Catena di custodia per i documenti digitali: cosa richiedono realmente revisori e autorità fiscali
Le prove fisiche hanno una catena di custodia: un registro di ogni persona che le ha gestite, quando e perché. La catena dimostra che la prova non è stata manomessa tra la raccolta e la presentazione. I tribunali rifiutano di ammettere prove fisiche senza di essa.
I documenti digitali hanno lo stesso problema e, nella maggior parte delle giurisdizioni dell’UE, lo stesso requisito. La domanda non è se il documento è archiviato da qualche parte. La domanda è se si può dimostrare cosa gli è accaduto tra la creazione e oggi.
Cosa significa catena di custodia per un documento
La catena di custodia per un documento digitale significa essere in grado di dimostrare:
- Il documento è stato creato in un momento specifico
- Ogni successiva modifica, fase di elaborazione, conversione o trasmissione è stata registrata
- Ogni fase è attribuibile a un attore specifico (persona, sistema, servizio)
- Nessuna fase è stata omessa o alterata a posteriori
- Il documento presentato oggi è lo stesso documento che ha attraversato quelle fasi
Per un oggetto fisico, la custodia è stabilita da passaggi di mano fisici. Per un documento digitale, è stabilita da prove crittografiche: hash, timestamp e voci di audit firmate.
Cosa richiedono le autorità fiscali dell’UE
I requisiti variano da paese a paese ma condividono una struttura comune.
Germania (GoBD): I Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern stabiliscono che i documenti archiviati elettronicamente devono essere protetti da alterazioni, devono essere reperibili e lo stato originale deve essere ricostruibile. La parola chiave è “Unveränderbarkeit” (immutabilità): i documenti devono essere archiviati in modo che le modifiche successive siano tecnicamente impedite o almeno rilevabili. La GoBD richiede inoltre che il processo di archiviazione stesso sia documentato, il che significa che la catena dal documento originale all’archivio deve essere tracciabile.
Francia (DGFiP): La Direction Générale des Finances Publiques richiede che le fatture elettroniche siano conservate nella loro forma originale, con l’integrità garantita da un mezzo tecnico. Per le fatture ricevute in formato PDF o ibrido, la garanzia di integrità deve coprire l’intero periodo di conservazione (sei anni per i documenti contabili, dieci anni per i contratti).
Paesi Bassi (Belastingdienst): Il requisito è una conservazione di sette anni con verificabilità. Le linee guida della Belastingdienst sull’archiviazione elettronica stabiliscono esplicitamente che un documento deve essere riproducibile in forma leggibile e che l’integrità del documento deve essere dimostrabile.
Belgio: L’Autorità fiscale federale si allinea alla Direttiva UE 2006/112/CE: devono essere garantite l’autenticità dell’origine, l’integrità del contenuto e la leggibilità. I mezzi tecnici (EDI, firma elettronica o audit trail) devono essere documentati.
Il filo conduttore: archiviare il documento non è sufficiente. È necessario archiviare anche la prova dell’integrità.
Cosa cercano effettivamente i revisori
Quando un revisore richiede un documento, in genere vuole accertare:
- Il documento è autentico (non fabbricato a posteriori)
- Il documento non è stato alterato dalla sua creazione o ricezione
- Il documento è stato elaborato in modo coerente con le procedure dichiarate
Per gli audit fiscali, i primi due punti sono centrali. Per gli audit di conformità (GDPR, NIS2, settore specifico), il terzo è spesso ugualmente importante.
I revisori, in generale, non accettano risposte basate sulla fiducia. Cercano controlli tecnici che rendano rilevabili la fabbricazione o l’alterazione. I controlli che li soddisfano sono:
Timestamp immutabili da una terza parte fidata. Un timestamp generato da sé stessi non è una prova indipendente. Un timestamp da un’autorità fidata (una TSA qualificata RFC 3161) lo è. Vedere timestamp RFC 3161 spiegati per capire come funziona nella pratica.
Audit log che non possono essere modificati retroattivamente. Un file di log sul proprio server, accessibile solo a sé stessi, non è una prova indipendente. Una traccia di audit in cui ogni voce è crittograficamente collegata alla precedente (una catena di hash) significa che qualsiasi modifica a una voce passata invalida tutte le voci successive. Un revisore può verificare questo localmente.
Documentazione sulla conformità del formato. Se si afferma che una fattura era conforme a EN16931 alla data di invio, è necessario disporre del rapporto di validazione di quella data, non di una validazione eseguita oggi. Il rapporto deve essere conservato insieme al documento.
Il meccanismo della catena di hash
Una catena di hash implementa una traccia di audit a prova di manomissione. Ogni voce contiene:
- I dati dell’evento (cosa è accaduto, chi, quando)
- L’hash del documento in quel momento
- L’hash della voce precedente
Entry 1: {event: "created", actor: "api:tenant-1", time: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
entryHash: sha256(Entry 1 data) = "sha256:7c2..."
Entry 2: {event: "validated", actor: "system", time: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
entryHash: sha256(Entry 2 data) = "sha256:b19..."
Entry 3: {event: "timestamped", actor: "tsa:qualified-eu", time: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
entryHash: sha256(Entry 3 data) = "sha256:f44..."Se qualcuno altera la voce 2 (ad esempio per cambiare l’attore o l’ora), l’hash della voce 2 cambia. Il prevHash nella voce 3 non corrisponde più. La catena è spezzata. Un revisore che calcola la catena dalla voce 1 rileverà l’incoerenza.
Questo è lo stesso principio utilizzato nella blockchain, ma applicato alle tracce di audit dei documenti senza l’overhead di un registro distribuito. La catena è lineare, deterministica e verificabile con un’implementazione SHA-256.
Il divario tra “archiviato” e “documentato”
La maggior parte dei sistemi di gestione documentale fornisce archiviazione con controlli di accesso. Alcuni forniscono la cronologia delle versioni. Pochi forniscono prove.
Il divario è: un sistema in cui solo si controlla l’audit log non fornisce prove indipendenti dell’integrità di quell’audit log. Se si possono eliminare o modificare le voci del log, un revisore scettico non può fare affidamento sul log.
I meccanismi che colmano il divario sono l’ancoraggio esterno (un timestamp RFC 3161 qualificato da una TSA che non si gestisce), l’integrità della catena di hash (in modo che la modifica del log sia rilevabile) e l’archiviazione a livello di formato (PDF/A-3 in modo che il documento non si degradi o si visualizzi in modo diverso nel tempo).
Questi sono i componenti di un Legal Evidence Pack. Il pacchetto è l’unità di prova che si produce quando un revisore chiede di vedere un documento.
Periodi di conservazione per tipo di documento (panoramica UE)
| Tipo di documento | Periodo di conservazione | Giurisdizione chiave |
|---|---|---|
| Fatture IVA | 7 anni | Germania (GoBD), Paesi Bassi |
| Fatture IVA | 10 anni | Francia, Belgio |
| Contratti | 10 anni (commerciale) | La maggior parte degli Stati membri UE |
| Documenti del personale | Durata del rapporto + 5-10 anni | Varia per paese |
| Documenti contabili | 10 anni | La maggior parte degli Stati membri UE |
| Documenti medici | 10-30 anni | Varia significativamente |
| Appalti pubblici | 5-10 anni dopo la chiusura del contratto | Direttiva UE 2014/24/EU |
Il periodo di conservazione inizia in momenti diversi a seconda del tipo di documento e della giurisdizione. Per le fatture, in genere inizia dalla fine dell’anno fiscale in cui la fattura è stata emessa, non dalla data della fattura.
SealDoc e la catena di custodia
SealDoc registra una traccia di audit con catena di hash per ogni documento che passa attraverso la sua pipeline. La catena inizia alla creazione del documento, include ogni fase di elaborazione (validazione, conversione, firma, archiviazione) ed è ancorata con un timestamp RFC 3161 da una TSA qualificata dell’UE.
La traccia di audit viene esportata come parte del Legal Evidence Pack. Ogni voce è verificabile meccanicamente indipendentemente dai sistemi di SealDoc. Se la propria organizzazione conserva i documenti per dieci anni e SealDoc non esiste più all’ottavo anno, il pacchetto di prove rimane verificabile indipendentemente: la catena è calcolata dagli hash del documento e il timestamp RFC 3161 viene verificato rispetto al certificato pubblico della TSA, che è di pubblico dominio.
Quella indipendenza è il punto. Le prove che dipendono dalla continuità operativa dell’emittente non sono prove affidabili a lungo termine.