HSM, un mistero rinnovato

di A. Spedicato e L. Foglia (Digital & Law Department - www.studiolegalelisi.it) - Si guarda alla dematerializzazione, ma non ci sono regole certe per i dispositivi di firma digitale massiva. Come si risolve? Rimandando la decisione

Roma - La firma digitale è un utile strumento necessario per sottoscrivere un documento informatico ottenendo la garanzia di integrità dei dati oggetto della sottoscrizione e di autenticità delle informazioni relative al sottoscrittore. La garanzia che il documento informatico, dopo la sottoscrizione, non possa essere modificato in alcun modo, in quanto, durante la procedura di verifica, eventuali modifiche sarebbero riscontrate, la certezza che solo il titolare del certificato possa aver sottoscritto il documento perché non solo possiede il dispositivo di firma (smartcard/tokenUSB) necessario, ma è anche l'unico a conoscere il PIN (Personal Identification Number) necessario per utilizzare il dispositivo stesso, unite al ruolo del certificatore che garantisce la veridicità e la correttezza delle informazioni riportate nel certificato (dati anagrafici del titolare), forniscono allo strumento "firma digitale" caratteristiche tali da non consentire al sottoscrittore di disconoscere la propria firma digitale (fatta salva la possibilità di querela di falso).

Firmare digitalmente un documento, però, è un'operazione non rapidissima e ogniqualvolta sia necessario sottoscrivere digitalmente un nuovo documento, occorre utilizzare il proprio certificato conservato in una smart card o in un token usb e inserire nuovamente il codice PIN.
Tale complessità, se non viene avvertita quando si tratta di firmare pochi documenti, risulta sicuramente soffocante quando si ha la necessità di firmare grosse quantità di documenti come, ad esempio, nei grossi processi di conservazione digitale o di fatturazione elettronica.
Come gli operatori del settore sanno bene, il procedimento di validazione documentale può coinvolgere un numero elevatissimo di documenti informatici (milioni di fatture da dematerializzare!) e, per tali processi, non è assolutamente efficiente per il responsabile della conservazione o della fatturazione elettronica affidarsi ai dispositivi prima descritti.

A far fronte a questa problematica ha dato il suo apporto la tecnologia informatica che ha recuperato alcuni dispositivi di sicurezza militari e li ha rielaborati al fine di permettere la cosiddetta firma digitale massiva. Parliamo degli HSM (Hardware Security Module), dispositivi che permettono di firmare in remoto, ma anche in modalità automatica, più documenti contemporaneamente, garantendo di fatto migliori prestazioni rispetto ad una semplice smart card (o ad un token USB). Tali dispositivi, nati come sistemi in grado di garantire un utilizzo sicuro di chiavi crittografiche, sono configurati secondo elevatissimi standard di sicurezza informatica, tanto da permettere di digitare il PIN una sola volta a fronte della sottoscrizione di più documenti.
Le loro caratteristiche sono state considerate conformi ai requisiti di sicurezza richiesti dalla normativa europea (Direttiva 99/93/CE, in particolare Allegati III e IV) e rientrano, inoltre, tra quei mezzi di generazione di firma elettronica qualificata previsti dalla normativa nazionale, perché garantiscono il controllo esclusivo ad opera del firmatario e permettono di collegare la firma ai dati cui essa si riferisce, consentendo di verificare se i dati stessi sono stati eventualmente modificati.
Anche l'art. 35 del Codice dell'Amministrazione Digitale (D.Lgs. n. 82 del 7 Marzo 2005) ammette implicitamente l'utilizzo degli HSM al comma 3, riferendosi, in particolare, alle firme apposte con procedure automatiche e stabilendo che esse siano valide se "l'attivazione della procedura medesima è chiaramente riconducibile alla volontà del titolare e lo stesso renda palese la sua adozione in relazione al singolo documento firmato automaticamente".
Purtroppo però, allo stato attuale, la nostra normativa non chiarisce se sia lecito l'utilizzo di tali strumenti: sebbene le linee guida CNIPA già nel 2004 avessero chiarito che "in numerose situazioni il procedimento di sottoscrizione può coinvolgere un elevato numero di documenti", illustrando che "non è quindi efficiente in tali procedimenti l'utilizzo della sottoscrizione 'documento per documento' quanto meno perché ogni sottoscrizione richiede la digitazione del PIN di sblocco della smart card di firma" e stabilendo che "è perfettamente legale l'utilizzo di procedure automatiche di sottoscrizione, purché ci si attenga a particolari cautele indicate anche dalla legislazione vigente" e sebbene il Decreto del Presidente del Consiglio dei Ministri del 30 marzo 2009 relativo alle Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici, pare ammettere l'utilizzo dei dispositivi HSM, al momento tali utilissimi strumenti sono ancora illegali.
L'utilizzo degli HSM, infatti, sembra ostacolato dalla mancanza di un organismo che ne certifichi il livello di sicurezza e che, quindi, certifichi la sua idoneità per l'utilizzo in procedure automatiche di firma.

Il problema della certificazione della sicurezza dei sistemi di firma elettronica non è affatto nuovo. Fin dal 1999, per ovviare al problema, con un metodo tutto italiano, sono stati emanati vari Decreti con i quali si riconosce ai Certificatori la possibilità di attestare, mediante autocertificazione, la rispondenza dei propri prodotti e dispositivi relativi alle firme elettroniche ai requisiti di sicurezza previsti dalla vigente normativa. Nell'attesa che venisse individuato un Organismo statale di certificazione della sicurezza il 12 ottobre 2007 è stato differito, di ulteriori 24 mesi, l'ultimo termine con cui i certificatori qualificati potevano effettuare l'auto-dichiarazione relativamente ai dispositivi di firma mediante procedure automatiche. Entrato in vigore nel gennaio 2008, il Decreto del 12 ottobre 2007 è scaduto nel gennaio dell'anno corrente e, anche se talun coraggioso certificatore, accogliendo il repentino aiuto mosso dal legislatore, avesse pur accettato di assumersi la responsabilità di certificare la rispondenza dei propri prodotti ai rigidi standard previsti dalla normativa, permettendo con i suoi certificati di firma di attivare gli HSM, regolarmente acquistati dagli imprenditori, quello stesso certificatore coraggioso si sarebbe ritrovato in un contesto temporaneo di illegalità. Mentre da un lato i suoi HSM, in effetti, non sono ancora stati palesemente riconosciuti come validi dal legislatore, la sua autocertificazione dal gennaio del 2010 aveva, per di più, perduto la sua validità a causa della scadenza del decreto.

Questa situazione di illegalità, protrattasi per diversi mesi, è stata, per fortuna, risanata pochi giorni fa, quando l'autocertificazione del coraggioso certificatore è ritornata ad essere legittima. L'ennesimo decreto tappabuchi è stato infatti emanato ed è stato pubblicato sulla G.U. n. 98 dello scorso 28 aprile. Si tratta del DPCM del 10 febbraio 2010 che stabilisce testualmente che "A decorrere dal l° febbraio 2010 e per i ventuno mesi successivi i certificatori di firma elettronica attestano, mediante autocertificazione, la rispondenza dei propri dispositivi per l'apposizione di firme elettroniche con procedure automatiche ai requisiti di sicurezza previsti dalla vigente normativa".

Purtroppo, questo decreto non conferisce maggiore chiarezza alla materia e l'unico elemento aggiuntivo rispetto ai decreti precedenti è rappresentato dal tentativo del legislatore di voler definire la procedura per accertare la conformità dei dispositivi ai requisiti di sicurezza richiesti dalla direttiva 1999/93/CE, compito demandato alla competenza dell'OCSI (Organismo di certificazione della sicurezza informatica) di cui al DPCM del 30 ottobre 2003, che dovrà provvedere entro centoottanta giorni dall'entrata in vigore del decreto.
In ogni caso, al momento, la situazione è ancora poco chiara e provoca una certa diffidenza in tutti gli operatori del mercato digitale che hanno interesse all'utilizzo degli HSM, primi tra tutti gli operatori della dematerializzazione.
In molti processi di conservazione digitale, infatti, l'utilizzo di un HSM è indispensabile in quanto si ha la necessità, in tempi brevi, di dover firmare migliaia e migliaia di documenti. Si pensi ad un processo di fatturazione elettronica, dove le fatture vanno conservate digitalmente entro 15 giorni dalla loro emissione: riuscite ad immaginare quante volte dovrà essere inserito, manualmente, il PIN in aziende che emettono anche 5000 fatture al giorno?

Negozi giuridici sottoscritti con clienti, processi di conservazione da avviare, ma arrestati, già avviati, ma forse illegittimi (o meglio, sottoscritti con dispositivi HSM che, al momento, potrebbero essere non conformi ai requisiti di sicurezza richiesti), nell'attesa, come sempre fiduciosa, dell'emanazione di un serio e chiaro decreto con cui si spieghi una buona volta e definitivamente con quali limiti i dispositivi HSM di firma massiva sono legittimamente utilizzabili.
Tutti i riflettori sono attualmente puntati sulla dematerializzazione dei documenti, anche fiscalmente rilevanti, sull'innovazione tecnologica della macchina amministrativa, sulla riduzione di tempi, spazi e costi attraverso la conservazione sostitutiva, eppure manca all'appello uno specifico provvedimento, proprio quello che permetterebbe di concretizzare il vero snellimento di molti processi.

Avv. Annalisa Spedicato
Avv. Luigi Foglia
Digital&Law Department - Studio Legale Lisi
Notizie collegate
12 Commenti alla Notizia HSM, un mistero rinnovato
Ordina
  • ciao, lavoro presso un ente pubblico come informatico e mi sto occupando dell'introduzione di un software di gestione documentale.
    la firma elettronica è stata, ed è, lo scoglio più grande: i dirigenti e gli amministratori non si rendono conto che quello è la loro firma, non tengono in dovuto conto il dispositivo HW, e si dimenticano il PIN. E stiamo parlando di firmare digitalmente, per adesso, 1/2 documenti a settimana! non oso pensare a quando passeremo, con le determine, a dover firmare digitalmente anche 50 documenti per volta.
    Comunque, per noi, se l'utente è nella stessa sessione di Explorer, il pin viene richiesto solo al primo documento, risparmiando la digitazione del PIN nelle volte successive.

    la gestione documentale elettronica è comunque una vera rivoluzione, secondo me paragonabile al passaggio dalla macchina da scrivere al PC: gli applicativi sono estremamente più complessi da utilizzare per un utente medio.
    -----------------------------------------------------------
    Modificato dall' autore il 14 maggio 2010 10.18
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 14 maggio 2010 10.18
    -----------------------------------------------------------
  • Quanto scrivono gli avvocati Spedicato e Foglia è in buona parte corretto, ma qua è la compaiono delle affermazioni che denotano - apparentemente - una insufficiente conoscenza della materia e della realtà del mercato. Alcuni passaggi sono poi del tutto fuorvianti, per esempio laddove si sostiene che "tali utilissimi strumenti sono ancora illegali." Se così fosse, un grande numero di aziende ed enti pubblici che ormai da anni utilizzano procedure di firma digitale automatica sarebbero fuori legge. È evidente che le cose stanno diversamente, anche perché tali strumenti sono forniti ai clienti da certificatori accreditati che hanno l'obbligo di rispettare le norme vigenti, pena la chiusura della bottega (ricordo che tutti i certificatori sono sottoposti ad un audit periodico da parte del CNIPA/DigitPA). È anche il caso di ricordare che esistono già sul mercato diversi HSM dotati della necessaria certificazione di sicurezza ISO 15408 e che dunque non risentono della situazione normativa.
    L'articolo fa anche un po' di confusione tra firma automatica (abbastanza chiaramente disciplinata dalla normativa vigente) e firma remota (concetto sul quale permangono al momento dei dubbi dal punto di vista normativo).
    non+autenticato
  • Quoto tutto ciò che ha affermato il signor Santoni.
    Mi occupo di fatturazione elettronica per conto di una banca. Il token fornito ai clienti per la firma richiede un'unica digitazione del PIN per le n fatture da firmare.
    non+autenticato
  • L'articolo ha evidentemente semplificato alcuni concetti e ha esasperato alcune conclusioni (nello spirito giornalistico che anima gli articoli che vogliono essere pubblicati su PI).
    Ovvia la differenza tra firma digitale apposta con dispositivi "automatici" di firma digitale (quali gli HSM) e la firma digitale apposta con modalità "in remoto" (anche in questo caso si possono utilizzare gli strumenti HSM associandone l'utilizzo a strumenti OTP, ad esempio). Ovvio che tutto questo non può essere approfondito in un articolo, pur "di nicchia" (come qualche altro commentatore ha scritto), ma sempre ospitato su una rivista dal vasto pubblico di lettori.
    Ovvio anche che gli HSM si trovano regolamentati "all'italiana" e, sotto certi punti di vista, è corretto dire che vivono in una sorta di "limbo normativo"...oserei dire che sono "quasi-regolamentati" oppure - meglio -che sono consentiti perchè si chiude un occhio e si tappa un buco! Sorride
    Complimenti comumque ai Colleghi Spedicato e Foglia.
    Avv. Andrea Lisi - www.anorc.it - www.studiolegalelisi.it
    non+autenticato
  • Il pezzo è veramente scritto bene e - come al solito - l'Italia ci fa una pessima figura.
    Continuano a parlare di PEC e di miracoli digitali e poi non risolvono un tubo e non si interessano di cose serie.
    non+autenticato
  • Troppo difficile da comprendere.

    Non si poteva mettere un titolo come "Puliscifinestre contro macachi" o qualcosa di simile?

    Questo articolo è troppo difficile per il lettore medio di PI.
    non+autenticato
  • Io l'ho trovato molto chiaro. Dice in sostanza che firmare elettronicamente uno per uno n documenti è una procedura lenta, esistono dei dispositivi che permettono di velocizzare la cosa, sono accettati in altre nazioni ma in Italia, complice la proverbiale lentezza dei nostri legislatori, detti dispositivi si trovano in uno stato di incertezza circa la leicità del loro utilizzo (da diversi anni, pare). Così è più comprensibile?
    non+autenticato
  • Indubbiamente l'articolo è difficile ma il fatto che lei non riesca a leggerlo non credo autorizzi nessuno a ritenerlo inutile per i lettori di PI.
    Se le cose sono difficili meglio non parlarne?
    Credo che PI abbia i lettori più disparati, ingegneri, tecnici, avvocati, semplici curiosi o appassionati.

    Inoltre, le assicuro che chi si occupa di conservazione e si trova di fronte al dilemma di se acquistare o meno un Hardware da 20.000 e più euro vorrebbe avere la certezza di poterlo utilizzare per un bel po' di tempo;
    chi vuole implementare un sistema di conservazione e vede come "ostacolo" il dover inserire volta per volta il pin per firmare ogni singolo documento vorrebbe sapere di poterlo superare senza paura.

    Immagini di farlo lei questo investimento, spendendo un bel po' di soldi tra Hw,Sw, sistemisti e legali: può davvero vivere nella paura che ad un tratto tutto diventi illegale, tutto vada buttato?!

    La tematica in oggetto, per quanto difficile, dev'essere discussa, si anche qui su PI; non possiamo lasciare soli quei pochi "pionieri" dell'innovazione che ci battono le piste che poi, presto o tardi, in maniera trasparente o meno, tutti seguiremo.
    non+autenticato
  • Ma potrei anche sbagliarmi...
    non+autenticato
  • L'argomento è un po' tecnico e forse di nicchia, ma è proprio questo il genere di articoli che vorrei vedere su PI.
    È sostanzialmente comprensibile anche a chi non è del ramo, e offre spunti per approfondire a chi fosse interessato all'argomento.

    Inoltre un articolo di tale tipologia, se non su PI, dove dovrebbe essere pubblicato?
    non+autenticato
  • - Scritto da: dino saur o
    > Troppo difficile da comprendere.

    Perdona chi non ha capito l'ironia!Occhiolino

    --
    Saluti, Kap
  • Non capiscono che i commenti di PI sono prevalentemente goliardici.

    Certa gente prende le cose troppo sul serio Rotola dal ridere
    non+autenticato