La lenta agonia delle autocertificazioni per i dispositivi di firma elettronica

entro 6 mesi  saranno finalmente utilizzabili solo dispositivi HSM certificati EAL 4+

Sono ormai scaduti anche i 21 mesi di validità che il DPCM 19 luglio 2012 (pubblicato in GU 237 del 10 ottobre 2012) prevedeva per le autocertificazioni dei dispositivi per l’apposizione di firme elettroniche con procedure automatiche. Abbiamo più volte commentato la complessa situazione tutta italiana delle autocertificazioni in vari articoli precedenti (consultabili a questi link: “Il pasticcio italiano dei dispositivi automatici di firma”; "Approvato il Decreto "Salva – HSM": ecco le novità"; "I dispositivi per la generazione delle firme digitali devono essere sicuri?").

Di fatto l’Unione Europea ci ha imposto fin dal 1999 il rispetto di alcuni requisiti di sicurezza per i dispositivi di sottoscrizione elettronica qualificata, ma nonostante tutto abbiamo continuato per anni ad auto-certificare tale sicurezza, in barba a ogni minima logica e buonsenso. Trascorsi questi 21 mesi (termine scaduto il 25 luglio 2014) dovremmo finalmente riallinearci a quanto previsto dall’Unione europea e confermato anche dal regolamento EIDAS recentemente approvato

A ben vedere le autocertificazioni ancora in circolazione saranno ben poche, in quanto con il citato decreto 19 luglio 2012 si era fatta una prima gran pulizia ed erano ancora considerate valide solo le autocertificazioni relative a quei dispositivi per i quali alla data del 1° novembre 2011 fosse stata già attivata la procedura di accertamento di conformità o a quei dispositivi per i quali entro il gennaio 2013 fosse stata ottenuta una pronuncia positiva circa l’adeguatezza del loro TDS (traguardo di sicurezza) e fosse stato, entro i successivi 15 giorni, attivato il vero e proprio processo di certificazione. In concreto, quindi, la scadenza citata colpisce solo quei dispositivi HSM per i quali è ancora in corso la procedura di certificazione (Cosign1 e nShield solo F3 Pcle HSM).

L’art. 4 del citato decreto, però, concede ancora qualche mese di agonia ai richiamati dispositivi, in quanto prevede che entro 15 giorni i certificatori che utilizzano ancora sistemi non certificati possano presentare un piano di migrazione delle chiavi di sottoscrizione emesse su altro HSM certificato che estenderebbe la validità delle autocertificazioni fino al termine della migrazione e comunque non oltre ulteriori 6 mesi.

Ricapitolando, a patto che i certificatori abbiano presentato (o stiano per farlo) un apposito piano di migrazione su dispositivi già certificati (al momento solo i dispositivi Luna PCI nelle configurazioni SA 4.1 e 4.5.1 lo sono), sarà possibile utilizzare validamente per soli altri 6 mesi i dispositivi Cosign e nShield solo F3 Pcle HSM.

La società ITAGILE, distributore in italia delle soluzioni Cosign, ci ha comunicato che in data  17-07-2014 il percorso per la valutazione del dispositivo ARX Cosign v. 7.1 si è concluso con esito positivo presso l’OCSI. Per la pubblicazione definitiva del dispositivo Cosign tra l’elenco dei dispositivi approvati mancano solo alcuni passaggi meramente formali che a breve dovrebbero concludersi. 

avv. Luigi Foglia