CercaAssistenzaProva Gratuita
Contattaci
Sectigo Blog

Chiarimenti su X9 PKI: cosa sono e cosa non sono i certificati X9

X9 PKI è un framework di certificati specifico per il settore finanziario, progettato per comunicazioni sicure all'interno di un ecosistema chiuso di istituzioni finanziarie statunitensi. A differenza della WebPKI a fiducia globale utilizzata dai browser, X9 opera come un modello di fiducia privata condivisa che richiede l'adozione esplicita da parte dei partecipanti. Se da un lato offre maggiore controllo e stabilità ai sistemi finanziari, dall'altro introduce dei compromessi come la condivisione del rischio e la mancanza di fiducia universale. La comprensione di queste differenze è essenziale per le organizzazioni che stanno valutando se la PKI X9 è adatta alle loro esigenze di sicurezza e interoperabilità.

Tim Callan
Di Tim Callan, Responsabile della conformità21 maggio 2026

Man mano che la conversazione sui certificati X9 prende piede, cresce la confusione su ciò che essi rappresentano realmente e su ciò che non rappresentano.

Semplifichiamo quindi la questione.

Che cos'è la X9 PKI?

X9 PKI è un framework di certificati specifico per il settore finanziario, sviluppato dall'Accredited Standards Committee (ASC X9) per supportare la comunicazione sicura tra banche, sistemi di pagamento e infrastrutture finanziarie statunitensi.

A differenza della WebPKI, il sistema globale di autorità di certificazione (CA) come Sectigo di cui si fidano i principali browser odierni come Chrome, Safari e Firefox, X9 opera al di fuori degli ecosistemi di fiducia dei browser. Questa distinzione è importante.

La WebPKI è stata progettata per l'Internet pubblico, dove i certificati devono essere considerati affidabili da miliardi di utenti e dispositivi. X9, invece, è stato progettato per un ecosistema chiuso di operatori finanziari negli Stati Uniti che accettano esplicitamente di fidarsi di un framework condiviso.

Un modo più semplice per pensarci:

  • WebPKI = fiducia pubblica, distribuita a livello globale
  • X9 PKI = fiducia privata, condivisa in un ecosistema definito, con sede negli Stati Uniti.

Perché è stata creata X9?

Le istituzioni finanziarie hanno da tempo problemi con le politiche guidate dai browser, condotte dal CA/Browser Forum nel modello WebPKI. Queste politiche, come quelle legate alla riduzione della durata di vita dei certificati o alla preparazione quantistica, sono progettate per proteggere tutte le organizzazioni e tutti gli utenti di Internet su scala, ma possono disturbare i sistemi bancari di tutti i giorni, come i bancomat o le reti di pagamento, che funzionano in modo molto diverso.

X9 è stato creato in risposta a questa tensione:

  • Dare alle istituzioni finanziarie un maggiore controllo
  • Fornire coerenza tra i sistemi interconnessi
  • Ridurre la dipendenza dai fornitori di browser

Da questo punto di vista, l'intento di X9 ha senso.

Dove dobbiamo eliminare la confusione

I reparti IT possono avere l'impressione che X9 sia una nuova forma di fiducia "pubblica" o un'evoluzione della WebPKI. Questo non è esatto.

X9 è fondamentalmente più vicino a un modello di PKI privata con una differenza fondamentale: Invece di essere posseduta e gestita da un'unica organizzazione o CA, è condivisa da più organizzazioni nell'ambito di un quadro politico comune. Questo modello è chiamato consorzio ed è abbastanza comune nelle PKI.

Questo crea un modello ibrido:

  • Non ha una fiducia distribuita a livello globale come la WebPKI.
  • Ma non offre nemmeno il pieno controllo come una CA privata tradizionale.

In altre parole, i partecipanti devono comunque scegliere di fidarsi di essa, proprio come qualsiasi CA privata. In particolare, devono installare la radice proprietaria X9 nel root store di ogni sistema client che tenterà di connettersi a un certificato X9. I sistemi operativi, i browser o i dispositivi non si fidano automaticamente di X9.

I compromessi di una CA privata condivisa

Questo approccio di "ecosistema condiviso" introduce importanti compromessi che spesso vengono trascurati.

In una PKI privata tradizionale o in una configurazione di CA privata:

  • Un'organizzazione controlla le proprie politiche, l'infrastruttura e il rischio.
  • Le decisioni sulla sicurezza riguardano solo quell'organizzazione
  • Poiché l'organizzazione stessa è l'Autorità di certificazione, ha piena conoscenza e controllo su chi può possedere uno di questi certificati.

In X9:

  • Le politiche sono condivise tra più partecipanti
  • Le decisioni sulla sicurezza e i rischi possono avere un impatto sull'ecosistema più ampio.
  • Per i singoli membri del consorzio è molto più difficile capire cosa indica la proprietà di un certificato.

Questo è importante perché non tutti i compromessi di sicurezza hanno la stessa portata. Ad esempio, il settore delle PKI in generale si è orientato verso una durata di vita dei certificati più breve, rotazioni più frequenti delle chiavi e delle radici, maggiore automazione e gerarchie di certificati costruite ad hoc. Questi cambiamenti esistono per un solo motivo: ridurre il rischio sistemico in ambienti fiduciari di grandi dimensioni.

X9 adotta intenzionalmente un approccio diverso, dando priorità alla stabilità e alla compatibilità dei sistemi finanziari. Ma quando questo approccio viene applicato a un ecosistema condiviso, il profilo di rischio cambia.

In parole povere, in una PKI privata o in una configurazione di CA privata, un cambiamento più lento può essere accettabile. Ma in un'istanza di PKI condivisa come l'X9, un cambiamento più lento ha un impatto su tutti coloro che fanno affidamento su di essa. Inoltre, mentre molti schemi di PKI consortile sono limitati ai membri del consorzio che soddisfano criteri specifici, X9 è disponibile per qualsiasi membro del pubblico. Ciò significa che le organizzazioni non possono fare affidamento su un certificato X9 per attestare l'identità del Sottoscrittore che lo possiede.

Cosa devono tenere presente le organizzazioni quando prendono in considerazione la X9 PKI?

La X9 PKI non è intrinsecamente "buona" o "cattiva", ma spesso viene fraintesa.

Si tratta di:

  • Un modello di fiducia specifico per il settore, progettato per l'interoperabilità finanziaria.
  • Una CA privata condivisa, non un'infrastruttura di fiducia pubblica
  • Un sistema che richiede una partecipazione esplicita e decisioni di fiducia

Non è:

  • Un sostituto della WebPKI
  • Un sistema di fiducia distribuito a livello globale
  • Un modo per aggirare la realtà degli standard di sicurezza in evoluzione.
  • Un indicatore dell'identità del titolare di un certificato X9.

X9 è stato creato per risolvere problemi reali negli ambienti finanziari. Ma rappresenta un modello di fiducia diverso con diversi compromessi, non un'evoluzione diretta delle WebPKI pubbliche esistenti.

Poiché la fiducia digitale diventa più complessa, a causa della riduzione della durata di vita dei certificati, della crescita dell'identità delle macchine e dei cambiamenti crittografici, questi compromessi sono più importanti che mai.

Capire cosa sia effettivamente X9 è il primo passo per assicurarsi di scegliere l'approccio giusto. Capire dove si adatta e dove non si adatta è ciò che in ultima analisi aiuta le organizzazioni a prendere la decisione giusta.