Circolare AIPA 16.2.2001

A.I.P.A.
– AUTORITA’ PER L’INFORMATICA NELLA P.A.


Circolare
16 febbraio 2001, n. AIPA/CR/27

Oggetto:
“Art.
17 del decreto del Presidente della Repubblica 10 novembre 1997, n.
513: utilizzo della firma digitale nelle pubbliche amministrazioni”

(G.U.
26.2.2001 n. 47)

1.
Premessa.

Com’e’
noto, l’art. 3 del decreto legislativo 12 febbraio 1993, n. 39, ha
introdotto il principio secondo il quale “gli atti
amministrativi adottati da tutte le pubbliche amministrazioni sono di
norma predisposti tramite i sistemi informativi automatizzati”.

L’art.
15, comma 2, della legge 15 marzo 1997, n. 59, ha, poi, riconosciuto
validita’ e rilevanza, a tutti gli effetti di legge, agli atti, dati
e documenti formati dalla pubblica amministrazione e dai privati con
strumenti informatici e telematici, demandando a “specifici
regolamenti”, da emanarsi ai sensi dell’art. 17, comma 2, della
legge n. 400/1988, la definizione dei criteri e delle modalita’ di
applicazione della norma.

Con
decreto del Presidente della Repubblica 10 novembre 1997, n. 513, e’
stato emanato il “Regolamento recante criteri e modalita’ per la
formazione, l’archiviazione e la trasmissione di documenti con
strumenti informatici e telematici”.

I
documenti informatici delle pubbliche amministrazioni debbono essere
formati e conservati secondo le regole tecniche dettate
dall’Autorita’ per l’informatica nella pubblica amministrazione con
deliberazione n. 51/00 del 23 novembre 2000, emanata ai sensi
dell’art. 18, comma 3, del citato decreto del Presidente della
Repubblica n. 513/1997.

L’art.
17 del richiamato decreto prevede che le pubbliche amministrazioni
provvedono autonomamente, con riferimento al proprio ordinamento,
alla generazione, alla conservazione, alla certificazione ed
all’utilizzo delle chiavi di cifratura pubbliche di propria
competenza, nel rispetto di quanto prescritto dall’art. 8, in materia
di certificazione, sia per le pubbliche amministrazioni che per i
privati, e delle regole tecniche di cui all’art. 3.

L’art.
16, comma 1, dell’allegato tecnico al decreto del Presidente del
Consiglio dei Ministri 8 febbraio 1999, recante le regole tecniche
per la formazione, la trasmissione, la conservazione, la
duplicazione, la riproduzione e la validazione, anche temporale dei
documenti informatici” ai sensi dell’art. 3, comma 1, del
decreto del Presidente della Repubblica n. 513/1997, ha determinato
le modalita’ di presentazione della domanda di iscrizione nell’elenco
pubblico dei certificatori di cui all’art. 8, comma 3, del decreto
del Presidente della Repubblica 10 novembre 1997, n. 513; l’art. 62
dello stesso allegato definisce le regole tecniche per la
certificazione da parte delle pubbliche amministrazioni.

Cio’
premesso e con riferimento alle norme citate, le pubbliche
amministrazioni possono:

a)
ai fini della sottoscrizione, ove prevista, di documenti informatici
di rilevanza esterna:

svolgere
in proprio l’attivita’ di certificazione di cui all’art. 8 del
decreto 10 novembre 1997, n. 513, ma limitatamente ai propri organi
ed uffici ed hanno l’obbligo di iscriversi nell’elenco pubblico dei
certificatori, predisposto, tenuto e aggiornato a cura di questa
Autorita’ per l’informatica, secondo le modalita’ indicate al
successivo punto 2, attenendosi alle regole tecniche di cui al
decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999;

rilasciare
certificati di firma digitale relativi ai propri organi ed uffici,
avvalendosi dei servizi offerti dal centro tecnico o dai
certificatori iscritti nell’elenco di cui sopra, acquisiti nel
rispetto della vigente normativa in materia di contratti pubblici; in
questo caso non vi e’ obbligo di iscrizione nel citato elenco
pubblico;

b)
per la sottoscrizione di documenti informatici di rilevanza interna:

rilasciare
ai propri organi ed uffici firme elettroniche certificate secondo
regole tecniche diverse da quelle di cui al decreto del Presidente
del Consiglio dei Ministri 8 febbraio 1999;

c)
per la formazione e la gestione di documenti informatici per i quali
non e’ prevista la sottoscrizione:

utilizzare
sistemi elettronici di identificazione e autenticazione che
l’amministrazione, nell’ambito della propria autonomia organizzativa,
ha ritenuto di adottare.

2.
Attivita’ di certificazione ed iscrizione nel l’elenco pubblico dei
certificatori.

Le
pubbliche amministrazioni che intendono svolgere l’attivita’ di
certificazione di cui all’art. 8 del decreto del Presidente della
Repubblica 10 novembre 1997, n. 513, nel rispetto di quanto stabilito
dal decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999
devono inoltrare all’Autorita’ per l’informatica nella pubblica
amministrazione, domanda di iscrizione nell’elenco pubblico di cui
all’art. 8, comma 3, del decreto del Presidente della Repubblica 10
novembre 1997, n. 513, secondo le modalita’ che qui di seguito si
espongono e che sono disponibili anche sul sito Internet dell’AIPA
www.aipa.it 2.1. Formalita’ con le quali deve essere predisposta la
domanda e documentazione richiesta.

La
domanda, sottoscritta dal rappresentante legale dell’amministrazione,
in plico chiuso con evidenza del mittente e con l’indicazione:
“domanda per l’iscrizione nell’elenco dei certificatori”,
va indirizzata e fatta pervenire all’Autorita’ per l’informatica
nella pubblica amministrazione, via Isonzo, 21/b – 00198 Roma.

La
consegna puo’ avvenire tramite servizio pubblico o privato, oppure a
mano, nei giorni compresi tra il lunedi’ e il venerdi’ al seguente
orario: dalle ore 9 alle ore 13 e dalle ore 15 alle ore 17.

In
quest’ultimo caso verra’ data formale ricevuta di consegna del plico.

La
domanda e i documenti prodotti dal richiedente, vanno predisposti
utilizzando un sistema di elaborazione testi di larga diffusione. Un
supporto informatico, contenente tale testo, con l’eccezione del
piano per la sicurezza, va allegato alla domanda, insieme alla
stampa, in duplice copia, del contenuto del supporto stesso.

La
domanda deve recare:

l’indicazione
e la sede dell’amministrazione;

l’organo
che ne ha la rappresentanza legale;

l’elenco
dei documenti allegati.

E’
opportuno che vengano indicati il nominativo della persona cui far
riferimento, anche per le vie brevi, e le modalita’ per contattarla
(numeri telefonici, telefax, telex), ai fini di una sollecita
definizione delle eventuali problematiche che richiedessero
chiarimenti di minore importanza.

Alla
domanda vanno allegati:

a)
copia della certificazione di qualita’ dei processi informatici e dei
relativi prodotti cui all’art. 8, comma 3, lettera d), del decreto
del Presidente del Consiglio dei Ministri 8 febbraio 1999;

b)
dichiarazione di piena disponibilita’ a consentire accessi presso le
strutture dedicate alle operazioni di certificazione, da parte di
incaricati dell’AIPA, per la verifica del mantenimento della
rispondenza ai requisiti tecnico-organizzativi di cui alla
documentazione allegata alla domanda;

c)
copia del manuale operativo;

d)
copia del piano per la sicurezza;

e)
una relazione sulla struttura organizzativa;

f)
dichiarazione di impegno a comunicare tempestivamente all’AIPA ogni
variazione significativa delle soluzioni tecnico-organizzative
adottate, fermo restando quanto prescritto dall’art. 18 del decreto
del Presidente del Consiglio dei Ministri 8 febbraio 1999.

2.2.
Requisiti tecnico-organizzativi da documentare.

2.2.1.
Manuale operativo.

Il
manuale operativo va strutturato in modo tale da essere integralmente
consultabile per via telematica, come prescritto dall’art. 45, comma
2, del decreto del Presidente del Consiglio dei Ministri 8 febbraio
1999.

Il
manuale deve contenere almeno le seguenti informazioni:

a)
dati identificativi del certificatore;

b)
dati identificativi della versione del manuale operativo;

c)
responsabile del manuale operativo;

d)
definizione degli obblighi del certificatore, del titolare e di
quanti accedono per la verifica delle firme;

e)
definizione delle responsabilita’ e delle eventuali limitazioni agli
indennizzi;

f)
tariffe;

g)
modalita’ di identificazione e registrazione degli utenti;

h)
modalita’ di generazione delle chiavi;

i)
modalita’ di emissione dei certificati;

j)
modalita’ di sospensione e revoca dei certificati;

k)
modalita’ di sostituzione delle chiavi;

l)
modalita’ di gestione del registro dei certificati;

m)
modalita’ di accesso al registro dei certificati;

n)
modalita’ di protezione della riservatezza.

2.2.2.
Piano per la sicurezza.

Il
documento contenente il piano per la sicurezza, in quanto coperto da
riservatezza, deve essere racchiuso in una busta sigillata,
all’interno del plico contenente la domanda, con evidenza
dell’amministrazione e l’indicazione “Piano per la sicurezza –
versione del…. (data)”.

Il
piano deve contenere almeno i seguenti elementi:

a)
struttura generale, modalita’ operativa e struttura logistica
dell’organizzazione;

b)
descrizione sommaria dell’infrastruttura di sicurezza per ciascun
immobile;

c)
breve descrizione dell’allocazione degli impianti informatici, dei
servizi e degli uffici negli immobili dell’organizzazione;

d)
elenco del personale addetto;

e)
attribuzioni dettagliate delle responsabilita’;

f)
algoritmi crittografici utilizzati;

g)
descrizione delle procedure utilizzate nell’attivita’ di
certificazione, con particolare riferimento ai problemi di sicurezza,
alla gestione del log-file e alla garanzia della sua integrita’;

h)
descrizione dei dispositivi di sicurezza installati;

i)
descrizione dei flussi di dati;

j)
procedura di gestione delle copie di sicurezza dei dati (modalita’ e
frequenze dei salvataggi, tipo e ubicazione delle sicurezze fisiche
in conformita’ alle regole tecniche per l’uso di supporti ottici –
deliberazione AIPA n. 24/98);

k)
procedure di gestione dei disastri (precisare i tipi di disastri per
i quali sono state previste delle soluzioni: per calamita’ naturali,
per dolo, per indisponibilita’ prolungata del sistema, per altre
ragioni; descrivere le soluzioni con dettagli sui tempi e le
modalita’ previste per il ripristino del servizio);

l)
analisi dei rischi (precisare i tipi di rischi: per dolo, per
infedelta’ del personale, per inefficienza operativa, per
inadeguatezza tecnologica, per altre ragioni);

m)
descrizione delle contromisure (precisare i tempi di reazioni
previsti e i nomi dei responsabili);

n)
specificazione dei controlli (precisare se e’ previsto il ricorso
periodico a ispezioni esterne).

2.2.3.
Organizzazione del personale.

Deve
essere predisposto un apposito documento contenente la descrizione
dell’organizzazione del personale, limitatamente alle funzioni
elencate nell’art. 49 del decreto del Presidente del Consiglio dei
Ministri dell’8 febbraio 1999; tale atto deve essere corredato da
un’adeguata documentazione, a norma dell’art. 51 del medesimo
decreto, dell’esperienza maturata dal personale stesso.

A
norma dell’art. 16, comma 2, del citato decreto del Presidente del
Consiglio dei Ministri, deve essere precisato, in particolare, il
profilo del personale responsabile delle generazioni delle chiavi,
della emissione dei certificati e della gestione del registro delle
chiavi. Tale profilo dovra’ essere idoneo ad attestare il possesso
della competenza e dell’esperienza richiesti dall’art. 8, comma 3,
lettera c), del decreto del Presidente della Repubblica 10 novembre
1997, n. 513.

2.3.
Requisiti tecnico-organizzativi da autocertificare.

L’amministrazione
e’ tenuta a specificare, con apposita dichiarazione, i punti che
seguono:

a)
algoritmi di generazione e verifica firme utilizzati e supportati;

b)
algoritmi di hash utilizzati e supportati;

c)
lunghezza delle chiavi;

d)
assicurazioni relative al sistema di generazione delle chiavi;

e)
caratteristiche del sistema di generazione;

f)
informazioni contenute nei certificati;

g)
formato dei certificati;

h)
modalita’ di accesso al registro dei certificati;

i)
modalita’ con la quale viene soddisfatta la verifica dell’unicita’
della chiave pubblica, in rapporto allo stato delle conoscenze
scientifiche e tecnologiche;

j)
caratteristiche del sistema di generazione dei certificati;

k)
modalita’ di attuazione della copia del registro dei certificati;

l)
modalita’ di tenuta del giornale di controllo;

m)
descrizione del sistema di validazione temporale adottato;

n)
impegno ad adottare ogni opportuna misura tecnico-organizzativa volta
a garantire il rispetto delle disposizioni della legge 31 dicembre
1996, n. 675.

E’
data facolta’ di limitare la documentazione alle sole informazioni
non soggette a particolari ragioni di riservatezza.

L’AIPA,
dal canto suo, si riserva, a norma dell’art. 16, comma 3, del decreto
del Presidente del Consiglio dei Ministri dell’8 febbraio 1999, di
richiedere integrazioni alla documentazione presentata e di
effettuare le opportune verifiche su quanto dichiarato.

2.4.
Modalita’ di esame delle domande.

L’istruttoria
sulle domande e sulla relativa documentazione sara’ svolta, sotto il
controllo di un membro dell’Autorita’ per l’informatica all’uopo
designato, a cura degli uffici, con la concordata collaborazione
specialistica del centro tecnico di cui all’art. 17, comma 19, della
legge 15 maggio 1997, n. 127. Al termine dell’istruttoria sulla
richiesta di iscrizione nell’elenco pubblico dei certificatori, sara’
adottata dall’Autorita’, su proposta formulata dal membro designato,
deliberazione motivata di accoglimento o di reiezione ovvero di
integrazione dell’istruttoria, se ritenuta necessaria.

In
caso di reiezione della domanda di iscrizione, l’amministrazione
interessata non puo’ presentare una nuova istanza, se non siano
trascorsi almeno sei mesi dalla data di comunicazione del
provvedimento stesso e, comunque, prima che siano cessate le cause
che hanno determinato il non accoglimento della domanda.

Eventuali
richieste di delucidazioni e/o chiarimenti potranno essere inoltrate
al direttore generale dell’Autorita’ per l’informatica.

3.
Sottoscrizione del documento informatico con modalita’ semplificate
(sub punto b).

La
sottoscrizione prevista al punto sub b) e’ finalizzata a soddisfare
esigenze di semplificazione del processo di formazione dei documenti
amministrativi, per quegli adempimenti di rilevanza esclusivamente
interna, ritenendosi che l’impiego della firma digitale, come
prevista dal decreto del Presidente della Repubblica n. 513/1997 e
dalle relative regole tecniche, contenute nel decreto del Presidente
del Consiglio dei Ministri dell’8 febbraio 1999, determinerebbe un
notevole appesantimento del processo documentale stesso.

Ogni
amministrazione pubblica potra’ prescindere dal formale processo di
certificazione della chiave pubblica previsto dal decreto del
Presidente della Repubblica n. 513/1997 e dal decreto del Presidente
del Consiglio dei Ministri 8 febbraio 1999 e ricorrere a regole
tecniche dalla stessa autonomamente definite, sia per la generazione
e conservazione delle chiavi pubbliche che per la loro
certificazione, limitatamente alla sottoscrizione dei documenti
informatici d’uso interno e con riferimento al proprio ordinamento.

Per
tali adempimenti, la deroga alle regole tecniche di cui al decreto
del Presidente del Consiglio dei Ministri dell’8 febbraio 1999 e’
motivata dalla circostanza che la verifica dell’autenticita’ ed
integrita’ del documento informatico puo’ avvenire attraverso il solo
riscontro interno, grazie al processo di certificazione operato da
ogni singola amministrazione.

4.
Utilizzo di sistemi di identificazione.

Gli
strumenti di identificazione ed autenticazione, intesi come
meccanismi di verifica della reale identita’ dell’utente, possono
essere implementati e gestiti per garantire l’accesso a sistemi o per
la produzione di documentazione che non necessiti della
sottoscrizione. Le amministrazioni, per la definizione delle
specifiche di progetto, di implementazione di tali strumenti e di
sicurezza si avvalgono di quanto prescritto dal decreto del
Presidente della Repubblica n. 428/1998 e dalle relative regole
tecniche nonche’ dalle “Linee guida per la definizione di un
piano per la sicurezza” emesse dall’AIPA e pubblicate nei
quaderni AIPA n.

2
dell’ottobre 1999 e consultabili sul sito www.aipa.it In particolare,
e’ opportuno che tali strumenti costituiscano parte integrante di un
insieme di misure finalizzate al raggiungimento degli obiettivi di
sicurezza.

Tra
le misure adottabili, al fine di cui sopra, sono da ritenere
indispensabili:

la
definizione di profili di accesso associati alle utenze definite;

la
verifica dell’integrita’ dei dati;

la
registrazione, in appositi file di log, delle attivita’ svolte;

la
periodica analisi delle suddette registrazioni.

E’
inoltre necessario integrare nel sistema di sicurezza le misure
previste dal decreto del Presidente della Repubblica 28 luglio 1999,
n. 318, recante norme per l’individuazione delle misure minime di
sicurezza per il trattamento dei dati personali a norma dell’art. 15,
comma 2, della legge 31 dicembre 1996, n. 675.

Si
segnala, infine, che le pubbliche amministrazioni:

a)
definiscono e gestiscono, in modo autonomo, tutti i processi di
identificazione o autenticazione interni alle pubbliche
amministrazioni stesse e, comunque, relativi ai propri organi ed
uffici;

b)
devono accettare tutti i documenti informatici formati e sottoscritti
secondo quanto stabilito dal decreto del Presidente della Repubblica
10 novembre 1997, n. 513, dalle regole tecniche di cui al decreto del
Presidente del Consiglio dei Ministri dell’8 febbraio 1999 e dalle
regole di interoperabilita’ definite dalla circolare AIPA/CR/24 del
19 giugno 2000, in quanto validi e rilevanti ad ogni effetto di
legge;

c)
devono adottare i principi di interoperabilita’ definiti dalla citata
circolare AIPA/CR/24.

Roma,
16 febbraio 2001

Il
presidente: Rey

Articolo precedenteCCNI 22 febbraio 2001
Articolo successivopuò sostituirla l’incaricato del trattamento
Lo studio legale dedica, tutti i giorni, una piccola parte del proprio tempo all'aggiornamento del sito web della rivista. E' un'attività iniziata quasi per gioco agli albori di internet e che non cessa mai di entusiasmarci. E' anche l'occasione per restituire alla rete una parte di tutto quello che essa ci ha dato in questi anni. I bravi giuristi sono sempre i benvenuti per allargare la nostra community. Scriveteci o mandate il vostro cv a segreteria@giurdanella.it .