Fonti normative e documenti Autorita' per l'informatica nella pubblica amministrazione Circolare del 16 febbraio 2001, n. AIPA/CR/27 Art. 17 del decreto del Presidente della Repubblica 10 novembre 1997, n. 513: utilizzo della firma digitale nelle Pubbliche Amministrazioni 1. Premessa Com'e'noto, l'art. 3 del decreto legislativo 12 febbraio1993, n. 39 haintrodotto il principio secondo il quale"gli atti amministrativi adottati datuttelepubblicheamministrazioni sonodinorma predisposti tramite i sistemi informativi automatizzati". L'art.15,comma 2,della legge15marzo 1997,n.59, ha,poi, riconosciuto validita'e rilevanza, a tutti gli effetti di legge, agli atti,dati e documentiformati dalla Pubblica Amministrazionee dai privaticon strumenti informaticie telematici, L'art. 15,comma 2, dellalegge 59/97 ha stabilito il principiodella validita' giuridica dei documentiinformatici nei settori pubblico e privato.demandando a "specificiregolamenti", da emanarsi ai sensi dell'art.17, comma 2, dellalegge n. 400/1988, la definizione dei criterie delle modalita' di applicazione della norma. Con decretodel Presidente della Repubblica 10 novembre 1997, n. 513, e'stato emanatoil "Regolamentorecante criterie modalita' perla formazione,l'archiviazione elatrasmissionedidocumenticon strumenti informatici e telematici". Idocumenti informaticidellepubblicheamministrazionidebbono essereformatieconservatisecondoleregoletecnichedettate dall'Autorita'perl'informatica nellapubblica amministrazionecon deliberazionen.51/2000del 23novembre2000,emanata aisensi dell'art. 18, comma 3, del citato d.P.R. n. 513/1997. IlDecreto del Presidente dellaRepubblica 10 novembre 1997,n. 513 ha definito i principi ed i criteri in materia di firma digitale. L'art. 17 delrichiamato decretoprevede chele pubbliche amministrazioniprovvedono autonomamente, con riferimentoal proprio ordinamento,allagenerazione,allaconservazione,alla certificazione edall'utilizzo delle chiavi di cifratura pubbliche di propria competenza,nel rispetto di quanto prescritto dall'art. 8, in materiadi certificazione, siaper le pubblicheamministrazioni che per i privati, e delle regole tecniche di cui all'art. 3. Conil decreto del Presidente del Consiglio deiMinistri 8.2.99 sono state emanate le relative regole tecniche. IlDecreto delPresidente della Repubblica10 novembre 1997,n.513 all'art.17 stabilisceche lePubbliche Amministrazioniprovvedono autonomamente, con riferimento alproprio ordinamento, alla generazione,alla conservazione, alla certificazioneed all'utilizzo delle chiavi pubbliche di competenza. L'art.8 dellostesso decretostabilisce iprincipi in materiadi certificazionesia perlePubblicheAmministrazionisiaperi privati. Ildecreto del Presidente del Consiglio dei Ministri8 febbraio 1999 hadefinitole regoletecnichein materiadifirma digitale.In particolare,l'artL'art.16,. 16,comma 1,comma 1,dell'allegato tecnicoal d.P.C.M. 8 febbraio 1999, recante le"Regole tecniche per la formazione,la trasmissione, la conservazione, la duplicazione, la riproduzione elavalidazione, anchetemporale deidocumenti informatici"ai sensi dell'art. 3,comma 1, del d.P.R.n. 513/1997, hastabilito determinato lemodalita' di presentazionedella domanda di iscrizionenell'elenco pubblicodei certificatoridi cui all'art.8,comma 3,del decreto delPresidente della Repubblica10 novembre1997, n. 513; l'art.62 dello stesso allegatodefinisce le regoletecnicheperlacertificazionedapartedellepubbliche amministrazioni. Cio'premessoeconriferimentoallenorme citate,lepubbliche amministrazioni possono: a) aifinidella sottoscrizione,oveprevista, didocumenti informatici di rilevanza esterna: o svolgere in proprio l'attivita' di certificazione di cui all'art. 8 del decreto 10 novembre 1997, n. 513, ma limitatamente ai propri organi ed uffici ed hanno l'obbligo di iscriversi nell'elenco pubblico dei certificatori, predisposto, tenuto e aggiornato a cura di questa Autorita' per l'informatica,A secondo le modalita' indicate al successivo punto 2, attenendosi alle regole tecniche di cui al Dd.P.C.M. 8 febbraio 1999; o rilasciare certificati di firma digitale relativi ai propri organi ed uffici, avvalendosi dei servizi offerti dal Centro tecnico o dai certificatori iscritti nell'elenco di cui sopra, acquisiti nel rispetto della vigente normativa in materia di contratti pubblici; in questo caso non vi e' obbligo di iscrizione nel citato elenco pubblico; b)perlasottoscrizionedidocumentiinformaticidirilevanza interna: o rilasciare ai propri organi ed uffici firme elettroniche certificate secondo regole tecniche diverse da quelle di cui al d.P.C.M. 8 febbraio 1999; c)per laformazione ela gestione didocumenti informatici peri quali non e' prevista la sottoscrizione: o utilizzare, sistemi elettronici di identificazione e autenticazione che l'Amministrazione, nell'ambito della propria autonomia organizzativa, ha ritenuto di adottare. 2.Attivita'dicertificazioneediscrizione nell'elencopubblicodei certificatori. Lepubblicheamministrazioni cheintendonosvolgere l'attivita'di certificazionedi cuiall'art. 8del decretodel Presidentedella Repubblica 10novembre 1997, n. 513, nel rispetto di quanto stabilito dal decretodel Presidente del Consiglio dei Ministri 8 febbraio 1999 devono inoltrareall'Autorita'perl'informatica nellapubblica amministrazione,domanda diiscrizione nell'elencopubblico dicui all'art. 8,comma 3, del d.P.R. 10 novembre 1997, n.513, secondo le modalita' chequi di seguito si espongono e che sono disponibili anche sul sito Internet dell'AIPA www.aipa.it. 2.1.Formalita' con le qualideve essere predisposta ladomanda e la documentazione richiesta. La domanda, sottoscritta dal rappresentante legale dell'Amministrazione, inplico chiuso con evidenza del mittente e con l'indicazione:"Domandaperl'iscrizione nell'elencodei certificatori",vaindirizzata efattapervenire all'Autorita'per l'informaticanellaPubblica Amministrazionei,ViaIsonzo, 21/b- 00198 Roma. Laconsegna puo' avvenire tramite servizio pubblicoo privato, oppure amano, nei giornicompresi tra illunedi' e il venerdi'al seguente orario:dalle ore 09.00alle ore13.00 e dalleore 15.00 alleore 17.00.In quest'ultimo casoverra' data formale ricevutadi consegna del plico. Ladomanda e i documenti prodotti dalrichiedente, vanno predisposti utilizzandoun sistema di elaborazione testi dilarga diffusione. Un supportoinformatico,contenentetaletesto, conl'eccezionedel pianoperlasicurezza,vaallegatoalla domanda,insiemealla stampa, in duplice copia, del contenuto del supporto stesso. La domanda deve recare: o l'indicazione e la sede dell'Amministrazione; o l'organo che ne ha la rappresentanza legale; o l'elenco dei documenti allegati. E'opportuno che vengano indicati il nominativo dellapersona cui far riferimento,anche per levie brevi,e le modalita'per contattarla (numeri telefonici,telefax, telex), in vistaai fini di una sollecita definizione delleeventuali problematiche che richiedessero chiarimenti di minore importanza. Alla domanda vanno allegati: a. copia della certificazione di qualita' dei processi informatici e dei relativi prodotti cui all'art. 8, comma 3, lettera d), del d.P.C.M. 8 febbraio 1999; b. dichiarazione di piena disponibilita' a consentire accessi presso le strutture dedicate alle operazioni di certificazione, da parte di incaricati dell'AIPA, finalizzati allaper la verifica del mantenimento della rispondenza ai requisiti tecnico-organizzativi di cui alla documentazione allegata alla domanda; c. copia del manuale operativo; d. copia del piano per la sicurezza; e. una relazione sulla struttura organizzativa; f. fermo restando quanto prescritto dall'art.18 del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 sopra citato, dichiarazione di impegno a comunicare tempestivamente all'AIPA ogni variazione significativa delle soluzioni tecnico-organizzative adottate,. fermo restando quanto prescritto dall'art.18 del d.P.C.M. 8 febbraio 1999. 2.2. Requisiti tecnico-organizzativi da documentare 2.2.1. Manuale operativo. Il manualeoperativova strutturatoinmodotale daessere integralmente consultabileperviatelematica, comeprescritto dall'art. 45, comma 2, del d.P.C.M. 8 febbraio 1999. Il manuale deve contenere almeno le seguenti informazioni: a. dati identificativi del certificatore; b. dati identificativi della versione del manuale operativo; c. responsabile del manuale operativo; d. definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme; e. definizione delle responsabilita' e delle eventuali limitazioni agli indennizzi; f. tariffe; g. modalita' di identificazione e registrazione degli utenti; h. modalita' di generazione delle chiavi; i. modalita' di emissione dei certificati; j. modalita' di sospensione e revoca dei certificati; k. modalita' di sostituzione delle chiavi; l. modalita' di gestione del registro dei certificati; m. modalita' di accesso al registro dei certificati; n. modalita' di protezione della riservatezza. 2.2.2. Piano per la sicurezza Ildocumento contenente il piano per la sicurezza,in quanto coperto dariservatezza,deveessereracchiusoinunabustasigillata, all'interno del plico contenente ladomanda, con evidenza dell'Amministrazionee l'indicazione"Pianoperlasicurezza- versione del....(data)". Il piano deve contenere almeno i seguenti elementi: a. struttura generale, modalita' operativa e struttura logistica dell'organizzazione; b. descrizione sommaria dell'infrastruttura di sicurezza per ciascun immobile; c. breve descrizione dell'allocazione degli impianti informatici, dei servizi e degli uffici negli immobili dell'organizzazione; d. elenco del personale addetto; e. attribuzioni dettagliate delle responsabilita'; f. algoritmi crittografici utilizzati; g. descrizione delle procedure utilizzate nell'attivita' di certificazione, con particolare riferimento ai problemi di sicurezza, alla gestione del log-file e alla garanzia della sua integrita' h. descrizione dei dispositivi di sicurezza installati; i. descrizione dei flussi di dati; j. procedura di gestione delle copie di sicurezza dei dati (modalita' e frequenze dei salvataggi, tipo e ubicazione delle sicurezze fisiche in conformita' alle regole tecniche per l'uso di supporti ottici - deliberazione AIPA n. 24/98); k. procedure di gestione dei disastri (precisare i tipi di disastri per i quali sono state previste delle soluzioni: per calamita' naturali, per dolo, per indisponibilita' prolungata del sistema, per altre ragioni; descrivere le soluzioni con dettagli sui tempi e le modalita' previste per il ripristino del servizio); l. analisi dei rischi (precisare i tipi di rischi: per dolo, per infedelta' del personale, per inefficienza operativa, per inadeguatezza tecnologica, per altre ragioni); m. descrizione delle contromisure (precisare i tempi di reazioni previsti e i nomi dei responsabili); n. specificazione dei controlli (precisare se e' previsto il ricorso periodico a ispezioni esterne). 2.2.3. Organizzazione del personale VaDeveesserepredispostounappositodocumentocontenentela descrizionedell'organizzazionedelpersonale,limitatamentealle funzionielencatenell'art. 49del d.P.C.M.dell'8 febbraio1999; taleattodeveessere corredatodaun'adeguata documentazione,a normadell' successivo art. 51 delmedesimo decreto, dell'esperienza maturata dal personale stesso. Vaprecisato, inparticolare, aAnorma dell'art.16, comma 2,del citatod.P.C.M., deveessere precisato,in particolare, ilprofilo delpersonaleresponsabiledellegenerazioni dellechiavi,della emissione deicertificati e della gestione del registro delle chiavi. Taleprofilodovra'essere idoneoadattestareil possessodella competenzae dell'esperienza richiesti dall'art. 8,comma 3, lettera c), del d.P.R. 10 novembre 1997, n. 513. 2.3. Requisiti tecnico-organizzativi da autocertificare. L'Amministrazione e'tenuta a specificare, con apposita dichiarazione, i punti che seguono: a. algoritmi di generazione e verifica firme utilizzati e supportati; b. algoritmi di hash utilizzati e supportati; c. lunghezza delle chiavi; d. assicurazioni relative al sistema di generazione delle chiavi; e. caratteristiche del sistema di generazione; f. informazioni contenute nei certificati; g. formato dei certificati; h. modalita' di accesso al registro dei certificati; i. modalita' con la quale viene soddisfatta la verifica dell'unicita' della chiave pubblica, in rapporto allo stato delle conoscenze scientifiche e tecnologiche; j. caratteristiche del sistema di generazione dei certificati; k. modalita' di attuazione della copia del registro dei certificati; l. modalita' di tenuta del giornale di controllo; m. descrizione del sistema di validazione temporale adottato; n. impegno ad adottare ogni opportuna misura tecnico-organizzativa volta a garantire il rispetto delle disposizioni della legge 31 dicembre 1996, n. 675. E'data facolta' dilimitare la documentazione allesole informazioni non soggettea particolari ragioni di riservatezza. L'AIPA, dal canto suo,si riserva, a normadell'art. 16, comma 3,del d.P.C.M. dell'8 febbraio 1999,di richiedereintegrazionialla documentazione presentata edieffettuare leopportuneverifiche suquanto dichiarato. 2.4. Modalita' di esame delle domande. L'istruttoria delle sulle domande e della sulla relativa documentazione sara'svolta,sotto ilcontrollodi unmembro dell'Autorita'perl'informaticaall'uopodesignato, acuradegli Uffici,con laconcordata collaborazionespecialistica delcCentro tecnico dicui all'art. 17, comma 19, della legge 15maggio 1997, n. 127.Alterminedell'istruttoria,sullarichiestadiiscrizione nell'elencopubblico dei certificatori, sara'adottata dall'Autorita', suproposta formulatadal Membrodesignato, motivatadeliberazione motivata diaccoglimentoo direiezioneovvero, seritenuta necessaria,di integrazione dell'istruttoria,.se ritenuta necessaria. L'Amministrazione,le cui domandedi inserzione sianostate oggetto diprovvedimento direiezioneIn caso direiezione della domandadi iscrizione,l'amministrazione interessata non possonopuo' presentare presentareuna nuova istanza, se non siano trascorsialmeno sei mesi dalladatadi comunicazionedel provvedimentostesso e,comunque, primachesianocessatelecauseche hannodeterminatoilnon accoglimento della presente domanda. Eventualirichieste di delucidazioni e/ochiarimenti potranno essere inoltrate al direttore Direttoregenerale dell'Autorita' per l'informatica. 3. Sottoscrizionedel documento informatico con modalita' semplificate (sub punto b). Lasottoscrizioneprevistasub alpuntosubb) e'finalizzataa soddisfareesigenze disemplificazionedelprocessodocumentale amminiprocesso diformazione dei documenti amministrativi, per quegli adempimentidi solarilevanzaesclusivamenteinterna,ritenendo ritenendosi chel'impiego della firma digitale, come prevista dal DPR n.513/97 edalle relative regoletecniche, contenute neld.P.C.M. dell'8febbraio 1999, determinerebbeun notevoleappesantimento del processo documentale stesso. Ogniamministrazione pubblica potra' prescinderedal formale processo di certificazionedella chiave pubblica previsto dal d.P.R. n. 513/97 edal d.P.C.M. 8 febbraio 1999, quindi e ricorrerea regole tecniche dallastessa autonomamentedefinite,siaperlagenerazionee conservazione dellechiavi pubbliche, che per la loro certificazione, limitatamenteallasottoscrizionedei documentiinformaticid'uso interno e con riferimento al proprio ordinamento. Per taliadempimenti, la deroga alle regole tecniche, previste di cui dald.P.C.M.dell'8 febbraio1999,si giustificaperil fattoe' motivatadalla circostanzachelaverificadell'autenticita'ed integrita'del documento informaticoavviene puo'avvenire attraverso ilsoloriscontrointerno,grazieal processodicertificazione operato da ogni singola amministrazione. 4. Utilizzo di sistemi di identificazione Glistrumentidiidentificazioneedautenticazione,intesicome meccanismidiverificadellareale identita'dell'utente,possono essere implementatie gestiti per garantire l'accesso a sistemi o per la produzionedi documentazione che non necessiti della sottoscrizione. Le Amministrazioni,per ladefinizione delle specifichedi progetto,di implementazionedi talistrumenti edi sicurezzasi avvalgono diquanto prescrittodal DPR 428/98e dalle relative regoletecniche nonche' dalle "Linee guida per la definizione diunpiano perlasicurezza" emessedall'AIPAe pubblicatenei QuaderniAIPAn.2dell'ottobre1999e consultabiliesulsito www.aipa.it. Inparticolare, e'opportuno chetali strumenti costituiscanoparte integrantediuninsieme dimisurefinalizzate alraggiungimento degli obiettivi di sicurezza. Trale misureadottabili, alfine dicui sopra,sono daritenere indispensabili: o la definizione di profili di accesso associati alle utenze definite; o la verifica dell'integrita' dei dati; o la registrazione, in appositi file di log, delle attivita' svolte; o la periodica analisi delle suddette registrazioni. E'inoltre necessariointegrare nelsistema disicurezza lemisure previstedalD.P.R.28luglio1999,n. 318,recantenormeper l'individuazionedelle misure minime di sicurezzaper il trattamento deidati personalia normadell'art. 15,comma 2,della legge31 dicembre 1996, n. 675. * * * * * Si segnala, infine, che le pubbliche amministrazioni: a. definiscono e gestiscono, in modo autonomo, tutti i processi di identificazione o autenticazione interni alle pubbliche amministrazioni stesse e, comunque, relativi ai propri organi ed uffici; b. devono accettare tutti i documenti informatici formati e sottoscritti secondo quanto stabilito dal d.P.R. 10 novembre 1997, n. 513, dalle regole tecniche di cui al d.P.C.M. dell'8 febbraio 1999 e dalle regole di interoperabilita' definite dalla Circolare AIPA/CR/24 del 19 giugno 2000, in quanto validi e rilevanti ad ogni effetto di legge; c. devono adottare i principi di interoperabilita' definiti dalla citata circolare AIPA/CR/24. 08.02.01