DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 27 settembre 2012
Regole tecniche per l'identificazione, anche in via telematica, del
titolare della casella di posta elettronica certificata, ai sensi
dell'articolo 65, comma 1, lettera c-bis), del Codice
dell'amministrazione digitale, di cui al decreto legislativo 7 marzo
2005 n. 82 e successive modificazioni. (12A13158)
(GU n. 294 del 18-12-2012 )
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005, n. 82 recante «Codice
dell'amministrazione digitale» (di seguito «CAD»), e, in particolare,
gli articoli 65, comma 1, lettera c-bis) e 71;
Visto il decreto legislativo 30 giugno 2003, n. 196 recante «Codice
in materia di protezione dei dati personali»;
Visto il decreto legislativo 1° dicembre 2009, n. 177 recante
«Riorganizzazione del Centro nazionale per l'informatica nella
pubblica amministrazione, a norma dell'art. 24 della legge 18 giugno
2009, n. 69»;
Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n.
83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134,
recante «Misure urgenti per la crescita del Paese», con cui e' stato
soppresso DigitPA, le cui funzioni sono state attribuite all'Agenzia
per l'Italia digitale;
Visto il decreto del Presidente della Repubblica 11 febbraio 2005,
n. 68 - «Regolamento recante disposizioni per l'utilizzo della posta
elettronica certificata, a norma dell'art. 27 della legge 16 gennaio
2003, n. 3»;
Visto il decreto del Presidente del Consiglio dei Ministri 1°
aprile 2008 recante «Regole tecniche e di sicurezza del sistema
pubblico di connettivita' (SPC)», pubblicato nella Gazzetta Ufficiale
del 21 giugno 2008, n. 144;
Visto il decreto del Ministro per l'innovazione e le tecnologie 2
novembre 2005 - «Regole tecniche per la formazione, la trasmissione e
la validazione, anche temporale, della posta elettronica
certificata.», pubblicato nella Gazzetta Ufficiale del 15 novembre
2005, n. 266;
Visto il decreto del Presidente della Repubblica in data 29
novembre 2011, con il quale il Presidente Filippo Patroni Griffi e'
stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei Ministri del 4
dicembre 2011, con il quale al predetto Ministro senza portafoglio e'
stato conferito l'incarico per la pubblica amministrazione e la
semplificazione;
Visto il decreto del Presidente del Consiglio dei Ministri 13
dicembre 2011 recante delega di funzioni del Presidente del Consiglio
dei Ministri al Ministro senza portafoglio, Presidente Filippo
Patroni Griffi, in materia di pubblica amministrazione e
semplificazione, tra cui, in raccordo con il Ministro delegato per
l'innovazione tecnologica e lo sviluppo della societa'
dell'informazione, prof. Francesco Profumo, le funzioni in materia di
disciplina delle innovazioni connesse all'uso delle tecnologie
dell'informazione e della comunicazione nelle pubbliche
amministrazioni e nei relativi sistemi informatici e di
telecomunicazione, nonche' di adeguamento, per amministrazioni ed
enti pubblici, della normativa vigente relativa all'organizzazione e
alle procedure in ragione dell'uso delle predette tecnologie;
Acquisito il parere tecnico di DigitPA;
Sentita la Conferenza Unificata di cui all'art. 8 del decreto
legislativo 28 agosto 1997, n. 281;
Sentito il Garante per la protezione dei dati personali;
Espletata la procedura di notifica alla Commissione europea di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del
22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento
europeo e del Consiglio, del 20 luglio 1998, recepita con legge 21
giugno 1986, n. 317 e modificata dal decreto Legislativo 23 novembre
2000, n. 427;
Di concerto con il Ministro dell'istruzione, dell'universita' e
della ricerca;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto, si intende per:
a) Gestore: il soggetto di cui all'art. 2, comma 1, lettera c),
del decreto del Presidente della Repubblica n. 68 del 2005, che eroga
il servizio di cui all'art. 65, comma 1, lettera c-bis), del CAD;
b) Titolare: il soggetto di cui all'art. 1, comma 1, lettera
t), del decreto del Ministro per l'innovazione e le tecnologie 2
novembre 2005 che fruisce del servizio di cui all'art. 65, comma 1,
lettera c-bis), del CAD attraverso la casella di cui alla lettera k);
c) CIE: la Carta d'Identita' Elettronica di cui all'art. 1,
comma 1, lettera c) del CAD;
d) CNS: la Carta Nazionale dei Servizi di cui all'art. 1, comma
1, lettera d) del CAD;
e) Token crittografico: dispositivo elettronico portatile per
la generazione di password monouso;
f) password monouso: password utilizzabile una sola volta,
costruita secondo opportuni algoritmi, che puo' essere conosciuta
dall'utente in diversi modi, anche attraverso un canale di
comunicazione diverso da quello in uso per l'utilizzo del servizio;
g) SAML: Security Assertion Markup Language definito dall'OASIS
Security Services Technical Committee (SSTC) nella versione 2.0;
h) Identita' digitale: e' la rappresentazione informatica della
corrispondenza biunivoca tra una persona fisica ed i suoi dati
d'identita';
i) Identity provider: entita' abilitata a creare, gestire e
mantenere informazioni sull'identita' digitale di soggetti che
operano telematicamente, allo scopo di fornire supporto alla loro
identificazione informatica, di cui all'art. 1, comma 1, lettera
u-ter) del CAD, finalizzata alla fruizione di servizi erogati in
rete;
j) servizio PEC-ID: il servizio di cui all'art. 65, comma 1,
lettera c-bis), del CAD;
k) casella PEC-ID: la casella PEC rilasciata dal Gestore al
Titolare, identificato con le modalita' di cui al presente decreto;
l) Busta di Trasporto: il messaggio di cui all'art. 1, comma 1,
lettera p) del decreto del Ministro per l'innovazione e le tecnologie
2 novembre 2005;
m) casella PEC: la casella di cui all'art. 1, comma 1, lettera
z) del decreto del Ministro per l'innovazione e le tecnologie 2
novembre 2005.
Art. 2
Ambito di applicazione e finalita'
1. Il presente decreto definisce le regole tecniche di cui all'art.
65, comma 1, lettera c-bis) del CAD relative alle modalita' di
identificazione del Titolare della casella PEC- ID valide per la
presentazione, in via telematica, di istanze e dichiarazioni alle
pubbliche amministrazioni.
2. Nei casi in cui l'amministrazione destinataria dell'istanza o
della dichiarazione aderisca al Sistema Pubblico di Connettivita' (di
seguito: «SPC»), si applicano, in quanto compatibili con il presente
decreto, le relative regole tecniche di cui agli articoli 72 e
seguenti del CAD, nonche' le relative regole di sicurezza di cui al
decreto del Presidente del Consiglio dei Ministri 1° aprile 2008.
Art. 3
Ambito soggettivo di applicazione
1. Le disposizioni di cui al presente decreto si applicano:
a) al Gestore;
b) al Titolare;
c) alle pubbliche amministrazioni di cui all'art. 1, comma 2, del
decreto legislativo 30 marzo 2001, n. 165 e successive modificazioni.
Art. 4
Obblighi relativi ai Gestori
1. Il soggetto iscritto nell'elenco pubblico di cui all'art. 14 del
decreto del Presidente della Repubblica n. 68 del 2005 che intenda
erogare il servizio PEC-ID si uniforma alle regole tecniche contenute
nel presente decreto ed opera in qualita' di Identity Provider per i
Titolari delle caselle dallo stesso gestite.
2. L'Agenzia per l'Italia digitale gestisce, nell'ambito delle
infrastrutture nazionali condivise del SPC, il Registro delle
Identity Provider. A tale scopo, l'Agenzia per l'Italia digitale puo'
utilizzare altri registri, da esso gestiti, che, forniscono
un'analoga funzionalita'. L'iscrizione nel Registro avviene secondo
le modalita' previste per il SPC dalla Commissione di cui all'art. 79
del CAD .
3. Le caratteristiche, i requisiti e le procedure
tecnico-organizzative previsti per gli Identity Provider sono
stabiliti dall'Agenzia per l'Italia digitale con apposita delibera.
4. Il Gestore aggiorna il manuale operativo di cui all'art. 23 del
decreto del Ministro per l'innovazione e le tecnologie 2 novembre
2005, istituendo una specifica sezione contenente le procedure per
l'identificazione dei Titolari nel rispetto delle presenti regole
tecniche, nonche' un'ulteriore sezione per le operazioni di gestione
delle caselle PEC-ID.
Art. 5
Modalita' di identificazione dei Titolari di caselle
PEC-ID
1. Le operazioni di identificazione del Titolare sono curate dal
Gestore nell'ambito delle attivita' e delle funzioni per la
registrazione di cui all'art. 21, comma 1, lettera a) del decreto del
Ministro per l'innovazione e le tecnologie 2 novembre 2005.
2. L'identificazione di cui all'art. 65, comma 1, lettera c-bis)
del CAD avviene, in occasione di ogni attribuzione di credenziali di
accesso, in uno dei seguenti modi:
a) mediante la sottoscrizione del modulo di adesione al servizio
di cui all'art. 65, comma 1, lettera c-bis) del CAD ed esibizione al
Gestore, da parte del Titolare, di un valido documento d'identita' e
del codice fiscale;
b) tramite la compilazione del modulo di adesione disponibile in
rete, previa identificazione informatica tramite CIE o CNS;
c) mediante la sottoscrizione con firma digitale, di cui all'art.
1, comma 1, lettera s) del CAD, del modulo di adesione al servizio di
cui all'art. 65, comma 1, lettera c-bis) del CAD;
d) a mezzo di apparecchiature che utilizzino necessariamente una
SIM/USIM dotate di codici PIN/PUK o loro evoluzioni tecnologiche
rilasciate previa identificazione del titolare delle medesime nel
rispetto delle disposizioni vigenti.
3. Il Gestore verifica la corrispondenza dei dati forniti dal
Titolare con le generalita' indicate nel documento d'identita' o
associate alla SIM/USIM e conserva la relativa documentazione per il
periodo di durata del servizio PEC-ID e per un periodo pari a
ventiquattro mesi successivi alla cessazione del servizio PEC_ID.
4. Nel modulo di adesione al servizio di cui all'art. 65, comma 1,
lettera c-bis) del CAD il Titolare manifesta l'eventuale assenso di
cui all'art. 6 del CAD.
Art. 6
Identificazione
1. Ai fini dell'identificazione per l'accesso al servizio PEC-ID,
il Gestore predispone una delle seguenti modalita':
a) identificazione tramite Certificato di autenticazione della
CNS;
b) identificazione tramite Certificato di autenticazione della
CIE;
c) identificazione tramite credenziali di accesso basate su
identificativo-utente, parola d'ordine (password) e parola d'ordine
temporanea (one time password) trasmessa attraverso sistemi di
telefonia mobile;
d) identificazione tramite credenziali di accesso basate su
identificativo-utente, parola d'ordine (password) e parola d'ordine
temporanea (one time password) generata dal token crittografico
rilasciato dal Gestore medesimo.
Art. 7
Modalita' di attestazione dell'identita' del Titolare
1. Ai fini del presente decreto l'identita' del Titolare viene
rappresentata attraverso il Codice fiscale dello stesso.
2. Il Gestore attesta l'identita' di cui al comma 1 attraverso
un'asserzione di autenticazione, conforme allo standard SAML,
inserita in un apposito allegato alla busta di trasporto.
3. Il nome dell'allegato di cui al comma 2 corrisponde al Codice
fiscale di cui al comma 1.
Art. 8
Divieto di riassegnazione di indirizzo PEC-ID
1. L'indirizzo di una casella PEC -ID e' assegnato in via esclusiva
al Titolare.
Art. 9
Blocco della casella di PEC-ID
1. L'accesso alla casella di PEC-ID e' bloccato dal Gestore su
richiesta del Titolare secondo le modalita' indicate nel Manuale
operativo di cui al decreto del Ministro per l'innovazione e le
tecnologie 2 novembre 2005.
2. Il Gestore conserva un registro di tutte le operazioni di blocco
effettuate per un periodo non inferiore a sessanta mesi.
Art. 10
Estensione del servizio PEC-ID a caselle PEC
1. Il Gestore estende il servizio PEC-ID alla casella PEC gia'
assegnata al Titolare che ne faccia esplicita richiesta. In tal caso,
il richiedente e' identificato secondo le modalita' previste
dall'art. 5, comma 2, e allo stesso viene rilasciata una tipologia
delle credenziali d'accesso al servizio ai sensi dell'art. 6.
Art. 11
Vigilanza
1. L'Agenzia per l'Italia digitale svolge funzioni di vigilanza e
controllo, di cui all'art. 14, comma 13, del decreto del Presidente
della Repubblica n. 68 del 2005, sull'attivita' esercitata dai
Gestori ai sensi del presente decreto.
Il presente decreto e' inviato ai competenti organi di controllo e
sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 27 settembre 2012
p. il Presidente
del Consiglio dei Ministri,
il Ministro per la pubblica
amministrazione e la semplificazione
Patroni Griffi
Il Ministro dell'istruzione,
dell'universita' e della ricerca
Profumo
Registrato alla Corte dei conti il 22 novembre 2012
Presidenza del Consiglio dei Ministri, registro n. 9, foglio n. 318