Per firmare digitalmente un documento, il certificato utilizzato per la firma DEVE essere un certificato VALIDO. Nel contesto di FatturaPA, per essere “valido” il certificato DEVE essere stato rilasciato da una “Certification Authority” opportuna (quindi il certificato NON puoi fartelo in casa), E deve essere NON-SCADUTO nel momento in cui lo si utilizza per “apporre” la firma sulla fattura.
Per “NON-SCADUTO” va inteso che la DATA/ORA indicata come “scadenza” all’interno del certificato DEVE essere successiva alla DATA/ORA impostata sul computer dove gira il software di firma. In altri termini, il “NON-SCADUTO” non serve a noi umani… ma serve semplicemente al software che appone la firma.
(…mentre scrivo mi viene in mente il classico caso in cui, in tempi non lontani, magari, ad 8 mesi dalle sue “dimissioni”, si richiamava il vecchio Amministratore Delegato di una azienda e gli si chiedeva “gentilmente” di firmare un documento che… riportava la data di 8 mesi prima)
È ESATTAMENTE per evitare questo (ossia, per dare al processo di firma una data/ora che sia “certificata”/“opponibile a terzi”) che… esiste il concetto di “marcatura temporale”.
La marcatura del “Pacchetto” che va in conservazione serve, appunto, a scolpire sul marmo una data/ora CERTA (relativa all’esistenza dei documenti contenuti nel pacchetto). Affinché ciò possa accadere --se ci pensi bene-- deve trattarsi necessariamente di un processo che coinvolge un soggetto terzo (…uno che si faccia garante del fatto che i suoi orologi non siano come quelli… del computer di cui sopra…) che quindi deve essere “certificato”. Tale certificazione va vista sia dal lato di chi lo abilita a rilasciare “timestamp” che hanno forza di legge (che lo include in appositi elenchi) sia dal lato dell’utente finale che ha bisogno di una marca termporale e vuole essere certo che quella marca arrivi proprio dal soggetto in esame… e non da qualcuno che si e’ “improvvisato” marcatore (…e quindi riconoscendone l’identità attraverso un apposito CERTIFICATO che certificata l’identità di colui che appone la marcatura temporale).
Quindi, quando si parla di MACATURA TEMPORALE di documentiin FIRMATI DIGITALMENTE, i certificati coinvolti sono DUE: quello tuo, che firma il documento, e quello dell’entità che marca (che deve essere risconociuta al momento dell’apposizione della data/ora e deve essere “allegata” al documento “marcato”).
In questo contesto, rispetto alle scadenze dei certificati:
-
quando scade il TUO certificato, i documenti che hai firmato prima della scadenza continuano ad essere perfettamente validi (ossia a riportare una firma “valida”). Semplicemente:
- tu non potrai firmare più NUOVI DOCUMENTI, perche’ il software di firma digitale si rifiutera’ di farlo, in quanto gli si chiederebbe di usare un certificato scaduto (…al netto del problema di sincronizzazione degli orologi);
- coloro che proveranno ad aprire i documenti che tu, storicamente, avevi firmato con il certificato che, ora, è scaduto, si vedranno comparire un messaggio che dice: “Occhio! Il certificato di firma è scaduto”. Questo NON è necessariamente un errore. E’ soltanto un messaggio che ti dice: “Occhio alla data del documento, perche’ se è successiva alla scadenza del certificato, allora la firma è stata apposta in modo invalido; viceversa se la data è antecedente alla scadenza del certificato, allora è tutto a posto”.
-
quando scade il certificato dell’entità che ha apposto la marcatura temporale, valgono le stesse considerazioni di cui sopra:
- se la data del documento è successiva alla data di scadenza del certificato, allora la marcatura è invalida. Viceversa…
- se la data del documento è antecedente alla data di scadenza del certificato, allora il documento è perfettamente “marcato”, anche se sono passati 10 anni dalla scadenza.
Quindi, SINTESI E CONCLUSIONE, quello che ti hanno detto, ossia questo:
è una sciocchezza.
Un saluto,
DV