I dispositivi per la generazione delle firme digitali devono essere sicuri? Come una svista può minare la sicurezza dei sistemi di firma digitale
Lo scorso 19 luglio è stato approvato dalla Presidenza del Consiglio dei Ministri, il Decreto soprannominato“Salva-Hsm”[1]. Tale Decreto, l’ultimo di una lunga serie di provvedimenti che hanno visto come protagonisti i sistemi sicuri per la generazione delle firme digitali, interviene ancora una volta per definire i limiti di utilizzo del sistema delle autocertificazioni (troppo a lungo utilizzato in questa delicata materia) in favore di un sistema basato su certificazioni rilasciate da un Ente statale riconosciuto (l’OCSI). Prima di addentrarci nel provvedimento, però, è doveroso ricostruire gli ultimi eventi di questa annosa storia.
20 Dicembre 2012
Andrea Lisi e Luigi Foglia*
Lo scorso 19 luglio è stato approvato dalla Presidenza del Consiglio dei Ministri, il Decreto soprannominato“Salva-Hsm”[1]. Tale Decreto, l’ultimo di una lunga serie di provvedimenti che hanno visto come protagonisti i sistemi sicuri per la generazione delle firme digitali, interviene ancora una volta per definire i limiti di utilizzo del sistema delle autocertificazioni (troppo a lungo utilizzato in questa delicata materia) in favore di un sistema basato su certificazioni rilasciate da un Ente statale riconosciuto (l’OCSI).
Prima di addentrarci nel provvedimento, però, è doveroso ricostruire gli ultimi eventi di questa annosa storia.
Ai sensi dell’art. 35 del CAD e dell’art. 9 del DPCM 30 marzo 2009, tutti i sistemi di generazione delle firme digitali, quindi anche gli HSM, devono garantire determinati livelli di sicurezza. A tal fine, il CAD assegna all’Organismo di Certificazione della Sicurezza Informatica (OCSI) il compito di accertare, sulla base di uno specifico schema di valutazione, la rispondenza dei sistemi di generazione delle firme ai requisiti e alle specifiche prescritte dall’allegato 3 della Direttiva 1999/93/CE e agli ulteriori requisiti stabiliti dal DPCM 30 marzo 2009.
Tuttavia, è necessario evidenziare che fino all’emanazione del DPCM 10 febbraio 2010 la normativa italiana non aveva ancora assegnato all’OCSI tale attività di verifica. Ciò ha comportato che per tutto il lasso di tempo in cui si è assistito a tale vuoto normativo (dal 2003 al 2010) è stato permesso ai singoli certificatori di firma digitale di “auto-certificare” la rispondenza dei propri sistemi di generazione delle firme ai requisiti di sicurezza già indicati nella Direttiva europea 1999/93/CE e, successivamente, dall’art. 9 del DPCM 30 marzo 2009.
In tale situazione di incertezza, l’utilizzo di tali sistemi, privi di una certificazione di sicurezza da parte di un organismo terzo, ha aumentato la diffidenza soprattutto verso i sistemi di generazione delle firme da remoto e, quindi, al di fuori del controllo diretto del titolare del certificato di firma. A causa di tale situazione, dunque, anche nei casi in cui siano stati utilizzati sistemi particolarmente sicuri quali gli HSM, la mancanza di parametri di valutazione certi ne ha impedito la diffusione.
Con l’emanazione del citato DPCM 10 febbraio 2010 e la successiva pubblicazione, da parte dell’OCSI, di un proprio provvedimento attuativo, è stata correttamente regolamentata tutta la procedura per richiedere l’accertamento del rispetto dei requisiti di sicurezza previsti. In attesa dell’ottenimento delle certificazioni le autocertificazioni presentate hanno continuato a spiegare i propri effetti fino al 31 ottobre 2011.
Quasi in contemporanea, poi, con la scadenza fissata dal DPCM 10 febbraio 2010, con Decreto del Presidente del Consiglio dei Ministri del 14 ottobre 2011 (pubblicato in G.U. 31 ottobre 2011, n. 254), è stato stabilito che le autocertificazioni e le autodichiarazioni di cui al DPCM 10 febbraio 2010, riguardanti i dispositivi per l’apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza (TDS) da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI)[2].
Purtroppo alla data del 1° novembre 2011 i dispositivi che avevano ottenuto il pronunciamento positivo sul traguardo di sicurezza erano pochissimi e in molti casi non era stato ancora neanche avviato alcun processo di certificazione.
Con il DPCM 19 luglio 2012, quindi, si è tentato di salvare da uno stato di inutilizzabilità, moltissimi dispositivi per i quali volutamente o meno non era stato ottenuto alcun pronunciamento.
Il DPCM che, a questo punto, dovrebbe rappresentare l’ultima tappa di quest’annosa vicenda, è stato pubblicato in Gazzetta Ufficiale solo il 10 ottobre 2012 ed è entrato in vigore il successivo 25 ottobre. A partire da questa data possono essere considerate ancora valide (fino a tutto il 2013) solo le autocertificazioni effettuate per gli HSM per i quali:
a) alla data dell’1 novembre 2011 siano state anche solo formalmente attivate le procedure di accertamento di conformità presso l’OCSI;
b) entro il prossimo 23 gennaio 2013 sia stato ottenuto il pronunciamento positivo del Traguardo di Sicurezza (TDS) e, nei successivi 15 giorni, sia stato avviato un processo di certificazione debitamente comprovato presso l’OCSI.
Con la scadenza dei citati termini, quindi, dovremmo vedere sul mercato HSM certificati dall’OCSI. Ma è davvero così?
Se, infatti, l’utilizzo degli HSM correttamente accreditati è indispensabile per tutti i certificatori accreditati che rilasciano certificati qualificati, la stessa cosa sembrerebbe non potersi dire per i titolari di firma digitale che si servono di processi basati su un HSM per apporla.
Infatti, a causa di una probabile svista del legislatore, dalla definizione di firma digitale introdotta con il D.Lgs. 235/2010 è scomparso qualsiasi richiamo ai dispositivi sicuri di firma. Tale richiamo, al contrario, è ancora presente nella definizione di firma elettronica qualificata ma, proprio a causa delle modifiche del 2010, la firma digitale non è più una species della firma elettronica qualificata, ma una species della firma elettronica avanzata.
Una lettura acritica delle norme porterebbe, come immediata conseguenza di tutto ciò, a ritenere che per l’apposizione di firme digitali non sia più necessario ricorrere all’utilizzo di dispositivi sicuri di firma.
D’altro canto né l’art. 35 del CAD né le regole tecniche (in primis il DPCM 30 marzo 2009) richiedono l’utilizzo di dispositivi sicuri.
Anche lo stesso Decreto 19 luglio 2012 sembra affrontare la questione solo dal punto di vista dei certificatori, non prendendo assolutamente in considerazione l’uso degli HSM da parte dei privati[3].
La “disattenzione” del legislatore, inoltre, non avrebbe come effetto solo quello di rendere non obbligatorio l’utilizzo di dispositivi sicuri per la generazione delle firme digitali ma, come ulteriore conseguenza, renderebbe possibile la creazione di firme digitali non conformi alla normativa europea sulle firme elettroniche qualificate. Infatti, sia l’attuale Direttiva 99/93/CE sia il Regolamento in fase di approvazione nel Consiglio dei Ministri d’Europa[4] prevedono, per l’apposizione delle firme elettroniche qualificate, l’utilizzo di dispositivi sicuri e certificati dall’organo competente del singolo stato nel quale queste vengono realizzate: potremmo quindi avere firme digitali, realizzate con dispositivi sicuri e quindi, in quanto conformi alle regole sulle firme elettroniche qualificate, perfettamente valide in Europa e firme digitali realizzate con dispositivi non certificati e, quindi, non riconosciute in ambito europeo.
Questa interpretazione delle norme, pur se possibile, a nostro avviso non deve diventare una regola, anzi, l’utilizzo di sistemi sicuri di firma deve essere un requisito indispensabile per ogni processo di firma digitale. La nostra è, quindi, una lettura delle norme italiane che, sebbene non dovrebbe assolutamente essere generalizzata, può momentaneamente tranquillizzare chi ha già effettuato notevoli investimenti nell’acquisto di sistemi HSM che oggi si rivelerebbero non utilizzabili perché non più conformi alla normativa italiana sulle firme elettroniche qualificate.
A prescindere dall’interpretazione data, infatti, riteniamo che sia necessario un intervento rapido del legislatore per evitare di aggravare lo stato confusionale in cui versa l’utilizzo degli HSM in Italia. La situazione è decisamente disarmante, specie se si pensa che la causa è una probabile svista del nostro legislatore sempre meno attento a innovare con quell’accortezza indispensabile nell’approvare norme di rango primario.
Un’ultima postilla: una firma elettronica apposta utilizzando un certificato di firma digitale, ma per mezzo di un dispositivo non sicuro ai sensi della normativa primaria in vigore, potrebbe essere considerata quantomeno una firma elettronica avanzata.
Anche su questo punto sarebbe utile fare chiarezza ma le bozze di regole tecniche in materia sono in un limbo normativo da ormai troppo tempo.
* Avv.ti Andrea Lisi e Luigi Foglia – Studio Legale Lisi – Digital & Law Department – www.studiolegalelisi.it