Di Marta Gaia Castellan – Consulenza di processo e normativa – Business compliance – Innovation & strategy at InfoCert
Tra le maggiori novità delle Linee Guida AgID su formazione, gestione e conservazione dei documenti informatici, che entreranno pienamente in vigore a partire dal prossimo gennaio, c’è l’obbligo per i servizi di protocollazione di dotarsi di sigillo elettronico.
La normativa sia italiana (Codice dell’Amministrazione Digitale) che europea (Regolamento eIDAS) presenta il sigillo come “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi”.
Se pensiamo agli antenati ‘analogici’ di questi strumenti, evochiamo antiche pergamene medievali con sigilli in cera. Ma, a ben riflettere, anche quei sigilli avevano due funzioni: garantire che nessuno aprisse la lettera durante il trasporto, ‘spezzando’ il sigillo, per falsificare il contenuto, e identificare, mediante lo stemma araldico impresso nel sigillo, la famiglia nobile mittente.
Integrità e origine in relazione a una persona giuridica, quindi.
Dal punto di vista tecnologico, il sigillo oggi ha fortissime analogie con la firma elettronica: è connesso unicamente al creatore del sigillo, è idoneo a identificarlo, è creato con un elevato livello di sicurezza e sotto il suo controllo, è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica. Infine, il sigillo qualificato è basato su certificati qualificati assolutamente simili a quelli di firma digitale.
Proprio questo sigillo qualificato viene individuato dall’Allegato 6 alle Linee Guida “Comunicazione tra AOO di Documenti Amministrativi Protocollati” (che sostituisce la circolare 60/2013) per sigillare la segnatura di protocollo (l’associazione all’originale del documento, in forma permanente e non modificabile, dei metadati riguardanti il documento stesso, funzionali alla ricezione o spedizione, con un particolare Schema XML) utilizzando il profilo XAdES baseline B level signatures.
Un altro utilizzo concreto del sigillo suggerito dalle Linee Guida è sui pacchetti di archiviazione dei sistemi di conservazione digitale a norma, in alternativa alla firma digitale automatica del Responsabile della Conservazione.
Estendendo questa funzione, potrebbe essere utilizzato al posto di tutte quelle firme digitali definite come ‘tecniche’, a pura garanzia di integrità e immodificabilità, che vengono apposte senza una reale necessità di collegamento all’identità del firmatario.
Infine, il Regolamento eIDAS stesso suggerisce che oltre ad autenticare il documento rilasciato dalla persona giuridica, i sigilli elettronici possono anche servire ad autenticare qualsiasi bene digitale della persona giuridica stessa, quali codici di software o server.
Non dimentichiamo che questi sigilli qualificati, emessi da un QTSP (Qualified Trust Service Provider), erogatore di servizi fiduciari, come InfoCert, hanno pieno valore in tutta l’Unione Europea.
Marta Gaia Castellan
Consulenza di processo e normativa – Business Compliance – Innovation & Strategy