CertiSigma
Verify Console
CertiSigma

Cosa proviamo · cosa NON proviamo

CertiSigma non prova tutto. Prova meglio ciò che può provare.

CertiSigma non è una fonte di verità sul contenuto. Non stabilisce automaticamente proprietà, paternità, liceità, consenso, identità o conformità. Fornisce evidenze crittografiche verificabili su digest, firme, timestamp, prove di inclusione, root e bundle di evidenza.

CertiSigma può aiutare a provare

  • Che un digest è stato osservato da CertiSigma a un orario registrato

    T0 produce un record primario: un payload canonico firmato ECDSA che lega il digest SHA-256 a un timestamp UTC e a un attestation id. Il payload è verificabile localmente con la chiave pubblica CertiSigma.

  • Che una chiave CertiSigma ha firmato un payload canonico contenente quel digest

    La firma ECDSA NIST P-256 + SHA-256 (FIPS 186-4) è verificabile in modo indipendente, anche offline, con la public key pubblicata via API. Vedi Key Management & Verifica offline.

  • Che un digest è stato incluso in una root Merkle o in un batch di evidenze

    La struttura Merkle interna è esposta come proof: chiunque può ricostruire il percorso dal digest foglia fino alla root, dimostrando l'inclusione senza fidarsi dell'interfaccia CertiSigma.

  • Che una root Merkle è stata marcata temporalmente da una TSA qualificata eIDAS (T1)

    T1 collega la root a un TimeStampToken RFC 3161 emesso da Sectigo, Trust Service Provider qualificato eIDAS. Verifica indipendente con la public key TSA Sectigo.

  • Che una root Merkle è stata ancorata pubblicamente su Bitcoin (T2)

    T2 collega la root a un commit OpenTimestamps su blockchain Bitcoin. Verificabile con strumenti open source e un nodo o explorer pubblico, senza alcuna API CertiSigma.

  • Che un file attuale corrisponde a una baseline hash precedente

    Confronto SHA-256 fra file e attestazione registrata: se gli hash coincidono, il file è bit-identico alla baseline attestata. Pattern utile per integrity check, baseline review, compare report.

  • Che un report, manifest o evidence bundle esisteva in una specifica forma verificabile

    Evidence bundle: snapshot crittografico di metadata, digest, firme, proof e materiali di verifica raccolti al momento dell'attestazione. Portabile, auto-contenuto, ri-verificabile da terzi.

CertiSigma NON prova

  • Chi ha creato il file sottostante

    CertiSigma osserva digest, non contenuto. Non c'è alcun meccanismo crittografico che leghi il digest all'identità del creatore — quella prova richiede catena di custodia documentata, autenticazione del firmatario, contesto operativo verificato.

  • Chi possiede il contenuto

    Proprietà è un concetto giuridico, non crittografico. Un digest osservato non prova diritti, non prova licenza, non prova titolarità. CertiSigma non è un registro di proprietà e non emette token che rappresentino possesso.

  • Se il contenuto è vero, lecito, completo o non fuorviante

    Il digest è cieco rispetto al contenuto. CertiSigma non può valutare verità, liceità, completezza o tono di un file. Queste valutazioni richiedono lettura umana, contesto legale, verifica delle fonti.

  • Se una persona ha prestato consenso

    Il consenso è un atto giuridico documentale. Un digest può essere usato per attestare l'esistenza di un modulo di consenso in una forma, ma non sostituisce la prova dell'atto stesso di prestare il consenso.

  • Se l'esfiltrazione è avvenuta di per sé

    Census, baseline e file-match possono indicare che un file con quel digest è stato trovato in un determinato contesto operativo. Non provano l'evento di esfiltrazione, che richiede contesto investigativo, log, catena di custodia e valutazione forense.

  • Se un'organizzazione è automaticamente conforme

    Conformità (NIS2, GDPR, ISO 27001, SOC 2, eIDAS) è uno stato organizzativo valutato da auditor, autorità o controparti competenti. CertiSigma fornisce materiale evidenziale che supporta l'audit, non un giudizio di conformità.

  • Se un documento ha validità legale conclusiva

    Validità legale dipende da legge applicabile, forma documentale, autorità del firmatario, contesto processuale. CertiSigma rafforza materialmente la posizione evidenziale, ma non sostituisce la valutazione del giudice, del notaio o dell'autorità competente.

Formulazioni corrette e da evitare

Formulazioni corrette

  • Evidenza crittografica che può supportare una revisione legale.
  • Supporto alla raccolta di evidenze e documentazione dei controlli.
  • Evidenza di anteriorità e integrità.
  • Tamper-evident (rilevazione di manomissione, non prevenzione assoluta).
  • Evidenza temporale verificabile in modo indipendente.
  • Correlazione forense che richiede contesto investigativo.

Formulazioni da evitare

  • Prova legalmente definitiva.
  • Certifica la conformità.
  • Prova la proprietà.
  • Tamper-proof (formulazione vietata: nulla è tamper-proof, si rileva la manomissione).
  • Prova immutabile.
  • Leak detected (semantica investigativa non supportata dal digest).
  • Exfiltration detected (idem: serve contesto investigativo).
  • Zero-knowledge (riservato a protocolli ZKP documentati esplicitamente, non in uso cut 1).

Formula di lettura corretta

CertiSigma fornisce evidenze crittografiche che possono supportare una revisione legale, forense, di audit o di compliance. Il valore probatorio dipende dal contesto, dalla legge applicabile, dalla catena di custodia, dalla documentazione circostante e dalla valutazione dell'autorità competente.

Legal, Audit & Forensic Positioning → Trust Model T0 · T1 · T2 → Parla con noi →