1. Soggetto erogante
Il servizio CertiSigma è erogato da Ten Sigma Sagl, società a garanzia limitata di diritto svizzero con sede in Via Carzo 8, 6900 Paradiso, Cantone Ticino, iscritta al Registro di commercio del Cantone Ticino con numero di identificazione delle imprese CHE-498.705.818.
Il marchio verbale CertiSigma è registrato presso l'Istituto Federale della Proprietà Intellettuale come marchio individuale n. 839028.
2. Oggetto del servizio
CertiSigma è un servizio di attestazione crittografica dell'esistenza temporale e dell'integrità di valori di hash SHA-256, erogato secondo il modello content-blind descritto nelle pagine Legal Positioning, Trust Model e Architecture.
Il servizio comprende ricezione di digest SHA-256 calcolati dal cliente, emissione di attestazioni T0 con firma ECDSA P-256, aggregazione Merkle e timestamp qualificato eIDAS RFC 3161 erogato da una TSA esterna per T1, ancoraggio della radice giornaliera alla blockchain pubblica di Bitcoin tramite OpenTimestamps per T2, pubblicazione di chiavi pubbliche, evidence bundle e materiali di verifica indipendente, accesso tramite API REST, SDK ufficiali, CLI Census, webhook firmati, Console e strumenti di verifica pubblica.
Il servizio non comprende ricezione, conservazione o elaborazione del contenuto originale dei file o dei dati attestati; servizi notarili o di pubblica fede; servizi fiduciari qualificati eIDAS diversi dal timestamp T1 erogato dalla TSA esterna; conservazione a norma; emissione di certificati X.509 per terzi; consulenza legale, di compliance, di audit o forense.
3. Modalità di accesso al servizio
Il servizio è accessibile tramite endpoint pubblici di verifica, API autenticate previa emissione di chiavi API da parte di Ten Sigma Sagl o tramite Console, Console riservata a utenti autorizzati, SDK e CLI distribuiti come pacchetti software open-source con licenza MIT.
L'utilizzo di endpoint pubblici è soggetto a limiti tecnici di traffico, descritti nella documentazione, finalizzati a garantire continuità del servizio e prevenzione di abusi.
L'utilizzo di funzionalità autenticate è subordinato all'esistenza di un rapporto contrattuale con Ten Sigma Sagl, salvo per le modalità di prova gratuita eventualmente offerte.
4. Account e chiavi API
Le chiavi API consentono l'accesso ad attestazione, gestione di metadati, tag, share token, derived list, webhook, matching investigativo e statistiche di inventario secondo gli scope assegnati alla chiave.
Le chiavi API e i webhook signing secret devono essere custoditi dal cliente come credenziali sensibili. Ten Sigma Sagl non è responsabile dell'uso improprio di chiavi non adeguatamente custodite.
Il cliente è tenuto a conservare le credenziali in modo sicuro, non condividerle al di fuori dei sistemi autorizzati, ruotarle tempestivamente in caso di sospetta compromissione e rispettare i limiti di scope assegnati.
Ten Sigma Sagl può sospendere o revocare chiavi API in caso di abuso, attività che mettano a rischio l'integrità del servizio o violazione delle presenti condizioni.
5. Obblighi del cliente
Il cliente si impegna a utilizzare il servizio nel rispetto della legge applicabile e a non trasmettere a CertiSigma metadati che contengano dati personali altrui senza valida base giuridica.
Il cliente non deve utilizzare il servizio per finalità contrarie alla legge svizzera o al diritto applicabile al rapporto, tentare di compromettere integrità, disponibilità o riservatezza del servizio, aggirare limiti tecnici, autenticazione, rate limiting o scope, utilizzare il servizio per scraping massivo, enumerazione sistematica o reverse engineering non autorizzato.
Il cliente non deve presentare le evidenze CertiSigma come qualcosa che non sono, in particolare come firma elettronica qualificata, atto notarile, conservazione a norma o certificazione di conformità.
Il cliente resta unico responsabile dei contenuti da cui calcola i digest, della liceità di tali contenuti, della loro pertinenza al proprio caso d'uso e della catena di custodia operativa.
6. Cosa CertiSigma attesta e cosa non attesta
Le evidenze CertiSigma documentano che un determinato digest è stato osservato, firmato e, ai livelli T1 e T2, marcato temporalmente da meccanismi esterni indipendenti.
Le evidenze CertiSigma non attestano la verità del contenuto, la paternità, la proprietà o i diritti sul contenuto, la liceità del contenuto, il consenso di soggetti terzi, l'identità del titolare del contenuto o la conformità automatica a NIS2, DORA, ISO 27001, GDPR, LPD o altri quadri normativi.
Il cliente prende atto che il valore probatorio delle evidenze dipende dal contesto, dal diritto applicabile, dalla catena di custodia, dalla documentazione circostante e dalla valutazione dell'autorità competente.
7. Disponibilità del servizio
Ten Sigma Sagl si adopera ragionevolmente per mantenere disponibili i propri servizi, con interventi di manutenzione e aggiornamento secondo modalità coerenti con la continuità operativa.
Eventuali livelli di servizio specifici, finestre di manutenzione programmata, modalità di notifica e meccanismi di credito sono definiti, dove previsti, nel contratto specifico con il cliente o in un Service Level Agreement separato.
Gli endpoint pubblici di verifica sono offerti su base best-effort, senza garanzie di livello di servizio, in coerenza con la loro natura aperta.
8. Versioning e deprecazione
CertiSigma evolve nel tempo. L'API è esposta sotto il prefisso /v1/; nuove versioni maggiori sono annunciate con preavviso e mantengono compatibilità con la versione precedente per almeno dodici mesi.
Gli SDK seguono Semantic Versioning 2.0.0. Le funzionalità deprecate sono comunicate nei changelog e mantenute per almeno una minor release prima della rimozione.
Le modifiche ai formati di evidence bundle, payload canonico e materiali di verifica preservano la capacità di verificare attestazioni emesse in precedenza. Le attestazioni emesse rimangono verificabili secondo le specifiche tecniche vigenti al momento dell'emissione.
9. Proprietà intellettuale
Il marchio CertiSigma, il sito web certisigma.ch, il sotto-sito developers.certisigma.ch, la documentazione e i contenuti pubblicati sono di titolarità di Ten Sigma Sagl o dei rispettivi aventi diritto.
Gli SDK CertiSigma sono distribuiti come software open-source con licenza MIT. I termini di licenza specifici si applicano ai relativi pacchetti.
Il cliente conserva ogni diritto sui propri contenuti. Ten Sigma Sagl non acquisisce diritti sul contenuto originale dei dati attestati, che non viene mai ricevuto dal servizio.
Le evidenze crittografiche emesse possono essere liberamente conservate, riprodotte e condivise dal cliente per scopi di verifica indipendente, audit, prova legale e qualunque altro uso legittimo.
10. Limitazione di responsabilità
Nei limiti consentiti dal diritto svizzero applicabile, e salvo diversa pattuizione contrattuale, Ten Sigma Sagl risponde dei danni diretti causati da dolo o colpa grave imputabili a sé o ai propri ausiliari.
È esclusa la responsabilità per danni indiretti, mancato guadagno, perdita di dati di proprietà del cliente, perdita di chiavi crittografiche del cliente, danni di immagine e qualunque altro danno consequenziale non riconducibile a dolo o colpa grave.
In nessun caso Ten Sigma Sagl risponde della perdita di contenuti originali che non ha mai ricevuto né custodito. Non è imputabile a Ten Sigma Sagl il comportamento di TSA esterne, della rete Bitcoin o di altri sistemi indipendenti che concorrono ai livelli T1 e T2 al di fuori del suo controllo diretto.
Nulla di quanto precede pregiudica gli obblighi imperativi di legge che non possono essere derogati per accordo.
11. Sospensione e cessazione
Ten Sigma Sagl può sospendere o limitare l'accesso al servizio in caso di abuso tecnico, attività che compromettano stabilità, sicurezza o integrità del servizio, violazione delle presenti condizioni o del contratto specifico, richiesta di autorità competenti svizzere nei limiti del diritto applicabile, o mancato pagamento per clienti commerciali secondo le modalità del contratto.
Alla cessazione del rapporto contrattuale, salvo diversa pattuizione, le attestazioni già emesse rimangono crittograficamente verificabili tramite le chiavi pubbliche, i materiali di evidenza conservati dal cliente e gli strumenti di verifica indipendente.
La cessazione non revoca le evidenze già emesse, in quanto un fatto crittografico osservato resta osservato.
12. Modifiche alle condizioni
Ten Sigma Sagl può aggiornare le presenti condizioni per riflettere evoluzioni del servizio, dell'infrastruttura, della normativa applicabile o delle pratiche operative.
Le modifiche sono comunicate tramite pubblicazione sul sito e, dove previsto, secondo le modalità del contratto specifico. La versione applicabile è quella pubblicata al momento dell'utilizzo, salvo diverse pattuizioni contrattuali in essere.
Le versioni precedenti delle presenti condizioni restano consultabili su richiesta tramite l'indirizzo di contatto.
13. Diritto applicabile e foro competente
Le presenti condizioni e il rapporto tra il cliente e Ten Sigma Sagl sono regolati dal diritto svizzero, con esclusione delle norme di conflitto e della Convenzione di Vienna sulla vendita internazionale di beni.
Foro competente esclusivo è quello di Lugano, Cantone Ticino, Svizzera, salvo diverse pattuizioni del contratto specifico e fatte salve le disposizioni inderogabili a tutela dei consumatori, dove applicabili.
14. Contatti
Per richieste relative alle presenti condizioni: Ten Sigma Sagl, Via Carzo 8, 6900 Paradiso, Svizzera, legal@certisigma.ch.