La cosiddetta firma remota, nata in Italia nel 2009, si è ampiamente diffusa a livello nazionale e comunitario nonostante la mancanza di riferimenti espliciti nel Regolamento europeo 910/2014 (eIDAS).
Vediamo le novità nel testo del nuovo schema di regolamento eIDAS “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per una identità digitale europea” approvato lo scorso 8 novembre nell’ambito del trilogo, il negoziato inter istituzionale informale che riunisce rappresentanti del Parlamento europeo, del Consiglio dell’Unione e della Commissione.
Rispetto al testo vigente questo schema introduce uno specifico servizio fiduciario che è definito come “la gestione di dispositivi per la creazione di firme elettroniche remote e di dispositivi per la creazione di sigilli elettronici remoti”.
“Da remoto”: cosa si intende
Si sottolinea che in alcuni testi dello schema di eIDAS già circolati nell’ambito dei numerosi negoziati comunitari la parola inglese remote è stata tradotta “a distanza”. Le traduzioni del testo nel seguito sono dell’autore e quindi è opportuno fare riferimento al testo originale in inglese o alle traduzioni ufficiali.
Le sopra citate novità sono già nelle premesse, punto (31°) e poi nelle definizioni dove sono inseriti i punti 23a a e 23b come riportato di seguito:
(31a) Al fine di garantire la coerenza delle pratiche di certificazione in tutta l’UE, la Commissione dovrebbe emanare orientamenti sulla certificazione e sulla ricertificazione dei dispositivi per la creazione di firme elettroniche qualificate e dei dispositivi per la creazione di sigilli elettronici qualificati, compresa la loro validità e le limitazioni nel tempo. Tale regolamento non impedisce agli Stati membri coinvolti di consentire agli organismi pubblici o privati che hanno certificato dispositivi per la creazione di firme elettroniche qualificate di estendere temporaneamente il riconoscimento della validità della certificazione quando non è stato possibile eseguire una ricertificazione dello stesso dispositivo entro i tempi stabiliti dalla legge per un motivo diverso da una violazione o da un incidente di sicurezza e fatta salva la pratica di certificazione applicabile.
“(23a) dispositivo qualificato per la creazione di una firma remota, un dispositivo qualificato per la creazione di una firma elettronica in cui un prestatore di servizi fiduciari qualificato genera, gestisce o duplica i dati per la creazione di una firma elettronica per conto di un firmatario”
“(23b) (23 ter) dispositivo per la creazione di un sigillo elettronico qualificato a distanza, un dispositivo per la creazione di un sigillo elettronico qualificato gestito da un prestatore di servizi fiduciari qualificato conformemente all’articolo 39 bis per conto di un creatore di sigilli.
Articolo 29 bis
L’inserimento di questi concetti prosegue anche nell’articolato dove viene inserito il nuovo articolo 29 bis. Requisiti per un servizio qualificato per la gestione dei dispositivi per la creazione di firma elettronica qualificata remota:
1. La gestione dei dispositivi per la creazione di una firma elettronica qualificata remota come servizio qualificato può essere effettuata solo da un fornitore di servizi fiduciari qualificato che:
(a) Genera o gestisce i dati per la creazione della firma elettronica per conto del firmatario;
b) in deroga all’allegato II, punto 1, lettera d), può duplicare i dati per la creazione della firma elettronica solo a fini di backup, purché siano soddisfatti i seguenti requisiti:
i) la sicurezza delle serie di dati duplicati deve essere allo stesso livello di quella delle serie di dati originali;
(ii) il numero di set di dati duplicati non deve superare il minimo necessario per garantire la continuità del servizio.
c) sia conforme agli eventuali requisiti individuati nella relazione di certificazione dello specifico dispositivo per la creazione di una firma remota qualificata rilasciata ai sensi dell’articolo 30.
2. Entro… [12 mesi dall’entrata in vigore del presente regolamento modificativo], la Commissione, mediante atti di esecuzione, stabilisce norme di riferimento e, ove necessario, specifiche tecniche e operative ai fini del paragrafo 1. Tali gli atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
In questo nuovo articolo viene citato l’Allegato II dello schema di regolamento che è utile riportare di seguito:
I requisiti tecnici
DI seguito i requisiti per i dispositivi qualificati per la creazione della firma elettronica:
1. I dispositivi qualificati per la creazione di una firma elettronica garantiscono, mediante adeguati mezzi tecnici e procedurali, che almeno:
(a) la riservatezza dei dati per la creazione della firma elettronica utilizzati per la creazione della firma elettronica è ragionevolmente garantita;
(b) i dati per la creazione della firma elettronica utilizzati per la creazione della firma elettronica possono comparire in pratica una sola volta;
c) i dati per la creazione della firma elettronica utilizzati per la creazione della stessa non possono, con ragionevole garanzia, essere derivati e la firma elettronica è protetta in modo affidabile contro la falsificazione utilizzando la tecnologia attualmente disponibile;
d) i dati per la creazione della firma elettronica utilizzati per la creazione della firma elettronica possono essere protetti in modo affidabile dal legittimo firmatario dall’uso da parte di altri.
2. I dispositivi qualificati per la creazione di una firma elettronica non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.
Per completare l’elenco delle novità su questi nuovi servizi fiduciari deve essere citato l’inserimento nell’articolo 30 del paragrafo 3a e nell’articolo 31 la sostituzione del paragrafo 3:
3a. La validità di una certificazione di cui al paragrafo 1 non supera i 5 anni, subordinata a una valutazione periodica delle vulnerabilità di 2 anni. Qualora le vulnerabilità vengano identificate e non risolte, la certificazione verrà annullata.
3. Entro… [12 mesi dopo la data di entrata in vigore del presente regolamento modificativo], la Commissione, mediante atti di esecuzione, definisce i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati conformemente con la procedura d’esame di cui all’articolo 48, comma 2.
Lo scenario
Alla data attuale non esistono nelle norme primarie o tecniche regole esplicite sui tempi di validità della certificazione dei dispositivi. Una volta che la modifica sarà in vigore e attuabile in seguito degli atti esecutivi della Commissione ci sarà un impatto sul mercato degli HSM. Quelli più “anziani” dovranno essere sostituiti con la nuova generazione di apparati. La disponibilità di nuovi modelli è ampia, quindi sarà solo un problema di attenzione del mercato e della vigilanza istituzionale sul tema. Le regole più stringenti sulla certificazione richiederanno maggiori sforzi da parte dei produttori e maggiori investimenti.
Anche la vigilanza istituzionale (in Italia in capo ad AgID) dovrà modificare le proprie regole di controllo su un tema molto delicato come quello della sicurezza cibernetica della firma remota.
Il nodo delle autorizzazioni
Un aspetto critico è quello delle autorizzazioni all’utilizzo di firma remota con singolo fattore di autenticazione. Le nuove certificazioni Common Criteria degli HSM non consentono questa opzione, quindi applicarla significa la perdita della certificazione del dispositivo.
La modifica all’articolo 31 stabilisce tempi rapidi alla Commissione per la definizione di quanto stabilito nell’articolo sulle regole di pubblicazione di un elenco di dispositivi certificati per la creazione delle firme e 12 mesi sono un tempo tradizionalmente insufficiente per emettere standard.
Per i sigilli viene introdotto un nuovo articolo 39a che riprende le regole per i dispositivi di firma. L’articolo 39 rimane inalterato.
Conclusione
Possiamo concludere con la positiva constatazione che la firma remota diventa un servizio fiduciario confermando la visione innovativa nata in Italia quasi quindici anni fa. Questa tipologia di firma (ma anche di apposizione di sigilli elettronici) si espanderà ulteriormente sfruttando anche le numerose possibilità offerte dalle architetture cloud e dallo sviluppo dei Digital Trust Systems e della Digital Transaction Management.
Un ultima riflessione sull’interoperabilità degli HSM e del software di firma e apposizione sigillo che si interfaccia con essi. Il software non è interoperabile quindi il legame tra applicazioni ed hardware è vincolante creando anche situazioni di vendor lock-in. Questo problema è stato risolto anni fa per le smart card e i token. Le novità comunitarie suggeriscono di risolvere il problema anche per firme e sigilli remoti.
La specifica tecnica ETSI TS 119 432 potrebbe diventare uno standard dopo gli aggiornamenti del caso.
