Il misterioso caso degli HSM

Ovvero quanto ci mette un Ministro in Italia a mettere una firma (non digitale)? Le imprese hanno pagato e attendono, le macchine sono ferme. Perché? - avv. Andrea Lisi (scintlex.it)

Roma - Rischiano di rimanere paralizzati molti progetti di dematerializzazione documentale avviati in Italia. Infatti, nonostante le tante normative che consentono oggi a imprese e pubbliche amministrazioni di procedere con la cd. conservazione sostitutiva dei documenti (anche rilevanti fiscalmente) e di fatturare elettronicamente (senza dover stampare più nulla), per un pasticcio normativo che sta durando da troppo tempo, molti responsabili della conservazione sono fermi ai nastri di partenza. Sembra incredibile, ma questa è la situazione paradossale che stanno vivendo molte imprese del settore, in attesa che i vari ministeri competenti si ricordino di approvare e far pubblicare un decreto interministeriale che si attende da almeno 8 mesi a questa parte.

Andiamo con ordine e sintetizziamo cosa è successo.

Tutti i sistemi di dematerializzazione documentale e di fatturazione elettronica previsti dalla normativa attualmente in vigore, come è noto, si basano su processi di apposizione della firma digitale da apporre sui singoli documenti. Per apporre una firma digitale su un documento ci vuole un dispositivo sicuro di firma che rispetti la direttiva europea 1999/93/CE e la normativa italiana (oggi contenuta nel Codice dell'amministrazione digitale e nelle relative regole tecniche). I dispositivi sicuri di generazione di firme digitali attualmente in commercio sono sostanzialmente costituiti da smartcard o token USB, i quali consentono la sottoscrizione elettronica "documento per documento" e, quindi, garantiscono con la dovuta certezza la provenienza del documento informatico firmato e la sua immodificabilità.
Come gli operatori del settore sanno bene, nei procedimenti di conservazione sostitutiva e di fatturazione elettronica il procedimento di validazione documentale può coinvolgere un numero elevatissimo di documenti informatici (milioni di fatture da dematerializzare!) e, per tali processi, non è assolutamente efficiente per il responsabile della conservazione o della fatturazione elettronica affidarsi ai dispositivi prima descritti (i quali, come detto, sono idonei a supportare procedimenti di sottoscrizione "documento per documento", in quanto ogni sottoscrizione normalmente richiede la digitazione del PIN di sblocco della smart card della firma). In questi casi, per snellire il processo e garantire uno standard efficiente di validazione del processo, risulta indispensabile utilizzare una procedura automatica di sottoscrizione. L'utilizzo di dispositivi di firma particolari denominati HSM (Hardware Security Module) garantisce migliori prestazioni rispetto alla smart card (o a un token). Tale dispositivo è configurato secondo elevatissimi standard di sicurezza informatica ed è adatto a tutte quelle particolari applicazioni che consentono di digitare il PIN una sola volta a fronte della sottoscrizione di più documenti.

Tali sistemi di "firma massiva" sono stati da tempo ritenuti idonei nella generazione di firme digitali sia a livello normativo nazionale sia internazionale, secondo standard tecnici definiti e riconosciuti. Il Codice della amministrazione digitale (D. Lgs. 82/2005) nel suo art. 35 ne contempla l'utilizzo e le varie normative tecniche hanno definito da tempo gli standard di sicurezza che essi devono rispettare (da ultimo, si veda il DPCM 13 gennaio 2004). Addirittura le Linee Guida del CNIPA per l'utilizzo della Firma Digitale del maggio 2004 ne consigliano l'utilizzo nei processi che investono la validazione di molti documenti. Da ultimo, anche una recente Risoluzione dell'Agenzia delle Entrate (si fa riferimento alla Ris. n. 161/E del 9 luglio 2007) ha affermato con la dovuta tranquillità che i dispositivi HSM possono dirsi idonei a generare firme digitali nei processi di conservazione digitale di documenti rilevanti fiscalmente e di fatturazione elettronica.

Ebbene, fidandosi del legislatore italiano ed europeo e degli standard internazionalmente riconosciuti, molte società del settore informatico, nominate quali responsabili di processi di conservazione dei documenti (i quali, molto spesso svolgono il loro lavoro in outsourcing per conto di grosse imprese) hanno acquistato sul mercato questi costosissimi strumenti per snellire e rendere più veloci i processi di validazione documentale. Ebbene, per un cavillo normativo, nessun certificatore italiano accreditato dal CNIPA (facciamo, cioè, riferimento a quei soggetti che prestano servizi "pubblici" di certificazione delle firme digitali) è disposto oggi ad attivare con i suoi certificati di firma gli HSM regolarmente acquistati e profumatamente pagati dai vari, ignari imprenditori-responsabili della conservazione.

I certificatori oggi non sono disponibili ad "autocertificare" il processo di sicurezza nella generazione della firma insito in questi dispositivi HSM e neppure è stato ancora costituito l'apposito Organismo statale di certificazione della sicurezza (previsto dal DPCM del 30 ottobre 2003)! E non è ovviamente agevole per un operatore italiano rivolgersi a certificatori europei...

Sembra incredibile, ma è questa la situazione che stanno vivendo in questi mesi tanti operatori del mercato digitale, con contratti già sottoscritti con i vari clienti, processi da attivare e iniziare, ma misteriosamente bloccati in speranzosa attesa di un decreto interministeriale che potrebbe sbloccare una situazione che a qualcuno fa comodo sul mercato, ovviamente. Basti pensare che, in Italia, offrono servizi di certificazione della firma elettronica, di certificazione della posta elettronica e anche di conservazione sostitutiva dei documenti identici soggetti giuridici e, forse, occorrerebbe verificare con attenzione se non si è in presenza di situazioni che possano - per mancanza di coraggio o per cattiva volontà di questi stessi soggetti - turbare un mercato già di per sé difficile.

Da nostre fonti, è da mesi pronto il Decreto Interministeriale che dovrebbe autorizzare espressamente i certificatori di firma elettronica ad attestare, mediante autodichiarazione, la rispondenza dei vari prodotti e dispositivi di firma agli standard riconosciuti. Quanto tempo è ancora necessario ad un Ministro per mettere una firma (non digitale)?

avv. Andrea Lisi
ScintLex
30 Commenti alla Notizia Il misterioso caso degli HSM
Ordina
  • Scusate se mi intrometto, ma ho trovato l´articolo dell´Avvocato Lisi molto interessante. Ha perfettamente ragione a dire che un hsm è la soluzione ideale per firmare grandi quantità di fatture, e che sarebbe una buonissima idea se le Certification Authority (visto che sono fidate) avessero anche la facoltà di certificare questi apparati.

    Il fatto è che la legge prevede che "vadano bene" gli HSM common criteria EAL 4 (non chiedetemi la norma).

    Ora se andate sul sito dei common criteria http://www.commoncriteriaportal.org/public/consume... di "key management systems" (che secondo me è come loro chiamano gli hsm) EAL 4 ce n´è solo uno, è il Luna di Safenet, una macchina splendida che (vado a memoria) costa oltre 20.000 Euro e fa 200 milioni di firme all´anno e quindi in Italia serve forse a 10 aziende.

    Tenete presente che la certificazione common criteria certifica "un processo" (non un prodotto) e costa una sacco di soldi ottenerla. Quindi un prodotto che non è certificato non vuol dire che non è buono, vuol dire che non hanno voglia di spendere i soldi per certificarlo....

    Insomma una legge che per firmare fatture chiede a tutti di avere sistema tipo Nasa è una legge non applicabile.

    In Germania che fanno? Si prendono una bella smartcard EAL 4 (tanto la legge parla di "secure signing device" e non fa differenze) che costa 20 dollari, è certificata EAL 4 e fa una firma al secondo (all´anno credo corrisponda a 1 milione di firme, anche se la fai lavorare solo un giorno al mese...).

    C´è una azienda USA, la Spyrus, che fabbrica HSM utilizzati dal governo USA per criptare le comunicazioni segrete. Ne ha venduti 500.000 fino ad oggi. Costano poche centinaia di dollari. Sono - a occhio - più sicuri di una smartcard.

    Ovviamente non si possono usare perchè sono solo FIPS 2/3. Con la legge invocata dall´avvocato Lisi una CA intelligente potrebbe provarli e introdurli in Italia. Con 300 dollari, credo, tutti avrebbero il loro bravo HSM...
  • La certificazione dei dispositivi secondo l'art. 53 (ITSEC e/o CommonCriteria) dipende da standard internazionali e non può essere fatta da chiunque. Ci deve essere un organo nazionale di certificazione (in Italia c'è da poco l'OCSI, ma non è chiara la sua operatività) che viene verificato e validato da organismi sovranazionali poichè le certificazioni citate hanno poi valore internazionale.
  • La certificazione del dispositivo di firma è obbligatoria (art. 53 comma 3 DPCM 13/01/2004).
  • ecco appunto...citi l'articolo giusto del DPCM che evidenzia anche i parametri per la certificazione! quindi che scusa hanno i certificatori per non certificare? NESSUNA!
    non+autenticato
  • giusto per precisare ulteriormente, era il precedente DPCM che parlava di autocertificazione in assenza di precisi parametri che adesso ci sono.... non ci sono scuse oggi per paralizzare il mercato...ci sono invece tanti interessi! Sorride
    non+autenticato
  • Se vai da un certificatore con una smart card "certificata" lui difficilmente ti mette un suo certificato a validità legale sopra, semplicemente perché non si fida: chi gli dice che non ti sei presentato con una oggetto modificato o falso?
    Lo stesso vale per un HSM.

    Il certificatore vende non solo i certificati ma anche le smart card o i token USB, non usa quelli portati dal cliente (almeno i certificatori che conosco io, ma dubito che ce ne sia qualcuno cosi' ingenuo... se qualcuno vuole smentirmi però facesse i nomi dei certificatori!), anche se questi magari sono accreditati presso un altro certificatore.

    Quindi il certificatore dovrebbe direttamente vendere gli HSM, e se ci fosse già questo grosso mercato di cui si parla lo avrebbero già fatto.
  • Sapete quanti credono che l'invio di un PDF sia una vera fattura?

    Io mi sono sbattuto per dirlo mille volte, ma in amministrazione/contabilità hanno insistito che l'avvocato diceva che era tutto valido.

    anche senza firma digitale.


    senza nessuna firma.

    boh.

    se son contenti loro, per me possono mandare tutti i PDF (tra l'altro non protetti) che vogliono
    non+autenticato
  • infatti è una fattura vera se le parti sono concordi sulla modalità di invio, resta l'obbligo per il ricevente di stamparla, l'invio via email o comunque via web è considerato una trasmissione del documento.

    resta il fatto che il pdf ricevuto non può essere direttamente conservato in modalità sostitutiva
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)