La marca temporale è quel processo informatico che consente di associare data e ora ad un documento informatico conferendo a quest’ultimo valore legale in caso di opponibilità a terzi, come indicato anche nel Dlgs 82/2005→ del Codice dell’Amministrazione Digitale→.
Perché può risultare utile apporre una marca temporale sui documenti informatici? Vediamo nel dettaglio le caratteristiche della marcatura temporale e i suoi utilizzi.
Cos’è la marca temporale?
Immaginate di dover partecipare a un concorso pubblico che scade in una certa data. Inviate il documento, anche firmato digitalmente, ma per qualche motivo l’ente che ha indetto il concorso non vi fa partecipare perché, a detta sua, avete inviato la domanda di partecipazione oltre la data di scadenza.
Chiaramente l’e-mail che inviate riporta questa informazione, ma in caso di contenzioso potrebbe non bastarvi.
La marca temporale, in quanto servizio fiduciario digitale→, vi permette di dare data e ora certa a un documento e ne garantisce la validità legale opponibile a terzi.
Dal punto di vista tecnico quindi la marca temporale crea un impronta digitale univoca, un “hash” con un preciso timestamp, un riferimento temporale.
Anzi, a essere precisi, la marca temporale è un timestamp, cioè una sequenza numerica che potremmo definire più semplicemente un numero seriale che attesta data e ora (e a volte anche i secondi) esatte di quando è stato creato un documento informatico.
Questo processo di marcatura temporale si avvale di un terzo soggetto, un certificatore accreditato che genera la firma digitale→ associata con certezza ad una precisa data e ora.
Eventualmente si può associare la marcatura temporale anche a documenti senza firma digitale e, in tal modo, si garantisce comunque la legalità di data e ora assegnate al documento.
Una marca temporale, una volta emessa e applicata deve essere conservata per almeno 20 anni, secondo la norma indicata nell’articolo 49 presente nel DPCM del 30 marzo 2009→.
Come funziona la marcatura temporale?
La marcatura digitale avviene quando un utente, attraverso apposito software o portale, decide di applicare una marca temporale e invia automaticamente una richiesta all’ente accreditato il quale genera la marca temporale inviandola al richiedente.
Il Decreto Legislativo 7 marzo 2005, n. 82, il Codice dell’Amministrazione Digitale (CAD), all’articolo 1 recita esattamente che la validazione temporale è il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data e un orario opponibili ai terzi.
Per essere legalmente valida in caso di opposizione la marcatura temporale deve seguire determinate regole, come recita anche l’articolo 20 del CAD:
Articolo 20 – Documento informatico
- Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente codice ed alle regole tecniche di cui all’articolo 71.
- Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale soddisfa il requisito legale della forma scritta se formato nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71 che garantiscano l’identificabilità dell’autore e l’integrità del documento.
- Le regole tecniche per la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione temporale dei documenti informatici sono stabilite ai sensi dell’articolo 71; la data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle regole tecniche sulla validazione temporale.
- Con le medesime regole tecniche sono definite le misure tecniche, organizzative e gestionali volte a garantire l’integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico.
- Restano ferme le disposizioni di legge in materia di protezione dei dati personali.
La marcatura temporale di un documento è importantissima a livello giuridico poiché costituisce un elemento probatorio immodificabile. Ecco perché, ad esempio, il fax in tribunale vale di più di una semplice email→.
Dove le troviamo queste regole tecniche?
Semplice a dirsi: le normativa da seguire è il DPCM 22 febbraio 2013→, e per la marcatura temporale esattamente si deve fare riferimento agli articolo che vanno dall’Art.41 all’Art.54, in particolar modo gli articoli 41 e 47.
L’articolo 41 dice ad esempio:
Riferimenti temporali opponibili ai terzi
- I riferimenti temporali realizzati dai certificatori accreditati in conformità con quanto disposto dal titolo IV sono opponibili ai terzi ai sensi dell’art. 20, comma 3, del Codice.
L’articolo 47 invece fa riferimento alla validazione della marca temporale:
Validazione temporale con marca temporale
- Una evidenza informatica è sottoposta a validazione temporale mediante generazione e applicazione di una marca temporale alla relativa impronta.
- Le marche temporali sono generate da un apposito sistema di validazione temporale, sottoposto ad opportune personalizzazioni atte a innalzarne il livello di sicurezza, in grado di:
- Garantire l’esattezza del riferimento temporale conformemente a quanto richiesto dal presente decreto;
- Generare la struttura dei dati temporali secondo quanto specificato negli articoli 48 e 51;
- Sottoscrivere elettronicamente la struttura di dati di cui alla lettera b).
- L’evidenza informatica da sottoporre a validazione temporale può essere costituita da un insieme di impronte.
Sempre dallo stesso DPCM, all’articolo 48 possiamo trovare quali informazioni sono contenute nella marca temporale:
Art. 48.
Informazioni contenute nella marca temporale
- Una marca temporale contiene almeno le seguenti informazioni:
a) identificativo dell’emittente;
b) numero di serie della marca temporale;
c) algoritmo di sottoscrizione della marca temporale;
d) certificato relativo alla chiave utilizzata per la verifica della marca temporale;
e) riferimento temporale della generazione della
marca temporale;
f) identificativo della funzione di hash utilizzata per
generare l’impronta dell’evidenza informatica sottoposta
a validazione temporale;
g) valore dell’impronta dell’evidenza informatica. - La marca temporale può inoltre contenere un Codice
identificativo dell’oggetto a cui appartiene l’impronta di
cui al comma 1, lettera g).
Come si ottiene la marca temporale
Le marche temporali vengono rilasciate da un certificatore autorizzato, chiamato Time Stamp Authority, che sincronizza data e ora con il segnale emesso da un Istituto ufficiale secondo la normativa vigente.
Per ottenere una marca temporale basta quindi rivolgersi a un prestatore di servizi fiduciari accreditato→. La procedura è molto semplice:
- invia la richiesta al prestatore (TSA) contenente l’impronta del documento, generata attraverso l’hashing;
- ricevi la marcatura generata dal TSA.
I vantaggi della marca temporale
Come abbiamo detto nei paragrafi precedenti, la marcatura temporale può garantirvi maggiori garanzie e, di conseguenza, portarvi alcuni vantaggi. In particolare:
- puoi rendere un documento informatico opponibile a terzi;
- puoi estendere la validità temporale del documento oltre la durata della firma elettronica→.
Marca temporale, quando usarla?
Ovviamente non è necessario applicare la marca temporale a tutti i documenti aziendali prodotti digitalmente ma solo a quei documenti in cui vi è necessità di attestare l’esatta data e ora di creazione, ad esempio nella Conservazione Digitale.
Ad esempio, tra i documenti che necessiterebbero di marcatura temporale vi sono:
- Contratti
- Ordini
- Fatture
- Documenti bancari
- Atti pubblici
E qualunque altro documento ove sia importante definirne legalmente e con certezza la data di creazione.