La cosiddetta firma remota domina lo scenario nazionale per diffusione e utilizzo. I dati più recenti diffusi dall’Agenzia per l’Italia Digitale (AgID) ci dicono che l’83,5% dei certificati qualificati attivi di firma è utilizzato per la firma remota con oltre due miliardi e 800 milioni di sottoscrizioni qualificate.
L’elemento cruciale in questo scenario è l’HSM (Hardware Security Module) che è definito nel DPCM 22 febbraio 2013 (regole tecniche vigenti in Italia) come: “insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche”.
Nel seguito si descrive cosa è stato fatto nell’ambito della standardizzazione europea per la definizione delle regole e la loro evoluzione. Queste dovranno essere prese in carico con i provvedimenti previsti per il nuovo regolamento eIDAS che procede speditamente verso l’approvazione finale.
Ad oggi l’ente che ha operato in questo specifico settore è il CEN, uno delle organizzazioni europee per gli standard. Il CEN ha prodotto le specifiche per la certificazione di sicurezza dei dispositivi di firma denominati HSM (Hardware Security Module) dopo averlo fatto per le classiche smart card (nel seguito: Decisione di esecuzione 2016/650).
La strada percorsa è molta, ma mancano alcuni passi affinché il traguardo possa realmente essere considerato come raggiunto.
Quindi vediamo cosa è successo fino ad oggi e cosa manca per essere definitivamente conformi al regolamento eIDAS, anche in ottica nuova versione dello stesso.
Per integrare le informazioni fornite nel seguito può essere utile la lettura del seguente articolo:
Il 1° luglio del 2016 con l’applicabilità del regolamento eIDAS è iniziata la produzione dei vari standard operativi a carico degli organismi di standardizzazione comunitari ETSI e CEN.
Per quanto concerne la firma remota, che in eIDAS è denominata come firma elettronica a distanza, il dibattito all’interno del CEN è stato molto intenso e solo dopo una lunga discussione si è arrivati ad un accordo sulle modalità operative di riferimento che sono contenute nei documenti EN 419 241-1, EN 419 241-2 e EN 419 221-5.
Nel primo documento sono definiti i requisiti generali di sicurezza per la firma remota (server signing); nel secondo il profilo di protezione sulla base del quale si può certificare il SAM (Signature Activation Module). Il terzo standard è anch’esso un profilo di protezione (un prodotto è già stato certificato sulla base di questo profilo) relativo ai SAD (Signature Activation Data).
Per sua natura operativa il SAD è un sistema crittografico hardware, mentre il SAM è generalmente (allo stato dell’arte del mercato) un modulo software.
La figura seguente mostra lo schema generale di funzionamento e le componenti coinvolte (fonte ETSI-2018, tradotta dall’autore).
Dalla figura appena mostrata si evince che il firmatario interagisce con l’applicazione di firma remota (Server Signing Application). Quest’ultima attiva il modulo SAM (che deve essere certificato per poter generare una firma qualificata) che interagisce con il modulo crittografico (anch’esso certificato). I moduli SAM e SAD sono operativi all’interno di un ambiente protetto da manomissioni (tamper protected). Questo ambiente non deve essere certificato.
Il mercato ha già provveduto ad alcune certificazioni secondo gli standard indicati.
Ma le certificazioni non bastano, infatti i prodotti concluso il loro percorso di certificazione secondo gli standard ETSI e CEN, dovranno attendere la Decisione di esecuzione della Commissione europea come stabilito in eIDAS per avere una norma di riferimento esplicita.
Questo perché si applica l’articolo 30 del regolamento relativo alla “Certificazione dei dispositivi per la creazione di una firma elettronica qualificata” e quindi deve essere aggiornato l’atto secondario relativo alla
Decisione di esecuzione (UE) 2016/650 della Commissione, del 25 aprile 2016, che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma dell’articolo 30, paragrafo 3, e dell’articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Il testo completo è disponibile al collegamento seguente:
In ogni caso, la presenza nella lista europea dei dispositivi qualificati, indicata nell’articolo sopra referenziato, rende i prodotti validi come QSCD, ai sensi del vigente regolamento eIDAS.
Questa azione è possibile per quanto stabilito nell’articolo 30, paragrafo 3, lettera b) del regolamento eIDAS.
In altre parole, l’organismo designato dallo Stato membro (in Italia è il sopra citato OCSI) può approvare lo specifico processo di certificazione e notificarlo alla Commissione.
Per concludere qualche considerazione su quanto prevede la bozza di Regolamento eIDAS sul tema della “gestione di dispositivi per la creazione di una firma elettronica a distanza”.
Quanto descriviamo è, ovviamente, riferito al testo ufficiale della bozza di regolamento.
Nella bozza di regolamento eIDAS troviamo importanti novità sul tema della firma remota (firma elettronica a distanza).
Tali novità sono importanti, perché regolamentano, con esplicita citazione, questa tipologia di firma a livello comunitario. Si noti che nella proposta di modifica del regolamento, il termine utilizzato è “remote”, la traduzione ufficiale della Commissione Europea è “a distanza” invece che “remota”.
Il lettore ne tenga conto, perché nel seguito si fa riferimento alla traduzione ufficiale con il ragionevole auspicio che, i responsabili istituzionali nazionali intervengano tempestivamente per una traduzione in linea con la terminologia consolidata nella normativa italiana.
Le sopra citate novità sono già nelle definizioni; si introduce il punto numero 23 bis):
“23 bis) dispositivo qualificato per la creazione di una firma a distanza, un dispositivo qualificato per la creazione di una firma elettronica in cui un prestatore di servizi fiduciari qualificato genera, gestisce o duplica i dati per la creazione di una firma elettronica per conto di un firmatario”
Ma ancora prima, nella definizione di servizio fiduciario (punto 16 delle definizioni), si introduce la “gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza” che evidenzia l’esplicita indicazione di questo servizio.
La proposta di modifica del regolamento eIDAS introduce una serie di novità sul tema anche nell’articolato.
Viene proposta l’introduzione dell’Articolo 29 bis
"Articolo 29 bis
Requisiti relativi ai servizi qualificati per la gestione di dispositivi per la creazione di una firma elettronica a distanza
1. La gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza come servizio qualificato può essere effettuata solo da un prestatore di servizi fiduciari qualificato che:
a) genera o gestisce dati per la creazione di una firma elettronica per conto del firmatario;
b) fatto salvo l'allegato II, punto 1, lettera d), duplica i dati per la creazione di una firma elettronica solo a fini di back-up, a condizione che siano soddisfatti i seguenti requisiti:
la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;
il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio;
c) soddisfa i requisiti indicati nella relazione di certificazione dello specifico dispositivo qualificato per la creazione di una firma a distanza, rilasciata a norma dell'articolo 30.
2. Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce le specifiche tecniche e i numeri di riferimento delle norme applicabili ai fini del paragrafo 1.";
La citazione nel testo dell’articolo dell’Allegato II al regolamento eIDAS rende utile anche l’indicazione della proposta di nuovo testo, come mostrato di seguito:
ALLEGATO II
REQUISITI RELATIVI AI DISPOSITIVI QUALIFICATI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA
1. I dispositivi qualificati per la creazione di una firma elettronica garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:
(a) la riservatezza dei dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica è ragionevolmente assicurata;
(b) i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono comparire in pratica una sola volta;
(c) i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l'impiego di tecnologie attualmente disponibili;
(d) i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono essere attendibilmente protetti dal firmatario legittimo contro l'uso da parte di terzi.
2. I dispositivi qualificati per la creazione di una firma elettronica non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.
La nuova linea operativa che propone la Commissione è tale da stabilire per essa l’obbligo o la semplice facoltà di pubblicazione delle specifiche tecniche e dei numeri di riferimento delle norme applicabili.
In questo caso c’è un obbligo per la Commissione, che entro 12 mesi dall’entrata in vigore del regolamento deve procedere. Sia ETSI che il CEN i quali, come è noto, sono gli enti di riferimento per la Commissione dovranno lavorare alacremente per rispettare i tempi stabiliti.
Nell’articolo proposto si stabilisce nella lettera c) un altro importante principio, il dispositivo qualificato per la creazione di una firma elettronica a distanza deve essere certificato secondo le regole dell’articolo 30 del regolamento.
Tali regole sono quelle della certificazione di sicurezza basate sui Common Criteria (ISO/IEC 15408) e la novità su questo tema la troviamo nell’inserimento nell’articolo 30 del paragrafo 3 bis.
“3 bis. La certificazione di cui al paragrafo 1 ha una validità di cinque anni, subordinatamente a una valutazione delle vulnerabilità periodica effettuata ogni due anni. Qualora siano individuate vulnerabilità a cui non è posto rimedio, la certificazione è revocata.”
Alla data non esistono, nelle norme primarie o tecniche, regole esplicite sui tempi di validità della certificazione dei dispositivi, se confermata, questa modifica avrà impatti sul mercato degli HSM in termini di investimenti per il mantenimento delle certificazioni.
Anche la vigilanza istituzionale (in Italia in capo ad AgID) dovrà modificare le proprie regole di controllo su un tema molto delicato come quello della sicurezza informatica della firma a distanza.
Per completezza è indispensabile citare anche l’inserimento dell’articolo 39 bis che, di fatto, replica lo scenario “a distanza” per i sigilli elettronici qualificati.
La proposta di modifica al regolamento eIDAS modifica anche, in materia di certificazione dei dispositivi per la creazione di una firma elettronica qualificata, l’articolo 31.
Nella bozza di testo si stabilisce che la Commissione:
“Entro 12 mesi dall’entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, definisce i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2”.
Quindi, anche le regole per la pubblicazione di un elenco di dispositivi per la creazione di una firma elettronica qualificata e certificati, diventano un obbligo per la Commissione.
Possiamo concludere con la positiva constatazione che la firma remota/a distanza si propone che diventi, esplicitamente, un nuovo servizio fiduciario.
Questa tipologia di firma (ma anche di apposizione di sigilli elettronici) si espanderà ulteriormente sfruttando anche le numerose possibilità offerte dalle architetture cloud e dallo sviluppo dei Digital Trust Systems e Digital Transaction Management.