Fiducia che va oltre il prodotto: firme e certificati nel DPP
BlogTecnica30.05.2026

Fiducia che va oltre il prodotto: firme e certificati nel DPP

Un DPP deve rimanere verificabile per dieci anni, anche se il gestore della piattaforma dovesse scomparire domani. La risposta non sta nella fiducia nell’azienda, ma nell’artefatto stesso.

Un passaporto digitale del prodotto deve rimanere verificabile per dieci anni o più. Una piattaforma software raramente dura così a lungo. Questa contraddizione ha una conseguenza chiara: la fiducia in un DPP non deve dipendere dal fornitore, ma deve essere legata al set di dati stesso. Fiducia nell’artefatto, non nell’azienda.

Come ciò si traduca nella pratica può essere illustrato attraverso quattro elementi fondamentali.

Ogni versione del DPP viene firmata

Prima del congelamento, Transpareo verifica il set di dati rispetto ai campi obbligatori specifici per categoria (convalida SHACL). Se questa verifica fallisce, la pubblicazione viene negata: viene firmato solo un pass completo e conforme alle regole.

Quando un DPP viene pubblicato, Transpareo ne congela il contenuto come versione DPP e lo firma con due chiavi indipendenti: una dell’emittente e una di Transpareo. Con la modalità «Bring Your Own Key» (BYOK), il produttore gestisce un proprio endpoint di firma: Transpareo non detiene mai la chiave privata e si limita ad aggiungere la controfirma indipendente, in modo che la firma dell’emittente sia una firma che Transpareo stessa non è in grado di generare.

Viene utilizzato lo schema Ed25519 tramite una forma canonica del record (il JSON Canonicalization Scheme, RFC 8785). Due firme, due autorità indipendenti l’una dall’altra.

La verifica avviene nel browser dell’utente. Il renderer open source Transpareo Time Machine carica i byte, ricalcola l’hash e verifica entrambe le firme senza contattare alcun nostro server. Chi fosse scettico può leggere il codice.

L’identità dell’emittente è presente sul proprio dominio

Affinché un verificatore possa trovare le chiavi pubbliche, ogni emittente pubblica la propria identità come DID:web sul proprio dominio, raggiungibile tramite un indirizzo ben definito in /.well-known/. Si tratta volutamente di un certificato non classico nel senso dello standard X.509: le catene di certificati scadono nel corso dei decenni, mentre un indirizzo HTTPS sul proprio dominio rimane stabile e sotto il vostro controllo.

Quando una chiave viene sostituita, le firme precedenti rimangono verificabili: la vecchia chiave continua a verificare ciò che ha firmato in passato, senza firmare nuovi documenti. E poiché un emittente potrebbe trasferire il proprio dominio dopo un cambio di provider, Transpareo replica ogni chiave pubblica al momento della pubblicazione su un indirizzo permanente. In questo modo ogni versione del DPP rimane verificabile, anche se l’host originale dovesse scomparire.

La registrazione UE reca un sigillo qualificato

La presentazione al prossimo registro DPP dell’UE richiede più di una semplice firma: ogni registrazione deve essere provvista di un sigillo elettronico qualificato (QES) ai sensi del Regolamento eIDAS 910/2014. Un QES è supportato da hardware ed è vincolato a una persona giuridica verificata: si tratta del massimo livello di affidabilità previsto dal diritto dell’UE.

Questa funzionalità di firma digitale qualificata sarà disponibile non appena l’atto legislativo eIDAS e l’interfaccia del registro saranno definitivi; è previsto il collegamento tramite un fornitore qualificato di servizi di fiducia. Per i produttori di medie dimensioni che non gestiscono autonomamente un’infrastruttura di firma digitale, questo rappresenta il vantaggio decisivo: l’obbligo relativo alla QES potrà essere soddisfatto senza disporre di hardware proprio.

Un archivio che sopravvive al fornitore

Non appena i DPP saranno registrati presso il registro dell’UE, ogni versione dei DPP verrà inoltre archiviata in modo immutabile per dieci anni: né il produttore né Transpareo potranno modificarla in un secondo momento. Affinché questo archivio rimanga accessibile anche qualora un giorno Transpareo non esistesse più, il suo finanziamento è garantito da un deposito notarile in Svizzera. La promessa è quindi concepita per garantire la longevità non solo dal punto di vista tecnico, ma anche contrattuale.

Ecco come una terza parte verifica il pass - senza alcun nostro intervento

Il test decisivo per la fiducia nell’artefatto consiste nel ## verificarese qualcuno possa controllare il pass senza ricorrere alla nostra infrastruttura. La procedura è la seguente:

  1. Recuperare i byte della versione DPP da una fonte qualsiasi (CDN, archivio pubblico, registro UE o archivio di terze parti)
  2. Canonizzare il set di dati e calcolarne l’hash
  3. Recuperare le chiavi pubbliche dell’emittente e di Transpareo tramite gli indirizzi indicati nel passaporto
  4. Verificare entrambe le firme rispetto all’hash: se entrambe corrispondono, il passaporto è autentico e non è stato alterato

Nessun login, nessuna chiamata a Transpareo, nessuna dipendenza da una piattaforma attiva.

Cosa è già operativo e cosa è in fase di preparazione

Le firme, la verifica tramite browser, l’identità DID:web e il Bring Your Own Key (BYOK) sono ## giàin uso. L’archivio immutabile decennale è stato creato e diventerà operativo non appena i DPP saranno registrati presso il Registro dell’UE. La funzionalità di firma elettronica qualificata (QES) per la registrazione nell’UE è prevista non appena l’atto legislativo eIDAS e l’interfaccia del registro saranno definitivi.

Il principio rimane in ogni caso lo stesso: ciò che è stato firmato e archiviato una volta rimane verificabile, indipendentemente da chi gestirà la piattaforma in futuro.

Aggiornamenti su firme e affidabilità

Prove crittografiche, certificati e registrazione: gli sviluppi più importanti ogni mese direttamente nella tua casella di posta.