Scadenza del certificato di firma: conseguenze e soluzioni

L’aspetto più importante quando parliamo di firma digitale è il certificato di firma collegato al documento. La scadenza del certificato di firma comporta alcune problematiche che è bene conoscere e capire come risolverle.

Indice dei contenuti

  1. Perché un certificato scade?
  2. Obbligo di fornire data e ora certe al documento
  3. La marca temporale
  4. La soluzione alle criticità

Perché un certificato scade?

Partiamo con il dire che non sono le firme digitali a scadere ma bensì il certificato di firma collegato al documento.

La scadenza del certificato di firma non è in alcun modo collegato alla sicurezza informatica dello stesso, in quanto la parte algoritmica è estremamente sicura e presidiata da istituti di ricerca e istituzioni governative dagli standard elevatissimi e margini di sicurezza altrettanto elevati. Qual è il reale motivo quindi per cui un certificato di firma scade?

Fondamentalmente per lo stesso motivo per cui ogni documento di identità scade. Perché scade dopo 3 anni e non 10 come la Carta d’Identità? Non essendoci reali motivi tecnologici, allora non si può che concludere che sia una questione di “mercato”. Ogni rinnovo ci costa e quindi qualcuno ci guadagna. Più breve è il periodo di validità del certificato, maggiore il guadagno per la CA. Comunque, al di là del problema economico, non esiste solo la scadenza; anche se il certificato non scadesse mai, la volontà di “annullarlo” definitivamente (revoca) oppure interromperne temporaneamente la validità (sospensione) esisterebbe comunque con la conseguente necessità di avere delle procedure per farlo.

Software di Conservazione Elettronica

IX-CE è il servizio in outsourcing per la conservazione elettronica a norma che assicura il valore legale dei documenti informatizzati e assolve per conto dell’azienda tutte le fasi del processo. Autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici, dalla presa in carico allo scarto.

Obbligo di fornire data e ora certe al documento

La scadenza dei certificati è un fattore alquanto delicato nel contesto della firma digitale dei documenti. Non poter dimostrare che al momento della firma il certificato non fosse scaduto, sospeso o revocato, rende ogni firma digitale basata su quel certificato non valida; ossia, ai sensi dell’art. 24 comma 4-bis del CAD, il documento senza alcuna sottoscrizione. Questo è sicuramente l’aspetto può importante a cui dedicare la massima attenzione. Nonostante lo standard digitale di firma sia nato per rendere sicure le trasmissioni di messaggi sulla rete, pare evidente il fatto che preservare i documenti per periodi prolungati sia un elemento essenziale di fatto ai fini di legge. Infatti, fornire una data certa e precisa in cui collocare temporalmente il documento è onere di chi produce il documento. L’utilizzo di questa tecnologia esteso alla firma digitale ha reso evidente come un riferimento temporale certo da associare ad un documento firmato digitalmente sia obbligatorio per legge.

La marca temporale

Un file firmato digitalmente privo di un riferimento temporale certo non ha validità e la soluzione in questo caso è la marca temporale.

Una marca temporale è una sequenza di caratteri che rappresentano una data e/o un orario associati al documento. La data è di solito presentata in un formato compatibile, in modo che sia facile da comparare con un’altra per stabilirne l’ordine temporale. D’altronde per documenti informatici da conservare per lungo tempo non basterebbe più un riferimento temporale, ma sono necessari trattamenti ben più complessi in grado di mantenere il documento valido anche a fronte di problematiche specifiche del lungo periodo quali ad esempio l’obsolescenza dei formati. Per questi documenti la soluzione è un’altra: la registrazione presso appositi sistemi pensati per la conservazione del lungo periodo.

Nel 2013 vennero introdotte alcune soluzioni per la spinosa questione della marca temporale:

  1. La data riportata sulla segnatura di protocollo della PA, valido appunto solo per la PA. Questo metodo ha inoltre dovuto prevedere a sostegno il versamento del giornaliero del registro di protocollo nel sistema di conservazione e successivamente è diventato quasi inutile, visto che la PA, ai sensi dell’art.44 del CAD, deve versare tutti i documenti nel sistema di conservazione (SdI).
  2. La PEC contiene all’interno una data valida, ma non in forma di marca temporale. La firma digitale infatti viene riportata semplicemente come testo nella ricevuta e viene effettuata dal gestore del servizio di porta elettronica certificata e quindi anch’essa soggetta al problema della scadenza del certificato.
  3. Sistema di conservazione a norma

La soluzione alle criticità

La tendenza attuale, anticipata anche dall’Agenzia delle Entrate nell’ambito della fatturazione elettronica, che vede nel riversamento in sistemi di conservazione a norma, visti come unica soluzione per garantire la validità giuridica dei documenti informatici, tutti i documenti digitali che siano da conservare per legge, anche se per periodi limitati. Inclusi i privati, come sembra emergere anche alla modifica dell’art.44 comma 1-ter del CAD, introdotta dal DL Semplificazioni.

Una soluzione di conservazione digitale a norma ti consente di bloccare i documenti nel formato digitale, nella forma, contenuto e nel tempo attraverso l’apposizione della firma digitale e della marca temporale. Infatti, il servizio può apporre la firma remota digitale automatica sui documenti per conto del cliente ed inviarli direttamente in conservazione tramite integrazione diretta con l’ERP. In caso di visita fiscale il responsabile del sistema della conservazione creerà per le autorità fiscali un Pacchetto di Distribuzione  (PdD) contenente una parte o tutti i documenti sottoposti a conservazione.