Audit Trail: cos'è e perché è importante nei processi di firma

Una firma elettronica, soprattutto quando non dotata di certificati verificati ed eseguita su hardware sicuri, non garantisce di per sé la piena validità legale di una sottoscrizione. La validità di un accordo, in questo senso, non risiede tanto nell’atto della firma, quanto nella capacità di ricostruire in maniera inoppugnabile ogni passaggio del processo che ha portato alla firma.

È qui che interviene l’Audit Trail, un registro cronologico che traccia tutte le operazioni compiute sui documenti digitali, dalla creazione del documento alla sua firma.

Firma elettronica: cos’è l’Audit Trail?

L’Audit Trail di una firma elettronica è un registro cronologico e immodificabile che traccia ogni operazione compiuta su un documento digitale, dalla sua creazione alla firma finale. In caso di dubbi o controversie, questo registro fornisce le prove legali per ricostruire i fatti. 

Nella pratica, l’Audit Trail si presenta come file separato dal documento originale che viene generato automaticamente e che contiene le seguenti informazioni:

• Mittente: nome, indirizzo email, indirizzo IP;
• Firmatario: nome, indirizzo email e, se usato per l'autenticazione via SMS/OTP, numero di telefono;
• Modalità di autenticazione del firmatario;
• Timestamp: data e ora esatta di ogni operazione effettuata sul documento (visualizzazione, approvazione, firma);
• Identificativo univoco del documento (hash), ovvero la prova che il documento non è stato alterato dopo la firma;
• Cronologia completa delle azioni.

Anche le operazioni incomplete vengono registrate nell’Audit Trail: se un firmatario, per esempio, visualizza il documento senza firmarlo, la visualizzazione sarà riportata nel registro insieme ai timestamp e ai dettagli sull’identità del firmatario.

Audit Trail: perché è fondamentale?

Senza un Audit Trail, una firma elettronica perderebbe gran parte del suo valore legale, soprattutto in caso di controversie. Il registro di controllo, infatti, assicura:

• Valore probatorio e non ripudio del documento: conferma l’identità del firmatario e l’integrità del documento, dimostrando che non è stato alterato dopo la firma;
• Compliance: il registro garantisce che i processi di firma rispettino gli standard richiesti da regolamenti e normative come eIDAS, ESIGN e GDPR. Supporta inoltre la gestione sicura delle informazioni sensibili come richiesto da ISO 27001, SOC 2, HIPAA;
• Sicurezza: permette di rilevare eventuali tentativi di manomissione del documento e anomalie nel processo di firma;
• Tracciabilità e trasparenza: offre una documentazione dettagliata delle azioni effettuate e della catena di custodia del documento, garantendo la trasparenza delle operazioni e la loro completa tracciabilità.

Il registro di controllo delle firme permette così di trasformare qualsiasi firma elettronica in un processo verificabile e legalmente riconosciuto - un presidio di garanzia importante soprattutto per la Firma Elettronica Semplice (FES), che di per sé non sfrutta dispositivi di firma sicuri.

L’Audit Trail nella Firma Elettronica Semplice (FES)

A differenza della Firma Elettronica Qualificata (FEQ), la Firma Elettronica Semplice non usa certificati qualificati e hardware sicuri, come smart card e token. Perciò, di per sé, è facilmente contestabile. Quando associata a un Audit Trail, però, anche la FES può avere le caratteristiche di “oggettività, integrità e immodificabilità” richieste dal Codice dell’Amministrazione Digitale (CAD). Il registro, infatti, va a costituire un insieme di “prove digitali” capaci di dimostrare l’intenzione di firmare. 

Ciò è particolarmente importante in Italia e in UE, cioè in contesti in cui la validità legale della FES non è stabilita a priori per legge ma è lasciata alla discrezionalità del Giudice. Le informazioni riportate nell’Audit Trail, infatti,  forniscono al Giudice delle prove dirimenti, tra cui:

• Autenticazione: il registro mostra che il firmatario ha eseguito l’accesso tramite un link inviato alla sua email personale (tracciabilità dell’account);
• Integrità: garantisce che il file non è stato alterato successivamente alla firma;
• Volontà: il log registra che l’utente ha visualizzato tutte le pagine prima di cliccare su “Firma”.

Il registro, in sostanza, fornisce prova legale dell’identità del firmatario e della sua volontà di firmare, oltre che della correttezza formale del processo di firma - cosa che ne garantisce il non ripudio e la conformità alle normative. Una FES dotata di Audit Trail, quindi, acquisisce pieno valore legale pur mantenendo la semplicità d’uso e implementazione di una Firma Elettronica Semplice.