Punti chiave da ricordare sulla marcatura temporale elettronica :
- La marcatura temporale elettronica consiste nel collegare i dati digitali a una data e a un’ora per certificarne l’esistenza (e il contenuto) in un determinato momento, generalmente tramite una terza parte fidata quando è richiesto un alto livello di prova.
- Si distinguono due categorie: la marcatura temporale semplice (non qualificata) e la marcatura temporale qualificata eIDAS, quest’ultima rispondente a requisiti specifici (link che impedisce modifiche non rilevabili, fonte dell’ora UTC, firma o sigillo del fornitore di servizi qualificato o metodo equivalente).
- Il processo si basa sulla funzione di hash (creazione di un’impronta digitale unica), trasmessa all’autorità di marcatura temporale, che genera un token di marcatura temporale contenente l’impronta digitale, la data/ora UTC e il timbro che identifica il fornitore del servizio.
- La marcatura temporale risponde a obiettivi operativi e legali: sostenere la dematerializzazione (prova della data e del contenuto), migliorare la tracciabilità e contribuire a ridurre i costi associati agli scambi cartacei (in particolare le spedizioni postali).
- Come prova, la marcatura temporale è ammissibile in tribunale nell’UE (principio di non discriminazione), ma la marcatura temporale qualificata beneficia di una presunzione di accuratezza (data/ora e integrità), con un’inversione dell’onere della prova a scapito della persona che contesta.
Che cos’è la marcatura temporale elettronica?
Origine del timestamp
Tutti i sistemi informatici sono dotati di un orologio in tempo reale che indica la data e l’ora corrente per varie operazioni eseguite sul dispositivo, come la creazione di un file o l’invio di un’e-mail. Questi orologi mantengono un’ora precisa anche quando il dispositivo è spento, perché non solo sono alimentati da una batteria situata sulla scheda madre del computer, ma sono anche collegati a Internet. Come tale, questo orologio interno del computer fornisce già una forma di marcatura temporale elettronica, ma non è affidabile. Non solo possiamo manipolare la data e l’ora nel software, ma possiamo anche alterare l’orologio di sistema per modificare la data e l’ora associate ai record nei registri eventi, nel file system o nelle transazioni del database.
Definizione del timestamp
Per ottenere la stessa affidabilità fornita dalla marcatura temporale di un certificato da parte di un conservatore, i regolamenti iniziali prevedevano il coinvolgimento di una terza parte fidata nel processo di marcatura temporale elettronica. La marcatura temporale è stata definita per la prima volta nell’Articolo 1 dell’Ordinanza del 20 aprile 2011 come il “meccanismo che associa una rappresentazione di dati in un determinato momento e che attesta l’esistenza della rappresentazione di questi dati in questo momento per mezzo di un token di marcatura temporale [che] include un timbro del provider di marcatura temporale elettronica stabilito dai dati di firma del token di marcatura temporale”. Questa definizione di marcatura temporale elettronica presuppone quindi l’utilizzo di un fornitore di servizi fidato, il che esclude di fatto alcune forme di marcatura temporale elettronica.
Qualche anno dopo, nel 2014, è stato adottato il Regolamento dell’Unione Europea sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno, noto come Regolamento europeo eIDAS. Il suo obiettivo è quello di consentire la libera circolazione dei token di marcatura temporale, facilitando così gli scambi per oltre 400 milioni di persone. In questo regolamento, la marcatura temporale elettronica è definita in modo più ampio come “dati in forma elettronica che collegano altri dati in forma elettronica in un determinato momento, stabilendo la prova che questi ultimi dati esistevano in quel momento “.
Qual è lo scopo della marcatura temporale elettronica?
La marcatura temporale elettronica è un processo mediante il quale una data e un’ora possono essere collegate elettronicamente ad altri dati in forma elettronica, al fine di certificare, con o senza l’intervento di un fornitore di servizi di fiducia, la loro esistenza o prestazione in un determinato momento e anche di attestare il loro contenuto in quel preciso momento.
Quali sono i due tipi riconosciuti di marcatura temporale elettronica?
Il sito web del regolamento eIDAS menziona due categorie di parcometri elettronici:
Timbratura semplice e non qualificata
Il regolamento non fornisce una definizione specifica di marcatura temporale elettronica semplice. Resta inteso che un processo di marcatura temporale che non soddisfa le condizioni stabilite dal regolamento europeo eIDAS è di tipo non qualificato.
Timestamp qualificato Eidas
L’articolo 42, invece, definisce la marcatura temporale elettronica qualificata come quella che soddisfa le seguenti condizioni:
- Collega la data e l’ora ai dati in modo tale da escludere ragionevolmente la possibilità che i dati vengano alterati in modo impercettibile.
- Si basa su una fonte di tempo precisa legata al Tempo Coordinato Universale.
- È firmato utilizzando una firma elettronica avanzata o sigillato con un sigillo elettronico avanzato del fornitore di servizi fiduciari qualificato, o con un metodo equivalente.
Per quanto riguarda quest’ultima condizione, il regolamento europeo eIDAS lascia spazio all’innovazione e allo sviluppo di un metodo che garantisca un livello di sicurezza equivalente alla firma elettronica avanzata o al sigillo elettronico avanzato. Spetta al fornitore di servizi fiduciari dimostrare che il suo metodo soddisfa i requisiti stabiliti dal regolamento eIDAS.
Come funziona la marcatura elettronica dell’ora?
La marcatura temporale elettronica (utilizzando un fornitore di servizi di fiducia) è un “processo che collega la rappresentazione dei dati a un determinato momento”.
Per marcare temporalmente i dati in forma elettronica (ad esempio, un contratto, il codice sorgente di un software, una fattura, una prescrizione medica elettronica, un’indicazione di prezzo, una casella spuntata su un modulo, l’accesso a un sistema informativo), è necessario generare un identificatore unico utilizzando la funzione hash. Questo passaggio è essenziale per creare una rappresentazione affidabile e unica dei dati, ossia un’impronta digitale virtuale . Questa viene poi trasmessa all’autorità del servizio di marcatura temporale, che combina l’impronta digitale con la data e l’ora esatte basate sul Tempo Universale Coordinato (UTC).
L’affidabilità di questa combinazione è garantita da un token di timestamping, che è un tipo di certificato firmato contenente :
- L’impronta digitale o la rappresentazione dei dati;
- Data e ora UTC ;
- il timbro del token di marcatura temporale.
Secondo il decreto francese sulla marcatura temporale elettronica, il sigillo del token di marcatura temporale consente di identificare “il fornitore di servizi di marcatura temporale elettronica che lo emette e garantisce un collegamento con il token di marcatura temporale a cui è collegato”. Il sigillo viene generato utilizzando la chiave privata dell’autorità di marcatura temporale ed è verificabile con una chiave pubblica, comunicata all’utente tramite un certificato di marcatura temporale elettronica.
Perché utilizzare la marcatura temporale?
Dematerializzazione degli scambi
La dematerializzazione di interi settori dell’economia è stata accompagnata dalla necessità di una marcatura temporale elettronica per fornire una prova della data e del contenuto. In molti settori, come la proprietà intellettuale, la protezione dei dati personali e la tecnologia dell’informazione, è diventato essenziale poter fornire una prova dell’esistenza dei dati in un determinato momento. Senza questa prova, una persona potrebbe vedersi negare i diritti a cui ha legittimamente diritto e/o essere penalizzata ingiustamente.
Riduzione dei costi
Dopo la globalizzazione, il costo dell’invio e della restituzione dei documenti tramite i servizi postali tradizionali è stato considerevole. La maggior parte delle transazioni richiede la marcatura temporale e la firma. In definitiva, questo movimento avanti e indietro di documenti ha un impatto sul flusso di cassa delle aziende coinvolte nella transazione. Grazie alla marcatura temporale digitale, le navette dei corrieri espressi appartengono al passato, sostituite da semplici clic. Il risparmio di tempo e denaro è notevole se si considera il costo di un token. Il sistema dei token di marcatura temporale, o marche temporali, consente di seguire l’evoluzione di un documento marcato temporalmente (modifica, cancellazione, aggiunta, ecc.).
Tracciabilità dei documenti marcati temporalmente
La calibrazione delle marche temporali sugli orologi atomici garantisce la tracciabilità dei documenti e rafforza la sicurezza digitale. Qualsiasi modifica senza marcatura temporale mette in discussione l’integrità del documento. Con il regolamento europeo eIDAS del 2014, il legislatore fornisce un quadro per i sistemi di marcatura temporale elettronica, introducendo determinati requisiti tecnici per garantire la loro affidabilità probatoria.
Quali documenti possono essere marcati temporalmente?
La marcatura temporale può essere utile in molti settori, ecco alcuni esempi:
- Commercio elettronico, per giustificare i prezzi di riferimento per le operazioni promozionali (Legge Omnibus).
- La catena di approvvigionamento, per tracciare e controllare l’origine del prodotto.
- Nel settore bancario e assicurativo, per l’archiviazione sicura delle informazioni trasmesse online.
- In termini generali, per aiutare tutte le aziende che fatturano, per garantire il rispetto delle scadenze di pagamento e per calcolare le penali per i ritardi di pagamento.
Riconoscimento legale della marcatura temporale elettronica come prova digitale
Le marche temporali, anche quelle elettroniche, sono ammissibili come prova davanti ai tribunali dell’Unione Europea.
Pertanto, una marca temporale elettronica non qualificata è ammissibile in tribunale, in particolare quando la prova può essere fornita con qualsiasi mezzo. L’Articolo 41(1) del Regolamento europeo eIDAS stabilisce un principio di non discriminazione per quanto riguarda la marcatura temporale elettronica, accettandola come prova in tribunale allo stesso modo della marcatura temporale manuale, anche se non soddisfa i requisiti della marcatura temporale elettronica qualificata. Lo stesso vale per i servizi di posta elettronica registrata non qualificati.
In Svizzera, il Regolamento SCSE del 2016 fornisce un quadro giuridico simile a quello della Legge sulla Protezione dei Dati eIDAS. Sebbene SCSE non fornisca specifiche sugli standard tecnici che devono essere applicati, il Consiglio federale svizzero riconosce come validi i processi che sono stati implementati in conformità agli standard eIDAS. Come nel caso di eIDAS, SCSE attribuisce un valore probatorio più elevato ai certificati con marca temporale emessi da fornitori di servizi fiduciari qualificati.
Presunzione di affidabilità a favore dei parcometri elettronici qualificati
A differenza della semplice marcatura elettronica, la marcatura elettronica qualificata beneficia della presunzione di accuratezza della data e dell’ora che indica e dell’integrità dei dati a cui la data e l’ora sono collegate (articolo 41§2 del Regolamento europeo eIDAS). Questo è un vantaggio importante in caso di controversie o dispute, in quanto inverte l’onere della prova e lo pone a carico della parte che contesta l’affidabilità di un sistema di marcatura temporale qualificato. In questo contesto, alcuni studiosi equiparano la marcatura temporale elettronica qualificata alla versione elettronica del concetto legale di “data certa”.
Per estensione, in Francia, l’Articolo L100 del Codice delle Poste e delle Comunicazioni Elettroniche stabilisce che la posta raccomandata elettronica è equivalente alla posta raccomandata fisica se soddisfa i requisiti dell’Articolo 44 del Regolamento europeo eIDAS, in particolare per quanto riguarda l’uso di una marca temporale elettronica qualificata. In questo caso, i dati inviati e ricevuti tramite un servizio di posta elettronica raccomandata qualificata beneficiano, tra l’altro, di una presunzione di integrità dei dati e dell’accuratezza della data e dell’ora di invio e ricezione. In effetti, la timbratura elettronica applicata alla posta raccomandata offre un vantaggio rispetto alla posta raccomandata fisica, perché la timbratura elettronica certifica non solo la data ma anche il contenuto, cosa che la posta raccomandata fisica non fa.
Quindi, quando Evidency, una terza parte fidata qualificata nel processo di marcatura temporale elettronica, marca il tempo di documenti elettronici come una fattura, un prezzo di riferimento o un deposito, il token Evidency conferisce una data certa ai documenti in questione e ne attesta il contenuto al momento dell’apposizione del token di marcatura temporale. In quanto tale, questo contenuto non può essere modificato.
Evidency offre soluzioni flessibili di marcatura temporale per soddisfare le sue esigenze:
- Dimostrare la conformità dei prezzi promozionali
- Garantire la tracciabilità della catena di approvvigionamento
- Fornisca la prova di un evento
- Garantire la conformità agli standard e prepararsi agli audit.
La soluzione di marcatura temporale elettronica di Evidency è semplice da implementare e facile da usare.
Esonero di responsabilità
Le opinioni, le presentazioni, le cifre e le stime presentate sul sito web, compreso il blog, sono solo a scopo informativo e non devono essere considerate come consulenza legale. Per una consulenza legale, deve contattare un professionista del settore nella sua giurisdizione.
L’uso del contenuto di questo sito web, compreso il blog, per scopi commerciali, inclusa la rivendita, è vietato senza il previo consenso di Evidency. La richiesta di autorizzazione deve specificare lo scopo e la portata della riproduzione. Per scopi non commerciali, tutto il materiale di questa pubblicazione può essere citato o ristampato liberamente, ma è necessario un riconoscimento e un link a questo sito web.
