TMD vs TMK: differenze giuridiche e pratiche

Introduzione: perché distinguere TMD e TMK?

Nell'ecosistema della fiducia numerica europeo, le nozioni di Trustmark di Dati (TMD) e di Trustmark di Chiavi (TMK) — designando rispettivamente i meccanismi di marcatura di fiducia per i dati elettronici e per le infrastrutture di chiavi crittografiche — suscitano spesso confusione tra i professionisti del diritto e i responsabili informatici. Tuttavia, i loro regimi giuridici, le loro portate tecniche e le loro implicazioni pratiche differiscono fondamentalmente. Questo articolo chiarisce questi due dispositivi, presenta il loro quadro normativo rispettivo e guida le organizzazioni B2B nella scelta più adatta ai loro flussi documentali.

---

Che cos'è il TMD (Trustmark di Dati)?

Il TMD, o meccanismo di marcatura di fiducia applicato ai dati, designa un insieme di procedure e attributi crittografici che permettono di certificare l'integrità e l'autenticità di un insieme di dati o di un documento elettronico. Si basa principalmente su meccanismi di sigillo elettronico qualificato (qualified electronic seal) ai sensi del regolamento eIDAS.

Fondamenti tecnici del TMD

Tecnicamente, un TMD si basa su:

• Una funzione di hash (SHA-256, SHA-3) applicata ai dati sorgente, generando un'impronta numerica unica;

• Un certificato numerico emesso da un Fornitore di Servizi di Fiducia Qualificato (FSFQ), garantendo l'identità dell'entità emittente;

• Un timestamp elettronico qualificato conforme alla norma ETSI EN 319 421, fornendo una prova temporale opponibile.

Questi tre elementi combinati conferiscono al TMD un alto valore probatorio, assimilabile a quello di un atto autentico in molti Stati membri dell'UE. Per approfondimenti sul valore giuridico dei documenti con timestamp, consulta il nostro guida completa della firma elettronica.

Ambiti di applicazione privilegiati del TMD

Il TMD è particolarmente adatto ai contesti in cui l'organizzazione ha bisogno di certificare l'integrità di grandi volumi di dati senza richiedere l'intervento attivo di una persona fisica identificata. Lo si ritrova in particolare in:

• La certificazione di flussi contabili e finanziari (giornali di revisione, bilanci generali);

• La conservazione legale di prove numeriche (archivio probatorio conforme a NF Z 42-013);

• Gli scambi EDI tra partner commerciali nelle catene di approvvigionamento.

---

Che cos'è il TMK (Trustmark di Chiavi)?

Il TMK, o meccanismo di marcatura di fiducia incentrato sulle chiavi crittografiche, si iscrive in una logica diversa: certifica non i dati stessi, ma le infrastrutture a chiave pubblica (PKI) e i dispositivi di creazione di firma utilizzati dai firmatari. È intimamente legato alle nozioni di Dispositivo Qualificato di Creazione di Firma (QSCD) definito nell'Allegato II del regolamento eIDAS.

Architettura crittografica del TMK

Un TMK comporta:

• Un modulo HSM (Hardware Security Module) certificato CC EAL 4+ o FIPS 140-2 livello 3, garantendo che le chiavi private non lascino mai il dispositivo protetto;

• Una politica di certificazione documentata (CPS – Certification Practice Statement) pubblicata dal FSFQ;

• Meccanismi di revoca in tempo reale via OCSP (Online Certificate Status Protocol) o CRL (Certificate Revocation List).

La solidità del TMK riposa quindi sulla sicurezza fisica e logica dei dispositivi di generazione e conservazione delle chiavi. Per comprendere come questi requisiti si articolano con il quadro normativo globale, la nostra guida sul regolamento eIDAS 2.0 costituisce un riferimento essenziale.

Ambiti di applicazione privilegiati del TMK

Il TMK si impone negli scenari in cui la responsabilità giuridica di una persona fisica identificata deve essere impegnata in modo certo:

• Firma di contratti ad elevato valore giuridico (cessioni di fondi di commercio, contratti di locazione commerciale, atti notarili dematerializzati);

• Processi di autenticazione forte nei portali amministrazione-aziende (API doganali, piattaforme Chorus Pro);

• Validazione di ordini di pagamento negli istituti finanziari soggetti alla DSP2.

---

Comparazione giuridica: TMD vs TMK

La distinzione più strutturante tra TMD e TMK risiede nel loro collegamento legale all'interno del regolamento eIDAS (n. 910/2014) e del suo successore eIDAS 2.0 (regolamento UE 2024/1183).

Regime di responsabilità

| Criterio | TMD | TMK | |---|---|---| | Entità responsabile | Persona giuridica (organizzazione) | Persona fisica o giuridica identificata | | Livello di fiducia | Avanzato o qualificato (sigillo) | Qualificato (firma elettronica qualificata) | | Presunzione legale | Integrità dei dati | Consenso e identità del firmatario | | Portata transfrontaliera | Riconoscimento automatico UE | Riconoscimento automatico UE (art. 25 eIDAS) |

Il TMD impegna la responsabilità dell'entità emittente: se l'integrità dei dati certificati è compromessa, è l'organizzazione che deve rispondere. Il TMK, al contrario, impegna la responsabilità individuale del titolare della chiave — il che lo rende lo strumento indispensabile per ogni atto in cui la volontà personale deve essere provata senza ambiguità.

Forza probante davanti alle giurisdizioni francesi

In diritto francese, l'articolo 1366 del Codice civile stabilisce che «lo scritto elettronico ha la stessa forza probante dello scritto su supporto cartaceo, a condizione che possa essere debitamente identificata la persona da cui emana e che sia redatto e conservato in condizioni tali da garantirne l'integrità». Questa formulazione copre entrambi i meccanismi, ma con importanti sfumature:

• Un documento protetto da un TMD qualificato beneficia di una presunzione di integrità che inverte l'onere della prova;

• Un documento firmato tramite un TMK qualificato beneficia, inoltre, di una presunzione di imputabilità — il firmatario deve stesso provare che non ha firmato, il che è estremamente difficile.

Questa asimmetria probatoria spiega perché i giuristi e gli studi legali che ricorrono alla firma elettronica privilegiano il TMK per gli atti soggetti a una condizione di forma legale.

Interoperabilità e riconoscimento reciproco

eIDAS 2.0 rafforza l'interoperabilità tramite i European Digital Identity Wallets (EDIW), che integreranno nativamente meccanismi TMK per i cittadini e i professionisti. I TMD, invece, si basano maggiormente sulle liste di fiducia nazionali (Trusted Lists) pubblicate da ogni Stato membro. La Francia pubblica la sua tramite l'ANSSI, e ogni FSFQ qualificato vi è registrato. Per un'analisi comparativa delle soluzioni del mercato, il nostro comparativo delle soluzioni di firma elettronica ti darà elementi concreti per la decisione.

---

Implicazioni pratiche per le aziende B2B

Scegliere tra TMD e TMK in base al tipo di documento

La regola d'oro è semplice: il livello di rischio giuridico del documento determina il meccanismo da implementare.

• Documenti a rischio moderato (ordini di acquisto, preventivi, CGV, accordi di riservatezza NDA standard): un TMD con sigillo avanzato generalmente è sufficiente. Offre una protezione robusta dell'integrità senza sovracosti legati alla qualificazione QSCD.

• Documenti a rischio elevato (contratti di lavoro, procure, atti di cessione, impegni finanziari superiori a 50.000 €): il TMK qualificato è consigliato, o talvolta obbligatorio in alcuni settori regolamentati (banche, assicurazioni, sanità).

Per i team HR che gestiscono grandi volumi di contratti di lavoro, la nostra soluzione di firma elettronica per le HR integra nativamente un livello di fiducia adatto a ogni tipo di documento.

Costi e tempi di implementazione

Il TMD è generalmente meno costoso da implementare poiché non richiede un processo di identificazione forte (KYC/AML) per ogni firmatario. La sua integrazione tramite API in un sistema di gestione documentale (GED) o un ERP impiega in media 2-6 settimane a seconda della complessità dell'ambiente IT.

Il TMK, a causa dei requisiti QSCD e del processo di verifica dell'identità, comporta un tempo di onboarding di 3-10 giorni lavorativi per firmatario. Per le organizzazioni che gestiscono molti partner esterni, ciò può rappresentare un fattore di frizione da anticipare nella gestione del cambiamento.

Archiviazione e conservazione

Indipendentemente dal meccanismo scelto, ogni organizzazione soggetta al diritto francese deve rispettare le durate di conservazione legali: 10 anni per i contratti commerciali (articolo L. 110-4 del Codice di commercio), 5 anni per i dati personali associati (RGPD art. 5). Un sistema di archiviazione probatoria conforme alla norma NF Z 42-013 garantisce che il valore giuridico del TMD o del TMK sia preservato nel tempo, anche in caso di migrazione tecnologica.

Quadro legale applicabile ai TMD e TMK

Regolamento eIDAS e la sua evoluzione

Il fondamento normativo dei meccanismi TMD e TMK è costituito dal regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014, detto regolamento eIDAS. Questo testo fondativo stabilisce la gerarchia dei livelli di fiducia (semplice, avanzato, qualificato) e definisce le condizioni di riconoscimento transfrontaliero dei servizi di fiducia all'interno dell'Unione europea.

Nel 2024, il regolamento (UE) 2024/1183 (eIDAS 2.0) ha sostanzialmente rivisto questo quadro, introducendo in particolare:

• I European Digital Identity Wallets (EDIW) obbligatori per gli Stati membri entro il 2026;

• Nuove categorie di servizi di fiducia, incluse le attestazioni elettroniche di attributi qualificati;

• Requisiti rafforzati per gli FSFQ in materia di cybersicurezza (allineamento NIS2).

Codice civile francese: articoli 1366 e 1367

In diritto interno, gli articoli 1366 e 1367 del Codice civile (derivanti dall'ordinanza n. 2016-131 del 10 febbraio 2016) pongono le condizioni del valore probatorio dello scritto elettronico. L'articolo 1367 precisa che la firma elettronica qualificata (basata su un TMK qualificato e un QSCD) «crea una presunzione semplice di affidabilità». Questa presunzione è revocabile, ma inverte l'onere della prova a favore del beneficiario della firma.

Norme ETSI applicabili

Le specifiche tecniche dei TMD e TMK sono normalizzate dall'ETSI (European Telecommunications Standards Institute):

• ETSI EN 319 132: firma elettronica avanzata XAdES;

• ETSI EN 319 122: firma CAdES;

• ETSI EN 319 142: firma PAdES (PDF);

• ETSI EN 319 421: politica di timestamp elettronico qualificato;

• ETSI EN 319 401: requisiti generali per gli FSFQ.

RGPD e protezione dei dati

L'implementazione di TMD e TMK comporta il trattamento di dati personali (identità del firmatario, metadati di firma). Il regolamento (UE) 2016/679 (RGPD) impone:

• Una base legale esplicita per il trattamento (esecuzione del contratto, art. 6.1.b, o obbligo legale, art. 6.1.c);

• Un registro dei trattamenti che documenti i flussi di dati verso gli FSFQ;

• Clausole contrattuali adatte se l'FSFQ è stabilito fuori dall'UE o utilizza sub-fornitori extra-europei.

Direttiva NIS2 e cybersicurezza delle infrastrutture PKI

La direttiva (UE) 2022/2555 (NIS2), trasposta nel diritto francese dalla legge del 17 aprile 2024, sottopone gli FSFQ qualificati a obblighi rafforzati di gestione dei rischi cyber, di notificazione degli incidenti (termine di 24 ore per la notificazione iniziale all'ANSSI) e di audit periodico. Per le aziende utenti, ciò si traduce in un obbligo di due diligence accresciuta nella scelta del loro fornitore di fiducia.

Scenari di utilizzo concreti

Scenario 1: una PMI industriale che gestisce 300 contratti fornitori all'anno

Una PMI industriale con circa cento dipendenti, specializzata nella produzione di componenti meccanici, gestisce annualmente circa 300 contratti fornitori (acquisti di materie prime, prestazioni di manutenzione, contratti-quadro logistici). Fino ad allora, questi documenti transitavano per posta o email non protetta, con tempi medi di firma di 12-18 giorni lavorativi.

Implementando un meccanismo TMD qualificato per i contratti di valore inferiore a 20.000 € e un TMK qualificato per gli impegni superiori o pluriennali, la PMI riduce i tempi di firma a 1,8 giorni lavorativi in media, una riduzione di oltre l'85%. I contenziosi legati alla contestazione dell'integrità documentale, che rappresentavano 2-3 dossier contenziosi all'anno, scendono a zero nei 18 mesi successivi all'implementazione — la presunzione legale associata ai meccanismi qualificati dissuade i tentativi di rimettere in discussione.

Scenario 2: un gruppo ospedaliero di circa 600 posti letto

Un gruppo ospedaliero pubblico che gestisce diversi stabilimenti deve far firmare annualmente diverse migliaia di documenti: contratti di medici ospedalieri, protocolli di ricerca clinica, convenzioni con partner universitari e laboratori farmaceutici. Il settore sanitario impone vincoli normativi specifici (HDS — Hosting di Dati Sanitari, PGSSI-S).

Il gruppo implementa un TMK qualificato per le firme dei medici (impegnando la loro responsabilità medica e giuridica) e un TMD avanzato per la certificazione dei flussi di dati pazienti tra stabilimenti. La combinazione dei due meccanismi consente di ridurre i costi di stampa, scansione e archiviazione fisica di 45.000 € all'anno rafforzando al contempo la conformità RGPD e HDS. Gli audit di conformità, precedentemente richiedenti 3 settimane di preparazione documentale, si riducono a 4 giorni grazie ai giornali di audit automatizzati.

Scenario 3: uno studio di consulenza in fusioni e acquisizioni di medie dimensioni

Uno studio specializzato in M&A che accompagna una decina di operazioni all'anno deve gestire lettere di intenti (LOI), accordi di riservatezza rafforzati, protocolli d'intesa e atti di cessione. Il valore delle operazioni è compreso tra 5 M€ e 80 M€. La minima contestazione sull'autenticità di un documento può bloccare una transazione per mesi.

Imponendo contrattualmente il ricorso al TMK qualificato per tutti i documenti di transazione dalla fase di due diligence, lo studio elimina i rischi di contestazione formale. Le controparte estere (in particolare britanniche e americane post-Brexit) riconoscono il valore probatorio delle firme qualificate eIDAS nel quadro di clausole di legge applicabile europea. Il tempo medio di closing documentale passa da 22 giorni a 8 giorni, cioè un guadagno del 63% sui tempi di finalizzazione.

Conclusione

TMD e TMK non sono intercambiabili: il primo certifica l'integrità dei dati su scala organizzativa, il secondo impegna la responsabilità individuale del firmatario con la massima forza probante prevista da eIDAS. Comprendere questa distinzione è ormai un prerequisito per ogni seria politica documentale in ambiente B2B. La scelta del meccanismo giusto dipende direttamente dal livello di rischio giuridico di ogni tipo di documento e dai vincoli settoriali applicabili.

Certyneo ti accompagna nell'implementazione di una strategia di fiducia numerica che combina TMD e TMK in base ai tuoi flussi documentali reali. La nostra piattaforma gestisce entrambi i meccanismi, integra i requisiti eIDAS 2.0 e si adatta al tuo SI esistente. Richiedi una dimostrazione o confronta le nostre offerte sulla pagina Prezzi Certyneo — i nostri esperti giuridici e tecnici sono disponibili per un audit gratuito della tua situazione.