Il misterioso caso degli HSM

Il misterioso caso degli HSM

Ovvero quanto ci mette un Ministro in Italia a mettere una firma (non digitale)? Le imprese hanno pagato e attendono, le macchine sono ferme. Perché? - avv. Andrea Lisi (scintlex.it)
Ovvero quanto ci mette un Ministro in Italia a mettere una firma (non digitale)? Le imprese hanno pagato e attendono, le macchine sono ferme. Perché? - avv. Andrea Lisi (scintlex.it)

Rischiano di rimanere paralizzati molti progetti di dematerializzazione documentale avviati in Italia. Infatti, nonostante le tante normative che consentono oggi a imprese e pubbliche amministrazioni di procedere con la cd. conservazione sostitutiva dei documenti (anche rilevanti fiscalmente) e di fatturare elettronicamente (senza dover stampare più nulla), per un pasticcio normativo che sta durando da troppo tempo, molti responsabili della conservazione sono fermi ai nastri di partenza . Sembra incredibile, ma questa è la situazione paradossale che stanno vivendo molte imprese del settore, in attesa che i vari ministeri competenti si ricordino di approvare e far pubblicare un decreto interministeriale che si attende da almeno 8 mesi a questa parte.

Andiamo con ordine e sintetizziamo cosa è successo.

Tutti i sistemi di dematerializzazione documentale e di fatturazione elettronica previsti dalla normativa attualmente in vigore, come è noto, si basano su processi di apposizione della firma digitale da apporre sui singoli documenti. Per apporre una firma digitale su un documento ci vuole un dispositivo sicuro di firma che rispetti la direttiva europea 1999/93/CE e la normativa italiana (oggi contenuta nel Codice dell’amministrazione digitale e nelle relative regole tecniche). I dispositivi sicuri di generazione di firme digitali attualmente in commercio sono sostanzialmente costituiti da smartcard o token USB , i quali consentono la sottoscrizione elettronica “documento per documento” e, quindi, garantiscono con la dovuta certezza la provenienza del documento informatico firmato e la sua immodificabilità.

Come gli operatori del settore sanno bene, nei procedimenti di conservazione sostitutiva e di fatturazione elettronica il procedimento di validazione documentale può coinvolgere un numero elevatissimo di documenti informatici (milioni di fatture da dematerializzare!) e, per tali processi, non è assolutamente efficiente per il responsabile della conservazione o della fatturazione elettronica affidarsi ai dispositivi prima descritti (i quali, come detto, sono idonei a supportare procedimenti di sottoscrizione “documento per documento”, in quanto ogni sottoscrizione normalmente richiede la digitazione del PIN di sblocco della smart card della firma). In questi casi, per snellire il processo e garantire uno standard efficiente di validazione del processo, risulta indispensabile utilizzare una procedura automatica di sottoscrizione. L’utilizzo di dispositivi di firma particolari denominati HSM (Hardware Security Module) garantisce migliori prestazioni rispetto alla smart card (o a un token). Tale dispositivo è configurato secondo elevatissimi standard di sicurezza informatica ed è adatto a tutte quelle particolari applicazioni che consentono di digitare il PIN una sola volta a fronte della sottoscrizione di più documenti.

Tali sistemi di “firma massiva” sono stati da tempo ritenuti idonei nella generazione di firme digitali sia a livello normativo nazionale sia internazionale, secondo standard tecnici definiti e riconosciuti. Il Codice della amministrazione digitale (D. Lgs. 82/2005) nel suo art. 35 ne contempla l’utilizzo e le varie normative tecniche hanno definito da tempo gli standard di sicurezza che essi devono rispettare (da ultimo, si veda il DPCM 13 gennaio 2004). Addirittura le Linee Guida del CNIPA per l’utilizzo della Firma Digitale del maggio 2004 ne consigliano l’utilizzo nei processi che investono la validazione di molti documenti. Da ultimo, anche una recente Risoluzione dell’Agenzia delle Entrate (si fa riferimento alla Ris. n. 161/E del 9 luglio 2007) ha affermato con la dovuta tranquillità che i dispositivi HSM possono dirsi idonei a generare firme digitali nei processi di conservazione digitale di documenti rilevanti fiscalmente e di fatturazione elettronica.

Ebbene, fidandosi del legislatore italiano ed europeo e degli standard internazionalmente riconosciuti, molte società del settore informatico, nominate quali responsabili di processi di conservazione dei documenti (i quali, molto spesso svolgono il loro lavoro in outsourcing per conto di grosse imprese) hanno acquistato sul mercato questi costosissimi strumenti per snellire e rendere più veloci i processi di validazione documentale. Ebbene, per un cavillo normativo, nessun certificatore italiano accreditato dal CNIPA (facciamo, cioè, riferimento a quei soggetti che prestano servizi “pubblici” di certificazione delle firme digitali) è disposto oggi ad attivare con i suoi certificati di firma gli HSM regolarmente acquistati e profumatamente pagati dai vari, ignari imprenditori-responsabili della conservazione.

I certificatori oggi non sono disponibili ad “autocertificare” il processo di sicurezza nella generazione della firma insito in questi dispositivi HSM e neppure è stato ancora costituito l’apposito Organismo statale di certificazione della sicurezza (previsto dal DPCM del 30 ottobre 2003)! E non è ovviamente agevole per un operatore italiano rivolgersi a certificatori europei…

Sembra incredibile, ma è questa la situazione che stanno vivendo in questi mesi tanti operatori del mercato digitale, con contratti già sottoscritti con i vari clienti, processi da attivare e iniziare, ma misteriosamente bloccati in speranzosa attesa di un decreto interministeriale che potrebbe sbloccare una situazione che a qualcuno fa comodo sul mercato, ovviamente. Basti pensare che, in Italia, offrono servizi di certificazione della firma elettronica, di certificazione della posta elettronica e anche di conservazione sostitutiva dei documenti identici soggetti giuridici e, forse, occorrerebbe verificare con attenzione se non si è in presenza di situazioni che possano – per mancanza di coraggio o per cattiva volontà di questi stessi soggetti – turbare un mercato già di per sé difficile.

Da nostre fonti, è da mesi pronto il Decreto Interministeriale che dovrebbe autorizzare espressamente i certificatori di firma elettronica ad attestare, mediante autodichiarazione, la rispondenza dei vari prodotti e dispositivi di firma agli standard riconosciuti. Quanto tempo è ancora necessario ad un Ministro per mettere una firma (non digitale)?

avv. Andrea Lisi
ScintLex

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 ott 2007
Link copiato negli appunti