avanzati.it/FAQ/Firma temporale qualificata
Q.21 · Legale

Cos'è la firma temporale qualificata e perché ha valore legale?

Un sigillo legale applicato al log. Il Regolamento eIDAS la regolamenta: un evento timestampato da una TSA qualificata ha valore probatorio opponibile a terzi, anche in tribunale.

TL;DR

Firma temporale qualificata = token crittografico emesso da una TSA (Time Stamping Authority) accreditata e supervisionata dall'autorità nazionale competente secondo il Regolamento UE 910/2014 (eIDAS). Dimostra che un determinato dato esisteva in un determinato momento, con presunzione di veridicità oppositoria a terzi. Formato standard: RFC3161 (request e token). PSA la applica automaticamente su eventi PAM critici (open/close sessione privilegiata, comando di root), su log SIEM per la conservazione forense, su snapshot backup per conformità. Costo: pochi cent per token, archiviazione long-term.

01Perché serve davvero

Un log scritto da un sistema operativo è un file come un altro. Chi ha accesso privilegiato può aprirlo, modificarlo, riscriverlo — e nel caso peggiore coprire le tracce di un'intrusione o di un'operazione non autorizzata. Anche senza malafede, il semplice fatto che tecnicamente si possa fare basta a togliere valore probatorio al log stesso davanti a un giudice o a un auditor.

La firma temporale qualificata risolve esattamente questo problema: ogni evento critico viene sigillato al volo da un soggetto terzo indipendente (la TSA) che attesta, con valore legale, che quell'hash specifico esisteva a quella data e ora. Se qualcuno modifica retroattivamente il log, l'hash non coincide più con il token e la manomissione diventa dimostrabile. È il passaggio che trasforma un registro interno in prova.

Sotto NIS2, per le aziende in perimetro, questo smette di essere un nice-to-have e diventa sostanza: l'audit chiede non solo che i log ci siano, ma che siano dimostrabilmente non alterati.

02eIDAS in due righe

Il Regolamento UE 910/2014 (eIDAS, "electronic IDentification, Authentication and trust Services") è il quadro normativo europeo che regola firme elettroniche, sigilli, raccomandate e timestamp qualificati. L'articolo 42 definisce il qualified electronic time stamp e gli attribuisce presunzione di accuratezza della data e dell'integrità dei dati cui è associato.

In Italia la materia è recepita e integrata dal Codice dell'Amministrazione Digitale (D.Lgs. 82/2005) e dalle regole tecniche AgID, che nella pratica assegnano al timestamp qualificato la presunzione di data certa opposta a terzi. In altre parole: se vai in giudizio con un evento timestampato da TSA qualificata, non devi dimostrare tu che la data è corretta — è chi lo contesta a dover dimostrare il contrario. Inversione dell'onere della prova, che è esattamente il punto.

03Come funziona, tecnicamente

Niente magia. Quattro passi, tutti standardizzati:

Tutto è riproducibile anni dopo con strumenti open (OpenSSL ts, librerie Bouncy Castle, client dedicati). Nessun vendor lock-in, nessuna black box.

04Non confondere firma digitale e firma temporale

È una confusione ricorrente anche tra tecnici. Sono due cose ortogonali, spesso combinate ma concettualmente distinte:

Una firma digitale senza timestamp qualificato perde progressivamente forza probatoria nel tempo (scadenza certificato, revoca, riuso). Un timestamp senza firma digitale prova l'esistenza a una data ma non l'identità di chi ha prodotto il dato. Nei flussi seri le due cose si combinano: firma il documento, poi timestampa la firma. In ambito log e audit, spesso basta la sola firma temporale — non ci interessa chi ha scritto il log, ci interessa che la sequenza temporale sia incontrovertibile.

05Dove la applichiamo

Abbiamo visto passare abbastanza audit per sapere dove il timestamp qualificato sposta davvero l'ago della bilancia. In pratica lo attiviamo su:

06Costi e cadenza operativa

La voce di costo spaventa a parole e si ridimensiona appena si fa la matematica. Un token RFC3161 da TSA qualificata costa tipicamente tra uno e qualche cent, spesso a pacchetti pre-pagati; per volumi aziendali medi si parla di qualche decina di euro al mese complessivi. Non si timestampa ogni riga di log — sarebbe spreco: si timestampano gli eventi critici (session open/close, comandi privilegiati, alert di sicurezza, snapshot di backup) o si aggregano N eventi in una Merkle tree e si firma solo la radice.

L'archiviazione pesa meno dell'hash stesso: un token RFC3161 sta in pochi KB. La voce vera è organizzativa — selezionare cosa timestampare, definire la policy di retention, tenere il materiale di verifica (certificati TSA, CRL) consultabile per tutta la vita utile del dato. Roba che una volta impostata correttamente va da sola.

07Cosa non è

Tre chiarimenti che risparmiano riunioni.

08Quando non serve

Onestà operativa: non tutto va timestampato. Scenari in cui sconsigliamo di spendere energia in questa direzione:

La regola pratica: timestampare dove c'è un terzo a cui dover dimostrare qualcosa — auditor, giudice, autorità di vigilanza, assicurazione cyber, controparte contrattuale. Dove tutto resta dentro casa, il valore aggiunto è marginale.

Firma temporale qualificata vs timestamp semplice

Dimensione Firma temporale qualificata Timestamp semplice
Emessa daTSA accreditata e supervisionataSistema operativo o NTP locale
Valore legalePresunzione ex art.42 eIDASNessuno
Opponibile a terziSì (inversione onere prova)No
FormatoRFC3161 + certificato qualificatoStringa data/ora non firmata
Retention richiestaArchiviazione token + materiale di verifica per tutta la vita utileNessun requisito

Un log che nessuno può modificare dopo.

Parliamone per la compliance →