Vai al contenuto principale
Certyneo
Crittografia hardware · FIPS 140-3 · CC EAL4+

HSM (Hardware Security Module): perché e quando utilizzarlo

Un HSM (Hardware Security Module, in italiano modulo hardware di sicurezza) è un dispositivo elettronico inviolabile che genera, memorizza e utilizza chiavi crittografiche senza mai esporle in chiaro al di fuori del modulo. È il componente hardware che rende possibile la firma elettronica qualificata (QES) secondo il regolamento eIDAS, la cifratura a chiave pubblica (PKI), la radice di fiducia di un'autorità di certificazione (CA), e più in generale qualsiasi operazione crittografica che richieda una garanzia di inviolabilità fisica e logica. Questa guida spiega concretamente cos'è un HSM, a cosa serve, come è certificato (FIPS 140-2, FIPS 140-3, Common Criteria EAL4+), e come differisce da un TPM o da un KMS puramente software.

Cos'è un HSM, concretamente?

Un HSM è un modulo hardware (rack 1U, scheda PCIe, chiavetta USB o appliance di rete) che esegue operazioni crittografiche (generazione di chiavi, firma, cifratura, decifratura, hashing) all'interno di un'enclave fisica sigillata. Le chiavi private non lasciano mai l'HSM: qualsiasi tentativo di estrazione fisica attiva l'eliminazione immediata (tamper response). Il modulo è progettato per resistere agli attacchi sui canali laterali (analisi del consumo di energia, emanazioni elettromagnetiche, perturbazioni di tensione), agli attacchi per iniezione di difetti (fault injection) e all'osservazione al microscopio elettronico.

Concretamente, un'applicazione che vuole firmare un documento invia all'HSM il digest (hash SHA-256) del documento tramite un'API standardizzata (PKCS#11, KMIP, CNG, JCE). L'HSM firma l'hash con una chiave privata che risiede esclusivamente nella sua enclave, quindi restituisce la firma. Il documento firmato contiene la firma e il certificato pubblico corrispondente — ma la chiave privata rimane inviolabilmente protetta. Questo è ciò che distingue una firma qualificata eIDAS (QES, supportata da HSM presso il fornitore di servizi di fiducia qualificato) da una firma semplice (SES, senza vincoli hardware) o avanzata (AES, con chiave controllata dal firmatario).

Cinque usi dove l'HSM è indispensabile

L'HSM non è un bene di consumo: è richiesto quando una normativa, uno standard o un contratto esige una garanzia hardware dell'inviolabilità delle chiavi.

Firma qualificata eIDAS (QES)

Il regolamento europeo eIDAS (UE 910/2014) impone che una firma qualificata sia generata da un dispositivo di creazione di firma qualificata (QSCD) certificato — in pratica, un HSM certificato EN 419 221-5 o Common Criteria EAL4+. È l'HSM del fornitore di servizi di fiducia qualificato (QTSP) che ospita la chiave privata del firmatario ed esegue la firma.

Cifratura dei dati sensibili

Gli HSM gestiscono le chiavi master (Key Encryption Keys, KEK) che cifrano le chiavi di cifratura dei database, dei dischi (BitLocker, LUKS) o dei backup. Caso tipico: conformità PCI-DSS per i processori di pagamento, HIPAA / HDS per i dati sanitari, segreto di difesa per le amministrazioni.

Autorità di certificazione (PKI)

Qualsiasi autorità di certificazione (CA) radice, intermedia o emittente utilizza un HSM per generare e utilizzare la chiave che firma i certificati X.509. La chiave radice di una CA pubblica (Let's Encrypt, DigiCert, Sectigo) o privata aziendale (Active Directory CS, ADFS) deve risiedere in un HSM certificato.

Gestione delle chiavi crittografiche (KMS)

Le piattaforme cloud (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM) espongono HSM condivisi o dedicati per gestire l'intero ciclo di vita delle chiavi: generazione, rotazione, derivazione, archiviazione, distruzione. Il vantaggio rispetto a un KMS puramente software: prova di inviolabilità opponibile ai regolatori e ai revisori.

Root TLS e certificati server critici

I certificati TLS delle infrastrutture critiche (gateway bancari, firma di codice software, root CA dei produttori IoT) sono protetti da HSM. L'HSM firma i certificati in uscita senza mai esporre la chiave radice — anche in caso di compromissione completa del server host.

Certificazioni HSM: cosa sapere

Non tutte le certificazioni hanno lo stesso valore. Il livello di certificazione determina le normative a cui l'uso dell'HSM apre diritto (eIDAS QSCD, PCI-DSS HSM, contratti di difesa segreta).

FIPS 140-2 e FIPS 140-3 (NIST, Stati Uniti)

FIPS 140-2 (pubblicato nel 2001, ritirato dal catalogo attivo nel 2026) e il suo successore FIPS 140-3 (in vigore dal 2019, obbligatorio per i nuovi prodotti dal 2024) definiscono 4 livelli di sicurezza. Il livello 3 (chiavi cancellate se l'enclave è aperto) è il minimo per la PKI bancaria e pubblica; il livello 4 (resistenza agli attacchi di canale ausiliario e alle variazioni ambientali) è richiesto per alcuni usi di difesa segreta.

Common Criteria EAL4+ (ISO/IEC 15408, internazionale)

Common Criteria è lo standard internazionale di valutazione della sicurezza dei prodotti IT. Per gli HSM, il livello Common Criteria EAL4+ con il Protection Profile EN 419 221-5 è richiesto dal regolamento eIDAS per i dispositivi di creazione di firma qualificata (QSCD). È quello utilizzato dai fornitori di servizi fiduciari qualificati europei (QTSP).

ETSI EN 319 411 e 319 412 (Europa)

Le norme ETSI definiscono i requisiti tecnici che deve rispettare un fornitore di servizi fiduciari qualificato (QTSP) secondo eIDAS — incluso l'uso di HSM certificati EN 419 221-5. Un QTSP figurante sull'Elenco fiduciario europeo (eIDAS TL) è stato sottoposto a revisione secondo queste norme da un organismo accreditato (in Francia: LSTI, COFRAC).

ANSSI (Francia) e BSI (Germania)

L'ANSSI pubblica un Riferimento generale di sicurezza (RGS) e rilascia qualifiche «Standard» e «Rinforzate» per i prodotti crittografici. Il BSI tedesco pubblica certificazioni equivalenti (CSPN, BSI-TR). Le amministrazioni pubbliche nazionali possono richiedere queste qualifiche nazionali oltre alle certificazioni europee.

HSM vs TPM vs KMS software — quale soluzione scegliere?

La scelta giusta dipende dal valore delle chiavi da proteggere, dai vincoli normativi e dal budget. Ecco le sei dimensioni che orientano la decisione.

DimensioneHSMTPMKMS software
FinalitàProtezione delle chiavi crittografiche aziendali e infrastrutturali (QES, PKI, KMS).Sigillare l'avvio e identificare la macchina (BitLocker, attestazione TPM 2.0). Una chiave per macchina.Centralizzare il ciclo di vita delle chiavi in memoria/disco, senza isolamento hardware.
Velocità crittograficaDiverse migliaia di firme RSA-2048 al secondo (modelli high-end: 25.000+ sig/s).Poche firme al secondo — orientato a usi locali occasionali.Limitato dalla CPU host (spesso < 1000 sig/s per RSA-2048).
Certificazioni normativeFIPS 140-2/3, Common Criteria EAL4+, EN 419 221-5 (QSCD eIDAS).Common Criteria EAL4+ per TPM 2.0 (Microsoft Pluton, Google Titan). Insufficiente per QES eIDAS.Nessuna certificazione hardware. ISO 27001 del fornitore al massimo.
Forma materialeCabinet rack 1U-2U, scheda PCIe, chiave USB indurita o appliance di rete dedicata. A partire da 8.000 €.Chip saldato sulla scheda madre (TPM 2.0) o virtualizzato (vTPM). Pochi euro per macchina.Gratuito (HashiCorp Vault, OpenStack Barbican) o SaaS (AWS KMS senza CloudHSM).
Caso d'uso tipicoFirma qualificata eIDAS, radice PKI, conformità PCI-DSS, segreto difesa.Avvio sicuro, crittografia del disco locale, attestazione Windows Hello.Crittografia a livello applicativo, segreti DevOps, certificati interni non critici.
Costo totale di proprietàDa 8 000 € a 80 000 € per appliance + manutenzione + audit. Mutuabile tramite cloud (€/ora).Costo marginale (già presente sul 99 % dei PC professionali post-2016).Gratuito in open-source; ~0,03 $/chiave/mese in SaaS gestito (AWS KMS, Azure Key Vault).

Domande frequenti — HSM

Qual è la differenza tra un HSM e un TPM?
Un TPM (Trusted Platform Module) è un chip saldato sulla scheda madre di quasi tutti i computer professionali moderni — serve a sigillare l'avvio, crittografare il disco (BitLocker) e identificare una macchina in modo univoco. Un HSM (Hardware Security Module) è un dispositivo autonomo dedicato alla gestione delle chiavi crittografiche aziendali — serve a firmare documenti a livello qualificato eIDAS, a ospitare la radice di un'autorità di certificazione, o a proteggere le chiavi di crittografia bancaria. Il TPM costa pochi euro per macchina; un HSM costa diverse migliaia fino a decine di migliaia di euro, ed ha senso solo a livello organizzativo.
La crittografia HSM è davvero inviolabile?
Nessuna protezione è assoluta, ma la crittografia HSM è oggi il livello più elevato di protezione hardware disponibile. Gli HSM certificati FIPS 140-3 livello 3 o Common Criteria EAL4+ resistono agli attacchi per canale ausiliario (analisi dei consumi, emanazioni elettromagnetiche), agli attacchi per fault injection (perturbazioni di tensione o temperatura), e attivano una cancellazione automatica delle chiavi in caso di apertura fisica del dispositivo (tamper response). Nessun compromesso documentato di un HSM correttamente operato è stato registrato in ambiente di produzione negli ultimi 10 anni.
È necessario acquistare un HSM per utilizzare la firma elettronica qualificata?
No, a meno che non siate voi stessi un fornitore di servizi di fiducia. Per firmare in QES, le vostre chiavi private sono ospitate nell'HSM di un QTSP qualificato (Universign, Certinomis, LuxTrust, e i loro partner come Certyneo) presente nella Trusted List eIDAS europea. Non vedete mai direttamente l'HSM — interagite con esso tramite autenticazione forte (carta a chip o Remote QES via MFA + biometria da eIDAS 2.0).
Qual è la differenza tra HSM e KMS?
Un KMS (Key Management Service) è un servizio software che orchestra il ciclo di vita delle chiavi crittografiche — generazione, rotazione, archiviazione, audit. Un HSM è il componente hardware che esegue fisicamente le operazioni crittografiche su queste chiavi. I due non sono concorrenti: un KMS serio si affida a un HSM in background (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Un KMS puramente software (senza HSM) è sufficiente per usi interni non critici ma non copre i requisiti normativi PCI-DSS, eIDAS QES o HIPAA HSM.
Quali sono i principali produttori di HSM nel 2026?
Il mercato HSM è dominato da cinque produttori: Thales (linee Luna e payShield, leader storico), Utimaco (CryptoServer, fornitore di molti QTSP europei), Atos Eviden (Trustway Proteccio, qualificazione ANSSI Renforcée), Marvell LiquidSecurity (HSM cloud-native per AWS e Azure) ed Entrust nShield. Gli hyperscaler offrono le proprie soluzioni condivise: AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM. Per la firma qualificata eIDAS, il criterio decisivo è la certificazione Common Criteria EAL4+ con Protection Profile EN 419 221-5.
È possibile noleggiare un HSM nel cloud piuttosto che acquistarne uno?
Sì. AWS CloudHSM, Azure Dedicated HSM e Google Cloud HSM noleggiano HSM dedicati certificati FIPS 140-2 livello 3 (tipicamente tra 1 e 3 €/ora). Per la firma qualificata eIDAS, queste offerte non sono sufficienti da sole — è necessario un QTSP qualificato che gestisca il proprio HSM e sia presente nella Trusted List europea. Il vantaggio dell'HSM cloud è l'elasticità (nessun CAPEX, nessuna manutenzione fisica), al prezzo di una dipendenza da un hyperscaler spesso americano (questione sensibile riguardo al Cloud Act e alla sovranità digitale europea).
Come verificare che un fornitore di firma utilizzi davvero un HSM certificato?
Il prestatore deve figurare nell'elenco europeo di fiducia eIDAS (https://eidas.ec.europa.eu/) come QTSP (Qualified Trust Service Provider). Questa iscrizione viene rilasciata solo dopo un audit da parte di un organismo accreditato (in Francia LSTI/COFRAC, in Germania TÜV) che verifica in particolare la conformità dell'HSM utilizzato alle norme EN 419 221-5 e EN 419 241-2 (Remote QES da eIDAS 2.0). Inoltre, chiedete al prestatore il numero di certificazione Common Criteria dei suoi HSM — un QTSP serio lo pubblica nella sua documentazione tecnica.

Per approfondire

Articoli consigliati

Hai bisogno di una firma qualificata con HSM?

Certyneo si basa su HSM certificati Common Criteria EAL4+ gestiti da un QTSP qualificato presente nell'elenco europeo di fiducia eIDAS. QES a 9,90 €/atto già dal piano Standard.