DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 6 settembre 2012
Separati certificati di firma, ai sensi dell'articolo 28, comma
3-bis), del Codice dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82. (12A13214)
(GU n. 294 del 18-12-2012 )
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005 n. 82, come modificato
dal decreto legislativo 30 dicembre 2010 n. 235 recante "Codice
dell'amministrazione digitale", di seguito "CAD" e, in particolare
l'art. 28, comma 3-bis;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
"Codice in materia di protezione dei dati personali";
Visto il decreto legislativo 1° dicembre 2009, n. 177, recante
"Riorganizzazione del Centro nazionale per l'informatica nella
pubblica amministrazione, a norma dell'art. 24 della legge 18 giugno
2009, n. 69";
Visto il decreto del Presidente del Consiglio dei Ministri 1°
aprile 2008, recante "Regole tecniche e di sicurezza del sistema
pubblico di connettivita' (SPC)", pubblicato nella Gazzetta Ufficiale
del 21 giugno 2008, n. 144;
Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n.
83, recante "Misure urgenti per la crescita del Paese", con cui e'
stato soppresso DigitPA, le cui funzioni sono state attribuite
all'Agenzia per l'Italia digitale;
Visto il decreto del Presidente della Repubblica in data 29
novembre 2011, con il quale il Presidente Filippo Patroni Griffi e'
stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei Ministri del 4
dicembre 2011, con il quale al predetto Ministro senza portafoglio e'
stato conferito l'incarico per la pubblica amministrazione e la
semplificazione;
Visto il decreto del Presidente del Consiglio dei Ministri 13
dicembre 2011 recante delega di funzioni del Presidente del Consiglio
dei Ministri al Ministro senza portafoglio, Presidente Filippo
Patroni Griffi, in materia di pubblica amministrazione e
semplificazione, tra cui, in raccordo con il Ministro delegato per
l'innovazione tecnologica e lo sviluppo della societa'
dell'informazione, prof. Francesco Profumo, le funzioni in materia di
disciplina delle innovazioni connesse all'uso delle tecnologie
dell'informazione e della comunicazione nelle pubbliche
amministrazioni e nei relativi sistemi informatici e di
telecomunicazione, nonche' di adeguamento, per amministrazioni ed
enti pubblici, della normativa vigente relativa all'organizzazione e
alle procedure in ragione dell'uso delle predette tecnologie;
Acquisito il parere tecnico di DigitPA di cui al decreto
legislativo 1° dicembre 2009, n. 177 e successive modificazioni;
Sentito il Garante per la protezione dei dati personali;
Sentita la Conferenza Unificata di cui all'art. 8 del decreto
legislativo 28 agosto 1997, n. 281 nella seduta del 19 gennaio 2012;
Espletata la procedura di notifica alla Commissione europea di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del
22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento
europeo e del Consiglio, del 20 luglio 1998, recepita con legge 21
giugno 1986, n. 317 e decreto legislativo 23 novembre 2000, n. 427;
di concerto con il Ministro dell'istruzione, dell'universita' e
della ricerca;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) Certificatore: il certificatore di firma elettronica
qualificata o digitale accreditato ai sensi dell'art. 29 del CAD;
b) Titolare: la persona fisica cui sono attribuite una o piu'
qualifiche tra quelle indicate all'art. 28, comma 3, lettera a) del
CAD;
c) Terzo interessato: il soggetto di cui all'art. 28, commi 3 e
4, del CAD, titolato a attestare il possesso di qualifiche,
abilitazioni professionali o poteri di rappresentanza;
d) SAML: Security Assertion Markup Language definito dall'OASIS
Security Services Technical Committee (SSTC) nella versione 2.0;
e) Autorita' di attributo: entita' abilitata ad attestare, anche
per conto del terzo interessato, nel certificato digitale ovvero a
fornire in rete le informazioni di cui all'art. 28, comma 3, del CAD;
f) Asserzione: la rappresentazione informatica della attestazione
delle informazioni di cui all'art. 28, comma 3, del CAD;
g) Commissione: la commissione di coordinamento SPC come definita
all'art. 79 del CAD.
Art. 2
Ambito di applicazione
1. Le disposizioni di cui al presente decreto si applicano:
a) al Titolare;
b) al Terzo interessato;
c) al Certificatore.
2. Si applicano, in quanto compatibili con il presente decreto, le
regole tecniche del Sistema Pubblico di Connettivita' (di seguito:
"SPC") di cui agli articoli 72 e seguenti del CAD, nonche' le
relative regole di sicurezza di cui al decreto del Presidente del
Consiglio dei Ministri 1° aprile 2008.
3. Gli articoli 3 e 4 del presente decreto definiscono le modalita'
di attuazione di cui all'art. 28, comma 3-bis, del CAD, limitatamente
alla disponibilita' delle informazioni di cui all'art. 28, comma 3,
del CAD all'interno di un certificato qualificato.
4. Gli articoli 5 e 6 del presente decreto definiscono le modalita'
di attuazione di cui all'art. 28, comma 3-bis, del CAD, limitatamente
alla disponibilita' in rete delle informazioni di cui all'art. 28,
comma 3, del CAD.
Art. 3
Certificato di attributo
1. Il terzo interessato che intende emettere certificati di
attributo puo' operare come certificatore accreditato o avvalersi di
certificatori accreditati.
2. Il certificatore al fine di emettere certificati di attributo
agisce come Autorita' di attributo nel rispetto del presente decreto.
3. Il certificatore, inserisce nel certificato gli attributi del
titolare dello stesso, secondo modalita' definite con provvedimenti
dell'Agenzia per l'Italia digitale e pubblicati sul sito internet
dello stesso Ente.
4. Il formato del certificato di attributo e' definito con il
provvedimento di cui al comma 3.
5. Le Autorita' di attributo comunicano all'Agenzia per l'Italia
digitale la propria attivita' e forniscono i certificati di
certificazione utilizzati allo scopo.
6. L'Agenzia per l'Italia digitale pubblica le informazioni
inerenti le Autorita' di attributo e i certificati di cui al comma 5
nell'elenco di cui alla decisione della Commissione europea 16
ottobre 2009, n. 767.
7. Con i provvedimenti di cui al comma 3, sono definite le
modalita' operative e le specifiche tecnologiche per l'esercizio
dell'attivita' di Autorita' di attributo.
Art. 4
Revoca degli attributi
1. Il titolare e il terzo interessato comunicano al Certificatore
tempestivamente e comunque non oltre le ventiquattr'ore il
modificarsi o il venir meno delle circostanze oggetto delle
informazioni di cui all'articolo dall'art. 28, comma 3, del CAD.
2. Il Certificatore, a seguito di una delle comunicazioni di cui al
comma 1, revoca tempestivamente il certificato di attributo.
Art. 5
Disponibilita' in rete di qualifiche, abilitazioni professionali o
poteri di rappresentanza
1. I Terzi interessati al fine di rendere disponibili in rete le
asserzioni agiscono come Autorita' di attributo nel rispetto del
presente decreto.
2. Le asserzioni emesse dalle Autorita' di attributo sono
utilizzabili per la fruizione di servizi telematici o per la
presentazione di documenti recanti certificazione delle informazioni
di cui all'art. 28, comma 3, del CAD relativi alla qualifica
professionale nonche' di limiti d'uso e/o di valore.
3. Il Terzo interessato puo' rendere direttamente disponibili in
rete le asserzioni oppure avvalersi di un Certificatore.
4. Nella ipotesi in cui si avvalga di un Certificatore il Terzo
interessato fornisce allo stesso le informazioni di cui all'articolo
dall'art. 28, comma 3-bis), del CAD segnalando tempestivamente e
comunque non oltre le 24 ore il modificarsi o il venir meno delle
circostanze oggetto delle informazioni stesse. Il Certificatore e'
responsabile della disponibilita' in rete delle informazioni di cui
all'art. 28, comma 3, del CAD nel rispetto del presente decreto.
5. I soggetti di cui all'art. 2, comma 1, lettere b) e c)
rispettano le prescrizioni tecniche, finalizzate a gestire in rete le
informazioni di cui al comma 3 dell'art. 28 del CAD, emanate dalla
Commissione ai sensi dell'art. 79 del CAD.
6. L'Agenzia per l'Italia digitale gestisce, nell'ambito delle
infrastrutture nazionali condivise del Sistema Pubblico di
Connettivita' (di seguito "SPC"), il Registro delle Autorita' di
attributo. A tale fine, l'Agenzia per l'Italia digitale puo'
utilizzare altri registri, gestiti dallo stesso, che, ad altro
titolo, forniscono un'analoga funzionalita'. L'iscrizione nel
Registro avviene nel rispetto di quanto disciplinato dal decreto del
Presidente del Consiglio dei Ministri 1° aprile 2008. A tal fine la
Commissione definisce le relative modalita' operative.
7. Gli organismi di attuazione e controllo SPC, come definiti nel
decreto del Presidente del Consiglio dei Ministri 1° aprile 2008,
secondo gli indirizzi della Commissione, realizzano servizi atti a
facilitare in rete l'utilizzo del Registro di cui al comma 6.
8. Il registro di cui al comma 6 contiene l'elenco delle
informazioni di cui all'art. 28, comma 3, del CAD disponibili in rete
e l'indicazione del Terzo interessato operante quale Autorita' di
attributo di dette informazioni. Il formato tecnico e il contenuto
informativo di dettaglio del registro sono specificati con delibera
dell'Agenzia per l'Italia digitale.
Art. 6
Formato dell'asserzione
1. Ai fini dell'attestazione delle informazioni di cui al comma 3,
dell'art. 28 del CAD, l'Autorita' di attributo produce un'Asserzione
nel formato specificato in apposita delibera dell'Agenzia per
l'Italia digitale.
2. Per i soggetti appartenenti ad ordini o collegi professionali,
l'Asserzione indica l'identificativo univoco del soggetto,
corrispondente al codice fiscale, e il codice relativo alla
professione e l'eventuale numero di iscrizione all'albo. Per gli
ordini o collegi professionali che siano articolati per
specializzazioni, ambiti territoriali e sezioni, l'asserzione deve
evidenziare tali specificita'.
3. Per i soggetti dotati di poteri di rappresentanza ovvero aventi
qualifica di pubblico ufficiale, l'Asserzione indica l'identificativo
univoco del soggetto, corrispondente al codice fiscale, e la
specifica qualifica.
Il presente decreto e' inviato ai competenti organi di controllo e
sara' pubblicato nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 6 settembre 2012
p. il Presidente
del Consiglio dei Ministri,
il Ministro per la pubblica
amministrazione e la semplificazione
Patroni Griffi
Il Ministro dell'istruzione,
dell'universita' e della ricerca
Profumo
Registrato alla Corte dei conti il 22 novembre 2012
Presidenza del Consiglio dei Ministri, registro n. 9, foglio n. 317