è no, perché un file copiato non porta con sé nessuna garanzia.

Certificare un file significa proprio chiudere questo divario: dargli una data certa, un’impronta che ne provi l’integrità e una catena di custodia che lo renda difficilmente contestabile. Non serve essere un perito informatico. Servono però il metodo giusto e gli strumenti corretti, e in questo articolo vediamo entrambi: perché una copia non basta, cosa rende un file incontestabile, quali formati puoi certificare e come farlo in pochi passaggi.

Perché una copia di un file non è una prova

Una copia di un file non prova né quando il file è nato né che nessuno lo ha modificato. È questo il limite che la maggior parte delle persone scopre troppo tardi, di solito quando la controparte mette in dubbio l’autenticità del documento.

Quando duplichi un file, il sistema operativo crea un nuovo oggetto con nuovi metadati. La data di creazione che vedi nelle proprietà è la data della copia, non quella dell’originale, ed è un dato che chiunque può alterare in pochi secondi cambiando l’orologio del computer. Lo stesso vale per il contenuto: un PDF, un’immagine o un foglio di calcolo possono essere ritoccati senza lasciare tracce evidenti. Una semplice copia, insomma, vive in un limbo: esiste, ma non può raccontare la propria storia.

Una copia di un file non costituisce una prova perché non porta con sé due informazioni essenziali: una data certa opponibile a terzi e una garanzia di integrità. La data che il sistema operativo mostra è liberamente modificabile dall’utente e si riferisce all’ultima operazione sul file, non alla sua origine. Il contenuto, a sua volta, può essere alterato senza segni visibili. In sede di contenzioso questo si traduce in un onere della prova quasi impossibile da sostenere: chi presenta il documento dovrebbe dimostrare con altri mezzi sia la data sia l’assenza di modifiche. Il Codice dell’Amministrazione Digitale (CAD), all’articolo 21, stabilisce che il documento informatico è liberamente valutabile in giudizio in base alle sue caratteristiche di qualità, sicurezza, integrità e immodificabilità: proprio quelle che una copia ordinaria non possiede.

La conseguenza pratica è semplice: davanti a una contestazione, una copia vale quanto la fiducia che la controparte è disposta a concederti. E quando c’è una disputa in corso, quella fiducia di solito è già finita. Per trasformare il file in qualcosa di difendibile bisogna aggiungere proprio quello che gli manca.

Cosa rende un file incontestabile

Un file diventa difficilmente contestabile quando cinque condizioni si verificano insieme: viene acquisito senza alterazioni, riceve un’impronta hash univoca, viene marcato con una data e un’ora certe, conserva il contesto di data, ora e luogo, ed è protetto da una catena di custodia documentata. Mancando anche una sola di queste, restano spazi per mettere in dubbio l’autenticità.

Un file è incontestabile quando soddisfa contemporaneamente cinque requisiti: acquisizione senza alterazioni della fonte originale, calcolo di un’impronta hash che ne fotografa il contenuto, applicazione di una marca temporale che fissa data e ora, registrazione del contesto (data, ora e coordinate GPS) e una catena di custodia che documenta ogni passaggio dall’acquisizione alla conservazione. Questi cinque elementi rispondono alle caratteristiche di integrità e immodificabilità richiamate dall’articolo 21 del CAD per il documento informatico. Da soli, hash o marca temporale non bastano: è la combinazione a creare una prova solida, perché ognuno copre un aspetto diverso (il “cosa”, il “quando”, il “dove” e il “chi lo ha gestito”). È la stessa logica che guida l’acquisizione di una prova informatica con metodologia forense.

Acquisizione senza alterazioni

Il punto di partenza è acquisire il file senza modificarlo. Se l’atto stesso di raccogliere la prova ne cambia anche un solo bit, tutto ciò che viene dopo perde valore. Una metodologia forense lavora sull’originale in sola lettura e registra l’operazione, così che il dato certificato corrisponda esattamente a quello di partenza.

L’impronta hash SHA-256

L’hash è un’impronta digitale del file. L’algoritmo SHA-256 trasforma qualsiasi contenuto, di qualunque dimensione, in una stringa di lunghezza fissa. Se anche un solo bit del file cambia, l’impronta risulta completamente diversa. Questo lo rende lo strumento ideale per provare l’integrità: basta ricalcolare l’hash e confrontarlo con quello registrato al momento della certificazione. Se coincidono, il file non è stato toccato.

Marca temporale e data certa

L’impronta hash unita a una marca temporale conforme allo standard RFC 3161 produce una data certa opponibile a terzi. Il protocollo RFC 3161 definisce il funzionamento di una marca temporale affidabile: l’impronta hash del file viene inviata a un servizio di marcatura che la lega a una data e a un’ora verificate, restituendo un attestato firmato. Da quel momento esiste una prova matematica che quel preciso contenuto, identificato dal suo hash, era già presente in quell’istante. Nessuno può retrodatare il file né sostituirlo con una versione diversa senza che il confronto degli hash riveli la discrepanza. La marca temporale qualificata, erogata da un QTSP integrato nel processo, è quella che attribuisce alla data il valore richiesto in ambito legale e che la rende difendibile in caso di contestazione.

Data, ora e GPS

Oltre alla marca temporale, il contesto conta. Sapere dove è stato acquisito un contenuto, con coordinate GPS, e in quale momento esatto aggiunge un livello di verificabilità che spesso fa la differenza: pensa alla foto di un danno o al video di un sopralluogo, dove il luogo è parte integrante della prova.

Catena di custodia e sigillo con valore legale

Infine, la catena di custodia documenta ogni passaggio del file, dall’acquisizione alla conservazione, in modo che si possa ricostruire chi lo ha gestito e come. Su questa base si applica il sigillo elettronico con marca temporale qualificata, erogato tramite un QTSP terzo qualificato. A questo punto il file non si limita a dichiararsi autentico: porta con sé la prova della propria storia.

Quali file puoi certificare

Puoi certificare praticamente qualsiasi formato digitale, senza distinzione tra documenti, immagini, audio e video, e puoi farlo anche per più file in un’unica operazione. La certificazione non guarda al tipo di contenuto: lavora sull’impronta hash, che si calcola allo stesso modo su un PDF di testo o su un filmato di pochi minuti.

Nella pratica significa che rientrano i contratti e i documenti d’ufficio (PDF, DOCX, XLSX), le immagini e gli screenshot (JPG, PNG), i file audio (MP3) e i video (MP4), insieme alla gran parte degli altri formati. La tabella seguente aiuta a inquadrare i casi più comuni.

Tipo di contenuto Formati tipici Esempi d’uso
Documenti PDF, DOCX, XLSX Contratti, verbali, fogli di calcolo, preventivi
Immagini JPG, PNG Screenshot, foto di danni, documenti scansionati
Audio MP3 Registrazioni di accordi, messaggi vocali
Video MP4 Sopralluoghi, videochiamate, riprese di eventi

Poter certificare più file insieme cambia il modo di lavorare. Un sinistro assicurativo, per esempio, raramente si compone di un solo documento: c’è la denuncia in PDF, le foto del danno, magari un breve video. Certificarli in un’unica operazione li lega allo stesso istante e allo stesso contesto, e fa risparmiare il tempo che andrebbe via a procedere file per file. Con TrueScreen certifichi documenti, immagini, video e audio in un’unica operazione, con data, ora e GPS.

Certificazione di file con valore legale TrueScreen

Caso d’uso

Certificazione di file con valore legale

Scopri come certificare uno o più file con TrueScreen, dando loro data certa e valore legale.

Scopri di più →

Come certificare uno o più file con TrueScreen

Con TrueScreen certifichi un file acquisendolo senza alterazioni e sigillandolo con un’impronta hash, una marca temporale e una catena di custodia documentata. Il processo segue una metodologia forense in pochi passaggi: acquisizione alla fonte senza modifiche, verifica dell’integrità, certificazione con sigillo e marca temporale qualificata erogata tramite un QTSP terzo, e conservazione. Il file di partenza non viene mai alterato, e in uscita ottieni un report con valore legale che documenta data, ora, posizione e impronta hash.

Caricare i file è immediato: selezioni uno o più documenti, puoi aggiungere una nota di contesto, e avvii la certificazione. Non ci sono limiti di formato e i file multipli vengono trattati in un’unica operazione, così restano legati allo stesso momento. Se hai bisogno di certificare uno o più file in scenari diversi, trovi un approfondimento dedicato nella pagina sulla certificazione di file con valore legale.

La certificazione è disponibile su più strumenti, in base a come lavori: l’App per acquisire e certificare in mobilità, il Web Portal per gestire i file dal browser, il Forensic Browser per certificare ciò che vedi online durante la navigazione, e le API e gli SDK per integrare la certificazione nei tuoi sistemi e processi.

Un esempio concreto. Uno studio legale riceve da un cliente un contratto in PDF e una serie di foto che documentano lo stato di un immobile. Carica tutto insieme in un’unica operazione: il sistema registra data, ora e posizione, calcola l’impronta hash di ciascun file e applica il sigillo con marca temporale qualificata. Mesi dopo, quando il documento serve in giudizio, basta confrontare l’hash per dimostrare che nulla è cambiato dal giorno dell’acquisizione, e la marca temporale prova quando quei contenuti esistevano già.

FAQ: certificazione di file

Cosa vuol dire certificare un documento?
Certificare un documento significa attribuirgli una data certa e una prova di integrità, in modo che si possa dimostrare quando esisteva e che non è stato modificato. Si ottiene calcolando un’impronta hash del contenuto e applicando una marca temporale conforme allo standard RFC 3161. A differenza di un file copiato e basta, il documento certificato porta con sé una storia verificabile.
Come si dà data certa a un file?
La data certa di un file si ottiene applicando una marca temporale alla sua impronta hash. Lo standard RFC 3161 definisce come un servizio di marcatura leghi l’hash del file a una data e un’ora verificate, restituendo un attestato firmato. La marca temporale qualificata, erogata tramite un QTSP integrato, è quella che rende la data opponibile a terzi in ambito legale.
Come provare che un file non è stato modificato?
Per provare che un file non è stato modificato si confronta la sua impronta hash attuale con quella registrata al momento della certificazione. L’algoritmo SHA-256 produce una stringa univoca: se anche un solo bit del file cambia, l’impronta risulta completamente diversa. Se i due valori coincidono, il file è identico all’originale certificato.
Che valore legale ha un documento informatico?
Il documento informatico, secondo l’articolo 21 del CAD, è liberamente valutabile in giudizio in base alle sue caratteristiche di qualità, sicurezza, integrità e immodificabilità. Significa che il giudice ne valuta l’efficacia probatoria caso per caso: più il documento è supportato da hash, marca temporale e catena di custodia, più solida è la prova.
Quali formati di file si possono certificare?
Si può certificare qualsiasi formato digitale, perché la certificazione lavora sull’impronta hash e non sul tipo di contenuto. Rientrano documenti (PDF, DOCX, XLSX), immagini (JPG, PNG), audio (MP3) e video (MP4), oltre alla gran parte degli altri formati. È possibile certificare anche più file insieme in un’unica operazione.

Certifica i tuoi file con valore legale

Dai ai tuoi file data certa, prova di integrità e valore legale, in pochi passaggi.

applicazione mockup