Evidenza crittografica di esistenza temporale e integrita.

Natura del servizio

CertiSigma è un servizio di attestazione crittografica dell'esistenza temporale e dell'integrità di valori di hash.

Il servizio opera su digest SHA-256 di 32 byte calcolati dal cliente nel proprio ambiente e trasmessi a CertiSigma per essere oggetto di attestazione.

CertiSigma non riceve, non elabora, non conserva e non rende disponibile a terzi il contenuto originale dei file, documenti, dati o materiali da cui i digest sono calcolati.

Il modello operativo è content-blind perché la natura informativa del contenuto sottostante è strutturalmente inaccessibile al servizio nel normale workflow di attestazione.

Riferimenti societari e marchio

Il servizio è erogato da Ten Sigma Sagl, società a garanzia limitata di diritto svizzero con sede in Via Carzo 8, 6900 Paradiso, Cantone Ticino.

Ten Sigma Sagl è iscritta al Registro di commercio del Cantone Ticino in data 5 febbraio 2015, numero di identificazione delle imprese CHE-498.705.818.

Il marchio verbale CertiSigma è registrato presso l'Istituto Federale della Proprietà Intellettuale, IPI/IGE, come marchio individuale n. 839028, domanda n. 16124/2025, deposito 27 ottobre 2025, registrazione e pubblicazione Swissreg 6 novembre 2025, classi di Nizza 38, 42 e 45, protezione fino al 27 ottobre 2035.

Livelli di evidenza

T0. CertiSigma firma con ECDSA P-256, algoritmo ECDSA-P256-SHA256, un payload canonico che include digest, versione del formato e timestamp di registrazione.

T1. I digest sono aggregati in una struttura Merkle conforme alla domain separation di RFC 6962. La Merkle root viene sottoposta a una Time Stamping Authority esterna qualificata ai sensi del Regolamento UE n. 910/2014 eIDAS, conforme allo standard RFC 3161 e verificabile nelle EU Trusted Lists applicabili al momento della verifica.

T2. La radice giornaliera del batch viene ancorata alla blockchain pubblica di Bitcoin tramite il protocollo OpenTimestamps.

Verifica indipendente

Ciascuno dei tre livelli è verificabile da terzi attraverso meccanismi crittografici standard, senza accesso ai sistemi di CertiSigma e senza intermediazione del servizio.

La verifica T0 richiede digest, payload canonico ricostruibile, chiave pubblica ECDSA pubblicata da CertiSigma e firma.

La verifica T1 richiede digest, Merkle proof e TSA token verificabile contro l'infrastruttura del TSA esterno.

La verifica T2 richiede il file di prova OpenTimestamps verificabile contro la blockchain pubblica di Bitcoin.

Qualificazione giuridica del servizio

CertiSigma non opera come notaio o pubblico ufficiale rogante: non riceve dichiarazioni di volontà delle parti, non identifica i soggetti delle dichiarazioni, non conferisce pubblica fede agli atti, non autentica firme o copie e non produce atto pubblico o scrittura privata autenticata.

CertiSigma non opera come prestatore di servizi fiduciari qualificati ai sensi del Regolamento UE n. 910/2014 eIDAS con riferimento a firma elettronica qualificata, sigillo elettronico qualificato, recapito certificato qualificato o certificato qualificato di autenticazione di sito web.

Il livello T1 utilizza un timestamp qualificato eIDAS erogato da una Time Stamping Authority esterna qualificata. Tale qualificazione si riferisce esclusivamente al token RFC 3161 emesso dalla TSA sulla Merkle root del batch e non costituisce qualificazione di CertiSigma come prestatore fiduciario.

CertiSigma non è un sistema di conservazione a norma e non opera come autorità di certificazione X.509. Le evidenze CertiSigma possono essere integrate in sistemi di conservazione o processi legali gestiti dal cliente o da terzi.

Il valore probatorio dipende dal contesto

Il valore dell'evidenza dipende dal contesto: legge applicabile, catena di custodia, processo interno, documentazione circostante, governance delle credenziali e valutazione dell'autorità o della controparte competente.

CertiSigma fornisce un componente: l'evidenza crittografica verificabile. Tutti gli altri componenti — chi ha creato il file, in quale processo, con quale autorità, sotto quale norma — restano responsabilità dell'organizzazione e del suo consulente legale.

Dalla dichiarazione interna all'evidenza verificabile

Una lista hash conservata localmente può essere utile. Un file Excel con timestamp interno può essere utile. Uno screenshot può essere utile.

Ma tutti questi elementi possono dipendere dalla fiducia nell'organizzazione che li produce.

CertiSigma aggiunge un riferimento esterno e verificabile. Il digest viene attestato (T0), può essere incluso in strutture Merkle e, dove configurato, collegato a timestamping esterno qualificato (T1 Sectigo eIDAS) o anchoring pubblico (T2 OpenTimestamps su Bitcoin).

Formulazioni corrette

Quando si descrive il valore probatorio di un'evidenza CertiSigma in un report, contratto, claim al cliente o memoria difensiva, le formulazioni corrette sono:

• Evidenza crittografica che può supportare una revisione legale.

• Supporto alla raccolta di evidenze e documentazione dei controlli.

• Evidenza di anteriorità e integrità.

• Tamper-evident (rilevazione di manomissione, non prevenzione assoluta).

• Evidenza temporale verificabile in modo indipendente.

• Correlazione forense che richiede contesto investigativo.

Formulazioni da evitare

Le seguenti formulazioni sono materialmente errate o sovragenerali e vanno evitate in qualsiasi documento ufficiale che faccia riferimento a CertiSigma:

• Prova legalmente definitiva.

• Certifica la conformità.

• Prova la proprietà.

• Tamper-proof (formulazione vietata: nulla è tamper-proof, si rileva la manomissione).

• Prova immutabile.

• Leak detected / Exfiltration detected (semantica investigativa non supportata dal solo digest).

• Zero-knowledge (riservato a protocolli ZKP documentati esplicitamente, non in uso cut 1).

Audit e contesto forense

In un audit (interno o esterno), CertiSigma fornisce evidenze datate e ri-verificabili che documentano controlli, baseline, remediation e processo di gestione documentale. L'auditor mantiene autonomia di giudizio: l'evidenza supporta la review, non la sostituisce.

In un contesto forense, CertiSigma fornisce evidenza di anteriorità e integrità di file, manifest, report o package di evidenza. La correlazione con eventi (chi, quando, perché, come) richiede contesto investigativo: log, catena di custodia, autenticazione operatore, processo interno documentato.

Messaggio essenziale

CertiSigma non sostituisce il giudizio legale, forense o di audit. Rende più forte, verificabile e portabile il materiale su cui quel giudizio può fondarsi.