HSM non certificato, firme digitali non valide?

di A. Lisi e L. Foglia (www.studiolegalelisi.it) - Pigre proroghe, urgenza non percepita da parte dei potenziali operatori. Solo uno di questi ora si mostra in regola. Il pasticcio italiano dei dispositivi automatici di firma

Roma - Torniamo a occuparci dell'incredibile caso degli HSM in Italia, perché l'epopea continua.

Lo scorso ottobre sono scaduti i ventuno mesi concessi dal DPCM 10 febbraio 2010 per reiterare le autocertificazioni di rispondenza ai requisiti di sicurezza richiesti dalla normativa europea in materia dei dispositivi HSM (Hardware Security Module) utilizzati per l'apposizione di firme elettroniche con procedure automatiche. Con il citato Decreto, oltre a mettere una pezza alla situazione corrente, si cercò finalmente di dare un concreto impulso agli obblighi di sicurezza che la direttiva europea sulle firme elettroniche imponeva fin dal 1999. Da un lato, quindi, si concesse l'ultima proroga al dubbio sistema delle autocertificazioni (che con continui rinvii andava avanti dal 2002) e dall'altro si individuò un ente - l'OCSI - legittimato a effettuare i necessari controlli sulla sicurezza dei dispositivi di firma.
Con tale sistema si salvarono dal blocco totale quei certificatori (insieme a pochi altri imprenditori) che avevano acquistato e utilizzavano HSM per le loro procedure automatiche di apposizione di firme digitali. Allo stesso tempo, si avviò una corretta metodologia di certificazione, il cui primo passo previsto era quello dell'emanazione, da parte dell'OCSI, di una procedura per accertare il rispetto dei requisiti di sicurezza previsti e, quindi, attestare la relativa certificazione. Pur se con un leggero ritardo rispetto ai termini previsti dal soprarichiamato DPCM, l'OCSI ha approvato la procedura e dal 2 novembre 2010 era possibile intraprendere la strada della certificazione.

Decorsi tutti questi lunghi mesi di tempo per mettersi in regola, dal primo novembre 2011, terminato il regime provvisorio previsto dal DPCM 10 febbraio 2010, sarebbero utilizzabili solo quelle procedure automatiche di firma che adottano sistemi certificati dall'OCSI o da analogo organismo riconosciuto in un altro stato dell'Unione Europea. Nonostante l'anno di tempo a disposizione, però, molti (e tra questi anche enti certificatori accreditati di firma digitale) non hanno ancora ottenuto la necessaria certificazione e, in alcuni casi, non l'hanno neppure richiesta!
Tale situazione - frutto dell'ingiustificabile inerzia di quanti hanno, con superficialità e incoscienza, omesso di richiedere la certificazione dei propri sistemi automatici di firma - in determinati casi potrebbe comportare un blocco totale, ad esempio, di alcune procedure di fatturazione elettronica e conservazione digitale dei documenti, creando notevoli danni a quei clienti che si sono voluti fidare delle procedure proposte. Per tale motivo, evitando buona parte dei danni, il legislatore è dovuto ancora una volta intervenire per concedere un'ulteriore proroga (che in uno stato normale avrebbe dovuto apparire superflua e non necessaria).

Con il DPCM 14 ottobre 2011, infatti, il legislatore ha stabilito che "le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l'apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme".

Ancora una volta una proroga, nonostante, ormai, le regole per ottenere la certificazione siano state rese disponibili da tempo. Almeno questa volta il legislatore ha evitato una proroga indistinta, "premiando" (le virgolette sono doverose!) chi, alla data dell'1 novembre 2011 (cioè 12 mesi dopo la pubblicazione della procedura di certificazione), aveva almeno iniziato la procedura di certificazione. Peccato, però, che quest'ultimo DPCM fosse da mesi pronto per la firma (immaginiamo sulle scrivanie di sonnecchianti ministri che avevano - a quanto pare - questioni più urgenti da risolvere) ed è stato pubblicato in Gazzetta Ufficiale solo e soltanto in data 31 ottobre 2011 (G.U. 31 ottobre 2011, n. 254). In poche parole, il DPCM è stato pubblicato solo il 31 ottobre, quando il termine ultimo previsto per avviare la procedura (e ottenere il positivo pronunciamento sull'adeguatezza del traguardo sulla sicurezza) era il 1° novembre 2011! Ci sembra superfluo ricordare che avviare la procedura non significa redigere un breve modulo precompilato e inoltrarlo via telefax (o PEC) a chi di competenza!
Credo che ulteriori commenti siano superflui e non possiamo non definire il tutto come l'ennesimo pasticcio nel pasticcio infarcito - come sempre - del solito pressappochismo all'italiana!

Rimane comunque davvero incomprensibile l'atteggiamento di quanti non si sono preoccupati minimamente di adeguarsi a un obbligo esistente fin dal 1999, soprattutto laddove l'OCSI si è dimostrata sempre disponibile al dialogo e a offrire il proprio supporto per la certificazione. E, a quanto ci è dato di sapere, per un solo HSM è stata avviata la procedura, ottenendo da OCSI l'approvazione del Security Target. Già il mercato delle firme digitali è "piccolo piccolo", ma addirittura arrivare al monopolio delle firme digitali "massive" ci sembra troppo, anche per lo stato italiano!
Il vero problema è che a farne le spese saranno, come al solito, tutti quei soggetti che si sono fidati di soluzioni che prevedevano l'uso di procedure automatiche di firma. Cosa succederà a quei processi? Chi ne pagherà le conseguenze?

Si spera che si intervenga con l'ennesimo provvedimento d'urgenza in modo da riparare la situazione e magari ci si augura (e in prossimità del Natale gli auguri sono doverosi) che lo si faccia attraverso una normativa scritta in modo ineccepibile e approvata, sottoscritta e pubblicata in tempi brevi!

Andrea Lisi
Luigi Foglia
Digital&Law Department - Studio Legale Lisi
Notizie collegate
  • Diritto & InternetHSM, un mistero rinnovatodi A. Spedicato e L. Foglia (Digital & Law Department - www.studiolegalelisi.it) - Si guarda alla dematerializzazione, ma non ci sono regole certe per i dispositivi di firma digitale massiva. Come si risolve? Rimandando la decisione
  • Diritto & InternetLa Dematerializzazione è stata sbloccataNe parlava Punto Informatico quasi un anno fa ed ora è finalmente giunto un decreto: si sbloccano alcuni dei progetti più rilevanti nell'evoluzione della Società dell'Informazione
  • Diritto & InternetIl misterioso caso degli HSMOvvero quanto ci mette un Ministro in Italia a mettere una firma (non digitale)? Le imprese hanno pagato e attendono, le macchine sono ferme. Perché? - avv. Andrea Lisi (scintlex.it)
21 Commenti alla Notizia HSM non certificato, firme digitali non valide?
Ordina
  • i controlli chi dovrebbe farli? e che sanzioni dovrebbero applicarsi ai produttori pigri?
    a me sembra impossibile che si vada avanti con norme scritte male, con principi inapplicati e senza un organismo che controlli davvero (e magari applichi sanzioni...che mi auguro ci siano!)
    comunque complimenti per l'ottimo articolo davvero ben scritto e interessante.
    non+autenticato
  • Ho letto articolo e i commenti competenti.
    Mi domando però: ma i dirigenti pubblici hanno coscienza del sistema?
    Ossia hanno capito cosa sia la firma digitale e a cosa serva veramente?
    Hanno capito come funziona?
    O forse per loro è paragonabile all'impronta di una zampa di gallina su di un documento?
    Personalmente non sono interessato... o forse dovrei interessarmi poichè tale sistema può servire anche a me?
    Ma non ho neanche le idee molto chiare, so solo usare la firma digitale con il PGP. E non penso sia la stessa cosa.
    Mi domando cosa abbia capito un dirigente avvocato o comunque laureato di altra materia.
    Per esempio un mio cugino medico si sente in difficoiltà a spedire una mail, (lo fa fare a suo figlio); ed un altro amico pure lui medico pensa di trovare la sua fotocamera smarrita su internet solo perchè ha scaricato delle foto sul suo portatile, oltre tutto non collegato in rete.
    Ecco spiegato perchè vi sono "dormiglioni".
    Quindi serve innanzi tutto fare un pò di scuola a chi deve usare strumenti informatici, e magari far capire che la rete non è Face Book e che il computer non è una macchina magica che basta aprire una App per risolvere tutto.
  • - Scritto da: ninjaverde
    > Ho letto articolo e i commenti competenti.
    > Mi domando però: ma i dirigenti pubblici hanno
    > coscienza del
    > sistema?

    No

    > Ossia hanno capito cosa sia la firma digitale e a
    > cosa serva
    > veramente?

    No

    > Hanno capito come funziona?

    No

    > O forse per loro è paragonabile all'impronta di
    > una zampa di gallina su di un
    > documento?

    Forse

    > Personalmente non sono interessato... o forse
    > dovrei interessarmi poichè tale sistema può
    > servire anche a me?

    No


    > Ma non ho neanche le idee molto chiare, so solo
    > usare la firma digitale con il PGP. E non penso
    > sia la stessa
    > cosa.

    No

    > Mi domando cosa abbia capito un dirigente
    > avvocato o comunque laureato di altra materia.

    Nada

    > Per esempio un mio cugino medico si sente in
    > difficoiltà a spedire una mail, (lo fa fare a suo
    > figlio);

    Tuo cugino medico dovrebbe essere laurato.
    Un sms lo sa spedire?
    La mail e' uguale, una volta configurato il client, solo che non si devono usare le k.

    > ed un altro amico pure lui medico pensa
    > di trovare la sua fotocamera smarrita su internet
    > solo perchè ha scaricato delle foto sul suo
    > portatile, oltre tutto non collegato in
    > rete.

    Smarrita o rubata?
    Che nel secondo caso la trova su eBay, ma l'asta sara' gia' finita da un pezzo.

    > Ecco spiegato perchè vi sono "dormiglioni".

    No, non hai spiegato.
    Quelli che hai citato non sono mica responsabili di sicurezza informatica, sono medici.

    > Quindi serve innanzi tutto fare un pò di scuola a
    > chi deve usare strumenti informatici,

    Ma chi deve usare tali strumenti vuole la scuola?

    > e magari
    > far capire che la rete non è Face Book e che il
    > computer non è una macchina magica che basta
    > aprire una App per risolvere
    > tutto.

    Ecco! Diglielo a ruppolo e ai macachi, che loro auspicano un mondo di idioti a cui rifilare il clementoni da 1000 euro e da sostituire ogni volta che si esaurisce la batteria.
  • >
    > Tuo cugino medico dovrebbe essere laurato.
    > Un sms lo sa spedire?
    > La mail e' uguale, una volta configurato il
    > client, solo che non si devono usare le
    > k.
    E' un esempio di persone laureate negli anni "70" ed ovviamente hanno competenza nel loro mestiere, ma si vede che il computer dà loro "soggezione" o qualcosa del genere... Penso che la configurazione sia a posto, visto che il figlio lo usa...

    >
    > > ed un altro amico pure lui medico pensa
    > > di trovare la sua fotocamera smarrita su
    > internet
    > > solo perchè ha scaricato delle foto sul suo
    > > portatile, oltre tutto non collegato in
    > > rete.
    >
    > Smarrita o rubata?
    > Che nel secondo caso la trova su eBay, ma l'asta
    > sara' gia' finita da un
    > pezzo.

    No, no solo smarrita...
    E' un personaggio che sa fere diagnosi meglio dei suoi colleghi, ma per lui il computer è un mezzo di fantascienza o una "scatola magica" come si vede nei film, che c'è sempre un hacker che va ovunque e vede tutto, pigiando sulla tastiera molto velocemente formule magiche.
  • E come la mettiamo con quelli che NON hanno aggiornato i loro software di firma dallo SHA1 allo SHA256 entro luglio 2011? Le firme digitali successive a tale data non dovrebbero essere valide!

    Che succede se firmo digitalmente oggi con SHA1? Firma non valida? Se firmo un contratto, il contratto è nullo? Scenari davvero inquietanti...

    Oppure c'è il solito trucchetto all'italiana?
    non+autenticato
  • tutto vero; solo per completezza di informazione vorrei fare presente che qualcuno non solo ci ha pensato già da parecchio tempo, ma ha anche trovato una soluzione alternativa, poco onerosa e naturalmente rispettosa delle norme:
    http://www.facebook.com/TimbroDigitale/posts/30349...

    Sandro Fontana
    -----------------------------------------------------------
    Modificato dall' autore il 12 dicembre 2011 16.55
    -----------------------------------------------------------
  • Gent.mo Stefano,
    La tua soluzione anche va verificata nel dettaglio dal punto di vista delle regole tecniche che rendano possibile lo "sblocco" in remoto del dispositivo sicuro "multi-firma" che consigli di utilizzare.
    Su questi dispositivi e sul loro utilizzo (che personalmente condivido, nel momento in cui favoriscono la "usability" della firma digitale) come sai bene ci sono diverse posizioni e i soliti dubbi causati da regole non chiarissime sul punto.
    Un cordiale saluto. Andrea
    non+autenticato
  • Caro Andrea (io sono Sandro Sorride,
    occupandoci di ICT Security, diciamo che abbiamo una certa competenza su questi argomenti.
    Come ti sembra un accesso per la trasmissione del PIN alla smart card tramite un canale SSL con mutua autenticazione forte ?
    Il PIN naturalmente non viene memorizzato su nessun supporto, le macchine usate sono ardenizzate e la memoria e le variabili di transito sovrascritte.
    Sono certo che ci siano parecchi punti di vista, ma credo che questo approccio sia valido.
    Per togliere ulteriori dubbi, il formato di firma che abbiamo messo in esercizio, da gennaio 2011 e' il CAdES (le ultime macchine sul territorio sono state aggiornate prima del 30 giugno 2011) , con algoritmo di hash SHA256
    Saluti, S
  • Caro Sandro (e perdonami per la svista sul nome! Sorride),
    io posso senz'altro convenire personalmente sulla sicurezza del sistema di firma in remoto adottato che avete implementato, ma dovrebbe - a mio modesto avviso - confermare il legislatore con delle specifiche regole tecniche(che ad oggi non ci sono).
    Comunque la procedura sviluppata mi sembra seria (ma è una mia opinione...sarebbe utile che arrivassero finalmente le nuove regole tecniche che tutti aspettano Occhiolino).
    Un salutone. Andrea
    non+autenticato
  • - Scritto da: sfontana
    > tutto vero; solo per completezza di informazione
    > vorrei fare presente che qualcuno non solo ci ha
    > pensato già da parecchio tempo, ma ha anche
    > trovato una soluzione alternativa, poco onerosa
    > e naturalmente rispettosa delle
    > norme:
    > http://www.facebook.com/TimbroDigitale/posts/30349
    >
    > Sandro Fontana
    > --------------------------------------------------
    > Modificato dall' autore il 12 dicembre 2011 16.55
    > --------------------------------------------------
    Urca il fontana... cosi' siete ancora in auge con quel codice a barre v2.0 eh? benebene... ma phroid ? bazzica ancora dalle vostre parti?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)