La gestione documentale dei documenti nativi informatici firmati digitalmente è una pratica sempre più centrale nella trasformazione digitale di aziende e pubbliche amministrazioni.

Tuttavia, affinché questi documenti mantengano valore legale e probatorio nel tempo, è essenziale rispettare una serie di requisiti normativi, tra cui l’apposizione della marca temporale.

Normativa europea e italiana sui riferimenti temporali

L’uso delle marche temporali trova fondamento nel Regolamento eIDAS (UE n.910/2014 e sua successiva revisione n. 1183/2024 in vigore da maggio 2024), che disciplina i servizi fiduciari e le firme elettroniche nell’Unione Europea. Secondo il regolamento, la validazione temporale elettronica è un servizio, offerto da un prestatore di servizi fiduciari, che consente di associare data e ora, certe e legalmente valide, a un documento informatico, permettendo una validazione temporale del documento opponibile a terzi.

La validazione temporale qualificata garantisce maggiore accuratezza e precisione, in linea con gli standard richiesti dalla regolamentazione europea. Il servizio di validazione temporale elettronico qualificato è erogato da un QTSP (Qualified Trust Service Provider), come InfoCert, che attesta con certezza giuridica la data e l’ora di un documento.

In Italia, il riferimento normativo è rappresentato dal Codice dell’Amministrazione Digitale (CAD),, Decreto Legislativo 7 marzo 2005, n. 82. Il CAD stabilisce che:

  1. Art. 20, comma 1-bis: un documento informatico soddisfa i requisiti della forma scritta se è dotato di una firma elettronica qualificata o digitale.
  2. Art. 20, comma 3: per garantire la validità giuridica nel tempo, è necessaria l’apposizione di un riferimento temporale certo. Viene sancito che “la data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle regole tecniche sulla validazione temporale”.

Pertanto, la marca temporale non è solo una best practice, ma diventa un requisito imprescindibile per garantire la validità dei documenti informatici firmati digitalmente oltre la scadenza del certificato di firma.

Le Regole tecniche di attuazione del CAD sulla validazione temporale sono definite dal DPCM 22 febbraio 2013 ed in particolare:

  • l’articolo 41 definisce i casi in cui riferimenti temporali sono opponibili a terzi. Oltre alla validazione temporale con marca temporale, gli altri metodi di validazione temporale che costituiscono riferimento temporale opponibile ai terzi sono la segnatura di protocollo (utilizzata soprattutto nell’ambito delle Pubbliche Amministrazioni per quei documenti informatici soggetti a registrazione in un sistema di protocollo), il versamento in un sistema di conservazione digitale a norma dei documenti, l’utilizzo della posta elettronica certificata.
  • gli articoli 47-54 definiscono le regole per la validazione temporale mediante marca temporale

Marcatura temporale nelle procedure di gara telematiche

Una recente sentenza del TAR della Campania, Sez. Prima (sentenza 4648/2024) ha confermato l’esclusione di una società concorrente a una gara pubblica per una non conformità rispetto a quanto richiesto dal disciplinare di gara, che prevedeva che l’offerta economica dovesse essere salvata, firmata digitalmente e poi marcata temporalmente, rispettando un ordine preciso, così da consentire “di individuare univocamente l’offerta economica, firmata e marcata entro il termine previsto dal timing di gara, che dovrà essere caricata successivamente sul portale”. Nel disciplinare veniva disposta espressamente l’esclusione dalla gara in caso di irregolarità nella marcatura temporale.

Il TAR della Campania ha rigettato il ricorso della società concorrente alla gara ribadendo che la marcatura temporale è un adempimento essenziale nelle gare telematiche, poiché garantisce l’immodificabilità dell’offerta economica e ne impedisce la sostituzione dopo la scadenza. La non corrispondenza tra il numero seriale indicato e quello della marcatura temporale rendeva l’offerta non conforme, giustificando l’esclusione. Le difese della società sono state ritenute infondate, poiché il numero seriale della firma digitale NON può essere confuso con quello della marcatura temporale.

La rilevanza giurisprudenziale di questa sentenza risiede nel fatto che il TAR ha richiamato precedenti sentenze che confermano la funzione fondamentale della marcatura temporale per garantire trasparenza e inviolabilità nelle procedure di gara telematica. La firma digitale e la marcatura temporale svolgono funzioni distinte e complementari, e la loro corretta applicazione è imprescindibile.

Marca temporale: che cos’è

L’articolo 47 del DPCM 22 febbraio 2013 è dedicato all’uso della marca temporale come metodo di validazione temporale che, in quanto servizio fiduciario, permette di conferire data e ora certa a un documento garantendone la validità legale opponibile a terzi.  

In sintesi, la marcatura temporale garantisce la certezza della data di creazione di un documento, anche se non necessariamente firmato digitalmente. Viene realizzata da una terza parte fidata, solitamente un certificatore, tramite una sottoscrizione digitale aggiuntiva. Questa include l’impronta del documento, insieme a data e ora forniti da una fonte affidabile, firmati con la chiave privata del certificatore per creare la “marca temporale”. Quest’ultima viene inviata al richiedente e associata al documento.

Dal punto di vista tecnico la marca temporale crea un’impronta digitale univoca, un “hash” con un preciso timestamp, un riferimento temporale.
Quindi,la marca temporale è un timestamp, cioè una sequenza numerica che potremmo definire più semplicemente un numero seriale che attesta data e ora esatte di quando è stato creato un documento informatico.

Il prestatore di servizi fiduciari qualificato che eroga il servizio di marcatura temporale è comunemente noto come Time-Stamping Authority (TSA). Per svolgere questa attività, la TSA si avvale di una o più Time-Stamping Units (TSU), che rappresentano l’insieme di strumenti tecnologici (hardware e software) necessari per generare le marche temporali.

Ogni TSU utilizza una chiave privata unica per apporre la firma digitale sulle marche temporali, migliorando così la sicurezza del sistema. Le marche temporali sono generate firmando un’impronta del documento e un record temporale basato sul Tempo Universale Coordinato (UTC), assicurando così una correlazione precisa tra documento e data/ora di emissione.

Le marche temporali e i certificati utilizzati seguono le specifiche tecniche ETSI, come ETSI EN 319 412 e ETSI EN 319 422, che regola i protocolli di marcatura temporale, e le normative tecniche IETF.

Tutte le marche temporali emesse da un sistema di validazione sono conservate dalla TSA in un apposito archivio digitale non modificabile per 20 anni, secondo quanto indicato nell’articolo 53 “Registrazione delle marche generate” del DPCM 22 febbraio 2013.

Le informazioni essenziali contenute in una marca temporale sono, ai sensi dell’art. 48 del sopra citato DPCM:

a) identificativo dell’emittente;
b) numero di serie della marca temporale;
c) algoritmo di sottoscrizione della marca temporale;
d) certificato relativo alla chiave utilizzata per la verifica della marca temporale;
e) riferimento temporale della generazione della marca temporale;
f) identificativo della funzione di hash utilizzata per generare l’impronta dell’evidenza informatica; sottoposta a validazione temporale;

g) valore dell’impronta dell’evidenza informatica.

Come si ottiene la marca temporale

Le marche temporali vengono rilasciate da un soggetto terzo e fidato che eroga il servizio di validazione temporale chiamato Time Stamp Authority (TSA), che sincronizza data e ora con il segnale emesso da un Istituto ufficiale secondo la normativa vigente. 

InfoCert è il prestatore di servizi fiduciari (TSA) che eroga il servizio qualificato e non qualificato di validazione temporale (TSU) operando in conformità al Regolamento eIDAS e agli standard ETSI.

Per ottenere una marca temporale basta quindi rivolgersi a un prestatore di servizi fiduciari qualificato come InfoCert. Il processo di marcatura temporale di un documento segue un protocollo standard:

  1. Richiesta della marca: il richiedente invia la richiesta al prestatore (TSA) contenente l’impronta del documento, generata attraverso l’hashing;
  2. Emissione della marca: la TSA associa all’impronta del documento l’informazione temporale, firmata digitalmente. 
  3. Restituzione della marca: il servizio risponde con un messaggio contenente la marca temporale.

La scadenza dei certificati di firma digitale

Un aspetto critico della gestione documentale è la scadenza dei certificati di firma digitale, che generalmente hanno una validità di 2 o 3 anni.

Spesso si confonde la scadenza della firma con la scadenza del certificato di firma. Una frase come “ “la firma digitale è scaduta” può considerarsi errata: a scadere infatti non è la firma, bensì il certificato digitale, cioè quel documento informatico che collega una persona fisica (giuridica per il sigillo elettronico) alla chiave crittografica asimmetrica denominata chiave pubblica. Questa chiave deve essere associata con certezza al titolare e l’operazione è responsabilità del soggetto definito dalla normativa europea come prestatore di servizi fiduciari qualificato (Qualified Trust Service Provider – QTSP).

Al momento della verifica della validità di una firma digitale apposta su un documento, se il certificato risulta essere scaduto o revocato allora si può dire che la firma digitale su quel documento non è più valida, a meno che non sia stata accompagnata da una marca temporale apposta entro la validità del certificato digitale.

L’apposizione di una marca temporale nel momento in cui il certificato di firma era ancora valido certifica la validità della firma digitale rendendola immune agli effetti della scadenza del certificato. In assenza di una marca temporale, non si può dimostrare che quel certificato di firma era ancora valido al momento dell’apposizione della firma sul documento e, come conseguenza, il documento rischia di perdere nel tempo il proprio valore legale e probatorio, soprattutto in contesti di contenzioso o di verifiche amministrative.

Best practices per l’uso delle marche temporali

Per un’efficace gestione documentale, si raccomanda di:

  1. Apporre la marca temporale contestualmente alla firma digitale, o comunque entro la validità del certificato di firma;
  2. Utilizzare marche temporali qualificate, come previsto dal Regolamento eIDAS, per garantire il massimo valore probatorio;
  3. Integrare il processo di marcatura temporale con il sistema di conservazione digitale a norma, adottando strumenti conformi alla normativa italiana ed europea.

Le marche temporali non sono solo uno strumento tecnico, ma un pilastro fondamentale per garantire la validità legale e probatoria dei documenti informatici firmati digitalmente. In un contesto normativo in continua evoluzione, come quello italiano ed europeo, l’adozione di buone pratiche per l’apposizione delle marche temporali e la conservazione digitale a norma rappresenta una garanzia di compliance e di sicurezza per aziende e pubbliche amministrazioni.

I vantaggi e le maggiori garanzie della marcatura temporale risiedono nel fatto che la sua apposizione al documento:

  • rende il documento informatico opponibile a terzi dal punto di vista della data certa
  • estende la validità temporale del documento firmato digitalmente oltre la durata del certificato digitale di firma elettronica

Investire in soluzioni tecnologiche avanzate e conformi alla normativa è essenziale per affrontare le sfide della digitalizzazione, proteggendo il valore legale e l’integrità dei documenti nel tempo.