Audit trail & conformità
Cos’è l’audit trail nelle firme elettroniche, quali evidenze deve contenere e come garantirne integrità, tracciabilità e valore probatorio secondo ZertES/eIDAS e GDPR.
L’audit trail è il registro degli eventi che documenta tutto il ciclo di vita di una firma elettronica. È cruciale per la forza probatoria e la conformità, perché consente di dimostrare identità del firmatario, integrità del documento e consenso in modo verificabile.
Componenti chiave dell’audit trail
- Eventi: invio, apertura, autenticazioni, posizionamento firma, esito, download.
- Metadati: orari (timestamp), IP, user agent, geolocalizzazione se pertinente.
- Identità: metodo (OTP, eID, video‑ID, Bank‑ID), esiti e riferimenti KYC.
- Prove crittografiche: hash documento, certificati, catena CA, marcature temporali.
- Contesto: versione del documento firmato, campi compilati, policy applicata.
- Esiti: successo/fallimento, motivi, codici di errore e revoche.
Requisiti legali: ZertES/eIDAS & GDPR/DSG
- ZertES/eIDAS: per QES, registro di eventi e certificati qualificati; per AES, evidenze sufficienti a collegare univocamente firmatario e documento.
- GDPR/DSG: basi giuridiche, minimizzazione dati, informative e diritti degli interessati.
- Conservazione: policy chiare su retention e cancellazione sicura; disponibilità per audit/forense.
Integrità: hash, firme e timestamp
- Hash a prova di manomissione del PDF/archivio.
- Timestamp affidabili (preferibilmente qualificati per QES).
- Certificati: verifica catena, CRL/OCSP, algoritmi sicuri.
- Sigilli organizzativi e controfirma del report.
Immutabilità & WORM/chain‑of‑custody
Conserva l’audit trail su storage WORM/immutabile con versioning e controlli d’accesso. Mantieni una chain‑of‑custody completa: chi ha avuto accesso, quando e con quali permessi.
Verifica e conservazione delle prove
- Genera e allega il report di verifica (hash, certificati, timestamp, eventi).
- Conserva PDF firmato + report + audit trail nel DMS.
- Automatizza verifiche periodiche di validità dei certificati.
- Prevedi e‑discovery e procedure di esibizione in giudizio.
Retention & access management
- Definisci tempi di conservazione per documento/log (OR, fiscalità, settoriale).
- Applica least privilege, SSO/2FA e segregazione dei ruoli.
- Logga anche gli accessi ai log (meta‑audit).
Best practice operative
- Policy di firma per documento: mappa quando usare SES, AES o QES.
- Template con campi obbligatori e ordine firmatari.
- Verifiche ex‑ante/periodiche di certificati e timestamp; alert su revoche/scadenze.
- Archiviazione su storage immutabile; backup + DR con RPO/RTO definiti.
- Privacy: minimizzazione, DPA e registro trattamenti (GDPR).
Errori comuni
- Non conservare l’audit trail insieme al PDF firmato.
- Assenza di timestamp o certificati non verificabili.
- Log modificabili o privi di chain‑of‑custody.
- Retention non definita o superiore al necessario (rischio privacy).
Contenuti correlati
FAQ – Audit trail & conformità
Quali elementi non possono mancare in un audit trail?
Eventi completi (invio‑firma‑esito), timestamp, IP/user‑agent, metodo d’identità, hash e certificati, più report di verifica.
Come rendo i log a prova di manomissione?
Usa storage WORM/immutabile, hash‑chaining, sigilli e timestamp affidabili, controlli di accesso e audit degli accessi.
Quanto tempo devo conservare i log?
Dipende dal tipo di documento e dalle norme (OR, fiscali, settoriali). Definisci una retention per log e documenti firmati, con cancellazione sicura a scadenza.
Serve un timestamp qualificato?
È raccomandato per QES e per rafforzare la prova del momento di firma; aumenta la difendibilità in giudizio.
Metti a norma il tuo audit trail
Con SignnTrack conservi PDF, report di verifica e log immutabili con timestamp e controlli di accesso per audit interni ed esterni.
Prova gratuitaIn sintesi: un audit trail completo, immutabile e verificabile è la spina dorsale della difendibilità delle firme digitali. Definisci policy, automatizza verifiche e custodisci le evidenze in modo sicuro e conforme.