Documenti digitali “top secret”: il senso delle nuove regole tecniche

È stato pubblicato poche settimane fa in Gazzetta Ufficiale[1] il D.P.C.M. del 6 novembre 2015, recante la disciplina della firma digitale dei documenti classificati, il quale entrerà in vigore dopo 15 giorni dalla sua pubblicazione in G.U.

Le disposizioni del Decreto in commento sono dedicate ai documenti informatici classificati, ovvero i documenti informatici – formati e gestiti su un sistema per l’elaborazione automatica dei dati omologato dall’UCSe (Ufficio centrale per la segretezza) [2] – a cui è stata apposta una classifica di segretezza in conformità a quanto stabilito dalle vigenti norme in materia di protezione e tutela delle informazioni classificate. Tali norme, dunque, si applicano a tutti i soggetti, pubblici e privati, che gestiscono documenti informatici classificati con il vincolo di segretezza, attribuito per limitare la circolazione di informazioni la cui eventuale diffusione non autorizzata rischia di arrecare un pregiudizio agli interessi fondamentali della Repubblica.

Nello specifico, i soggetti che trattano tali documenti sono in possesso delle previste abilitazioni di sicurezza per il trattamento di informazioni classificate e con il nuovo decreto in commento si disciplinano, appunto, le modalità di generazione, apposizione e verifica delle firme digitali, nonché la validazione temporale di tali documenti informatici classificati. Inoltre, le stesse previsioni si applicano anche ai documenti informatici non classificati, quando formati, sottoscritti e gestiti su sistemi omologati, in conformità a quanto previsto dalla normativa vigente in materia di tutela delle informazioni classificate.

Il decreto, richiamando o comunque ripercorrendo quanto già previsto per l’utilizzo della firma digitale dal CAD (D. Lgs. 82/2005) e dal DPCM 22 febbraio 2013, individua le specifiche regole tecniche per l’emissione, la gestione e l’utilizzo dei certificati qualificati necessari per la sottoscrizione digitale dei documenti classificati.

Preliminarmente, il decreto in commento stabilisce che se tali documenti saranno formati secondo quanto previsto da una specifica Direttiva e dal Disciplinare tecnico (da emanarsi ai sensi dell’art. 33 del DPCM citato), potrà applicarsi l’art. 20 del CAD in relazione alla loro validità e rilevanza agli effetti di legge.

Circa la Direttiva – la cui emanazione è stata già prevista dal DPCM 4/2011 contenente “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate” -, essa dovrà contenere indicazioni tecniche e di dettaglio finalizzate ad adeguare la disciplina applicativa ai principi di tale DPCM e agli ulteriori accordi internazionali di settore; la Direttiva dovrà essere approvata entro 12 mesi dall’adozione del DPCM 6 novembre 2015 [3].

Per quanto riguarda invece il Disciplinare Tecnico, dovrà essere emanato insieme a un Manuale Operativo, dovrà recare la disciplina applicativa dei principi e le procedure proprie dell’Autorità di Certificazione (CA) istituita presso l’Ufficio centrale per la segretezza, di cui parleremo meglio più avanti.

Oltre al rispetto della Direttiva, del Disciplinare tecnico e del Manuale operativo, il DPCM 6 novembre 2015 prevede che i documenti classificati, sottoscritti con firma digitale, debbano essere corredati di: ferimento temporale, opponibile a terzi, contenuto nella segnatura di protocollo; classifica di segretezza, qualifica di sicurezza e altre informazioni, secondo quanto previsto dalle disposizioni in materia di protezione e tutela delle informazioni classificate.

Per quanto riguarda, invece, i documenti informatici non classificati sottoscritti con firma digitale, devono essere corredati solo di riferimento temporale opponibile a terzi, come previsto per i documenti classificati.

Il Legislatore ha anche specificato che per la sottoscrizione dei documenti informatici aventi rilevanza esclusivamente interna, ciascun soggetto, pubblico e privato, può adottare in autonomia specifiche modalità tecniche, organizzative e procedurali, nel rispetto di quanto previsto dalle norme in materia di protezione e tutela delle informazioni classificate e di quanto sarà definito dal Disciplinare Tecnico.

Nel Decreto viene anche ribadito che l’apposizione di una firma digitale basata su un certificato qualificato revocato, scaduto o sospeso equivale a mancata sottoscrizione (come già previsto dagli artt. 21, comma 3 e 24 comma 2 del CAD per i certificati di firma digitale utilizzabili per la sottoscrizione di documenti non classificati); in più, ai documenti informatici continuerà ad applicarsi l’art. 21, comma 2 bis, del CAD, in relazione alle scritture private e al requisito della forma scritta.

Viene poi regolamentata, conformemente a quanto già previsto dall’art. 4 del DPCM 13 novembre 2013 in materia di formazione del documento informatico “non classificato”, la formazione delle copie per immagine su supporto informatico di documenti analogici, le quali devono essere prodotte mediante processi e strumenti in grado di assicurare che il documento informatico abbia contenuto e forma identici a quelli del documento analogico. Sul tema è utile ricordare che il DPCM 21 marzo 2013 nell’indicare le particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la necessità di autenticare la loro conformità all’originale ad opera di un notaio o di un altro pubblico ufficiale, riconosce la possibilità di dematerializzare anche i documenti “inerenti alla tutela della sicurezza dello Stato, dell’ordine e della sicurezza pubblica”.

Il decreto ribadisce anche che, ai fini della corretta identificabilità del sottoscrittore, come già previsto per le firme da utilizzare per i documenti non classificati, la firma digitale apposta sui documenti classificati deve riferirsi in maniera univoca a un solo soggetto e al documento o all’insieme di documenti cui è apposta o associata e per la generazione della stessa deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto, revocato o sospeso.

Tutti i certificati di firma da utilizzare per la sottoscrizione dei documenti classificati dovranno essere emessi da una specifica Autorità di certificazione (Certification authority o CA) specificamente istituita presso l’Ufficio centrale per la segretezza (UCSe) di cui all’art. 9 della Legge n.124 del 3 agosto 2007.

Tale CA potrà rilasciare certificati qualificati sulla base delle richieste autenticate dalle Autorità di registrazione locale (LRA), ossia degli enti responsabili della verifica delle identità dei titolari. Le LRA potranno essere istituite presso tutti i soggetti, pubblici e privati – in possesso delle previste abilitazioni di sicurezza – che vorranno avvalersi delle procedure di sottoscrizione digitale dei documenti informatici classificati, disciplinate dalle presenti regole tecniche.

Ai sensi dell’art. 22 del decreto in oggetto, la CA potrà revocare e sospendere i certificati nei casi in cui il soggetto ovvero la sua organizzazione di appartenenza non siano più abilitati a trattare documenti classificati o anche in presenza di abusi o falsificazioni e in caso di compromissione della chiave privata o del dispositivo sicuro per la generazione delle firme. In più, la CA avrà il compito di aggiornare e distribuire le liste di revoca o di sospensione dei certificati.

L’autorità di certificazione potrà emettere due tipologie di chiavi di generazione e verifica della firma:

• chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti informatici e generate dalla CA;
• chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati relativi alle chiavi di sottoscrizione e alle informazioni sullo stato di validità del certificato e generate in presenza del responsabile del servizio di certificazione.

Non è consentito utilizzare una coppia di chiavi per funzioni diverse da quelle previste per ciascuna tipologia, salvo che la CA non ne autorizzi l’utilizzo per altri scopi. Infatti l’Autorità di Certificazione può individuare ulteriori tipologie di coppie di chiavi rispetto a quelle indicate nel decreto, determinandone anche l’ambito d’impiego e disciplinandone l’utilizzo.

Relativamente alla generazione della firma, come già previsto dalla normativa nazionale e comunitaria, risulta essere di fondamentale importanza la presenza di dispositivi sicuri e le stesse procedure utilizzate per la generazione delle firme devono avere dei requisiti di sicurezza tali da garantire che la chiave privata sia riservata, che non possa essere derivata e che la relativa firma sia protetta da contraffazioni; in più, è importante che il titolare possa proteggerla sufficientemente dall’uso da parte di terzi.

Il Decreto contiene anche un interessante richiamo a quanto previsto, in tema di servizi qualificati di firma, dal Regolamento UE n. 910/2014, conosciuto anche come Regolamento eIDAS. In particolare, un certificato qualificato viene definito dal Regolamento come un “attestato elettronico per la firma elettronica rilasciato da un prestatore di servizi fiduciari qualificato”.

I certificati qualificati relativi alle chiavi di sottoscrizione devono contenere almeno le seguenti informazioni:

a) indicazione che il certificato elettronico rilasciato è un certificato qualificato;

b) numero di serie o altro codice identificativo del certificato;

c) denominazione e nazionalità della CA;

d) nome, cognome o uno pseudonimo chiaramente identificato come tale del titolare del certificato;

e) dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica, corrispondenti ai dati per la generazione della stessa in possesso del titolare;

f) indicazione del termine iniziale e finale del periodo di validità del certificato;

g) firma digitale della CA, realizzata in conformità alle regole tecniche definite nel Disciplinare Tecnico e idonea a garantire l’integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo.

Facoltativamente, il certificato qualificato può contenere le qualifiche specifiche del titolare, i limiti d’uso del certificato, i limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, in analogia con i certificati di firma digitale previsti dal CAD e dalle regole tecniche.

Infine pare utile segnalare che il Legislatore, contemporaneamente al presente Decreto, ha emanato anche un altro Decreto contenente “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva”.

L’obiettivo di questo secondo Decreto è quello di tutelare le informazioni classificate, o coperte da segreto di Stato o a diffusione esclusiva, dalla sottrazione, manomissione, sabotaggio, distruzione, manipolazione, spionaggio o rivelazione non autorizzata e di salvaguardare le informazioni classificate, o coperte da segreto di Stato, o a diffusione esclusiva, trattate con reti e sistemi informatici e con prodotti delle tecnologie dell’informazione, da minacce che possano pregiudicarne confidenzialità, integrità, disponibilità, autenticità e non ripudio o non disconoscimento. Infatti, l’accesso alle informazioni classificate è consentito soltanto alle persone che hanno necessità di conoscerle in funzione del proprio incarico.

Allo scopo di assicurare protezione e tutela alle informazioni classificate, a diffusione esclusiva o coperte dal segreto di Stato, l’Ufficio centrale per la segretezza procede, in via diretta o delegata, ad attività ispettiva intesa ad accertare l’esatta applicazione, da parte delle articolazioni dell’Organizzazione nazionale di sicurezza presso amministrazioni, enti ed operatori economici, delle disposizioni in materia di trattazione e gestione della documentazione classificata o a diffusione esclusiva.