← Back to all articles

Cos'è un pacchetto di prove legali e cosa contiene?

SealDoc Team · · 5 min read

Archiviare un documento non equivale ad avere la prova che il documento sia esistito.

Se un’autorità fiscale, un tribunale o un organismo di regolamentazione ti chiede di dimostrare che una specifica fattura è stata inviata in una data specifica, che un contratto è stato firmato prima di una scadenza, o che un rapporto di conformità è stato depositato nella sua forma originale e non alterata, produrre il documento stesso non è sufficiente. Devi dimostrare che il documento è autentico, non alterato e che il suo timestamp è affidabile.

È ciò che fornisce un pacchetto di prove legali.

Cos’è

Un pacchetto di prove legali è un archivio strutturato che combina un documento con le prove necessarie per verificarlo. Risponde a quattro domande che un documento da solo non può rispondere:

  1. Questo documento esisteva in questo momento?
  2. È stato alterato da allora?
  3. Chi lo ha elaborato, quando e in quale sequenza?
  4. È conforme allo standard o al formato applicabile?

Il pacchetto raggruppa le prove per tutte e quattro le domande in un unico artefatto verificabile.

Cosa contiene

Un pacchetto di prove legali completo contiene almeno:

Il documento stesso in un formato di archiviazione a lungo termine. Per la maggior parte dei casi d’uso di conformità, si tratta di PDF/A-3: un PDF archivistico ISO 19005 che incorpora tutti i font, i profili colore e i dati strutturati, con la garanzia di renderizzarsi in modo identico nei visualizzatori futuri. Un normale PDF non è sufficiente perché i riferimenti a font esterni, JavaScript e risorse collegate possono cambiare o scomparire.

Un timestamp RFC 3161 associato all’hash del documento al momento della creazione. Questo timestamp è emesso da un’autorità di timestamping affidabile e prova che il documento esisteva nella sua forma esatta in un momento specifico. Un timestamp RFC 3161 è l’equivalente tecnico di un timbro postale certificato: è emesso da una terza parte, verificabile offline e non può essere spostato retroattivamente. Una data di modifica del file system non è equivalente; può essere modificata senza lasciare traccia.

Una traccia di audit che registra ogni fase di elaborazione che ha toccato il documento. Ogni voce nella traccia di audit include: il tipo di fase (creato, validato, firmato, archiviato), l’attore, un timestamp e un hash dello stato del documento in quella fase. Le voci sono collegate da una catena di hash, in modo che la manomissione di qualsiasi singola voce invalidi tutte quelle successive.

Un rapporto di validazione che conferma che il documento è conforme allo standard applicabile al momento dell’elaborazione. Per una fattura, si tratta della validazione Schematron EN16931. Per un contratto, può essere un controllo di formato e una validazione dello schema. Il rapporto è incluso nel pacchetto come artefatto strutturato, non solo come indicatore di esito positivo/negativo.

Un manifesto con hash SHA-256 di ogni file nel pacchetto. Questo consente a un revisore di verificare in modo indipendente che nessun file nel pacchetto sia stato sostituito o alterato dalla creazione del pacchetto.

Un Compliance Passport che riassume quanto sopra in forma leggibile dalla macchina e dall’uomo. È l’artefatto che si consegna a un revisore: un unico file che dice “questo documento ha superato questi controlli, è stato timestampato in questo momento e ha questa catena di custodia.”

Quando ne hai bisogno

I requisiti di verifica fiscale variano per paese, ma il modello è coerente in tutta l’UE: il documento deve essere conservato in una forma che ne dimostri l’integrità e ne consenta la verifica. In Germania, il GoBD richiede che i documenti elettronici siano archiviati in modo da prevenire alterazioni successive e consentire la ricostruzione dello stato originale. In Francia, la DGFiP richiede garanzie simili. Nei Paesi Bassi, il Belastingdienst si aspetta che le fatture siano archiviate per sette anni in forma verificabile.

I procedimenti giudiziari hanno requisiti simili. Se una controversia contrattuale arriva al contenzioso, la domanda “questo contratto esisteva in questa forma in questa data” trova risposta nelle prove, non nel contenuto del tuo file server.

Le ispezioni normative (NIS2, GDPR, specifiche di settore: sanità, finanza, assicurazioni) richiedono sempre più prove del processo, non solo dei risultati. Un pacchetto di prove fornisce entrambe.

Cosa non ti dà un documento da solo

Un PDF in una cartella su un file server non ti dice nulla su:

  • Se il PDF esisteva prima di oggi
  • Se è stato modificato dalla creazione
  • Quale elaborazione ha subito prima di essere archiviato
  • Se è conforme a qualsiasi standard applicabile

Tutte queste cose richiedono prove esterne. Un timestamp RFC 3161 stabilisce quando. Una catena di hash stabilisce quale sequenza di eventi si è verificata. Un rapporto di validazione stabilisce la conformità. Il manifesto stabilisce che niente di quanto sopra è stato manomesso.

Senza il pacchetto, hai un documento. Con il pacchetto, hai la prova.

La differenza tra archiviare e attestare

La maggior parte dei sistemi di gestione documentale fornisce l’archiviazione: il documento è conservato in un luogo non facilmente modificabile. L’archiviazione risolve il problema dell’accesso e della conservazione.

Le prove sono diverse. Le prove significano che l’esistenza, la forma e la provenienza del documento possono essere verificate da una parte che non era coinvolta nella sua creazione, utilizzando informazioni che non possono essere manipolate dal custode originale.

Un hash timestampato da un’autorità terza soddisfa questo requisito. Un file archiviato sul tuo server, con i tuoi log di backup e le tue policy di conservazione, no. Non è una distinzione teorica. È la domanda che porrà un revisore.

SealDoc e i pacchetti di prove legali

SealDoc genera un pacchetto di prove legali come output strutturato per ogni documento che elabora. Il pacchetto è un singolo file ZIP contenente il documento PDF/A-3, il token di timestamp RFC 3161, la traccia di audit con catena di hash, il rapporto di validazione e il manifesto. Ogni componente è verificabile dalla macchina senza contattare SealDoc: il timestamp può essere verificato rispetto al certificato pubblico dell’autorità emittente, gli hash possono essere ricalcolati dai file nel pacchetto e la catena della traccia di audit può essere validata localmente.

Se la tua organizzazione deve dimostrare l’integrità dei documenti a un revisore, un regolatore o un tribunale, il pacchetto di prove è l’artefatto che produci. Non richiede ulteriore preparazione perché le prove sono state acquisite nel momento dell’elaborazione.

← Back to all articles