Circolare 3 giugno 1999 dell'Autorità per l'informatica nella pubblica amministrazione - AIPA/CR/22

Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori

Art. 16, comma 1, dell’allegato tecnico al decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale del 15 aprile 1999, serie generale, n. 87 – Modalità per presentare domanda di iscrizione nell’elenco pubblico dei certificatori di cui all’articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n.513.

Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 ("Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59"), all’articolo 8, comma 3, stabilisce che le attività di certificazione sono effettuate da certificatori inclusi, sulla base di una dichiarazione anteriore all’inizio delle attività, in apposito elenco pubblico, consultabile in via telematica, predisposto e tenuto aggiornato a cura dell’Autorità per l’informatica nella pubblica amministrazione. Tali certificatori devono essere dotati dei requisiti elencati nello stesso art.8, comma 3, del D.P.R. n. 513/1997, e, per quanto riguarda le specifiche, devono osservare le regole tecniche da emanarsi ai sensi dell’articolo 3 dello stesso decreto.

Dette regole tecniche, emanate con il D.P.C.M. 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale n.87 del 15 aprile 1999, all’articolo 16, comma 1, prevedono che: "Chiunque intenda esercitare l’attività di certificatore deve inoltrare all’Autorità per l’informatica nella pubblica amministrazione, secondo le modalità da questa definite con apposita circolare, domanda di iscrizione nell’elenco pubblico di cui all’articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513".

Con la presente circolare, resa disponibile anche sul sito Internet dell’AIPA: www.aipa.it, vengono illustrate le modalità con le quali le società interessate ad esercitare l’attività di certificatore dovranno inoltrare domanda all’AIPA.

Con successiva circolare verranno emanate disposizioni concernenti lo svolgimento dell’attività di certificatore da parte delle pubbliche amministrazioni.

La domanda, sottoscritta dal legale rappresentante della società, in plico chiuso con evidenza del mittente e con l’indicazione "Domanda per l’iscrizione nell’elenco dei certificatori", va indirizzata e fatta pervenire a:

Autorità per l’informatica nella pubblica amministrazione

Via Solferino, 15

00185 ROMA

La consegna può avvenire tramite servizio pubblico o privato oppure a mano nelle ore d'ufficio (09.00-13.00 e 15.00-17.00) dei giorni dal lunedì al venerdì. In quest'ultimo caso, verrà data formale ricevuta di consegna del plico.

Il testo della domanda e di tutti i documenti allegati originati dal richiedente, va predisposto utilizzando un sistema di elaborazione testi di larga diffusione. Un supporto informatico contenente tale testo, con l’eccezione del piano per la sicurezza, va allegato alla domanda, insieme alla stampa, in duplice copia, del contenuto del supporto stesso.

La domanda deve indicare:

• la denominazione della società;
• la sede legale;
• il o i rappresentanti legali;
• elenco dei documenti allegati.

È opportuno che vengano indicati il nominativo di una persona cui far riferimento, anche per le vie brevi, e le modalità per contattarla (numeri telefonici, telefax, telex), in vista di una sollecita definizione delle eventuali problematiche che richiedessero chiarimenti di minore importanza.

Alla domanda vanno allegati:

1. copia autentica dell’atto costitutivo della società;
2. statuto sociale vigente, certificato dalla competente CCIA (non anteriore a 90 giorni);
3. certificato di iscrizione nel registro delle imprese (non anteriore a 90 giorni);
4. dichiarazione del presidente del collegio sindacale, attestante l’entità del capitale sociale versato nonché l’ammontare e la composizione del patrimonio netto al momento della presentazione della domanda;
5. situazione patrimoniale (non anteriore a 60 giorni) - (solo per le società già operative);
6. relazione del collegio sindacale sulla situazione patrimoniale di cui alla lettera e;
7. per le imprese registrate all’estero, documentazione equivalente a quella dei punti precedenti, a norma della legge n. 1253/1966*, legalizzata e tradotta in lingua italiana nelle forme e nei modi di cui alla legge n. 15/1968, salvo le eccezioni espressamente in essa previste;
8. elenco nominativo dei componenti del consiglio d’amministrazione e del collegio sindacale, di eventuali amministratori delegati e del o dei direttori, dei soggetti con funzioni equivalenti a quelle del Direttore Generale, con l’indicazione dei relativi poteri. Ognuna delle suddette persone dovrà risultare in possesso, all'atto della domanda, dei requisiti di onorabilità stabiliti dal decreto del Ministro del Tesoro, del Bilancio e della Programmazione economica 18 marzo 1998, n. 161, comprovato da:

- per i cittadini italiani residenti in Italia:

• dichiarazione, resa davanti a pubblico ufficiale, di possedere i requisiti di cui al decreto citato;
• certificato antimafia;
• certificato casellario giudiziale;
• certificato carichi pendenti presso la pretura e presso il tribunale;
• dichiarazione, resa davanti a pubblico ufficiale, di non esser stato destinatario, in altri Stati, di provvedimenti che importerebbero, secondo l’ordinamento italiano, la perdita dei requisiti di onorabilità di cui al decreto suddetto;

- per le persone che non rientrano nella categoria di cui al precedente alinea:

• dichiarazione, resa davanti a pubblico ufficiale, di possedere i requisiti di cui al decreto citato;
• certificato antimafia;
• certificati attestanti che la persona non è fallita o sottoposta a procedura equivalente, con parere legale che suffraghi l’idoneità dei certificati in questione; nel caso che il Paese di residenza non rilasci certificati, può essere accettata una dichiarazione sostitutiva resa davanti a pubblico ufficiale;
• le firme sulla documentazione vanno apposte a norma della legge n. 1253/1966* ;

1. copia della polizza assicurativa (o certificato provvisorio impegnativo) a copertura dei rischi dell’attività e dei danni causati a terzi, rilasciata da una società di assicurazioni abilitata ad esercitare nel campo dei rischi industriali, a norma delle vigenti disposizioni;
2. copia dell’ultimo bilancio con relativa certificazione, se la società è stata costituita da più di un anno. Se il bilancio non è stato certificato, la società dovrà allegare una dichiarazione di impegno a certificare il bilancio a partire dall’esercizio in corso al momento della presentazione della domanda;
3. dichiarazione del presidente della società attestante la composizione dell’azionariato, per quanto nota, con indicazione, comunque, dei soggetti partecipanti, in forma diretta o indiretta, al capitale sociale, in misura superiore al 5%;
4. dichiarazione di piena disponibilità a consentire accessi presso le strutture dedicate alle operazioni di certificazione da parte di incaricati dell’AIPA, finalizzati alla verifica del mantenimento della rispondenza ai requisiti tecnico-organizzativi di cui alla documentazione allegata alla domanda;

Alla domanda vanno altresì allegati, secondo le modalità specificate nel seguito:

1. copia del manuale operativo;
2. copia del piano per la sicurezza;
3. una relazione sulla struttura organizzativa;
4. fermo restando quanto prescritto dall’articolo 18 del D.P.C.M. 8 febbraio 1999 sopra citato, dichiarazione di impegno a comunicare tempestivamente all’AIPA ogni variazione significativa delle soluzioni tecnico-organizzative adottate.

Per i documenti di cui alle lettere a), b), c) e h) si applicano le norme di cui al DPR 20 ottobre 1998, n. 403, recante il Regolamento per l'attuazione degli articoli 1, 2 e 3 della legge n. 127/1997 in materia di semplificazione delle certificazioni amministrative.

Il manuale operativo va strutturato in modo tale da essere integralmente consultabile per via telematica, come prescritto dall’articolo 45, comma 2, del D.P.C.M. sopra citato.

Il manuale deve contenere almeno le seguenti informazioni:

1. dati identificativi del certificatore;
2. dati identificativi della versione del manuale operativo;
3. responsabile del manuale operativo;
4. definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme;
5. definizione delle responsabilità e delle eventuali limitazioni agli indennizzi;
6. tariffe;
7. modalità di identificazione e registrazione degli utenti;
8. modalità di generazione delle chiavi;
9. modalità di emissione dei certificati;
10. modalità di sospensione e revoca dei certificati;
11. modalità di sostituzione delle chiavi;
12. modalità di gestione del registro dei certificati;
13. modalità di accesso al registro dei certificati;
14. modalità di protezione della riservatezza.

Il documento contenente il piano per la sicurezza, in quanto coperto da riservatezza, deve essere racchiuso in una busta sigillata, all’interno del plico contenente la domanda, con evidenza della società e l’indicazione "Piano per la sicurezza – versione del …(data)".

Il piano deve contenere almeno i seguenti elementi:

1. struttura generale, modalità operativa e struttura logistica dell’organizzazione;
2. descrizione sommaria dell’infrastruttura di sicurezza per ciascun immobile;
3. breve descrizione dell’allocazione degli impianti informatici, dei servizi e degli uffici negli immobili dell’organizzazione;
4. elenco del personale addetto;
5. attribuzioni dettagliate delle responsabilità;
6. algoritmi crittografici utilizzati;
7. descrizione delle procedure utilizzate nell’attività di certificazione, con particolare riferimento ai problemi di sicurezza, alla gestione del log-file e alla garanzia della sua integrità;
8. descrizione dei dispositivi di sicurezza installati;
9. descrizione dei flussi di dati;
10. procedura di gestione delle copie di sicurezza dei dati (modalità e frequenze dei salvataggi, tipo e ubicazione delle sicurezze fisiche);
11. procedura di gestione dei disastri (precisare i tipi di disastri per i quali sono state previste delle soluzioni: per calamità naturali, per dolo, per indisponibilità prolungata del sistema, per altre ragioni; descrivere le soluzioni con dettagli sui tempi e le modalità previste per il ripristino del servizio);
12. analisi dei rischi (precisare i tipi di rischi: per dolo, per infedeltà del personale, per inefficienza operativa, per inadeguatezza tecnologica, per altre ragioni);
13. descrizione delle contromisure (precisare i tempi di reazioni previsti e i nomi dei responsabili);
14. specificazione dei controlli (precisare se è previsto il ricorso periodico a ispezioni esterne).

Va predisposto un apposito documento contenente la descrizione dell’organizzazione del personale, limitatamente alle funzioni elencate nell’articolo 49 del D.P.C.M. 8 febbraio 1999; tale atto deve essere corredato da un’adeguata documentazione, a norma del successivo articolo 51 del medesimo D.P.C.M., dell’esperienza maturata dal personale stesso.

Va precisato, in particolare, a norma dell’articolo 16, comma 2, del D.P.C.M. 8 febbraio 1999, il profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi. Tale profilo dovrà essere idoneo ad attestare il possesso della competenza e dell’esperienza richiesti dall’art.8, comma 3, lett. c), del DPR n. 513/1997.

La società è tenuta a specificare, con apposita dichiarazione, i punti che seguono:

1. algoritmi di generazione e verifica firme utilizzati e supportati;
2. algoritmi di hash utilizzati e supportati;
3. lunghezza delle chiavi;
4. assicurazioni relative al sistema di generazione delle chiavi;
5. caratteristiche del sistema di generazione;
6. informazioni contenute nei certificati;
7. formato dei certificati;
8. modalità di accesso al registro dei certificati;
9. modalità con la quale viene soddisfatta la verifica dell’unicità della chiave pubblica, in rapporto allo stato delle conoscenze scientifiche e tecnologiche;
10. caratteristiche del sistema di generazione dei certificati;
11. modalità di attuazione della copia del registro dei certificati;
12. modalità di tenuta del giornale di controllo;
13. descrizione del sistema di validazione temporale adottato;
14. impegno ad adottare ogni opportuna misura tecnico-organizzativa volta a garantire il rispetto delle disposizioni della legge 31 dicembre 1996, n. 675.

È data facoltà di limitare la documentazione alle sole informazioni non soggette a particolari ragioni di riservatezza. L’AIPA, dal canto suo, si riserva, a norma dell’articolo 16, comma 3, del D.P.C.M. 8 febbraio 1999, di richiedere integrazioni alla documentazione presentata e di effettuare le opportune verifiche su quanto dichiarato.

L’istruttoria delle domande e della relativa documentazione sarà svolta, sotto il controllo di un Membro dell'Autorità all'uopo designato, a cura degli uffici, con il supporto specialistico del Centro Tecnico di cui all’articolo 17, comma 19, della legge 15 maggio 1997, n. 127. Al termine dell’istruttoria, sulla richiesta di iscrizione nell’elenco dei certificatori sarà adottata dall’Autorità, su proposta formulata dal Membro designato, motivata deliberazione di accoglimento o di reiezione ovvero, se ritenuta necessaria, di integrazione dell'istruttoria.

La società, le cui domande di inserzione siano state oggetto di provvedimento di reiezione, non possono presentare una nuova istanza se non siano trascorsi almeno 6 (sei) mesi dalla data di comunicazione del provvedimento stesso e, comunque, prima che siano cessate le cause che hanno determinato il non accoglimento della precedente domanda.

Eventuali richieste di chiarimenti potranno essere inoltrate al Direttore Generale dell’Autorità per l’informatica nella Pubblica Amministrazione.