Fonti normative e documenti
Autorita' per l'informatica nella pubblica amministrazione
Circolare del 16 febbraio 2001, n. AIPA/CR/27
Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n.
513: utilizzo della firma digitale nelle Pubbliche Amministrazioni

1. Premessa

Com'e'noto, l'art. 3 del decreto legislativo 12 febbraio1993, n. 39
haintrodotto il principio secondo il quale"gli atti amministrativi
adottati datuttelepubblicheamministrazioni sonodinorma
predisposti tramite i sistemi informativi automatizzati".

L'art.15,comma 2,della legge15marzo 1997,n.59, ha,poi,
riconosciuto validita'e rilevanza, a tutti gli effetti di legge, agli
atti,dati e documentiformati dalla Pubblica Amministrazionee dai
privaticon strumenti informaticie telematici, L'art. 15,comma 2,
dellalegge 59/97 ha stabilito il principiodella validita' giuridica
dei documentiinformatici nei settori pubblico e privato.demandando a
"specificiregolamenti", da emanarsi ai sensi dell'art.17, comma 2,
dellalegge n. 400/1988, la definizione dei criterie delle modalita'
di applicazione della norma.

Con decretodel Presidente della Repubblica 10 novembre 1997, n. 513,
e'stato emanatoil "Regolamentorecante criterie modalita' perla
formazione,l'archiviazione elatrasmissionedidocumenticon
strumenti informatici e telematici".

Idocumenti informaticidellepubblicheamministrazionidebbono
essereformatieconservatisecondoleregoletecnichedettate
dall'Autorita'perl'informatica nellapubblica amministrazionecon
deliberazionen.51/2000del 23novembre2000,emanata aisensi
dell'art. 18, comma 3, del citato d.P.R. n. 513/1997.

IlDecreto del Presidente dellaRepubblica 10 novembre 1997,n. 513
ha definito i principi ed i criteri in materia di firma digitale.

L'art. 17 delrichiamato decretoprevede chele pubbliche
amministrazioniprovvedono autonomamente, con riferimentoal proprio
ordinamento,allagenerazione,allaconservazione,alla
certificazione edall'utilizzo delle chiavi di cifratura pubbliche di
propria competenza,nel rispetto di quanto prescritto dall'art. 8, in
materiadi certificazione, siaper le pubblicheamministrazioni che
per i privati, e delle regole tecniche di cui all'art. 3.

Conil decreto del Presidente del Consiglio deiMinistri 8.2.99 sono
state emanate le relative regole tecniche.

IlDecreto delPresidente della Repubblica10 novembre 1997,n.513
all'art.17 stabilisceche lePubbliche Amministrazioniprovvedono
autonomamente, con riferimento alproprio ordinamento, alla
generazione,alla conservazione, alla certificazioneed all'utilizzo
delle chiavi pubbliche di competenza.

L'art.8 dellostesso decretostabilisce iprincipi in materiadi
certificazionesia perlePubblicheAmministrazionisiaperi
privati.

Ildecreto del Presidente del Consiglio dei Ministri8 febbraio 1999
hadefinitole regoletecnichein materiadifirma digitale.In
particolare,l'artL'art.16,. 16,comma 1,comma 1,dell'allegato
tecnicoal d.P.C.M. 8 febbraio 1999, recante le"Regole tecniche per
la formazione,la trasmissione, la conservazione, la duplicazione, la
riproduzione elavalidazione, anchetemporale deidocumenti
informatici"ai sensi dell'art. 3,comma 1, del d.P.R.n. 513/1997,
hastabilito determinato lemodalita' di presentazionedella domanda
di iscrizionenell'elenco pubblicodei certificatoridi cui
all'art.8,comma 3,del decreto delPresidente della Repubblica10
novembre1997, n. 513; l'art.62 dello stesso allegatodefinisce le
regoletecnicheperlacertificazionedapartedellepubbliche
amministrazioni.

Cio'premessoeconriferimentoallenorme citate,lepubbliche
amministrazioni possono:

a) aifinidella sottoscrizione,oveprevista, didocumenti
informatici di rilevanza esterna:

 o svolgere in proprio l'attivita' di certificazione di cui all'art.
 8 del decreto 10 novembre 1997, n. 513, ma limitatamente ai
 propri organi ed uffici ed hanno l'obbligo di iscriversi
 nell'elenco pubblico dei certificatori, predisposto, tenuto e
 aggiornato a cura di questa Autorita' per l'informatica,A secondo
 le modalita' indicate al successivo punto 2, attenendosi alle
 regole tecniche di cui al Dd.P.C.M. 8 febbraio 1999;
 o rilasciare certificati di firma digitale relativi ai propri
 organi ed uffici, avvalendosi dei servizi offerti dal Centro
 tecnico o dai certificatori iscritti nell'elenco di cui sopra,
 acquisiti nel rispetto della vigente normativa in materia di
 contratti pubblici; in questo caso non vi e' obbligo di
 iscrizione nel citato elenco pubblico;

b)perlasottoscrizionedidocumentiinformaticidirilevanza
interna:

 o rilasciare ai propri organi ed uffici firme elettroniche
 certificate secondo regole tecniche diverse da quelle di cui al
 d.P.C.M. 8 febbraio 1999;

c)per laformazione ela gestione didocumenti informatici peri
quali non e' prevista la sottoscrizione:

 o utilizzare, sistemi elettronici di identificazione e
 autenticazione che l'Amministrazione, nell'ambito della propria
 autonomia organizzativa, ha ritenuto di adottare.

2.Attivita'dicertificazioneediscrizione nell'elencopubblicodei
certificatori.

Lepubblicheamministrazioni cheintendonosvolgere l'attivita'di
certificazionedi cuiall'art. 8del decretodel Presidentedella
Repubblica 10novembre 1997, n. 513, nel rispetto di quanto stabilito
dal decretodel Presidente del Consiglio dei Ministri 8 febbraio 1999
devono inoltrareall'Autorita'perl'informatica nellapubblica
amministrazione,domanda diiscrizione nell'elencopubblico dicui
all'art. 8,comma 3, del d.P.R. 10 novembre 1997, n.513, secondo le
modalita' chequi di seguito si espongono e che sono disponibili anche
sul sito Internet dell'AIPA www.aipa.it.

2.1.Formalita' con le qualideve essere predisposta ladomanda e la
documentazione richiesta.

La domanda, sottoscritta dal rappresentante legale
dell'Amministrazione, inplico chiuso con evidenza del mittente e con
l'indicazione:"Domandaperl'iscrizione nell'elencodei
certificatori",vaindirizzata efattapervenire all'Autorita'per
l'informaticanellaPubblica Amministrazionei,ViaIsonzo, 21/b-
00198 Roma.

Laconsegna puo' avvenire tramite servizio pubblicoo privato, oppure
amano, nei giornicompresi tra illunedi' e il venerdi'al seguente
orario:dalle ore 09.00alle ore13.00 e dalleore 15.00 alleore
17.00.In quest'ultimo casoverra' data formale ricevutadi consegna
del plico.

Ladomanda e i documenti prodotti dalrichiedente, vanno predisposti
utilizzandoun sistema di elaborazione testi dilarga diffusione. Un
supportoinformatico,contenentetaletesto, conl'eccezionedel
pianoperlasicurezza,vaallegatoalla domanda,insiemealla
stampa, in duplice copia, del contenuto del supporto stesso.

La domanda deve recare:

 o l'indicazione e la sede dell'Amministrazione;
 o l'organo che ne ha la rappresentanza legale;
 o l'elenco dei documenti allegati.

E'opportuno che vengano indicati il nominativo dellapersona cui far
riferimento,anche per levie brevi,e le modalita'per contattarla
(numeri telefonici,telefax, telex), in vistaai fini di una sollecita
definizione delleeventuali problematiche che richiedessero
chiarimenti di minore importanza.

Alla domanda vanno allegati:

a. copia della certificazione di qualita' dei processi informatici e
 dei relativi prodotti cui all'art. 8, comma 3, lettera d), del
 d.P.C.M. 8 febbraio 1999;
b. dichiarazione di piena disponibilita' a consentire accessi presso
 le strutture dedicate alle operazioni di certificazione, da
 parte di incaricati dell'AIPA, finalizzati allaper la verifica
 del mantenimento della rispondenza ai requisiti
 tecnico-organizzativi di cui alla documentazione allegata alla
 domanda;
c. copia del manuale operativo;
d. copia del piano per la sicurezza;
e. una relazione sulla struttura organizzativa;
f. fermo restando quanto prescritto dall'art.18 del decreto del
 Presidente del Consiglio dei Ministri 8 febbraio 1999 sopra
 citato, dichiarazione di impegno a comunicare tempestivamente
 all'AIPA ogni variazione significativa delle soluzioni
 tecnico-organizzative adottate,. fermo restando quanto
 prescritto dall'art.18 del d.P.C.M. 8 febbraio 1999.

2.2. Requisiti tecnico-organizzativi da documentare

2.2.1. Manuale operativo.

Il manualeoperativova strutturatoinmodotale daessere
integralmente consultabileperviatelematica, comeprescritto
dall'art. 45, comma 2, del d.P.C.M. 8 febbraio 1999.

Il manuale deve contenere almeno le seguenti informazioni:

a. dati identificativi del certificatore;
b. dati identificativi della versione del manuale operativo;
c. responsabile del manuale operativo;
d. definizione degli obblighi del certificatore, del titolare e di
 quanti accedono per la verifica delle firme;
e. definizione delle responsabilita' e delle eventuali limitazioni
 agli indennizzi;
f. tariffe;
g. modalita' di identificazione e registrazione degli utenti;
h. modalita' di generazione delle chiavi;
i. modalita' di emissione dei certificati;
j. modalita' di sospensione e revoca dei certificati;
k. modalita' di sostituzione delle chiavi;
l. modalita' di gestione del registro dei certificati;
m. modalita' di accesso al registro dei certificati;
n. modalita' di protezione della riservatezza.

2.2.2. Piano per la sicurezza

Ildocumento contenente il piano per la sicurezza,in quanto coperto
dariservatezza,deveessereracchiusoinunabustasigillata,
all'interno del plico contenente ladomanda, con evidenza
dell'Amministrazionee l'indicazione"Pianoperlasicurezza-
versione del....(data)".

Il piano deve contenere almeno i seguenti elementi:

a. struttura generale, modalita' operativa e struttura logistica
 dell'organizzazione;
b. descrizione sommaria dell'infrastruttura di sicurezza per
 ciascun immobile;
c. breve descrizione dell'allocazione degli impianti informatici,
 dei servizi e degli uffici negli immobili dell'organizzazione;
d. elenco del personale addetto;
e. attribuzioni dettagliate delle responsabilita';
f. algoritmi crittografici utilizzati;
g. descrizione delle procedure utilizzate nell'attivita' di
 certificazione, con particolare riferimento ai problemi di
 sicurezza, alla gestione del log-file e alla garanzia della sua
 integrita'
h. descrizione dei dispositivi di sicurezza installati;
i. descrizione dei flussi di dati;
j. procedura di gestione delle copie di sicurezza dei dati
 (modalita' e frequenze dei salvataggi, tipo e ubicazione delle
 sicurezze fisiche in conformita' alle regole tecniche per l'uso
 di supporti ottici - deliberazione AIPA n. 24/98);
k. procedure di gestione dei disastri (precisare i tipi di disastri
 per i quali sono state previste delle soluzioni: per calamita'
 naturali, per dolo, per indisponibilita' prolungata del sistema,
 per altre ragioni; descrivere le soluzioni con dettagli sui
 tempi e le modalita' previste per il ripristino del servizio);
l. analisi dei rischi (precisare i tipi di rischi: per dolo, per
 infedelta' del personale, per inefficienza operativa, per
 inadeguatezza tecnologica, per altre ragioni);
m. descrizione delle contromisure (precisare i tempi di reazioni
 previsti e i nomi dei responsabili);
n. specificazione dei controlli (precisare se e' previsto il ricorso
 periodico a ispezioni esterne).

2.2.3. Organizzazione del personale

VaDeveesserepredispostounappositodocumentocontenentela
descrizionedell'organizzazionedelpersonale,limitatamentealle
funzionielencatenell'art. 49del d.P.C.M.dell'8 febbraio1999;
taleattodeveessere corredatodaun'adeguata documentazione,a
normadell' successivo art. 51 delmedesimo decreto, dell'esperienza
maturata dal personale stesso.

Vaprecisato, inparticolare, aAnorma dell'art.16, comma 2,del
citatod.P.C.M., deveessere precisato,in particolare, ilprofilo
delpersonaleresponsabiledellegenerazioni dellechiavi,della
emissione deicertificati e della gestione del registro delle chiavi.
Taleprofilodovra'essere idoneoadattestareil possessodella
competenzae dell'esperienza richiesti dall'art. 8,comma 3, lettera
c), del d.P.R. 10 novembre 1997, n. 513.

2.3. Requisiti tecnico-organizzativi da autocertificare.

L'Amministrazione e'tenuta a specificare, con apposita dichiarazione,
i punti che seguono:

a. algoritmi di generazione e verifica firme utilizzati e
 supportati;
b. algoritmi di hash utilizzati e supportati;
c. lunghezza delle chiavi;
d. assicurazioni relative al sistema di generazione delle chiavi;
e. caratteristiche del sistema di generazione;
f. informazioni contenute nei certificati;
g. formato dei certificati;
h. modalita' di accesso al registro dei certificati;
i. modalita' con la quale viene soddisfatta la verifica dell'unicita'
 della chiave pubblica, in rapporto allo stato delle conoscenze
 scientifiche e tecnologiche;
j. caratteristiche del sistema di generazione dei certificati;
k. modalita' di attuazione della copia del registro dei certificati;
l. modalita' di tenuta del giornale di controllo;
m. descrizione del sistema di validazione temporale adottato;
n. impegno ad adottare ogni opportuna misura tecnico-organizzativa
 volta a garantire il rispetto delle disposizioni della legge 31
 dicembre 1996, n. 675.

E'data facolta' dilimitare la documentazione allesole informazioni
non soggettea particolari ragioni di riservatezza. L'AIPA, dal canto
suo,si riserva, a normadell'art. 16, comma 3,del d.P.C.M. dell'8
febbraio 1999,di richiedereintegrazionialla documentazione
presentata edieffettuare leopportuneverifiche suquanto
dichiarato.

2.4. Modalita' di esame delle domande.

L'istruttoria delle sulle domande e della sulla relativa
documentazione sara'svolta,sotto ilcontrollodi unmembro
dell'Autorita'perl'informaticaall'uopodesignato, acuradegli
Uffici,con laconcordata collaborazionespecialistica delcCentro
tecnico dicui all'art. 17, comma 19, della legge 15maggio 1997, n.
127.Alterminedell'istruttoria,sullarichiestadiiscrizione
nell'elencopubblico dei certificatori, sara'adottata dall'Autorita',
suproposta formulatadal Membrodesignato, motivatadeliberazione
motivata diaccoglimentoo direiezioneovvero, seritenuta
necessaria,di integrazione dell'istruttoria,.se ritenuta
necessaria.

L'Amministrazione,le cui domandedi inserzione sianostate oggetto
diprovvedimento direiezioneIn caso direiezione della domandadi
iscrizione,l'amministrazione interessata non possonopuo' presentare
presentareuna nuova istanza, se non siano trascorsialmeno sei mesi
dalladatadi comunicazionedel provvedimentostesso e,comunque,
primachesianocessatelecauseche hannodeterminatoilnon
accoglimento della presente domanda.

Eventualirichieste di delucidazioni e/ochiarimenti potranno essere
inoltrate al direttore Direttoregenerale dell'Autorita' per
l'informatica.

3. Sottoscrizionedel documento informatico con modalita' semplificate (sub
punto b).

Lasottoscrizioneprevistasub alpuntosubb) e'finalizzataa
soddisfareesigenze disemplificazionedelprocessodocumentale
amminiprocesso diformazione dei documenti amministrativi, per quegli
adempimentidi solarilevanzaesclusivamenteinterna,ritenendo
ritenendosi chel'impiego della firma digitale, come prevista dal DPR
n.513/97 edalle relative regoletecniche, contenute neld.P.C.M.
dell'8febbraio 1999, determinerebbeun notevoleappesantimento del
processo documentale stesso.

Ogniamministrazione pubblica potra' prescinderedal formale processo
di certificazionedella chiave pubblica previsto dal d.P.R. n. 513/97
edal d.P.C.M. 8 febbraio 1999, quindi e ricorrerea regole tecniche
dallastessa autonomamentedefinite,siaperlagenerazionee
conservazione dellechiavi pubbliche, che per la loro certificazione,
limitatamenteallasottoscrizionedei documentiinformaticid'uso
interno e con riferimento al proprio ordinamento.

Per taliadempimenti, la deroga alle regole tecniche, previste di cui
dald.P.C.M.dell'8 febbraio1999,si giustificaperil fattoe'
motivatadalla circostanzachelaverificadell'autenticita'ed
integrita'del documento informaticoavviene puo'avvenire attraverso
ilsoloriscontrointerno,grazieal processodicertificazione
operato da ogni singola amministrazione.

4. Utilizzo di sistemi di identificazione

Glistrumentidiidentificazioneedautenticazione,intesicome
meccanismidiverificadellareale identita'dell'utente,possono
essere implementatie gestiti per garantire l'accesso a sistemi o per
la produzionedi documentazione che non necessiti della
sottoscrizione. Le Amministrazioni,per ladefinizione delle
specifichedi progetto,di implementazionedi talistrumenti edi
sicurezzasi avvalgono diquanto prescrittodal DPR 428/98e dalle
relative regoletecniche nonche' dalle "Linee guida per la definizione
diunpiano perlasicurezza" emessedall'AIPAe pubblicatenei
QuaderniAIPAn.2dell'ottobre1999e consultabiliesulsito
www.aipa.it.

Inparticolare, e'opportuno chetali strumenti costituiscanoparte
integrantediuninsieme dimisurefinalizzate alraggiungimento
degli obiettivi di sicurezza.

Trale misureadottabili, alfine dicui sopra,sono daritenere
indispensabili:

 o la definizione di profili di accesso associati alle utenze
 definite;
 o la verifica dell'integrita' dei dati;
 o la registrazione, in appositi file di log, delle attivita'
 svolte;
 o la periodica analisi delle suddette registrazioni.

E'inoltre necessariointegrare nelsistema disicurezza lemisure
previstedalD.P.R.28luglio1999,n. 318,recantenormeper
l'individuazionedelle misure minime di sicurezzaper il trattamento
deidati personalia normadell'art. 15,comma 2,della legge31
dicembre 1996, n. 675.

* * * * *

Si segnala, infine, che le pubbliche amministrazioni:

a. definiscono e gestiscono, in modo autonomo, tutti i processi di
 identificazione o autenticazione interni alle pubbliche
 amministrazioni stesse e, comunque, relativi ai propri organi ed
 uffici;
b. devono accettare tutti i documenti informatici formati e
 sottoscritti secondo quanto stabilito dal d.P.R. 10 novembre
 1997, n. 513, dalle regole tecniche di cui al d.P.C.M. dell'8
 febbraio 1999 e dalle regole di interoperabilita' definite dalla
 Circolare AIPA/CR/24 del 19 giugno 2000, in quanto validi e
 rilevanti ad ogni effetto di legge;
c. devono adottare i principi di interoperabilita' definiti dalla
 citata circolare AIPA/CR/24.
08.02.01