Aipalogo

Circolare 26 luglio 1999, n. 22

Art. 16, comma 1, dell'allegato tecnico al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999:

Modalità per presentare domanda di iscrizione nell'elenco pubblico dei certificatori di cui all'art. 8, comma 3, del decreto del Presidente della Repubblica 10/11/97, n. 513

(Pubblicata sulla G.U. n. 179 del 2/8/99)

 

Premessa.

Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 "Regolamento recante criteri e modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell'art. 15, comma 2, della legge 15 marzo 1997, n. 59", all'art. 8, comma 3, stabilisce che le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all'inizio delle attività, in apposito elenco pubblico, consultabile in via telematica, predisposto e tenuto aggiornato a cura dell'Autorità per l'informatica nella pubblica amministrazione.

Tali certificatori devono essere dotati dei requisiti elencati nello stesso art. 8, comma 3, del decreto del Presidente della Repubblica n. 513/1997, e, per quanto riguarda le specifiche, devono osservare le regole tecniche da emanarsi ai sensi dell'art. 3 dello stesso decreto.

Dette regole tecniche, emanate con il decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, pubblicato nella Gazzetta Ufficiale n. 87 del 15 aprile 1999, all'art. 16, comma 1, prevedono che: "Chiunque intenda esercitare l'attività di certificatore deve inoltrare all'Autorità per l'informatica nella pubblica amministrazione, secondo le modalità da questa definite con apposita circolare, domanda di iscrizione nell'elenco pubblico di cui all'art. 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513".

Con la presente circolare, resa disponibile anche sul sito Internet dell'AIPA: www.aipa.it, vengono illustrate le modalità con le quali le società interessate ad esercitare l'attività di certificatore dovranno inoltrare domanda all'AIPA.

 

1. Formalità con le quali deve essere predisposta la domanda e documentazione richiesta.

La domanda, sottoscritta dal legale rappresentante della società, in plico chiuso con evidenza del mittente e con l'indicazione "Domanda per l'iscrizione nell'elenco dei certificatori", va indirizzata e fatta pervenire a:

Autorità per l'Informatica nella Pubblica Amministrazione
Via Solferino n. 15 - 00185 Roma.

La consegna può avvenire tramite servizio pubblico o privato, oppure a mano nelle ore d'ufficio (9-13 e 15-17) dei giorni dal lunedì al venerdì.

In quest'ultimo caso, verrà data formale ricevuta di consegna del plico.

Il testo della domanda e di tutti i documenti allegati originati dal richiedente, va predisposto utilizzando un sistema di elaborazione testi di larga diffusione.

Un supporto informatico contenente tale testo, con l'eccezione del piano per la sicurezza, va allegato alla domanda, insieme alla stampa, in duplice copia, del contenuto del supporto stesso.

La domanda deve indicare:

la denominazione della società;
la sede legale;
il o i rappresentanti legali;
l'elenco dei documenti allegati.

E' opportuno che vengano indicati il nominativo di una persona cui far riferimento, anche per le vie brevi, e le modalità di contattarla (numeri telefonici, telefax, telex), in vista di una sollecita definizione delle eventuali problematiche che richiedessero chiarimenti di minore importanza.

Fatta salva la facoltà di avvalersi, nei casi consentiti, dell'autocertificazione di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 403, alla domanda vanno allegati:

a) copia autentica dell'atto costitutivo della società;

b) statuto sociale vigente, certificato dalla competente CCIA (non anteriore a novanta giorni);

c) certificato di iscrizione nel registro delle imprese (non anteriore a novanta giorni);

d) dichiarazione del presidente del collegio sindacale, attestante l'entità del capitale sociale versato nonchè l'ammontare e la composizione del patrimonio netto al momento della presentazione della domanda;

e) situazione patrimoniale, predisposta e approvata dall'organo amministrativo (non anteriore a novanta giorni) - (solo per le società già operative);

f) relazione del collegio sindacale sulla situazione patrimoniale di cui alla lettera e);

g) per le imprese registrate all'estero, documentazione equivalente a quella dei punti precedenti, a norma della legge n. 1253/1966(*), legalizzata e tradotta in lingua italiana nelle forme e nei modi di cui alla legge n. 15/1968, salvo le eccezioni espressamente in essa previste;

h) elenco nominativo dei componenti del consiglio d'amministrazione e del collegio sindacale, di eventuali amministratori delegati e del o dei direttori, dei soggetti con funzioni equivalenti a quelle del direttore generale, con l'indicazione dei relativi poteri.

Ognuna delle suddette persone, dovrà risultare in possesso, all'atto della domanda, dei requisiti di onorabilità stabiliti dal decreto del Ministro del tesoro, del bilancio e della programmazione economica 18 marzo 1998, n. 161, comprovato da:

per i cittadini italiani residenti in Italia:

dichiarazione, resa davanti a pubblico ufficiale, di possedere i requisiti di cui al decreto citato;
certificato casellario giudiziale;
certificato carichi pendenti presso la pretura e presso il tribunale;
dichiarazione, resa davanti a pubblico ufficiale, di non esser stato destinatario, in altri Stati, di provvedimenti che importerebbero, secondo l'ordinamento italiano, la perdita dei requisiti di onorabilità di cui al decreto suddetto;

per le persone che non rientrano nella categoria di cui al precedente comma:

dichiarazione, resa davanti a pubblico ufficiale, di possedere i requisiti di cui al decreto citato;
certificati attestanti che la persona non è fallita o sottoposta a procedura equivalente, con parere legale che suffraghi l'idoneità dei certificati in questione;

nel caso che il Paese di residenza non rilasci certificati, può essere accettata una dichiarazione sostitutiva resa davanti a pubblico ufficiale;

le firme sulla documentazione vanno apposte a norma della legge n. 1253/1966(*).

Per entrambe le categorie, la prescritta certificazione antimafia sarà acquisita a cura dell'Autorità;

i) copia della polizza assicurativa (o certificato provvisorio impegnativo) a copertura dei rischi dell'attività e dei danni causati a terzi, rilasciata da una società di assicurazioni abilitata ad esercitare nel campo dei rischi industriali, a norma delle vigenti disposizioni;

j) copia dell'ultimo bilancio con relativa certificazione, se la società è stata costituita da più di un anno. Se il bilancio non è stato certificato, la società dovrà allegare una dichiarazione di impegno a certificare il bilancio a partire dall'esercizio in corso, al momento della presentazione della domanda;

k) dichiarazione del presidente della società attestante la composizione dell'azionariato, per quanto nota, con indicazione, comunque, dei soggetti partecipanti, in forma diretta o indiretta, al capitale sociale, in misura superiore al 5%;

l) dichiarazione di piena disponibilità a consentire accessi presso le strutture dedicate alle operazioni di certificazione da parte di incaricati dell'AIPA, finalizzati alla verifica del mantenimento della rispondenza ai requisiti tecnico-organizzativi di cui alla documentazione allegata alla domanda.

Alla domanda vanno altresì allegati, secondo le modalità specificate nel seguito:

m) copia del manuale operativo;

n) copia del piano per la sicurezza;

o) una relazione sulla struttura organizzativa;

p) fermo restando quanto prescritto dall'art. 18 del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999 sopra citato, dichiarazione di impegno a comunicare tempestivamente all'AIPA ogni variazione significativa delle soluzioni tecnico-organizzative adottate.

 

2. Requisiti tecnico-organizzativi da documentare.

2.1. Manuale operativo.

Il manuale operativo va strutturato in modo tale da essere integralmente consultabile per via telematica, come prescritto dall'art. 45, comma 2, del decreto del Presidente del Consiglio dei Ministri sopra citato.

Il manuale deve contenere almeno le seguenti informazioni:

a) dati identificativi del certificatore;

b) dati identificativi della versione del manuale operativo;

c) responsabile del manuale operativo;

d) definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme;

e) definizione delle responsabilità e delle eventuali limitazioni agli indennizzi;

f) tariffe;

g) modalità di identificazione e registrazione degli utenti;

h) modalità di generazione delle chiavi;

i) modalità di emissione dei certificati;

j) modalità di sospensione e revoca dei certificati;

k) modalità di sostituzione delle chiavi;

l) modalità di gestione del registro dei certificati;

m) modalità di accesso al registro dei certificati;

n) modalità di protezione della riservatezza.


2.2. Piano per la sicurezza.

Il documento contenente il piano per la sicurezza, in quanto coperto da riservatezza, deve essere racchiuso in una busta sigillata, all'interno del plico contenente la domanda, con evidenza della società e l'indicazione "Piano per la sicurezza - versione del .. (data)".

Il piano deve contenere almeno i seguenti elementi:

a) struttura generale, modalità operativa e struttura logistica dell'organizzazione;

b) descrizione sommaria dell'infrastruttura di sicurezza per ciascun immobile;

c) breve descrizione dell'allocazione degli impianti informatici, dei servizi e degli uffici negli immobili dell'organizzazione;

d) elenco del personale addetto;

e) attribuzioni dettagliate delle responsabilità;

f) algoritmi crittografici utilizzati;

g) descrizione delle procedure utilizzate nell'attività di certificazione, con particolare riferimento ai problemi di sicurezza, alla gestione del logfile e alla garanzia della sua integrità;

h) descrizione dei dispositivi di sicurezza installati;

i) descrizione dei flussi di dati;

j) procedura di gestione delle copie di sicurezza dei dati (modalità e frequenze dei salvataggi, tipo e ubicazione delle sicurezze fisiche);

k) procedura di gestione dei disastri (precisare i tipi di disastri per i quali sono state previste delle soluzioni: per calamità naturali, per dolo, per indisponibilità prolungata del sistema, per altre ragioni; descrivere le soluzioni con dettagli sui tempi e le modalità previste per il ripristino del servizio);

l) analisi dei rischi (precisare i tipi di rischi: per dolo, per infedeltà del personale, per inefficienza operativa, per inadeguatezza tecnologica, per altre ragioni);

m) descrizione delle contromisure (precisare i tempi di reazioni previsti e i nomi dei responsabili);

n) specificazione dei controlli (precisare se è previsto il ricorso periodico a ispezioni esterne).


2.3. Organizzazione del personale.

Va predisposto un apposito documento contenente la descrizione dell'organizzazione del personale, limitatamente alle funzioni elencate nell'art. 49, del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999; tale atto deve essere corredato da un'adeguata documentazione, a norma del successivo art. 51, del medesimo decreto del Presidente del Consiglio dei Ministri, dell'esperienza maturata dal personale stesso.

Va precisato, in particolare, a norma dell'art. 16, comma 2, del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, il profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi. Tale profilo dovrà essere idoneo ad attestare il possesso della competenza e dell'esperienza richiesti dall'art. 8, comma 3, lettera c), del decreto del Presidente della Repubblica n. 513/1997.

 

3. Requisiti tecnico-organizzativi da autocertificare.

La società è tenuta a specificare, con apposita dichiarazione, i punti che seguono:

a) algoritmi di generazione e verifica firme utilizzati e supportati;

b) algoritmi di hash utilizzati e supportati;

c) lunghezza delle chiavi;

d) assicurazioni relative al sistema di generazione delle chiavi;

e) caratteristiche del sistema di generazione;

f) informazioni contenute nei certificati;

g) formato dei certificati;

h) modalità di accesso al registro dei certificati;

i) modalità con la quale viene soddisfatta la verifica dell'unicità della chiave pubblica, in rapporto allo stato delle conoscenze scientifiche e tecnologiche;

j) caratteristiche del sistema di generazione dei certificati;

k) modalità di attuazione della copia del registro dei certificati;

l) modalità di tenuta del giornale di controllo;

m) descrizione del sistema di validazione temporale adottato;

n) impegno ad adottare ogni opportuna misura tecnico-organizzativa volta a garantire il rispetto delle disposizioni della legge 31 dicembre 1996, n. 675.

E' data facoltà di limitare la documentazione alle sole informazioni non soggette a particolari ragioni di riservatezza.

L'AIPA, dal canto suo, si riserva, a norma dell'art. 16, comma 3, del decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, di richiedere integrazioni alla documentazione presentata e di effettuare le opportune verifiche su quanto dichiarato.

 

4. Modalità di esame delle domande.

L'istruttoria delle domande e della relativa documentazione sarà svolta, sotto il controllo di un membro dell'Autorità all'uopo designato, a cura degli uffici, con il supporto specialistico del centro tecnico di cui all'art. 17, comma 19, della legge 15 maggio 1997, n. 127. Al termine dell'istruttoria, sulla richiesta di iscrizione nell'elenco dei certificatori sarà adottata dall'Autorità, su proposta formulata dal Membro designato, motivata deliberazione di accoglimento o di reiezione ovvero, se ritenuta necessaria, di integrazione dell'istruttoria.

La società, le cui domande di inserzione siano state oggetto di provvedimento di reiezione, non possono presentare una nuova istanza, se non siano trascorsi almeno sei mesi dalla data di comunicazione del provvedimento stesso e, comunque, prima che siano cessate le cause che hanno determinato il non accoglimento della precedente domanda.

Eventuali richieste di delucidazioni e/o chiarimenti potranno essere inoltrate al direttore generale dell'Autorità per l'informatica nella pubblica amministrazione.

Il Presidente: Rey

(*) La legge 20 dicembre 1966, n. 1253, recante:

"Ratifica ed esecuzione della Convenzione riguardante l'abolizione della legalizzazione di atti pubblici stranieri, adottata a l'Aja il 5 ottobre 1961", prevede che gli atti pubblici redatti sul territorio di un altro Stato aderente devono essere dotati di attestazione di autenticità a firma di un pubblico ufficiale. Questa attestazione viene rilasciata dalle autorità diplomatiche, o consolari, secondo lo schema allegato alla Convenzione stessa.