Puoi tranquillamente firmare digitalmente il sorgente (es. il file ZIP) in un formato quindi .zip.p7m
In alternativa puoi limitarti a spedire per PEC l'hash del file zippato (es. con SHA-256).
In entrambi i casi la durata non è molto lunga: i certificati scadono dopo 3 anni (quelli personali) e a memoria 5 (quelli della PEC)
Se invece vuoi la marca temporale, cioè determinare in modo univoco per almeno 20 anni il momento di creazione, devi pagare il relativo servizio.