Fabrizio Nuzzo ha scritto: in data 30/06/2014 16:38: > Salve a tutti, > sono un programmatore freelance. Un mio cliente mi ha chiesto di > progettare e realizzare una piattaforma che a livello funzionale > permetta l'upload dei dati e certifichi principalmente l'autorevolezza > del mittente e l'integrità del dato. > Vi descrivo il mio progetto, fortemente contestato > dall'Avvocato incaricato di dare il nulla osta al processo in questione. > > _Premessa_ > - Registrazione tramite form con possibilità di finalizzare la > registrazione tramite link inviato ad email certificata o no; > - ogni connessione con la piattaforma è sicura (https) > -Ogni account è associato univocamente ad una PEC o un email. > > _Processo di upload del file da parte di un utente_ > 1) si autentica alla piattaforma; > 2) effettuo l'upload tramite semplice form (utilizzando https); > 3) una volta finito l'upload, la piattaforma calcola il digest > utilizzando una o più funzioni di HASH (MD-5 e SHA-2) > e salva nel suo database quest'informazione; > 4) la piattaforma genera un _documento_ che attesta data e ora > dell'invio, nome del file, dimensione e i digest ottenuti dalle > funzioni di hash; > 5) L'utente riceve il _documento_ di upload via email o PEC. > > _Considerazioni mie personali_ > L'utente che ha ricevuto *tramite PEC* il documento che certifica > l'avvenuto upload e registrazione del file: > - può verificare a sua volta se il file uplodato è uguale a quello > presente nel suo pc applicando le stesse funzioni di hash; vero ma qualcuno potrebbe anche creare contestazioni inverse rispetto a quello che ti indica l'avvocato. il sistema di invio deve generare hash prima e dopo la transazione e riportare questi dati sul documento di ricevuta.
> - ha prova valida ai fini legali che in tale data ha inviato quel > determinato file alla piattaforma. l'uso della pec certifica in un certo senso la data di operazione, nel senso che al massimo non oltre quel momento è avvenuta l'operazione . > > L'utente che ha ricevuto *tramite email* il documento che certifica > l'avvenuto upload e registrazione del file: > - può verificare a sua volta se il file uplodato è uguale a quello > presente nel suo pc applicando le stesse funzioni di hash; vero ma scomodo , meglio che tali attività siano fatte in automatico dal sistema. > - ha una prova NON valida ai fini legali che in tale data ha inviato > quel determinato file alla piattaforma. > parlare di valore legale in senso stretto è errato, la validità legale è dipendente da tante cose e da diversi contesti. se quello che vuoi ottenere è una certificazione di avvenuta operazione allora si , questa è vera, la sua validità è sicuramente superiore a quella data da un timbro apposto su un foglio , perché nel processo esiste almeno un soggetto terzo che è idoneo a certificare il dato temporale. Se invece della pec tu usassi una marca temporale avresti lo stesso risultato, ovvero sia : "a quel tempo ho detto di aver fatto questo". > _Considerazioni dell'Avvocato_ > Si contesta il fatto che il digest viene calcolato lato server (post > upload) quindi, in sede legale, un utente potrebbe accusare gli > amministratori della piattaforma di aver alterato il file. > al di la della sede è una contestazione condivisibile. rino * *
