SignNTrack – Swiss E-Signature Software & Document Management

Log in

Prove necessarie per una e-signature – Checklist completa

Quali prove raccogliere e conservare per validare una firma digitale: dal file originale ai certificati, dall’audit trail alla marca temporale, fino all’identificazione del firmatario.

Aggiornato: Tempo di lettura: ~9 min

Affinché una firma elettronica sia difendibile in azienda o in giudizio, occorre un set coerente di evidenze che provino identità, integrità e tracciabilità. Le prove variano per livello di firma (SES/AES/QES) e contesto normativo (eIDAS in UE, ZertES in CH).

Checklist essenziale di ciò che devi conservare

  • Originale firmato (PDF PAdES o pacchetto XAdES/CAdES) con firme visibili e dati di verifica.
  • Certificati del firmatario e catena di fiducia; stato OCSP/CRL alla data di firma.
  • Marca temporale e hash del documento.
  • Audit trail completo (invio, accesso, OTP, firma, IP, user agent, recapiti).
  • Prove di identificazione (KYC/eID/ID check, risultati e riferimenti).
  • Prove di consegna e notifica (email/SMS con esiti, recapiti validati).
  • Policy applicate al momento della firma (signing policy, retention, privacy).

Prove tecniche: file, certificati, timestamp

  • File originale: conserva l’esatto documento firmato; evita ristampe/scansioni.
  • Formati di firma: PAdES (PDF), XAdES (XML), CAdES (CMS). Includi riferimenti a TSA, algoritmi e digest.
  • Catena certificati: firmatario → intermedio → radice; allega estratti e OCSP/CRL della data di firma.
  • Marca temporale: dimostra la data certa e previene antedatazioni.
  • Sigilli e controfirme della piattaforma (se presenti) per garantire integrità dell’audit trail.

Prove di identità & consenso

La robustezza cambia per livello:

  • SES: email/telefono verificati, link univoci, eventuale OTP; consensi espliciti tracciati.
  • AES: ID check/eID, strong binding del firmatario al mezzo di firma.
  • QES: certificato qualificato e identificazione forte presso QTSP.

Conserva copie/estratti (oscurando dati non necessari) e riferimento al metodo usato.

Prove di processo: audit trail

Un audit trail completo collega l’identità alla firma e all’oggetto firmato. Deve includere:

  • Eventi: invio, apertura, autenticazione, posa firma, completamento.
  • Parametri: IP, user agent, token/sessioni, OTP, esiti recapito.
  • Riferimenti: hash del documento firmato, ID pratica, ruoli, sequenza firme.

Integra l’audit trail nel fascicolo e sigillalo (firma/ timestamp) per evitare manipolazioni. Vedi audit trail & conformità.

Conservazione a lungo termine (LTV) & verifiche periodiche

  • PAdES-LTV o profili equivalenti con revocation info incorporata.
  • Rinnovi di marca temporale quando algoritmi/chiavi invecchiano.
  • Controlli periodici di verificabilità (catene, OCSP/CRL, integrità archivi).
  • Retention coerente con GDPR/DSG e con obblighi di settore.

Come verificare passo-passo

  1. Apri l’originale firmato (PAdES/XAdES/CAdES) e controlla le firme.
  2. Valida catena certificati e stato OCSP/CRL alla data di firma.
  3. Conferma marca temporale e l’hash del documento.
  4. Abbina audit trail a identità e documento (ID pratica, hash, ruoli, orari).
  5. Verifica la policy applicata e l’adeguatezza del livello (SES/AES/QES).
  6. Redigi un report di verifica firmato e archivialo con il fascicolo.

Best practice operative

  1. Matrice rischio-documento e scelta livello: vedi SES vs AES vs QES.
  2. Identificazione coerente con rischio e forma scritta.
  3. Audit trail & timestamp sempre attivi e sigillati.
  4. Conservazione LTV con profili e rinnovi di marca.
  5. Privacy by design e minimizzazione: vedi GDPR e firme elettroniche.

FAQ – Prove per firme elettroniche

Qual è la prova più importante per una e-signature?

L’originale firmato con certificati e marca temporale, correlato a un audit trail completo che leghi identità, documento e momento della firma.

Devo conservare anche le risposte OCSP/CRL?

Sì. Le evidenze OCSP/CRL alla data di firma dimostrano che il certificato era valido. Nei profili LTV sono spesso incorporate nel documento.

Basta la SES per avere prove sufficienti?

Per atti a basso rischio sì, se supportata da log, OTP e hash. Per maggior forza probatoria usa AES o QES con identificazione più forte.

Come dimostro la consegna del documento al firmatario?

Tramite evidenze di invio/recapito (email/SMS), link tracciati, orari di apertura e IP. Includi questi dati nell’audit trail e nelle notifiche conservate.

Raccogli e conserva le prove in modo a prova di audit

Con SignnTrack ottieni originale firmato, audit trail sigillato, timestamp e profili LTV pronti per verifiche interne e giudiziarie.

Prova gratuita

In sintesi: la validità di una e-signature si fonda su file originale, certificati/OCSP-CRL, marca temporale, audit trail e prove di identità. La conservazione LTV rende le firme verificabili nel tempo.