
. […] RITENUTO il termine del 1° novembre 2011 previsto dall’articolo 1 del citato decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, non congruo in relazione alla complessità della procedura di accertamento di conformità dei dispositivi automatici di firma ai requisiti di sicurezza;
CONSIDERATO che l’applicazione delle disposizioni di cui al citato articolo 1 potrebbe avere un significativo impatto sui servizi assicurati dell’utilizzo dei dispositivi automatici di firma, creando notevoli disservizi agli utenti che se ne avvalgono, ivi comprese numerose amministraioni ed enti pubblici; […] DPCM del 19 luglio 2012.
Ritenuto non congruo e considerato che potrebbe avere … interessante questo nuovo DPCM.
Qualcuno lo ha ribatezzato il “decreto Salva – HSM“, io lo ribattezzerei il decreto per salvare quelli che non rispettano le leggi.
Sui termini non congrui rimanderei alla lettura del post “Italia, terra di santi, poeti, navigatori, inventori e … cialtroni?“, dove a fronte degli allarmismi registrati sugli organi di stampa di settore e non, a ridosso (ottobre 2011) dell’entrata in vigore del DPCM “ritenuto non congruo”, veniva fatta una analisi storica dei fatti succedutisi nell’arco di 10 anni ed in particolare degli ultimi due anni (febbraio 2010 – novembre 2011), che dimostra invece l’esatto contratio, ovverosia la conguità dei tempi messi a disposizione da parte del legislatore verso tutti i protagonisti della “storia” della certificazione degli HSM in Italia.
Sulla non congruità, in relazione alla complessità della procedura di accertamento, come ulteriore spunto, suggerirei, anche al Ministro Profumo, di verificare i tempi intercorrenti fra la “Data di attivazione della Procedura” e il “Pronunciamento positivo (da parte dell’OCSI) sull’adeguatezza del TDS”, che nei casi dove l’iter si è completato, il tempo trascorso è rimasto abbondantemente all’interno dell’anno (7 mesi per entrambi i produttori, ARX e Thales e-Security Ltd.), anno che il legislatore aveva messo a disposizione dei produttori per avviare la procedura di certificazione, all’indomani della pubblicazione della stessa da parte di OCSI (luglio 2010).
Sul si “potrebbe avere un significativo impatto sui servizi assicurati dall’utilizzo dei dispositivi automatici di firma”, il decreto della Presidenza del Consiglio dei Ministri, che modfica un precedente proprio decreto sullo stesso tema, “si dimentica” (ignorantia legis non excusat) della applicazione e vigenza di una legge dello Stato. Il dettato del DPCM 14 ottobre 2011, ad oggi ancora in vigore, recita in maniera chiara, e contenuta in un unico e non troppo lungo articolo (il numero 1), che potranno essere utilizzati solo gli HSM che “abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme”.
E tutti gli altri? Erano/sono da spegnere, fino al soddisfacimento delle due condizioni necessarie e sufficienti di cui sopra, utili alla riaccensione. Per fare un parallelo, è come se alla data in cui scadeva il termine per dotarsi di marmitta catalitica sul proprio mezzo di trasporto meccanico, i produttori non avessero prodotto vetture con marmitta catalitica, infischiandosene della normativa, e da parte degli automobilisti non in regola si fossero addotte scuse e motivazioni del tipo “non sapevo che ci fosse un termine, sicuramente ci dovrà essere una proroga”, “questo termine potrebbe avere un significativo impatto sui servizi di trasporto!”.
La storia drammatica della mancata applicazione della legge è sotto gli occhi di tutti noi nei recenti fatti dell’ILVA di Taranto.
Altro passaggio interessante: “CONSIDERATA pertanto, l’esigenza, sempre in relazione alle ragioni sopra evidenziate (non conguità e potrebbe avere, ndr.) di stabilire in via definitiva … “, ma perchè, prima c’era qualcosa di poco defintivo? Forse il precedente DPCM era uno scherzo, una burla, manca/mancava di effettività?
L’art. 2 del DPCM 19 luglio 2012 parla di emissione di nuove chiavi crittografiche afferenti a certificati qualificati solo dopo aver ottenuto per i relativi dispositivi il pronunciamento positivo sull’adeguatezza del TDS da parte di OCSI; nelle more del mancato pronunciamento chi controlla e vigila che venga rispettata in maniera “seria e definitiva” la legge? L’Agenzia per l’Italia Digitale, ieri DigitPA e l’altro ieri CNIPA ha censito gli apparati che fanno firme automatiche, è in grado di sapere chi si deve adeguare e definire la scaletta, certificatore per certificatore, utilizzatore (del dispositivo) per utilizzatore, dei termini per essere in regola?
Infine la conclusione. L’art. 5 che stabilisce in maniera definitiva (forse) che “scaduti i termini stabiliti nel presente decreto, le dichiarazioni già rese allo scopo di attestare la rispondenza dei dispositivi automatici di firma ai requisiti stabiliti dalla vigente normativa cessano DEFINITIVAMENTE di avere efficacia.
Commenti recenti