Documenti informatici classificati: la disciplina delle nuove regole

È stato pubblicato pochi giorni fa in Gazzetta Ufficiale il D.P.C.M. del 6 novembre 2015, recante la disciplina della firma digitale dei documenti classificati, il quale entrerà in vigore dopo 15 giorni dalla sua pubblicazione in G.U.

Le disposizioni del Decreto in commento sono dedicate ai documenti informatici classificati, ovvero i documenti informatici – formati e gestiti su un sistema per l’elaborazione automatica dei dati omologato dall’UCSe (Ufficio centrale per la segretezza) – a cui è stata apposta una classifica di segretezza in conformità a quanto stabilito dalle vigenti norme in materia di protezione e tutela delle informazioni classificate.

Il decreto, richiamando o comunque ripercorrendo quanto già previsto per l’utilizzo della firma digitale dal CAD (D. Lgs. 82/2005) e dal DPCM 22 febbraio 2013, individua le specifiche regole tecniche per l’emissione, la gestione e l’utilizzo dei certificati qualificati necessari per la sottoscrizione digitale dei documenti classificati.

Tutti i certificati di firma da utilizzare per la sottoscrizione dei documenti classificati dovranno essere emessi da una specifica Autorità di certificazione (Certification authority o CA) specificamente istituita presso l’Ufficio centrale per la segretezza (UCSe) di cui all’art. 9 della Legge n.124 del 3 agosto 2007.

Tale CA potrà rilasciare certificati qualificati sulla base delle richieste autenticate dalle Autorità di registrazione locale (LRA), ossia degli enti responsabili della verifica delle identità dei titolari. Le LRA potranno essere istituite presso tutti i soggetti, pubblici e privati – in possesso delle previste abilitazioni di sicurezza – che vorranno avvalersi delle procedure di sottoscrizione digitale dei documenti informatici classificati, disciplinate dalle presenti regole tecniche.

Ai sensi dell’art. 22 del decreto in oggetto, la CA potrà revocare e sospendere i certificati nei casi in cui il soggetto ovvero la sua organizzazione di appartenenza non siano più abilitati a trattare documenti classificati o anche in presenza di abusi o falsificazioni e in caso di compromissione della chiave privata o del dispositivo sicuro per la generazione delle firme. In più, la CA avrà il compito di aggiornare e distribuire le liste di revoca o di sospensione dei certificati.

L’autorità di certificazione potrà emettere due tipologie di chiavi di generazione e verifica della firma:

• chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti informatici e generate dalla CA;

• chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati relativi alle chiavi di sottoscrizione e alle informazioni sullo stato di validità del certificato e generate in presenza del responsabile del servizio di certificazione.