D.P.C.M. PCM 30.03.2009

1. In aggiunta a quanto previsto all'art. 35 del codice, la generazione della firma avviene all'interno di un dispositivo sicuro per la generazione delle firme, così che non sia possibile l'intercettazione della chiave privata utilizzata.

2. Il dispositivo sicuro per la generazione delle firme deve poter essere attivato esclusivamente dal titolare mediante codici personali prima di procedere alla generazione della firma.

3. Il CNIPA, nell'ambito dell'attività di cui agli articoli 29 e 31 del codice, valuta l'adeguatezza tecnologica della modalità di gestione dei codici personali anche in relazione al dispositivo di firma utilizzato.

4. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma prevista dall'art. 35 del codice è effettuata secondo criteri non inferiori a quelli previsti:

a) dal livello EAL 4+ in conformità ai Profili di Protezione indicati nella decisione della Commissione europea 14 luglio 2003 e successive modificazioni;

b) dal livello EAL 4+ della norma ISO/IEC 15408, in conformità ai Profili di Protezione o traguardi di sicurezza giudicati adeguati ai sensi dell'art. 35, commi 5 e 6 del codice, e successive modificazioni.

5. La certificazione di sicurezza di cui al comma 4 può inoltre essere effettuata secondo i criteri previsti dal livello di valutazione E3 e robustezza HIGH dell'ITSEC, o superiori, con un traguardo di sicurezza giudicato adeguato dal CNIPA nell'ambito dell'attività di cui agli articoli 29 e 31 del codice.

6. La personalizzazione del dispositivo sicuro di firma