Un decreto per salvare gli HSM

Un decreto per salvare gli HSM

di avv. L. Foglia (www.studiolegalelisi.it) - Proroghe su proroghe, e ora un'ancora di salvataggio. Nuova scadenza e nuove procedure per mettersi in linea con delle regole che non sono mai state prese troppo sul serio
di avv. L. Foglia (www.studiolegalelisi.it) - Proroghe su proroghe, e ora un'ancora di salvataggio. Nuova scadenza e nuove procedure per mettersi in linea con delle regole che non sono mai state prese troppo sul serio

Lo scorso 19 luglio è stato approvato dalla Presidenza del Consiglio dei Ministri, nella persona del ministro Francesco Profumo, il tanto atteso Decreto Salva-HSM . In attesa della sua entrata in vigore (che avverrà 15 giorni dopo la sua pubblicazione in G.U.) proviamo a descriverne il contenuto e ad analizzarne l’impatto sulla situazione attuale.
Prima di addentrarci nel provvedimento, però, è doveroso ricostruire gli ultimi eventi di questa annosa vicenda.

Inizialmente bisogna ricordare che, ai sensi dell’art. 35 del CAD e dell’art. 9 del DPCM 30 marzo 2009 , tutti i sistemi di generazione delle firme digitali, quindi anche gli HSM , devono garantire determinati livelli di sicurezza. A tal fine, il CAD assegna all’Organismo di Certificazione della Sicurezza Informatica (OCSI) il compito di accertare, sulla base di uno specifico schema di valutazione, la rispondenza dei sistemi di generazione delle firme ai requisiti e alle specifiche prescritte dall’allegato 3 della Direttiva 1999/93/CE e agli ulteriori requisiti stabiliti dal DPCM 30 marzo 2009.

Tuttavia, è necessario evidenziare che fino all’emanazione del DPCM 10 febbraio 2010 la normativa italiana non aveva ancora assegnato all’OCSI tale attività di verifica. Ciò ha comportato che per tutto il lasso di tempo in cui c’è stato questo vuoto normativo (dal 2003 al 2010) è stato permesso ai singoli certificatori di “auto-certificare” la rispondenza dei propri sistemi di generazione delle firme ai requisiti di sicurezza già indicati nella Direttiva europea 1999/93/CE e, successivamente, dall’art. 9 del DPCM 30 marzo 2009.
In tale situazione di incertezza, l’utilizzo di tali sistemi privi di una certificazione di sicurezza da parte di un organismo terzo ha aumentato la diffidenza soprattutto verso i sistemi di generazione delle firme da remoto, che sfuggono al controllo diretto del titolare del certificato di firma. A causa di questa situazione, dunque, anche nei casi in cui siano stati utilizzati sistemi particolarmente sicuri quali gli HSM, la mancanza di parametri di valutazione certi ha impedito la diffusione di tali sistemi di firma.

Con l’emanazione del citato DPCM 10 febbraio 2010 e la successiva pubblicazione, da parte dell’OCSI, di un proprio provvedimento attuativo, è stata correttamente regolamentata tutta la procedura per richiedere l’accertamento del rispetto dei requisiti di sicurezza previsti. In attesa dell’ottenimento delle certificazioni le autocertificazioni presentate hanno continuato a spiegare i propri effetti fino al 31 ottobre 2011.

Quasi in contemporanea, poi, con la scadenza fissata dal DPCM 10 febbraio 2011, con Decreto del Presidente del Consiglio dei Ministri del 14 ottobre 2011 (pubblicato in G.U. 31 ottobre 2011, n. 254), è stato stabilito che le autocertificazioni e le autodichiarazioni di cui al DPCM 10 febbraio 2010, riguardanti i dispositivi per l’apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza (TDS) da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) . Il DPCM citato prevede anche la possibilità che l’accertamento dei criteri di sicurezza sia realizzato da un istituto analogo all’OCSI e che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.

Attualmente, quindi, solo un HSM risulta essere in linea con l’attuale normativa e tale situazione, probabilmente causata anche dall’eccessiva “distrazione” di alcuni produttori/rivenditori di soluzioni basate su HSM, ha portato a dover ritenere “fuorilegge” molte soluzioni di firma digitale utilizzate in questo momento in Italia.
Il DPCM 19 luglio 2012 è stato emanato proprio per porre rimedio a questa situazione che finirebbe per avere un impatto devastante su di un mercato, quello delle firme digitali, che ancora, dopo tanti anni, stenta a decollare.

L’obiettivo principale del Decreto è quello di modificare i termini e le condizioni imposte dal precedente Decreto del 14 ottobre 2011, permettendo di considerare ancora valide le autocertificazioni effettuate per tutti gli HSM che:
a) alla data del 1 novembre 2011 abbiano anche solo formalmente attivato la procedura di accertamento di conformità presso l’OCSI;
b) entro 90 giorni dall’entrata in vigore del Decreto 19 luglio 2012 avranno ottenuto il pronunciamento positivo del Traguardo di Sicurezza (TDS) e, nei successivi 15 giorni, abbiano avviato un processo di certificazione debitamente comprovato presso l’OCSI.

Inoltre, in considerazione della complessità delle operazioni di verifica e controllo effettuate dall’OCSI, il termine di validità delle autocertificazioni è stato spostato a ventuno mesi dopo la pubblicazione in G.U. del Decreto.

Il Decreto stabilisce anche che non potranno essere generate nuove chiavi crittografiche fino a quando non si sia ottenuto un pronunciamento positivo del proprio TDS e non si sia attivato un processo di certificazione.

I certificatori che utilizzano HSM non conformi a quanto richiesto per la validità delle autocertificazioni dovranno, entro 15 giorni, presentare un apposito piano di migrazione (della durata massima di 6 mesi) ad un altro dispositivo conforme.

Qualora, poi, allo scadere dei 21 mesi previsti come termine di validità delle autocertificazioni, non sia stato ottenuto l’attestato finale di conformità, il certificatore dovrà predisporre un apposito piano di migrazione ad altro dispositivo conforme.

Con l’entrata in vigore del Decreto 19 luglio 2012, quindi, in attesa del completamento degli iter di certificazione, accanto all’HSM Cosign di ARX saranno legalmente auto-certificati anche il LUNA PCI configured for use in LUNA SA 4.1 di Safenet e l’ nShield Solo F3 PCIe HSM di Thales e-Security Ltd.

Luigi Foglia
Digital&Law Department – Studio Legale Lisi

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 31 lug 2012
Link copiato negli appunti