SHashSigil

Conformità Legale

Conformità eIDAS

Regolamento eIDAS (UE 910/2014)

L'Art. 41 del Regolamento (UE) n. 910/2014 (eIDAS) stabilisce che:

“Ad una marca temporale elettronica non possono essere negati gli effetti giuridici e l'ammissibilita come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perche non soddisfa i requisiti della marca temporale elettronica qualificata.”

Differenza tra timestamp qualificato e non qualificato:

  • Timestamp qualificato: emesso da un prestatore di servizi fiduciari qualificato (QTSP) iscritto in un elenco di fiducia europeo. Gode della presunzione legale di accuratezza della data e dell'ora.
  • Timestamp non qualificato: qualsiasi altra forma di marca temporale elettronica, inclusi i timestamp basati su blockchain. Non gode della presunzione legale automatica, ma non può essere rifiutato come prova.

HashSigil fornisce timestamp non qualificati basati sulla blockchain Bitcoin tramite il protocollo OpenTimestamps. Questi timestamp hanno pieno valore come prova elettronica nei procedimenti legali, sebbene il giudice possa valutarne liberamente l'affidabilita.

La blockchain Bitcoin, essendo un registro pubblico, immutabile e distribuito su scala globale, offre garanzie tecniche di integrita superiori a molti sistemi centralizzati.

Conformità GDPR

Architettura Zero-Knowledge e GDPR

HashSigil e stato progettato con un'architettura zero-knowledge che garantisce la conformita al GDPR by design:

  • Nessun file trasmesso al server: tutto il processing (hashing, firma digitale, generazione del sigillo) avviene interamente nel browser dell'utente. Il server non riceve MAI il file originale.
  • Solo hash crittografici: il server riceve e conserva esclusivamente gli hash crittografici (SHA-256, SHA-512, SHA-3-256). Un hash crittografico e una funzione unidirezionale: e matematicamente impossibile risalire al contenuto originale dall'hash.
  • Gli hash non sono dati personali: secondo le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB), un hash crittografico di un documento non costituisce dato personale, poiche non consente di identificare direttamente o indirettamente una persona fisica.
  • Chiavi crittografiche criptate: la chiave privata dell'utente e sempre conservata in forma criptata (AES-256-GCM) e può essere decifrata solo dall'utente con la propria password.
  • Minimizzazione dei dati: vengono raccolti solo i metadati strettamente necessari (nome file, dimensione, tipo MIME) e gli hash crittografici.

Valore Probatorio

Valore Probatorio

Un certificato HashSigil può essere presentato come prova in sede giudiziaria seguendo questi passi:

  1. Presentare il documento originale insieme al certificato HashSigil (PDF con il sigillo integrato o ZIP con il file originale e il certificato).
  2. Indicare il Seal ID che permette la verifica indipendente tramite la piattaforma HashSigil o direttamente sulla blockchain Bitcoin.
  3. Verificare la catena di custodia: ogni verifica del documento e registrata con data, risultato e hash dell'user agent, creando un audit trail completo.
  4. Conferma blockchain: una volta che il timestamp e confermato sulla blockchain Bitcoin, il dato e ancorato a un blocco specifico con un numero di conferme che cresce nel tempo, rendendo la prova progressivamente piu forte.

Precedenti giurisprudenziali: numerosi tribunali europei e internazionali hanno accettato prove basate su blockchain. La Corte di Giustizia dell'UE e vari tribunali nazionali riconoscono il valore probatorio dei timestamp elettronici conformi all'Art. 41 eIDAS.

Open Source e Trasparenza

Open Source e Trasparenza

  • Il protocollo OpenTimestamps e completamente open source e verificabile da chiunque.
  • La blockchain Bitcoin e un registro pubblico, distribuito e immutabile, accessibile a chiunque.
  • Qualsiasi terza parte può verificare indipendentemente un sigillo HashSigil ricalcolando gli hash del documento e confrontandoli con quelli registrati.
  • Non esiste un singolo punto di fallimento: anche se HashSigil cessasse di esistere, i timestamp sulla blockchain Bitcoin rimarrebbero verificabili per sempre.

Sistema di Identificazione

Sistema di Identificazione

HashSigil identifica i certificatori attraverso il codice fiscale (per le persone fisiche) e la partita IVA (per enti e aziende), in conformità con la normativa italiana e il GDPR.

Hashing dei Dati Identificativi

I dati identificativi (codice fiscale, partita IVA) non vengono mai salvati in chiaro. Il sistema conserva esclusivamente l'hash SHA-256, una funzione crittografica unidirezionale che rende impossibile risalire al dato originale.

Autocertificazione DPR 445/2000

Al momento della registrazione, ogni utente rilascia un'autocertificazione ai sensi del DPR 445/2000, assumendosi la responsabilità penale della veridicità dei propri dati identificativi.

Come Verificare l'Identita del Certificatore

Un terzo può verificare l'identità del certificatore chiedendo il codice fiscale o la partita IVA e calcolando l'hash SHA-256: se corrisponde a quello registrato nel sigillo, l'identità è matematicamente provata.

  1. Richiedere al certificatore il proprio codice fiscale (persona fisica) o partita IVA (ente/azienda).
  2. Calcolare l'hash SHA-256 del dato (convertito in maiuscolo, senza spazi).
  3. Confrontare l'hash ottenuto con quello riportato nel sigillo HashSigil.
  4. Se corrispondono, l'identita del certificatore e matematicamente provata.

Conformita GDPR

Questo sistema è conforme al GDPR (Regolamento UE 2016/679) in quanto non conserva dati personali in chiaro. L'hash SHA-256 è considerato una pseudonimizzazione irreversibile.