Sicurezza dei dispositivi di firma: ennesima proroga per gli HSM

di avv. Luigi Foglia, Digital & Law Department

Mai avrei immaginato di tornare nuovamente a parlare di certificazione di conformità degli HSM! 

Ma facciamo un passo indietro in questa intricata e, a quanto pare, infinita storia.
Con la direttiva europea 1999/93/CE, nel tentativo di stabilire un quadro uniforme europeo in tema di firme elettroniche, erano stati individuati alcuni requisiti di sicurezza che i dispositivi utilizzati per realizzare le firme elettroniche avrebbero dovuto rispettare affinché le firme prodotte potessero essere riconosciute come qualificate in tutti gli stati membri dell’Unione Europea. 
Il problema riguardava soprattutto i dispositivi che dovevano custodire in maniera sicura i certificati di firma al di fuori del controllo dell’effettivo titolare del certificato. 
Tali dispositivi, conosciuti anche con il nome di HSM (Hardware Security Module), avevano il delicato compito di proteggere i certificati dagli accessi “non autorizzati” esterni e sulla loro sicurezza si basava (e si basa ancora oggi) buona parte del sistema di firme digitali automatiche e remote.
Purtroppo, però, nonostante le numerose leggi di recepimento della direttiva 99/93, in Italia mancava un organismo incaricato di rilasciare le necessarie certificazioni e, per vari anni (quasi 10) la conformità ai requisiti di sicurezza richiesti dall’Europa è stata “autocertificata” dai Certificatori di firma digitale. 
Con l’emanazione del DPCM 10 febbraio 2010 (e la successiva pubblicazione, da parte dell’OCSI, di un proprio provvedimento attuativo) era stata finalmente regolamentata tutta la procedura per richiedere l’accertamento del rispetto dei requisiti di sicurezza previsti dalla direttiva europea 1999/93/CE per i dispositivi di firma ed era stato stabilito che, in attesa dell’ottenimento delle necessarie certificazioni, le autocertificazioni già presentate avrebbero continuato a dispiegare i propri effetti fino al 31 ottobre 2011. 
Ma, evidentemente, qualcuno si era così tanto affezionato al comodo sistema “sono sicuro, fidati che te lo dico io”, che quasi in contemporanea con la scadenza fissata dal DPCM 10 febbraio 2010, con un ulteriore Decreto, il DPCM del 14 ottobre 2011, venne stabilito che le autocertificazioni e le auto-dichiarazioni riguardanti i dispositivi per l’apposizione di firme elettroniche con procedure automatiche avrebbero continuato a dispiegare ininterrottamente i loro effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi avessero ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza (TDS) da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, fosse in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI). 
Insomma, vi diamo un po’ di tempo ma, almeno, mostrate un po’ di buona volontà iniziando la necessaria procedura di certificazione. 
Purtroppo, dopo 2 anni in cui era finalmente diventato possibile certificare i propri dispositivi, e solo per un dispositivo risultava essere stato avviato, nei termini, il processo di certificazione, il governo, onde evitare un collasso del mercato, fu costretto a emanare un ulteriore decreto, il DPCM 19 luglio 2012, con il quale prolungò nuovamente i termini per l’adeguamento a quel quadro di certificazione di sicurezza che avrebbe permesso alle nostre firme di essere indiscutibilmente riconosciute come qualificate anche in Europa.
Con il DPCM 12 luglio 2012 i fautori dell’autocertificazione sembravano spacciati e il Decreto, seppur in maniera piuttosto articolata e complessa, non lasciava scampo: o si era attivato un processo di certificazione o, inderogabilmente, dopo 21 mesi dall’entrata in vigore di quel decreto, non si sarebbero potuti più utilizzare altri HSM se non quelli certificati. 
Chi, allo scadere di quei 21 mesi, non avesse ancora richiesto nessuna certificazione, avrebbe dovuto semplicemente dismettere i vecchi HSM per acquistarne di nuovi.
Quindi ventuno mesi durante i quali i soggetti interessati (produttori e fornitori di HSM) avrebbero dovuto intraprendere dei percorsi di certificazione per restituire, finalmente, un quadro in linea con quanto previsto a livello europeo.
Considerando che il DPCM 12 luglio 2012 è entrato in vigore il 26 ottobre dello stesso anno[1], i 21 mesi dovrebbero ormai essere abbondantemente scaduti e gli ulteriori 6 mesi di validità delle autocertificazioni potevano essere concessi solo ai certificatori che, non avendo ottenuto la necessaria certificazione (ma avendo comunque, nei termini previsti, iniziato il relativo percorso di certificazione), avessero presentato, entro 15 giorni dalla scadenza dei 21 mesi di cui sopra, un apposito piano di migrazione verso sistemi certificati[2]
Purtroppo solo in pochissimi si sono correttamente attivati per ottenere la certificazione: Arx ha richiesto e ottenuto la certificazione per il proprio dispositivo CoSign v 7.1, mentre Thales ha intrapreso nei termini il proprio percorso di certificazione ma è ancora in corso la relativa procedura di certificazione.
Solo per gli utilizzatori del dispositivo di Thales si potrà, quindi, applicare l’ennesima proroga che, a quanto pubblicato da AgID sul proprio sito, è stata approvata con DPCM da parte dei ministri Madia, Guidi e Padoan. 
Tutta la questione degli HSM, purtroppo, è stata gestita negli ultimi 15 anni con scarsissima sensibilità da parte degli operatori. 
Produttori disinteressati alla certificazione e Certificatori più attenti a salvaguardare i propri investimenti che a garantire la validità (quantomeno a livello europeo) delle proprie soluzioni di firma digitale, hanno costretto più volte il governo a intervenire. Purtroppo, soprattutto con quest’ennesima proroga, si è finito ancora una volta per calpestare gli sforzi fatti da chi, al contrario, ha voluto mettersi per tempo in regola. Per non parlare di chi, preferendo mettersi in regola, ha sostenuto ingenti costi per sostituire i dispositivi non certificati con altri già certificati. 
Concludendo (si spera!), in considerazione dei soggetti che sul sito dell’OCSI risultano, attualmente, aver ottenuto la certificazione o aver, quantomeno, presentato richiesta di certificazione e ottenuto l’approvazione del traguardo di sicurezza nei termini previsti dal DPCM 19 luglio 2012, riassumiamo quali dispositivi HSM possono al momento essere utilizzati:

– CoSign v. 7.1

– Luna PCI configured for use in LUNA SA 4.5.1 (RF)

– Luna PCI configured for use in LUNA SA 4.5

– nShield solo F3 PCIe HSM (ma solo fino al termine del 1° settembre 2015 qualora nel frattempo non intervenga la certificazione). 

Gli altri HSM non sono al momento utilizzabili e non lo saranno fin quando non avranno ricevuto la necessaria certificazione. 
È una questione di sicurezza e, con il regolamento eIDAS ormai approvato è necessario fare le cose per bene, o quantomeno provarci. Il rischio serio è quello di perdere una buona opportunità di mercato nel momento in cui le nostre firme elettroniche si confronteranno con quelle degli altri paesi europei.
NOTA BENE: 
Accanto agli HSM certificati, o in corso di certificazione, da parte dell’organismo Italiano OCSI, è comunque possibile utilizzare, per la creazione di firme qualificate, anche altri dispositivi comunque certificati da un Ente notificato di un altro stato membro. Il comma 6 dell’art. 35 del D.lgs. 82/05 (il Codice dell’Amministrazione Digitale) prevede, infatti,  che la conformità di un dispositivo di firma ai requisiti di sicurezza previsti dalla direttiva 1999/93/CE è inoltre riconosciuta se accertata da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva 1999/93/CE.
I dispositivi HSM non certificati sono comunque utilizzabili per la gestione di certificati non qualificati (come ad esempio quelli utilizzati in alcune procedure di Firma elettronica avanzata).
Non esiste, purtroppo, un elenco dei vari HSM certificati a livello europeo e, quindi, utilizzabili in Italia per la creazione di firme qualificate ma, con l’aiuto di chi produce, vende o utilizza HSM, cercheremo di mantenere aggiornato il presente elenco con l’indicazione sia dei dispositivi accertati in Italia che di quelli comunque accertati in altro stato membro. 
La prima segnalazione che ci è giunta riguarda l’HSM Secure Signature Creation Device PkBox, Version 3.0.3 che ha ottenuto la certificazione presso l’organismo notificato austriaco A-Sit.
[1] Il DPCM prevedeva la sua entrata in vigore 15 giorni dopo la sua pubblicazione in Gazzetta ufficiale avvenuta in GU 237 del 10 ottobre 2012. 
[2] L’art. 4.1 del DPCM 19 luglio 2012 prevedeva solo per i certificatori che entro il termine di ventuno mesi di cui all’art. 1 non avessero dato prova all’Agenzia per l’Italia digitale dell’avvenuto rilascio dell’attestato finale di conformità a seguito dell’avvio del processo di certificazione, che entro i quindici giorni successivi alla scadenza del medesimo termine avrebbero potuto presentare ad AgID un piano di migrazione per la sostituzione dei dispositivi in uso con altri dispositivi in grado di soddisfare i requisiti di sicurezza richiesti, da completarsi inderogabilmente entro i successivi sei mesi.