Il Decreto del Presidente del Consiglio dei Ministri del 30 marzo 2009 Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici. (Pubblicato in Gazzetta Ufficiale n. 129 del 06/06/2009)
VINCENZO GAMBETTA
Obiettivo di questo scritto è passare in rassegna alcune delle principali modifiche di questo decreto rispetto al DPCM 13 gennaio 20001 del quale è la naturale evoluzione e che sostituirà integralmente alla data di entrata in vigore (3 dicembre 20092).
bilità [vedansi, ad esempio: Articolo 5, Articolo 7, comma 3, lettera a), Articolo 8, comma 4, Articolo 10, commi 2 e 3, Articolo 12, Articolo 14, Articolo 17, Articolo 26 (già 25), Articolo 27 (già 26), Articolo 28 (già 27), Articolo 31 (già 30), Articolo 32 (già 31), Articolo 39 (già 41), ArtiTra gli intereventi, apparentemente, colo 50 (già 51)] di minor importanza, sono l’armonizzazione con le altre norme in vi- Impiego degli HSM gore ed, in particolare, con il Codice Iniziando con l’Articolo 1 (Definidell’amministrazione digitale (De- zioni), fa piacere rilevare il rifericreto Legislativo 7 marzo 2005, n. mento a quelle del Cad riportando 82) nonché alcune riformulazioni a in questa sede solo quelle ivi non garanzia di una più concreta adesio- citate. ne alla realtà o di una reale applica- Tra queste ultime è da notare quella
di “dati per la creazione della firma” contenuta al punto e): l’insieme dei codici personali e delle chiavi crittografiche private, utilizzate dal firmatario per creare una firma elettronica. Questa definizione, letta insieme all’Articolo 7, comma 3, punto d)3 e all’Articolo 9, comma 24, rende concretamente fattibile al Certificatore (qualificato) conservare nei propri locali, opportunamente protetti, dispositivi sicuri di firma quali gli HSM (Hardware Security Module); dispositivi che al loro interno contengono le chiavi private (utilizzabili per apporre una firma digitale) di Titolari.
1 Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. 2 Art. 53 – (Disposizioni finali), comma 1. Il presente decreto entra in vigore decorsi centottanta giorni dalla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. 3 Articolo 7 (Conservazione delle chiavi e dei dati per la creazione della firma) 3. Il titolare della coppia di chiavi: d) mantiene in modo esclusivo la conoscenza o la disponibilità di almeno uno dei dati per la creazione della firma. 4 Articolo 9 (Dispositivi sicuri e procedure per la generazione della firma) 2. Il dispositivo sicuro per la generazione delle firme deve poter essere attivato esclusivamente dal titolare mediante codici personali prima di procedere alla generazione della firma. iged.it online 01.2009
09