Architetto.info - Architetto.info | Architetto.info

Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, ...

Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nelle pubbliche amministrazioni.

1. Premessa.

Com’e’ noto, l’art. 3 del decreto legislativo 12 febbraio 1993, n.
39, ha introdotto il principio secondo il quale “gli atti
amministrativi adottati da tutte le pubbliche amministrazioni sono
di norma predisposti tramite i sistemi informativi automatizzati”.

L’art. 15, comma 2, della legge 15 marzo 1997, n. 59, ha, poi,
riconosciuto validita’ e rilevanza, a tutti gli effetti di legge,
agli atti, dati e documenti formati dalla pubblica amministrazione
e dai privati con strumenti informatici e telematici, demandando a
“specifici regolamenti”, da emanarsi ai sensi dell’art. 17, comma
2, della legge n. 400/1988, la definizione dei criteri e delle
modalita’ di applicazione della norma.

Con decreto del Presidente della Repubblica 10 novembre 1997, n.
513, e’ stato emanato il “Regolamento recante criteri e modalita’
per la formazione, l’archiviazione e la trasmissione di documenti
con strumenti informatici e telematici”.

I documenti informatici delle pubbliche amministrazioni debbono
essere formati e conservati secondo le regole tecniche dettate
dall’Autorita’ per l’informatica nella pubblica amministrazione con
deliberazione n. 51/00 del 23 novembre 2000, emanata ai sensi
dell’art. 18, comma 3, del citato decreto del Presidente della
Repubblica n. 513/1997.

L’art. 17 del richiamato decreto prevede che le pubbliche
amministrazioni provvedono autonomamente, con riferimento al
proprio ordinamento, alla generazione, alla conservazione, alla
certificazione ed all’utilizzo delle chiavi di cifratura pubbliche
di propria competenza, nel rispetto di quanto prescritto dall’art.
8, in materia di certificazione, sia per le pubbliche
amministrazioni che per i privati, e delle regole tecniche di cui
all’art. 3.

L’art. 16, comma 1, dell’allegato tecnico al decreto del Presidente
del Consiglio dei Ministri 8 febbraio 1999, recante le regole
tecniche per la formazione, la trasmissione, la conservazione, la
duplicazione, la riproduzione e la validazione, anche temporale dei
documenti informatici” ai sensi dell’art. 3, comma 1, del decreto
del Presidente della Repubblica n. 513/1997, ha determinato le
modalita’ di presentazione della domanda di iscrizione nell’elenco
pubblico dei certificatori di cui all’art. 8, comma 3, del decreto
del Presidente della Repubblica 10 novembre 1997, n. 513; l’art. 62
dello stesso allegato definisce le regole tecniche per la
certificazione da parte delle pubbliche amministrazioni.

Cio’ premesso e con riferimento alle norme citate, le pubbliche
amministrazioni possono:

a) ai fini della sottoscrizione, ove prevista, di documenti
informatici di rilevanza esterna:

svolgere in proprio l’attivita’ di certificazione di cui all’art. 8
del decreto 10 novembre 1997, n. 513, ma limitatamente ai propri
organi ed uffici ed hanno l’obbligo di iscriversi nell’elenco
pubblico dei certificatori, predisposto, tenuto e aggiornato a cura
di questa Autorita’ per l’informatica, secondo le modalita’
indicate al successivo punto 2, attenendosi alle regole tecniche di
cui al decreto del Presidente del Consiglio dei Ministri 8 febbraio
1999;

rilasciare certificati di firma digitale relativi ai propri organi
ed uffici, avvalendosi dei servizi offerti dal centro tecnico o dai
certificatori iscritti nell’elenco di cui sopra, acquisiti nel
rispetto della vigente normativa in materia di contratti pubblici;
in questo caso non vi e’ obbligo di iscrizione nel citato elenco
pubblico;

b) per la sottoscrizione di documenti informatici di rilevanza
interna:

rilasciare ai propri organi ed uffici firme elettroniche
certificate secondo regole tecniche diverse da quelle di cui al
decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999;

c) per la formazione e la gestione di documenti informatici per i
quali non e’ prevista la sottoscrizione:

utilizzare sistemi elettronici di identificazione e autenticazione
che l’amministrazione, nell’ambito della propria autonomia
organizzativa, ha ritenuto di adottare.

2. Attivita’ di certificazione ed iscrizione nel l’elenco pubblico
dei certificatori.

Le pubbliche amministrazioni che intendono svolgere l’attivita’ di
certificazione di cui all’art. 8 del decreto del Presidente della
Repubblica 10 novembre 1997, n. 513, nel rispetto di quanto
stabilito dal decreto del Presidente del Consiglio dei Ministri 8
febbraio 1999 devono inoltrare all’Autorita’ per l’informatica
nella pubblica amministrazione, domanda di iscrizione nell’elenco
pubblico di cui all’art. 8, comma 3, del decreto del Presidente
della Repubblica 10 novembre 1997, n. 513, secondo le modalita’ che
qui di seguito si espongono e che sono disponibili anche sul sito
Internet dell’AIPA www.aipa.it 2.1. Formalita’ con le quali deve
essere predisposta la domanda e documentazione richiesta.

La domanda, sottoscritta dal rappresentante legale
dell’amministrazione, in plico chiuso con evidenza del mittente e
con l’indicazione: “domanda per l’iscrizione nell’elenco dei
certificatori”, va indirizzata e fatta pervenire all’Autorita’ per
l’informatica nella pubblica amministrazione, via Isonzo, 21/b –
00198 Roma.

La consegna puo’ avvenire tramite servizio pubblico o privato,
oppure a mano, nei giorni compresi tra il lunedi’ e il venerdi’ al
seguente orario: dalle ore 9 alle ore 13 e dalle ore 15 alle ore
17.

In quest’ultimo caso verra’ data formale ricevuta di consegna del
plico.

La domanda e i documenti prodotti dal richiedente, vanno
predisposti utilizzando un sistema di elaborazione testi di larga
diffusione. Un supporto informatico, contenente tale testo, con
l’eccezione del piano per la sicurezza, va allegato alla domanda,
insieme alla stampa, in duplice copia, del contenuto del supporto
stesso.

La domanda deve recare:

l’indicazione e la sede dell’amministrazione;

l’organo che ne ha la rappresentanza legale;

l’elenco dei documenti allegati.

E’ opportuno che vengano indicati il nominativo della persona cui
far riferimento, anche per le vie brevi, e le modalita’ per
contattarla (numeri telefonici, telefax, telex), ai fini di una
sollecita definizione delle eventuali problematiche che
richiedessero chiarimenti di minore importanza.

Alla domanda vanno allegati:

a) copia della certificazione di qualita’ dei processi informatici
e dei relativi prodotti cui all’art. 8, comma 3, lettera d), del
decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999;

b) dichiarazione di piena disponibilita’ a consentire accessi
presso le strutture dedicate alle operazioni di certificazione, da
parte di incaricati dell’AIPA, per la verifica del mantenimento
della rispondenza ai requisiti tecnico-organizzativi di cui alla
documentazione allegata alla domanda;

c) copia del manuale operativo;

d) copia del piano per la sicurezza;

e) una relazione sulla struttura organizzativa;

f) dichiarazione di impegno a comunicare tempestivamente all’AIPA
ogni variazione significativa delle soluzioni tecnico-organizzative
adottate, fermo restando quanto prescritto dall’art. 18 del decreto
del Presidente del Consiglio dei Ministri 8 febbraio 1999.

2.2. Requisiti tecnico-organizzativi da documentare.

2.2.1. Manuale operativo.

Il manuale operativo va strutturato in modo tale da essere
integralmente consultabile per via telematica, come prescritto
dall’art. 45, comma 2, del decreto del Presidente del Consiglio dei
Ministri 8 febbraio 1999.

Il manuale deve contenere almeno le seguenti informazioni:

a) dati identificativi del certificatore;

b) dati identificativi della versione del manuale operativo;

c) responsabile del manuale operativo;

d) definizione degli obblighi del certificatore, del titolare e di
quanti accedono per la verifica delle firme;

e) definizione delle responsabilita’ e delle eventuali limitazioni
agli indennizzi;

f) tariffe;

g) modalita’ di identificazione e registrazione degli utenti;

h) modalita’ di generazione delle chiavi;

i) modalita’ di emissione dei certificati;

j) modalita’ di sospensione e revoca dei certificati;

k) modalita’ di sostituzione delle chiavi;

l) modalita’ di gestione del registro dei certificati;

m) modalita’ di accesso al registro dei certificati;

n) modalita’ di protezione della riservatezza.

2.2.2. Piano per la sicurezza.

Il documento contenente il piano per la sicurezza, in quanto
coperto da riservatezza, deve essere racchiuso in una busta
sigillata, all’interno del plico contenente la domanda, con
evidenza dell’amministrazione e l’indicazione “Piano per la
sicurezza – versione del…. (data)”.

Il piano deve contenere almeno i seguenti elementi:

a) struttura generale, modalita’ operativa e struttura logistica
dell’organizzazione;

b) descrizione sommaria dell’infrastruttura di sicurezza per
ciascun immobile;

c) breve descrizione dell’allocazione degli impianti informatici,
dei servizi e degli uffici negli immobili dell’organizzazione;

d) elenco del personale addetto;

e) attribuzioni dettagliate delle responsabilita’;

f) algoritmi crittografici utilizzati;

g) descrizione delle procedure utilizzate nell’attivita’ di
certificazione, con particolare riferimento ai problemi di
sicurezza, alla gestione del log-file e alla garanzia della sua
integrita’;

h) descrizione dei dispositivi di sicurezza installati;

i) descrizione dei flussi di dati;

j) procedura di gestione delle copie di sicurezza dei dati
(modalita’ e frequenze dei salvataggi, tipo e ubicazione delle
sicurezze fisiche in conformita’ alle regole tecniche per l’uso di
supporti ottici – deliberazione AIPA n. 24/98);

k) procedure di gestione dei disastri (precisare i tipi di disastri
per i quali…

[Continua nel file zip allegato]

Architetto.info