MANUALE OPERATIVO PER L’UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA
MANUALE OPERATIVO PER L’UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA
2 Introduzione, Scopo e Definizioni 3
3 Caratteristiche del servizio 5
3.1 Attivazione del servizio 5
3.2 Disattivazione del servizio 5
3.3 Caratteristiche della Firma Grafometrica 5
3.4 Dispositivo di acquisizione grafometrica 5
4.1 Processo di firma del documento 7
4.2 Legame tra firma grafometrica e documento sottoscritto 7
4.3 Protezione dei valori grafometrici 7
4.4 Firma della Banca e apposizione della data certa 7
4.5 Schema del flusso di lavoro 9
5.1 Caratteristiche del Tablet 10
5.2 Il software di gestione 10
6 Generazione e conservazione chiavi crittografiche 13
7 Conservazione dei documenti 14
2 INTRODUZIONE, SCOPO E DEFINIZIONI
2.1 Introduzione
Lo scopo del progetto è quello di gestire l’apposizione della Firma Grafometrica, da parte della Clientela, sui contratti e sulle contabili prodotte allo sportello in modalità completamente smaterializzata.
Il progetto Firma Grafometrica si pone l’obiettivo di adottare un sistema di riconoscimento della firma autografa del Cliente in modo sicuro ed opponibile a terzi secondo le disposizioni contenute nel Codice dell’Amministrazione Digitale (CAD) di cui al D.Lgs. n. 82/2005 in materia di Firma Elettronica Avanzata (FEA) e del D.P.C.M. 22 febbraio 2013, attuativo del Codice, recante le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali.
La firma elettronica avanzata, a differenza di quella qualificata e di quella digitale, non necessita né di un certificato qualificato né di un dispositivo sicuro per la sua valida apposizione. La definizione del Codice dell’Amministrazione Digitale opera solamente un generico riferimento ai mezzi di cui il firmatario dispone e su cui esercita un controllo esclusivo.
2.1 Definizioni
⋅ Banca: la Banca Passadore & C.;
⋅ Cliente: il soggetto a cui viene erogato del Servizio;
⋅ Manuale Operativo: il presente documento predisposto dalla Banca ai sensi di quanto previsto dall’articolo 57 commi 1 e 3 del DPCM 22.2.2013;
⋅ Operazioni: operazioni effettuate presso gli sportelli della Banca (es: prelievi, bonifici, acquisto/vendita titoli e altre operazioni);
⋅ Contratti: i Contratti aventi per oggetto l’erogazione di servizi bancari e finanziari e degli atti negoziali ad essi connessi sottoscrivibili mediante FEA;
⋅ Documento informatico: atto negoziale finalizzato alla conclusione del Contratto, esemplare del Contratto di spettanza del Cliente e di Contabile conseguente all’effettuazione di operazione sottoscritto tramite FEA;
⋅ Moduli: i Moduli predisposti dalla Banca necessari per l’emissione di Documenti;
⋅ D.lgs. 82/2005: Codice dell’Amministrazione Digitale;
⋅ DPCM 22.2.2013: Decreto Del Presidente del Consiglio dei Ministri del 22 febbraio 2013 contenente, tra l’altro, le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate;
⋅ Firma Elettronica Avanzata (detta anche F.E.A.): “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali
detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”;
⋅ Firma Grafometrica: particolare tipo di Firma Elettronica Avanzata (FEA) che si ottiene dal rilevamento “dinamico” dei dati calligrafici della firma, effettuata con penna elettronica su Signature Pad dotati di appositi pannelli per la cattura del tratto grafometrico del firmatario;
⋅ Firma Digitale: un particolare tipo di Firma Elettronica Avanzata (FEA) basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.
3 CARATTERISTICHE DEL SERVIZIO
3.1 Attivazione del servizio
L’utilizzo del Servizio di Firma Grafometrica è facoltativo ed è possibile soltanto dopo che il Cliente, una volta identificato tramite il riconoscimento diretto da parte dell’operatore di sportello, abbia accettato, ai sensi dell’articolo 57 del DPCM, le condizioni giuridiche contenute nell’attestazione di consenso ovvero tramite la sottoscrizione della contrattualistica, nella quale sono contenuti i termini di attivazione e funzionamento del Servizio FEA. In entrambi i casi verrà consegnata, dall’operatore di sportello, copia della attestazione.
L’adesione al Servizio può essere effettuata dalle sole persone fisiche relativamente ai documenti da loro sottoscritti, indipendentemente dal rapporto sul quale operano.
Il Cliente, attraverso la sottoscrizione dell’adesione, manifesta la volontà di aderire al Servizio e accetta la modalità di trattamento dei dati personali (ad integrazione dell’informativa sul trattamento dei dati personali che la Banca ha a suo tempo fornito al Cliente ai sensi dell’art. 13 del Codice in materia di protezione dei dati personali).
Il Cliente può richiedere - liberamente e gratuitamente - ad un operatore di sportello, copia del modulo di adesione al servizio a suo tempo sottoscritto, così come previsto dall’art. 57, comma 1, del decreto del presidente del consiglio dei ministri del 22 febbraio 2013. Ovvero richiedere sempre ad un operatore di sportello della Banca assistenza in merito all’utilizzo del servizio di Firma Grafometrica.
3.2 Disattivazione del servizio
Il Cliente può revocare in qualsiasi momento il consenso all’utilizzo del Servizio. Tale revoca non produce alcun effetto rispetto all’adesione manifestata dagli altri soggetti operanti sullo stesso rapporto.
Il Cliente manifesterà tale intenzione ad uno degli operatori di sportello della banca. Quest’ultimo, dopo aver identificato direttamente il cliente, farà sottoscrivere, tramite firma elettronica avanzata, il modulo all’uopo predisposto. Questo atto produrrà l’ultimo documento digitale che “chiuderà” la sequenza logica dei documenti digitali sottoscritti dal Cliente. Copia del predetto modulo verrà fornita dall’operatore di sportello al Cliente.
3.3 Caratteristiche della Firma Grafometrica
La Firma Grafometrica apposta dal Cliente sul tablet grafometrico è identificata dal segno grafico e da cinque valori grafometrici individuali (ritmo, velocità, pressione, accelerazione e movimento) che la rendono riconducibile, in modo univoco, al firmatario stesso: è tecnicamente implementata per soddisfare tutti i requisiti che la legge impone per la FEA come di seguito descritto.
3.4 Dispositivo di acquisizione grafometrica
Il tablet grafometrico permette di rilevare e acquisire i valori grafometrici specifici della firma del Cliente. Si tratta di uno speciale dispositivo elettronico, caratterizzato da un monitor e da
una apposita penna, attraverso il quale il Cliente può visualizzare parti del documento e sottoscrivere lo stesso in formato digitale.
Il tablet grafometrico dispone di una tecnologia che permette di rilevare i valori grafometrici acquisiti dalla penna mediante un campo magnetico ed è assemblato in modo tale da evitare ogni possibile manomissione che ne possa compromettere la struttura.
Le caratteristiche del tablet grafometrico e le condizioni nelle quali il Cliente firmatario sottoscrive il documento informatico garantiscono al Cliente un’esperienza di firma del tutto analoga a quella della firma autografa su carta, in modo da rendere naturale il gesto della sottoscrizione.
4.1 Processo di firma del documento
Operativamente, il processo di firma dei documenti informatici può essere rappresentato dalle seguenti fasi:
- completata l’operazione bancaria, l’operatore di sportello invita il Cliente ad apporre la Firma Grafometrica necessaria per concludere correttamente la predetta operazione.
- Il Cliente prende visione del documento direttamente in formato elettronico sul tablet grafometrico, verifica i dati dell’operazione bancaria che intende effettuare ovvero il contenuto del documento da sottoscrivere, e opta per una delle seguenti azioni:
. apporre la firma sul tablet grafometrico con un effetto grafico simile alla classica firma su carta, confermando l’operazione;
. riproporre la firma, nel caso intenda ri-firmare il documento, premendo con la penna elettronica l’apposito tasto di cancellazione presente sul tablet grafometrico;
. annullare definitivamente l’operazione di firma, nel caso non intenda concludere l’operazione o la sottoscrizione del contratto;
contestualmente l’operatore di sportello ha modo di seguire l’apposizione della firma da parte del Cliente, ma non ha la possibilità di interagire nel processo di firma del Cliente.
Il Cliente può, comunque, sospendere in qualsiasi momento l’operazione, richiedere la stampa del documento e firmare il supporto cartaceo.
4.2 Legame tra firma grafometrica e documento sottoscritto
La connessione univoca tra la Firma Grafometrica e il documento informatico viene assicurata dall’associazione dei valori grafometrici della firma con un’impronta informatica (hash) apposta sul documento informatico, calcolata e verificabile a posteriori, che identifica in modo unico il documento informatico che il Cliente ha sottoscritto.
4.3 Protezione dei valori grafometrici
La protezione dei valori grafometrici e dell’impronta informatica sono garantiti dalla crittografia con “chiave” digitale, che viene conservata presso una terza parte che ne permetterà l’utilizzo esclusivamente nei casi previsti dalla legge, e dall’apposizione della firma digitale della Banca sui documenti; ciò al fine di impedire eventuali tentativi di modifica dei documenti digitali sottoscritti.
4.4 Firma della Banca e apposizione della data certa
Dopo l’apposizione della firma grafometrica da parte del Cliente, della crittografia e della firma digitale da parte Banca, che consente di garantirne l’integrità e l’immodificabilità del documento nel tempo, il documento viene salvato in formato elettronico PDF/A in modo da soddisfare i requisiti normativi in termini di autoconsistenza, immodificabilità e leggibilità nel tempo del documento.
Infine, tale documento informatico viene trasferito al sistema di Conservazione Sostitutiva per la conservazione a norma di legge previa apposizione, da parte del Responsabile della Conservazione Sostitutiva, della marca temporale, in conformità con quanto previsto dal
D.P.C.M. 22 febbraio 2013. Tali attività avvengono entro la giornata solare di apposizione della firma grafometrica da parte del Cliente.
Il Responsabile per la Conservazione Sostitutiva (così definito dalla normativa vigente) può accedere ai dati contenuti nei predetti documenti ma non ai valori grafometrici che caratterizzano la firma del Cliente e come tali protetti in conformità a quanto previsto dalla legge.
Affianca il Responsabile del sistema di Conservazione Sostitutiva il Responsabile del Trattamento dei dati, appositamente individuato nella informativa ex articolo 13 del Codice Privacy (D.lgs. 196/2003) e riportata in calce alla attestazione di consenso ovvero contenuta nella contrattualistica all’uopo predisposta.
Esibizione agli aventi diritto
Produzione del rapporto di versamento
4.5 Schema del flusso di lavoro
Creazione dell’immagine digitale del documento senza firma
Acquisizione della firma del cliente tramite il tablet
Predisposizione del file PDF/A contenete l’immagine e la firma
Produzione del pacchetto di versamento
Produzione dei metadati da associare al file da conservare
Apposizione di firma digitale sul singolo file
Invio del pacchetto di versamento al sistema di conservazione
Verifica dei file contenuti nel pacchetto di versamento
Apposizione di F.D. e
M.T. sul singolo file SInCRO
Produzione file SInCRO con impronte dei singoli file
Calcolo impronta dei singoli file con algoritmo SHA-256
Produzione dei pacchetti di archiviazione
Conservazione dei pacchetti di archiviazione
5.1 Caratteristiche del Tablet
I tablet utilizzati dal Servizio FEA, devono soddisfare ai requisiti dei paragrafi 4.2 e 4.3 del presente documento, ovvero devono:
- rilevare e registrare i parametri grafometrici: ritmo, velocità, pressione, accelerazione e movimento, propri del tratto di ogni firmatario;
- trasmettere al computer i valori rilevati dal tablet su un canale crittografato in modo che, anche se registrati da dispositivi esterni (c.d. keylogger), non siano fruibili.
Dato che l’evoluzione tecnologica nel settore informatico tende a rendere obsoleti i dispositivi in breve tempo, le caratteristiche dei dispositivi selezionati vanno intese come requisiti minimi, sicuramente migliorabili con l’evolversi del progresso tecnologico.
I dispositivi selezionati sono WACOM DTU-1141/k e WACOM STU-530.
WACOM DTU.1141/k
Pensato per l’acquisizione di firme su contratti, ha un display da 10,6 pollici che consente la visualizzazione di un formato A4 a pieno schermo.
WACOM STU-530
Pensato per la firma di documenti contabili alle casse, ha un display da 5 pollici che consente l’apposizione della firma su documenti il cui contenuto è di limitata complessità
Ambedue i dispositivi utilizzano una connessione USB ad un computer della Banca usando per la comunicazione una crittografia AES a 256 bit, con scambio chiavi RAS a 2048 bit.
5.2 Il software di gestione
Certificati di crittografia
Le “Linee Guida in materia di riconoscimento biometrico e firma grafometrica” in allegato al Provvedimento n. 513 del 12 novembre 2014 del Garante per la protezione dei dati personali prescrivono che i dati biometrici grezzi raccolti nel corso del procedimento di acquisizione biometrica devono essere cancellati dalle aree di memoria del dispositivo immediatamente dopo la generazione del campione biometrico. Il dato biometrico inoltre deve essere cifrato al momento della sua acquisizione per ridurre il rischio di acquisizione fraudolenta con attacchi di tipo di third in the middle sul sensore o sui suoi canali di comunicazione con il sistema biometrico.
Il Servizio FEA prevede più livelli di protezione dei dati biometrici del Cliente. Durante l’operazione di firma i dati biometrici sono immediatamente convertiti in una stringa di dati binari all’interno della libreria Xyzmo e, appena eseguita la firma, sono cifrati con una chiave simmetrica AES-256 che è generata in maniera casuale per ogni firma. Tale chiave simmetrica è poi cifrata con la chiave pubblica asimmetrica del certificato di cifratura di cui al capitolo 7. Il certificato di cifratura è compilato nella libreria Xyzmo installata nella singola componente server o client in modo che nessun dato biometrico che non sia stato tradotto in una stringa di dati binari e cifrato in modo da risultare inaccessibile a chiunque sia privo della componente privata della chiave di cifratura. Il corretto funzionamento della chiusura del documento cifrato è assicurato dalla libreria Xyzmo. I dati biometrici non posso essere decriptati, visualizzati ed
esaminati, nemmeno a chi ha creato il Servizio FEA (L’unica possibilità per effettuare tali operazioni è di disporre della chiave privata, chiave in possesso solo di ente terzo e con regole di consegna solo per particolari eventi (descritti al capitolo 7).
I dati biometrici cifrati, la chiave AES-256 cifrata, il tratto grafico, il tipo di device utilizzato e l’impronta hash del documento (calcolata con algoritmo SHA) sono inseriti nella busta PAdES. Il processo di firma termina quindi con la creazione di una busta in standard PAdES, secondo la deliberazione CNIPA 21 maggio 2009, n.45. Quest’ultima firma, garantisce l’integrità (documento non alterato) e autenticità (autore) del documento digitale contenuto.
Sicurezza nel trasferimento
Il traffico dei dati tra le componenti del Servizio FEA è protetto da SSL, l’autenticazione avviene tramite token a scadenza temporale cifrato con AES-256bit. La password dell’utente che ha attivato la sessione è conservata solo con hash in formato SHA-256. Questo protocollo rende impossibile l’intercettazione dei contenuti del canale tramite uno scambio di certificati.
Il trasferimento della stringa di dati binari cifrata avviene sempre mediante un canale https (criptato con algoritmo asimmetrico). Anche la trasmissione del documento alla archiviazione sostitutiva e quella del documento “flat” verso la componente client avviene mediante canale https (criptato) con algoritmo asimmetrico.
Componenti hardware
La Banca è tenuta ad adoperarsi, utilizzando i mezzi tecnici che lo stato dell’arte nel settore informatico rende disponibili, per proteggere i dati personali trattati con le misure di sicurezza previste dal Codice. Tali misure comprendono, oltre alle misure minime di cui agli artt. 33-34 del Codice e all’allegato B, anche le misure idonee e preventive rispetto al trattamento di cui all’art. 31, la cui predisposizione richiede una valutazione del rischio incombente sui dati e sull’adeguatezza delle soluzioni tecniche predisposte per contrastarlo.
Application Server
Il Servizio FEA e libreria Xyzmo (parte server) sono installati su server dedicato. Si tratta di un web site che espone API e comunica internamente con un database Microsoft Sql Server (versione 2012), che non viene mai esposto all’esterno.
Personal computer
I personal computer cui sono collegate le tavolette per la rilevazione grafometrica nell’ambito del Servizio sono gestiti dalla Banca. I driver della tavoletta di acquisizione della firma grafometrica sono installati a cura del personale della Banca. I documenti sono visibili su monitor di rappresentazione posto in visione del cliente e non visibile da terzi.
Tavolette
Nell’ambito della Servizio FEA sono utilizzate le tavolette sopra indicate per raccogliere la firma. La libreria Xyzmo compilata nel Servizio FEA è certificata dal suo fornitore per funzionare con tali tavoletta. In caso di problematiche tecniche di comunicazione tra la
tavoletta e la libreria Xyzmo è responsabilità del fornitore stesso segnalare, intervenire e correggere il problema.
Componenti software
Il Servizio FEA è compilato con librerie per l’acquisizione del dato biometrico e della relativa cifratura di Xyzmo.
Il Servizio prende in carico il documento da firmare e ne gestisce l’operatività in sicurezza e senza possibilità di iterazioni, interventi da parte di software esterni. La libreria Xyzmo protegge il dato biometrico sia in forma grezza che in forma di stringa binaria non permettendo alcun accesso, nemmeno dalla soluzione documentale.
Il Servizio FEA rilascia, in chiusura, un documento di tipologia PDF/A con le firme grafometriche acquisite, cifrate e chiuso con certificato crittografico.
La componente server è istallata sull’Application Server sopra descritto. Viene utilizzato un Application Server IIS con sistema operativo Windows Server 2012R2 per la gestione delle applicazioni e le iterazioni tra il componente server e applet java / componente client. La componente server è il sistema di gestione dell’attività di firma, riceve il documento in formato
.pdf dal sistema documentale della Banca, lo trasforma in immagine renderizzata e lo invia alla applet java / componente client. Con la conferma da parte della componente client della conclusione delle operazioni di firma, la componente server rende il documento non modificabile, grazie all’apposizione di certificato di chiusura, rilasciato da una CA accreditata presso AgID. La componente server richiede una autenticazione con user id e password per l’attivazione del canale web.
Gli utenti che hanno necessità di attivare il processo di gestione del Servizio FEA devono essere stati preventivamente autorizzati dalla Banca. La Banca cura le politiche di sicurezza delle utenze che sono autorizzate a utilizzare il Servizio FEA.
La sicurezza della applet java / componente client è correlata alle procedure di autenticazione e autorizzazione del portale web della Banca.
6 GENERAZIONE E CONSERVAZIONE CHIAVI CRITTOGRAFICHE
Procedura di sicurezza svolta dell’Ente Certificatore Actalis S.p.A. per la generazione della coppia di chiavi crittografiche. La parte pubblica delle chiavi verrà rilasciata a Plugin S.p.A. che provvederà alla sua installazione nel sistema di firma grafometrica della Banca, mentre la parte privata e il codice di protezione della chiave stessa, una volta memorizzati sui CD/USB, verranno accuratamente custoditi in modo sicuro presso il certificatore stesso in una cassetta di sicurezza all’uopo predisposta.
Per l’accesso alla cassetta di sicurezza in cui è custodito il predetto materiale crittografico sarà necessario il coinvolgimento del personale dell’Ente Certificatore in possesso della chiave, della combinazione dell’armadio e delle due chiavi di apertura della specifica cassetta di sicurezza.
L’accesso al materiale crittografico potrà avvenire esclusivamente dietro esplicita istanza della Banca a Actalis e deve contenere le seguenti informazioni:
- motivazione della richiesta di accesso;
- soggetto terzo richiedente;
- parere positivo della Funzione Legale;
- riferimento del Perito designato;
- soggetto incaricato dalla Banca.
Il soggetto incaricato dalla Banca ed il perito designato si recano presso gli uffici dell’Ente e, dopo essere stati identificati attraverso il riscontro con uno dei documenti di riconoscimento previsti dall’art 35 del DPR Dicembre 2000 n 445, ricevono in consegna dal personale dell’Ente il materiale crittografico, precisamente:
- al perito designato viene consegnata la sola chiave privata necessaria alla decifratura dei dati grafometrici, sui supporti previsti;
- al soggetto incaricato dalla Banca viene consegnato il codice di protezione della chiave privata conservato in busta sigillata.
Concluse le operazioni di perizia, l’Ente deve provvedere:
- alla cancellazione sicura/distruzione del supporto dove è stata memorizzata la chiave privata;
- alla cancellazione sicura/distruzione delle copie dei documenti bancari crittografati;
- alla sostituzione del codice di protezione della chiave privata;
- alla redazione di un verbale delle attività eseguite, sottoscritto anche dal Perito designato.
7 CONSERVAZIONE DEI DOCUMENTI
La Conservazione Sostitutiva a norma è un processo che permette di archiviare in modo sicuro i documenti sottoscritti grafometricamente dal Cliente, affinché restino integri e risultino immodificabili e leggibili nel tempo. La Banca utilizza a tale scopo un servizio di conservazione dei documenti informatici conforme a quanto disposto dal D.lgs. 82/2005 (CAD
- Codice dell’Amministrazione Digitale). Periodiche verifiche sull’integrità e la leggibilità dei Documenti vengono svolte sul sistema di conservazione dal Responsabile della Conservazione al fine di garantire un alto livello di affidabilità e di qualità del servizio nel tempo.
Tutti i Documenti restano disponibili nel sistema di conservazione al quale possono accedere solo alcuni specifici operatori autorizzati.
In ottemperanza a quanto previsto dal comma 2 dell’articolo 57 del DPCM 22.2.2013, la Banca si è dotata di una idonea copertura assicurativa per la responsabilità civile con una primaria compagnia assicuratrice, a tutela dei danni eventualmente derivanti dai problemi tecnici riconducibili all’utilizzo della Firma Grafometrica. Per ogni chiarimento in ordine al funzionamento dei Servizi il personale delle filiali della Banca è a disposizione del Cliente.
In questa sezione sono riportati gli allegati al presente manuale della conservazione.
Allegati al Manuale della conservazione | |||
Allegati | Data di redazione | Descrizione | Autore |
Allegato 1 | Normativa e standard di riferimento | Xxxx. Xxxxxxxx Xxxxxxx | |
ALLEGATO 1 NORMATIVA E STANDARD DI
RIFERIMENTO
DECRETO LEGISLATIVO 7 MARZO 2005, N. 82
"Codice dell'amministrazione digitale"
pubblicato nella Gazzetta Ufficiale n. 112 del 16 maggio 2005 - Supplemento Ordinario n. 93
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76, 87 e 117, secondo comma, lettera r), della Costituzione;
Visto l'articolo 14 della legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri;
Visto l'articolo 10 della legge 29 luglio 2003, n. 229, recante interventi in materia di qualità della regolazione, riassetto normativo e codificazione - legge di semplificazione 2001;
Vista la legge 7 agosto 1990, n. 241, recante nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi;
Visto il decreto legislativo 12 febbraio 1993, n. 39, recante norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma dell'articolo 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421;
Visto il decreto legislativo 30 luglio 1999, n. 300, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri;
Visto il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (Testo A), di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
Visto il decreto legislativo 30 marzo 2001, n. 165, recante norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali;
Vista la legge 9 gennaio 2004, n. 4, recante disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici;
Visto il decreto legislativo 20 febbraio 2004, n. 52, recante attuazione della direttiva 2001/115/CE che semplifica ed armonizza le modalità di fatturazione in materia di IVA;
Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione dell'11 novembre 2004;
Esperita la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, attuata dalla legge 21 giugno 1986, n. 317, così come modificata dal decreto legislativo 23 novembre 2000, n. 427;
Acquisito il parere della Conferenza unificata, ai sensi dell'articolo 8, del decreto legislativo 28 agosto 1997, n. 281, espresso nella riunione del 13 gennaio 2005;
Sentito il Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 7 febbraio 2005; Acquisito il parere delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 4 marzo 2005;
Sulla proposta del Ministro per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica, con il Ministro dell'economia e delle finanze, con il Ministro dell'interno, con il Ministro della giustizia, con il Ministro delle attività produttive e con il Ministro delle comunicazioni;
E M A N A
il seguente decreto legislativo:
CAPO I PRINCIPI GENERALI
Sezione I
Definizioni, finalità e ambito di applicazione
Art. 1.
Definizioni
1. Ai fini del presente codice si intende per:
a) allineamento dei dati: il processo di coordinamento dei dati presenti in più archivi finalizzato alla verifica della corrispondenza delle informazioni in essi contenute;
b) autenticazione informatica: la validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne distinguono l'identità nei sistemi informativi, effettuata attraverso opportune tecnologie al fine di garantire la sicurezza dell'accesso;
c) carta d'identità elettronica: il documento d'identità munito di fotografia del titolare rilasciato su supporto informatico dalle amministrazioni comunali con la prevalente finalità di dimostrare l'identità anagrafica del suo titolare;
d) carta nazionale dei servizi: il documento rilasciato su supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni;
e) certificati elettronici: gli attestati elettronici che collegano i dati utilizzati per verificare le firme elettroniche ai titolari e confermano l'identità informatica dei titolari stessi;
f) certificato qualificato: il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva;
g) certificatore: il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime;
h) chiave privata: l'elemento della coppia di chiavi asimmetriche, utilizzato dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico;
i) chiave pubblica: l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche;
l) dato a conoscibilità limitata: il dato la cui conoscibilità è riservata per legge o regolamento a specifici soggetti o categorie di soggetti;
m) dato delle pubbliche amministrazioni: il dato formato, o comunque trattato da una pubblica amministrazione;
n) dato pubblico: il dato conoscibile da chiunque;
o) disponibilità: la possibilità di accedere ai dati senza restrizioni non riconducibili a esplicite norme di legge;
p) documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
q) firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica;
r) firma elettronica qualificata: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma, quale l'apparato strumentale usato per la creazione della firma elettronica;
s) firma digitale: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
t) fruibilità di un dato: la possibilità di utilizzare il dato anche trasferendolo nei sistemi informativi automatizzati di un'altra amministrazione;
u) gestione informatica dei documenti: l'insieme delle attività finalizzate alla registrazione e segnatura di protocollo, nonché alla classificazione, organizzazione, assegnazione, reperimento e conservazione dei documenti amministrativi formati o acquisiti dalle amministrazioni, nell'ambito del sistema di classificazione d'archivio adottato, effettuate mediante sistemi informatici;
v) originali non unici: i documenti per i quali sia possibile risalire al loro contenuto attraverso altre scritture o documenti di cui sia obbligatoria la conservazione, anche se in possesso di terzi;
z) pubbliche amministrazioni centrali: le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le istituzioni universitarie, gli enti pubblici non economici nazionali, l'Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN), le agenzie di cui al decreto legislativo 30 luglio 1999, n. 300;
aa) titolare: la persona fisica cui è attribuita la firma elettronica e che ha accesso ai dispositivi per la creazione della firma elettronica;
bb) validazione temporale: il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi.
Art. 2.
Finalità e ambito di applicazione
1. Lo Stato, le Regioni e le autonomie locali assicurano la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate le tecnologie dell'informazione e della comunicazione.
2. Le disposizioni del presente codice si applicano alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, salvo che sia diversamente stabilito, nel rispetto della loro autonomia organizzativa e comunque nel rispetto del riparto di competenza di cui all'articolo 117 della Costituzione.
3. Le disposizioni di cui al capo II concernenti i documenti informatici, le firme elettroniche, i pagamenti informatici, i libri e le scritture, le disposizioni di cui al capo III, relative alla formazione, gestione, alla conservazione, nonché le disposizioni di cui al capo IV relative alla trasmissione dei documenti informatici si applicano anche ai privati ai sensi dell'articolo 3 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.
4. Le disposizioni di cui al capo V, concernenti l'accesso ai documenti informatici, e la fruibilità delle informazioni digitali si applicano anche ai gestori di servizi pubblici ed agli organismi di diritto pubblico.
5. Le disposizioni del presente codice si applicano nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni in materia di protezione dei dati personali approvato con decreto legislativo 30 giugno 2003, n. 196.
6. Le disposizioni del presente codice non si applicano limitatamente all'esercizio delle attività e funzioni di ordine e sicurezza pubblica, difesa e sicurezza nazionale, e consultazioni elettorali.
Sezione II
Diritti dei cittadini e delle imprese
Art. 3.
Diritto all'uso delle tecnologie
1. I cittadini e le imprese hanno diritto a richiedere ed ottenere l'uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni centrali e con i gestori di pubblici servizi statali nei limiti di quanto previsto nel presente codice.
Art. 4.
Partecipazione al procedimento amministrativo informatico
1. La partecipazione al procedimento amministrativo e il diritto di accesso ai documenti amministrativi sono esercitabili mediante l'uso delle tecnologie dell'informazione e della comunicazione secondo quanto disposto dagli articoli 59 e 60 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.
2. Ogni atto e documento può essere trasmesso alle pubbliche amministrazioni con l'uso delle tecnologie dell'informazione e della comunicazione se formato ed inviato nel rispetto della vigente normativa.
Art. 5.
Effettuazione dei pagamenti con modalità informatiche
1. A decorrere dal 30 giugno 2007, le pubbliche amministrazioni centrali con sede nel territorio italiano consentono l'effettuazione dei pagamenti ad esse spettanti, a qualsiasi titolo dovuti, con l'uso delle tecnologie dell'informazione e della comunicazione.
Art. 6.
Utilizzo della posta elettronica certificata
1. Le pubbliche amministrazioni centrali utilizzano la posta elettronica certificata, di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, per ogni scambio di documenti e informazioni con i soggetti interessati che ne fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta elettronica certificata.
2. Le disposizioni di cui al gomma 1 si applicano anche alle pubbliche amministrazioni regionali e locali salvo che non sia diversamente stabilito.
Art. 7.
Qualità dei servizi resi e soddisfazione dell'utenza
1. Le pubbliche amministrazioni centrali provvedono alla riorganizzazione ed aggiornamento dei servizi resi; a tale fine sviluppano l'uso delle tecnologie dell'informazione e della comunicazione, sulla base di una preventiva analisi delle reali esigenze dei cittadini e delle imprese, anche utilizzando strumenti per la valutazione del grado di soddisfazione degli utenti.
2. Entro il 31 maggio di ciascun anno le pubbliche amministrazioni centrali trasmettono al Ministro delegato per la funzione pubblica e al Ministro delegato per l'innovazione e le tecnologie una relazione sulla qualità dei servizi resi e sulla soddisfazione dell'utenza.
Art. 8.
Alfabetizzazione informatica dei cittadini
1. Lo Stato promuove iniziative volte a favorire l'alfabetizzazione informatica dei cittadini con particolare riguardo alle categorie a rischio di esclusione, anche al fine di favorire l'utilizzo dei servizi telematici delle pubbliche amministrazioni.
Art. 9.
Partecipazione democratica elettronica
1. Lo Stato favorisce ogni forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini, anche residenti all'estero, al processo democratico e per facilitare l'esercizio dei diritti politici e civili sia individuali che collettivi.
Art. 10.
Sportelli per le attività produttive
1. Lo sportello unico di cui all'articolo 3 del decreto del Presidente della Repubblica 20 ottobre 1998, n. 447, è realizzato in modalità informatica ed eroga i propri servizi verso l'utenza anche in via telematica.
2. Gli sportelli unici consentono l'invio di istanze, dichiarazioni, documenti e ogni altro atto trasmesso dall'utente in via telematica e sono integrati con i servizi erogati in rete dalle pubbliche amministrazioni.
3. Al fine di promuovere la massima efficacia ed efficienza dello sportello unico, anche attraverso l'adozione di modalità omogenee di relazione con gli utenti nell'intero territorio nazionale, lo Stato, d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, individua uno o più modelli tecnico-organizzativi di riferimento, tenendo presenti le migliori esperienze realizzate che garantiscano l'interoperabilità delle soluzioni individuate.
4. Lo Stato realizza, nell'ambito di quanto previsto dal sistema pubblico di connettività di cui al decreto legislativo 28 febbraio 2005, n. 42, un sistema informatizzato per le imprese relativo ai procedimenti di competenza delle amministrazioni centrali anche ai fini di quanto previsto all'articolo 11.
Art. 11.
Registro informatico degli adempimenti amministrativi per le imprese
1. Presso il Ministero delle attività produttive, che si avvale a questo scopo del sistema informativo delle camere di commercio, industria, artigianato e agricoltura, è istituito il Registro informatico degli adempimenti amministrativi per le imprese, di seguito denominato «Registro», il quale contiene l'elenco completo degli adempimenti amministrativi previsti dalle pubbliche amministrazioni per l'avvio e l'esercizio delle attività di impresa, nonché i dati raccolti dalle amministrazioni comunali negli archivi informatici di cui all'articolo 24, comma 2, del decreto legislativo 31 marzo 1998, n. 112. Il Registro, che si articola su base regionale con apposite sezioni del sito informatico, fornisce, ove possibile, il supporto necessario a compilare in via elettronica la relativa modulistica.
2. È fatto obbligo alle amministrazioni pubbliche, nonché ai concessionari di lavori e ai concessionari e gestori di servizi pubblici, di trasmettere in via informatica al Ministero delle attività produttive l'elenco degli adempimenti amministrativi necessari per l'avvio e l'esercizio dell'attività di impresa.
3. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro delle attività produttive e del Ministro delegato per l'innovazione e le tecnologie, sono stabilite le modalità di coordinamento, di attuazione e di accesso al Registro, nonché di connessione informatica tra le diverse sezioni del sito.
4. Il Registro è pubblicato su uno o più siti telematici, individuati con decreto del Ministro delle attività produttive.
5. Del Registro possono avvalersi le autonomie locali, qualora non provvedano in proprio, per i servizi pubblici da loro gestiti.
6. All'onere derivante dall'attuazione del presente articolo si provvede ai sensi dell'articolo 21, comma 2, della legge 29 luglio 2003, n. 229.
Sezione III
Organizzazione delle pubbliche amministrazioni Rapporti fra Stato, Regioni e autonomie locali
Art. 12.
Norme generali per l'uso delle tecnologie dell'informazione e delle comunicazioni nell'azione amministrativa
1. Le pubbliche amministrazioni nell'organizzare autonomamente la propria attività utilizzano le tecnologie dell'informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione.
2. Le pubbliche amministrazioni adottano le tecnologie dell'informazione e della comunicazione nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati, con misure informatiche, tecnologiche, e procedurali di sicurezza, secondo le regole tecniche di cui all'articolo 71.
3. Le pubbliche amministrazioni operano per assicurare l'uniformità e la graduale integrazione delle modalità di interazione degli utenti con i servizi informatici da esse erogati, qualunque sia il canale di erogazione, nel rispetto della autonomia e della specificità di ciascun erogatore di servizi.
4. Lo Stato promuove la realizzazione e l'utilizzo di reti telematiche come strumento di interazione tra le pubbliche amministrazioni ed i privati.
5. Le pubbliche amministrazioni utilizzano le tecnologie dell'informazione e della comunicazione, garantendo, nel rispetto delle vigenti normative, l'accesso alla consultazione, la circolazione e lo scambio di dati e informazioni, nonché l'interoperabilità dei sistemi e l'integrazione dei processi di servizio fra le diverse amministrazioni nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71.
Art. 13.
Formazione informatica dei dipendenti pubblici
1. Le pubbliche amministrazioni nella predisposizione dei piani di cui all'articolo 7-bis, del decreto legislativo 30 marzo 2001, n. 165, e nell'ambito delle risorse finanziarie previste dai piani medesimi, attuano anche politiche di formazione del personale finalizzate alla conoscenza e all'uso delle tecnologie dell'informazione e della comunicazione.
Art. 14.
Rapporti tra Stato, Regioni e autonomie locali
1. In attuazione del disposto dell'articolo 117, secondo comma, lettera r), della Costituzione, lo Stato disciplina il coordinamento informatico dei dati dell'amministrazione statale, regionale e locale, dettando anche le regole tecniche necessarie per garantire la sicurezza e l'interoperabilità dei sistemi informatici e dei flussi informativi per la circolazione e lo scambio dei dati e per l'accesso ai servizi erogati in rete dalle amministrazioni medesime.
2. Lo Stato, le regioni e le autonomie locali promuovono le intese e gli accordi e adottano, attraverso la Conferenza unificata, gli indirizzi utili per realizzare un processo di digitalizzazione dell'azione amministrativa coordinato e condiviso e per l'individuazione delle regole tecniche di cui all'articolo 71.
3. Lo Stato, ai fini di quanto previsto ai commi 1 e 2, istituisce organismi di cooperazione con le regioni e le autonomie locali, promuove intese ed accordi tematici e territoriali, favorisce la collaborazione interregionale, incentiva la realizzazione di progetti a livello locale, in particolare mediante il trasferimento delle soluzioni tecniche ed organizzative, previene il divario tecnologico tra amministrazioni di diversa dimensione e collocazione territoriale.
Art. 15.
Digitalizzazione e riorganizzazione
1. La riorganizzazione strutturale e gestionale delle pubbliche amministrazioni volta al perseguimento degli obiettivi di cui all'articolo 12, comma 1, avviene anche attraverso il migliore e più esteso utilizzo delle tecnologie dell'informazione e della comunicazione nell'ambito di una coordinata strategia che garantisca il coerente sviluppo del processo di digitalizzazione.
2. In attuazione del comma 1, le pubbliche amministrazioni provvedono in particolare a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese, assicurando che l'utilizzo delle tecnologie dell'informazione e della comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle regole tecniche di cui all'articolo 71.
3. La digitalizzazione dell'azione amministrativa è attuata dalle pubbliche amministrazioni con modalità idonee a garantire la partecipazione dell'Italia alla costruzione di reti transeuropee per lo scambio elettronico di dati e servizi fra le amministrazioni dei Paesi membri dell'Unione europea.
Art. 16.
Competenze del Presidente del Consiglio dei Ministri in materia di innovazione e tecnologie
1. Per il perseguimento dei fini di cui al presente codice, il Presidente del Consiglio dei Ministri o il Ministro delegato per l'innovazione e le tecnologie, nell'attività di coordinamento del processo di digitalizzazione e di coordinamento e di valutazione dei programmi, dei progetti e dei piani di azione formulati dalle pubbliche amministrazioni centrali per lo sviluppo dei sistemi informativi:
a) definisce con proprie direttive le linee strategiche, la pianificazione e le aree di intervento dell'innovazione tecnologica nelle pubbliche amministrazioni centrali, e ne verifica l'attuazione;
b) valuta, sulla base di criteri e metodiche di ottimizzazione della spesa, il corretto utilizzo delle risorse finanziarie per l'informatica e la telematica da parte delle singole amministrazioni centrali;
c) sostiene progetti di grande contenuto innovativo, di rilevanza strategica, di preminente interesse nazionale, con particolare attenzione per i progetti di carattere intersettoriale;
d) promuove l'informazione circa le iniziative per la diffusione delle nuove tecnologie;
e) detta norme tecniche ai sensi dell'articolo, 71 e criteri in tema di pianificazione, progettazione, realizzazione, gestione, mantenimento dei sistemi informativi automatizzati delle pubbliche amministrazioni centrali e delle loro interconnessioni, nonché della loro qualità e relativi aspetti organizzativi e della loro sicurezza.
2. Il Presidente del Consiglio dei Ministri o il Ministro delegato per l'innovazione e le tecnologie riferisce annualmente al Parlamento sullo stato di attuazione del presente codice.
Art. 17.
Strutture per l'organizzazione, l'innovazione e le tecnologie
1. Le pubbliche amministrazioni centrali garantiscono l'attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell'amministrazione definite dal Governo. A tale fine le predette amministrazioni individuano un centro di competenza cui afferiscono i compiti relativi a:
a) coordinamento strategico dello sviluppo dei sistemi informativi, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi dell'amministrazione;
c) indirizzo, coordinamento e monitoraggio della sicurezza informatica;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell'accessibilità anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;
e) analisi della coerenza tra l'organizzazione dell'amministrazione e l'utilizzo delle tecnologie dell'informazione e della comunicazione, al fine di migliorare la soddisfazione dell'utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell'azione amministrativa;
f) cooperazione alla revisione della riorganizzazione dell'amministrazione ai fini di cui alla lettera e);
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l'attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
i) promozione delle iniziative attinenti l'attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l'innovazione e le tecnologie;
j) pianificazione e coordinamento del processo di diffusione, all'interno dell'amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale e mandato informatico, e delle norme in materia di sicurezza, accessibilità e fruibilità.
Art. 18.
Conferenza permanente per l'innovazione tecnologica
1. È istituita la Conferenza permanente per l'innovazione tecnologica con funzioni di consulenza al Presidente del Consiglio dei Ministri, o al Ministro delegato per l'innovazione e le tecnologie, in materia di sviluppo ed attuazione dell'innovazione tecnologica nelle amministrazioni dello Stato.
2. La Conferenza permanente per l'innovazione tecnologica è presieduta da un rappresentante della Presidenza del Consiglio dei Ministri designato dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l'innovazione e le tecnologie; ne fanno parte il Presidente del Centro nazionale per l'informatica nella pubblica amministrazione (d'ora in poi CNIPA), i componenti del CNIPA, il Capo del Dipartimento per l'innovazione e le tecnologie, nonché i responsabili delle funzioni di cui all'articolo 17.
3. La Conferenza permanente per l'innovazione tecnologica si riunisce con cadenza almeno semestrale per la verifica dello stato di attuazione dei programmi in materia di innovazione tecnologica e del piano triennale di cui all'articolo 9 del decreto legislativo 12 febbraio 1993, n. 39.
4. Il Presidente del Consiglio dei Ministri, o il Ministro delegato per l'innovazione e le tecnologie, provvede, con proprio decreto, a disciplinare il funzionamento della Conferenza permanente per l'innovazione tecnologica.
5. La Conferenza permanente per l'innovazione tecnologica può sentire le organizzazioni produttive e di categoria.
6. La Conferenza permanente per l'innovazione tecnologica opera senza rimborsi spese o compensi per i partecipanti a qualsiasi titolo dovuti, compreso il trattamento economico di missione; dal presente articolo non devono derivare nuovi o maggiori oneri per il bilancio dello Stato.
Art. 19.
Banca dati per la legislazione in materia di pubblico impiego
1. È istituita presso la Presidenza del Consiglio dei Ministri - Dipartimento della funzione pubblica, una banca dati contenente la normativa generale e speciale in materia di rapporto di lavoro alle dipendenze delle pubbliche amministrazioni.
2. La Presidenza del Consiglio dei Ministri - Dipartimento della funzione pubblica, cura l'aggiornamento periodico della banca dati di cui al comma 1, tenendo conto delle innovazioni normative e della contrattazione collettiva successivamente intervenuta, e assicurando agli utenti la consultazione gratuita.
3. All'onere derivante dall'attuazione dei presente articolo si provvede ai sensi dell'articolo 21, comma 3, della legge 29 luglio 2003, n. 229.
Capo II
DOCUMENTO INFORMATICO E FIRME ELETTRONICHE; PAGAMENTI, LIBRI E SCRITTURE
Sezione I
Documento informatico
Art. 20.
Documento informatico
1. Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente codice ed alle regole tecniche di cui all'articolo 71.
2. Il documento informatico sottoscritto con firma elettronica qualificata o con firma digitale soddisfa il requisito legale della forma scritta se formato nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71 che garantiscano l'identificabilità dell'autore e l'integrità del documento.
3. Le regole tecniche per la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione temporale dei documenti informatici sono stabilite ai sensi dell'articolo 71; la data e l'ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle regole tecniche sulla validazione temporale.
4. Con le medesime regole tecniche sono definite le misure tecniche, organizzative e gestionali volte a garantire l'integrità, la disponibilità e la riservatezza delle informazioni contenute nel documento informatico.
5. Restano ferme le disposizioni di legge in materia di protezione dei dati personali.
Art. 21.
Valore probatorio del documento informatico sottoscritto
1. Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità e sicurezza.
2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.
3. L'apposizione ad un documento informatico di una firma digitale o di un altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione. La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.
4. Le disposizioni del presente articolo si applicano anche se la firma elettronica è basata su un certificato qualificato rilasciato da un certificatore stabilito in uno Stato non facente parte dell'Unione europea, quando ricorre una delle seguenti condizioni:
a) il certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, ed è accreditato in uno Stato membro;
b) il certificato qualificato è garantito da un certificatore stabilito nella Unione europea, in possesso dei requisiti di cui alla medesima direttiva;
c) il certificato qualificato, o il certificatore, è riconosciuto in forza di un accordo bilaterale o multilaterale tra l'Unione europea e Paesi terzi o organizzazioni internazionali.
5. Gli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto sono assolti secondo le modalità definite con uno o più decreti del Ministro dell'economia e delle finanze, sentito il Ministro delegato per l'innovazione e le tecnologie.
Art. 22.
Documenti informatici delle pubbliche amministrazioni
1. Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge.
2. Nelle operazioni riguardanti le attività di produzione, immissione, conservazione, riproduzione e trasmissione di dati, documenti ed atti amministrativi con sistemi informatici e telematici, ivi compresa l'emanazione degli atti con i medesimi sistemi, devono essere indicati e resi facilmente individuabili sia i dati relativi alle amministrazioni interessate, sia il soggetto che ha effettuato l'operazione.
3. Le copie su supporto informatico di documenti formati in origine su altro tipo di supporto sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte, se la loro conformità all'originale è assicurata dal funzionario a ciò delegato nell'ambito dell'ordinamento proprio dell'amministrazione di appartenenza, mediante l'utilizzo della firma digitale e nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71.
4. Le regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni sono definite ai sensi dell'articolo 71, di concerto con il Ministro per i beni e le attività culturali, nonché d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e sentito il Garante per la protezione dei dati personali.
Art. 23.
Copie di atti e documenti informatici
1. All'articolo 2712 del codice civile dopo le parole: «riproduzioni fotografiche» è inserita la seguente: «, informatiche».
2. I duplicati, le copie, gli estratti del documento informatico, anche se riprodotti su diversi tipi di supporto, sono validi a tutti gli effetti di legge, se conformi alle vigenti regole tecniche.
3. I documenti informatici contenenti copia o riproduzione di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, se ad essi è apposta o associata, da parte di colui che li spedisce o rilascia, una firma digitale o altra firma elettronica qualificata.
4. Le copie su supporto informatico di documenti originali non unici formati in origine su supporto cartaceo o, comunque, non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all'originale è assicurata dal responsabile della conservazione mediante l'utilizzo della propria firma digitale e nel rispetto delle regole tecniche di cui all'articolo 71.
5. Le copie su supporto informatico di documenti, originali unici, formati in origine su supporto cartaceo o, comunque, non informatico sostituiscono, ad ogni effetto di legge, gli originali da cui sono tratte se la loro conformità all'originale è autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche stabilite ai sensi dell'articolo 71.
6. La spedizione o il rilascio di copie di atti e documenti di cui al comma 3, esonera dalla produzione e dalla esibizione dell'originale formato su supporto cartaceo quando richieste ad ogni effetto di legge.
7. Gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche dettate ai sensi dell'articolo 71 di concerto con il Ministro dell'economia e delle finanze.
Sezione II
Firme elettroniche e certificatori
Art. 24.
Firma digitale
1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata.
2. L'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
3. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
4. Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell'articolo 71, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d'uso.
Art. 25.
Firma autenticata
1. Si ha per riconosciuta, ai sensi dell'articolo 2703 del codice civile, la firma digitale o altro tipo di firma elettronica qualificata autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato.
2. L'autenticazione della firma digitale o di altro tipo di firma elettronica qualificata consiste nell'attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità del certificato elettronico utilizzato e del fatto che il documento sottoscritto non è in contrasto con l'ordinamento giuridico.
3. L'apposizione della firma digitale o di altro tipo di firma elettronica qualificata da parte del pubblico ufficiale ha l'efficacia di cui all'articolo 24, comma 2.
4. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell'originale, secondo le disposizioni dell'articolo 23, comma 5.
Art. 26.
Certificatori
1. L'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all'articolo 26 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, e successive modificazioni.
2. L'accertamento successivo dell'assenza o del venir meno dei requisiti di cui al comma 1 comporta il divieto di prosecuzione dell'attività intrapresa.
3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri Stati membri dell'Unione europea non si applicano le norme del presente codice e le relative norme tecniche di cui all'articolo 71 e si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.
Art. 27.
Certificatori qualificati
1. I certificatori che rilasciano al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall'articolo 26.
2. I certificatori di cui al comma 1, devono inoltre:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
b) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del presente codice e le regole tecniche di cui all'articolo 71;
c) applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'articolo 35, comma 5;
e) adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi private nei casi in cui il certificatore generi tali chiavi.
3. I certificatori di cui al comma 1, devono comunicare, prima dell'inizio dell'attività, anche in via telematica, una dichiarazione di inizio di attività al CNIPA, attestante l'esistenza dei presupposti e dei requisiti previsti dal presente codice.
4. Il CNIPA procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti previsti dal presente codice e dispone, se del caso, con provvedimento motivato da notificare all'interessato, il divieto di prosecuzione dell'attività e la rimozione dei suoi effetti, salvo che, ove ciò sia possibile, l'interessato provveda a conformare alla normativa vigente detta attività ed i suoi effetti entro il termine prefissatogli dall'amministrazione stessa.
Art. 28.
Certificati qualificati
1. I certificati qualificati devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito;
d) nome, cognome o uno pseudonimo xxxxxxxxxxx identificato come tale e codice fiscale del titolare del certificato;
e) dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del certificato;
g) firma elettronica qualificata del certificatore che ha rilasciato il certificato.
2. In aggiunta alle informazioni di cui al comma 1, fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all'estero cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale.
3. Il certificato qualificato contiene, ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
b) limiti d'uso del certificato, ai sensi dell'articolo 30, comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.
4. Il titolare, ovvero il terzo interessato se richiedente ai sensi del comma 3, comunicano tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto delle informazioni di cui al presente articolo.
Art. 29.
Accreditamento
1. I certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono di essere accreditati presso il CNIPA.
2. Il richiedente deve rispondere ai requisiti di cui all'articolo 27, ed allegare alla domanda oltre ai documenti indicati nel medesimo articolo il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonché' l'impegno al rispetto delle regole tecniche.
3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre:
a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria ai sensi dell'articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385;
b) garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 del decreto legislativo 1° settembre 1993, n. 385.
4. La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.
5. Il termine di cui al comma 4, può essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità del CNIPA o che questo non possa acquisire autonomamente. In tale caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa.
6. A seguito dell'accoglimento della domanda, il CNIPA dispone l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal CNIPA stesso e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione.
7. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.
8. Sono equiparati ai certificatori accreditati ai sensi del presente articolo i certificatori accreditati in altri Stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE.
9. Alle attività previste dal presente articolo si fa fronte nell'ambito delle risorse del CNIPA, senza nuovi o maggiori oneri per la finanza pubblica.
Art. 30.
Responsabilità del certificatore
1. Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l'affidabilità del certificato è responsabile, se non prova d'aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento:
a) sull'esattezza e sulla completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;
b) sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;
c) sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi;
d) sull'adempimento degli obblighi a suo carico previsti dall'articolo 32.
2. Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano affidamento sul certificato stesso, dei danni provocati per effetto della mancata o non tempestiva registrazione della revoca o non tempestiva sospensione del certificato, secondo quanto previsto. dalle regole tecniche di cui all'articolo 71, salvo che provi d'aver agito senza colpa.
3. Il certificato qualificato può contenere limiti d'uso ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, perché i limiti d'uso o il valore limite siano riconoscibili da parte dei terzi e siano chiaramente evidenziati nel processo di verifica della firma secondo quanto previsto dalle regole tecniche di cui all'articolo 71. Il certificatore non è responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite.
Art. 31.
Vigilanza sull'attività di certificazione
1. Il CNIPA svolge funzioni di vigilanza e controllo sull'attività dei certificatori qualificati e accreditati.
Art. 32.
Obblighi del titolare e del certificatore
1. Il titolare del certificato di firma è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri ed a custodire e utilizzare il dispositivo di firma con la diligenza del buon padre di famiglia.
2. Il certificatore è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri, ivi incluso il titolare del certificato.
3. Il certificatore che rilascia, ai sensi dell'articolo 19, certificati qualificati deve inoltre:
a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi stabiliti dalle regole tecniche di cui all'articolo 71, nel rispetto del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;
c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo 71;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione;
f) non rendersi depositario di dati per la creazione della firma del titolare;
g) procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri del titolare medesimo, di perdita del possesso o della compromissione del dispositivo di firma, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni, secondo quanto previsto dalle regole tecniche di cui all'articolo 71;
h) garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonché garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati;
i) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;
j) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per dieci anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
k) non copiare, né conservare, le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione;
l) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che
possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il certificatore;
m) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.
4. Il certificatore è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.
5. Il certificatore raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l'informativa prevista dall'articolo 13 del decreto legislativo 30 giugno 2003, n. 196. I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono.
Art. 33.
Uso di pseudonimi
1. In luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l'obbligo di conservare le informazioni relative alla reale identità del titolare per almeno dieci anni dopo la scadenza del certificato stesso.
Art. 34.
Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati
1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni:
a) possono svolgere direttamente l'attività di rilascio dei certificati qualificati avendo a tale fine l'obbligo di accreditarsi ai sensi dell'articolo 29; tale attività può essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonché di categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti con l'Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto; con decreto del Presidente del Consiglio dei Ministri, su proposta dei Ministri per la funzione pubblica e per l'innovazione e le tecnologie e dei Ministri interessati, di concerto con il Ministro dell'economia e delle finanze, sono definite le categorie di terzi e le caratteristiche dei certificati qualificati;
b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa in materia di contratti pubblici.
2. Per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all'articolo 72.
3. Le regole tecniche concernenti la qualifica di pubblico ufficiale, l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate con decreti di cui all'articolo 71 di concerto con il Ministro per la funzione pubblica, con il Ministro della giustizia e con gli altri Ministri di volta in volta interessati, sulla base dei principi generali stabiliti dai rispettivi ordinamenti.
4. Nelle more della definizione delle specifiche norme tecniche di cui al comma 3, si applicano le norme tecniche vigenti in materia di firme digitali.
5. Entro ventiquattro mesi dalla data di entrata in vigore del presente codice le pubbliche amministrazioni devono dotarsi di idonee procedure informatiche e strumenti software per la verifica delle firme digitali secondo quanto previsto dalle regole tecniche di cui all'articolo 71.
Art. 35.
Dispositivi sicuri e procedure per la generazione della firma
1. I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi.
2. I dispositivi sicuri e le procedure di cui al comma 1 devono garantire l'integrità dei documenti informatici a cui la firma si riferisce. I documenti informatici devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma secondo quanto previsto dalle regole tecniche di cui all'articolo 71.
3. Il secondo periodo del comma 2 non si applica alle firme apposte con procedura automatica. L'apposizione di firme con procedura automatica è valida se l'attivazione della procedura medesima è chiaramente riconducibile alla volontà del titolare e lo stesso renda palese la sua adozione in relazione al singolo documento firmato automaticamente.
4. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione di cui al comma 5.
5. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall'allegato III della direttiva 1999/93/CE è accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, fissato con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell'economia e delle finanze. Lo schema nazionale la cui attuazione non deve determinare nuovi o maggiori oneri per il bilancio dello Stato ed individua l'organismo pubblico incaricato di accreditare i centri di valutazione e di certificare le valutazioni di sicurezza. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto.
6. La conformità ai requisiti di sicurezza dei dispositivi sicuri per la creazione di una firma qualificata a quanto prescritto dall'allegato III della direttiva 1999/93/CE è inoltre riconosciuta se certificata da un organismo all'uopo designato da un altro Stato membro e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della direttiva stessa.
Art. 36.
Revoca e sospensione dei certificati qualificati
1. Il certificato qualificato deve essere a cura del certificatore:
a) revocato in caso di cessazione dell'attività del certificatore salvo quanto previsto dal comma 2;
b) revocato o sospeso in esecuzione di un provvedimento dell'autorità;
c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare, secondo le modalità previste nel presente codice;
d) revocato o sospeso in presenza di cause limitative della capacità del titolare o di abusi o falsificazioni.
2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei casi previsti dalle regole tecniche di cui all'articolo 71.
3. La revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.
4. Le modalità di revoca o sospensione sono previste nelle regole tecniche di cui all'articolo 71.
Art. 37.
Cessazione dell'attività
1. Il certificatore qualificato o accreditato che intende cessare l'attività deve, almeno sessanta giorni prima della data di cessazione, darne avviso al CNIPA e informare senza indugio i titolari dei certificati da lui emessi specificando che tutti i certificati non scaduti al momento della cessazione saranno revocati.
2. Il certificatore di cui al comma 1 comunica contestualmente la rilevazione della documentazione da parte di altro certificatore o l'annullamento della stessa. L'indicazione di un certificatore sostitutivo evita la revoca di tutti i certificati non scaduti al momento della cessazione.
3. Il certificatore di cui al comma 1 indica altro depositario del registro dei certificati e della relativa documentazione.
4. Il CNIPA rende nota la data di cessazione dell'attività del certificatore accreditato tramite l'elenco di cui all'articolo 29, comma 6.
Sezione III
Contratti, pagamenti, libri e scritture
Art. 38.
Pagamenti informatici
1. Il trasferimento in via telematica di fondi tra pubbliche amministrazioni e tra queste e soggetti privati è effettuato secondo le regole tecniche stabilite ai sensi dell'articolo 71 di concerto con i Ministri per la funzione pubblica, della giustizia e dell'economia e delle finanze, sentiti il Garante per la protezione dei dati personali e la Banca d'Italia.
Art. 39.
Libri e scritture
1. I libri, i repertori e le scritture, ivi compresi quelli previsti dalla legge sull'ordinamento del notariato e degli archivi notarili, di cui sia obbligatoria la tenuta possono essere formati e conservati su supporti informatici in conformità alle disposizioni del presente codice e secondo le regole tecniche stabilite ai sensi dell'articolo 71.
Capo III
FORMAZIONE, GESTIONE E CONSERVAZIONE DEI DOCUMENTI INFORMATICI
Art. 40.
Formazione di documenti informatici
1. Le pubbliche amministrazioni che dispongono di idonee risorse tecnologiche formano gli originali dei propri documenti con mezzi informatici secondo le disposizioni di cui al presente codice e le regole tecniche di cui all'articolo 71.
2. Fermo restando quanto previsto dal comma 1, la redazione di documenti originali su supporto cartaceo, nonché la copia di documenti informatici sul medesimo supporto è consentita solo ove risulti necessaria e comunque nel rispetto del principio dell'economicità.
3. Con apposito regolamento, da emanarsi entro 180 giorni dalla data di entrata in vigore del presente codice, ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, sulla proposta dei Ministri delegati per la funzione pubblica, per l'innovazione e
le tecnologie e del Ministro per i beni e le attività culturali, sono individuate le categorie di documenti amministrativi che possono essere redatti in originale anche su supporto cartaceo in relazione al particolare valore di testimonianza storica ed archivistica che sono idonei ad assumere.
4. Il Presidente del Consiglio dei Ministri, con propri decreti, fissa la data dalla quale viene riconosciuto il valore legale degli albi, elenchi, pubblici registri ed ogni altra raccolta di dati concernenti stati, qualità personali e fatti già realizzati dalle amministrazioni, su supporto informatico, in luogo dei registri cartacei.
Art. 41.
Procedimento e fascicolo informatico
1. Le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le tecnologie dell'informazione e della comunicazione, nei casi e nei modi previsti dalla normativa vigente.
2. La pubblica amministrazione titolare del procedimento può raccogliere in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all'atto della comunicazione dell'avvio del procedimento ai sensi dell'articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalità per esercitare in via telematica i diritti di cui all'articolo 10 della citata legge 7 agosto 1990, n. 241.
3. Ai sensi degli articoli da 14 a 14-quinquies della legge 7 agosto 1990, n. 241, previo accordo tra le amministrazioni coinvolte, la conferenza dei servizi è convocata e svolta avvalendosi degli strumenti informatici disponibili, secondo i tempi e le modalità stabiliti dalle amministrazioni medesime.
Art. 42.
Dematerializzazione dei documenti delle pubbliche amministrazioni
1. Le pubbliche amministrazioni valutano in termini di rapporto tra costi e benefici il recupero su supporto informatico dei documenti e degli atti cartacei dei quali sia obbligatoria o opportuna la conservazione e provvedono alla predisposizione dei conseguenti piani di sostituzione degli archivi cartacei con archivi informatici, nel rispetto delle regole tecniche adottate ai sensi dell'articolo 71.
Art. 43.
Riproduzione e conservazione dei documenti
1. I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione sia effettuata in modo da garantire la conformità dei documenti agli originali e la loro conservazione nel tempo, nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71.
2. Restano validi i documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento già conservati mediante riproduzione su supporto fotografico, su supporto ottico o con altro processo idoneo a garantire la conformità dei documenti agli originali.
3. I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali.
4. Sono fatti salvi i poteri di controllo del Ministero per i beni e le attività culturali sugli archivi delle pubbliche amministrazioni e sugli archivi privati dichiarati di notevole interesse storico ai sensi delle disposizioni del decreto legislativo 22 gennaio 2004, n. 42.
Art. 44.
Requisiti per la conservazione dei documenti informatici
1. Il sistema di conservazione dei documenti informatici garantisce:
a) l'identificazione certa del soggetto che ha formato il documento e dell'amministrazione o dell'area organizzativa omogenea di riferimento di cui all'articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
b) l'integrità del documento;
c) la leggibilità e l'agevole reperibilità dei documenti e delle informazioni identificative, inclusi ì dati di registrazione e di classificazione originari;
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto.
Capo IV
TRASMISSIONE INFORMATICA DEI DOCUMENTI
Art. 45.
Valore giuridico della trasmissione
1. I documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo telematico o informatico, ivi compreso il fax, idoneo ad accertarne la fonte di provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale. 2. Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all'indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.
Art. 46.
Dati particolari contenuti nei documenti trasmessi
1. Al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, i documenti informatici trasmessi ad altre pubbliche amministrazioni per via telematica possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite.
Art. 47.
Trasmissione dei documenti attraverso la posta elettronica tra le pubbliche amministrazioni
1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono di norma mediante l'utilizzo della posta elettronica; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza.
2. Ai fini della verifica della provenienza le comunicazioni sono valide se:
a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;
b) ovvero sono dotate di protocollo informatizzato;
c) ovvero è comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all'articolo 71;
d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
3. Entro ventiquattro mesi dalla data di entrata in vigore del presente codice le pubbliche amministrazioni centrali provvedono a:
a) istituire almeno una casella di posta elettronica istituzionale ed una casella di posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, per ciascun registro di protocollo;
b) utilizzare la posta elettronica per le comunicazioni tra l'amministrazione ed i propri dipendenti, nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.
Art. 48.
Posta elettronica certificata
1. La trasmissione telematica di comunicazioni che necessitano di una ricevuta di invio e di una ricevuta di consegna avviene mediante la posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
2. La trasmissione del documento informatico per via telematica, effettuata mediante la posta elettronica certificata, equivale, nei casi consentiti dalla legge, alla notificazione per mezzo della posta.
3. La data e l'ora di trasmissione e di ricezione di un documento informatico trasmesso mediante posta elettronica certificata sono opponibili ai terzi se conformi alle disposizioni di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, ed alle relative regole tecniche.
Art. 49.
Segretezza della corrispondenza trasmessa per via telematica
1. Gli addetti alle operazioni di trasmissione per via telematica di atti, dati e documenti formati con strumenti informatici non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi a qualsiasi titolo informazioni anche in forma sintetica o per estratto sull'esistenza o sul contenuto di corrispondenza, comunicazioni o messaggi trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche.
2. Agli effetti del presente codice, gli atti, i dati e i documenti trasmessi per via telematica si considerano, nei confronti del gestore del sistema di trasporto delle informazioni, di proprietà del mittente sino a che non sia avvenuta la consegna al destinatario.
Capo V
DATI DELLE PUBBLICHE AMMINISTRAZIONI E SERVIZI IN RETE
Sezione I
Dati delle pubbliche amministrazioni
Art. 50.
Disponibilità dei dati delle pubbliche amministrazioni
1. I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l'uso delle tecnologie dell'informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall'ordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico.
2. Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui all'articolo 2, comma 6, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente, senza oneri a carico di quest'ultima, salvo il riconoscimento di eventuali costi eccezionali sostenuti dall'amministrazione cedente; è fatto comunque salvo il disposto dell'articolo 43, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.
3. Al fine di rendere possibile l'utilizzo in via telematica dei dati di una pubblica amministrazione da parte dei sistemi informatici di altre amministrazioni l'amministrazione titolare dei dati predispone, gestisce ed eroga i servizi informatici allo scopo necessari, secondo le regole tecniche del sistema pubblico di connettività di cui al decreto legislativo 28 febbraio 2005, n. 42.
Art. 51.
Sicurezza dei dati
1. Le norme di sicurezza definite nelle regole tecniche di cui all'articolo 71 garantiscono l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati.
2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.
Art. 52.
Accesso telematico ai dati e documenti delle pubbliche amministrazioni
1. L'accesso telematico a dati, documenti e procedimenti è disciplinato dalle pubbliche amministrazioni secondo le disposizioni del presente codice e nel rispetto delle disposizioni di legge e di regolamento in materia di protezione dei dati personali, di accesso ai documenti amministrativi, di tutela del segreto e di divieto di divulgazione. I regolamenti che disciplinano l'esercizio del diritto di accesso sono pubblicati su siti pubblici accessibili per via telematica.
Art. 53.
Caratteristiche dei siti
1. Le pubbliche amministrazioni centrali realizzano siti istituzionali su reti telematiche che rispettano i principi di accessibilità, nonché di elevata usabilità e reperibilità, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità dì consultazione, qualità, omogeneità ed interoperabilità.
2. Il CNIPA svolge funzioni consultive e di coordinamento sulla realizzazione e modificazione dei siti delle amministrazioni centrali.
3. Lo Stato promuove intese ed azioni comuni con le regioni e le autonomie locali affinché realizzino siti istituzionali con le caratteristiche di cui al comma 1.
Art. 54.
Contenuto dei siti delle pubbliche amministrazioni
1. I siti delle pubbliche amministrazioni centrali contengono necessariamente i seguenti dati pubblici:
a) l'organigramma, l'articolazione degli uffici, le attribuzioni e l'organizzazione di ciascun ufficio anche di livello dirigenziale non generale, nonché il settore dell'ordinamento giuridico riferibile all'attività da essi svolta, corredati dai documenti anche normativi di riferimento;
b) l'elenco delle tipologie di procedimento svolte da ciascun ufficio di livello dirigenziale non generale, il termine per la conclusione di ciascun procedimento ed ogni altro termine procedimentale, il nome del responsabile e l'unità organizzativa responsabile dell'istruttoria e di ogni altro adempimento procedimentale, nonché dell'adozione del provvedimento finale, come individuati ai sensi degli articoli 2, 4 e 5 della legge 7 agosto 1990, n. 241;
c) le scadenze e le modalità di adempimento dei procedimenti individuati ai sensi degli articoli 2 e 4 della legge 7 agosto 1990, n. 241;
d) l'elenco completo delle caselle di posta elettronica istituzionali attive, specificando anche se si tratta di una casella di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68;
e) le pubblicazioni di cui all'articolo 26 della legge 7 agosto 1990, n. 241, nonché i messaggi di informazione e di comunicazione previsti dalla legge 7 giugno 2000, n. 150;
f) l'elenco di tutti i bandi di gara e di concorso;
g) l'elenco dei servizi forniti in rete già disponibili e dei servizi di futura attivazione, indicando i tempi previsti per l'attivazione medesima.
2. Le amministrazioni che già dispongono di propri siti realizzano quanto previsto dal comma 1 entro ventiquattro mesi dalla data di entrata in vigore del presente codice.
3. I dati pubblici contenuti nei siti delle pubbliche amministrazioni sono fruibili in rete gratuitamente e senza necessità di autenticazione informatica.
4. Le pubbliche amministrazioni garantiscono che le informazioni contenute sui siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito.
Art. 55.
Consultazione delle iniziative normative del Governo
1. La Presidenza del Consiglio dei Ministri può pubblicare su sito telematico le notizie relative ad iniziative normative del Governo, nonché i disegni di legge di particolare rilevanza, assicurando forme di partecipazione del cittadino in conformità con le disposizioni vigenti in materia di tutela delle persone e di altri soggetti rispetto al trattamento di dati personali. La Presidenza del Consiglio dei Ministri può inoltre pubblicare atti legislativi e regolamentari in vigore, nonché i massimari elaborati da organi di giurisdizione.
2. Con decreto del Presidente del Consiglio dei Ministri sono individuate le modalità di partecipazione del cittadino alla consultazione gratuita in via telematica.
Art. 56.
Dati identificativi delle questioni pendenti dinanzi al giudice amministrativo e contabile
1. I dati identificativi delle questioni pendenti dinanzi al giudice amministrativo e contabile sono resi accessibili a chi vi abbia interesse mediante pubblicazione sul sistema informativo interno e sul sito istituzionale della rete Internet delle autorità emananti.
2. Le sentenze e le altre decisioni del giudice amministrativo e contabile, rese pubbliche mediante deposito in segreteria, sono contestualmente inserite nel sistema informativo interno e sul sito istituzionale della rete Internet, osservando le cautele previste dalla normativa in materia di tutela dei dati personali.
Art. 57.
Moduli e formulari
1. Le pubbliche amministrazioni provvedono a definire e a rendere disponibili anche per via telematica l'elenco della documentazione richiesta per i singoli procedimenti, i moduli e i formulari validi ad ogni effetto di legge, anche ai fini delle dichiarazioni sostitutive di certificazione e delle dichiarazioni sostitutive di notorietà.
2. Trascorsi ventiquattro mesi dalla data di entrata in vigore del presente codice, i moduli o i formulari che non siano stati pubblicati sul sito non possono essere richiesti ed i relativi procedimenti possono essere conclusi anche in assenza dei suddetti moduli o formulari.
Sezione II
Fruibilità dei dati
Art. 58.
Modalità della fruibilità del dato
1. Il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarità del dato.
2. Le pubbliche amministrazioni possono stipulare tra loro convenzioni finalizzate alla fruibilità informatica dei dati di cui siano titolari.
3. Il CNIPA definisce schemi generali di convenzioni finalizzate a favorire la fruibilità informatica dei dati tra le pubbliche amministrazioni centrali e, d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, tra le amministrazioni centrali medesime e le regioni e le autonomie locali.
Art. 59.
Dati territoriali
1. Per dato territoriale si intende qualunque informazione geograficamente localizzata.
2. È istituito il Comitato per le regole tecniche sui dati territoriali delle pubbliche amministrazioni, con il compito di definire le regole tecniche per la realizzazione delle basi dei dati territoriali, la documentazione, la fruibilità e lo scambio dei dati stessi tra le pubbliche amministrazioni centrali e locali in coerenza con le disposizioni del sistema pubblico di connettività di cui al decreto legislativo 28 febbraio 2005, n. 42.
3. Per agevolare la pubblicità dei dati di interesse generale, disponibili presso le pubbliche amministrazioni a livello nazionale, regionale e locale, presso il CNIPA è istituito il Repertorio nazionale dei dati territoriali.
4. Ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, con uno o più decreti sulla proposta del Presidente del Consiglio dei Ministri o, per sua delega, del Ministro per l'innovazione e le tecnologie, previa intesa con la Conferenza unificata di cui all'articolo 8 decreto legislativo 28 agosto 1997, n. 281, sono definite la composizione e le modalità per il funzionamento del Comitato di cui al comma 2.
5. Ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, con uno o più decreti sulla proposta del Presidente del Consiglio dei Ministri o, per sua delega, del Ministro per l'innovazione e le tecnologie, sentito il Comitato per le regole tecniche sui dati territoriali delle pubbliche amministrazioni, e sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 luglio 1998, n. 281, sono definite le regole tecniche per la definizione del contenuto del repertorio nazionale dei dati territoriali, nonché delle modalità di prima costituzione e di successivo aggiornamento dello stesso, per la formazione, la documentazione e lo scambio dei dati territoriali detenuti dalle singole amministrazioni competenti, nonché le regole ed i costi per l'utilizzo dei dati stessi tra le pubbliche amministrazioni centrali e locali e da parte dei privati.
6. La partecipazione al Comitato non comporta oneri né alcun tipo di spese ivi compresi compensi o gettoni di presenza. Gli eventuali rimborsi per spese di viaggio sono a carico delle amministrazioni direttamente interessate che vi provvedono nell'ambito degli ordinari stanziamenti di bilancio.
7. Agli oneri finanziari di cui al comma 3 si provvede con il fondo di finanziamento per i progetti strategici del settore informatico di cui all'articolo 27, comma 2, della legge 16 gennaio 2003, n. 3.
Art. 60.
Base di dati di interesse nazionale
1. Si definisce base di dati di interesse nazionale l'insieme delle informazioni raccolte e gestite digitalmente dalle pubbliche amministrazioni, omogenee per tipologia e contenuto e la cui conoscenza è utilizzabile dalle pubbliche amministrazioni per l'esercizio delle proprie funzioni e nel rispetto delle competenze e delle normative vigenti.
2. Ferme le competenze di ciascuna pubblica amministrazione, le basi di dati di interesse nazionale costituiscono, per ciascuna tipologia di dati, un sistema informativo unitario che tiene conto dei diversi livelli istituzionali e territoriali e che garantisce l'allineamento delle informazioni e l'accesso alle medesime da parte delle pubbliche amministrazioni interessate. La realizzazione di tali sistemi informativi e le modalità di aggiornamento sono attuate secondo le regole tecniche sul sistema pubblico di connettività di cui all'articolo 16 del decreto legislativo 28 febbraio 2005, n. 42.
3. Le basi di dati di interesse nazionale sono individuate con decreto del Presidente del Consiglio dei Ministri, su proposta del Presidente del Consiglio dei Ministri o del Ministro delegato per l'innovazione e le tecnologie, di concerto con i Ministri di volta in volta interessati, d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, nelle materie di competenza e sentito il Garante per la protezione dei dati personali. Con il medesimo decreto sono altresì individuate le strutture responsabili della gestione operativa di ciascuna base di dati e le caratteristiche tecniche del sistema informativo di cui al comma 2.
4. Agli oneri finanziari di cui al presente articolo si provvede con il fondo di finanziamento per i progetti strategici del settore informatico di cui all'articolo 27, comma 2, della legge 16 gennaio 2003, n. 3.
Art. 61.
Delocalizzazione dei registri informatici
1. Fermo restando il termine di cui all'articolo 40, comma 4, i pubblici registri immobiliari possono essere formati e conservati su supporti informatici in conformità alle disposizioni del presente codice, secondo le regole tecniche stabilite dall'articolo 71, nel rispetto delle normativa speciale e dei principi stabiliti dal codice civile. In tal caso i predetti registri possono essere conservati anche in luogo diverso dall'Ufficio territoriale competente.
Art. 62.
Indice nazionale delle anagrafi
1. L'Indice nazionale delle anagrafi (INA), di cui all'articolo 1 della legge 24 dicembre 1954, n. 1228, è realizzato con strumenti informatici.
Sezione III
Servizi in rete
Art. 63.
Organizzazione e finalità dei servizi in rete
1. Le pubbliche amministrazioni centrali individuano le modalità di erogazione dei servizi in rete in base a criteri di valutazione di efficacia, economicità ed utilità e nel rispetto dei principi di eguaglianza e non discriminazione, tenendo comunque presenti le dimensioni dell'utenza, la frequenza dell'uso e l'eventuale destinazione all'utilizzazione da parte di categorie in situazioni di disagio.
2. Le pubbliche amministrazioni centrali progettano e realizzano i servizi in rete mirando alla migliore soddisfazione delle esigenze degli utenti, in particolare garantendo la completezza del procedimento, la certificazione dell'esito e l'accertamento del grado di soddisfazione dell'utente.
3. Le pubbliche amministrazioni collaborano per integrare i procedimenti di rispettiva competenza al fine di agevolare gli adempimenti di cittadini ed imprese e rendere più efficienti i procedimenti che interessano più amministrazioni, attraverso idonei sistemi di cooperazione.
Art. 64.
Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni
1. La carta d'identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l'autenticazione informatica.
2. Le pubbliche amministrazioni possono consentire l'accesso ai servizi in rete da esse erogati che richiedono l'autenticazione informatica anche con strumenti diversi dalla carta d'identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano di accertare l'identità del soggetto che richiede l'accesso. L'accesso con carta d'identità elettronica e carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni.
3. Ferma restando la disciplina riguardante le trasmissioni telematiche gestite dal Ministero dell'economia e delle finanze e dalle agenzie fiscali, con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, è fissata la data, comunque non successiva al 31 dicembre 2007, a decorrere dalla quale non è più consentito l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni, con strumenti diversi dalla carta d'identità elettronica e dalla carta nazionale dei servizi.
Art. 65.
Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1. Le istanze e le dichiarazioni presentate alle pubbliche amministrazioni per via telematica ai sensi dell'articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale, il cui certificato è rilasciato da un certificatore accreditato;
b) ovvero, quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi, nei limiti di quanto stabilito da ciascuna amministrazione ai sensi della normativa vigente;
c) ovvero quando l'autore è identificato dal sistema informatico con i diversi strumenti di cui all'articolo 64, comma 2, nei limiti di quanto stabilito da ciascuna amministrazione ai sensi della normativa vigente e fermo restando il disposto dell'articolo 64, comma 3.
2. Le istanze e le dichiarazioni inviate secondo le modalità previste dal comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento.
3. Dalla data di cui all'articolo 64, comma 3, non è più consentito l'invio di istanze e dichiarazioni con le modalità di cui al comma 1, lettera c).
4. Il comma 2 dell'articolo 38 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente:
«2. Le istanze e le dichiarazioni inviate per via telematica sono valide se effettuate secondo quanto previsto dall'articolo 65 del decreto legislativo 7 marzo 2005, n. 82».
Sezione IV
Carte elettroniche
Art. 66.
Carta d'identità elettronica e carta nazionale dei servizi
1. Le caratteristiche e le modalità per il rilascio, della carta d'identità elettronica, e dell'analogo documento, rilasciato a seguito della denuncia di nascita e prima del compimento del quindicesimo anno di età, sono definite con decreto del Presidente del Consiglio dei Ministri, adottato su proposta del Ministro dell'interno, di concerto con il Ministro per la funzione pubblica, con il Ministro per l'innovazione e le tecnologie e con il Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281.
2. Le caratteristiche e le modalità per il rilascio, per la diffusione e l'uso della carta nazionale dei servizi sono definite con uno o più regolamenti, ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, adottati su proposta congiunta dei Ministri per la funzione pubblica e per l'innovazione e le tecnologie, di concerto con il Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997,
n. 281, nel rispetto dei seguenti principi:
a) all'emissione della carta nazionale dei servizi provvedono, su richiesta del soggetto interessato, le pubbliche amministrazioni che intendono rilasciarla;
b) l'onere economico di produzione e rilascio delle carte nazionale dei servizi è a carico delle singole amministrazioni che le emettono;
c) eventuali indicazioni di carattere individuale connesse all'erogazione dei servizi al cittadino, sono possibili nei limiti di cui al decreto legislativo 30 giugno 2003, n. 196;
d) le pubbliche amministrazioni che erogano servizi in rete devono consentirne l'accesso ai titolari delle carta nazionale dei servizi indipendentemente dall'ente di emissione, che è responsabile del suo rilascio;
e) la carta nazionale dei servizi può essere utilizzata anche per i pagamenti informatici tra soggetti privati e pubbliche amministrazioni, secondo quanto previsto dalla normativa vigente.
3. La carta d'identità elettronica e l'analogo documento, rilasciato a seguito della denuncia di nascita e prima del compimento del quindicesimo anno di età, devono contenere:
a) i dati identificativi della persona;
b) il codice fiscale.
4. La carta d'identità elettronica e l'analogo documento, rilasciato a seguito della denuncia di nascita e prima del compimento del quindicesimo anno di età, possono contenere, a richiesta dell'interessato ove si tratti di dati sensibili:
a) l'indicazione del gruppo sanguigno;
b) le opzioni di carattere sanitario previste dalla legge;
c) i dati biometrici indicati col decreto di cui al comma 1, con esclusione, in ogni caso, del DNA;
d) tutti gli altri dati utili al fine di razionalizzare e semplificare l'azione amministrativa e i servizi resi al cittadino, anche per mezzo dei portali, nel rispetto della normativa in materia di riservatezza;
e) le procedure informatiche e le informazioni che possono o debbono essere conosciute dalla pubblica amministrazione e da altri soggetti, occorrenti per la firma elettronica.
5. La carta d'identità elettronica e la carta nazionale dei servizi possono essere utilizzate quali strumenti di autenticazione telematica per l'effettuazione di pagamenti tra soggetti privati e pubbliche amministrazioni, secondo le modalità stabilite con le regole tecniche di cui all'articolo 71, di concerto con il Ministro dell'economia e delle finanze, sentita la Banca d'Italia.
6. Con decreto del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono dettate le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta di identità elettronica, del documento di identità elettronico e della carta nazionale dei servizi, nonché le modalità di impiego.
7. Nel rispetto della disciplina generale fissata dai decreti di cui al presente articolo e delle vigenti disposizioni in materia di protezione dei dati personali, le pubbliche amministrazioni, nell'ambito dei rispettivi ordinamenti, possono sperimentare modalità di utilizzazione dei documenti di cui al presente articolo per l'erogazione di ulteriori servizi o utilità.
8. Le tessere di riconoscimento rilasciate dalle amministrazioni dello Stato ai sensi del decreto del Presidente della Repubblica 28 luglio 1967, n. 851, possono essere realizzate anche con modalità elettroniche e contenere le funzionalità della carta nazionale dei servizi per consentire l'accesso per via telematica ai servizi erogati in rete dalle pubbliche amministrazioni.
Capo VI
SVILUPPO, ACQUISIZIONE E RIUSO DI SISTEMI INFORMATICI NELLE PUBBLICHE AMMINISTRAZIONI
Art. 67.
Modalità di sviluppo ed acquisizione
1. Le pubbliche amministrazioni centrali, per i progetti finalizzati ad appalti di lavori e servizi ad alto contenuto di innovazione tecnologica, possono selezionare uno o più proposte utilizzando il concorso di idee di cui all'articolo 57 del decreto del Presidente della Repubblica 21 dicembre 1999, n. 554.
2. Le amministrazioni appaltanti possono porre a base delle gare aventi ad oggetto la progettazione, o l'esecuzione, o entrambe, degli appalti di cui al comma 1, le proposte ideative acquisite ai sensi del comma 1, previo parere tecnico di congruità del CNIPA; alla relativa procedura è ammesso a partecipare, ai sensi dell'articolo 57, comma 6, del decreto del Presidente della Repubblica 21 dicembre 1999, n. 554, anche il soggetto selezionato ai sensi del comma 1, qualora sia in possesso dei relativi requisiti soggettivi.
Art. 68.
Analisi comparativa delle soluzioni
1. Le pubbliche amministrazioni, nel rispetto della legge 7 agosto 1990, n. 241, e del decreto legislativo 12 febbraio 1993, n. 39, acquisiscono, secondo le procedure previste dall'ordinamento, programmi informatici a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato:
a) sviluppo di programmi informatici per conto e a spese dell'amministrazione sulla scorta dei requisiti indicati dalla stessa amministrazione committente;
b) riuso di programmi informatici sviluppati per conto e a spese della medesima o di altre amministrazioni;
c) acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d'uso;
d) acquisizione di programmi informatici a codice sorgente aperto;
e) acquisizione mediante combinazione delle modalità di cui alle lettere da a) a d).
2. Le pubbliche amministrazioni nella predisposizione o nell'acquisizione dei programmi informatici, adottano soluzioni informatiche che assicurino l'interoperabilità e la cooperazione applicativa, secondo quanto previsto dal decreto legislativo 28 febbraio 2005, n. 42, e che consentano la rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto, salvo che ricorrano peculiari ed eccezionali esigenze.
3. Per formato dei dati di tipo aperto si intende un formato dati reso pubblico e documentato esaustivamente.
4. Il CNIPA istruisce ed aggiorna, con periodicità almeno annuale, un repertorio dei formati aperti utilizzabili nelle pubbliche amministrazioni e delle modalità di trasferimento dei formati.
Art. 69.
Riuso dei programmi informatici
1. Le pubbliche amministrazioni che siano titolari di programmi applicativi realizzati su specifiche indicazioni del committente pubblico, hanno obbligo di darli in formato sorgente, completi della documentazione disponibile, in uso gratuito ad altre pubbliche amministrazioni che li richiedono e che intendano adattarli alle proprie esigenze, salvo motivate ragioni.
2. Al fine di favorire il riuso dei programmi informatici di proprietà delle pubbliche amministrazioni, ai sensi del comma 1, nei capitolati o nelle specifiche di progetto è previsto ove possibile, che i programmi appositamente sviluppati per conto e a spese dell'amministrazione siano facilmente portabili su altre piattaforme.
3. Le pubbliche amministrazioni inseriscono, nei contratti per l'acquisizione di programmi informatici, di cui al comma 1, clausole che garantiscano il diritto di disporre dei programmi ai fini del riuso da parte della medesima o di altre amministrazioni.
4. Nei contratti di acquisizione di programmi informatici sviluppati per conto e a spese delle amministrazioni, le stesse possono includere clausole, concordate con il fornitore, che tengano conto delle caratteristiche economiche ed organizzative di quest'ultimo, volte a vincolarlo, per un determinato lasso di tempo, a fornire, su richiesta di altre amministrazioni, servizi che consentono il riuso delle applicazioni. Le clausole suddette definiscono le condizioni da osservare per la prestazione dei servizi indicati.
Art. 70.
Banca dati dei programmi informatici riutilizzabili
1. Il CNIPA, previo accordo con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, valuta e rende note applicazioni tecnologiche realizzate dalle pubbliche amministrazioni, idonee al riuso da parte di altre pubbliche amministrazioni.
2. Le pubbliche amministrazioni centrali che intendono acquisire programmi applicativi valutano preventivamente la possibilità di riuso delle applicazioni analoghe rese note dal CNIPA ai sensi del comma 1, motivandone l'eventuale mancata adozione.
CAPO VII REGOLE TECNICHE
Art. 71.
Regole tecniche
1. Le regole tecniche previste nel presente codice sono dettate, con decreti del Presidente del Consiglio dei Ministri o del Ministro delegato per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e con le amministrazioni di volta in volta indicate nel presente codice, sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, ed il Garante per la protezione dei dati personali nelle materie di competenza, in modo da garantire la coerenza tecnica con le regole tecniche sul sistema pubblico di connettività di cui all'articolo 16 del decreto legislativo 28 febbraio 2005, n. 42, e con le regole di cui al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196.
2. Le regole tecniche vigenti nelle materie del presente codice restano in vigore fino all'adozione delle regole tecniche adottate ai sensi del presente articolo.
CAPO VIII
DISPOSIZIONI TRANSITORIE FINALI E ABROGAZIONI
Art. 72.
Norme transitorie per la firma digitale
1. I documenti sottoscritti con firma digitale basata su certificati rilasciati da certificatori iscritti nell'elenco pubblico già tenuto dall'Autorità per l'informatica nella pubblica amministrazione sono equivalenti ai documenti sottoscritti con firma digitale basata su certificati rilasciati da certificatori accreditati.
Art. 73.
Aggiornamenti
1. La Presidenza del Consiglio dei Ministri adotta gli opportuni atti di indirizzo e di coordinamento per assicurare che i successivi interventi normativi, incidenti sulle materie oggetto di riordino siano attuati esclusivamente mediante la modifica o l'integrazione delle disposizioni contenute nel presente codice.
Art. 74.
Oneri finanziari
1. All'attuazione del presente decreto si provvede nell'ambito delle risorse previste a legislazione vigente.
Art. 75.
Abrogazioni
1. Dalla data di entrata in vigore del presente testo unico sono abrogati:
a) il decreto legislativo 23 gennaio 2002, n. 10;
b) gli articoli 1, comma 1, lettere t), u), v), z), aa), bb), cc), dd), ee), ff), gg), hh), ii), ll), mm), nn), oo); 2, comma 1, ultimo periodo, 6; 8; 9; 10; 11; 12; 13; 14; 17; 20; 22; 23; 24; 25; 26; 27; 27-bis; 28; 28-bis; 29; 29-bis; 29-ter; 29-quater; 29-quinquies; 29-sexies; 29-septies; 29-octies; 36, commi 1, 2, 3, 4, 5 e 6; 51; del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A);
c) l'articolo 26 comma 2, lettera a), e), h), della legge 27 dicembre 2002, n. 289;
d) articolo 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3;
e) gli articoli 16, 17, 18 e 19 della legge 29 luglio 2003, n. 229.
2. Le abrogazioni degli articoli 2, comma 1, ultimo periodo, 6, commi 1 e 2; 10; 36, commi 1, 2, 3, 4, 5 e 6; del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A), si intendono riferite anche al decreto legislativo 28 dicembre 2000, n. 443 (Testo B).
3. Le abrogazioni degli articoli 1, comma 1, lettere t), u), v), z), aa), bb), cc), dd), ee), ff), gg), hh), ii), ll), mm), nn), oo); 6, commi 3 e 4; 8; 9; 11; 12; 13; 14; 17; 20; 22; 23; 24; 25; 26; 27; 27-bis; 28; 28-bis; 29; 29-bis; 29-ter; 29-quater; 29-quinquies; 29-sexies; 29-septies; 29-octies; 51; del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A), si intendono riferite anche al decreto del Presidente della Repubblica 28 dicembre 2000, n. 444 (Testo C).
Art. 76.
Entrata in vigore del codice
1. Le disposizioni del presente codice entrano in vigore a decorrere dal 1° gennaio 2006.
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 22 febbraio 2013
(in Gazz. Uff., 21 maggio 2013, n. 117)
Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71.
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante il Codice dell'amministrazione digitale e, in Particolare, gli articoli 20, comma 3, 24 comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71;
Visto il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante Codice in materia di protezione dei dati personali;
Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009, recante le regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici, pubblicato nella Gazzetta Ufficiale 6 giugno 2009, n. 129;
Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n. 83, recante «Misure urgenti per la crescita del Paese», convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, con cui è stato soppresso DigitPA, le cui funzioni sono state attribuite all'Agenzia per l'Italia digitale;
Visto il decreto del Presidente della Repubblica in data 29 novembre 2011, con il quale il Presidente Xxxxxxx Xxxxxxx Xxxxxx è stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei Ministri del 4 dicembre 2011, con il quale al predetto Ministro senza portafoglio è stato conferito l'incarico per la pubblica amministrazione e la semplificazione;
Visto il decreto del Presidente del Consiglio dei Ministri 13 dicembre 2011 recante delega di funzioni del Presidente del Consiglio dei Ministri al Ministro senza portafoglio,
Presidente Xxxxxxx Xxxxxxx Xxxxxx, in materia di pubblica amministrazione e semplificazione, tra cui, in raccordo con il Ministro delegato per l'innovazione tecnologica e lo sviluppo della società dell'informazione, xxxx. Xxxxxxxxx Xxxxxxx, le funzioni in materia di disciplina delle innovazioni connesse all'uso delle tecnologie dell'informazione e della comunicazione nelle pubbliche amministrazioni e nei relativi sistemi informatici e di telecomunicazione, nonché di adeguamento, per amministrazioni ed enti pubblici, della normativa vigente relativa all'organizzazione e alle procedure in ragione dell'uso delle predette tecnologie;
Rilevata la necessità di sostituire il citato decreto del Presidente del Consiglio dei Ministri del 30 marzo 2009, in considerazione delle modifiche apportate alla disciplina delle firme elettroniche contenuta nel Codice dell'amministrazione dal decreto legislativo 30 dicembre 2010, n. 235;
Acquisito il parere tecnico di DigitPA di cui al decreto legislativo 1° dicembre 2009, n. 177 e successive modificazioni; Sentito il Garante per la protezione dei dati personali;
Sentita la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281 nella seduta del 19 gennaio 2012;
Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, attuata con decreto legislativo 23 novembre 2000, n. 427;
Di concerto con il Ministro dell'istruzione, dell’università e della ricerca; Decreta:
Titolo I DISPOSIZIONI GENERALI
Art.1 Definizioni
1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute nell'art. 1 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni. Si intende, inoltre, per:
a) Codice: il Codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni;
b) chiavi: la coppia di xxxxxx asimmetriche come definite all'art. 1, comma 1, lettere h) e i), del Codice;
c) Agenzia: l'Agenzia per l'Italia Digitale, di cui gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n. 83;
d) compromissione della chiave privata: la sopravvenuta assenza di affidabilità nelle caratteristiche di sicurezza della chiave crittografica privata;
e) dati per la creazione della firma elettronica qualificata o digitale: l'insieme dei codici personali e delle altre quantità di sicurezza, quali le chiavi crittografiche private, utilizzate dal firmatario per creare una firma elettronica qualificata o una firma digitale;
f) evidenza informatica: una sequenza di simboli binari (bit) che può essere elaborata da una procedura informatica;
g) funzione di hash: una funzione matematica che genera, a partire da una evidenza informatica, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, ricostruire l'evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti;
h) impronta di una sequenza di simboli binari (bit): la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash;
i) marca temporale: il riferimento temporale che consente la validazione temporale e che dimostra l'esistenza di un'evidenza informatica in un tempo certo;
l) registro dei certificati: la combinazione di uno o più archivi informatici, tenuto dal certificatore, contenente tutti i certificati emessi;
m) riferimento temporale: evidenza informatica, contenente la data e l'ora, che viene associata ad uno o più documenti informatici;
n) dispositivi sicuri per la generazione della firma elettronica qualificata: mezzi sui quali il firmatario può conservare un controllo esclusivo la cui conformità è accertata ai sensi dell'art. 12;
o) dispositivi sicuri per la generazione della firma digitale: mezzi sui quali il firmatario può conservare un controllo esclusivo la cui conformità è accertata ai sensi dell'art. 13;
p) HSM: insieme di hardware e software che realizza dispositivi sicuri per la generazione delle firme in grado di gestire in modo sicuro una o più coppie di chiavi crittografiche;
q) firma remota: particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse;
r) firma automatica: particolare procedura informatica di firma elettronica qualificata o di firma digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, in assenza di presidio puntuale e continuo da parte di questo;
s) certificato di attributo: certificato elettronico contenente le qualifiche di cui all'art. 28, comma 3, lettera a) del Codice, possedute da un soggetto;
t) soluzioni di firma elettronica avanzata: soluzioni strumentali alla generazione e alla verifica della firma elettronica avanzata di cui all'art. 1, comma 1, lettera q-bis) del Codice.
Art.2
Ambito di applicazione
1. Il presente decreto stabilisce, ai sensi degli articoli 20, 24, comma 4, 27, 28, 29, 32, 33, 35, comma 2, e 36, le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, per la validazione temporale, nonché per lo svolgimento delle attività dei certificatori qualificati.
2. Le disposizioni di cui al Titolo II si applicano ai certificatori che rilasciano al pubblico certificati qualificati in conformità al Codice.
3. Ai certificatori accreditati o che intendono accreditarsi ai sensi del Codice, si applicano, oltre a quanto previsto dal comma 2, anche le disposizioni di cui al Titolo III.
4. I certificatori accreditati rendono disponibile ai propri titolari un sistema di validazione temporale conforme alle disposizioni di cui al Titolo IV.
5. Le disposizioni di cui al Titolo V si applicano ai soggetti che intendono realizzare soluzioni di firma elettronica avanzata di cui all'art. 1, comma 1, lettera q-bis) del Codice. Non si applicano a soluzioni di firma elettronica qualificata e digitale.
6. Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione europea e dello spazio economico europeo in conformità alle norme nazionali di recepimento della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, pubblicata nella Gazzetta Ufficiale dell'Unione europea, Serie L, n. 13 del 19 gennaio 2000, è consentito di circolare liberamente nel mercato interno.
Art.3 Disposizioni generali
1. La firma elettronica qualificata è generata esclusivamente con i dispositivi di cui all'art. 1, comma 1, lettere n) e p).
2. La firma digitale è generata con i dispositivi di cui all'art. 1, comma 1, lettere o) e p).
3. Le presenti regole tecniche definiscono le caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale ai fini e per gli effetti di cui all'art. 20, comma 1-bis, e 21, comma 2, del Codice.
4. La firma remota di cui all'art. 1, comma 1, lettera q), è generata su un HSM custodito e gestito, sotto la responsabilità, dal certificatore accreditato ovvero dall'organizzazione di appartenenza dei titolari dei certificati che ha richiesto i certificati medesimi ovvero dall'organizzazione che richiede al certificatore di fornire certificati qualificati ad altri soggetti al fine di dematerializzare lo scambio documentale con gli stessi. Il certificatore deve essere in grado, dato un certificato qualificato, di individuare agevolmente il dispositivo afferente la corrispondente chiave privata.
5. Nel caso in cui il dispositivo di cui al comma 4 non sia custodito dal certificatore, egli deve:
a) indicare al soggetto che custodisce il dispositivo le procedure operative, gestionali e le misure di sicurezza fisica e logica che tale soggetto è obbligato ad applicare;
b) effettuare verifiche periodiche sulla corretta applicazione delle indicazioni di cui alla lettera a), che il soggetto che custodisce il dispositivo ha l'obbligo di consentire ed agevolare;
c) redigere i verbali dell’attività di verifica di cui alla lettera b) che potranno essere richiesti in copia dall'Agenzia ai fini dell’attività di cui all'art. 31 del Codice;
d) comunicare all'Agenzia il luogo in cui i medesimi dispositivi sono custoditi;
e) effettuare ulteriori verifiche su richiesta dell'Agenzia consentendo di partecipare anche ad incaricati dello stesso ente;
f) assicurare che il soggetto che custodisce il dispositivo si impegni a consentire le verifiche di cui alle lettere b) ed e).
6. Nel caso in cui il certificatore venga a conoscenza dell'inosservanza di quanto previsto al comma 5, procede alla revoca dei certificati afferenti le chiavi private custodite sui dispositivi oggetto dell'inadempienza.
7. La firma remota di cui all'art. 1, comma 1, lettera q), è realizzata con misure tecniche ed organizzative, esplicitamente approvate, per le rispettive competenze, dall'Agenzia, nell'ambito delle attività di cui agli articoli 29 e 31 del Codice, e da OCSI, per quanto concerne la sicurezza del dispositivo ai sensi dell'art. 35 del Codice, tali da garantire al titolare il controllo esclusivo della chiave privata.
Titolo II
FIRME ELETTRONICHE QUALIFICATE E DIGITALI
Art.4
Norme tecniche di riferimento
1. Le regole tecniche relative ai dispositivi sicuri per la generazione delle firme di cui all'art. 35 del Codice sono conformi alle norme generalmente riconosciute a livello internazionale.
2. Gli algoritmi di generazione e verifica della firma elettronica qualificata e della firma digitale, le caratteristiche delle chiavi utilizzate, le funzioni di hash, i formati e le caratteristiche dei certificati qualificati e dei certificati di attributo, i formati e le caratteristiche della firma elettronica qualificata e della firma digitale, delle marche temporali, le caratteristiche delle applicazioni di verifica di cui all'art. 14, il formato dell'elenco di cui all'art. 43 del presente decreto, le modalità con cui rendere disponibili le informazioni sullo stato dei certificati, sono definiti, anche ai fini del riconoscimento e della verifica del documento informatico, con provvedimenti dell'Agenzia e pubblicati sul sito internet dello stesso ente. Nelle more dell'emanazione di tali provvedimenti continua ad applicarsi la deliberazione del Centro nazionale per l'informatica nella pubblica amministrazione n. 45 del 21 maggio 2009 e successive modificazioni.
3. Il documento informatico, sottoscritto con firma elettronica qualificata o firma digitale, non soddisfa il requisito di immodificabilità del documento previsto dall'art. 21, comma 2, del Codice, se contiene macroistruzioni, codici eseguibili o altri elementi, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.
Art.5 Caratteristiche generali delle chiavi
1. Una coppia di chiavi per la creazione e la verifica della firma elettronica qualificata o della firma digitale può essere attribuita ad un solo titolare.
2. Se il soggetto appone la sua firma elettronica qualificata o firma digitale per mezzo di una procedura automatica ai sensi dell'art. 35, comma 3 del Codice, deve utilizzare una coppia di chiavi destinata a tale scopo, diversa da tutte le altre in suo possesso. L'utilizzo di tale procedura deve essere indicato esplicitamente nel certificato qualificato.
3. Se la procedura automatica di cui al comma 2 fa uso di un insieme di dispositivi sicuri per la generazione della firma elettronica qualificata o firma digitale del medesimo soggetto, deve essere utilizzata una coppia di chiavi diversa per ciascun dispositivo utilizzato dalla procedura automatica.
4. Ai fini del presente decreto, le chiavi afferenti i certificati qualificati ed i correlati servizi, si distinguono secondo le seguenti tipologie:
a) chiavi di sottoscrizione, destinate alla generazione e verifica della firma elettronica qualificata o della firma digitale apposta o associata ai documenti;
b) chiavi di certificazione, utilizzabili per la generazione e verifica delle firme apposte o associate ai certificati qualificati, per la sottoscrizione delle informazioni sullo stato di validità dei certificati, per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale;
c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali;
d) xxxxxx dedicate alla sottoscrizione delle informazioni sullo stato di validità dei certificati;
e) chiavi destinate alla sottoscrizione del separato certificato di attributo.
5. Non è consentito l'uso di una coppia di chiavi per funzioni diverse da quelle previste per ciascuna tipologia dal comma 4, salvo che, con riferimento esclusivo alle chiavi di cui al medesimo comma 4, lettera b), l'Agenzia non ne autorizzi l'utilizzo per altri scopi.
6. Le caratteristiche quantitative e qualitative delle chiavi sono tali da garantire un adeguato livello di sicurezza in rapporto allo stato delle conoscenze scientifiche e tecnologiche, in conformità con quanto indicato nei provvedimenti di cui all'art. 4, comma 2.
7. L'uso delle chiavi di cui al comma 4, lettera d), e il profilo del certificato alle stesse associato sono definiti con il provvedimento di cui all'art. 4, comma 2. A tali chiavi dovrà essere associato un certificato sottoscritto con le stesse chiavi di certificazione con cui sono sottoscritti i certificati di cui si forniscono informazioni sullo stato di validità.
Art.6 Generazione delle chiavi
1. La generazione della coppia di chiavi è effettuata mediante dispositivi e procedure che assicurano, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicità e un adeguato livello di sicurezza della coppia generata, nonché la segretezza della chiave privata.
2. Il sistema di generazione della coppia di chiavi comunque assicura:
a) la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati;
b) l'utilizzo di algoritmi che consentano l'equiprobabilità di generazione di tutte le coppie possibili;
c) l'autenticazione informatica del soggetto che attiva la procedura di generazione.
Art.7
Modalità di generazione delle chiavi
1. Le chiavi di cui all'art. 5, comma 4, lettere b) e d) possono essere generate esclusivamente in presenza del responsabile del servizio.
2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.
3. La generazione delle chiavi di sottoscrizione effettuata autonomamente dal titolare, avviene all'interno del dispositivo sicuro per la generazione delle firme, che è rilasciato o indicato dal certificatore, con modalità atte ad impedire che la medesima chiave possa essere associata a più certificati.
4. Il certificatore è tenuto ad assicurarsi che il dispositivo sicuro per la generazione della firma elettronica qualificata, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'art. 35 del Codice e agli articoli 11 e 12 del presente decreto e a fornire all'Agenzia gli elementi necessari ai fini delle verifiche e dei controlli di cui all'art. 31 del Codice.
5. Il certificatore è tenuto ad assicurarsi che il dispositivo sicuro per la generazione della firma digitale, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'art. 35 del Codice e agli articoli 11 e 13 del presente decreto e a fornire all'Agenzia gli elementi necessari ai fini delle verifiche e dei controlli di cui all'art. 31 del Codice.
6. Il titolare è tenuto ad utilizzare esclusivamente il dispositivo sicuro per la generazione delle firme fornito dal certificatore, ovvero un dispositivo scelto tra quelli indicati dal certificatore stesso.
Art.8
Conservazione delle chiavi e dei dati per la creazione della firma elettronica qualificata o digitale
1. Fatto salvo quanto disposto ai commi 2, 3 e 4, è vietata la duplicazione della chiave privata e dei dispositivi che la contengono.
2. Per fini particolari di sicurezza, è consentito che le chiavi di certificazione vengano esportate, purché ciò avvenga con modalità tali da non ridurre il livello di sicurezza e di riservatezza delle chiavi stesse.
3. Per la firma remota, è consentita l'esportazione sicura delle chiavi private di cui all'art. 5, comma 4, lettera a) presenti su HSM al di fuori del dispositivo stesso, esclusivamente per motivi di ripristino in caso di guasto o di aggiornamento del dispositivo in uso, purché protette con algoritmi crittografici ritenuti adeguati ai fini della certificazione e purché le operazioni di esportazione e importazione delle chiavi siano effettuate mediante funzionalità di sicurezza certificate implementate dai dispositivi sicuri di firma. La conservazione delle chiavi esportate deve avvenire nell'ambiente operativo del dispositivo sicuro di firma, sottoposta a opportune misure di sicurezza di tipo fisico e procedurale che debbono essere descritte, in forma di obiettivi o ipotesi per l'ambiente, nel relativo traguardo di sicurezza.
4. Per la firma remota, è consentita la replicazione in sicurezza delle chiavi private di cui all'art. 5, comma 4, lettera a) presenti su HSM, al fine di realizzare una configurazione ad alta affidabilità del dispositivo sicuro di firma, a condizione che tale configurazione rientri tra quelle sottoposte a certificazione ai sensi degli articoli 12 o 13. L'operazione di replicazione deve prevedere la protezione delle chiavi con algoritmi crittografici ritenuti adeguati ai fini della certificazione ed essere effettuata mediante funzionalità di sicurezza certificate implementate dal dispositivo sicuro di firma. Le chiavi replicate debbono essere conservate all'interno di dispositivi certificati con le stesse caratteristiche di sicurezza e controllati dal dispositivo certificato di origine, collocati nello stesso ambiente operativo o in altro ambiente con equivalente livello di sicurezza. Solo uno dei dispositivi fisici in questa configurazione deve essere abilitato ad effettuare le operazioni di firma.
5. Il titolare della coppia di chiavi:
a) assicura la custodia del dispositivo sicuro per la generazione della firma in suo possesso e adotta le misure di sicurezza fornite dal certificatore al fine di adempiere agli obblighi di cui all'art. 32, comma 1, del Codice;
b) conserva le informazioni di abilitazione all'uso della chiave privata separatamente dal dispositivo contenente la chiave e segue le indicazioni fornite dal certificatore;
c) richiede immediatamente la revoca dei certificati qualificati relativi alle chiavi contenute in dispositivi sicuri per la generazione della firma elettronica qualificata o della firma digitale inutilizzabili o di cui abbia perduto il possesso o il controllo esclusivo;
d) salvo quanto previsto dai commi 3 e 4, mantiene in modo esclusivo la conoscenza o la disponibilità di almeno uno dei dati per la creazione della firma elettronica qualificata o digitale;
e) richiede immediatamente la revoca dei certificati qualificati relativi alle chiavi contenute in dispositivi sicuri per la generazione della firma elettronica qualificata o della firma digitale qualora abbia il ragionevole dubbio che essi possano essere usati da altri.
Art.9
Generazione delle chiavi di sottoscrizione al di fuori del dispositivo di firma
1. Il certificatore, se la certificazione del dispositivo di firma lo consente, può utilizzare un sistema diverso da quello destinato all'uso della chiave privata per la generazione delle chiavi di sottoscrizione.
2. Il certificatore descrive dettagliatamente il sistema di cui al comma 1 nel piano della sicurezza, di cui all'art. 35.
Art.10
Sicurezza del sistema di generazione delle chiavi diverso dal dispositivo di firma
1. Se la generazione delle chiavi di sottoscrizione avviene su un sistema di cui all'art. 9, il sistema di generazione assicura:
a) l'impossibilità di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l'esecuzione della procedura;
b) il trasferimento della chiave privata, in condizioni di massima sicurezza, nel dispositivo di firma in cui verrà utilizzata.
2. Il sistema di generazione è isolato, dedicato esclusivamente a questa attività ed adeguatamente protetto.
3. L'accesso al sistema è controllato e ciascun utente è preventivamente identificato per l'accesso fisico e autenticato per l'accesso logico. Ogni sessione di lavoro è registrata nel giornale di controllo.
4. Il sistema è dotato di strumenti di controllo della propria configurazione che consentono di verificare l'autenticità e l'integrità del software installato e l'assenza di programmi non previsti dalla procedura e di dati residuali provenienti dalla generazione di coppie di chiavi precedenti che possano inficiare l'equiprobabilità della generazione di quelle successive.
Art.11
Dispositivi sicuri e procedure per la generazione delle firme elettroniche qualificate e delle firme digitali
1. La generazione delle firme elettroniche qualificate e delle firme digitali avviene all'interno di un dispositivo sicuro per la generazione delle firme, in maniera tale che non sia possibile l'intercettazione della chiave privata utilizzata.
2. Il dispositivo sicuro per la generazione della firma elettronica qualificata o della firma digitale deve poter essere attivato esclusivamente dal titolare mediante sistemi di autenticazione ritenuti adeguati, secondo le rispettive competenze, dall'OCSI e dall'Agenzia, prima di procedere alla generazione della firma.
3. L'Agenzia, nell'ambito dell'attività di cui agli articoli 29 e 31 del Codice, valuta l'adeguatezza tecnologica dei sistemi di autenticazione per quanto concerne l'interazione fra il titolare e il dispositivo sicuro per la generazione della firma, tenuto conto del traguardo di sicurezza di cui al DPCM 30 ottobre 2003 e del contesto di utilizzo.
4. La personalizzazione del dispositivo sicuro per la generazione della firma elettronica qualificata o della firma digitale garantisce almeno:
a) l'acquisizione da parte del certificatore dei dati identificativi del dispositivo sicuro per la generazione della firma elettronica qualificata o della firma digitale utilizzato e la loro associazione al titolare;
b) la registrazione nel dispositivo sicuro per la generazione della firma elettronica qualificata o della firma digitale del certificato qualificato, relativo alle chiavi di sottoscrizione del titolare.
5. La personalizzazione del dispositivo sicuro per la generazione delle firme elettroniche qualificate o digitali può prevedere, per l'utilizzo nelle procedure di firma, la registrazione, nel dispositivo medesimo, del certificato elettronico relativo alla chiave pubblica del certificatore la cui corrispondente privata è stata utilizzata per sottoscrivere il certificato qualificato relativo alle chiavi di sottoscrizione del titolare.
6. La personalizzazione del dispositivo sicuro per la generazione delle firme elettroniche qualificate o digitali è registrata nel giornale di controllo di cui all'art. 36.
7. Il certificatore adotta, nel processo di personalizzazione del dispositivo sicuro per la generazione delle firme elettroniche qualificate e digitali, procedure atte ad identificare il titolare del dispositivo medesimo e dei certificati in esso contenuti.
8. I certificatori che rilasciano certificati qualificati forniscono almeno un sistema che consenta la generazione delle firme elettroniche qualificate e digitali.
Art.12
Ulteriori requisiti per i dispositivi sicuri per la generazione della firma elettronica qualificata
1. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma elettronica qualificata, anche remota o automatica, prevista dall'art. 35 del Codice è effettuata secondo criteri non inferiori a quelli previsti:
a) dal livello EAL 4+ della norma ISO/IEC 15408, in conformità ai profili di protezione indicati nella decisione della Commissione europea 14 luglio 2003 e successive modificazioni;
b) dal livello EAL 4+ della norma ISO/IEC 15408, in conformità ai profili di protezione o traguardi di sicurezza giudicati adeguati ai sensi dell'art. 35, commi 5 e 6 del Codice e successive modificazioni.
Art.13
Ulteriori requisiti per i dispositivi sicuri per la generazione della firma digitale
1. Salvo quanto disposto al comma 2, la certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma digitale è effettuata ai sensi dell'art. 12.
2. L'organismo di certificazione della sicurezza informatica può individuare ulteriori modalità di verifica della conformità ai requisiti di sicurezza dei dispositivi sicuri per la creazione di una firma digitale remota ai sensi dell'art. 35, commi 1 e 2 del Codice.
3. I certificati qualificati afferenti chiavi private custodite nei dispositivi di cui al comma 2, non devono contenere l'estensione qcStatements id-etsi-qcs-QcSSCD.
Art.14
Verifica delle firme elettroniche qualificate e digitali
1. I certificatori che rilasciano certificati qualificati forniscono ovvero indicano almeno un sistema che consenta di effettuare la verifica delle firme elettroniche qualificate e delle firme digitali, conforme a quanto stabilito con i provvedimenti di cui all'art. 4, comma 2.
2. Il sistema di verifica delle firme elettroniche qualificate e digitali deve quantomeno:
a) presentare, almeno sinteticamente, lo stato di aggiornamento delle informazioni di validità dei certificati di certificazione presenti nell'elenco pubblico;
b) visualizzare le informazioni presenti nel certificato qualificato, in attuazione di quanto stabilito nell'art. 28, comma 3, del Codice, nonché le estensioni obbligatorie nel certificato qualificato (qcStatements), indicate nei provvedimenti di cui all'art. 4, comma 2;
c) consentire l'aggiornamento, per via telematica, delle informazioni pubblicate nell'elenco pubblico dei certificatori;
d) in caso di firme multiple, visualizzare l'eventuale dipendenza tra queste;
e) visualizzare chiaramente l'esito della verifica dello stato dei certificati qualificati e di eventuali certificati di attributo secondo le modalità indicate nei provvedimenti di cui all'art. 4, comma 2;
f) evidenziare l'eventuale modifica del documento informatico dopo la sottoscrizione dello stesso;
g) consentire di salvare il risultato dell'operazione di verifica su un documento informatico h) rendere evidente la circostanza di cui all'art. 19, comma 7.
3. L'Agenzia, ai sensi dell'art. 31 del Codice, accerta la conformità dei sistemi di verifica di cui al comma 1 alle norme del Codice e alle presenti regole tecniche.
4. L'Agenzia, al fine di fornire garanzie di attendibilità nelle operazioni di verifica e di rendere effettivamente interoperabili le firme elettroniche qualificate e le firme digitali, anche in base all'evoluzione delle normative europee ed all'evoluzione degli standard tecnici, può elaborare Linee Guida utili per la verifica della firma elettronica qualificata e della firma digitale apposte a documenti informatici cui i certificatori accreditati hanno l'obbligo di attenersi.
Art.15
Informazioni riguardanti i certificatori
1. I certificatori che rilasciano al pubblico certificati qualificati ai sensi del Codice forniscono all'Agenzia le seguenti informazioni e documenti a loro relativi:
a) dati anagrafici ovvero denominazione o ragione sociale;
b) residenza ovvero sede legale;
c) sedi operative;
d) rappresentante legale;
e) certificati delle chiavi di certificazione;
f) piano per la sicurezza di cui all'art. 35;
g) manuale operativo di cui all'art. 40;
h) relazione sulla struttura organizzativa;
i) copia di una polizza assicurativa a copertura dei rischi dell'attività e dei danni causati a terzi.
2. L'Agenzia rende accessibili, in via telematica, le informazioni di cui al comma 1, lettere a), b), e), g) al fine di rendere pubbliche le informazioni che individuano il certificatore qualificato. Tali informazioni sono utilizzate, da chi le consulta, solo per le finalità consentite dalla legge.
Art.16
Comunicazione tra certificatore e l'Agenzia
1. I certificatori che rilasciano al pubblico certificati qualificati comunicano all'Agenzia la casella di posta elettronica certificata da utilizzare per realizzare un sistema di comunicazione attraverso il quale scambiare le informazioni previste dal presente decreto.
2. L'Agenzia rende disponibile sul proprio sito internet l'indirizzo della propria casella di posta elettronica certificata.
Art.17
Generazione e uso delle chiavi del certificatore
1. La generazione delle chiavi di certificazione avviene in modo conforme a quanto previsto dalle presenti regole tecniche.
2. Per ciascuna chiave di certificazione il certificatore genera un certificato sottoscritto con la chiave privata della coppia cui il certificato si riferisce.
3. I valori contenuti nei singoli campi del certificato delle chiavi di certificazione sono codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.
4. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma utilizzati per le chiavi di cui all'art. 5, comma 4, lettere b), c) e d), è effettuata secondo criteri non inferiori a quelli previsti:
a) dal livello EAL 4+ della norma ISO/IEC 15408 in conformità ai profili di protezione indicati nella decisione della Commissione europea 14 luglio 2003 e successive modificazioni;
b) dal livello di certificazione e in conformità ai profili di protezione o traguardi di sicurezza giudicati adeguati dagli organismi di cui all'art. 11, comma 1, lettera b) della Direttiva europea 1999/93/EU.
5. La certificazione di sicurezza di cui al comma 4 può inoltre essere effettuata secondo i criteri previsti dal livello di valutazione E3 e robustezza HIGH dell'ITSEC, o superiori, con un traguardo di sicurezza giudicato adeguato dall'Agenzia nell'ambito dell'attività di cui agli articoli 29 e 31 del Codice.
Art.18
Generazione dei certificati qualificati
1. Fermo restando quanto previsto dall'art. 32 del Codice, all'atto dell'emissione del certificato qualificato, il certificatore:
a) accerta l'autenticità della richiesta;
b) nel caso di chiavi generate dallo stesso certificatore, assicura la consegna al legittimo titolare ovvero, nel caso di chiavi non generate dallo stesso certificatore, verifica il possesso della chiave privata da parte del titolare e il corretto funzionamento della coppia di xxxxxx.
2. Il certificato qualificato è generato con un sistema conforme a quanto previsto dall'art. 33.
3. Il termine del periodo di validità del certificato qualificato precede di almeno due anni il termine del periodo di validità del certificato delle chiavi di certificazione utilizzato per verificarne l'autenticità.
4. L'emissione dei certificati qualificati è registrata nel giornale di controllo specificando il riferimento temporale relativo alla registrazione.
Art.19
Informazioni contenute nei certificati
1. Fatto salvo quanto previsto dall'art. 28 del Codice, i certificati qualificati contengono almeno le seguenti ulteriori informazioni:
a) Xxxxxx identificativo del titolare presso il certificatore;
b) tipologia della coppia di chiavi in base all'uso cui sono destinate.
2. Le informazioni personali contenute nel certificato qualificato ai sensi di quanto previsto nell'art. 28 del Codice sono utilizzabili unicamente per identificare il titolare della firma elettronica qualificata o della firma digitale, per verificare la firma del documento informatico, nonché per indicare eventuali qualifiche specifiche del titolare.
3. I valori contenuti nei singoli campi del certificato qualificato sono codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.
4. Le informazioni e le qualifiche di cui all'art. 28, comma 3, lettera a) del Codice, codificate secondo le modalità indicate dai provvedimenti di cui all'art. 4, comma 2, del presente decreto, sono inserite dal certificatore su richiesta del titolare:
a) nel certificato qualificato senza l'indicazione dell'organizzazione di appartenenza. A tal fine, il titolare del certificato fornisce al certificatore una dichiarazione sostitutiva ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
b) ovvero, nel certificato di attributo o nel certificato qualificato con l'indicazione dell'organizzazione di appartenenza. A tal fine, il titolare del certificato richiede all'organizzazione di appartenenza una autorizzazione all'emissione del certificato, qualificato o di attributo che consegna al certificatore. L'organizzazione, che ha l'obbligo di fornire tale autorizzazione, assume l'impegno di richiedere al certificatore la revoca del certificato qualificato qualora venga a conoscenza della variazione delle informazioni o delle qualifiche contenute nello stesso. Il titolare, nel richiedere l'autorizzazione, ha l'obbligo di comunicare all'organizzazione di appartenenza il certificatore cui intende rivolgersi.
5. Il certificatore, salvo quanto disposto al comma 6, determina il periodo di validità dei certificati qualificati anche in funzione della robustezza crittografica delle chiavi impiegate.
6. L'Agenzia, ai sensi dell'art. 4, comma 2, determina il periodo massimo di validità del certificato qualificato in funzione degli algoritmi e delle caratteristiche delle chiavi.
7. Il certificato qualificato può contenere l'indicazione che l'utilizzo della chiave privata per la generazione della firma è subordinato alla verifica da parte del certificatore della validità del certificato qualificato e dell'eventuale certificato di attributo. All'attuazione del presente comma si provvede con le modalità stabilite dai provvedimenti di cui all'art. 4, comma 2.
Art.20
Revoca e sospensione del certificato qualificato
1. Fatto salvo quanto previsto dall'art. 36 del Codice, il certificato qualificato è revocato o sospeso dal certificatore, ove quest'ultimo abbia notizia della compromissione della chiave privata o del dispositivo sicuro per la generazione delle firme elettroniche qualificate o digitali.
2. Il certificatore conserva le richieste di revoca e sospensione per lo stesso periodo previsto all'art. 32, comma 3, lettera j) del codice.
Art.21 Codice di emergenza
1. Per ciascun certificato qualificato emesso il certificatore fornisce al titolare almeno un Codice riservato, da utilizzare per richiedere la sospensione del certificato nei casi di emergenza indicati nel manuale operativo di cui all'art. 40 e comunicati al titolare.
2. La richiesta di cui al comma 1 è successivamente confermata utilizzando una delle modalità previste dal certificatore.
3. Il certificatore adotta specifiche misure di sicurezza per assicurare la segretezza del Codice di emergenza.
Art.22
Revoca dei certificati qualificati relativi a chiavi di sottoscrizione
1. La revoca del certificato qualificato relativo a chiavi di sottoscrizione viene effettuata dal certificatore mediante l'inserimento del suo Codice identificativo in una delle liste di certificati revocati e sospesi (CRL).
2. Se la revoca avviene a causa della possibile compromissione della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione dell'aggiornamento della lista di revoca.
3. La revoca dei certificati è annotata nel giornale di controllo con la specificazione della data e dell'ora della pubblicazione della CRL.
4. Il certificatore comunica tempestivamente l'avvenuta revoca al titolare e all'eventuale terzo interessato specificando la data e l'ora a partire dalla quale il certificato qualificato risulta revocato.
Art.23
Revoca di un certificato qualificato su iniziativa del certificatore
1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato qualificato ne dà preventiva comunicazione al titolare, specificando i motivi della revoca nonché la data e l'ora a partire dalla quale la revoca è efficace.
Art.24
Revoca del certificato qualificato su richiesta del titolare
1. La richiesta di revoca è inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua decorrenza.
2. Le modalità di inoltro della richiesta sono indicate dal certificatore nel manuale operativo di cui all'art. 40.
3. Il certificatore verifica l'autenticità della richiesta e procede alla revoca entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.
4. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.
Art.25
Revoca su richiesta del terzo interessato
1. La richiesta di revoca da parte del terzo interessato da cui derivano i poteri di firma del titolare è inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua decorrenza.
2. In caso di cessazione o modifica delle qualifiche o del titolo inserite nel certificato su richiesta del terzo interessato, la richiesta di revoca di cui al comma 1 è inoltrata non appena il terzo venga a conoscenza della variazione di stato.
3. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.
Art.26
Sospensione dei certificati qualificati
1. La sospensione del certificato qualificato è effettuata dal certificatore mediante l'inserimento del suo Codice identificativo in una delle liste dei certificati revocati e sospesi (CRL).
2. Il certificatore comunica tempestivamente l'avvenuta sospensione al titolare e all'eventuale terzo interessato specificando la data e l'ora a partire dalla quale il certificato qualificato risulta sospeso.
3. Il certificatore indica nel manuale operativo, ai sensi dell'art. 40, comma 3, lettera l), la durata massima del periodo di sospensione e le azioni intraprese al termine dello stesso in assenza di diverse indicazioni da parte del soggetto che ha richiesto la sospensione.
4. In caso di revoca di un certificato qualificato sospeso, la data della stessa decorre dalla data di inizio del periodo di sospensione.
5. La sospensione e la cessazione della stessa sono annotate nel giornale di controllo con l'indicazione della data e dell'ora di esecuzione dell'operazione.
6. La cessazione dello stato di sospensione del certificato, che sarà considerato come mai sospeso, è tempestivamente comunicata al titolare e all'eventuale terzo interessato specificando la data e l'ora a partire dalla quale il certificato ha cambiato stato.
Art.27
Sospensione del certificato qualificato su iniziativa del certificatore
1. Salvo casi d'urgenza che il certificatore è tenuto a motivare contestualmente alla comunicazione conseguente alla sospensione di cui al comma 2, il certificatore che intende sospendere un certificato qualificato ne dà preventiva comunicazione al titolare e all'eventuale terzo interessato specificando i motivi della sospensione e la sua durata.
2. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave privata, il certificatore procede tempestivamente alla pubblicazione della sospensione.
Art.28
Sospensione del certificato qualificato su richiesta del titolare
1. La richiesta di sospensione del certificato qualificato, con la specificazione della sua durata, è inoltrata al certificatore, secondo le modalità indicate nel manuale operativo approvato dall'Agenzia.
2. Il certificatore verifica l'autenticità della richiesta e procede alla sospensione entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal precedente comma 1.
Art.29
Sospensione su richiesta del terzo interessato
1. La richiesta di sospensione del certificato qualificato da parte del terzo interessato, da cui derivano i poteri di firma del titolare, è inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua durata.
Art.30
Sostituzione delle chiavi di certificazione
1. La procedura di sostituzione delle chiavi, generate dal certificatore in conformità all'art. 17, assicura il rispetto del termine di cui all'art. 18, comma 3.
2. I certificati generati a seguito della sostituzione delle chiavi di certificazione sono inviati all'Agenzia.
Art.31
Revoca dei certificati relativi a chiavi di certificazione
1. La revoca del certificato relativo ad una coppia di chiavi di certificazione è consentita solo nei seguenti casi:
a) compromissione della chiave privata;
b) malfunzionamento irrecuperabile del dispositivo sicuro per la generazione delle firme;
c) cessazione dell'attività.
2. La revoca è comunicata entro ventiquattro ore all'Agenzia e resa nota a tutti i titolari di certificati qualificati sottoscritti con la chiave privata la cui corrispondente chiave pubblica è contenuta nel certificato revocato.
3. La revoca di certificati di cui al comma 1, pubblicati dall'Agenzia nell'elenco pubblico dei certificatori di cui all'art. 43, è resa nota attraverso il medesimo elenco.
Art.32
Requisiti di sicurezza dei sistemi operativi
1. I sistemi operativi dei sistemi di elaborazione utilizzati nelle attività di certificazione per la generazione delle chiavi, la generazione dei certificati qualificati e la gestione del registro dei certificati qualificati, devono essere stati oggetto di opportune personalizzazioni atte a innalzarne il livello di sicurezza (hardening) a cura del certificatore.
2. Ai sensi dell'art. 31 del Codice, l'Agenzia verifica l'idoneità delle personalizzazioni di cui al comma 1 e indica al certificatore eventuali azioni correttive.
3. Il comma 1 non si applica al sistema operativo dei dispositivi di firma.
Art.33
Sistema di generazione dei certificati qualificati
1. La generazione dei certificati qualificati avviene su un sistema utilizzato esclusivamente per la generazione di certificati, situato in locali adeguatamente protetti.
2. L'entrata e l'uscita dai locali protetti è registrata sul giornale di controllo.
3. L'accesso ai sistemi di elaborazione è consentito, limitatamente alle funzioni assegnate, esclusivamente al personale autorizzato, identificato attraverso un'opportuna procedura di riconoscimento da parte del sistema al momento di apertura di ciascuna sessione.
4. L'inizio e la fine di ciascuna sessione sono registrati sul giornale di controllo.
Art.34
Accesso del pubblico ai certificati
1. Le liste dei certificati revocati e sospesi sono rese pubbliche.
2. I certificati qualificati, su richiesta del titolare, possono essere accessibili alla consultazione del pubblico nonché comunicati a terzi, al fine di verificare le firme digitali, esclusivamente nei casi consentiti dal titolare del certificato e nel rispetto del decreto legislativo 30 giugno 2003, n. 196.
3. Le liste pubblicate dei certificati revocati e sospesi, nonché i certificati qualificati eventualmente resi accessibili alla consultazione del pubblico, sono utilizzabili da chi li consulta per le sole finalità di applicazione delle norme che disciplinano la verifica e la validità delle firme elettroniche qualificate e digitali.
4. Chiunque ha diritto di conoscere se a proprio nome sia stato rilasciato un certificato qualificato. Le modalità per ottenere l'informazione di cui al primo periodo sono definite con il provvedimento di cui all'art. 42, comma 10, del presente decreto.
Art.35
Piano per la sicurezza
1. Il certificatore definisce un piano per la sicurezza nel quale sono contenuti almeno i seguenti elementi:
a) struttura generale, modalità operativa e struttura logistica;
b) descrizione dell'infrastruttura di sicurezza fisica rilevante ai fini dell'attività di certificatore;
c) allocazione dei servizi e degli uffici negli immobili rilevanti ai fini dell'attività di certificatore;
d) descrizione delle funzioni del personale e sua allocazione ai fini dell'attività di certificatore;
e) attribuzione delle responsabilità;
f) algoritmi crittografici o altri sistemi utilizzati;
g) descrizione delle procedure utilizzate nell'attività di certificatore;
h) descrizione dei dispositivi installati;
i) descrizione dei flussi di dati;
l) procedura di gestione delle copie di sicurezza dei dati;
m) procedura di continuità operativa del servizio di pubblicazione delle liste di revoca e sospensione;
n) analisi dei rischi;
o) descrizione delle contromisure;
p) descrizione delle verifiche e delle ispezioni;
q) descrizione delle misure adottate ai sensi degli articoli 32, comma 1, e 47, comma 2;
r) procedura di gestione dei disastri;
s) descrizione della procedura di cui all'art. 8, comma 3, ponendo in rilievo le modalità di conservazione e protezione dei supporti contenenti le chiavi esportate;
t) misure di sicurezza per la protezione dei dispositivi di firma remota, ivi comprese le modalità di custodia;
u) limitatamente a quanto previsto all'art. 11, comma 3, modalità con cui è assicurato il controllo esclusivo delle chiavi private custodite sui dispositivi di firma remota;
v) le misure procedurali e tecniche applicate per la distruzione dei dispositivi HSM e delle chiavi che contengono in caso di guasto del dispositivo HSM che non consente l'applicazione delle funzionalità di sicurezza certificate implementate dai dispositivi medesimi.
2. Quanto previsto dalle lettere t) e u) del comma 1 può essere oggetto di dichiarazioni separate da parte del certificatore, ad integrazione del piano per la sicurezza.
3. L'Agenzia, a seguito dell'analisi di quanto dichiarato alle lettere t) e u) del comma 1, può imporre al certificatore di inserire nei certificati qualificati afferenti la firma remota limitazioni d'uso e di valore.
4. Il piano per la sicurezza, sottoscritto dal legale rappresentante del certificatore, ovvero dal responsabile della sicurezza da questo delegato, è consegnato all'Agenzia in busta sigillata o cifrato, al fine di garantirne la riservatezza, in base alle indicazioni fornite dall'Agenzia.
5. Il piano per la sicurezza si attiene alle misure di sicurezza previste dal Titolo V della Parte I del decreto legislativo 30 giugno 2003, n. 196.
Art.36 Giornale di controllo
1. Il giornale di controllo è costituito dall'insieme delle registrazioni effettuate anche automaticamente dai dispositivi installati presso il certificatore, allorché si verificano le condizioni previste dal presente decreto.
2. Le registrazioni possono essere effettuate indipendentemente anche su supporti distinti e di tipo diverso.
3. A ciascuna registrazione è apposto un riferimento temporale.
4. Il giornale di controllo è tenuto in modo da garantire l'autenticità delle annotazioni e consentire la ricostruzione, con la necessaria accuratezza, di tutti gli eventi rilevanti ai fini della sicurezza.
5. L'integrità del giornale di controllo è verificata con frequenza almeno mensile.
6. Le registrazioni contenute nel giornale di controllo sono conservate per un periodo pari a venti anni, salvo quanto previsto dall'art. 11 del decreto legislativo n. 196 del 2003.
Art.37
Sistema di qualità del certificatore
1. Entro un anno dall'avvio dell'attività di certificazione, il certificatore dichiara la conformità del proprio sistema di qualità alle norme ISO 9000, successive modifiche o a norme equivalenti.
2. Il manuale della qualità è depositato presso l'Agenzia e reso disponibile presso il certificatore.
Art.38
Organizzazione del personale addetto al servizio di certificazione
1. Fatto salvo quanto previsto al comma 3, l'organizzazione del certificatore prevede almeno le seguenti figure professionali:
a) responsabile della sicurezza;
b) responsabile del servizio di certificazione e validazione temporale;
c) responsabile della conduzione tecnica dei sistemi;
d) responsabile dei servizi tecnici e logistici;
e) responsabile delle verifiche e delle ispezioni (auditing).
2. Non è possibile attribuire al medesimo soggetto più funzioni tra quelle previste dal comma 1.
3. Ferma restando la responsabilità del certificatore, l'organizzazione dello stesso può prevedere che alcune delle suddette responsabilità siano affidate ad altre organizzazioni. In questo caso il responsabile della sicurezza o altro dipendente appositamente designato gestisce i rapporti con tali figure professionali.
4. In nessun caso quanto previsto al comma 3 si applica per le figure professionali di cui al comma 1, lettere a) ed e).
Art.39
Requisiti di competenza ed esperienza del personale
1. Il personale cui sono attribuite le funzioni previste dall'art. 38 deve aver maturato una esperienza professionale nelle tecnologie informatiche e delle telecomunicazioni almeno quinquennale.
2. Per ogni aggiornamento apportato al sistema di certificazione è previsto un apposito addestramento.
Art.40 Manuale operativo
1. Il manuale operativo definisce le procedure applicate dal certificatore che rilascia certificati qualificati nello svolgimento della sua attività.
2. Il manuale operativo è depositato presso l'Agenzia e pubblicato a cura del certificatore in modo da essere consultabile per via telematica.
3. Il manuale contiene almeno le seguenti informazioni:
a) dati identificativi del certificatore;
b) dati identificativi della versione del manuale operativo;
c) responsabile del manuale operativo;
d) definizione degli obblighi del certificatore, del titolare e dei richiedenti le informazioni per la verifica delle firme;
e) definizione delle responsabilità e delle eventuali limitazioni agli indennizzi;
f) indirizzo del sito web del certificatore ove sono pubblicate le tariffe;
g) modalità di identificazione e registrazione degli utenti;
h) modalità di generazione delle chiavi per la creazione e la verifica della firma;
i) modalità di emissione dei certificati;
l) modalità di inoltro delle richieste e della gestione di sospensione e revoca dei certificati;
m) modalità di sostituzione delle chiavi;
n) modalità di gestione del registro dei certificati;
o) modalità di accesso al registro dei certificati;
p) modalità per l'apposizione e la definizione del riferimento temporale;
q) modalità di protezione dei dati personali;
r) modalità operative per l'utilizzo del sistema di verifica delle firme di cui all'art. 14, comma 1;
s) modalità operative per la generazione della firma elettronica qualificata e della firma digitale.
Art.41
Riferimenti temporali opponibili ai terzi
1. I riferimenti temporali realizzati dai certificatori accreditati in conformità con quanto disposto dal titolo IV sono opponibili ai terzi ai sensi dell'art. 20, comma 3, del Codice.
2. I riferimenti temporali apposti sul giornale di controllo da un certificatore accreditato, secondo quanto indicato nel proprio manuale operativo, sono opponibili ai terzi ai sensi dell'art. 20, comma 3, del Codice.
3. L'ora assegnata ai riferimenti temporali di cui al comma 2 del presente articolo, deve corrispondere alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell'industria, del commercio e dell'artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo.
4. Costituiscono inoltre validazione temporale:
a) il riferimento temporale contenuto nella segnatura di protocollo di cui all'art. 9 del decreto del Presidente del Consiglio dei Ministri, 31 ottobre 2000, pubblicato nella Gazzetta Ufficiale 21 novembre 2000, n. 272;
b) il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti, ad opera di un pubblico ufficiale o di una pubblica amministrazione;
c) il riferimento temporale ottenuto attraverso l'utilizzo di posta elettronica certificata ai sensi dell'art. 48 del Codice;
d) il riferimento temporale ottenuto attraverso l'utilizzo della marcatura postale elettronica ai sensi dell'art. 14, comma 1, punto 1.4 della Convenzione postale universale, come modificata dalle decisioni adottate dal XXIII Congresso dell'Unione postale universale, recepite dal Regolamento di esecuzione emanato con il decreto del Presidente della Repubblica 12 gennaio 2007, n. 18.
Titolo III CERTIFICATORI ACCREDITATI
Art.42
Obblighi per i certificatori accreditati
1. Il certificatore accreditato genera un certificato per ciascuna delle chiavi di firma utilizzate dall'Agenzia per la sottoscrizione dell'elenco pubblico dei certificatori, lo pubblica nel proprio registro dei certificati e lo rende accessibile per via telematica al fine di verificare la validità delle chiavi utilizzate dall'Agenzia. Tali informazioni sono utilizzate, da chi le consulta, solo per le finalità consentite dalla legge.
2. Il certificatore accreditato garantisce l'interoperabilità del prodotto di verifica di cui all'art. 14 del presente decreto con i documenti informatici sottoscritti mediante firme elettroniche qualificate e digitali ad opera dell'Agenzia, nell'ambito delle attività di cui all'art. 31 del Codice.
3. Il certificatore accreditato mantiene copia della lista, sottoscritta dall'Agenzia, dei certificati relativi alle chiavi di certificazione di cui all'art. 43, comma 1, lettera e) del presente decreto, che rende accessibile per via telematica per la specifica finalità della verifica delle firme elettroniche qualificate e digitali.
4. I certificatori accreditati, al fine di ottenere e mantenere il riconoscimento di cui all'art. 29, comma 1 del Codice, svolgono la propria attività in conformità con quanto previsto dai provvedimenti emanati dall'Agenzia ai sensi dell'art. 4, comma 2. Fino all'emanazione di tali provvedimenti continua ad applicarsi la deliberazione CNIPA 21 maggio 2009, n. 45, recante regole per il riconoscimento e la verifica del documento informatico e successive modificazioni.
5. I certificatori accreditati, al fine di ottenere e mantenere il riconoscimento di cui all'art. 29, comma 1, del Codice assicurano la valorizzazione dell'estensione qcStatements id-etsi-qcs-QcSSCD esclusivamente nei certificati qualificati la cui corrispondente chiave privata sia custodita nei dispositivi di cui all'art. 12.
6. I sistemi di generazione e verifica delle firme elettroniche qualificate e delle firme digitali, forniti o indicati dal certificatore accreditato ai sensi degli articoli 11, comma 8 e 14, comma 1, non devono consentire a quest'ultimo di conoscere gli atti o fatti rappresentati nel documento informatico oggetto del processo di sottoscrizione o verifica.
7. Al fine dell'attività di cui all'art. 31 del Codice, il certificatore deve consegnare all'Agenzia un esemplare dei dispositivi di firma elettronica qualificata e di firma digitale forniti ai titolari. Il primo periodo non si applica in relazione ai dispositivi di firma HSM.
8. Al fine dell'attività di cui all'art. 31 del Codice, il certificatore deve consegnare all'Agenzia copia delle applicazioni di generazione e verifica delle firme elettroniche qualificate o delle firme digitali fornite ai titolari per uso personale.
9. Al fine del mantenimento dell'accreditamento di cui all'art. 29 del Codice, il certificatore è obbligato a partecipare alle sessioni di test di interoperabilità indicate dall'Agenzia.
10. I certificatori rendono disponibile all'Agenzia un servizio che consenta, ai fini dell'art. 34, comma 4, di conoscere se, per un determinato codice fiscale, sia stato emesso un certificato qualificato e, in caso affermativo, la sua scadenza. L'Agenzia, sentite le associazioni di categoria e il Garante per la protezione dei dati personali, indica in un proprio provvedimento le caratteristiche del servizio, le modalità e i vincoli per la sua fruizione.
Art.43
Elenco pubblico dei certificatori accreditati
1. L'elenco pubblico dei certificatori accreditati tenuto dall'Agenzia ai sensi dell'art. 29, comma 6, del Codice, e del decreto legislativo 1 dicembre 2009, n. 177, contiene per ogni certificatore accreditato almeno le seguenti informazioni:
a) denominazione;
b) sede legale;
c) indirizzo della sede legale;
d) indirizzi internet ove il certificatore pubblica in lingua italiana e lingua inglese informazioni inerenti all'attività svolta;
e) lista dei certificati delle chiavi di certificazione;
f) indirizzo di posta elettronica;
g) data di accreditamento volontario;
h) eventuale data di cessazione;
i) eventuale certificatore sostitutivo.
2. L'elenco pubblico è sottoscritto e reso disponibile per via telematica dall'Agenzia al fine di verificare le firme elettroniche qualificate e digitali e diffondere i dati dei certificatori accreditati. Tali informazioni sono utilizzate, da chi le consulta, solo per le finalità consentite dalla legge. L'Agenzia stabilisce il formato dell'elenco pubblico attraverso propria deliberazione.
3. L'elenco pubblico è sottoscritto elettronicamente dal Presidente dell'Agenzia o dai soggetti da lui designati.
4. L'Agenzia pubblica sul proprio sito istituzionale i manuali operativi di cui all'art. 40, sottoscritti ai sensi del comma 3.
5. Nella Gazzetta Ufficiale della Repubblica italiana è dato avviso:
a) dell'indicazione dei soggetti preposti alla sottoscrizione dell'elenco pubblico di cui al comma 3;
b) del valore dei codici identificativi del certificato relativo alle chiavi utilizzate per la sottoscrizione dell'elenco pubblico, generati attraverso gli algoritmi di cui all'art. 4;
c) con almeno sessanta giorni di preavviso rispetto alla scadenza del certificato, della sostituzione delle chiavi utilizzate per la sottoscrizione dell'elenco pubblico;
d) della revoca dei certificati utilizzati per la sottoscrizione dell'elenco pubblico sopravvenuta per ragioni di sicurezza.
Art.44
Rappresentazione del documento informatico
1. Il certificatore indica nel manuale operativo i formati del documento informatico e le modalità operative a cui il titolare deve attenersi per evitare le conseguenze previste dall'art. 4, comma 3.
Art.45 Limitazioni d'uso
1. Il certificatore, su richiesta del titolare, del terzo interessato o dell'Agenzia, è tenuto a inserire nel certificato qualificato eventuali limitazioni d'uso.
2. La modalità di rappresentazione dei limiti d'uso e di valore di cui all'art. 28, comma 3, del Codice è definita dall'Agenzia con uno dei provvedimenti di cui all'art. 4, comma 2.
3. Il certificatore è tenuto ad indicare, in lingua italiana e lingua inglese, la limitazione d'uso dei certificati utilizzati per la verifica delle firme di cui all'art. 35, comma 3, del Codice.
Art.46
Verifica delle marche temporali
1. I certificatori accreditati forniscono ovvero indicano almeno un sistema, conforme al successivo comma 2, che consenta di effettuare la verifica delle marche temporali.
2. L'Agenzia con i provvedimenti di cui all'art. 4, comma 2, stabilisce le regole di interoperabilità per la verifica della marca temporale, anche associata al documento informatico cui si riferisce.
Titolo IV
REGOLE PER LA VALIDAZIONE TEMPORALE MEDIANTE MARCA TEMPORALE
Art.47
Validazione temporale con marca temporale
1. Una evidenza informatica è sottoposta a validazione temporale mediante generazione e applicazione di una marca temporale alla relativa impronta.
2. Le marche temporali sono generate da un apposito sistema di validazione temporale, sottoposto ad opportune personalizzazioni atte a innalzarne il livello di sicurezza, in grado di:
a) garantire l'esattezza del riferimento temporale conformemente a quanto richiesto dal presente decreto;
b) generare la struttura dei dati temporali secondo quanto specificato negli articoli 48 e 51;
c) sottoscrivere elettronicamente la struttura di dati di cui alla lettera b).
3. L'evidenza informatica da sottoporre a validazione temporale può essere costituita da un insieme di impronte.
Art.48
Informazioni contenute nella marca temporale
1. Una marca temporale contiene almeno le seguenti informazioni:
a) identificativo dell'emittente;
b) numero di serie della marca temporale;
c) algoritmo di sottoscrizione della marca temporale;
d) certificato relativo alla chiave utilizzata per la verifica della marca temporale;
e) riferimento temporale della generazione della marca temporale;
f) identificativo della funzione di hash utilizzata per generare l'impronta dell'evidenza informatica sottoposta a validazione temporale;
g) valore dell'impronta dell'evidenza informatica.
2. La marca temporale può inoltre contenere un Codice identificativo dell'oggetto a cui appartiene l'impronta di cui al comma 1, lettera g).
Art.49
Chiavi di marcatura temporale
1. Dal certificato relativo alla coppia di chiavi utilizzate per la validazione temporale deve essere possibile individuare il sistema di validazione temporale.
2. Al fine di limitare il numero di marche temporali generate con la medesima coppia, le chiavi di marcatura temporale sono sostituite ed un nuovo certificato è emesso, in relazione alla robustezza delle chiavi crittografiche utilizzate, dopo non più di tre mesi di utilizzazione, indipendentemente dalla durata del loro periodo di validità e senza revocare il certificato corrispondente alla chiave precedentemente in uso. Detto periodo è indicato nel manuale operativo e, previa valutazione, ritenuto congruente dall'Agenzia.
3. Per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale sono utilizzate chiavi di certificazione appositamente generate.
4. Le chiavi di certificazione e di marcatura temporale possono essere generate esclusivamente in presenza dei responsabili dei rispettivi servizi.
Art.50
Gestione dei certificati e delle chiavi
1. Alle chiavi di certificazione utilizzate, ai sensi dell'art. 49, comma 3, per sottoscrivere i certificati relativi a chiavi di marcatura temporale, si applica quanto previsto per le chiavi di certificazione utilizzate per sottoscrivere certificati relativi a chiavi di sottoscrizione.
2. I certificati relativi ad una coppia di chiavi di marcatura temporale, oltre ad essere conformi a quanto stabilito ai sensi dell'art. 4, comma 2, contengono l'identificativo del sistema di marcatura temporale che utilizza le chiavi.
Art.51
Precisione dei sistemi di validazione temporale
1. Il riferimento temporale assegnato ad una marca temporale coincide con il momento della sua generazione, con una differenza non superiore ad un minuto secondo rispetto alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell'industria, del commercio e dell'artigianato 30 novembre 1993, n. 591.
2. Il riferimento temporale contenuto nella marca temporale è specificato con riferimento al Tempo Universale Coordinato (UTC). Art.52
Sicurezza dei sistemi di validazione temporale
1. Qualsiasi anomalia o tentativo di manomissione che possa modificare il funzionamento del sistema di validazione temporale in modo da renderlo incompatibile con i requisiti previsti dal presente decreto, ed in particolare con quello di cui all'art. 51, comma 1, è annotato sul giornale di controllo e causa il blocco del sistema medesimo.
2. Il blocco del sistema di validazione temporale può essere rimosso esclusivamente con l'intervento di personale espressamente autorizzato.
3. I sistemi operativi dei sistemi di elaborazione utilizzati nelle attività di validazione temporale devono essere stati oggetto di opportune personalizzazioni atte a innalzarne il livello di sicurezza (hardening).
4. Ai sensi dell'art. 31 del Codice, l'Agenzia verifica l'idoneità delle personalizzazioni, di cui al comma 3, e indica al certificatore eventuali azioni correttive.
Art.53
Registrazione delle marche generate
1. Tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a venti anni ovvero, su richiesta dell'interessato, per un periodo maggiore, alle condizioni previste dal certificatore.
2. La marca temporale è valida per il periodo di conservazione, stabilito o concordato con il certificatore, di cui al comma 1.
Art.54
Richiesta di marca temporale
1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l'invio della richiesta di marca temporale.
2. La richiesta contiene l'evidenza informatica alla quale applicare la marca temporale.
3. L'evidenza informatica può essere sostituita da una o più impronte, calcolate con funzioni di hash scelte dal certificatore tra quelle stabilite ai sensi dell'art. 4, comma 2.
4. La generazione delle marche temporali garantisce un tempo di risposta, misurato come differenza tra il momento della ricezione della richiesta e l'ora riportata nella marca temporale, non superiore al minuto primo.
Titolo V
FIRMA ELETTRONICA AVANZATA
Art.55 Disposizioni generali
1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.
2. I soggetti che erogano o realizzano soluzioni di firma elettronica avanzata si distinguono in:
a) coloro che erogano soluzioni di firma elettronica avanzata al fine di utilizzarle nei rapporti intrattenuti con soggetti terzi per motivi istituzionali, societari o commerciali, realizzandole in proprio o anche avvalendosi di soluzioni realizzate dai soggetti di cui alla lettera b);
b) coloro che, quale oggetto dell'attività di impresa, realizzano soluzioni di firma elettronica avanzata a favore dei soggetti di cui alla lettera a).
Art.56
Caratteristiche delle soluzioni di firma elettronica avanzata
1. Le soluzioni di firma elettronica avanzata garantiscono:
a) l'identificazione del firmatario del documento;
b) la connessione univoca della firma al firmatario;
c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma;
e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f) l'individuazione del soggetto di cui all'art. 55, comma 2, lettera a);
g) l'assenza di qualunque elemento nell'oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
h) la connessione univoca della firma al documento sottoscritto.
2. La firma elettronica avanzata generata in violazione di quanto disposto da una o più disposizioni di cui alle lettere a), b), c), d), e), g), h) del comma 1, non soddisfa i requisiti previsti dagli articoli 20, comma 1-bis, e 21, comma 2, del Codice.
Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata
1. I soggetti di cui all'art. 55, comma 2, lettera a) devono:
a) identificare in modo certo l'utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all'uso del servizio, compresa ogni eventuale limitazione dell'uso, subordinare l'attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell'utente;
b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimostrare l'ottemperanza a quanto previsto all'art. 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità;
c) fornire liberamente e gratuitamente copia della dichiarazione e le informazioni di cui alla lettera b) al firmatario, su richiesta di questo;
d) rendere note le modalità con cui effettuare la richiesta di cui al punto c), pubblicandole anche sul proprio sito internet;
e) rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall'art. 56, comma 1;
f) specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;
g) pubblicare le caratteristiche di cui alle lettere e) ed f) sul proprio sito internet;
h) assicurare, ove possibile, la disponibilità di un servizio di revoca del consenso all'utilizzo della soluzione di firma elettronica avanzata e un servizio di assistenza.
2. Al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, i soggetti di cui all'art. 55, comma 2, lettera a), si dotano di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali per un ammontare non inferiore ad euro cinquecentomila.
3. Le modalità scelte per ottemperare a quanto disposto al comma 2 devono essere rese note ai soggetti interessati, pubblicandole anche sul proprio sito internet.
4. Il comma 2 del presente articolo non si applica alle persone giuridiche pubbliche che erogano soluzioni di firma elettronica avanzata per conto di pubbliche amministrazioni.
5. Nell'ambito delle pubbliche amministrazioni e in quello sanitario limitatamente alla categoria di utenti rappresentata dai cittadini fruitori di prestazioni sanitarie, la dichiarazione di accettazione delle condizioni del servizio prevista al comma 1, lettera a) può essere fornita oralmente dall'utente al funzionario pubblico o all'esercente la professione sanitaria, il quale la raccoglie in un documento informatico che sottoscrive con firma elettronica qualificata o firma digitale.
6. I commi 1 e 2 non si applicano alle soluzioni di cui all'art. 61, commi 1 e 2, alle quali si applicano le norme vigenti in materia.
Art.58
Soggetti che realizzano soluzioni di firma elettronica avanzata a favore di terzi
1. I soggetti di cui all'art. 55, comma 2, lettera b) che offrono una soluzione di firma elettronica avanzata alle pubbliche amministrazioni, devono essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia.
2. I soggetti di cui all'art. 55, comma 2, lettera b) che offrono soluzioni di firma elettronica avanzata alle pubbliche amministrazioni, ovvero le società che li controllano, devono essere in possesso della certificazione di conformità del proprio sistema di qualità alla norma ISO 9001 e successive modifiche o a norme equivalenti.
3. I commi 1 e 2 non si applicano alle persone giuridiche private partecipate, in tutto o in parte, dalla pubblica amministrazione qualora realizzino per la stessa soluzioni di firma elettronica avanzata.
4. I commi 1 e 2 del presente articolo non si applicano alle persone giuridiche pubbliche che rendono disponibili soluzioni di firma elettronica avanzata a pubbliche amministrazioni.
5. I soggetti di cui all'art. 55, comma 2, lettera b), al fine di dare evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche, possono far certificare la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore, da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia.
Art.59
Affidabilità delle soluzioni di firma elettronica avanzata
1. I soggetti di cui all'art. 55, comma 2, lettera a), al fine di dare evidenza del grado di conformità alla norma ISO/IEC 27001 del proprio sistema di gestione per la sicurezza delle informazioni a supporto della soluzione di firma elettronica avanzata proposta, possono richiederne la certificazione aduna terza parte indipendente autorizzata allo scopo secondo le norme vigenti in materia.
2. I soggetti di cui all'art. 55, comma 2, lettera a), al fine di dare evidenza del grado di conformità della soluzione di firma elettronica avanzata a quanto previsto dalle presenti regole tecniche, su base volontaria, possono far certificare la propria soluzione secondo la norma ISO/IEC 15408, livello EAL 1 o superiore da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia.
Limiti d'uso della firma elettronica avanzata
1. La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche, è utilizzabile limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto di cui all'art. 55, comma 2, lettera a).
Art.61
Soluzioni di firma elettronica avanzata
1. L'invio tramite posta elettronica certificata di cui all'art. 65, comma 1, lettera c-bis) del Codice, effettuato richiedendo la ricevuta completa di cui all'art. 1, comma 1, lettera i) del decreto 2 novembre 2005 recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche.
2. L'utilizzo della Carta d'Identità Elettronica, della Carta Nazionale dei Servizi, del documento d'identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.
3. I formati della firma di cui al comma 2 sono gli stessi previsti ai sensi dell'art. 4, comma 2.
4. Le applicazioni di verifica della firma generata ai sensi del comma 2 devono accertare che il certificato digitale utilizzato nel processo di verifica corrisponda ad uno degli strumenti di cui al medesimo comma.
5. I certificatori accreditati che emettono certificati per gli strumenti di cui al comma 2 rendono disponibili strumenti di verifica della firma.
6. Fermo restando quanto disposto dall'art. 55, comma 1, al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, l'Agenzia elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche.
Titolo VI DISPOSIZIONI FINALI
Art.62
Valore delle firme elettroniche qualificate e digitali nel tempo
1. Le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che collochi la generazione di dette firme rispettivamente in un momento precedente alla scadenza, revoca o sospensione del suddetto certificato.
Art.63 Disposizioni finali e transitorie
1. Il presente decreto sostituisce il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009, recante «Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici.», pubblicato nella Gazzetta Ufficiale 6 giugno 2009, n. 129.
2. I certificatori accreditati ai sensi dell'art. 29 del Codice aggiornano la documentazione prevista per lo svolgimento di tale attività entro centoventi giorni dall'entrata in vigore del presente decreto.
3. Eventuali difformità nella generazione delle firme digitali, delle firme elettroniche qualificate, dei certificati qualificati e delle marche temporali, alle regole tecnologiche di cui al Titolo II, che non ne mettano a rischio la sicurezza, non ne inficiano la validità. L'Agenzia valuta tali difformità e rende note le proprie decisioni sul proprio sito internet. Il presente decreto sarà inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
IL PRESIDENTE DELLA REPUBBLICA
VISTI gli articoli 76 e 87 della Costituzione;
VISTO l'articolo 1 della legge 24 marzo 2001, n. 127, recante delega a Governo per l'emanazione di un testo unico in materia di trattamento dei dati personali;
VISTO l'articolo 26 della legge 3 febbraio 2003, n 14, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee (legge comunitaria 2002);
VISTA la legge 31 dicembre 1996, n. 675, e successive modificazioni;
VISTA la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;
VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati;
VISTA la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della sita privata nel settore delle comunicazioni elettroniche;
VISTA la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 9 maggio 2003; SENTITO il Garante per la protezione dei dati personali;
ACQUISITO il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica; VISTA la deliberazione del Consiglio dei Ministri, adottata nella riunione del 27 giugno 2003;
SULLA PROPOSTA del Presidente del Consiglio dei Ministri, del Ministro per la funzione pubblica e del Ministro per le politiche comunitarie, di concerto con i Ministri della giustizia, dell'economia e delle finanze, degli affari esteri e delle comunicazioni;
EMANA
il seguente decreto legislativo:
...omissis... Art. 13
(Informativa)
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.
Art. 14
...omissis...