Cifratura e automazione dell’invio fra soggetti a sicurezza delle comunicazioni. La soluzione di Ifin Sistemi.
La circolare Abi dell’ottobre 2012 regolamenta le nuove procedure di scambio delle chiavi crittografiche e l’autenticazione nel Sistema per la Trasmissione telematica dei Dati (Sitrad).
Il vecchio sistema prevedeva uno scambio manuale dei dati, regolamentato da una obsoleta circolare Abi del 1986.
Su iniziativa della Banca d’Italia si è dunque rinnovato questo processo nella prospettiva di una maggiore semplificazione ed aumento degli standard di sicurezza.
La nuova modalità di trasmissione telematica dei dati Sitrad prevede la completa dematerializzazione della procedura, con un notevole risparmio dei costi.
Le chiavi Sitrad, così come definite dal legislatore, sono chiavi simmetriche di lunghezza pari ad 8 caratteri.
Vengono utilizzate nelle comunicazioni tra applicativi interbancari e vengono scambiate tra Istituto1 e Istituto2 al fine di permettere la cifratura e decifratura di tale comunicazione.
La circolare Abi descrive come deve avvenire la comunicazione e lo scambio delle chiavi.
Per aumentare il livello di sicurezza ogni chiave di cifratura viene divisa in due parti (Parte A e Parte B); ciascuna delle due parti viene scritta in un distinto documento di testo, quindi ogni istituto produce 2 documenti per ciascuna chiave che dovrà scambiare.
Ciascun istituto nomina almeno due fiduciari i quali avranno un certificato qualificato di firma e uno di cifratura e autenticazione rilasciati da una Certification Authority.
Ciascuno dei due fiduciari è responsabile di una delle due parti della chiave di cifratura creata: il documento Parte A viene quindi firmato dal Fiduciario 1A (Fiduciario dell’Istituto1 responsabile della parte A) mentre il documento Parte B viene firmato dal Fiduciario 1B.
Dopo l’apposizione della firma i file dovranno essere cifrati utilizzando le chiave pubbliche di cifratura che l’Istituto2 avrà precedentemente fornito all’Istituto1.
Salvo diversi accordi tra istituti, ciascuna parte, A e B, dovrà essere cifrata con un diverso certificato, quindi l’Istituto2 dovrà fornire alla controparte 2 certificati di cifratura.
A conclusione del processo i documenti firmati e cifrati vengono inviati via Pec dall’Istituto1 all’Istituto2.
L’istituto2 che riceve i documenti cifrati procede a decrittarli utilizzando la chiave privata corrispondente, successivamente verifica la validità della firma apposta ai documenti.
In caso di esito positivo la chiave privata viene accettate e utilizzata altrimenti viene scartata.
Ifin Sistemi propone PreProcess, una soluzione che automatizza sia il flusso di cifratura ed invio, che il flusso di ricezione e verifica delle chiavi Sitrad.