Il presente blog “Firma Facile” segue ormai da tempo e con attenzione le vicende della cosiddetta “firma digitale remota”, ovvero la soluzione di firma elettronica centralizzata che supera le difficoltà della smartcard e dell’approccio distribuito, e che rende lo strumento di firma facile da usare.
E’ il caso di fare il punto della situazione per tre motivi:
- quest’anno (2013) è giunto a compimento il processo di evoluzione normativa che ha consentito l’adozione di questo strumento: la firma remota ed i relativi dispositivi di firma denominati HSM (Hardware Security Module) fanno parte ufficialmente della normativa, per conferme sul tema leggasi “Habemus DPCM 22 febbraio 2013” dedicato “all’apparizione” in Gazzetta Ufficiale (GU n.117 del 21-5-2013) delle tanto attese (dopo due anni) Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali […];
- fra otto mesi (luglio 2014) termina il regime di autocertificazione degli apparati HSM;
- in ambito comunitario si sta lavorando alacremetne al testo del nuovo “REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno“, regolamento europeo sulle identità digitali, la firma digitale ed in generale i cosiddetti “trusted services”, che ricordiamo che per sua natura è, e sarà, obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, a partirte presumibilemtne dalla seconda metà dell’anno prossimo (2014)
Qual’è dunque lo stato dell’arte della firma remota? Quali valutazione di carattere generale si possono fare? Procediamo con ordine:
- la diffusione della firma remota è stato ed è un fenomeno importante sia nella variante firma utente singolo documento (al pari di una smartcard), sia nella variante “sottoscrizione con procedura automatica” (la firma massiva). Centinaia di soggetti, grandi aziende di tutti i settori, grandi amministrazioni dello Stato ed istituzioni l’hanno adottata direttamente. Altre migliaia di aziende, amministrazioni e persone l’anno acquisita in outsourcing. L’Italia è senza dubbio il paese in Europa più avanti di tutti. Lo era stato nella prima adozione della firma elettronica, lo è oggi per la firma remota. In un quadro generale di piagnistei sulle nostre nazionali deficienze è bene sottolineare le cose in cui non solo non ci dobbiamo vergognare, ma anzi siamo un passo avanti agli altri.
- Il processo di evoluzione normativa iniziato da Giovanni Manca (affettuosamente indicato come il papà dela firma digitale) quando era a capo dell’Ufficio Sicurezza di DigitPA (ora AgID) è stato completato positivamente da Stefano Arbia (oggi al suo posto) con il summenzionato DPCM 22 febbraio 2013. E’ stato un processo complicato, un po’ lentino, a volte sincopato, ma è giunto a compimento senza stravolgere le basi “logiche” e probatorie della firma, e senza cedere a “canti di sirene” sul fronte della sicurezza. Anzi, è stata introdotta la possibilità di usare tecnologie di firma, come quella grafometrica, in grado di far completare il processo di dematerializzazione dove per problemi pratici, o di digital divide, la firma digitale non era e non è utilizzabile. Anche qui, in un quadro generale in cui il legislatore italiano fa’ e disfa’ continuamente le stesse norme (soprattutto in materia fiscale!), mi sembra doveroso sottolineare il successo sostanziale di questa evoluzione normativa.
- La certificazione di sicurezza degli apparati HSM – necessaria per assicurare l’affidabilità della tecnologia – è proseguita secondo le procedure stabilite a suo tempo da OCSI (Organismo di Certificazione della Sicurezza Informatica). OCSI, i laboratori accreditati (uno di questi IMQ) ed i produttori, hanno perseguito con pazienza e tenacia il complesso iter di certificazione CC EAL4+ e ad oggi ci sono tre produttori di tecnologia coinvolti:
- SafeNet con il prodotto Luna SA, che ha già completato il processo di certificazione con Luna® PCI Configured for Use in Luna SA 4.1
- Dell’Attestato di Conformità n. 1/12 rilasciato lo scorso 12 dicembre 2012, per il dispositivo Luna® PCI Configured for Use in Luna SA 4.1 del produttore SafeNet Inc e dei limiti di validità della Certificazione CC, si veda a tal proposito Attestato di Conformità n. 1/12.
- SafeNet con il prodotto Luna SA, che ha già completato il processo di certificazione con Luna® PCI Configured for Use in Luna SA 4.1
- ARX, con il prodotto CoSign, che a specifica richiesta ha dichiarato ufficialmente di essere nei tempi previsti e si aspetta di completare la certificazione in linea con le scadenze della legge italiana.
- Thales e-Security Ltd con il prodotto nShield Solo F3 PCIe HSM che interpellata sul tema non ci ha ancora risposto.
Rebus sic stantibus il mercato ha comunque a disposizione almeno due prodotti, che possono soddisfare qualsiasi esigenza presente e futura di firma remota.
- Il nuovo regolamento europeo si muove nel quadro tracciato dall’Italia, mantenendo l’obbligatorietà della certificazione di sicurezza dei dispositivi di firma (HSM, ndr.) per la firma digitlae qualificata ed elaborando nuovi profili di certificazione di sicurezza.
In conclusione: l’Italia è stato un paese innovatore sulla firma elettronica sin dal lontano 1997 ed oggi reitera e rivendica il suo spirito nel voler essere all’avanguardia con la firma remota, anticipando quello che avverrà nel 2014 in Europa con il nuovo regolamento e mantenendo i necessari standard di sicurezza, a garanzia e tutela degli utilizzatori.
Una storia di successo per questo nostro paese!
La situazione è un pochino più complessa. E’ necessario leggere con cura il Security Target di Safenet per comprenderne i reali ambiti di utilizzabilità. Per Arx, confidiamo nelle assicurazioni del fornitore, fermo restando che potremo deciderne l’utilizzabilità, come per Safenet, solo dopo la certificazione ed il rilascio dei rapporti OCSI
La situazione è più complessa, certamente. Lo è sempre. Ma la sostanza è quella descritta dal post. Soprattutto si mette finalmente in evidenza una cosa importante e positiva. L’Italia, in una materia delicata, ha innovato con successo. Ed il resto dell’Europa non lo ha ben presente. Il 3 dicembre partecipo alla conferenza ETSI sugli standard per la firma ed i trusted services (http://www.etsi.org/news-events/events/690-2013-esignatureworkshop) proprio per rappresentare con orgoglio cosa è stato fatto in Italia.
Che la situazione sia più complessa è fuori di dubbio, purtroppo le incertezze di questi anni non hanno favorito un clima di grande fiducia sulla stabilità delle regole http://www.corriere.it/economia/12_febbraio_14/permessi-burocrazia-regole-incerte-perche-gli-stranieri-non-investono-giovanni-stringa_f43852ca-56d1-11e1-a6d2-3f65acf5f759.shtml, ma c’è comunque da sottolineare che nonostante tutto, l’Italia è avanti rispetto al panorama europeo. Per il dettaglio della situazione, li dove c’è qualcosa di pubblico, esiste un post dedicato https://firma-facile.it/2013/01/23/attestato-di-conformita-n-112/ li dove invece non ci sono “dati pubblici” abbiamo fatto ricorso alle “auto-dichiarazioni” spontanee dei produttori (anziché le CA). Non credo sia interesse di nessun produttore affermare il falso, ne andrebbe del buon rapporto con la propria clientela. Per quanto riguarda l’interoperabilità dei dispositivi, qui credo che non sia interesse dei produttori acché ciò avvenga, magari su questo ci vorrebbe un intervento del legislatore, anche se tutta questa interoperabilità li dove espressamente prevista, non mi sembra di riscontrarla.