Validità temporale file firmato digitalmente
Inviato: 13 giu 2025, 23:16Per vendere se ne inventano di tutti i colori?
Io uso abbastanza spesso la firma digitale.
Ultimamente all'estero un file non mi è stato accettato, in quanto mancante di marca temporale.
La mia firma digitale qualificata non ha anche la marcatura temporale, penso nessuna se non richiesto espressamente.
Cercando info su Marca Temporale leggo un po' ovunque che (uno a caso):
"Utilizzale ogni volta devi dare una data certa e giuridicamente valida a un documento. Ad esempio, per emissioni di credito, finanziamenti, atti ufficiali della Pubblica Amministrazione, libri contabili e societari conservati a norma.
Con ID Marca Temporale estendi la validità temporale del tuo documento firmato digitalmente, per una durata legale di 20 anni, dopo la scadenza o revoca della firma."
Allora sorgono 2 domande.
1) Quando io firmo un file evidentemente ("Utilizzale ogni volta devi dare una data certa e giuridicamente valida a un documento") non gli attribuisco alcuna indicazione circa il momento di firma.
2) Il documento firmato scade: ("estendi la validità temporale del tuo documento firmato digitalmente, per una durata legale di 20 anni, dopo la scadenza o revoca della firma")
C'è qualcosa che non torna.
A) anche su un documento analogico con firma autografa non vi è alcuna certezza del momento di firma... eppure sono millenni che lo usiamo, a volte certo sorgono dispute, ma siam sopravvissuti fino ad ora...
Comunque il punto 1) ha un senso tecnico, anche se non vedo il problema di usare una (discretamente) accurata temporizzazione del server di firma.
B) il punto 2 non ha alcun senso: dopo la scadenza della firma digitale (perché mai dovrebbe scadere non è chiaro, se non per $$$ di rinnovo) perché mai non dovrebbe essere possibile verificare che il tal file è stato firmato durante la validità della firma digitale? magari non si sa l'esatto momento, ma sicuramente che fu firmato mentre era valida la firma si, oppure i SW di firma permettono di firmare anche con firma scaduta? come potrebbe essere se servono le autorizzazioni volta per volta del provider di firma?
Questo per altro significa che tutto ciò che ho (abbiamo?) firmato finora, in particolare quello con firma ora scaduta, non è più valido.
Allora diciamola in altro modo: faccio un progetto, scade la firma, il grattacielo crolla, qualcuno viene a bussare alla mia porta... eh mi dispiace non puoi dimostrare la mia firma, arrivederci... corretto?
Io penso di no e che mi incolpano.
Anche perché se vado qui
https://vol.postecert.poste.it/verificatore/
verificando un file recente mi dice che
"Il certificatore dichiara che le informazioni su questo certificato verranno conservate per almeno 20 anni"
e se verifico un file firmato col precedente certificato (ormai scaduto) mettendo una data antecedente alla scadenza del certificato, verifica correttamente; mentre se metto una data successiva alla scadenza non verifica: mi dice che non è stato modificato dalla firma ma anche che non trova info sulle revoche del certificato.
C'è qualcuno particolarmente esperto della materia?
la firma digitale già mi garantisce l'immutabilità del documento e la sua paternità, e mi dovrebbe anche garantire più o meno il momento in cui viene apposta; ok: con che precisione? e con che precisione la Marca temporale? che senso ha sapere che è stato firmato alle 17:59:59,9999999 invece che alle 18:00:01? (non mi dite che quello era ieri legale e questo oggi legale perché chi firma all'ultimo istante in modo manuale? non è possibile governare la decina di secondi, figuriamoci meno... se ho una latenza in rete? ecc...)
Io uso abbastanza spesso la firma digitale.
Ultimamente all'estero un file non mi è stato accettato, in quanto mancante di marca temporale.
La mia firma digitale qualificata non ha anche la marcatura temporale, penso nessuna se non richiesto espressamente.
Cercando info su Marca Temporale leggo un po' ovunque che (uno a caso):
"Utilizzale ogni volta devi dare una data certa e giuridicamente valida a un documento. Ad esempio, per emissioni di credito, finanziamenti, atti ufficiali della Pubblica Amministrazione, libri contabili e societari conservati a norma.
Con ID Marca Temporale estendi la validità temporale del tuo documento firmato digitalmente, per una durata legale di 20 anni, dopo la scadenza o revoca della firma."
Allora sorgono 2 domande.
1) Quando io firmo un file evidentemente ("Utilizzale ogni volta devi dare una data certa e giuridicamente valida a un documento") non gli attribuisco alcuna indicazione circa il momento di firma.
2) Il documento firmato scade: ("estendi la validità temporale del tuo documento firmato digitalmente, per una durata legale di 20 anni, dopo la scadenza o revoca della firma")
C'è qualcosa che non torna.
A) anche su un documento analogico con firma autografa non vi è alcuna certezza del momento di firma... eppure sono millenni che lo usiamo, a volte certo sorgono dispute, ma siam sopravvissuti fino ad ora...
Comunque il punto 1) ha un senso tecnico, anche se non vedo il problema di usare una (discretamente) accurata temporizzazione del server di firma.
B) il punto 2 non ha alcun senso: dopo la scadenza della firma digitale (perché mai dovrebbe scadere non è chiaro, se non per $$$ di rinnovo) perché mai non dovrebbe essere possibile verificare che il tal file è stato firmato durante la validità della firma digitale? magari non si sa l'esatto momento, ma sicuramente che fu firmato mentre era valida la firma si, oppure i SW di firma permettono di firmare anche con firma scaduta? come potrebbe essere se servono le autorizzazioni volta per volta del provider di firma?
Questo per altro significa che tutto ciò che ho (abbiamo?) firmato finora, in particolare quello con firma ora scaduta, non è più valido.
Allora diciamola in altro modo: faccio un progetto, scade la firma, il grattacielo crolla, qualcuno viene a bussare alla mia porta... eh mi dispiace non puoi dimostrare la mia firma, arrivederci... corretto?
Io penso di no e che mi incolpano.
Anche perché se vado qui
https://vol.postecert.poste.it/verificatore/
verificando un file recente mi dice che
"Il certificatore dichiara che le informazioni su questo certificato verranno conservate per almeno 20 anni"
e se verifico un file firmato col precedente certificato (ormai scaduto) mettendo una data antecedente alla scadenza del certificato, verifica correttamente; mentre se metto una data successiva alla scadenza non verifica: mi dice che non è stato modificato dalla firma ma anche che non trova info sulle revoche del certificato.
C'è qualcuno particolarmente esperto della materia?
la firma digitale già mi garantisce l'immutabilità del documento e la sua paternità, e mi dovrebbe anche garantire più o meno il momento in cui viene apposta; ok: con che precisione? e con che precisione la Marca temporale? che senso ha sapere che è stato firmato alle 17:59:59,9999999 invece che alle 18:00:01? (non mi dite che quello era ieri legale e questo oggi legale perché chi firma all'ultimo istante in modo manuale? non è possibile governare la decina di secondi, figuriamoci meno... se ho una latenza in rete? ecc...)