[NEWS] HSM non certificato, firme digitali non valide?

[c.m.g]

lunedì 12 dicembre 2011

Spoiler:

Quote: di A. Lisi e L. Foglia (www.studiolegalelisi.it) - Pigre proroghe, urgenza non percepita da parte dei potenziali operatori. Solo uno di questi ora si mostra in regola. Il pasticcio italiano dei dispositivi automatici di firma

Roma - Torniamo a occuparci dell'incredibile caso degli HSM in Italia, perché l'epopea continua.

Lo scorso ottobre sono scaduti i ventuno mesi concessi dal DPCM 10 febbraio 2010 per reiterare le autocertificazioni di rispondenza ai requisiti di sicurezza richiesti dalla normativa europea in materia dei dispositivi HSM (Hardware Security Module) utilizzati per l'apposizione di firme elettroniche con procedure automatiche. Con il citato Decreto, oltre a mettere una pezza alla situazione corrente, si cercò finalmente di dare un concreto impulso agli obblighi di sicurezza che la direttiva europea sulle firme elettroniche imponeva fin dal 1999. Da un lato, quindi, si concesse l'ultima proroga al dubbio sistema delle autocertificazioni (che con continui rinvii andava avanti dal 2002) e dall'altro si individuò un ente - l'OCSI - legittimato a effettuare i necessari controlli sulla sicurezza dei dispositivi di firma.
Con tale sistema si salvarono dal blocco totale quei certificatori (insieme a pochi altri imprenditori) che avevano acquistato e utilizzavano HSM per le loro procedure automatiche di apposizione di firme digitali. Allo stesso tempo, si avviò una corretta metodologia di certificazione, il cui primo passo previsto era quello dell'emanazione, da parte dell'OCSI, di una procedura per accertare il rispetto dei requisiti di sicurezza previsti e, quindi, attestare la relativa certificazione. Pur se con un leggero ritardo rispetto ai termini previsti dal soprarichiamato DPCM, l'OCSI ha approvato la procedura e dal 2 novembre 2010 era possibile intraprendere la strada della certificazione.

Decorsi tutti questi lunghi mesi di tempo per mettersi in regola, dal primo novembre 2011, terminato il regime provvisorio previsto dal DPCM 10 febbraio 2010, sarebbero utilizzabili solo quelle procedure automatiche di firma che adottano sistemi certificati dall'OCSI o da analogo organismo riconosciuto in un altro stato dell'Unione Europea. Nonostante l'anno di tempo a disposizione, però, molti (e tra questi anche enti certificatori accreditati di firma digitale) non hanno ancora ottenuto la necessaria certificazione e, in alcuni casi, non l'hanno neppure richiesta! Tale situazione - frutto dell'ingiustificabile inerzia di quanti hanno, con superficialità e incoscienza, omesso di richiedere la certificazione dei propri sistemi automatici di firma - in determinati casi potrebbe comportare un blocco totale, ad esempio, di alcune procedure di fatturazione elettronica e conservazione digitale dei documenti, creando notevoli danni a quei clienti che si sono voluti fidare delle procedure proposte. Per tale motivo, evitando buona parte dei danni, il legislatore è dovuto ancora una volta intervenire per concedere un'ulteriore proroga (che in uno stato normale avrebbe dovuto apparire superflua e non necessaria).

Con il DPCM 14 ottobre 2011, infatti, il legislatore ha stabilito che "le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l'apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme".

Ancora una volta una proroga, nonostante, ormai, le regole per ottenere la certificazione siano state rese disponibili da tempo. Almeno questa volta il legislatore ha evitato una proroga indistinta, "premiando" (le virgolette sono doverose!) chi, alla data dell'1 novembre 2011 (cioè 12 mesi dopo la pubblicazione della procedura di certificazione), aveva almeno iniziato la procedura di certificazione. Peccato, però, che quest'ultimo DPCM fosse da mesi pronto per la firma (immaginiamo sulle scrivanie di sonnecchianti ministri che avevano - a quanto pare - questioni più urgenti da risolvere) ed è stato pubblicato in Gazzetta Ufficiale solo e soltanto in data 31 ottobre 2011 (G.U. 31 ottobre 2011, n. 254). In poche parole, il DPCM è stato pubblicato solo il 31 ottobre, quando il termine ultimo previsto per avviare la procedura (e ottenere il positivo pronunciamento sull'adeguatezza del traguardo sulla sicurezza) era il 1° novembre 2011! Ci sembra superfluo ricordare che avviare la procedura non significa redigere un breve modulo precompilato e inoltrarlo via telefax (o PEC) a chi di competenza!
Credo che ulteriori commenti siano superflui e non possiamo non definire il tutto come l'ennesimo pasticcio nel pasticcio infarcito - come sempre - del solito pressappochismo all'italiana!

Rimane comunque davvero incomprensibile l'atteggiamento di quanti non si sono preoccupati minimamente di adeguarsi a un obbligo esistente fin dal 1999, soprattutto laddove l'OCSI si è dimostrata sempre disponibile al dialogo e a offrire il proprio supporto per la certificazione. E, a quanto ci è dato di sapere, per un solo HSM è stata avviata la procedura, ottenendo da OCSI l'approvazione del Security Target. Già il mercato delle firme digitali è "piccolo piccolo", ma addirittura arrivare al monopolio delle firme digitali "massive" ci sembra troppo, anche per lo stato italiano!
Il vero problema è che a farne le spese saranno, come al solito, tutti quei soggetti che si sono fidati di soluzioni che prevedevano l'uso di procedure automatiche di firma. Cosa succederà a quei processi? Chi ne pagherà le conseguenze?

Si spera che si intervenga con l'ennesimo provvedimento d'urgenza in modo da riparare la situazione e magari ci si augura (e in prossimità del Natale gli auguri sono doverosi) che lo si faccia attraverso una normativa scritta in modo ineccepibile e approvata, sottoscritta e pubblicata in tempi brevi!

Andrea Lisi
Luigi Foglia
Digital&Law Department - Studio Legale Lisi






Fonte: Punto Informatico