Ciao a tutti, tempo fa in una casella PEC che si riempiva e che veniva consultata da più utenti, ho pensato di scaricarla in pop su una casella dedicata del nostro mailserver su cui faccio regolarmente il backup. Poi
ho configurato thunderbird che si connetta in IMAP a questa casella e
che invii la posta utilizzando invece il mailserver della PEC. Ora mi
dicono che se scarico la PEC in pop questa non è più valida nel tempo
perché quando scade il certificato (quale certificato non l'ho capito)
poi l'integrità del messaggio non può più essere garantita perché
appunto verificata con un certificato non valido. A me a logica non
torna, a voi? Come riferimento mi dicono di cercare "archiviazione PEC"
ed in effetti si trovano un sacco di aziende che si offrono di
archiviarle per te sottolineando che è il solo modo per archiviarle
mantenendo la loro validità legale.

Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in locale nel tempo non sono più valide?

Grazie

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

La archiviazione PEC è una archiviazione fatta allegando al messggio una
marca temporale gestita da una parte terza che certifica che al momento
della apposizione la firma era valida.
Per il resto che lo archivi sul tuo server (purché compelto) o sul sewrver
pec null'altro cambia.
il certificato che scade è il certificato di firma.


On Wed, 23 Jul 2025, Piviul wrote:

Ciao a tutti, tempo fa in una casella PEC che si riempiva e che veniva consultata da più utenti, ho pensato di scaricarla in pop su una casella dedicata del nostro mailserver su cui faccio regolarmente il backup. Poi ho configurato thunderbird che si connetta in IMAP a questa casella e che invii la posta utilizzando invece il mailserver della PEC. Ora mi dicono che se scarico la PEC in pop questa non è più valida nel tempo perché quando scade
il certificato (quale certificato non l'ho capito) poi l'integrità del messaggio non può più essere garantita perché appunto verificata con un certificato non valido. A me a logica non torna, a voi? Come riferimento mi dicono di cercare "archiviazione PEC" ed in effetti si trovano un sacco di aziende che si offrono di archiviarle per te sottolineando che è il solo modo
per archiviarle mantenendo la loro validità legale.

Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in locale
nel tempo non sono più valide?

Grazie

Piviul

--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it
tel:+393287329225

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Il 23/07/25 19:55, Leonardo Boselli ha scritto:

La archiviazione PEC è una archiviazione fatta allegando al messggio
una marca temporale gestita da una parte terza che certifica che al
momento della apposizione la firma era valida.
Per il resto che lo archivi sul tuo server (purché compelto) o sul
sewrver pec null'altro cambia.
il certificato che scade è il certificato di firma.

Grazie Leonardo, scusa se insisto ma non ho ancora ben capito. Quindi i messaggi su una casella di un mailserver che scarica la posta in pop di
una casella PEC è un metodo di archiviazione/conservazione
giuridicamente valido?

Te lo chiedo perché ad esempio qua[¹] dicono:

La conservazione delle Pec a norma di legge deve avvenire a cura di
appositi *soggetti qualificati*, muniti della qualifica di
«*Conservatore*» attribuita dall’AGID dopo aver accertato il possesso
dei necessari requisiti e standard tecnici.

Di regola, i /*provider* /autorizzati ad operare in Italia per la trasmissione, ricezione e gestione delle Pec sono Conservatori
autorizzati dall’AGID e sono, pertanto, in grado di “sigillare” i messaggi Pec attribuendo loro anche la certezza sull’epoca dell’invio
o di ricezione inserendovi un’apposita *marca temporale*.

Ma la marca temporale la trovo come allegato in tutti i messaggi PEC
ricevuti? Forse è inclusa nell'allegato daticert.xml che vedo sempre
aggiunto ad ogni messaggio PEC? E invece per la posta inviata?
Certamente ricevo le ricevute di accettazione e consegna ma come si fa
ad essere certi che la ricevuta sia proprio del messaggio che ho nella
posta inviata?

Poi andando avanti sempre in [¹] leggo:

In tutti i casi, come ricorda l’AGID, «al fine di garantire l’autenticità, l’integrità, l’affidabilità, la leggibilità e la reperibilità dei documenti, i fornitori di servizi di conservazione
devono possedere requisiti di elevato livello in termini di qualità e sicurezza in aderenza allo *standard ISO/IEC 27001* (Information
security management systems -Requirements) del sistema di gestione
della sicurezza delle informazioni nel dominio logico, fisico e
organizzativo nel quale viene realizzato il processo di conservazione
e*ISO 14721 OAIS* (Open Archival Information System – Sistema
informativo aperto per l’archiviazione), e alle *raccomandazioni ETSI
TS 101 533-1 v. 1.2.1*, Requisiti per realizzare e gestire sistemi
sicuri e affidabili per la conservazione elettronica delle
informazioni».

Quindi quand'anche  la mia casella POP sia conforme ai requisiti AGID di conservazione poi però per essere valida giuridicamente dobbiamo essere certificarti ISO 27001?

Grazie mille

Piviul

[¹] https://www.laleggepertutti.it/694386_come-conservare-legalmente-le-pec#Come_conservare_le_Pec_a_norma_di_legge


<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">Il 23/07/25 19:55, Leonardo Boselli ha
scritto:<br>
</div>
<blockquote type="cite"
cite="mid:142a3dfd-f017-1f51-0fd1-b6e2557abddd@trail.it">La
archiviazione PEC è una archiviazione fatta allegando al messggio
una marca temporale gestita da una parte terza che certifica che
al momento della apposizione la firma era valida.
<br>
Per il resto che lo archivi sul tuo server (purché compelto) o sul
sewrver pec null'altro cambia.
<br>
il certificato che scade è il certificato di firma.
<br>
</blockquote>
<p>Grazie Leonardo, scusa se insisto ma non ho ancora ben capito.
Quindi i messaggi su una casella di un mailserver che scarica la
posta in pop di una casella PEC è un metodo di
archiviazione/conservazione giuridicamente valido? </p>
<p>Te lo chiedo perché ad esempio qua[¹] dicono:</p>
<p> </p>
<blockquote type="cite">
<p>La conservazione delle Pec a norma di legge deve avvenire a
cura di appositi <strong>soggetti qualificati</strong>, muniti
della qualifica di «<strong>Conservatore</strong>» attribuita
dall’AGID dopo aver accertato il possesso dei necessari
requisiti e standard tecnici.</p>
<p>Di regola, i <em><strong>provider</strong> </em>autorizzati
ad operare in Italia per la trasmissione, ricezione e gestione
delle Pec sono Conservatori autorizzati dall’AGID e sono,
pertanto, in grado di “sigillare” i messaggi Pec attribuendo
loro anche la certezza sull’epoca dell’invio o di ricezione
inserendovi un’apposita <strong>marca temporale</strong>.</p>
</blockquote>
<p></p>
<p>Ma la marca temporale la trovo come allegato in tutti i messaggi
PEC ricevuti? Forse è inclusa nell'allegato daticert.xml che vedo
sempre aggiunto ad ogni messaggio PEC? E invece per la posta
inviata? Certamente ricevo le ricevute di accettazione e consegna
ma come si fa ad essere certi che la ricevuta sia proprio del
messaggio che ho nella posta inviata?</p>
<p>Poi andando avanti sempre in [¹] leggo:</p>
<p> </p>
<blockquote type="cite">In tutti i casi, come ricorda l’AGID, «al
fine di garantire l’autenticità, l’integrità, l’affidabilità, la
leggibilità e la reperibilità dei documenti, i fornitori di
servizi di conservazione devono possedere requisiti di elevato
livello in termini di qualità e sicurezza in aderenza allo <strong>standard
ISO/IEC 27001</strong> (Information security management systems
-Requirements) del sistema di gestione della sicurezza delle
informazioni nel dominio logico, fisico e organizzativo nel quale
viene realizzato il processo di conservazione e<strong> ISO 14721
OAIS</strong> (Open Archival Information System – Sistema
informativo aperto per l’archiviazione), e alle <strong>raccomandazioni
ETSI TS 101 533-1 v. 1.2.1</strong>, Requisiti per realizzare e
gestire sistemi sicuri e affidabili per la conservazione
elettronica delle<br>
informazioni».</blockquote>
Quindi quand'anche  la mia casella POP sia conforme ai requisiti
AGID di conservazione poi però per essere valida giuridicamente
dobbiamo essere certificarti ISO 27001?
<p></p>
<p>Grazie mille</p>
<p>Piviul</p>
<p>[¹] 
<a class="moz-txt-link-freetext" href="https://www.laleggepertutti.it/694386_come-conservare-legalmente-le-pec#Come_conservare_le_Pec_a_norma_di_legge">https://www.laleggepertutti.it/694386_come-conservare-legalmente-le-pec#Come_conservare_le_Pec_a_norma_
di_legge</a><br>
</p>
<div class="moz-cite-prefix"><br>
</div>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 25/07/25 08:53, Luca Alzetta ha scritto:

Si, per i documenti con valore legale il nodo è sull'integrità e l' affidabilità che devi garantire verso terzi. Perché se per uso tuo personale sono soddisfacenti non è detto che lo siano, ad esempio,
anche per un tribunale. Perciò nei casi più complessi ci vuole la
garanzia di un' entità super partes.

Quindi un utente che ha una casella PEC presso un provider configurata
in pop togliendo il flag "lascia i messaggi sul server" si ritrova con
una pec senza valore legale (o almeno non legale dopo che sono passati i
30 mesi di obbligo del provider di tenere i logs dei messaggi inviati)?

Mi sembra incredibile...

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Il 25/07/2025 11:38, Luca Alzetta ha scritto:

Già, non è gran che ma i prezzi delle PEC, per quel che ne so, sono soggetti a qualche forma di controllo politico istituzionale e i
provider comunque hanno degli obblighi di conservazione anche in caso
di eliminazione dell'account ma questo va sicuramente approfondito in
caso di necessità.
D'altra parte tutta la digitalizzazione ha dei costi che il cittadino sostiene direttamente, non fosse altro che l'acquisto dei dispositivi;
ma servono anche connessioni e tempi per l'aggiornamento culturale che
non è proprio uno spasso; e dei costi indiretti che sono la parte di
tasse che paghiamo per l'adeguamento delle infrastrutture e del
personale che deve amministrare l'amministrazione digitale. Non è
proprio la passeggiata che immaginavamo all'inizio degli anni '90.

Il giorno ven 25 lug 2025 alle ore 10:15 Piviul <piviul@riminilug.it>
ha scritto:

Il 25/07/25 08:53, Luca Alzetta ha scritto:
> Si, per i documenti con valore legale il nodo è sull'integrità e l'
> affidabilità che devi garantire verso terzi. Perché se per uso tuo
> personale sono soddisfacenti non è detto che lo siano, ad esempio,
> anche per un tribunale. Perciò nei casi più complessi ci vuole la
> garanzia di un' entità super partes.

Quindi un utente che ha una casella PEC presso un provider
configurata
in pop togliendo il flag "lascia i messaggi sul server" si ritrova
con
una pec senza valore legale (o almeno non legale dopo che sono
passati i
30 mesi di obbligo del provider di tenere i logs dei messaggi
inviati)?

Finchè le mail, complete di tutte le ricevute e le notifiche del caso,
stanno nel server del mio provider (o nel server del provider del mio corrispondente) sono valide legalmente ma nel momento in cui salvo tutto
nel mio hard disk (o il mio corrispondente salva tutto nel suo hard
disk), diciamo come file .eml, non c'è più alcuna validità legale?
Sapete se ci sono sentenze in merito?
Inoltre, se scarico la Pec per allegarla a una causa telematica, quella
copia non sarebbe più legale?.
Non è che si fa confusione fra "validità legale" e "conservazione sostitutiva"? Cioè, chi fa conservazione sostitutiva ha degli obblighi specifici per dimostrare che il materiale che gli viene consegnato non
ha subito modifiche *dalla data in cui lo ha ricevuto ma non può
garantire, ovviamente,  per il periodo antecedente*  Però, se non mi
affido alla conservazione sostitutiva e il mio materiale me lo tengo in
casa, magari nei miei files .mbox, non so chi altri lo deva autenticare.

Altrimenti si arriva all'assurdo che il mio originale, che è l'unico
esistente perchè l'ho scaricato dal mail server,  non è legale ma la
copia dello stesso originale che consegno a un terzo sarebbe legale?

Anche a me sembra incredibile.

Mi sembra incredibile...

Piviul

Luciano

--
Questa email è stata esaminata alla ricerca di virus dal software antivirus Avast.
www.avast.com
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">Il 25/07/2025 11:38, Luca Alzetta ha
scritto:<br>
</div>
<blockquote type="cite" cite="mid:CAFTdZUAjyJ_xhGeb5hQtaRCw3oFUieRJWwcLH1aYkqX73xLu-A@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div>Già, non è gran che ma i prezzi delle PEC, per quel che ne
so, sono soggetti a qualche forma di controllo politico
istituzionale e i provider comunque hanno degli obblighi di
conservazione anche in caso di eliminazione dell'account ma
questo va sicuramente approfondito in caso di necessità.</div>
<div>D'altra parte tutta la digitalizzazione ha dei costi che il
cittadino sostiene direttamente, non fosse altro che
l'acquisto dei dispositivi; ma servono anche connessioni e
tempi per l'aggiornamento culturale che non è proprio uno
spasso; e dei costi indiretti che sono la parte di tasse che
paghiamo per l'adeguamento delle infrastrutture e del
personale che deve amministrare l'amministrazione digitale.
Non è proprio la passeggiata che immaginavamo all'inizio degli
anni '90. <br>
</div>
</div>
<br>
<div class="gmail_quote gmail_quote_container">
<div dir="ltr" class="gmail_attr">Il giorno ven 25 lug 2025 alle
ore 10:15 Piviul &lt;<a href="mailto:piviul@riminilug.it"
moz-do-not-send="true" class="moz-txt-link-freetext">piviul@riminilug.it</a>&gt;
ha scritto:<br>
</div>
<blockquote class="gmail_quote"
style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Il
25/07/25 08:53, Luca Alzetta ha scritto:<br>
&gt; Si, per i documenti con valore legale il nodo è
sull'integrità e l' <br>
&gt; affidabilità che devi garantire verso terzi. Perché se
per uso tuo <br>
&gt; personale sono soddisfacenti non è detto che lo siano, ad
esempio, <br>
&gt; anche per un tribunale. Perciò nei casi più complessi ci
vuole la <br>
&gt; garanzia di un' entità super partes.<br>
<br>
Quindi un utente che ha una casella PEC presso un provider
configurata <br>
in pop togliendo il flag "lascia i messaggi sul server" si
ritrova con <br>
una pec senza valore legale (o almeno non legale dopo che sono
passati i <br>
30 mesi di obbligo del provider di tenere i logs dei messaggi
inviati)?<br>
<br>
</blockquote>
</div>
</blockquote>
<br>
Finchè le mail, complete di tutte le ricevute e le notifiche del
caso, stanno nel server del mio provider (o nel server del provider
del mio corrispondente) sono valide legalmente ma nel momento in cui
salvo tutto nel mio hard disk (o il mio corrispondente salva tutto
nel suo hard disk), diciamo come file .eml, non c'è più alcuna
validità legale? Sapete se ci sono sentenze in merito?<br>
Inoltre, se scarico la Pec per allegarla a una causa telematica,
quella copia non sarebbe più legale?. <br>
Non è che si fa confusione fra "validità legale" e "conservazione
sostitutiva"? Cioè, chi fa conservazione sostitutiva ha degli
obblighi specifici per dimostrare che il materiale che gli viene
consegnato non ha subito modifiche <b>dalla data in cui lo ha
ricevuto ma non può garantire, ovviamente,  per il periodo
antecedente</b>  Però, se non mi affido alla conservazione
sostitutiva e il mio materiale me lo tengo in casa, magari nei miei
files .mbox, non so chi altri lo deva autenticare.
<p>Altrimenti si arriva all'assurdo che il mio originale, che è
l'unico esistente perchè l'ho scaricato dal mail server,  non è
legale ma la copia dello stesso originale che consegno a un terzo
sarebbe legale? </p>
<p>Anche a me sembra incredibile.</p>
<blockquote type="cite" cite="mid:CAFTdZUAjyJ_xhGeb5hQtaRCw3oFUieRJWwcLH1aYkqX73xLu-A@mail.gmail.com">
<div class="gmail_quote gmail_quote_container">
<blockquote class="gmail_quote"
style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Mi
sembra incredibile...<br>
<br>
Piviul<br>
<br>
<br>
</blockquote>
</div>
</blockquote>
Luciano
<div id="DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br /><table style="border-top: 1px solid #D3D4DE;"><tr><td style="width: 55px; padding-top: 13px;"><a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_
content=emailclient" target="_blank"><img src="https://s-install.avcdn.net/ipm/preview/icons/icon-envelope-tick-round-orange-animated-no-repeat-v1.gif" alt="" width="46" height="29" style="width: 46px; height: 29px;"/></a></td><td style="width: 470px;
padding-top: 12px; color: #41424e; font-size: 13px; font-family: Arial, Helvetica, sans-serif; line-height: 18px;">Privo di virus.<a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient"
target="_blank" style="color: #4453ea;">www.avast.com</a></td></tr></table><a href="#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2" width="1" height="1"> </a></div></body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

On Fri, 25 Jul 2025, Piviul wrote:

Quindi un utente che ha una casella PEC presso un provider configurata in pop togliendo il flag "lascia i messaggi sul server" si ritrova con una pec senza valore legale (o almeno non legale dopo che sono passati i 30 mesi di obbligo del provider di tenere i logs dei messaggi inviati)?

Il problema è di tipo diverso: la firma del provider come tutte le firme digitali non è valida all'infinito ma ha una scadenza, tipicamante questa scadenza è di 3 anni. e questa scade comunque, dovunque sia il documento. Quello che vogliono venderti, a pagamento è la marca temporale, che è un
tipo di controfirma che da una parte valida anche il momento in cui vien apposta e dall'altro usa un certificato di livello superiore,. conservato
da più oraganizzazioni, di durata di 20 anni.
Una volta che il file è marcato temporalmente (e nella marca sono
indicate anche le verifiche di validità delle firme) acquista la validità maggiore, dovunque si trovi.

--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 25/07/25 22:38, Leonardo Boselli wrote:

On Fri, 25 Jul 2025, Piviul wrote:

Quindi un utente che ha una casella PEC presso un provider
configurata in pop togliendo il flag "lascia i messaggi sul server"
si ritrova con una pec senza valore legale (o almeno non legale dopo
che sono passati i 30 mesi di obbligo del provider di tenere i logs
dei messaggi inviati)?

Il problema è di tipo diverso: la firma del provider come tutte le
firme digitali non è valida all'infinito ma ha una scadenza,
tipicamante questa
scadenza è di 3 anni. e questa scade comunque, dovunque sia il documento. Quello che vogliono venderti, a pagamento è la marca temporale, che è
un tipo di controfirma che da una parte valida anche il momento in cui
vien apposta  e dall'altro usa un certificato di livello superiore,. conservato da più oraganizzazioni, di durata di 20 anni.
Una volta che il file è marcato temporalmente (e nella marca sono
indicate anche le verifiche di validità delle firme) acquista la
validità maggiore, dovunque si trovi.

ho ancora parecchi dubbi... parliamo di firma o del certificato
utilizzato per la firma? Il certificato inevitabilmente scadrà, ma non
riesco a capire come la firma possa invalidarsi nel tempo. Se io appongo
una marca temporale con il certificato pubblico posso validarla, se
appongo una firma ad una mail (allegati inclusi) con il certificato
pubblico posso validarla; quindi rimane solo da dimostrare che quei
certificati pubblici (della marca temporale e del firmatario) fossero
validi nel periodo preciso in cui la firma è stata posta. Non sarebbe sufficiente obbligare i provider a tenere la storia dei loro certificati pubblici e il cerchio si chiude: dove sbaglio?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 25/07/2025 22:38, Leonardo Boselli ha scritto:

On Fri, 25 Jul 2025, Piviul wrote:

Quindi un utente che ha una casella PEC presso un provider
configurata in pop togliendo il flag "lascia i messaggi sul server"
si ritrova con una pec senza valore legale (o almeno non legale dopo
che sono passati i 30 mesi di obbligo del provider di tenere i logs
dei messaggi inviati)?

Il problema è di tipo diverso: la firma del provider come tutte le
firme digitali non è valida all'infinito ma ha una scadenza,
tipicamante questa
scadenza è di 3 anni. e questa scade comunque, dovunque sia il documento.

Hmmm... per questo non saprei. I tre anni dal rilascio dovrebbero essere
il periodo in cui certificati sono idonei a firmare, poi scadono e se
non ne ottieni di nuovi non puoi firmare più niente. Ma i documenti,
firmati con quei certificati, contengono comunque una firma che, al
momento in cui cui è stata apposta, era perfettamente valida e quindi
non credo possano essere disconosciuti.

Infatti, se vado a verificare alcuni documenti firmati nel 2021, ottengo
le seguenti informazioni:

1) Fima di "Nome Firmatario". Certificato del firmatario scaduto.
Verifica firma alla data di apposizione 22/12/2021 22:12:20

2) Firmato da "Nome Firmatario" La firma è stata verificata
corretamente. Verifica della firma effettuata in data 22/12/2021 22:12:20

E. ovviamente, contengono anche la data della firma in quanto la firma
apposta senza una data certa, o comunque accertabile, non crerdo sia
valida, secondo il Codice civile.

Quello che vogliono venderti, a pagamento è la marca temporale, che è
un tipo di controfirma che da una parte valida anche il momento in cui
vien apposta  e dall'altro usa un certificato di livello superiore,. conservato da più oraganizzazioni, di durata di 20 anni.
Una volta che il file è marcato temporalmente (e nella marca sono
indicate anche le verifiche di validità delle firme) acquista la
validità maggiore, dovunque si trovi.

La Pec è stata introdotta nel 2005 e quindi sarebbero a 20 anni. Le
vecchie Pec, in qualsiasi modo siano marcate, dovrebbero iniziare, progressivamente, a perdere di validità. Possibile?

--

Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

Luciano

--
Questa email è stata esaminata alla ricerca di virus dal software antivirus Avast.
www.avast.com

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in locale nel tempo non sono più valide?

IANAL.

A quanto ho capito il sistema (che, rammento, è una invenzione tutta italiana...) funziona con certificati che hanno una durata di tre anni,
ovvero la durata consigliata normalmente per i certificati.

A quanto ho capito, durante una causa legale qualcuno ha giustamente fatto notare che una ricevuta firmata con un certificato più vecchio di tre anni, potrebbe essere stata falsificata.

I fornitori hanno quindi:

1) iniziato a rinnovare i certificati con una finestra più breve, per
limitare i periodi finestra; quindi AFAIK rinnovano il certificato ogni
3 mesi, sempre di durata di 3 anni.

2) hanno invenato il servizio di 'conservazione PEC', ovvero prima dello
scadere del certificato, rifirmano i messaggi con il certificato nuovo;
avendo posto una nuova firma prima dello scadere della vecchia, il vaore
legale è preservato.

3) hanno alzato i prezzi. ;-)


sempre e solo IANAL.

--

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 26/07/25 15:06, franchi@modula.net wrote:

Il 25/07/2025 22:38, Leonardo Boselli ha scritto:

On Fri, 25 Jul 2025, Piviul wrote:

Quindi un utente che ha una casella PEC presso un provider
configurata in pop togliendo il flag "lascia i messaggi sul server"
si ritrova con una pec senza valore legale (o almeno non legale dopo
che sono passati i 30 mesi di obbligo del provider di tenere i logs
dei messaggi inviati)?

Il problema è di tipo diverso: la firma del provider come tutte le
firme digitali non è valida all'infinito ma ha una scadenza,
tipicamante questa
scadenza è di 3 anni. e questa scade comunque, dovunque sia il
documento.

Hmmm... per questo non saprei. I tre anni dal rilascio dovrebbero
essere il periodo in cui certificati sono idonei a firmare, poi
scadono e se non ne ottieni di nuovi non puoi firmare più niente. Ma i documenti, firmati con quei certificati, contengono comunque una firma
che, al momento in cui cui è stata apposta, era perfettamente valida e quindi non credo possano essere disconosciuti.

Infatti, se vado a verificare alcuni documenti firmati nel 2021,
ottengo le seguenti informazioni:

1) Fima di "Nome Firmatario". Certificato del firmatario scaduto.
Verifica firma alla data di apposizione 22/12/2021 22:12:20

2) Firmato da "Nome Firmatario" La firma è stata verificata
corretamente. Verifica della firma effettuata in data 22/12/2021 22:12:20

E. ovviamente, contengono anche la data della firma in quanto la firma apposta senza una data certa, o comunque accertabile, non crerdo sia
valida, secondo il Codice civile.

Quello che vogliono venderti, a pagamento è la marca temporale, che è
un tipo di controfirma che da una parte valida anche il momento in
cui vien apposta  e dall'altro usa un certificato di livello
superiore,. conservato da più oraganizzazioni, di durata di 20 anni.
Una volta che il file è marcato temporalmente (e nella marca sono
indicate anche le verifiche di validità delle firme) acquista la
validità maggiore, dovunque si trovi.

La Pec è stata introdotta nel 2005 e quindi sarebbero a 20 anni. Le
vecchie Pec, in qualsiasi modo siano marcate, dovrebbero iniziare, progressivamente, a perdere di validità. Possibile?

A questo punto sono ancora più confuso. Quindi dov'è l'inghippo, perché
una copia POP della mia casella PEC dovrebbe invalidarsi legalmente nel
tempo? Forse perché la marca temporale in realtà noi non l'abbiamo e la possiede solo colui che ce la conserva?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

On Sat, 26 Jul 2025, Piviul wrote:

2) Firmato da "Nome Firmatario" La firma è stata verificata corretamente. >> Verifica della firma effettuata in data 22/12/2021 22:12:20>
E. ovviamente, contengono anche la data della firma in quanto la firma
apposta senza una data certa, o comunque accertabile, non crerdo sia
valida, secondo il Codice civile.

l'inghippo è qui: come fai a essere certo della data in cui è stata
apposta la firma, se non sulla dichiarazione del firmatario ?
Da qui la marca temporale dove una terza parte certifica che un certo
documento esisteva in una certa data (ma non può ovviamante certificare da quanto esistesse)

La Pec è stata introdotta nel 2005 e quindi sarebbero a 20 anni. Le vecchie >> Pec, in qualsiasi modo siano marcate, dovrebbero iniziare,
progressivamente, a perdere di validità. Possibile?

i 20 anni sono perché è il termine di prescrizione generale.

A questo punto sono ancora più confuso. Quindi dov'è l'inghippo, perché una
copia POP della mia casella PEC dovrebbe invalidarsi legalmente nel tempo? Forse perché la marca temporale in realtà noi non l'abbiamo e la possiede solo colui che ce la conserva?

no, la marca è allegata al documento.

questa che la copia del documento diventi non valida nel temposa seconda
dio voe è conservata mi viene uova. peraltro, tranne casi particolari la
PEC non certifica la autenticità del documento ma solo che è statao trasferito da una casella a un altra.
Il documento in se deve essere firmato digitalmente. in modo autonomo.

--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
On 25/07/25 13:31, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in
locale nel tempo non sono più valide?

IANAL.

A quanto ho capito il sistema (che, rammento, è una invenzione tutta italiana...) funziona con certificati che hanno una durata di tre anni, ovvero la durata consigliata normalmente per i certificati.

A quanto ho capito, durante una causa legale qualcuno ha giustamente fatto notare che una ricevuta firmata con un certificato più vecchio di tre anni, potrebbe essere stata falsificata.

E come? Perché un documento firmato con un certificato scaduto potrebbe
essere stato falsificato? L'unico motivo che mi viene in mente è che non
si riesca con certezza a dimostrare che quel certificato pubblico era
proprio il certificato valido del firmatario in quella data, che non si
tenga memoria della catena dei certificati pubblici validi del soggetto firmatario... una motivazione un po' debole. Poi questo implicherebbe
che un qualsiasi documento firmato digitalmente da un certificato
scaduto non sarebbe più valido. Questo sarebbe un vulnus che
invaliderebbe tutta la firma digitale e non solo la conservazione di
messaggi PEC.

I fornitori hanno quindi:

1) iniziato a rinnovare i certificati con una finestra più breve, per
limitare i periodi finestra; quindi AFAIK rinnovano il certificato ogni
3 mesi, sempre di durata di 3 anni.

A che pro?

[...]
sempre e solo IANAL.

Uno strano mondo quello della giurisprudenza...

Piviul
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">On 25/07/25 13:31, Marco Gaiarin wrote:<br>
</div>
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it">
<pre wrap="" class="moz-quote-pre">Mandi! Piviul
In chel di` si favelave...
</pre>
<blockquote type="cite">
<pre wrap="" class="moz-quote-pre">Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in
locale nel tempo non sono più valide?
</pre>
</blockquote>
<pre wrap="" class="moz-quote-pre">
IANAL.

A quanto ho capito il sistema (che, rammento, è una invenzione tutta italiana...) funziona con certificati che hanno una durata di tre anni,
ovvero la durata consigliata normalmente per i certificati.

A quanto ho capito, durante una causa legale qualcuno ha giustamente fatto notare che una ricevuta firmata con un certificato più vecchio di tre anni, potrebbe essere stata falsificata.</pre>
</blockquote>
E come? Perché un documento firmato con un certificato scaduto
potrebbe essere stato falsificato? L'unico motivo che mi viene in
mente è che non si riesca con certezza a dimostrare che quel
certificato pubblico era proprio il certificato valido del
firmatario in quella data, che non si tenga memoria della catena dei
certificati pubblici validi del soggetto firmatario... una
motivazione un po' debole. Poi questo implicherebbe che un qualsiasi
documento firmato digitalmente da un certificato scaduto non sarebbe
più valido. Questo sarebbe un vulnus che invaliderebbe tutta la
firma digitale e non solo la conservazione di messaggi PEC.<br>
<br>
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it">
<pre wrap="" class="moz-quote-pre">I fornitori hanno quindi:

1) iniziato a rinnovare i certificati con una finestra più breve, per
limitare i periodi finestra; quindi AFAIK rinnovano il certificato ogni
3 mesi, sempre di durata di 3 anni.</pre>
</blockquote>
A che pro?<br>
<br>
<span style="white-space: pre-wrap">
</span>
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it">
<pre wrap="" class="moz-quote-pre">[...]
sempre e solo IANAL.</pre>
</blockquote>
Uno strano mondo quello della giurisprudenza...<br>
<br>
Piviul<br>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 26/07/2025 19:57, Leonardo Boselli ha scritto:

On Sat, 26 Jul 2025, Piviul wrote:

2) Firmato da "Nome Firmatario" La firma è stata verificata
corretamente. Verifica della firma effettuata in data 22/12/2021
22:12:20> E. ovviamente, contengono anche la data della firma in
quanto la firma apposta senza una data certa, o comunque
accertabile, non crerdo sia valida, secondo il Codice civile.

l'inghippo è qui: come fai a essere certo della data in cui è stata
apposta la firma, se non sulla dichiarazione del firmatario ?
Da qui la marca temporale dove una terza parte certifica che un certo documento esisteva in una certa data (ma non può ovviamante
certificare da quanto esistesse)

Il processo di verifica di un documento digitalmente firmato mi comunica
se  la firma era valida all'epoca in cui è stata apposta e la data in
cui è stata apposta.

La Pec è stata introdotta nel 2005 e quindi sarebbero a 20 anni. Le
vecchie Pec, in qualsiasi modo siano marcate, dovrebbero iniziare,
progressivamente, a perdere di validità. Possibile?

i 20 anni sono perché è il termine di prescrizione generale.

Il termine di prescrizione generale è un termine civilistico che si
applica, credo, ai diritti "non ancora esercitati".

Cioè, se io presto soldi a un terzo e non li richiedo indietro, secondo
i casi,  entro il termine di 10 o 20 anni, allora perdo il diritto a
riaverli.

Se invece firmo un contratto di compravendita di un bene mobile, anche
in formato digitale o con scambio di Pec, e la compravendita ha poi
luogo nei termini previsti dal contratto firmato,  non ci sarà mai
alcuna alcuna prescrizione che possa invalidarlo.

Direi di pù: se chi mi ha venduto il bene dovesse, anche dopo 20/25,
sollevare eccezioni circa la data di cessione per instaurare una lite,
la copia del documento digitalmente firmato anche 25  anni prima credo
sarebbe una prova valida per resistere in giudizio.

Il diritto è a strati, un pò come il modello Iso-Osi, ed è facile
perdersi fra gli strati e le interazioni fra di essi.

A questo punto sono ancora più confuso. Quindi dov'è l'inghippo,
perché una copia POP della mia casella PEC dovrebbe invalidarsi
legalmente nel tempo? Forse perché la marca temporale in realtà noi
non l'abbiamo e la possiede solo colui che ce la conserva?

no, la marca è allegata al documento.

questa che la copia del documento diventi non valida nel temposa
seconda dio voe è conservata mi viene uova. peraltro, tranne casi particolari la PEC non certifica la autenticità del documento ma solo
che è statao trasferito da una casella a un altra.
Il documento in se deve essere firmato digitalmente. in modo autonomo.

--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

--
Questa email è stata esaminata alla ricerca di virus dal software antivirus Avast.
www.avast.com

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Il 27/07/2025 05:48, Piviul ha scritto:

On 25/07/25 13:31, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in >>> locale nel tempo non sono più valide?

IANAL.

A quanto ho capito il sistema (che, rammento, è una invenzione tutta
italiana...) funziona con certificati che hanno una durata di tre anni,
ovvero la durata consigliata normalmente per i certificati.

A quanto ho capito, durante una causa legale qualcuno ha giustamente fatto >> notare che una ricevuta firmata con un certificato più vecchio di tre anni, >> potrebbe essere stata falsificata.

E come? Perché un documento firmato con un certificato scaduto (ma
all'epoca valido)  potrebbe essere stato falsificato? L'unico motivo
che mi viene in mente è che non si riesca con certezza a dimostrare
che quel certificato pubblico era proprio il certificato valido del firmatario in quella data, che non si tenga memoria della catena dei certificati pubblici validi del soggetto firmatario... una motivazione
un po' debole. Poi questo implicherebbe che un qualsiasi documento
firmato digitalmente da un certificato scaduto non sarebbe più valido. Questo sarebbe un vulnus che invaliderebbe tutta la firma digitale e
non solo la conservazione di messaggi PEC.

+1

I fornitori hanno quindi:

1) iniziato a rinnovare i certificati con una finestra più breve, per
limitare i periodi finestra; quindi AFAIK rinnovano il certificato ogni >> 3 mesi, sempre di durata di 3 anni.

Che significa ogni tre mesi di durata di tre anni? Come fa un
certificato a durare tre mesi e anche tre anni?

A che pro?

[...]
sempre e solo IANAL.

Uno strano mondo quello della giurisprudenza...

Piviul

--
Questa email è stata esaminata alla ricerca di virus dal software antivirus Avast.
www.avast.com
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">Il 27/07/2025 05:48, Piviul ha scritto:<br>
</div>
<blockquote type="cite"
cite="mid:85849992-a57d-4df3-8bf5-141dce01bd14@riminilug.it">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<div class="moz-cite-prefix">On 25/07/25 13:31, Marco Gaiarin
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it">
<pre wrap="" class="moz-quote-pre">Mandi! Piviul
In chel di` si favelave...
</pre>
<blockquote type="cite">
<pre wrap="" class="moz-quote-pre">Qualcuno è ferrato sull'argomento e mi può spiegare perché le copie in
locale nel tempo non sono più valide?
</pre>
</blockquote>
<pre wrap="" class="moz-quote-pre">IANAL.

A quanto ho capito il sistema (che, rammento, è una invenzione tutta italiana...) funziona con certificati che hanno una durata di tre anni,
ovvero la durata consigliata normalmente per i certificati.

A quanto ho capito, durante una causa legale qualcuno ha giustamente fatto notare che una ricevuta firmata con un certificato più vecchio di tre anni, potrebbe essere stata falsificata.</pre>
</blockquote>
E come? Perché un documento firmato con un certificato scaduto (ma
all'epoca valido)  potrebbe essere stato falsificato? L'unico
motivo che mi viene in mente è che non si riesca con certezza a
dimostrare che quel certificato pubblico era proprio il
certificato valido del firmatario in quella data, che non si tenga
memoria della catena dei certificati pubblici validi del soggetto
firmatario... una motivazione un po' debole. Poi questo
implicherebbe che un qualsiasi documento firmato digitalmente da
un certificato scaduto non sarebbe più valido. Questo sarebbe un
vulnus che invaliderebbe tutta la firma digitale e non solo la
conservazione di messaggi PEC.<br>
</blockquote>
+1
<blockquote type="cite"
cite="mid:85849992-a57d-4df3-8bf5-141dce01bd14@riminilug.it">
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it">
<pre wrap="" class="moz-quote-pre">I fornitori hanno quindi:

1) iniziato a rinnovare i certificati con una finestra più breve, per
limitare i periodi finestra; quindi AFAIK rinnovano il certificato ogni
3 mesi, sempre di durata di 3 anni.</pre>
</blockquote>
</blockquote>
Che significa ogni tre mesi di durata di tre anni? Come fa un
certificato a durare tre mesi e anche tre anni?
<blockquote type="cite"
cite="mid:85849992-a57d-4df3-8bf5-141dce01bd14@riminilug.it">
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it"> </blockquote>
A che pro?<br>
<br>
<span style="white-space: pre-wrap">
</span>
<blockquote type="cite"
cite="mid:3h6cll-opj1.ln1@leia.lilliput.linux.it">
<pre wrap="" class="moz-quote-pre">[...]
sempre e solo IANAL.</pre>
</blockquote>
Uno strano mondo quello della giurisprudenza...<br>
<br>
Piviul<br>
</blockquote>
<div id="DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br /><table style="border-top: 1px solid #D3D4DE;"><tr><td style="width: 55px; padding-top: 13px;"><a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_
content=emailclient" target="_blank"><img src="https://s-install.avcdn.net/ipm/preview/icons/icon-envelope-tick-round-orange-animated-no-repeat-v1.gif" alt="" width="46" height="29" style="width: 46px; height: 29px;"/></a></td><td style="width: 470px;
padding-top: 12px; color: #41424e; font-size: 13px; font-family: Arial, Helvetica, sans-serif; line-height: 18px;">Privo di virus.<a href="https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient"
target="_blank" style="color: #4453ea;">www.avast.com</a></td></tr></table><a href="#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2" width="1" height="1"> </a></div></body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

On Mon, 28 Jul 2025, franchi@modula.net wrote:

l'inghippo è qui: come fai a essere certo della data in cui è stata apposta
la firma, se non sulla dichiarazione del firmatario ?
Da qui la marca temporale dove una terza parte certifica che un certo
documento esisteva in una certa data (ma non può ovviamante certificare da >> quanto esistesse)

Il processo di verifica di un documento digitalmente firmato mi comunica se  la firma era valida all'epoca in cui è stata apposta e la data in cui è stata
apposta.

No, mi dice solo che la firma era data nella data in cui il firmatario HA DICHIARATO che era stata apposta.
Se OGGI, 2025, prendo una smartcard contenete un certificato di firmas
digitale valido dal 2018-03-10 al 2021-03-10, creo un documento con data 2019-01-01, imposto
l'orologio del computer su cui laggo la card con data 2019-01-01, mi verrà fuori un documento firmato nel 2019-01-01 che passerà ogni verifica.

La firma digitale auténtica l'autore, non il contenuto.
Se il documento contiene affermazioni, in buona o mala fede, non veritiere
il dispositivo di firma non nè tenuto a verificarlo.
E la data non è una di quelle, altrimenti a cosa servirebbe la marca
temporale (che non è altro che una controfirma in cui il firmatario
terzo espressamente dichiara di avere verificato il tempo in cui emette la controfirma) che perlatro certifica solo che un certo documento esisteva
in una certa forma [in genere già firmato] a una certa data ?


--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

E come? Perché un documento firmato con un certificato scaduto potrebbe essere stato falsificato?

Perchè è computazionalmente possibile in tre anni (per brute force) ricavare la chiave privata da quella pubblica. O meglio, non è escluso a priori, che per la legge significa che è possibile. ;-)

Quindi una volta ottenuto chiave privata e pubblica, possiamo fare quello
che vogliamo, compreso firmare oggi un documento come se fosse stato firmato tre anni fa...

--

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 28/07/2025 22:25, Marco Gaiarin ha scritto:

Mandi! Piviul
In chel di` si favelave...

E come? Perché un documento firmato con un certificato scaduto potrebbe
essere stato falsificato?

Perchè è computazionalmente possibile in tre anni (per brute force) ricavare
la chiave privata da quella pubblica. O meglio, non è escluso a priori, che per la legge significa che è possibile. ;-)

Quindi una volta ottenuto chiave privata e pubblica, possiamo fare quello
che vogliamo, compreso firmare oggi un documento come se fosse stato firmato tre anni fa...

Credo che Piviul volesse dire "documento firmato con un certificato
valido al momento della firma ma adesso scaduto. E concordo con Piviul
che il documento resta pienamente valido anche dopo la scadenza del
certificato con cui è sato firmato.

Del resto, per legge, un documento firmato digitalmente non è
ripudiabile, fino a prova di falso.

Se puoi provare che la firma è stata falsamente apposta, allora la puoi ripudiare.Diversamente la firma è valida e inoppugnabile.

Non puoi semplicemente dire che in tre anni, o in tre mesi, per brute
force o con chissà con quale algoritmo, sarebbe possibile craccare. Devi dimostrare che il fatto è avvenuto.



--
Questa email è stata esaminata alla ricerca di virus dal software antivirus Avast.
www.avast.com

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 28/07/25 22:25, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

E come? Perché un documento firmato con un certificato scaduto potrebbe
essere stato falsificato?

Perchè è computazionalmente possibile in tre anni (per brute force) ricavare
la chiave privata da quella pubblica. O meglio, non è escluso a priori, che per la legge significa che è possibile. ;-)

se fosse così tutte le firme elettroniche perderebbero la validità
legale se non rinfrescate con una nuova firma ad ogni rinnovo del certificato... non ne ho mai sentito parlare.

Bah, non capisco proprio

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 29/07/25 11:18, Diego Zuccato ha scritto:

Ogni certificato ha una scadenza anche perché, nel tempo, la chiave
segreta potrebbe venire compromessa.

...incominciate a convincermi, grazie per la pazienza.

Scenario "in un prossimo futuro": hai una PEC con la sua bella firma e
devi dimostrare che non ha subito alterazioni. Però il certificato
della chiave che la ha firmata è scaduto 5 anni fa. Nell'ultimo anno è diventato possibile crackare la chiave relativa a quel certificato. =>
La firma sulla PEC è inutile, in quanto non puoi convincere "nessuno"
che la firma non è stata apposta nell'ultimo anno.

Ora aggiungi un dettaglio: quando hai salvato la PEC (con la sua
firma) hai ottenuto anche una seconda "certificazione" con marca
temporale, e questa è tutt'ora valida => la PEC ha valore legale.

Quando poi si avvicina la scadenza del certificato della marca
temporale, puoi ripetere il gioco con una nuova marca temporale e così
via, creando una chain-of-trust. La cosa bella è che puoi anche usare
la marca temporale per "certificare" un intero archivio (p.e. tutte le
PEC di un anno).

Questo è molto interessante... nei messaggi pec quindi è già inserita
una marca temporale? E si può verificarne la scadenza? Hai un qualche documento delle best practice per marcare un intero archivio con una
marca temporale?

Grazie mille, a tutti quanti

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

On Tue, 29 Jul 2025, Piviul wrote:

E come? Perché un documento firmato con un certificato scaduto potrebbe >>> essere stato falsificato?

Perchè è computazionalmente possibile in tre anni (per brute force)
ricavare la chiave privata da quella pubblica. O meglio, non è escluso
a priori, che per la legge significa che è possibile. ;-)

se fosse così tutte le firme elettroniche perderebbero la validità legale se
non rinfrescate con una nuova firma ad ogni rinnovo del certificato... non ne ho mai sentito parlare.

I tre anni sono perché la possibilità che il certificato possa venir falsificato dopo tale periodo non è più trascurabile. Nulla però
impedisce che in quel momento nessuno abbia fatto sforzi sufficienti e
quindi la chiave sia ancora sicura, né che non ci sia stato qualcuno che
per colpo di culo abbia trovato la chiave al primo temtativo, in pochi mS
e che quindi la chiave fosse insicura quasi dall'inizio.

Il problema che a parte me nessuno ha fatto notare è che è possibile
firmare, dopo la scadenza del certificato, dichiarando una data entro la valiudità del certificato.

Però: se il certificato del fornitore PEC scade in 36 mesi, ma viene
rinnovato ogni 3 mesi, significa che avrai sempre, al momento della firma,
un certificato con validità residua di almeno 33 mesi.
Se prima di questa scadenza (cioè dopo 30mesi) controfirmi (che è
differente dal rinnovare la firma!) il file EML, compledo di documento,
firme e certificati avrai la certezza che alla data di emissione del certificato usato per la firma il documento esisteva, e siccome questa
data sarà entro la scadenza del certificato precedentema se rinnovato ogni
3 mesi, la certificazione di consegna continuerà ad avere validità.

Se è il provider che ti offre la conservazione sarà lui che effettuerà questa procedura, se lo trasferisci altrove dovrai farlo o
controfirmandolo con un nuovo certificato o semplicemente reinviandoti
come allegato con ricevuta completa il file EML.

Bah, non capisco proprio

Piviul

--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Se io scarico in un file mbox la pec di un dato anno e prima dei tre
anni dalla ricezione dei messaggi nella casella marco temporalmente il
file mbox ed ho poi l'accortezza di continuare a rimarcarlo prima dei
tre anni dalla marcatura precedente a questo punto l'archivio dovrebbe
essere valido legalmente, giusto? Siamo un po' border line?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)