On 25/07/25 22:38, Leonardo Boselli wrote:
On Fri, 25 Jul 2025, Piviul wrote:
Quindi un utente che ha una casella PEC presso un provider
configurata in pop togliendo il flag "lascia i messaggi sul server"
si ritrova con una pec senza valore legale (o almeno non legale dopo
che sono passati i 30 mesi di obbligo del provider di tenere i logs
dei messaggi inviati)?
Il problema è di tipo diverso: la firma del provider come tutte le
firme digitali non è valida all'infinito ma ha una scadenza,
tipicamante questa
scadenza è di 3 anni. e questa scade comunque, dovunque sia il documento.
Quello che vogliono venderti, a pagamento è la marca temporale, che è
un tipo di controfirma che da una parte valida anche il momento in cui
vien apposta e dall'altro usa un certificato di livello superiore,.
conservato da più oraganizzazioni, di durata di 20 anni.
Una volta che il file è marcato temporalmente (e nella marca sono
indicate anche le verifiche di validità delle firme) acquista la
validità maggiore, dovunque si trovi.
ho ancora parecchi dubbi... parliamo di firma o del certificato
utilizzato per la firma? Il certificato inevitabilmente scadrà, ma non
riesco a capire come la firma possa invalidarsi nel tempo. Se io appongo
una marca temporale con il certificato pubblico posso validarla, se
appongo una firma ad una mail (allegati inclusi) con il certificato
pubblico posso validarla; quindi rimane solo da dimostrare che quei
certificati pubblici (della marca temporale e del firmatario) fossero
validi nel periodo preciso in cui la firma è stata posta. Non sarebbe
sufficiente obbligare i provider a tenere la storia dei loro certificati
pubblici e il cerchio si chiude: dove sbaglio?
Piviul