TMD vs TMK: Differenzi Legali u Prattiċi

Introduzzjoni: għaliex għandek tiddistingi TMD u TMK?

Fl-ekosistema tal-fiduċja numerika Ewropea, il-kunċetti ta' Trustmark ta' Dejta (TMD) u Trustmark ta' Ċwiezi (TMK) — li jiddesinaw rispettivament il-mekkaniżmi ta' marka ta' fiduċja għad-dejta elettronika u għall-infrastrutturi ta' ċwiezi kriptografiċi — spiss isiru sors ta' konfużjoni għall-prati tad-dritt u għall-responsabbli ta' IT. Madankollu, ir-regimi legali tagħhom, l-iskop tekniċi u l-implikazzjonijiet prattiċi jiddifferenżjaw fundamentalment. Dan l-artiklu jiddemistifika dawn iż-żewġ mekkaniżmi, jippreżenta r-qafas regolatorju rispettiv tagħhom u jigga' l-organizzazzjonijiet B2B fl-għażla l-aktar adatta għall-flussi ta' dokumenti tagħhom.

---

X'inhu TMD (Trustmark ta' Dejta)?

It-TMD, jew il-mekkaniżmu ta' marka ta' fiduċja applikat għad-dejta, jiddesin sett ta' proċeduri u attributi kriptografiċi li jippermettu ċċertifika l-integrità u l-awtentikità ta' sett ta' dejta jew dokumentu elettroniċu. Jitwettaq prinċipalment fuq mekkaniżmi ta' siġill elettroniċu kwalifikat (qualified electronic seal) skond ir-regolament eIDAS.

Pedamenti tekniċi tal-TMD

B'mod tekniċi, TMD itwettaq fuq:

• Funzjoni ta' hash (SHA-256, SHA-3) applikata għad-dejta tas-sors, li tiġġenera impronta numerika unika;

• Ċertifikat numeriku emiż minn Fornitur ta' Servizzi ta' Fiduċja Kwalifikat (PSCQ), li tiggarantixxi l-identità tal-entità emittenta;

• Orloġ elettroniċu kwalifikat konformi mad-standard ETSI EN 319 421, li jipprovdi prova temporali opponibbli.

Dawn it-tliet elementi magħqudin tagħtu lil TMD valur ta' prova għoli, assimilabbli għal dak ta' att awtentiku f'ħafna Stati Membri tal-UE. Biex taqra aktar dwar il-valur legali ta' dokumenti orloġjati, ikkunsulta l-gwida kompleta tal-firma elettronika.

Oqsma ta' applikazzjoni privilegjati tal-TMD

It-TMD huwa partikolarment adatt għal kuntest fejn l-organizzazzjoni għandha bżonn ċċertifika l-integrità ta' volumetriji kbar ta' dejta mingħajr bżonn ta' interveniment attiv ta' persuna fiżika identifikata. Jilqaħ partikolarment f':

• Iċċertifikazzjoni ta' flussi ta' kuntabilità u finanzjarja (ġurnali ta' audit, balanssi ġenerali);

• Konservazzjoni legali ta' provi numerika (arċivjar ta' prova konformi NF Z 42-013);

• Skambji EDI bejn kollegi kommerċjali fil-ktajjen ta' provvista.

---

X'inhu TMK (Trustmark ta' Ċwiezi)?

It-TMK, jew il-mekkaniżmu ta' marka ta' fiduċja ċentrat fuq ċwiezi kriptografiċi, jinduħħal f'loġika differenti: iċċertifika mhux id-dejta nnifisha, imma l-infrastrutturi ta' ċwież pubbliċu (PKI) u d-dispożittivi ta' ħolqien ta' firma użati mill-firmanti. Huwa intimament marbut mal-kunċetti ta' Dispożittiv Kwalifikat ta' Ħolqien ta' Firma (QSCD) definit fl-Anness II tar-regolament eIDAS.

Arkitektura kriptografika tal-TMK

TMK jimplika:

• Modulu HSM (Hardware Security Module) ċċertifikat CC EAL 4+ jew FIPS 140-2 livell 3, li jiggarantixxi li l-ċwiezi privati qatt ma joħorġu mid-dispożittiv sikur;

• Politika ta' ċertifikazzjoni dokumentata (CPS – Certification Practice Statement) ippublikata mill-PSCQ;

• Mekkaniżmi ta' revoka f'waqtu reali via OCSP (Online Certificate Status Protocol) jew CRL (Certificate Revocation List).

Is-solidu tat-TMK huwa bbażat għaldaqstant fuq is-sigurtà fiżika u loġika tad-dispożittivi ta' ġenerazzjoni u ħżin tal-ċwiezi. Biex tifhem kif dawn ir-rekwirimenti jittqiegħdu matul il-qafas regolatorju globali, il-gwida dwar ir-regolament eIDAS 2.0 tikkostitwixxi referenza essenzjali.

Oqsma ta' applikazzjoni privilegjati tal-TMK

It-TMK huwa neċessarju fil-iskeni fejn ir-responsabilità legali ta' persuna fiżika identifikata għandu jinħeles b'mod ċert:

• Firma ta' kuntratti bi valur legali għoli (cessjonamenti ta' fondi ta' kummerċ, ħamesta kummerċjali, atti notarjali dematrizzalizzati);

• Proċess ta' awtentifikazzjoni qawwa f'portali ta' amministrazzjoni-intrapriża (APIs doganjal, pjattaformi Chorus Pro);

• Validazzjoni ta' ordini ta' pagament f'istituzzjonijiet finanzjari suġġetti għad-DSP2.

---

Paragun legali: TMD vs TMK

Id-distinzjoni l-aktar strutturizzanta bejn TMD u TMK titwettaq fil-allokazzjoni legali tagħhom fi ħdan ir-regolament eIDAS (nru 910/2014) u s-suċċessur tiegħu eIDAS 2.0 (regolament UE 2024/1183).

Regim ta' responsabilità

| Kritieru | TMD | TMK | |---|---|---| | Entità responsabbli | Persuna morali (organizzazzjoni) | Persuna fiżika jew morali identifikata | | Livell ta' fiduċja | Avvanzat jew kwalifikat (siġill) | Kwalifikat (firma elettronika kwalifikata) | | Presunzjoni legali | Integrità tad-dejta | Kunsens u identità tal-firmant | | Skop transfrontjera | Rikonoxximent awtomatiku UE | Rikonoxximent awtomatiku UE (art. 25 eIDAS) |

It-TMD jinvolvi r-responsabilità tal-entità emittenta: jekk l-integrità tad-dejta ċċertifikata tkun kompromessa, huwa l-organizzazzjoni li għandha tirrispondi għaliha. It-TMK, min-naħa l-oħra, jinvolvi r-responsabilità individwali tal-mieħel tal-ċwież — li jigħerbu għal għodda essenzjali għal kwalunkwe att fejn il-volontà personali trid titwettaq mingħajr ambigwità.

Forza ta' prova quddiem il-ġudikatura Franċiża

F'dritt Franċiż, l-artikolu 1366 tal-Kodiċi Civil jiddikjara li « l-iktib elettroniċu għandu l-istess forza ta' prova bħall-iktib fuq appoġġ ta' karta, taħt ir-riżerva li tista' tindetifikata b'mod dovutu l-persuna li minha tmur u li jitwettaq u jiġi ppreservat f'kundizzjonijiet tali li jiżguraw l-integrità tiegħu ». Din il-formulazzjoni tkopri iż-żewġ mekkaniżmi, imma b'nuanzi importanti:

• Dokumentu protett minn TMD kwalifikat jgawdi minn presunzjoni ta' integrità li timbut l-kariga tal-prova;

• Dokumentu ffirmat via TMK kwalifikat jgawdi, kif ukoll, minn presunzjoni ta' imputabilità — il-firmant stess irid jipprova li ma ffirmx, li huwa estremament diffiċli.

Din l-asimmetrija ta' prova tispjega għaliex il-legal u l-kabinetti legali li jużaw firma elettronika jagħtu preferenza lit-TMK għall-atti soġġetti għal kundizzjoni ta' forma legali.

Interoperabilità u rikonoxximent mutwu

eIDAS 2.0 iħeġġeġ l-interoperabilità permezz tal-European Digital Identity Wallets (EDIW), li jintegraw natively mekkaniżmi TMK għaċ-ċittadini u l-professjonisti. It-TMD, min-naħa tagħhom, jiddependu aktar mill-listi ta' fiduċja nazzjonali (Trusted Lists) ippubblikati minn kull Stat Membru. Il-Franza tipubblika tiegħu permezz tal-ANSSI, u kwalunkwe PSCQ kwalifikat huwa referenzzjat fih. Għal analiżi komparattiva tal-soluzzjonijiet fil-merkatu, il-komparativ tal-soluzzjonijiet ta' firma elettronika se jigħtik elementi konkreti ta' deċiżjoni.

---

Implikazzjonijiet prattiċi għall-intrapriżi B2B

Għażla bejn TMD u TMK skond it-tip ta' dokumentu

Il-regola tad-deheb hija sempliċi: il-livell ta' riskju legali tal-dokumentu jiddetta l-mekkaniżmu li għandu jintuża.

• Dokumenti b'riskju moderat (ordini ta' kommissjoni, kwotazzjonijiet, CGV, akkordi ta' kunfidenzjalità NDA standard): TMD b'siġill avvanzat ġeneralment huwa suffiċjent. Joffri protezzjoni robusta tal-integrità mingħajr kost eċċessiv relatat mal-kwalifikazzjoni QSCD.

• Dokumenti b'riskju għoli (kuntratti ta' ħidma, mandati, atti ta' cessjoni, impegni finanzjari akbar minn 50,000 €): it-TMK kwalifikat huwa rrakkommandat, u possibilment forzat minn ċerti setturi regolati (bank, assigurazzjoni, saħħa).

Għall-equipi ta' Riżorsi Umani li jiddeġistjaw volumi grandi ta' kuntratti ta' ħidma, il-soluzzjoni ta' firma elettronika għar-RH tintegra natively livell ta' fiduċja adatt għal kull tip ta' dokumentu.

Kosti u termini ta' tpiżżir

It-TMD ġeneralment ikun inqas għali li jintuża għax ma jeħtieġx proċess ta' identifikazzjoni qawwa (KYC/AML) għal kull firmant. L-integrazione tiegħu permezz tal-API f'sistema ta' ġestjoni ta' dokumenti (GED) jew ERP tieħu f'medja 2 sa 6 ġimgħat skond il-kumplessità tal-ambjent IT.

It-TMK, minħabba r-rekwirimenti QSCD u l-proċess ta' verifikazzjoni tal-identità, jimplika termin ta' onboarding ta' 3 sa 10 ġimgħat ta' ħidma għal kull firmant. Għall-organizzazzjonijiet li jiddeġistjaw ħafna sħab esterni, dan jista' jirrappreżenta fattur ta' frizzjoni li trid tantiċipa fil-ġestjoni tal-bidla.

Arċivjar u konservazzjoni

Indipendentement mill-mekkaniżmu magħżul, kwalunkwe organizzazzjoni soġġetta għad-dritt Franċiż trid irrisspetta d-durati ta' konservazzjoni legali: 10 snin għall-kuntratti kommerċjali (artikolu L. 110-4 tal-Kodiċi ta' Kummerċ), 5 snin għad-dejta personali assoċjata (GDPR art. 5). Sistema ta' arċivjar ta' prova konformi mad-standard NF Z 42-013 tiggarantixxi li l-valur legali tat-TMD jew it-TMK jitpreserva f'din il-ħin, anki f'każ ta' migrazzjoni tekniċi.

Qafas legali applikabbli għat-TMD u TMK

Regolament eIDAS u l-evoluzzjoni tiegħu

Il-pedament regolatorju tal-mekkaniżmi TMD u TMK huwa kompożt minn ir-regolament (UE) nru 910/2014 tal-Parlament Ewropew u tal-Kunsill ta' 23 ta' Lulju 2014, isem ir-regolament eIDAS. Dan it-test fundamentali jistabbilixxxi l-ierarki ta' livelli ta' fiduċja (sempliċi, avvanzat, kwalifikat) u jiddefinixxi l-kundizzjonijiet ta' rikonoxximent transfrontjera tas-servizzi ta' fiduċja fil-Unjoni Ewropea.

Fl-2024, ir-regolament (UE) 2024/1183 (eIDAS 2.0) iriveduta b'mod sostanzjali dan il-qafas, u introduċċa partikolarment:

• European Digital Identity Wallets (EDIW) obbligatorji għall-Stati Membri qabel 2026;

• Kategoriji ġodda ta' servizzi ta' fiduċja, inklużi attestazzjonijiet elettroniċi ta' attributi kwalifikati;

• Rekwirimenti rinfurzati għall-PSCQ f'materja ta' sigurtà siber (allinjament NIS2).

Kodiċi Civil Franċiż: artikoli 1366 u 1367

F'dritt intern, l-artikoli 1366 u 1367 tal-Kodiċi Civil (li joriġinaw mill-ordnanza nru 2016-131 ta' 10 ta' Frar 2016) jistabbilixxu l-kundizzjonijiet tal-valur ta' prova tal-iktib elettroniċu. L-artikolu 1367 jikkarifikha li l-firma elettronika kwalifikata (ibbażat fuq TMK kwalifikat u QSCD) « tkun presunzjoni sempliċi ta' affidabilità ». Din il-presunzjoni hija riversibbli, imma timbut il-kariga tal-prova favorevolment lill-benefiċjarju tal-firma.

Norms ETSI applikabbli

L-ispeċifikazzjonijiet tekniċi tat-TMD u TMK jissew-normalizzaw mill-ETSI (Istitut Ewropew tal-Standards ta' Telekomunikazzjonijiet):

• ETSI EN 319 132: firma elettronika avvanzata XAdES;

• ETSI EN 319 122: firma CAdES;

• ETSI EN 319 142: firma PAdES (PDF);

• ETSI EN 319 421: politika ta' orloġ elettroniċu kwalifikat;

• ETSI EN 319 401: rekwirimenti ġenerali għall-PSCQ.

GDPR u protezzjoni tad-dejta

It-tpiżżir tat-TMD u TMK jimplika l-ipproċessjar ta' dejta ta' karattru personali (identità tal-firmant, metadejta ta' firma). Ir-regolament (UE) 2016/679 (GDPR) jimponi:

• Bażi legali espliċita għall-ipproċessjar (eseċuzzjoni ta' kuntratt, art. 6.1.b, jew obbligu legali, art. 6.1.c);

• Reġistratur ta' pproċessjar li jiddokumenta l-flussi ta' dejta lejn il-PSCQ;

• Kundizzjonijiet kontrattwali adatti jekk il-PSCQ jkollu sedis barra l-UE jew juża subkuntratturi extra-Ewropej.

Direttiva NIS2 u sigurtà siber tal-infrastrutturi PKI

Id-direttiva (UE) 2022/2555 (NIS2), ittraposata f'dritt Franċiż bil-liġi ta' 17 ta' April 2024, issoġġetta l-PSCQ kwalifikati għal obbligazzjonijiet rinfurzati ta' ġestjoni tar-riskji siber, ta' notifika ta' inċidenti (termin ta' 24h għan-notifika inizjali lill-ANSSI) u audit perjodiku. Għall-intrapriżi li jużaw, dan jittradwix f'obbligu ta' dovuta diligenza akbar meta jintgħażlu l-PSCQ tagħhom.

Iskeni ta' użu konkreti

Iskeni 1: PME industrijali li tiddeġistja 300 kuntratti ta' fornituri per sena

PME industrijaluindustrija ta' qawwa ħamsa persuni, speċjalizzata fil-manifattura ta' komponenti mekkaniċi, tiddeġistja annwalment madwar 300 kuntratti ta' fornituri (akkwisti ta' materjali bruti, servizzi ta' manutenzjoni, kuntratti-qafas loġistiċi). Sal-issa, dawn id-dokumenti ikkultiplikaw permezz tal-posta kartaċea jew email mhux sikur, b'termini ta' firma medji ta' 12 sa 18 ġimgħat ta' ħidma.

Billi titpizziz mekkaniżmu TMD kwalifikat għall-kuntratti b'valur inqas minn 20,000 € u TMK kwalifikat għall-impegni akbar jew plurinnjali, il-PME tnaqqas it-termini tal-firma tiegħa għal 1.8 ġimgħa ta' ħidma f'medja, jiġifieri tnaqqis ta' aktar minn 85%. Il-litigi rrelatati mal-kuntestazzjoni tal-integrità ta' dokumenti, li rappreżentaw 2 sa 3 dossi ta' kuntenzjoni per sena, joqgħodu għal żero fl-18 xahar li ġejjin wara t-tpiżżir — il-presunzjoni legali assoċjata mal-mekkaniżmi kwalifikati tiddiskurawwixxi t-tentattivi ta' rimessa f'kwistjoni.

Iskeni 2: grupp ospitalir ta' madwar 600 sodda

Grupp ospitalir pubbliku li jiddeġistja diversi istabbilimenti għandu jaf iffirma annwalment bosta elf ta' dokumenti: kuntratti ta' pratizzjenti ospitaliri, protokolli ta' riċerka kliniċi, konvenzjonijiet ma' sħab univversitarji u laboratorji farmaċewtiċi. Is-settur tas-saħħa jimponixxi limitazzjonijiet regolatorji speċifiċi (HDS — Ospitality ta' Dejta Mediċali, PGSSI-S).

Il-grupp ospitalir itpizziz TMK kwalifikat għall-firmi tal-pratizzjenti (li jinvolvi r-responsabilità mediċali u legali tagħhom) u TMD avvanzat għaċ-ċertifikazzjoni tal-flussi ta' dejta pazjenti bejn l-istabbilimenti. Il-kombinazzjoni taż-żewġ mekkaniżmi tippermetti tnaqqis il-kosti ta' stampa, ta' skannjar u ta' arċivjar fiżiku ta' 45,000 € kull sena filwaqt li tintleq il-konformità GDPR u HDS. L-audits ta' konformità, li qabel kienu jeħtieġu 3 ġimgħat ta' preparazzjoni ta' dokumenti, jitnaqqsu għal 4 ijiem grazzi għall-ġurnali ta' audit awtomati.

Iskeni 3: kabinett ta' kunsill f'merger-acquisition ta' daqs medju

Kabinett speċjalizzat f'M&A li jakkumpanja għaxra operazzjonijiet per sena għandu jiddeġistja ittri ta' intenzjoni (LOI), akkordi ta' kunfidenzjalità rinfurzati, protokolli ta' tiftixkel u atti ta' cessjoni. Il-valur tal-operazzjonijiet jinsab bejn 5 M€ u 80 M€. Kull kuntestazzjoni ta' awtentikità ta' dokumentu tista' tblokka transazzjoni għal ħamsa xhur.

Bl-impożizzjoni bil-kuntratt tar-rikorsa għal TMK kwalifikat għall-ensemble ta' dokumenti ta' transazzjoni minn il-fażi ta' dovuta diligenza, il-kabinett jeliminija r-riskji ta' kuntestazzjoni formali. Il-kontraparti barranin (partikolarment dawk Britaniċi u Amerikani post-Brexit) jirrikonoxxu l-valur ta' prova tal-firmi kwalifikati eIDAS fil-qafas ta' klawzoli ta' liġi applikabbli Ewropea. Il-ħin medju ta' closing ta' dokumenti jmur minn 22 ijiem għal 8 ijiem, jiġifieri guwadag ta' 63% fuq it-termini ta' finalizzazzjoni.

Konklużjoni

TMD u TMK mhumiex interkanji: l-ewwel iċċertifika l-integrità tad-dejta l-iskala tal-organizzazzjoni, it-tieni jinvolvi r-responsabilità individwali tal-firmant bil-forza ta' prova massimu prevista minn eIDAS. Li tifhem din id-distinzjoni huwa issa prirequisit għal kwalunkwe politika dokumentarja seria f'ambjent B2B. L-għażla tal-mekkaniżmu t-tajb tiddependi direttament mill-livell ta' riskju legali ta' kull tip ta' dokumentu u mil-limitazzjonijiet setturjali applikabbli.

Certyneo rac-ċ-akkapanji f'tistabbiliment ta' strateġija ta' fiduċja numerika li tgħaqqad TMD u TMK skond il-flussi ta' dokumenti reali tiegħek. Il-pjattaforma tiegħna tqis iż-żewġ mekkaniżmi, tintegra r-rekwirimenti eIDAS 2.0 u tattizzat l-SI eżistenti tiegħek. Aqleb għal dimostrazijoni jew qabbel l-offri tiegħna fl-paġna Prezziz Certyneo — l-esperti legali u tekniċi tiegħna huma disponibbli biex jawed bla ħlasijiet is-sitwazzjoni tiegħek.