L'audit trail di una firma elettronica è una prova digitale di chi ha firmato, quando e come. È una parte fondamentale della validità della firma e della risoluzione delle controversie. In questo articolo, esamineremo cosa comprende l'audit trail, come il GDPR influisce sulla conservazione dei dati e come una piccola impresa può organizzare il proprio archivio.
Che cos'è l'audit trail?
Un audit trail (in italiano: traccia di revisione o registro) è una registrazione automatica di un evento di firma. Registra ogni fase dall'inizio alla fine. L'audit trail è una parte essenziale del valore probatorio di una firma elettronica. Senza di essa, una firma elettronica è praticamente solo un pixel sullo schermo: l' audit trail la rende legalmente significativa.
Quali informazioni contiene l'audit trail?
Un audit trail completo include le seguenti informazioni:
- Nome e indirizzo email del firmatario
- Metodo di autenticazione utilizzato (credenziali bancarie, certificato mobile, conferma via email)
- Timestamp (data e ora, fuso orario)
- Indirizzo IP da cui è stata effettuata la firma
- Informazioni sul dispositivo e sul browser
- Hash crittografico del documento (hash) – prova che il documento non è stato modificato
- Ora di invio e ora di apertura della richiesta di firma
- Ora di completamento della firma
Cosa significa in pratica: se un cliente nega di aver firmato un contratto, l'audit trail mostrerà che una determinata persona ha aperto il documento da un determinato indirizzo IP, si è autenticata con le credenziali bancarie e ha firmato il documento in un determinato momento.
GDPR e conservazione delle firme elettroniche
Un audit trail contiene dati personali, pertanto il GDPR (Regolamento generale dell'UE sulla protezione dei dati) definisce come questi dati possono essere trattati e conservati.\n\nPrincipi chiave per l'audit trail:
- Finalità specifica: i dati possono essere raccolti solo per uno scopo specifico (verifica della firma)
- Minimizzazione dei dati: vengono raccolti solo i dati necessari
- Limitazione della conservazione: i dati vengono conservati solo per il tempo necessario
- Integrità e riservatezza: i dati devono essere protetti tecnicamente
In pratica, il periodo di conservazione delle firme e dei relativi dati di audit trail dipende dalla natura del contratto:
| Tipo di documento | Periodo di conservazione raccomandato | Motivazione |
|---|---|---|
| Contratto commerciale | 6–10 anni dalla scadenza del contratto | Periodo di scadenza (generale 3 anni, legge commerciale 5 anni) |
| Contratto di lavoro | 10 anni dalla cessazione del rapporto di lavoro | Prescrizione dei crediti di lavoro |
| Documentazione contabile | 6 anni dalla chiusura dell'esercizio | Legge sulla contabilità 2:10 |
| Compravendita immobiliare | Permanente o almeno 10 anni | Requisiti secondo il codice fondiario |
Modello di archivio per piccole imprese
Una piccola impresa può organizzare il proprio archivio di firme elettroniche in modo semplice:
- Utilizzate un servizio di firma (come EpicSign) che archivia automaticamente i documenti firmati e gli audit trail
- Definite i periodi di conservazione per tipo di documento (vedi tabella sopra)
- Esportate i contratti più importanti anche nel vostro sistema di backup
- Una volta all'anno, controllate la presenza di documenti obsoleti che possono essere eliminati ai sensi del GDPR
- Documentate le vostre policy di conservazione nella descrizione del registro
Esempio pratico: studio contabile e contratti con i clienti
Uno studio contabile di Tampere è passato dai contratti cartacei a EpicSign. In precedenza, i contratti erano in faldoni, alcuni in ufficio, altri dai clienti. Nessuno era certo di dove fosse l'ultima versione. Dopo la firma elettronica, la situazione è cambiata:
- Tutti i contratti sono disponibili nell'archivio elettronico con funzione di ricerca
- L'audit trail prova chi ha firmato e quando
- La descrizione del registro GDPR è stata aggiornata per includere la conservazione dei dati della firma
- I vecchi contratti vengono eliminati automaticamente alla scadenza del periodo di conservazione
Domande frequenti
Per quanto tempo deve essere conservato l'audit trail?
Il periodo di conservazione dipende dal tipo di contratto. Tipicamente 6-10 anni per i contratti commerciali, 10 anni dalla fine del rapporto di lavoro per i contratti di lavoro.
L'audit trail contiene dati personali?
Sì. Il nome, l'e-mail e l'indirizzo IP del firmatario sono dati personali secondo il GDPR. Devono essere trattati in conformità con le norme sulla protezione dei dati.
È possibile modificare l'audit trail in seguito?
No. L'hash crittografico garantisce che i dati non possano essere alterati inosservati. Questa è una condizione fondamentale dell'audit trail.
In che modo il GDPR influisce sulla conservazione dei dati della firma?
Il GDPR richiede che i dati siano conservati solo per il tempo necessario. Una volta scaduto il periodo di conservazione, i dati devono essere cancellati o anonimizzati.
EpicSign salva automaticamente l'audit trail?
Sì. EpicSign crea automaticamente un audit trail completo per ogni evento di firma.
Fonti
Questo articolo è di natura generale e non costituisce consulenza legale.
Provi EpicSign
Inizi la prova gratuita e invii la sua prima richiesta di firma in meno di 20 secondi.
Vedi i prezzi