Certificazioni e Conformità

Lo stato delle certificazioni, dichiarato con precisione

Questa pagina separa ciò che BCrypto ha già ottenuto da ciò su cui stiamo lavorando. Nulla qui implica una certificazione che non deteniamo. Le validazioni formali sono pianificate in funzione delle milestone di finanziamento e dei progetti pilota, e ogni affermazione datata di questa pagina è riesaminata con cadenza trimestrale.

Ottenuto a oggi

NIST FIPS 203 (ML-KEM-1024) implementato in hardware

ML-KEM-1024 gira in hardware e ogni build è vincolata in CI dai known-answer test (KAT): gli stessi vettori di test byte-identici devono passare su Android, iOS e Desktop prima di qualsiasi rilascio.

Tre domande di brevetto depositate presso UIBM

Tre domande di brevetto sull'architettura di sicurezza vocale imposta dall'hardware sono state depositate presso UIBM, l'Ufficio Italiano Brevetti e Marchi, nel 2026. Depositate significa depositate — esame e concessione sono passaggi successivi e distinti.

TRL 6 — firmware feature-complete

Il firmware è feature-complete e dimostrato in ambiente rilevante, corrispondente al TRL 6. Il TRL misura la maturità ingegneristica; non è una certificazione, e lo citiamo esattamente per quello che è.

Supply chain progettata in UE

La responsabilità di progetto di hardware e firmware risiede nell'UE, con una supply chain documentata per provenienza e auditabilità — requisito di base nel procurement governativo e della difesa in Europa.

security.txt RFC 9116 e divulgazione coordinata

Un file security.txt conforme a RFC 9116 e una policy di divulgazione coordinata delle vulnerabilità sono pubblicati e operativi oggi, con finestre definite di presa in carico e divulgazione.

In corso e a obiettivo

Nessuna voce di questa sezione è detenuta oggi. Le validazioni formali sono processi lunghi e costosi: ciascuna parte quando viene raggiunta la milestone di finanziamento o di pilota che la giustifica. Dichiariamo apertamente questa dipendenza invece di lasciar intendere progressi non avvenuti.

Validazione algoritmica CAVP

Validazione indipendente dell'implementazione ML-KEM-1024 nel Cryptographic Algorithm Validation Program del NIST — conferma di terza parte dei vettori che la nostra CI già impone, e prerequisito per FIPS 140-3.

Validazione di modulo FIPS 140-3

Validazione formale del modulo crittografico completo — ruoli, interfacce, gestione delle chiavi, sicurezza fisica — da parte di un laboratorio accreditato. Va ben oltre la conformità algoritmica e inizia dopo la CAVP.

Valutazione Common Criteria

Valutazione del prodotto secondo i Common Criteria. Perimetro e livello di assurance saranno fissati insieme ai primi clienti istituzionali, così che la configurazione valutata corrisponda ai deployment reali.

Certificazione ISO 27001

Certificazione del sistema di gestione della sicurezza delle informazioni di BCrypto secondo ISO 27001. La preparazione procede in parallelo al lavoro di prodotto; l'audit è pianificato rispetto alle milestone di crescita aziendale.

Qualifica di interoperabilità NATO STANAG

Qualifica rispetto ai requisiti di interoperabilità STANAG applicabili. Questo passaggio segue i piloti guidati dai clienti: sono le nazioni acquirenti a determinare standard e regimi di test applicabili, quindi i piloti vengono necessariamente prima.

Readiness CRA UE

Allineamento di prodotto e processi al Cyber Resilience Act (CRA) dell'UE prima delle sue date di applicazione — valutazione di conformità, gestione delle vulnerabilità e obblighi di aggiornamento.

Mappatura di allineamento NIS2

Una mappatura documentata di come i deployment Q-Audion supportano gli obblighi NIS2 dei clienti. BCrypto non è qui il soggetto regolato; la mappatura esiste per abbreviare il lavoro di conformità dei nostri clienti.

La conformità algoritmica non è la validazione di modulo

La conformità algoritmica a FIPS 203 non è la validazione di modulo FIPS 140-3. La prima significa che la nostra implementazione ML-KEM-1024 produce i risultati standardizzati — verificati a ogni build dalla CI vincolata ai KAT. La seconda è una valutazione formale e distinta dell'intero modulo crittografico da parte di un laboratorio accreditato. BCrypto ha la prima oggi; la seconda è in roadmap, non acquisita.

Ogni affermazione datata di questa pagina è rivista trimestralmente. Il lavoro di certificazione è sequenziato rispetto a milestone di finanziamento e di pilota; quando una milestone si sposta, la voce viene aggiornata invece di lasciar intendere progressi non avvenuti.

Pronto a proteggere la sua sovranità digitale?

Si unisca alla rivoluzione europea della sicurezza post-quantum. Contatti il nostro team per partnership istituzionali e collaborazioni strategiche.