La datacertazione dei documenti informatici
Le aziende e i professionisti sono ormai sempre più abituati a generare, sottoscrivere, gestire e conservare dati e documenti in modalità informatica tramite gestionali software e servizi informatici. Per tal motivo, la competenza delle persone che nelle imprese devono saper gestire digitalmente i processi documentali deve crescere, con l’obiettivo primario di efficientare, ma comprendendo bene come rispettare i requisiti normativi legati alla gestione del
Tra i requisiti normativi fondamentali che un documento informatico deve assicurare, oltre a quello dell’autenticità e dell’integrità, c’è sicuramente quello della validazione temporale elettronica.
Il Regolamento europeo eIDAS n. 910/2014, a cui il Codice dell’Amministrazione Digitale in Italia rimanda, definisce una «validazione temporale elettronica» dei dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento; ossia una validazione temporale permette di individuare se un documento informatico esisteva in un dato momento temporale.
La disciplina civilistica sulle prove documentali, di cui agli artt. 2702 e 2704 del Codice Civile, richiede per molti documenti, come le scritture private, la validità opponibile a terzi della loro formazione in un certo arco temporale o, comunque, della loro esistenza anteriormente a un dato evento.
L’importanza di una data certa elettronica può essere rilevante anche per associare una data e ora ad un processo, si pensi ad esempio al processo di conservazione digitale, che identifica il momento temporale di conservazione in modo da poter verificare il rispetto della scadenza legislativa della conservazione stessa.
Per fornire un esempio indicativo sull’importanza di una data certa si consideri il caso delle sentenze della Cassazione Civile in cui un giudice nega l’insinuazione di credito al passivo fallimentare in quanto mancante la prova della data anteriore al fallimento. È lasciata al giudice di merito la valutazione, caso per caso, della sussistenza di un fatto idoneo a dimostrare la data certa.
Pertanto, al fine di garantire ad un documento digitale, come ad esempio una scrittura privata, l’evidenza temporale della sua formazione e un pieno e duraturo valore probatorio, la fase di consolidamento deve avere lo scopo di collegare l’esistenza del documento, firmato o non, ad un istante di tempo certo e dimostrabile.
Il Regolamento UE eIDAS equipara il concetto e il termine di datacertazione elettronica, più diffuso in Italia, a quello di validazione temporale elettronica qualificata, stabilendo che, essendo una validazione temporale “qualificata”, dal punto di vista degli effetti giuridici gode della presunzione giuridica di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate.
Nell’ordinamento nazionale, l’art. 20 del Codice dell’Amministrazione Digitale, che disciplina la validità ed efficacia probatoria dei documenti informatici, stabilisce come la data e l’ora di formazione del documento informatico siano opponibili ai terzi se apposte in conformità alle Linee guida adottate in attuazione al CAD, di cui al DPCM 22 febbraio 2013 recante le regole tecniche in materia di validazione temporale.
L’art. 62 del citato DPCM, inoltre, stabilisce che le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato.
Secondo le Linee Guida, le validazioni temporali qualificate che operativamente permettono di associare una data e ora erga omnes ai documenti informatici sono:
- le marche temporali ossia delle validazioni temporali qualificate realizzate in conformità a quanto disposto dal titolo IV del DPCM 22 febbraio 2013 recante «Regole per la validazione temporale mediante marca temporale»;
- il riferimento temporale ottenuto attraverso l’utilizzo di posta elettronica certificata (PEC) ai sensi dell’art. 48 del CAD;<
- il riferimento temporale contenuto nella segnatura di protocollo associata ai documenti protocollati e scambiati tra le amministrazioni pubbliche;
- il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti, ad opera di un pubblico ufficiale o di una pubblica amministrazione o il cui processo prevede l’apposizione di una marca temporale sull’Indice del Pacchetto di Archiviazione – IPdA. Da ciò si comprende come sia importante per un’azienda conservare sempre digitalmente a norma i propri documenti informatici.
Come definito proprio dall’art. 1 comma 1, lettera i) del DPCM 22 febbraio 2013 una marca temporale costituisce “il riferimento temporale che consente la validazione temporale e che dimostra l’esistenza di un’evidenza informatica in un tempo certo”, quindi in concreto una marca temporale è uno strumento previsto per legge che serve proprio per associare una data certa elettronica ai documenti elettronici.
A livello operativo associando ad un’evidenza informatica una marca temporale ottenuta da un prestatore di servizi fiduciari qualificato del servizio di marcatura temporale, si ottiene un riferimento temporale opponibile ai terzi che può essere associato ad una impronta di un singolo documento o ad un set di impronte relative a più documenti, o addirittura ad una singola firma.
Più in dettaglio, con la marca temporale è possibile associare a un documento informatico una data e un orario giuridicamente certi e opponibili ai terzi, con effetto giuridico del tutto analogo alla registrazione fiscale (art. 2704 del Codice Civile).
Sono opponibili a terzi solo le marche temporali emesse da un soggetto terzo Certificatore accreditato o Prestatore di servizi fiduciari qualificati (Time Stamping Authority – TSA) accreditata presso Agenzia per l’Italia Digitale, in conformità alle regole tecniche di attuazione del CAD. Generalmente sono gli stessi soggetti che emettono le firme digitali.
Ciascuna marca generata e apposta su un documento informatico è indissolubilmente legata al documento stesso grazie a riferimenti certi, quali:
- l’impronta del documento (con l’indicazione dell’algoritmo impiegato);
- il numero progressivo seriale della marca;
- la data e l’ora relative alla richiesta dell’utente al provider TSA del servizio.
La validità giuridica di una marca temporale è di minimo 20 anni, anche se previo accordo con il Certificatore può essere richiesta l’emissione di marche temporali con una validità più lunga. Diventa quindi necessario porre attenzione a quei processi in cui si devono conservare dei documenti per più di venti anni.
Ai fini dell’interoperabilità transfrontaliera degli strumenti di validazione temporale elettronica l’art. 41 comma 3 del Regolamento eIDAS dispone che una validazione temporale elettronica qualificata rilasciata in uno Stato membro è riconosciuta quale validazione temporale elettronica qualificata in tutti gli Stati membri.
Infine, è importante sottolineare che per determinati documenti e in determinati scenari per validare temporalmente la formazione di un documento elettronico può essere sufficiente anche una validazione temporale elettronica non qualificata, soprattutto se è previsto successivamente un versamento del documento al sistema di conservazione digitale a norma, che prevede di per sé nel suo processo l’apposizione di una marca temporale. A tal riguardo, il Regolamento europeo eIDAS afferma che alla validazione temporale elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata.
Come ulteriore esempio pratico di tecnologie innovative in grado di assicurare a documenti e dati una validazione temporale elettronica è interessante menzionare tutte le tecnologie basate su Registri condivisi e distribuiti, note come Distributed Ledger Technology (DLT), tra cui la più nota è la blockchain.
Sono tecnologie innovative che permettono la sincronizzazione e la certificazione di dati su un database distribuito su più nodi, quindi su un ecosistema decentralizzato. La sincronizzazione, condivisione e archiviazione dei dati viene garantita da prova algoritmica, senza intervento di validazione umana, ma attraverso un sistema di consenso e validazione distribuiti.
Più nel dettaglio, i dati immessi vengono radunati in blocchi concatenati, condivisi in tempo reale con gli altri partecipanti al network e convalidati con verifica crittografica. Ciò permette di garantire ai dati l’integrità, l’immodificabilità e la tracciabilità certificata in modo permanente.
Un’altra caratteristica tecnica della blockchain è la crittografia a doppia chiave (pubblica e privata) associata all’utente che accede alla blockchain, la crittografia a doppia chiave ha funzione di firma elettronica semplice e intende fornire autenticità dell’origine, sicurezza e trasparenza delle transazioni all’interno della blockchain.
La legge n. 12 del 11 febbraio 2019 di conversione con modificazioni del D.L. n. 135/2018 cosiddetto Decreto Semplificazioni 2019, ha previsto sulla base del principio di neutralità tecnologica che la memorizzazione di un documento informatico attraverso l’uso di tecnologie basate su registri distribuiti produce gli effetti giuridici della validazione temporale elettronica, non qualificata, di cui all’art. 41 del Regolamento UE eIDAS n. 910/2014.