Spesso la conservazione sostitutiva è affidata ad un responsabile della conservazione esterno, il quale ha il compito di gestire l’archivio dei documenti informatici, senza alcun vincolo sulle procedure da utilizzare a tal fine, ad eccezione dell’obbligo di garantire la loro tracciabilità, nonché l’integrità e la possibilità di accesso continuo ai contenuti. L’intero processo di document management fin qui descritto è basato su un sistema di firma digitale, cioè sull’apposizione di un “marchio digitale” che fornisca la certezza della data di creazione, dell’origine e dell’immutabilità del documento.
Per apporre la firma digitale occorre dotarsi di un dispositivo elettronico, contenente al suo interno il certificato di sottoscrizione, cioè un file generato in base agli standard legislativi, che contiene informazioni relative all’identità del titolare e al periodo di validità del certificato stesso. Il certificato di sottoscrizione ha una durata determinata: il documento informatico firmato digitalmente, tuttavia, può avere una validità temporale che si protrae oltre la scadenza del certificato. In questi casi, al fine di prolungare la validità temporale del documento, si utilizza la marca temporale, cioè un sistema in grado di garantire che la formazione di un documento sia avvenuta in un determinato arco temporale.
La titolarità della firma digitale è garantita dagli enti certificatori (ad esempio Poste Italiane), ossia soggetti dotati di particolari requisiti ed accreditati presso il CNIPA: il loro compito è tenere i registri attraverso i quali è possibile verificare l’identità del firmatario di un documento elettronico.
Il DPCM 12 ottobre 2007 e la problematica degli Hardware Security Modules
La firma digitale è apposta attraverso un particolare dispositivo, che deve essere adeguato ad articolati standard di sicurezza, i quali fanno capo alla direttiva europea 1999/93/CE, recepita nel nostro Paese dal Codice dell’Amministrazione Digitale (d. lgs. 82/2005). I dispositivi attualmente in commercio sono di due tipi: ve ne sono di alcuni capaci di apporre la firma digitale documento per documento, creando la necessità di inserire un codice d’accesso (PIN) ogni volta che il dispositivo intervenga su un nuovo documento; ve ne sono invece altri di ultima generazione, detti Hardware Security Modules (HSM), in grado di certificare un gran numero di documenti contemporaneamente.
