Lo scorso 19 luglio è stato approvato dalla Presidenza del Consiglio dei Ministri il Decreto soprannominato “Salva-HSM” (HSM sta per “hardware security module” e, cioè, dispositivi che permettono di firmare digitalmente in remoto, anche attraverso l’attivazione di una procedura automatica di firma, più documenti informatici contemporaneamente, garantendo di fatto migliori prestazioni rispetto ad una semplice smart card o a un token USB).
IL DPCM, che probabilmente rappresenta l’ultima tappa di questa annosa vicenda, è stato pubblicato in Gazzetta Ufficiale solo il 10 ottobre 2012 ed è entrato in vigore il successivo 25 ottobre. A partire da questa data possono essere considerate ancora valide (fino a tutto il 2013) solo le autocertificazioni effettuate per gli HSM per i quali:
a) alla data dell’1 novembre 2011 siano state anche solo formalmente attivate le procedure di accertamento di conformità presso l’OCSI;
b) entro il prossimo 23 gennaio 2013 sia stato ottenuto il pronunciamento positivo del Traguardo di Sicurezza (TDS) e, nei successivi 15 giorni, sia stato avviato un processo di certificazione debitamente comprovato presso l’OCSI.
Abbiamo già, in più occasioni , avuto modo di occuparci degli HSM e del costante stato di incertezza in cui versa il loro utilizzo. Già con il DPCM 10 febbraio 2010 la situazione è di gran lunga migliorata e con il Decreto 19 luglio 2012 il discorso HSM dovrebbe potersi dire finalmente chiuso.
Ma è davvero così?
Se, infatti, l’utilizzo degli HSM correttamente accreditati è indispensabile per tutti i certificatori accreditati che rilasciano certificati qualificati, la stessa cosa sembrerebbe non potersi dire per i titolari di firma digitale che si servono per apporla di processi basati su un HSM.
Infatti, a causa di una probabile svista del legislatore, dalla definizione di firma digitale introdotta con il D.Lgs. 235/2010 è scomparso qualsiasi richiamo ai dispositivi sicuri di firma. Tale richiamo, al contrario, è ancora presente nella definizione di firma elettronica qualificata ma, proprio a causa delle modifiche del 2010, la firma digitale non è più una species della firma elettronica qualificata, ma una species della firma elettronica avanzata.
Una lettura acritica delle norme porterebbe, come immediata conseguenza di tutto ciò, a ritenere che per l’apposizione di firme digitali non sia più necessario ricorrere all’utilizzo di dispositivi sicuri di firma.
D’altro canto né l’art. 35 del CAD né le regole tecniche (in primis il DPCM 30 marzo 2009) richiedono l’utilizzo di dispositivi sicuri.
Anche lo stesso Decreto 19 luglio 2012 sembra affrontare la questione solo dal punto di vista dei certificatori, non prendendo assolutamente in considerazione l’uso degli HSM da parte dei privati. Il Decreto, infatti, stabilisce che i certificatori non potranno generare nuove chiavi crittografiche fino a quando il loro HSM non abbia ottenuto un pronunciamento positivo del proprio TDS e non si sia attivato un processo di certificazione. Inoltre, i certificatori che utilizzano HSM non conformi a quanto richiesto per la validità delle autocertificazioni dovranno, entro 15 giorni, presentare un apposito piano di migrazione (della durata massima di 6 mesi) ad un altro dispositivo conforme. Qualora, poi, allo scadere dei 21 mesi previsti come termine di validità delle autocertificazioni, non sia stato ottenuto l’attestato finale di conformità, il certificatore dovrà predisporre un apposito piano di migrazione ad altro dispositivo conforme.
La “disattenzione” del legislatore, inoltre, non avrebbe come effetto solo quello di rendere non obbligatorio l’utilizzo di dispositivi sicuri per la generazione delle firme digitali ma, come ulteriore conseguenza, renderebbe possibile la creazione di firme digitali non conformi alla normativa europea sulle firme elettroniche qualificate. Infatti, sia l’attuale Direttiva 99/93/CE, sia il Regolamento in fase di approvazione nel Consiglio dei Ministri d’Europa prevedono, per l’apposizione delle firme elettroniche qualificate, l’utilizzo di dispositivi sicuri e certificati dall’organo competente del singolo stato nel quale queste vengono realizzate: potremmo quindi avere firme digitali, realizzate con dispositivi sicuri e quindi, in quanto conformi alle regole sulle firme elettroniche qualificate, perfettamente valide in Europa e firme digitali realizzate con dispositivi non certificati e, quindi, non riconosciute in ambito europeo.
Questa interpretazione delle norme, pur se possibile, a nostro avviso non deve diventare una regola, anzi, l’utilizzo di sistemi sicuri di firma deve essere un requisito indispensabile per ogni processo di firma digitale. La nostra è, quindi, una lettura delle norme italiane che sebbene non dovrebbe assolutamente essere generalizzata, può momentaneamente tranquillizzare chi ha già effettuato notevoli investimenti nell’acquisto di sistemi HSM che oggi si rivelerebbero non utilizzabili perché non più conformi alla normativa italiana sulle firme elettroniche qualificate.
A prescindere dall’interpretazione data, infatti, riteniamo che sia necessario un intervento rapido del legislatore per evitare di aggravare lo stato confusionale in cui versa l’utilizzo degli HSM in Italia. La situazione è decisamente disarmante, specie se si pensa che la causa è una probabile svista del nostro legislatore, sempre meno attento a innovare con quell’accortezza indispensabile nell’approvare norme di rango primario.
Un’ultima postilla: una firma elettronica apposta utilizzando un certificato di firma digitale, ma per mezzo di un dispositivo non sicuro ai sensi della normativa primaria in vigore, potrebbe essere considerata quantomeno una firma elettronica avanzata.
Anche su questo sarebbe utile fare chiarezza ma le bozze di regole tecniche in materia sono in un limbo normativo da ormai troppo tempo.
Andrea Lisi
Luigi Foglia
Digital&Law Department – Studio Legale Lisi