Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza

 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
MiniLED di fascia media con local dimming a 192 zone, 144 Hz nativi e audio firmato Devialet. La prova strumentale riscontra colori affidabili e gaming reattivo, per un prodotto molto accessibile e convincente. Ma la soundbar aggiuntiva è quasi d'obbligo
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per le note, sono le note salienti. Il salto di prezzo rispetto al modello in bianco e nero si fa sentire, anche se la percezione è quella di trovarsi di fronte a un prodotto di fascia altissima, per veri appassionati
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il ritmo sempre più serrato a cui vengono trovate vulnerabilità nel software. Un problema significativo, che richiederà del tempo per essere risolto (o quantomeno arginato)
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 13-12-2011, 09:40   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22121
[NEWS] HSM non certificato, firme digitali non valide?

lunedì 12 dicembre 2011

Spoiler:
Quote:
di A. Lisi e L. Foglia (www.studiolegalelisi.it) - Pigre proroghe, urgenza non percepita da parte dei potenziali operatori. Solo uno di questi ora si mostra in regola. Il pasticcio italiano dei dispositivi automatici di firma



Roma - Torniamo a occuparci dell'incredibile caso degli HSM in Italia, perché l'epopea continua.

Lo scorso ottobre sono scaduti i ventuno mesi concessi dal DPCM 10 febbraio 2010 per reiterare le autocertificazioni di rispondenza ai requisiti di sicurezza richiesti dalla normativa europea in materia dei dispositivi HSM (Hardware Security Module) utilizzati per l'apposizione di firme elettroniche con procedure automatiche. Con il citato Decreto, oltre a mettere una pezza alla situazione corrente, si cercò finalmente di dare un concreto impulso agli obblighi di sicurezza che la direttiva europea sulle firme elettroniche imponeva fin dal 1999. Da un lato, quindi, si concesse l'ultima proroga al dubbio sistema delle autocertificazioni (che con continui rinvii andava avanti dal 2002) e dall'altro si individuò un ente - l'OCSI - legittimato a effettuare i necessari controlli sulla sicurezza dei dispositivi di firma.
Con tale sistema si salvarono dal blocco totale quei certificatori (insieme a pochi altri imprenditori) che avevano acquistato e utilizzavano HSM per le loro procedure automatiche di apposizione di firme digitali. Allo stesso tempo, si avviò una corretta metodologia di certificazione, il cui primo passo previsto era quello dell'emanazione, da parte dell'OCSI, di una procedura per accertare il rispetto dei requisiti di sicurezza previsti e, quindi, attestare la relativa certificazione. Pur se con un leggero ritardo rispetto ai termini previsti dal soprarichiamato DPCM, l'OCSI ha approvato la procedura e dal 2 novembre 2010 era possibile intraprendere la strada della certificazione.

Decorsi tutti questi lunghi mesi di tempo per mettersi in regola, dal primo novembre 2011, terminato il regime provvisorio previsto dal DPCM 10 febbraio 2010, sarebbero utilizzabili solo quelle procedure automatiche di firma che adottano sistemi certificati dall'OCSI o da analogo organismo riconosciuto in un altro stato dell'Unione Europea. Nonostante l'anno di tempo a disposizione, però, molti (e tra questi anche enti certificatori accreditati di firma digitale) non hanno ancora ottenuto la necessaria certificazione e, in alcuni casi, non l'hanno neppure richiesta! Tale situazione - frutto dell'ingiustificabile inerzia di quanti hanno, con superficialità e incoscienza, omesso di richiedere la certificazione dei propri sistemi automatici di firma - in determinati casi potrebbe comportare un blocco totale, ad esempio, di alcune procedure di fatturazione elettronica e conservazione digitale dei documenti, creando notevoli danni a quei clienti che si sono voluti fidare delle procedure proposte. Per tale motivo, evitando buona parte dei danni, il legislatore è dovuto ancora una volta intervenire per concedere un'ulteriore proroga (che in uno stato normale avrebbe dovuto apparire superflua e non necessaria).

Con il DPCM 14 ottobre 2011, infatti, il legislatore ha stabilito che "le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l'apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme".

Ancora una volta una proroga, nonostante, ormai, le regole per ottenere la certificazione siano state rese disponibili da tempo. Almeno questa volta il legislatore ha evitato una proroga indistinta, "premiando" (le virgolette sono doverose!) chi, alla data dell'1 novembre 2011 (cioè 12 mesi dopo la pubblicazione della procedura di certificazione), aveva almeno iniziato la procedura di certificazione. Peccato, però, che quest'ultimo DPCM fosse da mesi pronto per la firma (immaginiamo sulle scrivanie di sonnecchianti ministri che avevano - a quanto pare - questioni più urgenti da risolvere) ed è stato pubblicato in Gazzetta Ufficiale solo e soltanto in data 31 ottobre 2011 (G.U. 31 ottobre 2011, n. 254). In poche parole, il DPCM è stato pubblicato solo il 31 ottobre, quando il termine ultimo previsto per avviare la procedura (e ottenere il positivo pronunciamento sull'adeguatezza del traguardo sulla sicurezza) era il 1° novembre 2011! Ci sembra superfluo ricordare che avviare la procedura non significa redigere un breve modulo precompilato e inoltrarlo via telefax (o PEC) a chi di competenza!
Credo che ulteriori commenti siano superflui e non possiamo non definire il tutto come l'ennesimo pasticcio nel pasticcio infarcito - come sempre - del solito pressappochismo all'italiana!

Rimane comunque davvero incomprensibile l'atteggiamento di quanti non si sono preoccupati minimamente di adeguarsi a un obbligo esistente fin dal 1999, soprattutto laddove l'OCSI si è dimostrata sempre disponibile al dialogo e a offrire il proprio supporto per la certificazione. E, a quanto ci è dato di sapere, per un solo HSM è stata avviata la procedura, ottenendo da OCSI l'approvazione del Security Target. Già il mercato delle firme digitali è "piccolo piccolo", ma addirittura arrivare al monopolio delle firme digitali "massive" ci sembra troppo, anche per lo stato italiano!
Il vero problema è che a farne le spese saranno, come al solito, tutti quei soggetti che si sono fidati di soluzioni che prevedevano l'uso di procedure automatiche di firma. Cosa succederà a quei processi? Chi ne pagherà le conseguenze?

Si spera che si intervenga con l'ennesimo provvedimento d'urgenza in modo da riparare la situazione e magari ci si augura (e in prossimità del Natale gli auguri sono doverosi) che lo si faccia attraverso una normativa scritta in modo ineccepibile e approvata, sottoscritta e pubblicata in tempi brevi!

Andrea Lisi
Luigi Foglia

Digital&Law Department - Studio Legale Lisi






Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco Hisense 55U7SE: tuttofare e accessibile, il Min...
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Kindle Scribe Colorsoft: riduce le cornici e div...
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint L'IA cambia tutte le regole della sicurezza tra ...
L'Europa conta nella tecnologia e può essere autonoma. Cosa si è detto al Nextcloud Summit 2026 L'Europa conta nella tecnologia e può ess...
Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete: i bracci si esten...
La Corte Suprema riapre, in parte, il ca...
Uno sviluppatore ha reso il nuovo Steam ...
Server privati di Minecraft e Call of Du...
NASA, investimento da 600 milioni di dol...
Lenovo presenta i Security Services con ...
L'Italia mette l'IA in produzione: a Mil...
L'hamburger perfetto esiste? A San Franc...
CISA conferma: il bug di Windows Defende...
Hyper Mini LED e 5K: LG UltraGear evo AI...
Il falso bug di Windows 3.1 che costò a ...
GTA 6 ha già conquistato gli uten...
L'UE ha un grosso problema: la sua ident...
I 10 articoli TOP Amazon per l'estate: t...
Lumo 2.0: Proton sfida ChatGPT e Claude ...
OnePlus lancia il suo entry level N6: ba...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 12:34.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v