Il timbro nasce nell’antichità, allorquando era necessario legalizzare gli editti, i messaggi, le condanne, ogni genere di manoscritto per cui bisognava garantire integrità, autenticità e non ripudio. Il timbro, insieme alla firma autografa, era l’unico modo per sigillare un documento, conferendogli, insieme ad una serie di altri attributi, quali filigrane, tipo di carta, intestazioni, caratteri e inchiostri speciali, ecc., la necessaria ufficialità a garanzia di paternità, integrità e validità per il destinatario. Rappresentava, e rappresenta ancora oggi (vedasi l’uso delle Apostille, e del timbro personale nelle società dell’estremo oriente), il metodo universalmente riconosciuto per garantire integrità e autenticità di un documento.
L’Apostille è un timbro speciale apposto da un’autorità che certifica che un documento è una copia conforme dell’originale, sostituendo la legalizzazione del documento effettuata presso l’ambasciata dello Stato in cui verrà utilizzato. L’Apostille è una certificazione ufficiale disponibile nei paesi firmatari della Convenzione dell’Aja del 1961, che serve tipicamente quando viene richiesta la copia di un documento ufficiale straniero, ad es. matrimoni, adozioni, successioni ereditarie, ma anche semplici contratti internazionali.
Volendo dare una collocazione alla firma e al timbro nel nostro attuale sistema di norme e leggi, la prima identifica la persona fisica ed il secondo la persona giuridica, cosicchè oggi, firmare e timbrare un documento, significa avvalorare a “doppia chiave” il medesimo; in molti casi, la mancanza del timbro, invalida, o rende nullo, il documento firmato!
Se ci trasferiamo nel mondo digitale il timbro mantiene inalterata tutta la sua valenza di sigillo, garantendo al documento elettronico, attraverso una rappresentazione convenzionale di informazioni contenute nel documento elettronico (c.d. glifo, o codice bidimensionale), autenticità, integrità e non ripudio anche nel caso in cui questi venga stampato, trasferendo la firma digitale sul supporto cartaceo. In pratica il glifo contiene al suo interno una rappresentazione identica, alternativa e non alterabile del contenuto del documento, scritta e codificata con l’alfabeto dei codici a barre, unitamente alla certificazione della fonte che ha emesso il documento, leggasi firma digitale. Il timbro digitale/glifo permette di generare documentazione ibrida (documenti cartacei validi digitalmente e viceversa) sicura/anticontraffazione ed originale, prorogando la validità giuridica del documento informatico, firmato digitalmente, anche nel caso di stampa su carta. Il glifo altri non è che una evoluzione (qualitativa e quantitativa) di quella serie di linee bianche e nere con cui noi tutti abbiamo fatto conoscenza al momento di pagare la nostra spesa alla cassa del supermercato, che risponde al nome “codice a barre”.
Chiariamo un punto: non esiste la firma digitale su carta, esiste il trasferimento della firma digitale sul supporto cartaceo, solo riportando la firma digitale in un contesto elettronico, ovverosia ritrasformando il documento cartaceo in un documento elettronico, possiamo controllarne l’autenticità.
Qualsiasi documento oggigiorno nasce digitalmente su un computer …
… ma siccome lo standard/supporto più diffuso e più facile in ambito di creazione, trasmissione e conservazione documentale rimane la carta, esistono tuttora numerose situazioni in cui documenti, dei quali occorra garantire l’autenticità, possano attraversare nel corso del loro ciclo di vita, uno o più passaggi attraverso la carta, in altre parole debbano essere stampati. La carta, a causa di una serie di problematiche non solo tecniche, ma soprattutto organizzative, gestionali ed economiche, difficilmente verrà abbandonata, ci basti pensare a tutti quegli ambiti dove è necessario allegare documentazione “assortita” (proveniente da diverse organizzazioni e dai formati più disparati) a domande, o a richieste da presentare presso enti ed istituzioni, tipicamente banche e PA.
Tutti i documenti timbrati digitalmente sono composti da due elementi fondamentali: il documento di supporto e l’originale contenuto nei glifi/timbro digitale.
Così come per la firma digitale i due momenti che caratterizzano il processo di approvazione e condivisione di un documento sono rappresentati dall’apposizione del timbro/glifo, e dalla sua verifica.
Per timbrare digitalmente un documento elettronico, è necessario disporre di una apposita applicazione server che effettui tutte le operazioni necessarie alla compressione, firma e applicazione dei glifi (timbratura, ndr.) al documento/pagina. I documenti così sigillati/securizzati possono essere inviati via email, pubblicati su un portale, salvati su una chiavetta USB o, stampati su carta.
Per verificare la versione stampata di un documento avremo bisogno di un sistema composto da uno scanner, in grado di acquisire in formato elettronico il documento con il suo timbro, e di un apposito software di visualizzazione (applicazione Windows, o plug-in scaricabile gratuitamente) che sia in grado di estrarre le informazioni contenute nel glifo/timbro digitale, controllare la firma digitale del documento (e relative liste di revoca) e confrontare il documento acquisito (quello che abbiamo davanti ai nostri occhi) con quello orginale, firmato digitalmente, per le necessarie verifiche di autenticità, integrità e non ripudio, tutto questo, ovviamente, in automatico.
In ambito di interoperabilità, il timbro digitale sconta un proliferare di tecnologie e standard (DataMatrix, QrCode, 2D-Plus) alternativi fra loro, che impatta sul processo di verifica, obbligando a dotarsi dei diversi moduli software per la verifica esistenti sul mercato, magari incompatibili tra loro, e senza chiare indicazioni su quale modulo adoperare di volta in volta. Spiragli alla risoluzione del problema si intravedono nella struttura a plug-in, che permettono, a “poco peso” (qualche KB) e senza la necessità di dover riavviare il PC, visualizzazioni di documenti securizzati di, e da, differenti Enti/Società.
Il timbro digitale viene generalmente adottato in contesti dove è necessario securizzare una grande mole di documenti in tempi brevi (certificati anagrafici e di proprietà, cedolini/buste paga, attestati, ricevute di pagamento, ecc.).
Per un maggiore dettaglio su ambiti e modalità di applicazione, tecnologie disponibili, l’offerta di mercato rimandiamo allo studio del CNIPA: Il timbro digitale: una soluzione tecnologica per l’autenticazione di documenti stampati e al Quaderno CONSIP: XI [2006] La firma digitale “su carta” – Applicazione dei codici grafici bidimensionali al cedolino elettronico.
Un ringraziamento a Marco Polsi e Claudio Dosio di LAND per il loro contributo alla stesura di questo post
Ma un dubbio se ho un file PDF firmato digitalmente in formato p7m basterà ottenere il timbro digitale dal file binario passato alla applicazione che crea il qrcode e inserisce il timbro creato nel nuovo file pdf?
La risposta alla domanda richiede un po’ di attenzione in quanto esistono diverse tecnologie per applicare il timbro digitale.
In alcune si può inserire la busta p7m direttamente nel codice a barre (serve la busta completa, non solo la firma!), mentre in altre è necessario rifirmare il documento, incapsulando il tutto in una seconda busta p7m necessaria al processo stesso. Entrambe le soluzioni sono valide ma la seconda fornisce un grado di sicurezza aggiuntiva dovuto alla firma apposta dal processo stesso di timbratura digitale.
Non è invece sufficiente mettere dentro ai codici a barre unicamente la firma digitale estrapolata dal documento in quanto in assenza del resto della busta p7m (documento e certificato pubblico del firmatario) non garantisce alcunché. L’apposizione dei codici a barre su un PDF firmato ne invalida la verifica in ambito digitale, ossia se io firmo un documento PDF e solo dopo appongo i codici a barre andrò a modificare il contenuto binario del documento, di fatto invalidando il processo di verifica del PDF. E’ quindi necessario che il PDF con i codici a barre venga firmato nuovamente.
Alcune tecnologie di timbratura digitale si occupano loro di effettuare questo doppio processo, scaricando di fatto l’utente dal dover pensare lui ad effettuare tutti i passaggi.
Discorso analogo se al posto di firmare il PDF con lo standard p7m si utilizzasse la firma di Adobe.
Claudio