Timestamp elettronico: cos’è, come funziona e perché integrarlo via API nei tuoi processi digitali

Le marche temporali sono lo strumento che permette di associare a un documento informatico una data e un orario certi, garantiti da un ente terzo e opponibili a terzi in sede legale. 

Molto spesso, infatti, la validità di un file non dipende solo da chi lo ha firmato, ma anche dalla prova inconfutabile del momento in cui l'azione è avvenuta, e dalla garanzia che il documento non sia stato manipolato dopo quel momento. 

Il timestamp elettronico è quello che conferisce pieno valore legale al documento, proteggendone l'integrità nel tempo e rendendolo a tutti gli effetti un asset digitale sicuro e incontestabile.

Timestamp: cos’è e a che serve

Un timestamp elettronico, o marca temporale, è una sequenza di caratteri che associa in modo univoco una data e un orario certi a un determinato file. 

All’interno del Regolamento eIDAS 2.0, la validazione temporale elettronica è definita come:

“Dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi dati esistevano a quell'ora e in quella data”.

Come il timbro postale della posta raccomandata, il timestamp dimostra che un certo documento esisteva in un determinato momento. La marcatura temporale, però, offre un livello di sicurezza molto più alto di un semplice timbro, non soltanto perché certifica l’orario di marcatura in maniera estremamente più precisa, ma anche perché garantisce l’integrità del file, ovvero che questo non abbia subito alcuna modifica dopo la sua validazione temporale.

Qual è la differenza tra marca temporale e riferimento temporale?

In generale, un riferimento temporale è un’associazione generica tra un documento e una certa data e ora. Nella pratica, però, quando si parla di riferimento temporale di un documento digitale si fa riferimento proprio alla marcatura temporale, che è poi lo strumento elettivo per associare un file a un certo momento in maniera incontestabile.

La differenza sostanziale tra un riferimento temporale qualsiasi, a carico dell’utente, e la validazione temporale di un documento elettronico, sta nell’opponbilità a terzi. In base all’eIDAS, infatti, un timestamp qualificato “congela” l’integrità del documento legandolo a una data e ora certe, la cui affidabilità è garantita dal fatto che la marcatura è fornita da un Prestatore di Servizi Fiduciari Qualificato (Time Stamping Authority) accreditato presso l’AgID.

Che significa marcatura temporale qualificata?

I requisiti per la validazione temporale elettronica qualificata sono illustrati all’articolo 42 del Regolamento eIDAS. Oltre a garantire l’immodificabilità del documento, questa dev’essere basata su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato. Ma ancora più importante è il fatto che debba essere “apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato”.

Il pieno valore legale della marcatura, quindi, è garantito dalla presenza di un ente certificatore terzo accreditato che, agendo come un notaio digitale, ne assicura l'autenticità e l'integrità a livello europeo.

Con l’eIDAS 2.0, il timestamping deve rispondere a requisiti di sicurezza ancora superiori, che sono quelli conformi alla Direttiva NIS 2. È inoltre diventato uno strumento nativo per l'European Digital Identity Wallet (EUDI): tutti gli Stati membri dell’Unione Europea sono tenuti a riconoscere un timestamp qualificato emesso da un prestatore di un altro Stato membro..

Come funziona il processo di marcatura temporale?

Nel momento in cui si decide di marcare temporalmente una fattura elettronica, un registro IVA o un’opera d’arte digitale, il software di firma (o l’applicazione che usa le API per la marcatura temporale) calcola l’hash del documento, cioè gli attribuisce una stringa che lo identifica in maniera univoca.

Questo hash - e non l’intero documento, che resta riservato - viene quindi inviato al server del Prestatore di Servizi Fiduciari Qualificato in un’operazione nota come Time Stamping Authority o TSA Request.

Il server del provider riceve l’hash e vi applica sopra due elementi fondamentali: data e ora certe, provenienti da fonti certificate e sincronizzate UTC, e un sigillo elettronico, che funge da firma digitale del pacchetto composto da hash e orario. A quel punto la TSA restituisce la marca temporale vera e propria, che può essere inserita direttamente nel file da marcare (per esempio un PDF) oppure essere conservata come file separato (solitamente con estensione .tsr) insieme al documento digitale.

Perché integrare la marcatura temporale via API

Molte aziende acquistano pacchetti di marche temporali per validare i propri documenti: in questo caso, la marcatura non può che avvenire manualmente, di solito tramite software desktop o applicazione. Quando però si gestiscono volumi molto elevati di documenti, la marcatura manuale mostra tutte le sue limitazioni. 

In questo caso, l’unica soluzione davvero efficiente è l’integrazione API, che garantisce:

• Automazione: integrando le API di marcatura direttamente nel proprio gestionale, CRM o ERP, si può automatizzare il processo e marcare fatture, contratti e log di sistema nel momento stesso in cui vengono creati, senza bisogno di alcun intervento umano;
• Scalabilità: eliminando il fattore umano e potendo inviare centinaia di richieste simultanee, vengono anche meno i “colli di bottiglia” nei flussi di lavoro;
• Compliance: integrare le API di marcatura di un fornitore qualificato, la conformità normativa diventa una caratteristica nativa del software;
• Tracciabilità e monitoraggio: le chiamate API, a differenza della marcatura manuale, permettono di monitorare in tempo reale il proprio consumo e di avere log dettagliati su ogni operazione.

Passare dalla gestione manuale a un’infrastruttura basate sulle API, in sostanza, permette di trasformare un obbligo di conformità in un vantaggio operativo strategico, sicuro e perfettamente integrato nei flussi di lavoro già esistenti.