HOME PAGE
Oggi è il
 Segnala lex.iaconet.com      aggiungi lex.iaconet.com ai tuoi preferiti     imposta lex.iaconet.com come pagina iniziale
 servizi principali
 home page
 presentazione
 avvocati UE
 albo avvocati
 domiciliatari
 ordine avvocati
 deontologia on line
 ricerca giuridica
 partner
 segnala risorsa
 canali tematici
 glossario giuridico
 diritto europeo
 giurisprudenza
 news cassazione
 legge e codici
 legge & internet
 costituzionale
 diritto penale
 procedura penale
 criminologia
 penitenziario
 diritto civile
 processuale civile
 codice della strada
 amministrativo
 diritto familiare
 diritti consumatori
 fiscale & tributario
 associazioni
 diritto ambientale
 diritto commerciale
 aste & fallimenti
 studi legali on line
 siti giuridici
 tribunali on line
 diritto del lavoro
 istituzioni ed enti
 previdenza pensioni
 università on line
 diritto romano
 utilità varie
 diritto varie
 Aggiungi  le  news  legali  di  lex.iaconet.com  nel  tuo  sito





PARTE PRIMA ARTICOLI 1 - 24
Decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004


Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici in G.U. n. 98 del 27 aprile 2004

Il Presidente del Consiglio dei Ministri
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa e in particolare l'articolo 8, comma 2;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche;
Visto l0'articolo 15, comma 2, della legge 15 marzo 1997, n. 59;
Vista la decisione della Commissione europea 14 luglio 2003 relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del parlamento europeo e del Consiglio induce ad integrare in tal senso le premesse del provvedimento, pubblicata sulla Gazzetta ufficiale dell'Unione Europea L 175/45 del 15 luglio 2003 che induce ad integrare in tal senso le premesse del provvedimento;
Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, con il quale è stata attribuita al Ministro per l'innovazione e le tecnologie, dott. Lucio Stanca, tra l'altro, la delega ad esercitare le funzioni spettanti al Presidente del Consiglio dei Ministri nelle materie dell'innovazione tecnologica, dello sviluppo della società dell'informazione, nonché delle connesse innovazioni per le amministrazioni pubbliche;
Sentito il Ministro per la funzione pubblica
Sentito il Garante per la protezione dei dati personali;
Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, CE attuata con decreto legislativo 23 novembre 2000, n. 427;

DECRETA


TITOLO I
DISPOSIZIONI GENERALI


Art. 1 - Definizioni
1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute negli articoli 1 e 22 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni. Si intende, inoltre, per:
A) TESTO UNICO il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, emanato con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
B) DIPARTIMENTO il dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei ministri o altro organismo di cui si avvale il Ministro per l'innovazione e le tecnologie;
C) CHIAVI, la coppia di chiavi asimmetriche come definite all'articolo 22, comma 1, lettera b), del testo unico; D) IMPRONTA di una sequenza di simboli binari (bit), la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash;
E) FUNZIONE DI HASH, una funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) per le quali la funzione generi impronte uguali;
F) EVIDENZA INFORMATICA, una sequenza di simboli binari (bit) che può essere elaborata da una procedura informatica;
G) RIFERIMENTO TEMPORALE, informazione, contenente la data e l'ora, che viene associata ad uno o più documenti informatici;
H) VALIDAZIONE TEMPORALE, il risultato della procedura informatica, con cui si attribuisce, ad uno o più documenti informatici, un riferimento temporale opponibile ai terzi;
I) MARCA TEMPORALE, un'evidenza informatica che consente la validazione temporale.

Art. 2 - Ambito di applicazione
1. Il presente decreto stabilisce, ai sensi dell'articolo 8, comma 2, del testo unico, le regole tecniche per la generazione, apposizione e verifica delle firme digitali.
2. Le disposizioni di cui al titolo II si applicano ai certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico.
3. Ai certificatori accreditati o che intendono accreditarsi ai sensi del testo unico si applicano, oltre a quanto previsto dal comma 2, anche le disposizioni di cui al titolo III.
4. I certificatori accreditati devono disporre di un sistema di validazione temporale conforme alle disposizioni di cui al titolo IV.
5. Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione europea e dello spazio economico europeo in conformità alle norme nazionali di recepimento della direttiva 1999/93/CE, è consentito di circolare liberamente nel mercato interno.
6. Le disposizioni di cui al comma 5 si applicano anche agli Stati non appartenenti all'Unione europea con i quali siano stati stipulati specifici accordi di riconoscimento reciproco.


TITOLO II
REGOLE TECNICHE DI BASE


Art. 3 - Norme tecniche di riferimento
1. I prodotti di firma digitale e i dispositivi sicuri di firma di cui all'articolo 29-sexies del testo unico, devono essere conformi alle norme generalmente riconosciute a livello internazionale o individuate dalla Commissione europea secondo la procedura di cui all'articolo 9 della direttiva n. 1999/93/CE.
2. Gli algoritmi di generazione e verifica delle firme digitali e le funzioni di hash sono individuati ai sensi del comma 1.
3. Il documento informatico sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma non produce gli effetti di cui all'articolo 10, comma 3, del testo unico se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.

Art. 4 - Caratteristiche generali delle chiavi per la creazione e la verifica della firma
1. Una coppia di chiavi per la creazione e la verifica della firma può essere attribuita ad un solo titolare.
2. Se il titolare appone la sua firma per mezzo di una procedura automatica, deve utilizzare una coppia di chiavi diversa da tutte le altre in suo possesso.
3. Se la procedura automatica fa uso di più dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata una coppia di chiavi diversa per ciascun dispositivo.
4. Ai fini del presente decreto, le chiavi di creazione e verifica della firma, ed i correlati servizi, si distinguono secondo le seguenti tipologie:
a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;
b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati qualificati, alle liste di revoca (CRL) e sospensione (CSL), ovvero alla sottoscrizione dei certificati relativi a chiavi di marcatura temporale;
c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.
5. Non è consentito l'uso di una coppia di chiavi per funzioni diverse da quelle previste, per ciascuna tipologia, dal precedente comma 4.
6. In deroga a quanto stabilito al comma 5, le chiavi di certificazione di cui al comma 4, lettera b), possono essere utilizzate per altre finalità previa autorizzazione da parte del Dipartimento.
7. La robustezza delle chiavi deve essere tale da garantire un adeguato livello di sicurezza in rapporto allo stato delle conoscenze scientifiche e tecnologiche.

Art. 5 - Generazione delle chiavi
1. La generazione della coppia di chiavi deve essere effettuata mediante dispositivi e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicità e la robustezza della coppia generata, nonché la segretezza della chiave privata.
2. Il sistema di generazione della coppia di chiavi deve comunque assicurare:
a) la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati;
b) l'equiprobabilità di generazione di tutte le coppie possibili;
c) l'identificazione del soggetto che attiva la procedura di generazione.

Art. 6 - Modalità di generazione delle chiavi
1. Le chiavi di certificazione possono essere generate esclusivamente dal responsabile del servizio.
2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.
3. La generazione delle chiavi di sottoscrizione effettuata autonomamente dal titolare deve avvenire all'interno del dispositivo sicuro per la generazione delle firme, che deve essere rilasciato o indicato dal certificatore.
4. Il certificatore deve assicurarsi che il dispositivo sicuro per la generazione delle firme, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'articolo 29-sexies del testo unico e all'articolo 9 del presente decreto.
5. Il titolare è tenuto ad utilizzare esclusivamente il dispositivo fornito dal certificatore ovvero un dispositivo scelto tra quelli indicati dal certificatore stesso.

Art. 7 - Conservazione delle chiavi
1. È vietata la duplicazione della chiave privata e dei dispositivi che la contengono.
2. Per fini particolari di sicurezza, è consentito che le chiavi di certificazione vengano esportate purché ciò avvenga con modalità tali da non ridurre il livello di sicurezza.
3. Il titolare della coppia di chiavi deve:
a) conservare con la massima diligenza la chiave privata o il dispositivo che la contiene al fine di garantirne l'integrità e la massima riservatezza;
b) conservare le informazioni di abilitazione all'uso della chiave privata separatamente dal dispositivo contenente la chiave;
c) richiedere immediatamente la revoca dei certificati qualificati relativi alle chiavi contenute in dispositivi di firma difettosi o di cui abbia perduto il possesso.

Art. 8 - Generazione delle chiavi al di fuori del dispositivo di firma
1. Se la generazione delle chiavi avviene su un sistema diverso da quello destinato all'uso della chiave privata, il sistema di generazione deve assicurare:
a) l'impossibilità di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l'esecuzione della procedura;
b) il trasferimento della chiave privata, in condizioni di massima sicurezza, nel dispositivo di firma in cui verrà utilizzata.
2. Il sistema di generazione deve essere isolato, dedicato esclusivamente a questa attività ed adeguatamente protetto contro i rischi di interferenze ed intercettazioni.
3. L'accesso al sistema deve essere controllato e ciascun utente preventivamente identificato. Ogni sessione di lavoro deve essere registrata nel giornale di controllo.
4. Prima della generazione di una nuova coppia di chiavi, l'intero sistema deve procedere alla verifica della propria configurazione, dell'autenticità ed integrità del software installato e dell'assenza di programmi non previsti dalla procedura.

Art. 9 - Dispositivi sicuri e procedure per la generazione della firma
1. In aggiunta a quanto previsto all'articolo 29-sexies del testo unico, la generazione della firma deve avvenire all'interno di un dispositivo sicuro di firma, così che non sia possibile l'intercettazione della chiave privata utilizzata.
2. Il dispositivo sicuro di firma deve poter essere attivato esclusivamente dal titolare prima di procedere alla generazione della firma.
3. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, secondo i criteri indicati all'articolo 53.
4. La personalizzazione del dispositivo sicuro di firma deve almeno garantire:
a) l'acquisizione da parte del certificatore dei dati identificativi del dispositivo di firma utilizzato e la loro associazione al titolare;
b) la registrazione nel dispositivo di firma del certificato qualificato relativo alle chiavi di sottoscrizione del titolare.
5. La personalizzazione del dispositivo sicuro di firma può prevedere, per l'utilizzo nelle procedure di verifica della firma, la registrazione, nel dispositivo di firma, del certificato elettronico relativo alla chiave pubblica del certificatore la cui corrispondente privata è stata utilizzata per sottoscrivere il certificato qualificato relativo alle chiavi di sottoscrizione del titolare.
6. La personalizzazione del dispositivo di firma è registrata nel giornale di controllo.
7. Il certificatore deve adottare, nel processo di personalizzazione del dispositivo sicuro per la generazione delle firme, procedure atte ad identificare il titolare di un dispositivo sicuro di firma e dei certificati in esso contenuti.

Art. 10 - Verifica delle firme digitali
1. I certificatori che rilasciano certificati qualificati devono fornire ovvero indicare almeno un sistema che consenta di effettuare la verifica delle firme digitali.

Art. 11 - Informazioni riguardanti i certificatori
1. I certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico devono fornire al dipartimento le seguenti informazioni e documenti:
a) dati anagrafici ovvero denominazione o ragione sociale;
b) residenza ovvero sede legale;
c) sedi operative;
d) rappresentante legale;
e) certificati delle chiavi di certificazione;
f) piano per la sicurezza contenuto in busta sigillata;
g) manuale operativo di cui al successivo articolo 38;
h) dichiarazione di impegno al rispetto delle disposizioni del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
i) dichiarazione di conformità ai requisiti previsti nel presente decreto;
l) relazione sulla struttura organizzativa;
m) copia di una polizza assicurativa di copertura dei rischi dell'attività e dei danni causati a terzi.
2. Il dipartimento rende accessibili in via telematica le informazioni di cui al comma 1, lettere a), b), d).
3. Restano salve le disposizioni del decreto del Presidente della Repubblica 23 dicembre 1997, n. 522, e successive modificazioni con riferimento ai compiti di certificazione e di validazione temporale del Centro nazionale per l'informatica nelle pubbliche amministrazioni, in conformità alle disposizioni dei regolamenti previsti dall'articolo 15, comma 2, della legge 15 marzo 1997, n. 59.

Art. 12 - Comunicazione tra certificatore e Dipartimento
1. I certificatori che rilasciano al pubblico certificati qualificati devono attenersi alle regole emanate dal Dipartimento per realizzare un sistema di comunicazione sicuro attraverso il quale scambiare le informazioni previste dal presente decreto.

Art. 13 - Generazione delle chiavi di certificazione
1. La generazione delle chiavi di certificazione deve avvenire in modo conforme a quanto previsto dal presente Titolo.
2. Per ciascuna chiave di certificazione il certificatore deve generare un certificato sottoscritto con la chiave privata della coppia cui il certificato si riferisce.
3. I valori contenuti nei singoli campi del certificato delle chiavi di certificazione devono essere codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.

Art. 14 - Generazione dei certificati qualificati
1. In aggiunta agli obblighi previsti per il certificatore dall'articolo 29-bis del testo unico prima di emettere il certificato qualificato il certificatore deve:
a) accertarsi dell'autenticità della richiesta;
b) verificare il possesso della chiave privata e il corretto funzionamento della coppia di chiavi.
2. Il certificato qualificato deve essere generato con un sistema conforme a quanto previsto dall'articolo 28.
3. L'emissione dei certificati qualificati deve essere registrata nel giornale di controllo con la specificazione della data e dell'ora della generazione.
4. Il momento della generazione dei certificati deve essere attestato tramite un riferimento temporale.

Art. 15 - Informazioni contenute nei certificati qualificati
1. Fatto salvo quanto previsto dall'articolo 27-bis del testo unico, i certificati qualificati devono contenere almeno le seguenti informazioni:
a) codice identificativo del titolare presso il certificatore;
b) tipologia della coppia di chiavi in base all'uso cui sono destinate.
2. Le informazioni personali contenute nel certificato sono utilizzabili unicamente per identificare il titolare della firma elettronica, per legittimare la sottoscrizione del documento informatico, nonché per indicare eventuali funzioni del titolare.
3. I valori contenuti nei singoli campi del certificato qualificato devono essere codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.
4. Il certificatore determina il periodo di validità dei certificati qualificati in funzione della robustezza delle chiavi di creazione e verifica impiegate e dei servizi cui essi sono destinati.
5. Il certificatore custodisce le informazioni di cui all'articolo 29-bis, comma 2, lettera m) del testo unico, per un periodo non inferiore a dieci anni dalla data di scadenza o revoca del certificato qualificato.

Art. 16 - Revoca e sospensione del certificato qualificato
1. Fatto salvo quanto previsto dall'articolo 29-septies del testo unico, il certificato qualificato deve essere revocato o sospeso dal certificatore, ove quest'ultimo abbia notizia della compromissione della chiave privata o del dispositivo per la creazione della firma.

Art. 17 - Revoca dei certificati qualificati relativi a chiavi di sottoscrizione
1. La revoca del certificato qualificato relativo a chiavi di sottoscrizione viene effettuata dal certificatore mediante l'inserimento del suo codice identificativo in una delle liste di certificati revocati e sospesi (CRL/CSL).
2. Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione dell'aggiornamento della lista di revoca.
3. La revoca dei certificati è annotata nel giornale di controllo con la specificazione della data e dell'ora della pubblicazione della nuova lista.

Art. 18 - Revoca su iniziativa del certificatore
1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato qualificato deve darne preventiva comunicazione al titolare, specificando i motivi della revoca nonché la data e l'ora a partire dalla quale la revoca è efficace.

Art. 19 - Revoca su richiesta del titolare
1. La richiesta di revoca deve essere inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua decorrenza.
2. Le modalità di inoltro della richiesta devono essere indicate dal certificatore nel manuale operativo di cui al successivo articolo 38.
3. Il certificatore deve verificare l'autenticità della richiesta e procedere alla revoca entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.
4. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Art. 20 - Revoca su richiesta del terzo interessato
1. La richiesta di revoca da parte del terzo interessato da cui derivano i poteri di rappresentanza del titolare deve essere inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua decorrenza.
2. Il certificatore deve notificare la revoca al titolare.
3. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Art. 21 - Sospensione dei certificati qualificati
1. La sospensione del certificato qualificato è effettuata dal certificatore attraverso l'inserimento di tale certificato in una delle liste dei certificati revocati e sospesi (CRL/CSL).
2. La sospensione dei certificati è annotata nel giornale di controllo con l'indicazione della data e dell'ora di esecuzione dell'operazione.

Art. 22 - Sospensione su iniziativa del certificatore
1. Salvo casi d'urgenza, che il certificatore è tenuto a motivare contestualmente alla notifica di cui al comma 2, il certificatore che intende sospendere un certificato qualificato deve darne preventiva comunicazione al titolare specificando i motivi della sospensione e la sua durata.
2. L'avvenuta sospensione del certificato qualificato deve essere tempestivamente notificata al titolare specificando la data e l'ora a partire dalla quale il certificato qualificato risulta sospeso.
3. Se la sospensione è causata da una richiesta di revoca motivata dalla possibile compromissione della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione della sospensione.

Art. 23 - Sospensione su richiesta del titolare
1. La richiesta di sospensione deve essere inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua durata.
2. Le modalità di inoltro della richiesta devono essere indicate dal certificatore nel manuale operativo.
3. Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.

Art. 24 - Sospensione su richiesta del terzo interessato
1. La richiesta di sospensione da parte del terzo interessato da cui derivano i poteri di rappresentanza del titolare deve essere inoltrata al certificatore munita di sottoscrizione del titolare e con la specificazione della sua durata.
2. Il certificatore deve notificare la sospensione al titolare.





top torna ad inizio pagina


iaconet.com® è registrato. Copyright . Tutti i diritti riservati. Per info: e-mail
Leggi le note legali & condizioni di utilizzo. A cura del Dott. Rodolfo Iaconello. Sede legale in Caltanissetta (italy).