Il misterioso caso degli HSM

Ovvero quanto ci mette un Ministro in Italia a mettere una firma (non digitale)? Le imprese hanno pagato e attendono, le macchine sono ferme. Perché? - avv. Andrea Lisi (scintlex.it)

Roma – Rischiano di rimanere paralizzati molti progetti di dematerializzazione documentale avviati in Italia. Infatti, nonostante le tante normative che consentono oggi a imprese e pubbliche amministrazioni di procedere con la cd. conservazione sostitutiva dei documenti (anche rilevanti fiscalmente) e di fatturare elettronicamente (senza dover stampare più nulla), per un pasticcio normativo che sta durando da troppo tempo, molti responsabili della conservazione sono fermi ai nastri di partenza . Sembra incredibile, ma questa è la situazione paradossale che stanno vivendo molte imprese del settore, in attesa che i vari ministeri competenti si ricordino di approvare e far pubblicare un decreto interministeriale che si attende da almeno 8 mesi a questa parte.

Andiamo con ordine e sintetizziamo cosa è successo.

Tutti i sistemi di dematerializzazione documentale e di fatturazione elettronica previsti dalla normativa attualmente in vigore, come è noto, si basano su processi di apposizione della firma digitale da apporre sui singoli documenti. Per apporre una firma digitale su un documento ci vuole un dispositivo sicuro di firma che rispetti la direttiva europea 1999/93/CE e la normativa italiana (oggi contenuta nel Codice dell’amministrazione digitale e nelle relative regole tecniche). I dispositivi sicuri di generazione di firme digitali attualmente in commercio sono sostanzialmente costituiti da smartcard o token USB , i quali consentono la sottoscrizione elettronica “documento per documento” e, quindi, garantiscono con la dovuta certezza la provenienza del documento informatico firmato e la sua immodificabilità.

Come gli operatori del settore sanno bene, nei procedimenti di conservazione sostitutiva e di fatturazione elettronica il procedimento di validazione documentale può coinvolgere un numero elevatissimo di documenti informatici (milioni di fatture da dematerializzare!) e, per tali processi, non è assolutamente efficiente per il responsabile della conservazione o della fatturazione elettronica affidarsi ai dispositivi prima descritti (i quali, come detto, sono idonei a supportare procedimenti di sottoscrizione “documento per documento”, in quanto ogni sottoscrizione normalmente richiede la digitazione del PIN di sblocco della smart card della firma). In questi casi, per snellire il processo e garantire uno standard efficiente di validazione del processo, risulta indispensabile utilizzare una procedura automatica di sottoscrizione. L’utilizzo di dispositivi di firma particolari denominati HSM (Hardware Security Module) garantisce migliori prestazioni rispetto alla smart card (o a un token). Tale dispositivo è configurato secondo elevatissimi standard di sicurezza informatica ed è adatto a tutte quelle particolari applicazioni che consentono di digitare il PIN una sola volta a fronte della sottoscrizione di più documenti.

Tali sistemi di “firma massiva” sono stati da tempo ritenuti idonei nella generazione di firme digitali sia a livello normativo nazionale sia internazionale, secondo standard tecnici definiti e riconosciuti. Il Codice della amministrazione digitale (D. Lgs. 82/2005) nel suo art. 35 ne contempla l’utilizzo e le varie normative tecniche hanno definito da tempo gli standard di sicurezza che essi devono rispettare (da ultimo, si veda il DPCM 13 gennaio 2004). Addirittura le Linee Guida del CNIPA per l’utilizzo della Firma Digitale del maggio 2004 ne consigliano l’utilizzo nei processi che investono la validazione di molti documenti. Da ultimo, anche una recente Risoluzione dell’Agenzia delle Entrate (si fa riferimento alla Ris. n. 161/E del 9 luglio 2007) ha affermato con la dovuta tranquillità che i dispositivi HSM possono dirsi idonei a generare firme digitali nei processi di conservazione digitale di documenti rilevanti fiscalmente e di fatturazione elettronica.

Ebbene, fidandosi del legislatore italiano ed europeo e degli standard internazionalmente riconosciuti, molte società del settore informatico, nominate quali responsabili di processi di conservazione dei documenti (i quali, molto spesso svolgono il loro lavoro in outsourcing per conto di grosse imprese) hanno acquistato sul mercato questi costosissimi strumenti per snellire e rendere più veloci i processi di validazione documentale. Ebbene, per un cavillo normativo, nessun certificatore italiano accreditato dal CNIPA (facciamo, cioè, riferimento a quei soggetti che prestano servizi “pubblici” di certificazione delle firme digitali) è disposto oggi ad attivare con i suoi certificati di firma gli HSM regolarmente acquistati e profumatamente pagati dai vari, ignari imprenditori-responsabili della conservazione.

I certificatori oggi non sono disponibili ad “autocertificare” il processo di sicurezza nella generazione della firma insito in questi dispositivi HSM e neppure è stato ancora costituito l’apposito Organismo statale di certificazione della sicurezza (previsto dal DPCM del 30 ottobre 2003)! E non è ovviamente agevole per un operatore italiano rivolgersi a certificatori europei…

Sembra incredibile, ma è questa la situazione che stanno vivendo in questi mesi tanti operatori del mercato digitale, con contratti già sottoscritti con i vari clienti, processi da attivare e iniziare, ma misteriosamente bloccati in speranzosa attesa di un decreto interministeriale che potrebbe sbloccare una situazione che a qualcuno fa comodo sul mercato, ovviamente. Basti pensare che, in Italia, offrono servizi di certificazione della firma elettronica, di certificazione della posta elettronica e anche di conservazione sostitutiva dei documenti identici soggetti giuridici e, forse, occorrerebbe verificare con attenzione se non si è in presenza di situazioni che possano – per mancanza di coraggio o per cattiva volontà di questi stessi soggetti – turbare un mercato già di per sé difficile.

Da nostre fonti, è da mesi pronto il Decreto Interministeriale che dovrebbe autorizzare espressamente i certificatori di firma elettronica ad attestare, mediante autodichiarazione, la rispondenza dei vari prodotti e dispositivi di firma agli standard riconosciuti. Quanto tempo è ancora necessario ad un Ministro per mettere una firma (non digitale)?

avv. Andrea Lisi
ScintLex

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Gesù scrive:
    non serve a nulla
    A che serve una scheda video che costa più dell'XBOX360?
    • pippo scrive:
      Re: non serve a nulla
      A fare giochi graficamente più belli dell'xbox360
      • Gesù scrive:
        Re: non serve a nulla
        ciò non avverrà mai, perché sono sempre una ristretta minoranza le persone che comprono schede così costose, mentre i giochi sono sempre rivolti al maggior numero di clienti possibili.In realtà, è impossibile che i giochi saranno migliori dell'XBOX360, in quanto è chiara la tendenza a fare il porting da consolle a PC, cioè i giochi per XBOX360 vengono convertiti per PC cambiando pochissimo codice, poiché le 2 piattaforme sono compatibili.Questo sta già avvenendo, basta guardare tutti igiochi decenti per PC usciti recentemente: Bioshock, motoGP07,Blazing Angels 2: Secret Missions Of WWII, Stranglehold, Medal Of Honor: Airborne. Sono tutti giochi che sono la copia esatta di quelli per XBOX360 e che richiedono una signora scheda video per girare decentemente.
        • bla scrive:
          Re: non serve a nulla
          infatti bioshock su xbox si vede da cani, a differenza della versione pc :)
          • Dioniso scrive:
            Re: non serve a nulla
            - Scritto da: bla
            infatti bioshock su xbox si vede da cani, a
            differenza della versione pc
            :)perchè bioschock NON è un porting da console a PC ma il contrario.inoltre bioschock usa l'unreal engine 3 che a quanto pare ha avuto problemi nell'essere portato su console (indiscrezioni di the enquirer da prendere con le molle)tutto cià cmq vale solo per bioschock ed i 4 giochi fatti con l'u3 (spettacolare tra l'altro), per gli altri ha perfettamente ragione gesù (oddio l'ultima frase spero non venga mai estrapolata dal suo contesto).il VG su pc è troppo complesso...IMHO ci rimarranno solo i giochi la cui giocabilità è maggiore su pc che su conosle, ovvero i MMORPG, gli sparatutto e gli strategici.per i MMORPG si tratta di una questione di posizione del pc in casa e di modo di fruire del gioco, è decisamente meglio su pc.per lgi sparatutto e strategici il vantaggio del pc viene annullato quando attacchi mouse e tastiera alla console...eppoi un pc che non deve far andare videogiochi è un pc con linux+wine sopra...a cosa serve windows se non per i videogiochi???
      • Dioniso scrive:
        Re: non serve a nulla
        - Scritto da: pippo
        A fare giochi graficamente più belli dell'xbox360con la play 1-2 e la xbox 1 era vero ma ora non più.ragiona sul fatto che i primi gichi per play2 erano gaficament eorribili metre gli ultimi sono al livello delle dx9c ma girano sullo stesso identico hw (god of war II), merito dell'ottimizzazione.con il cell per play3 e xenos/m su x360 il discorso dell'ottmizzazione è ancora più marcato perchè si tratta di hw molto particolare.ormai la qualità grafica milgiore se la prenderanno le console grazie all'ottimizzazione e chi gioca su pc per non avere gli scattini e quell'effeto grafico in più dovrà aggionrare la sk video 3 volte in un anno da dx10.0 a dx10.1 poi dx10.1.1 ed ancora dx10.1.2, la sk video ci servirà solo per software 3d e beryl o aero...100 eur son già troppi ormai.
  • mr_setter scrive:
    solo 512 MB di RAM video?
    ero convinto fossero gia' ampiamente passati nell'ordine di misura dei GigaByte di RAM, almeno 1 o 2 GB, tenendo presente l'imminente uscita di games "succhiaRAM" del tipo Crysis et similia...staremo poi a vedere il costo di questi PC miniaurizzati...immagino sara' in linea con la concorrenza per schede di tipo high-end quindi non troppo lontani dai 500-600 euro (almeno...) :'(per quanto mi riguarda la risposta da almeno un paio d'anni a questa parte a queste meraviglie tecnologiche e' una ed una sola: si fottano!!! :@ :@ LV&P O)-----------------------------------------------------------Modificato dall' autore il 03 ottobre 2007 11.14-----------------------------------------------------------
    • TADsince1995 scrive:
      Re: solo 512 MB di RAM video?

      per quanto mi riguarda la risposta da almeno un
      paio d'anni a questa parte a queste meraviglie
      tecnologiche e' una ed una sola: si fottano!!! Sono abbastanza d'accordo con te...http://tadlabs.wordpress.com/2007/09/28/videogiochi-ma-ne-vale-la-pena/TAD
Chiudi i commenti