Un decreto per salvare gli HSM

di avv. L. Foglia (www.studiolegalelisi.it) - Proroghe su proroghe, e ora un'ancora di salvataggio. Nuova scadenza e nuove procedure per mettersi in linea con delle regole che non sono mai state prese troppo sul serio

Roma - Lo scorso 19 luglio è stato approvato dalla Presidenza del Consiglio dei Ministri, nella persona del ministro Francesco Profumo, il tanto atteso Decreto Salva-HSM. In attesa della sua entrata in vigore (che avverrà 15 giorni dopo la sua pubblicazione in G.U.) proviamo a descriverne il contenuto e ad analizzarne l'impatto sulla situazione attuale.
Prima di addentrarci nel provvedimento, però, è doveroso ricostruire gli ultimi eventi di questa annosa vicenda.

Inizialmente bisogna ricordare che, ai sensi dell'art. 35 del CAD e dell'art. 9 del DPCM 30 marzo 2009, tutti i sistemi di generazione delle firme digitali, quindi anche gli HSM, devono garantire determinati livelli di sicurezza. A tal fine, il CAD assegna all'Organismo di Certificazione della Sicurezza Informatica (OCSI) il compito di accertare, sulla base di uno specifico schema di valutazione, la rispondenza dei sistemi di generazione delle firme ai requisiti e alle specifiche prescritte dall'allegato 3 della Direttiva 1999/93/CE e agli ulteriori requisiti stabiliti dal DPCM 30 marzo 2009.

Tuttavia, è necessario evidenziare che fino all'emanazione del DPCM 10 febbraio 2010 la normativa italiana non aveva ancora assegnato all'OCSI tale attività di verifica. Ciò ha comportato che per tutto il lasso di tempo in cui c'è stato questo vuoto normativo (dal 2003 al 2010) è stato permesso ai singoli certificatori di "auto-certificare" la rispondenza dei propri sistemi di generazione delle firme ai requisiti di sicurezza già indicati nella Direttiva europea 1999/93/CE e, successivamente, dall'art. 9 del DPCM 30 marzo 2009.
In tale situazione di incertezza, l'utilizzo di tali sistemi privi di una certificazione di sicurezza da parte di un organismo terzo ha aumentato la diffidenza soprattutto verso i sistemi di generazione delle firme da remoto, che sfuggono al controllo diretto del titolare del certificato di firma. A causa di questa situazione, dunque, anche nei casi in cui siano stati utilizzati sistemi particolarmente sicuri quali gli HSM, la mancanza di parametri di valutazione certi ha impedito la diffusione di tali sistemi di firma.
Con l'emanazione del citato DPCM 10 febbraio 2010 e la successiva pubblicazione, da parte dell'OCSI, di un proprio provvedimento attuativo, è stata correttamente regolamentata tutta la procedura per richiedere l'accertamento del rispetto dei requisiti di sicurezza previsti. In attesa dell'ottenimento delle certificazioni le autocertificazioni presentate hanno continuato a spiegare i propri effetti fino al 31 ottobre 2011.

Quasi in contemporanea, poi, con la scadenza fissata dal DPCM 10 febbraio 2011, con Decreto del Presidente del Consiglio dei Ministri del 14 ottobre 2011 (pubblicato in G.U. 31 ottobre 2011, n. 254), è stato stabilito che le autocertificazioni e le autodichiarazioni di cui al DPCM 10 febbraio 2010, riguardanti i dispositivi per l'apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza (TDS) da parte dell'Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI). Il DPCM citato prevede anche la possibilità che l'accertamento dei criteri di sicurezza sia realizzato da un istituto analogo all'OCSI e che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

Attualmente, quindi, solo un HSM risulta essere in linea con l'attuale normativa e tale situazione, probabilmente causata anche dall'eccessiva "distrazione" di alcuni produttori/rivenditori di soluzioni basate su HSM, ha portato a dover ritenere "fuorilegge" molte soluzioni di firma digitale utilizzate in questo momento in Italia.
Il DPCM 19 luglio 2012 è stato emanato proprio per porre rimedio a questa situazione che finirebbe per avere un impatto devastante su di un mercato, quello delle firme digitali, che ancora, dopo tanti anni, stenta a decollare.

L'obiettivo principale del Decreto è quello di modificare i termini e le condizioni imposte dal precedente Decreto del 14 ottobre 2011, permettendo di considerare ancora valide le autocertificazioni effettuate per tutti gli HSM che:
a) alla data del 1 novembre 2011 abbiano anche solo formalmente attivato la procedura di accertamento di conformità presso l'OCSI;
b) entro 90 giorni dall'entrata in vigore del Decreto 19 luglio 2012 avranno ottenuto il pronunciamento positivo del Traguardo di Sicurezza (TDS) e, nei successivi 15 giorni, abbiano avviato un processo di certificazione debitamente comprovato presso l'OCSI.

Inoltre, in considerazione della complessità delle operazioni di verifica e controllo effettuate dall'OCSI, il termine di validità delle autocertificazioni è stato spostato a ventuno mesi dopo la pubblicazione in G.U. del Decreto.

Il Decreto stabilisce anche che non potranno essere generate nuove chiavi crittografiche fino a quando non si sia ottenuto un pronunciamento positivo del proprio TDS e non si sia attivato un processo di certificazione.

I certificatori che utilizzano HSM non conformi a quanto richiesto per la validità delle autocertificazioni dovranno, entro 15 giorni, presentare un apposito piano di migrazione (della durata massima di 6 mesi) ad un altro dispositivo conforme.

Qualora, poi, allo scadere dei 21 mesi previsti come termine di validità delle autocertificazioni, non sia stato ottenuto l'attestato finale di conformità, il certificatore dovrà predisporre un apposito piano di migrazione ad altro dispositivo conforme.

Con l'entrata in vigore del Decreto 19 luglio 2012, quindi, in attesa del completamento degli iter di certificazione, accanto all'HSM Cosign di ARX saranno legalmente auto-certificati anche il LUNA PCI configured for use in LUNA SA 4.1 di Safenet e l'nShield Solo F3 PCIe HSM di Thales e-Security Ltd.

Luigi Foglia
Digital&Law Department - Studio Legale Lisi
Notizie collegate
21 Commenti alla Notizia Un decreto per salvare gli HSM
Ordina
  • è incredibile come in Italia si parli di digitalizzazione in ogni legge e poi si continuino a rinviare gli aspetti tecnici.
    è davvero un caos
    come sempre l'avv. Foglia dello Studio Legale Lisi aiuta a districarsi un minimo in queste nebulose materie.
    uff...
    non+autenticato
  • Un solo prodotto certificato

    Chi compra si rivolge al venditore di questo prodotto o di un qualsiasi altro prodotto certificato in un paese Unione Europea.

    Sicuramente non compra gli altri 2 prodotti, i certificati non valgono in eterno e quindi allo scadere si passa al prodotto certificato.

    Allora perchè queste proroghe? Chi ha acquistato i due prodotti non certificati ma validi solo grazie alle proroghe? e perchè hanno perso tempo per farsi certificare? forse perchè chi lo produce non ha interesse ma chi lo ha comperato non vuole cambiare e ha interesse ad allungare il tempo di utilizzo?
    non+autenticato
  • E per sapere cosa sono devo cercare su Internet?

    Troppa fatica indicare alla prima occorrenza dell'acronimo la sua descrizione estesa tra parentesi?
    ruppolo
    33146
  • - Scritto da: ruppolo
    > E per sapere cosa sono devo cercare su Internet?
    > Troppa fatica indicare alla prima occorrenza
    > dell'acronimo la sua descrizione estesa tra
    > parentesi?

    ^^^sì, ad ogni articolo riscriviamo le stesse cose scritte un mese prima! Giusto ai tempi di internet cosa sono i link?
    si tratta di argomento tecnico: chi lo legge sa bene di cosa stiamo parlando; chi non lo sa trova (attraverso il link) la spiegazione dell'acronimo ben definita dallo stesso autore del pezzo in altri articoli!
    oppure ai tempi di internet si dovrebbero scrivere gli articoli come se il pezzo fosse ancora su un foglio di carta???
    mah...
    ottimo pezzo comunque (per chi è del settore ovviamente)
    non+autenticato
  • - Scritto da: LauraS
    > - Scritto da: ruppolo
    > > E per sapere cosa sono devo cercare su Internet?
    > > Troppa fatica indicare alla prima occorrenza
    > > dell'acronimo la sua descrizione estesa tra
    > > parentesi?
    >
    > ^^^sì, ad ogni articolo riscriviamo le stesse
    > cose scritte un mese prima!

    Si, perché questo articolo potrebbe essere il primo che un utente legge in merito all'argomento.

    > Giusto ai tempi di
    > internet cosa sono i
    > link?

    Sono collegamenti ad altre pagine che si mettono per APPROFONDIRE, non per conoscere il significato di una sigla di un prodotto OGGETTO dell'articolo.

    > si tratta di argomento tecnico:

    A maggior ragione.

    > chi lo legge sa
    > bene di cosa stiamo parlando;

    Questa si chiama PRESUNZIONE.

    > chi non lo sa trova
    > (attraverso il link) la spiegazione dell'acronimo
    > ben definita dallo stesso autore del pezzo in
    > altri
    > articoli!

    Allora non ci sarebbe bisogno nemmeno dell'articolo stesso, tanto se ne trovano altri che dicono la stessa cosa, basta cercare con Google.

    > oppure ai tempi di internet si dovrebbero
    > scrivere gli articoli come se il pezzo fosse
    > ancora su un foglio di
    > carta???

    Non è cambiato nulla: è l'informazione, il valore dell'articolo, non il supporto o mezzo.

    > mah...
    > ottimo pezzo comunque (per chi è del settore
    > ovviamente)

    Peccato che questo non sia un sito dedicato alla firma digitale.
    ruppolo
    33146
  • - Scritto da: ruppolo

    > >
    > > ^^^sì, ad ogni articolo riscriviamo le stesse
    > > cose scritte un mese prima!
    >
    > Si, perché questo articolo potrebbe essere il
    > primo che un utente legge in merito
    > all'argomento.

    ****sono un giornalista. provo a replicare a queste critiche che mi sembrano ingenerose e pretestuose. se leggo oggi un pezzo su una rivista telematica su un determinato argomento e non conosco alcuni acronimi utilizzati nel gergo tecnico è doveroso che il giornalista (o il direttore di testata) mi garantisca la possibilità di reperire facilmente le informazioni integrative. qui è stato fatto.


    > > Giusto ai tempi di
    > > internet cosa sono i
    > > link?
    >
    > Sono collegamenti ad altre pagine che si mettono
    > per APPROFONDIRE, non per conoscere il
    > significato di una sigla di un prodotto
    > OGGETTO
    > dell'articolo
    .

    ***i link sono collegamenti ipertestuali che possono servire a diversi scopi integrativi di un pezzo. sarebbe davvero riduttivo pensare per un giornalista di utilizzarli solo e soltanto per consentire al lettore di approfondire.

    >
    > > chi non lo sa trova
    > > (attraverso il link) la spiegazione
    > dell'acronimo
    > > ben definita dallo stesso autore del pezzo in
    > > altri
    > > articoli!
    >
    > Allora non ci sarebbe bisogno nemmeno
    > dell'articolo stesso, tanto se ne trovano altri
    > che dicono la stessa cosa, basta cercare con
    > Google.

    ***l'articolo è evidentemente di attualità e ed evita di riprendere contenuti già trattati, collegandosi in modo fattivo a pezzi precedenti scritti dallo stesso autore (che ha sfruttato giustamente i collegamenti ipertestuali offerti ai tempi di internet per evitare di ripetersi). Il pezzo in questo modo è più diretto e leggibile e di piena attualità (e proprio attraverso i link inseriti evita inutili ripetizioni). inoltre si confonde il link diretto con i motori di ricerca. mi sembra che ci sia ignoranza sulla materia (che denota effettivamente poca dimestichezza con articoli tecnici di questo tipo)
    >
    > > oppure ai tempi di internet si dovrebbero
    > > scrivere gli articoli come se il pezzo fosse
    > > ancora su un foglio di
    > > carta???
    >
    > Non è cambiato nulla: è l'informazione, il valore
    > dell'articolo, non il supporto o
    > mezzo.

    ****E invece l'abc per qualsiasi giornalista che scrive su blog e riviste telematiche è proprio quello di non scrivere allo stesso modo di quando si scrive sulla carta stampata. le regole cambiano se il mezzo di comunicazione è evidentemente così diverso. Internet ha modificato il linguaggio e le modalità di estrinsecazione del pensiero ed è davvero imbarazzante dover ancora leggere che qualcuno non se ne sia accorto.
    >
    > > mah...
    > > ottimo pezzo comunque (per chi è del settore
    > > ovviamente)
    >
    > Peccato che questo non sia un sito dedicato alla
    > firma
    > digitale.

    ***mah. mi schiaccio un pisolino. mi sembra una discussione davvero sterile se posta su questo piano e mi annoia alquanto.
    non è che c'è, per caso, un po' di volontà pretestuosa di voler criticare a spada tratta un concorrente sul mercato che scrive buoni pezzi d'attualità, commentando articoli di legge appena pubblicati su argomenti tecnici rilevanti?
    non+autenticato
  • - Scritto da: pisolo
    > - Scritto da: ruppolo

    > non è che c'è, per caso, un po' di volontà
    > pretestuosa di voler criticare a spada tratta un
    > concorrente sul mercato che scrive buoni pezzi
    > d'attualità, commentando articoli di legge appena
    > pubblicati su argomenti tecnici rilevanti?

    Se scrivesse pezzi tanto buoni non verrebbe criticato da chi li legge no ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pisolo
    > > - Scritto da: ruppolo
    >
    > > non è che c'è, per caso, un po' di volontà
    > > pretestuosa di voler criticare a spada
    > tratta
    > un
    > > concorrente sul mercato che scrive buoni
    > pezzi
    > > d'attualità, commentando articoli di legge
    > appena
    > > pubblicati su argomenti tecnici rilevanti?
    >
    > Se scrivesse pezzi tanto buoni non verrebbe
    > criticato da chi li legge no
    > ?

    ^^^quando la critica è pretestuosa nasconde un po' di invidia o peggio la volontà di approfittare per screditare un concorrente!
    ;)
    non+autenticato
  • - Scritto da: pisolo
    > - Scritto da: krane
    > > - Scritto da: pisolo
    > > > - Scritto da: ruppolo
    > >
    > > > non è che c'è, per caso, un po' di volontà
    > > > pretestuosa di voler criticare a spada
    > > tratta
    > > un
    > > > concorrente sul mercato che scrive buoni
    > > pezzi
    > > > d'attualità, commentando articoli di legge
    > > appena
    > > > pubblicati su argomenti tecnici rilevanti?
    > >
    > > Se scrivesse pezzi tanto buoni non verrebbe
    > > criticato da chi li legge no
    > > ?
    >
    > ^^^quando la critica è pretestuosa nasconde un
    > po' di invidia o peggio la volontà di
    > approfittare per screditare un concorrente!
    >Occhiolino

    Ma non e' questo il caso, ne' quello dei vari post cancellati.
    Concorrente poi...
    Rotola dal ridere
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pisolo
    > > - Scritto da: krane
    > > > - Scritto da: pisolo
    > > > > - Scritto da: ruppolo
    > > >
    > > > > non è che c'è, per caso, un po' di
    > volontà
    > > > > pretestuosa di voler criticare a
    > spada
    > > > tratta
    > > > un
    > > > > concorrente sul mercato che scrive
    > buoni
    > > > pezzi
    > > > > d'attualità, commentando articoli
    > di
    > legge
    > > > appena
    > > > > pubblicati su argomenti tecnici
    > rilevanti?
    > > >
    > > > Se scrivesse pezzi tanto buoni non
    > verrebbe
    > > > criticato da chi li legge no
    > > > ?
    > >
    > > ^^^quando la critica è pretestuosa nasconde
    > un
    > > po' di invidia o peggio la volontà di
    > > approfittare per screditare un concorrente!
    > >Occhiolino
    >
    > Ma non e' questo il caso, ne' quello dei vari
    > post
    > cancellati.
    > Concorrente poi...
    > Rotola dal ridere

    perchè lo dici tu "avv. krane"? è oggettivo, no?
    :D

    PS i post se sono stati cancellati erano evidentemente (tuoi) stupidi e ripetitivi troll
    non+autenticato
  • - Scritto da: principeran occhio
    > - Scritto da: krane
    > > - Scritto da: pisolo
    > > > - Scritto da: krane
    > > > > - Scritto da: pisolo
    > > > > > - Scritto da: ruppolo

    > > > > > non è che c'è, per caso, un po' di
    > > > > > volontà pretestuosa di voler criticare
    > > > > > a spada tratta un concorrente sul
    > > > > > mercato ches crive buoni pezzi
    > > > > > d'attualità, commentando articoli
    > > > > > di legge appena pubblicati su
    > > > > > argomenti tecnici rilevanti?

    > > > > Se scrivesse pezzi tanto buoni non
    > > > > verrebbe criticato da chi li legge
    > > > > no ?

    > > > ^^^quando la critica è pretestuosa
    > > > nasconde un po' di invidia o peggio
    > > > la volontà di approfittare per
    > > > screditare un concorrente!
    > > >Occhiolino

    > > Ma non e' questo il caso, ne' quello dei
    > > vari post cancellati.
    > > Concorrente poi...
    > > Rotola dal ridere

    > perchè lo dici tu "avv. krane"? è oggettivo, no?
    >A bocca aperta

    Oggettivo e' che dovresti ancora spiegarci che vuoi dire con "concorrente", che avrebbero di concorrente i lettori qua con chi scrive ?

    > PS i post se sono stati cancellati erano
    > evidentemente (tuoi) stupidi e ripetitivi
    > troll

    E invece no, non erano ne' tutti miei ne' stupidi, nazi ho letto diverse critiche oggettive e pacate, peccato che siano stati cancellati ma tutti quelli che hanno letto lo sanno.
    krane
    22544
  • > > Non è cambiato nulla: è l'informazione, il
    > valore
    > > dell'articolo, non il supporto o
    > > mezzo.
    >
    > ****E invece l'abc per qualsiasi giornalista che
    > scrive su blog e riviste telematiche è proprio
    > quello di non scrivere allo stesso modo di quando
    > si scrive sulla carta stampata. le regole
    > cambiano se il mezzo di comunicazione è
    > evidentemente così diverso. Internet ha
    > modificato il linguaggio e le modalità di
    > estrinsecazione del pensiero ed è davvero
    > imbarazzante dover ancora leggere che qualcuno
    > non se ne sia
    > accorto.


    Guarda, ruppolo si è modernizzato come tecnologia (legge i giornali su ipad), ma non come impostazione; è rimasto ai sistemi di 20 anni fa: ad esempio, i giornali con la stessa impaginazione su schermo e su carta, e le app, che sono poi la versione moderna dei cd-rom interattivi (fatti per consultare un unico argomento, a pagamento).
    non+autenticato
  • - Scritto da: pisolo
    >
    > ****sono un giornalista.

    anche io
    questa volta, secondo me, ha ragione ruppolo
    non+autenticato