Firma digitale e documenti PA:
perché senza marca temporale scadono

Il problema poco conosciuto delle firme digitali

Quando si firma digitalmente un documento con un certificato qualificato italiano, la firma è valida e verificabile finché il certificato è valido. I certificati qualificati emessi dai TSP italiani (ArubaPEC, InfoCert, Namirial, PosteCom) hanno tipicamente una durata di tre anni. Alla scadenza, qualunque tool di verifica (Aruba Sign, Dike, FirmaCerta, servizi AgID) restituirà «firma non valida» su quei documenti.

La verifica tecnica è corretta: al momento del controllo il certificato non è più valido, e senza un attestato indipendente che provi quando è stata effettivamente apposta la firma, il verificatore non può distinguere tra una firma legittima (apposta quando il certificato era valido) e una fraudolenta (apposta dopo la scadenza con un certificato compromesso).

La soluzione prevista dal Regolamento eIDAS (UE 910/2014) e dal Codice dell'Amministrazione Digitale italiano (CAD, art. 20) è la marca temporale qualificata: un attestato rilasciato da una Time Stamping Authority (TSA) che certifica in modo legalmente opponibile la data e ora in cui la firma è stata apposta. Con la marca temporale, la firma resta valida nel tempo anche dopo la scadenza del certificato del firmatario.

I quattro livelli di firma CAdES

Il formato CAdES (CMS Advanced Electronic Signatures), standardizzato da ETSI EN 319 122, prevede quattro livelli di durabilità crescente. Il file tipico con estensione .p7m può appartenere a uno qualsiasi di questi livelli:

• 1CAdES-BES (Basic Electronic Signature) — firma minima conforme, contiene la firma crittografica, il certificato del firmatario e un attributo signingTime dichiarato dal firmatario stesso (non certificato). È il default della maggior parte dei tool desktop. Valida solo finché il certificato è valido.
• 2CAdES-T (Timestamped) — aggiunge una marca temporale qualificata emessa da una TSA. La marca è apposta negli unsigned attributes della busta PKCS#7 ed è legalmente opponibile. Rimane verificabile oltre la scadenza del certificato di firma, fino alla scadenza del certificato della TSA stessa (tipicamente 5-10 anni).
• 3CAdES-LT (Long Term) — include timestamp + tutte le informazioni di stato di revoca (CRL o OCSP response) al momento della firma. Permette la verifica della firma nel futuro anche quando le CA originarie non sono più raggiungibili. Adatto a contratti decennali.
• 4CAdES-LTA (Long Term Archival) — aggiunge un meccanismo di re-timestamping periodico che protegge dalla obsolescenza crittografica degli algoritmi. È il livello usato dai servizi di conservazione sostitutiva qualificati per archiviazione pluridecennale.

Per i PDF esiste un formato equivalente e specifico: PAdES (PDF Advanced Electronic Signatures), con gli stessi livelli BES / T / LT / LTA. PAdES ha il vantaggio di integrare la firma nel PDF stesso, rendendolo apribile anche da Acrobat Reader senza tool esterni.

Come verificare se la propria firma ha timestamp

La verifica del livello della propria firma è semplice e non richiede strumenti commerciali. Con openssl (disponibile su Linux, macOS e Windows) si possono ispezionare tutti gli attributi di un file .p7m:

openssl cms -cmsout -inform DER -in documento.pdf.p7m -print

Cosa cercare nell'output:

• Sotto signedAttrs deve comparire signingTime (la data dichiarata) e idealmente signingCertificateV2 (hash del certificato firmatario).
• Sotto unsignedAttrs deve comparire signatureTimeStampToken (OID 1.2.840.113549.1.9.16.2.14) per CAdES-T. Se l'output mostra <ABSENT>, la firma è di livello BES (senza timestamp).
• Per CAdES-LT/LTA vanno cercati anche certificate-values e revocation-values.

I tre rischi di pubblicare online documenti firmati

Per le aziende che servono la Pubblica Amministrazione, è pratica diffusa pubblicare online alcuni documenti amministrativi firmati digitalmente (dichiarazione sostitutiva DURC, tracciabilità dei flussi finanziari, autocertificazioni) per facilitare la contrattualizzazione con i RUP e gli uffici acquisti. È una pratica efficiente, ma comporta tre rischi distinti che spesso non vengono considerati insieme.

• 1Esposizione di dati personali sensibili— la tracciabilità dei flussi finanziari contiene l'IBAN aziendale dedicato, i codici fiscali delle persone autorizzate alla movimentazione, l'indirizzo di residenza personale del legale rappresentante. Questi dati in aggregato costituiscono il kit base per frodi BEC (Business Email Compromise), phishing mirato e tentativi di furto d'identità. Il principio di minimizzazione del GDPR (art. 5) raccomanda di non esporre dati non strettamente necessari.
• 2Scadenza silenziosa della firma— se il documento è firmato in CAdES-BES (senza marca temporale), allo scadere del certificato (tipicamente 3 anni) la firma cessa di essere verificabile. Il documento resta online, scaricabile, apparentemente valido, ma qualunque verificatore automatico lo classifica come «firma non valida». Un RUP che tentasse di usarlo per una pratica di affidamento si troverebbe con un documento inutilizzabile.
• 3Obsolescenza dei dati dichiarati — matricole INPS/INAIL possono cambiare, IBAN dedicati alle commesse possono essere aggiornati, il contratto collettivo applicato può variare, nuovi amministratori possono subentrare. Un documento pubblicato tre anni fa potrebbe contenere informazioni non più accurate, con impatto sulla validità sostanziale della dichiarazione.

Come attivare correttamente la marca temporale

I principali TSP italiani offrono servizi di marca temporale qualificata integrabili con i tool di firma più diffusi. Il costo è contenuto (tipicamente 20-50 euro annui per una PMI) e l'attivazione richiede pochi minuti di configurazione.

• 1Acquistare un pacchetto di marche temporali— i TSP vendono pacchetti da 100, 250 o 500 marche con validità pluriennale. Per ArubaPEC il servizio si chiama «Aruba TimeStamp», per InfoCert è integrato nella piattaforma «InfoCert Sign», per Namirial è parte di «DigitalSign». Il costo parte da 15-25 euro per 100 marche.
• 2Configurare il tool di firma — nelle preferenze del tool (Aruba Sign, Dike GoSign, FirmaCerta, DigitalSign) inserire le credenziali della TSA e selezionare il livello di firma CAdES-T o PAdES-T come default. Da quel momento ogni documento firmato conterrà automaticamente la marca temporale.
• 3Verificare il risultato — dopo la configurazione, firmare un documento di prova e ispezionarlo con il tool di verifica o con openssl. Devono comparire gli attributi signatureTimeStampToken negli unsigned attributes. Verificare anche la data della marca temporale: deve coincidere (approssimativamente) con il momento della firma.
• 4Per archiviazione lunga — se i documenti devono essere conservati oltre i 5-10 anni (bilanci, contratti pluriennali, atti costitutivi, delibere societarie), valutare un servizio di conservazione sostitutiva qualificato che garantisca re-timestamping periodico e aggiornamento delle informazioni di revoca (CAdES-LTA).

Il pattern corretto per i documenti amministrativi della PA

Tenendo conto dei tre rischi — privacy, scadenza e obsolescenza — il pattern operativo più solido per le aziende che servono la PA è rinunciare alla pubblicazione pubblica dei documenti firmati e adottare invece un modello di invio su richiesta:

• Una pagina pubblica elenca i documenti disponibili (DURC sostitutiva, tracciabilità flussi, antimafia, requisiti generali, visura camerale) con i riferimenti normativi, ma non pubblica i PDF firmati.
• Un canale di contatto dedicato (tipicamente una email PA specifica) riceve le richieste dai RUP e risponde con i documenti firmati al momento, con certificato corrente e dati aggiornati, in tempi garantiti (24-48 ore feriali).
• I soli documenti pubblici (certificazioni ISO, attestazioni ACN, brochure commerciali) restano scaricabili dal sito: sono concepiti per essere diffusi, non contengono dati personali sensibili e sono rinnovabili senza impatti.

Questo modello è coerente con il principio di minimizzazione dei dati (GDPR art. 5), riduce la superficie d'attacco per frodi BEC e phishing, elimina il rischio di documenti con firma scaduta silenziosamente, e mantiene la documentazione sempre pertinente alla specifica procedura di affidamento.

L'approccio AtWorkStudio

AtWorkStudio ha scelto di non pubblicare online documenti amministrativi firmati, per le ragioni illustrate. Chi necessita di documentazione per la contrattualizzazione via MePA, convenzioni Consip o trattative dirette può scrivere a pa@atworkstudio.it: riceverà in 24 ore feriali i documenti firmati con certificato corrente e marca temporale, pertinenti alla specifica procedura.

Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN QC1 su tre servizi cloud del Catalogo PA. Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.