Marca temporale e firma digitale: cosa prova ciascuna e perche’ servono entrambe

Capita spesso di trattare marca temporale e firma digitale come se fossero la stessa cosa, o di pensare che l'una renda superflua l'altra. Sono due strumenti distinti, costruiti per rispondere a domande diverse: la firma digitale dice chi ha sottoscritto un documento, la marca temporale dice quando un dato esisteva in una forma precisa. La differenza tra marca temporale e firma digitale non e' una sottigliezza tecnica: stabilisce cosa puoi davvero dimostrare quando una prova viene contestata anni dopo. La tesi di questo approfondimento e' semplice: nella maggior parte degli scenari probatori non scegli tra le due, le usi insieme, perche' solo combinate garantiscono che una prova resti opponibile nel tempo.

Questo approfondimento fa parte della guida: come funziona la marca temporale e il suo valore legale, dove abbiamo descritto il meccanismo della certificazione temporale. Qui ci concentriamo invece sul confronto con la firma digitale e sulla loro complementarita'.

Cosa certifica la marca temporale: il «quando»

La marca temporale qualificata prova che un determinato dato esisteva, in una forma esatta e immodificabile, in un istante certo. Non dice nulla sull'identita' di chi ha creato quel dato: lega un'impronta crittografica (hash) del contenuto a una data e a un'ora attestate da un terzo indipendente. Secondo il Regolamento eIDAS (articoli 41 e 42), una marca temporale qualificata gode della presunzione di accuratezza della data e dell'ora: in un procedimento spetta alla controparte dimostrare che quella data e' sbagliata, non a chi l'ha apposta.

Il meccanismo segue lo standard RFC 3161. Dal documento si calcola un hash, lo si invia a una Time Stamping Authority gestita da un QTSP, e si riceve un token firmato che vincola quell'hash all'orario. Nessuna copia del contenuto lascia il dispositivo: viaggia solo l'impronta. Questo e' il punto che genera piu' confusione. La marca risponde alla domanda "questo dato esisteva gia' cosi' a quell'ora?", non alla domanda "chi lo ha prodotto?". Per i documenti firmati la validita' minima riconosciuta da AgID ed eIDAS e' di vent'anni, estendibile con tecniche di conservazione che vedremo piu' avanti.

Un caso concreto: il deposito di un'opera dell'ingegno, una bozza di brevetto o il codice sorgente di un software. Qui serve provare l'anteriorita', cioe' che quel contenuto esisteva prima di una certa data. L'identita' dell'autore puo' essere irrilevante o gia' nota per altre vie. La marca temporale, da sola, risolve il problema.

Cosa certifica la firma digitale: il «chi»

La firma digitale risponde alla domanda opposta: chi ha sottoscritto questo documento, e il documento e' rimasto integro dopo la sottoscrizione? Lega un atto di volonta' a una persona identificata attraverso un certificato rilasciato da un prestatore di servizi fiduciari. Sotto eIDAS produce effetti giuridici riconosciuti e, nelle forme previste, equivalenza con la sottoscrizione autografa. In Italia trova fondamento anche nel Codice dell'Amministrazione Digitale (CAD).

Quello che la firma digitale non garantisce, da sola, e' la collocazione temporale opponibile nel lungo periodo. Un certificato ha una scadenza, in genere pochi anni. Una volta scaduto o revocato, verificare a posteriori che la firma fosse valida nel momento in cui e' stata apposta diventa problematico. La firma dice in modo robusto "questo l'ho sottoscritto io", ma il "quando" resta debole se non viene ancorato a un riferimento temporale indipendente.

Da qui nasce un equivoco diffuso: pensare che un documento firmato digitalmente porti automaticamente con se' una data certa e duratura. Non e' cosi'. La data del sistema che ha generato la firma e' dichiarata, non attestata da un terzo, e cade insieme al certificato.

Perche' servono entrambe: la validazione di lungo periodo (LTV) e il ruolo di TrueScreen

Le due garanzie diventano davvero solide quando si combinano. E' qui che entra la validazione di lungo periodo, in inglese «long-term validation (LTV)». Quando a un documento si applica una marca temporale contestualmente alla firma, la validita' della sottoscrizione resta dimostrabile anche dopo la scadenza del certificato: la marca prova che la firma era valida nel momento in cui e' stata apposta. Senza questo ancoraggio, il valore probatorio si dissolve con il certificato.

Gli standard ETSI per le firme avanzate definiscono livelli progressivi proprio per questo. Nel profilo PAdES per i PDF, ad esempio, si passa dal livello base (B-B) all'aggiunta della marca temporale (B-T), fino ai livelli che incorporano i dati di verifica e gli elementi di conservazione di lungo periodo (B-LT e B-LTA). L'idea e' semplice: oltre alla firma e alla marca, dentro il documento finiscono anche le informazioni che permetteranno di rivalidarlo tra dieci o vent'anni, quando i certificati originali saranno scaduti da tempo. Questo e' cio' che trasforma una firma valida oggi in una prova ancora difendibile domani, come spiegato anche nella nostra guida sul valore legale della marca temporale.

In questo quadro si colloca TrueScreen. Il problema a monte e' che gran parte dei dati digitali nasce inaffidabile: una foto, un video, una pagina web o un'email possono essere alterati senza lasciare traccia, e la verifica reattiva (controllare dopo, quando il dato e' gia' conteso) arriva quasi sempre tardi. La risposta e' spostare la certificazione alla fonte, nel momento stesso dell'acquisizione. TrueScreen acquisisce il contenuto con metodologia forense e ne certifica integrita' e autenticita' integrando, via API, il sigillo elettronico qualificato e la marca temporale qualificata erogati da un QTSP terzo. La firma digitale resta lo strumento per la sottoscrizione da parte dell'utente; il sigillo e la marca attestano che quel file, quella foto o quella pagina esistevano in quella forma in un istante certo. In questo modo il «chi» e il «quando» vengono fissati insieme, alla fonte, e restano opponibili nel tempo grazie alla logica della validazione di lungo periodo.