{\rtf1\ansi\ansicpg1252\uc1 \deff0\deflang1040\deflangfe1040{\fonttbl{\f0\froman\fcharset0\fprq2{\*\panose 02020603050405020304}Times New Roman;}{\f2\fmodern\fcharset0\fprq1{\*\panose 02070309020205020404}Courier New;} {\f23\froman\fcharset128\fprq1{\*\panose 00000000000000000000}MS Mincho{\*\falt MS ??};}{\f82\froman\fcharset128\fprq1{\*\panose 00000000000000000000}@MS Mincho;}{\f87\froman\fcharset238\fprq2 Times New Roman CE;} {\f88\froman\fcharset204\fprq2 Times New Roman Cyr;}{\f90\froman\fcharset161\fprq2 Times New Roman Greek;}{\f91\froman\fcharset162\fprq2 Times New Roman Tur;}{\f92\froman\fcharset177\fprq2 Times New Roman (Hebrew);} {\f93\froman\fcharset178\fprq2 Times New Roman (Arabic);}{\f94\froman\fcharset186\fprq2 Times New Roman Baltic;}{\f103\fmodern\fcharset238\fprq1 Courier New CE;}{\f104\fmodern\fcharset204\fprq1 Courier New Cyr;} {\f106\fmodern\fcharset161\fprq1 Courier New Greek;}{\f107\fmodern\fcharset162\fprq1 Courier New Tur;}{\f108\fmodern\fcharset177\fprq1 Courier New (Hebrew);}{\f109\fmodern\fcharset178\fprq1 Courier New (Arabic);} {\f110\fmodern\fcharset186\fprq1 Courier New Baltic;}}{\colortbl;\red0\green0\blue0;\red0\green0\blue255;\red0\green255\blue255;\red0\green255\blue0;\red255\green0\blue255;\red255\green0\blue0;\red255\green255\blue0;\red255\green255\blue255; \red0\green0\blue128;\red0\green128\blue128;\red0\green128\blue0;\red128\green0\blue128;\red128\green0\blue0;\red128\green128\blue0;\red128\green128\blue128;\red192\green192\blue192;}{\stylesheet{ \ql \li0\ri0\widctlpar\aspalpha\aspnum\faauto\adjustright\rin0\lin0\itap0 \fs24\lang1040\langfe1040\cgrid\langnp1040\langfenp1040 \snext0 Normal;}{\*\cs10 \additive Default Paragraph Font;}{ \s15\ql \li0\ri0\widctlpar\aspalpha\aspnum\faauto\adjustright\rin0\lin0\itap0 \f2\fs20\lang1040\langfe1040\cgrid\langnp1040\langfenp1040 \sbasedon0 \snext15 Plain Text;}}{\info{\title CIRCOLARE 16 febbraio 2001, n}{\author mario.farina} {\operator mario.farina}{\creatim\yr2004\mo8\dy6\hr11\min59}{\revtim\yr2004\mo8\dy6\hr11\min59}{\version2}{\edmins5}{\nofpages6}{\nofwords2791}{\nofchars15909}{\*\company Unicity}{\nofcharsws19537}{\vern8269}} \paperw11906\paperh16838\margl1152\margr1152\margt1417\margb1134 \deftab708\widowctrl\ftnbj\aenddoc\hyphhotz283\noxlattoyen\expshrtn\noultrlspc\dntblnsbdb\nospaceforul\formshade\horzdoc\dgmargin\dghspace180\dgvspace180\dghorigin1152\dgvorigin1417\dghshow1 \dgvshow1\jexpand\viewkind1\viewscale117\viewzk2\pgbrdrhead\pgbrdrfoot\splytwnine\ftnlytwnine\htmautsp\nolnhtadjtbl\useltbaln\alntblind\lytcalctblwd\lyttblrtgr\lnbrkrule \fet0\sectd \linex0\headery708\footery708\colsx708\endnhere\sectlinegrid360\sectdefaultcl {\*\pnseclvl1\pnucrm\pnstart1\pnindent720\pnhang{\pntxta .}}{\*\pnseclvl2\pnucltr\pnstart1\pnindent720\pnhang{\pntxta .}}{\*\pnseclvl3\pndec\pnstart1\pnindent720\pnhang {\pntxta .}}{\*\pnseclvl4\pnlcltr\pnstart1\pnindent720\pnhang{\pntxta )}}{\*\pnseclvl5\pndec\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl6\pnlcltr\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl7 \pnlcrm\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl8\pnlcltr\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}{\*\pnseclvl9\pnlcrm\pnstart1\pnindent720\pnhang{\pntxtb (}{\pntxta )}}\pard\plain \s15\ql \li0\ri0\widctlpar\aspalpha\aspnum\faauto\adjustright\rin0\lin0\itap0 \f2\fs20\lang1040\langfe1040\cgrid\langnp1040\langfenp1040 {\b\fs28\dbch\af23 \hich\af2\dbch\af23\loch\f2 CIRCOLARE 16 febbraio 2001, n. 27 \par }{\dbch\af23 \par \hich\af2\dbch\af23\loch\f2 Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, \par \hich\af2\dbch\af23\loch\f2 n. 513: utilizzo della firma digitale nelle pubbliche \par \hich\af2\dbch\af23\loch\f2 amministrazioni. \par \par \par \par \hich\af2\dbch\af23\loch\f2 1. Premessa. \par \hich\af2\dbch\af23\loch\f2 Com'e' noto, l'art. 3 del decreto le\hich\af2\dbch\af23\loch\f2 gislativo 12 febbraio 1993, n. \par \hich\af2\dbch\af23\loch\f2 39, ha introdotto il principio secondo il quale "gli atti \par \hich\af2\dbch\af23\loch\f2 amministrativi adottati da tutte le pubbliche amministrazioni sono di \par \hich\af2\dbch\af23\loch\f2 norma predisposti tramite i sistemi informativi automatizzati". \par \hich\af2\dbch\af23\loch\f2 L'art. 15, co\hich\af2\dbch\af23\loch\f2 mma 2, della legge 15 marzo 1997, n. 59, ha, poi, \par \hich\af2\dbch\af23\loch\f2 riconosciuto validita' e rilevanza, a tutti gli effetti di legge, \par \hich\af2\dbch\af23\loch\f2 agli atti, dati e documenti formati dalla pubblica amministrazione e \par \hich\af2\dbch\af23\loch\f2 dai privati con strumenti informatici e telematici, dem\hich\af2\dbch\af23\loch\f2 andando a \par \hich\af2\dbch\af23\loch\f2 "specifici regolamenti", da emanarsi ai sensi dell'art. 17, comma 2, \par \hich\af2\dbch\af23\loch\f2 della legge n. 400/1988, la definizione dei criteri e delle modalita' \par \hich\af2\dbch\af23\loch\f2 di applicazione della norma. \par \hich\af2\dbch\af23\loch\f2 Con decreto del Presidente della Repubblica 10 novembre 1997, n. \par \hich\af2\dbch\af23\loch\f2 51\hich\af2\dbch\af23\loch\f2 3, e' stato emanato il "Regolamento recante criteri e modalita' per \par \hich\af2\dbch\af23\loch\f2 la formazione, l'archiviazione e la trasmissione di documenti con \par \hich\af2\dbch\af23\loch\f2 strumenti informatici e telematici". \par \hich\af2\dbch\af23\loch\f2 I documenti informatici delle pubbliche amministrazioni debbono \par \hich\af2\dbch\af23\loch\f2 essere \hich\af2\dbch\af23\loch\f2 formati e conservati secondo le regole tecniche dettate \par \hich\af2\dbch\af23\loch\f2 dall'Autorita' per l'informatica nella pubblica amministrazione con \par \hich\af2\dbch\af23\loch\f2 deliberazione n. 51/00 del 23 novembre 2000, emanata ai sensi \par \hich\af2\dbch\af23\loch\f2 dell'art. 18, comma 3, del citato decreto d\hich\af2\dbch\af23\loch\f2 el Presidente della \par \hich\af2\dbch\af23\loch\f2 Repubblica n. 513/1997. \par \hich\af2\dbch\af23\loch\f2 L'art. 17 del richiamato decreto prevede che le pubbliche \par \hich\af2\dbch\af23\loch\f2 amministrazioni provvedono autonomamente, con riferimento al proprio \par \hich\af2\dbch\af23\loch\f2 ordinamento, alla generazione, alla conservazione, all\hich\af2\dbch\af23\loch\f2 a \par \hich\af2\dbch\af23\loch\f2 certificazione ed all'utilizzo delle chiavi di cifratura pubbliche di \par \hich\af2\dbch\af23\loch\f2 propria competenza, nel rispetto di quanto prescritto dall'art. 8, in \par \hich\af2\dbch\af23\loch\f2 materia di certificazione, sia per le pubbliche amministrazioni che \par \hich\af2\dbch\af23\loch\f2 per i privati, e delle regole tecniche d\hich\af2\dbch\af23\loch\f2 i cui all'art. 3. \par \hich\af2\dbch\af23\loch\f2 L'art. 16, comma 1, dell'allegato tecnico al decreto del Presidente \par \hich\af2\dbch\af23\loch\f2 del Consiglio dei Ministri 8 febbraio 1999, recante le regole \par \hich\af2\dbch\af23\loch\f2 tecniche per la formazione, la trasmissione, la conservazione, la \par \hich\af2\dbch\af23\loch\f2 duplicazione, la ripro\hich\af2\dbch\af23\loch\f2 duzione e la validazione, anche temporale dei \par \hich\af2\dbch\af23\loch\f2 documenti informatici" ai sensi dell'art. 3, comma 1, del decreto del \par \hich\af2\dbch\af23\loch\f2 Presidente della Repubblica n. 513/1997, ha determinato le modalita' \par \hich\af2\dbch\af23\loch\f2 di presentazione della domanda di iscrizione nell'elenco pubblico d\hich\af2\dbch\af23\loch\f2 ei \par \hich\af2\dbch\af23\loch\f2 certificatori di cui all'art. 8, comma 3, del decreto del Presidente \par \hich\af2\dbch\af23\loch\f2 della Repubblica 10 novembre 1997, n. 513; l'art. 62 dello stesso \par \hich\af2\dbch\af23\loch\f2 allegato definisce le regole tecniche per la certificazione da parte \par \hich\af2\dbch\af23\loch\f2 delle pubbliche amministrazioni. \par \hich\af2\dbch\af23\loch\f2 Cio\hich\af2\dbch\af23\loch\f2 ' premesso e con riferimento alle norme citate, le pubbliche \par \hich\af2\dbch\af23\loch\f2 amministrazioni possono: \par \hich\af2\dbch\af23\loch\f2 a) ai fini della sottoscrizione, ove prevista, di documenti \par \hich\af2\dbch\af23\loch\f2 informatici di rilevanza esterna: \par \hich\af2\dbch\af23\loch\f2 svolgere in proprio l'attivita' di certificazio\hich\af2\dbch\af23\loch\f2 ne di cui \par \hich\af2\dbch\af23\loch\f2 all'art. 8 del decreto 10 novembre 1997, n. 513, ma limitatamente ai \par \hich\af2\dbch\af23\loch\f2 propri organi ed uffici ed hanno l'obbligo di iscriversi nell'elenco \par \hich\af2\dbch\af23\loch\f2 pubblico dei certificatori, predisposto, tenuto e aggiornato a cura \par \hich\af2\dbch\af23\loch\f2 di questa Autorita' per l'inf\hich\af2\dbch\af23\loch\f2 ormatica, secondo le modalita' indicate \par \hich\af2\dbch\af23\loch\f2 al successivo punto 2, attenendosi alle regole tecniche di cui al \par \hich\af2\dbch\af23\loch\f2 decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999; \par \hich\af2\dbch\af23\loch\f2 rilasciare certificati di firma digitale relativi ai propri \par \hich\af2\dbch\af23\loch\f2 organ\hich\af2\dbch\af23\loch\f2 i ed uffici, avvalendosi dei servizi offerti dal centro tecnico \par \hich\af2\dbch\af23\loch\f2 o dai certificatori iscritti nell'elenco di cui sopra, acquisiti nel \par \hich\af2\dbch\af23\loch\f2 rispetto della vigente normativa in materia di contratti pubblici; in \par \hich\af2\dbch\af23\loch\f2 questo caso non vi e' obbligo di iscrizio\hich\af2\dbch\af23\loch\f2 ne nel citato elenco \par \hich\af2\dbch\af23\loch\f2 pubblico; \par \hich\af2\dbch\af23\loch\f2 b) per la sottoscrizione di documenti informatici di rilevanza \par \hich\af2\dbch\af23\loch\f2 interna: \par \hich\af2\dbch\af23\loch\f2 rilasciare ai propri organi ed uffici firme elettroniche \par \hich\af2\dbch\af23\loch\f2 certificate secondo regole tecniche diverse da quelle di cui al \par \hich\af2\dbch\af23\loch\f2 decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999; \par \hich\af2\dbch\af23\loch\f2 c) per la formazione e la gestione di documenti informatici per i \par \hich\af2\dbch\af23\loch\f2 quali non e' prevista la sottoscrizione: \par \hich\af2\dbch\af23\loch\f2 utilizzare sistemi elettronici di identificazione e \par \hich\af2\dbch\af23\loch\f2 aut\hich\af2\dbch\af23\loch\f2 enticazione che l'amministrazione, nell'ambito della propria \par \hich\af2\dbch\af23\loch\f2 autonomia organizzativa, ha ritenuto di adottare. \par \hich\af2\dbch\af23\loch\f2 2. Attivita' di certificazione ed iscrizione nel l'elenco pubblico \par \hich\af2\dbch\af23\loch\f2 dei certificatori. \par \hich\af2\dbch\af23\loch\f2 Le pubbliche amministrazioni che intendono \hich\af2\dbch\af23\loch\f2 svolgere l'attivita' di \par \hich\af2\dbch\af23\loch\f2 certificazione di cui all'art. 8 del decreto del Presidente della \par \hich\af2\dbch\af23\loch\f2 Repubblica 10 novembre 1997, n. 513, nel rispetto di quanto stabilito \par \hich\af2\dbch\af23\loch\f2 dal decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 \par \hich\af2\dbch\af23\loch\f2 devono inoltrare \hich\af2\dbch\af23\loch\f2 all'Autorita' per l'informatica nella pubblica \par \hich\af2\dbch\af23\loch\f2 amministrazione, domanda di iscrizione nell'elenco pubblico di cui \par \hich\af2\dbch\af23\loch\f2 all'art. 8, comma 3, del decreto del Presidente della Repubblica \par \hich\af2\dbch\af23\loch\f2 10 novembre 1997, n. 513, secondo le modalita' che qui di se\hich\af2\dbch\af23\loch\f2 guito si \par \hich\af2\dbch\af23\loch\f2 espongono e che sono disponibili anche sul sito Internet dell'AIPA \par \hich\af2\dbch\af23\loch\f2 www.aipa.it \par \hich\af2\dbch\af23\loch\f2 2.1. Formalita' con le quali deve essere predisposta la domanda e \par \hich\af2\dbch\af23\loch\f2 documentazione richiesta. \par \hich\af2\dbch\af23\loch\f2 La domanda, sottoscritta dal rappresentante l\hich\af2\dbch\af23\loch\f2 egale \par \hich\af2\dbch\af23\loch\f2 dell'amministrazione, in plico chiuso con evidenza del mittente e con \par \hich\af2\dbch\af23\loch\f2 l'indicazione: "domanda per l'iscrizione nell'elenco dei \par \hich\af2\dbch\af23\loch\f2 certificatori", va indirizzata e fatta pervenire all'Autorita' per \par \hich\af2\dbch\af23\loch\f2 l'informatica nella pubblica ammi\hich\af2\dbch\af23\loch\f2 nistrazione, via Isonzo, 21/b - \par \hich\af2\dbch\af23\loch\f2 00198 Roma. \par \hich\af2\dbch\af23\loch\f2 La consegna puo' avvenire tramite servizio pubblico o privato, \par \hich\af2\dbch\af23\loch\f2 oppure a mano, nei giorni compresi tra il lunedi' e il venerdi' al \par \hich\af2\dbch\af23\loch\f2 seguente orario: dalle ore 9 alle ore 13 e dalle ore 15 alle ore \hich\af2\dbch\af23\loch\f2 17. \par \hich\af2\dbch\af23\loch\f2 In quest'ultimo caso verra' data formale ricevuta di consegna del \par \hich\af2\dbch\af23\loch\f2 plico. \par \hich\af2\dbch\af23\loch\f2 La domanda e i documenti prodotti dal richiedente, vanno \par \hich\af2\dbch\af23\loch\f2 predisposti utilizzando un sistema di elaborazione testi di larga \par \hich\af2\dbch\af23\loch\f2 diffusione. Un supporto inf\hich\af2\dbch\af23\loch\f2 ormatico, contenente tale testo, con \par \hich\af2\dbch\af23\loch\f2 l'eccezione del piano per la sicurezza, va allegato alla domanda, \par \hich\af2\dbch\af23\loch\f2 insieme alla stampa, in duplice copia, del contenuto del supporto \par \hich\af2\dbch\af23\loch\f2 stesso. \par \hich\af2\dbch\af23\loch\f2 La domanda deve recare: \par \hich\af2\dbch\af23\loch\f2 l'indicazione e la sede dell'ammi\hich\af2\dbch\af23\loch\f2 nistrazione; \par \hich\af2\dbch\af23\loch\f2 l'organo che ne ha la rappresentanza legale; \par \hich\af2\dbch\af23\loch\f2 l'elenco dei documenti allegati. \par \hich\af2\dbch\af23\loch\f2 E' opportuno che vengano indicati il nominativo della persona cui \par \hich\af2\dbch\af23\loch\f2 far riferimento, anche per le vie brevi, e le modalita' per \par \hich\af2\dbch\af23\loch\f2 contattarla \hich\af2\dbch\af23\loch\f2 (numeri telefonici, telefax, telex), ai fini di una \par \hich\af2\dbch\af23\loch\f2 sollecita definizione delle eventuali problematiche che richiedessero \par \hich\af2\dbch\af23\loch\f2 chiarimenti di minore importanza. \par \hich\af2\dbch\af23\loch\f2 Alla domanda vanno allegati: \par \hich\af2\dbch\af23\loch\f2 a) copia della certificazione di qualita' dei\hich\af2\dbch\af23\loch\f2 processi \par \hich\af2\dbch\af23\loch\f2 informatici e dei relativi prodotti cui all'art. 8, comma 3, lettera \par \hich\af2\dbch\af23\loch\f2 d), del decreto del Presidente del Consiglio dei Ministri 8 febbraio \par \hich\af2\dbch\af23\loch\f2 1999; \par \hich\af2\dbch\af23\loch\f2 b) dichiarazione di piena disponibilita' a consentire accessi \par \hich\af2\dbch\af23\loch\f2 presso le strutture d\hich\af2\dbch\af23\loch\f2 edicate alle operazioni di certificazione, da \par \hich\af2\dbch\af23\loch\f2 parte di incaricati dell'AIPA, per la verifica del mantenimento della \par \hich\af2\dbch\af23\loch\f2 rispondenza ai requisiti tecnico-organizzativi di cui alla \par \hich\af2\dbch\af23\loch\f2 documentazione allegata alla domanda; \par \hich\af2\dbch\af23\loch\f2 c) copia del manuale ope\hich\af2\dbch\af23\loch\f2 rativo; \par \hich\af2\dbch\af23\loch\f2 d) copia del piano per la sicurezza; \par \hich\af2\dbch\af23\loch\f2 e) una relazione sulla struttura organizzativa; \par \hich\af2\dbch\af23\loch\f2 f) dichiarazione di impegno a comunicare tempestivamente all'AIPA \par \hich\af2\dbch\af23\loch\f2 ogni variazione significativa delle soluzioni tecnico-organizzative \par \hich\af2\dbch\af23\loch\f2 adottate, \hich\af2\dbch\af23\loch\f2 fermo restando quanto prescritto dall'art. 18 del decreto \par \hich\af2\dbch\af23\loch\f2 del Presidente del Consiglio dei Ministri 8 febbraio 1999. \par \hich\af2\dbch\af23\loch\f2 2.2. Requisiti tecnico-organizzativi da documentare. \par \hich\af2\dbch\af23\loch\f2 2.2.1. Manuale operativo. \par \hich\af2\dbch\af23\loch\f2 Il manuale operativo va strutturato in mod\hich\af2\dbch\af23\loch\f2 o tale da essere \par \hich\af2\dbch\af23\loch\f2 integralmente consultabile per via telematica, come prescritto \par \hich\af2\dbch\af23\loch\f2 dall'art. 45, comma 2, del decreto del Presidente del Consiglio dei \par \hich\af2\dbch\af23\loch\f2 Ministri 8 febbraio 1999. \par \hich\af2\dbch\af23\loch\f2 Il manuale deve contenere almeno le seguenti informazioni: \par \hich\af2\dbch\af23\loch\f2 \hich\af2\dbch\af23\loch\f2 a) dati identificativi del certificatore; \par \hich\af2\dbch\af23\loch\f2 b) dati identificativi della versione del manuale operativo; \par \hich\af2\dbch\af23\loch\f2 c) responsabile del manuale operativo; \par \hich\af2\dbch\af23\loch\f2 d) definizione degli obblighi del certificatore, del titolare e \par \hich\af2\dbch\af23\loch\f2 di quanti accedono per la verifi\hich\af2\dbch\af23\loch\f2 ca delle firme; \par \hich\af2\dbch\af23\loch\f2 e) definizione delle responsabilita' e delle eventuali \par \hich\af2\dbch\af23\loch\f2 limitazioni agli indennizzi; \par \hich\af2\dbch\af23\loch\f2 f) tariffe; \par \hich\af2\dbch\af23\loch\f2 g) modalita' di identificazione e registrazione degli utenti; \par \hich\af2\dbch\af23\loch\f2 h) modalita' di generazione delle chiavi; \par \hich\af2\dbch\af23\loch\f2 i) \hich\af2\dbch\af23\loch\f2 modalita' di emissione dei certificati; \par \hich\af2\dbch\af23\loch\f2 j) modalita' di sospensione e revoca dei certificati; \par \hich\af2\dbch\af23\loch\f2 k) modalita' di sostituzione delle chiavi; \par \hich\af2\dbch\af23\loch\f2 l) modalita' di gestione del registro dei certificati; \par \hich\af2\dbch\af23\loch\f2 m) modalita' di accesso al registro dei cert\hich\af2\dbch\af23\loch\f2 ificati; \par \hich\af2\dbch\af23\loch\f2 n) modalita' di protezione della riservatezza. \par \hich\af2\dbch\af23\loch\f2 2.2.2. Piano per la sicurezza. \par \hich\af2\dbch\af23\loch\f2 Il documento contenente il piano per la sicurezza, in quanto \par \hich\af2\dbch\af23\loch\f2 coperto da riservatezza, deve essere racchiuso in una busta \par \hich\af2\dbch\af23\loch\f2 sigillata, all'in\hich\af2\dbch\af23\loch\f2 terno del plico contenente la domanda, con evidenza \par \hich\af2\dbch\af23\loch\f2 dell'amministrazione e l'indicazione "Piano per la sicurezza - \par \hich\af2\dbch\af23\loch\f2 versione del.... (data)". \par \hich\af2\dbch\af23\loch\f2 Il piano deve contenere almeno i seguenti elementi: \par \hich\af2\dbch\af23\loch\f2 a) struttura generale, modalita' operativa e \hich\af2\dbch\af23\loch\f2 struttura logistica \par \hich\af2\dbch\af23\loch\f2 dell'organizzazione; \par \hich\af2\dbch\af23\loch\f2 b) descrizione sommaria dell'infrastruttura di sicurezza per \par \hich\af2\dbch\af23\loch\f2 ciascun immobile; \par \hich\af2\dbch\af23\loch\f2 c) breve descrizione dell'allocazione degli impianti informatici, \par \hich\af2\dbch\af23\loch\f2 dei servizi e degli uffici negli immobili dell'organ\hich\af2\dbch\af23\loch\f2 izzazione; \par \hich\af2\dbch\af23\loch\f2 d) elenco del personale addetto; \par \hich\af2\dbch\af23\loch\f2 e) attribuzioni dettagliate delle responsabilita'; \par \hich\af2\dbch\af23\loch\f2 f) algoritmi crittografici utilizzati; \par \hich\af2\dbch\af23\loch\f2 g) descrizione delle procedure utilizzate nell'attivita' di \par \hich\af2\dbch\af23\loch\f2 certificazione, con particolare rif\hich\af2\dbch\af23\loch\f2 erimento ai problemi di sicurezza, \par \hich\af2\dbch\af23\loch\f2 alla gestione del log-file e alla garanzia della sua integrita'; \par \hich\af2\dbch\af23\loch\f2 h) descrizione dei dispositivi di sicurezza installati; \par \hich\af2\dbch\af23\loch\f2 i) descrizione dei flussi di dati; \par \hich\af2\dbch\af23\loch\f2 j) procedura di gestione delle copie di si\hich\af2\dbch\af23\loch\f2 curezza dei dati \par \hich\af2\dbch\af23\loch\f2 (modalita' e frequenze dei salvataggi, tipo e ubicazione delle \par \hich\af2\dbch\af23\loch\f2 sicurezze fisiche in conformita' alle regole tecniche per l'uso di \par \hich\af2\dbch\af23\loch\f2 supporti ottici - deliberazione AIPA n. 24/98); \par \hich\af2\dbch\af23\loch\f2 k) procedure di gestione dei disastri \hich\af2\dbch\af23\loch\f2 (precisare i tipi di \par \hich\af2\dbch\af23\loch\f2 disastri per i quali sono state previste delle soluzioni: per \par \hich\af2\dbch\af23\loch\f2 calamita' naturali, per dolo, per indisponibilita' prolungata del \par \hich\af2\dbch\af23\loch\f2 sistema, per altre ragioni; descrivere le soluzioni con dettagli sui \par \hich\af2\dbch\af23\loch\f2 tempi e le modalita\hich\af2\dbch\af23\loch\f2 ' previste per il ripristino del servizio); \par \hich\af2\dbch\af23\loch\f2 l) analisi dei rischi (precisare i tipi di rischi: per dolo, per \par \hich\af2\dbch\af23\loch\f2 infedelta' del personale, per inefficienza operativa, per \par \hich\af2\dbch\af23\loch\f2 inadeguatezza tecnologica, per altre ragioni); \par \hich\af2\dbch\af23\loch\f2 m) descrizione d\hich\af2\dbch\af23\loch\f2 elle contromisure (precisare i tempi di reazioni \par \hich\af2\dbch\af23\loch\f2 previsti e i nomi dei responsabili); \par \hich\af2\dbch\af23\loch\f2 n) specificazione dei controlli (precisare se e' previsto il \par \hich\af2\dbch\af23\loch\f2 ricorso periodico a ispezioni esterne). \par \hich\af2\dbch\af23\loch\f2 2.2.3. Organizzazione del personale. \par \hich\af2\dbch\af23\loch\f2 Deve essere \hich\af2\dbch\af23\loch\f2 predisposto un apposito documento contenente la \par \hich\af2\dbch\af23\loch\f2 descrizione dell'organizzazione del personale, limitatamente alle \par \hich\af2\dbch\af23\loch\f2 funzioni elencate nell'art. 49 del decreto del Presidente del \par \hich\af2\dbch\af23\loch\f2 Consiglio dei Ministri dell'8 febbraio 1999; tale atto d\hich\af2\dbch\af23\loch\f2 eve essere \par \hich\af2\dbch\af23\loch\f2 corredato da un'adeguata documentazione, a norma dell'art. 51 del \par \hich\af2\dbch\af23\loch\f2 medesimo decreto, dell'esperienza maturata dal personale stesso. \par \hich\af2\dbch\af23\loch\f2 A norma dell'art. 16, comma 2, del citato decreto del Presidente \par \hich\af2\dbch\af23\loch\f2 del Consiglio dei Ministri, deve ess\hich\af2\dbch\af23\loch\f2 ere precisato, in particolare, il \par \hich\af2\dbch\af23\loch\f2 profilo del personale responsabile delle generazioni delle chiavi, \par \hich\af2\dbch\af23\loch\f2 della emissione dei certificati e della gestione del registro delle \par \hich\af2\dbch\af23\loch\f2 chiavi. Tale profilo dovra' essere idoneo ad attestare il possesso \par \hich\af2\dbch\af23\loch\f2 della c\hich\af2\dbch\af23\loch\f2 ompetenza e dell'esperienza richiesti dall'art. 8, comma 3, \par \hich\af2\dbch\af23\loch\f2 lettera c), del decreto del Presidente della Repubblica 10 novembre \par \hich\af2\dbch\af23\loch\f2 1997, n. 513. \par \hich\af2\dbch\af23\loch\f2 2.3. Requisiti tecnico-organizzativi da autocertificare. \par \hich\af2\dbch\af23\loch\f2 L'amministrazione e' tenuta a specifi\hich\af2\dbch\af23\loch\f2 care, con apposita \par \hich\af2\dbch\af23\loch\f2 dichiarazione, i punti che seguono: \par \hich\af2\dbch\af23\loch\f2 a) algoritmi di generazione e verifica firme utilizzati e \par \hich\af2\dbch\af23\loch\f2 supportati; \par \hich\af2\dbch\af23\loch\f2 b) algoritmi di hash utilizzati e supportati; \par \hich\af2\dbch\af23\loch\f2 c) lunghezza delle chiavi; \par \hich\af2\dbch\af23\loch\f2 d) assicurazioni relativ\hich\af2\dbch\af23\loch\f2 e al sistema di generazione delle chiavi; \par \hich\af2\dbch\af23\loch\f2 e) caratteristiche del sistema di generazione; \par \hich\af2\dbch\af23\loch\f2 f) informazioni contenute nei certificati; \par \hich\af2\dbch\af23\loch\f2 g) formato dei certificati; \par \hich\af2\dbch\af23\loch\f2 h) modalita' di accesso al registro dei certificati; \par \hich\af2\dbch\af23\loch\f2 i) modalita' con\hich\af2\dbch\af23\loch\f2 la quale viene soddisfatta la verifica \par \hich\af2\dbch\af23\loch\f2 dell'unicita' della chiave pubblica, in rapporto allo stato delle \par \hich\af2\dbch\af23\loch\f2 conoscenze scientifiche e tecnologiche; \par \hich\af2\dbch\af23\loch\f2 j) caratteristiche del sistema di generazione dei certificati; \par \hich\af2\dbch\af23\loch\f2 k) modalita' di at\hich\af2\dbch\af23\loch\f2 tuazione della copia del registro dei \par \hich\af2\dbch\af23\loch\f2 certificati; \par \hich\af2\dbch\af23\loch\f2 l) modalita' di tenuta del giornale di controllo; \par \hich\af2\dbch\af23\loch\f2 m) descrizione del sistema di validazione temporale adottato; \par \hich\af2\dbch\af23\loch\f2 n) impegno ad adottare ogni opportuna misura \par \hich\af2\dbch\af23\loch\f2 tecni\hich\af2\dbch\af23\loch\f2 co-organizzativa volta a garantire il rispetto delle \par \hich\af2\dbch\af23\loch\f2 disposizioni della legge 31 dicembre 1996, n. 675. \par \hich\af2\dbch\af23\loch\f2 E' data facolta' di limitare la documentazione alle sole \par \hich\af2\dbch\af23\loch\f2 informazioni non soggette a particolari ragioni di riservatezz\hich\af2\dbch\af23\loch\f2 a. \par \hich\af2\dbch\af23\loch\f2 L'AIPA, dal canto suo, si riserva, a norma dell'art. 16, comma 3, del \par \hich\af2\dbch\af23\loch\f2 decreto del Presidente del Consiglio dei Ministri dell'8 febbraio \par \hich\af2\dbch\af23\loch\f2 1999, di richiedere integrazioni alla documentazione presentata e di \par \hich\af2\dbch\af23\loch\f2 effettuare le opportune verifiche su qu\hich\af2\dbch\af23\loch\f2 anto dichiarato. \par \hich\af2\dbch\af23\loch\f2 2.4. Modalita' di esame delle domande. \par \hich\af2\dbch\af23\loch\f2 L'istruttoria sulle domande e sulla relativa documentazione sara' \par \hich\af2\dbch\af23\loch\f2 svolta, sotto il controllo di un membro dell'Autorita' per \par \hich\af2\dbch\af23\loch\f2 l'informatica all'uopo designato, a cura degli u\hich\af2\dbch\af23\loch\f2 ffici, con la \par \hich\af2\dbch\af23\loch\f2 concordata collaborazione specialistica del centro tecnico di cui \par \hich\af2\dbch\af23\loch\f2 all'art. 17, comma 19, della legge 15 maggio 1997, n. 127. Al termine \par \hich\af2\dbch\af23\loch\f2 dell'istruttoria sulla richiesta di iscrizione nell'elenco pubblico \par \hich\af2\dbch\af23\loch\f2 dei certificatori, sar\hich\af2\dbch\af23\loch\f2 a' adottata dall'Autorita', su proposta \par \hich\af2\dbch\af23\loch\f2 formulata dal membro designato, deliberazione motivata di \par \hich\af2\dbch\af23\loch\f2 accoglimento o di reiezione ovvero di integrazione dell'istruttoria, \par \hich\af2\dbch\af23\loch\f2 se ritenuta necessaria. \par \hich\af2\dbch\af23\loch\f2 In caso di reiezione della domanda di iscr\hich\af2\dbch\af23\loch\f2 izione, l'amministrazione \par \hich\af2\dbch\af23\loch\f2 interessata non puo' presentare una nuova istanza, se non siano \par \hich\af2\dbch\af23\loch\f2 trascorsi almeno sei mesi dalla data di comunicazione del \par \hich\af2\dbch\af23\loch\f2 provvedimento stesso e, comunque, prima che siano cessate le cause \par \hich\af2\dbch\af23\loch\f2 che hanno determ\hich\af2\dbch\af23\loch\f2 inato il non accoglimento della domanda. \par \hich\af2\dbch\af23\loch\f2 Eventuali richieste di delucidazioni e/o chiarimenti potranno \par \hich\af2\dbch\af23\loch\f2 essere inoltrate al direttore generale dell'Autorita' per \par \hich\af2\dbch\af23\loch\f2 l'informatica. \par \hich\af2\dbch\af23\loch\f2 3. Sottoscrizione del documento informatico c\hich\af2\dbch\af23\loch\f2 on modalita' \par \hich\af2\dbch\af23\loch\f2 semplificate (sub punto b). \par \hich\af2\dbch\af23\loch\f2 La sottoscrizione prevista al punto sub b) e' finalizzata a \par \hich\af2\dbch\af23\loch\f2 soddisfare esigenze di semplificazione del processo di formazione dei \par \hich\af2\dbch\af23\loch\f2 documenti amministrativi, per quegli adempimenti di rilevanza \par \hich\af2\dbch\af23\loch\f2 esclusivamente interna, ritenendosi che l'impiego della firma \par \hich\af2\dbch\af23\loch\f2 digitale, come prevista dal decreto del Presidente della Repubblica \par \hich\af2\dbch\af23\loch\f2 n. 513/1997 e dalle relative regole tecniche, contenute nel decreto \par \hich\af2\dbch\af23\loch\f2 del Presidente del Consiglio dei Mini\hich\af2\dbch\af23\loch\f2 stri dell'8 febbraio 1999, \par \hich\af2\dbch\af23\loch\f2 determinerebbe un notevole appesantimento del processo documentale \par \hich\af2\dbch\af23\loch\f2 stesso. \par \hich\af2\dbch\af23\loch\f2 Ogni amministrazione pubblica potra' prescindere dal formale \par \hich\af2\dbch\af23\loch\f2 processo di certificazione della chiave pubblica previsto dal decreto \par \hich\af2\dbch\af23\loch\f2 del \hich\af2\dbch\af23\loch\f2 Presidente della Repubblica n. 513/1997 e dal decreto del \par \hich\af2\dbch\af23\loch\f2 Presidente del Consiglio dei Ministri 8 febbraio 1999 e ricorrere a \par \hich\af2\dbch\af23\loch\f2 regole tecniche dalla stessa autonomamente definite, sia per la \par \hich\af2\dbch\af23\loch\f2 generazione e conservazione delle chiavi pubb\hich\af2\dbch\af23\loch\f2 liche che per la loro \par \hich\af2\dbch\af23\loch\f2 certificazione, limitatamente alla sottoscrizione dei documenti \par \hich\af2\dbch\af23\loch\f2 informatici d'uso interno e con riferimento al proprio ordinamento. \par \hich\af2\dbch\af23\loch\f2 Per tali adempimenti, la deroga alle regole tecniche di cui al \par \hich\af2\dbch\af23\loch\f2 decreto del Presiden\hich\af2\dbch\af23\loch\f2 te del Consiglio dei Ministri dell'8 febbraio \par \hich\af2\dbch\af23\loch\f2 1999 e' motivata dalla circostanza che la verifica dell'autenticita' \par \hich\af2\dbch\af23\loch\f2 ed integrita' del documento informatico puo' avvenire attraverso il \par \hich\af2\dbch\af23\loch\f2 solo riscontro interno, grazie al processo di certificazione ope\hich\af2\dbch\af23\loch\f2 rato \par \hich\af2\dbch\af23\loch\f2 da ogni singola amministrazione. \par \hich\af2\dbch\af23\loch\f2 4. Utilizzo di sistemi di identificazione. \par \hich\af2\dbch\af23\loch\f2 Gli strumenti di identificazione ed autenticazione, intesi come \par \hich\af2\dbch\af23\loch\f2 meccanismi di verifica della reale identita' dell'utente, possono \par \hich\af2\dbch\af23\loch\f2 essere implementati e gestiti \hich\af2\dbch\af23\loch\f2 per garantire l'accesso a sistemi o per \par \hich\af2\dbch\af23\loch\f2 la produzione di documentazione che non necessiti della \par \hich\af2\dbch\af23\loch\f2 sottoscrizione. Le amministrazioni, per la definizione delle \par \hich\af2\dbch\af23\loch\f2 specifiche di progetto, di implementazione di tali strumenti e di \par \hich\af2\dbch\af23\loch\f2 si\hich\af2\dbch\af23\loch\f2 curezza si avvalgono di quanto prescritto dal decreto del \par \hich\af2\dbch\af23\loch\f2 Presidente della Repubblica n. 428/1998 e dalle relative regole \par \hich\af2\dbch\af23\loch\f2 tecniche nonche' dalle "Linee guida per la definizione di un piano \par \hich\af2\dbch\af23\loch\f2 per la sicurezza" emesse dall'AIPA e pubblic\hich\af2\dbch\af23\loch\f2 ate nei quaderni AIPA n. \par \hich\af2\dbch\af23\loch\f2 2 dell'ottobre 1999 e consultabili sul sito www.aipa.it \par \hich\af2\dbch\af23\loch\f2 In particolare, e' opportuno che tali strumenti costituiscano parte \par \hich\af2\dbch\af23\loch\f2 integrante di un insieme di misure finalizzate al raggiungimento \par \hich\af2\dbch\af23\loch\f2 degli obiettivi di sicurezza. \par \hich\af2\dbch\af23\loch\f2 Tra le misure adottabili, al fine di cui sopra, sono da ritenere \par \hich\af2\dbch\af23\loch\f2 indispensabili: \par \hich\af2\dbch\af23\loch\f2 la definizione di profili di accesso associati alle utenze \par \hich\af2\dbch\af23\loch\f2 definite; \par \hich\af2\dbch\af23\loch\f2 la verifica dell'integrita' dei dati; \par \hich\af2\dbch\af23\loch\f2 la registrazione, in appositi file \hich\af2\dbch\af23\loch\f2 di log, delle attivita' \par \hich\af2\dbch\af23\loch\f2 svolte; \par \hich\af2\dbch\af23\loch\f2 la periodica analisi delle suddette registrazioni. \par \hich\af2\dbch\af23\loch\f2 E' inoltre necessario integrare nel sistema di sicurezza le misure \par \hich\af2\dbch\af23\loch\f2 previste dal decreto del Presidente della Repubblica 28 luglio 1999, \par \hich\af2\dbch\af23\loch\f2 n. 318, recante no\hich\af2\dbch\af23\loch\f2 rme per l'individuazione delle misure minime di \par \hich\af2\dbch\af23\loch\f2 sicurezza per il trattamento dei dati personali a norma dell'art. 15, \par \hich\af2\dbch\af23\loch\f2 comma 2, della legge 31 dicembre 1996, n. 675. \par \hich\af2\dbch\af23\loch\f2 Si segnala, infine, che le pubbliche amministrazioni: \par \hich\af2\dbch\af23\loch\f2 a) definiscono e gestisc\hich\af2\dbch\af23\loch\f2 ono, in modo autonomo, tutti i processi \par \hich\af2\dbch\af23\loch\f2 di identificazione o autenticazione interni alle pubbliche \par \hich\af2\dbch\af23\loch\f2 amministrazioni stesse e, comunque, relativi ai propri organi ed \par \hich\af2\dbch\af23\loch\f2 uffici; \par \hich\af2\dbch\af23\loch\f2 b) devono accettare tutti i documenti informatici form\hich\af2\dbch\af23\loch\f2 ati e \par \hich\af2\dbch\af23\loch\f2 sottoscritti secondo quanto stabilito dal decreto del Presidente \par \hich\af2\dbch\af23\loch\f2 della Repubblica 10 novembre 1997, n. 513, dalle regole tecniche di \par \hich\af2\dbch\af23\loch\f2 cui al decreto del Presidente del Consiglio dei Ministri \par \hich\af2\dbch\af23\loch\f2 dell'8 febbraio 1999 e dalle reg\hich\af2\dbch\af23\loch\f2 ole di interoperabilita' definite \par \hich\af2\dbch\af23\loch\f2 dalla circolare AIPA/CR/24 del 19 giugno 2000, in quanto validi e \par \hich\af2\dbch\af23\loch\f2 rilevanti ad ogni effetto di legge; \par \hich\af2\dbch\af23\loch\f2 c) devono adottare i principi di interoperabilita' definiti dalla \par \hich\af2\dbch\af23\loch\f2 citata circolare AIPA/CR/24. \par \par \par \hich\af2\dbch\af23\loch\f2 Ro\hich\af2\dbch\af23\loch\f2 ma, 16 febbraio 2001 \par \hich\af2\dbch\af23\loch\f2 Il presidente: Rey \par \par }}