La presente circolare, emanata ai sensi del decreto del Ministro
per l'innovazione e le tecnologie del 2 novembre 2005, definisce le
modalita' con le quali i soggetti - pubblici e privati - che
intendono esercitare l'attivita' di gestori di posta elettronica
certificata (PEC), ai sensi dell'art. 14 del decreto del Presidente
della Repubblica 11 febbraio 2005, n. 68, devono presentare domanda
al Centro nazionale per l'informatica nella pubblica amministrazione
(di seguito denominato «CNIPA»).
La presente circolare abroga e sostituisce la circolare 24 novembre
2005, n. CNIPA/CR/49.
1. Modalita' di presentazione della domanda.
La domanda, sottoscritta con firma digitale dal legale
rappresentante del richiedente, deve essere redatta in formato
elettronico e deve indicare:
I. la denominazione, o la ragione sociale del soggetto
richiedente;
II. la sede legale del soggetto richiedente;
III. il nominativo del rappresentante legale (nel caso in cui i
rappresentanti sono piu' di uno, va indicato il nominativo di
ciascuno di loro) del soggetto richiedente;
IV. l'elenco dei documenti allegati.
E' opportuno che nella domanda siano indicati anche il nominativo e
i recapiti (numeri telefonici, numeri di telefax, indirizzo di posta
elettronica) di uno o piu' referenti cui rivolgersi in presenza di
problematiche di minore importanza che possono essere risolte per le
vie brevi.
Al fine di dimostrare il possesso dei requisiti previsti dall'art.
14 del decreto del Presidente della Repubblica n. 68/2005 e di
ottemperare a quanto previsto dagli articoli 16, 21, 22 e 23 del
decreto del Ministro per l'innovazione e le tecnologie 2 novembre
2005 - fatta salva la facolta' di avvalersi delle dichiarazioni
sostitutive previste dal decreto del Presidente della Repubblica 28
dicembre 2000, n. 445, recante «Testo unico sulla documentazione
amministrativa», nel seguito indicato «Testo unico» - alla domanda
devono essere obbligatoriamente allegati, nei formati di seguito
indicati, i seguenti documenti:
a) copia autentica dell'atto costitutivo della societa';
b) copia dello statuto sociale aggiornato, rilasciato dalla
competente Camera di commercio industria artigianato e agricoltura in
data non anteriore a novanta giorni rispetto alla data di
presentazione della domanda stessa;
c) certificato di iscrizione nel registro delle imprese, con
dicitura antimafia, rilasciato in data non anteriore a novanta giorni
rispetto alla data di presentazione della domanda;
d) dichiarazione rilasciata dall'organo preposto al controllo o
dal soggetto incaricato della revisione contabile ai sensi della
normativa vigente - di data non anteriore a trenta giorni rispetto
alla data di presentazione della domanda - attestante l'entita' del
capitale sociale versato nonche' l'ammontare e la composizione del
patrimonio netto;
e) prospetto della situazione patrimoniale, predisposto e
approvato dall'organo amministrativo, di data non anteriore a
centottanta giorni rispetto a quella di presentazione della domanda
(sono tenute a questo adempimento solo le societa' gia' operative);
f) relazione dell'organo preposto al controllo o del soggetto
incaricato della revisione contabile, redatta ai sensi della
normativa vigente, sulla situazione patrimoniale di cui alla lettera
e);
g) documentazione equivalente a quella prevista ai punti
precedenti, legalizzata ai sensi dell'art. 33 del Testo unico (sono
tenute a questo adempimento le societa' costituite all'estero ed
aventi sede in Italia);
h) elenco nominativo dei rappresentanti legali dei componenti
dell'organo di amministrazione e dell'organo di controllo, nonche' di
eventuali altri soggetti preposti all'amministrazione, con
l'indicazione dei relativi poteri. Ognuno dei suddetti soggetti
dovra' risultare in possesso, all'atto della domanda, dei requisiti
di onorabilita' previsti dall'art. 14 del decreto del Presidente
della Repubblica n. 68/2005, comprovati dalla seguente
documentazione, che dovra' essere fornita in formato cartaceo:
1) per i cittadini italiani residenti in Italia:
aa) dichiarazione sostitutiva di atto di notorieta';
bb) certificato del casellario giudiziale;
cc) certificato relativo ai carichi pendenti;
2) per i soggetti che non rientrano nella categoria di cui al
precedente punto 1):
aa) dichiarazione, resa davanti a pubblico ufficiale, attestante
il possesso dei suddetti requisiti di onorabilita';
bb) certificati attestanti che il soggetto non sia stato
dichiarato fallito o non sia assoggettato a procedure concorsuali.
Le firme apposte sulla documentazione sopraelencata devono esser
legalizzate con le modalita' previste dal citato Testo unico.
Alternativamente, i soggetti iscritti nell'albo di cui all'art. 13
del decreto legislativo 1° settembre 1993, n. 385 - recante: «Testo
unico delle leggi in materia bancaria e creditizia» - potranno
dimostrare il possesso dei requisiti di onorabilita' mediante
apposita dichiarazione sostitutiva di certificazione comprovante
l'iscrizione al suddetto albo alla data di presentazione della
domanda di iscrizione resa dal legale rappresentante, ai sensi
dell'art. 46 del medesimo Testo unico;
i) copia della polizza assicurativa - o certificato provvisorio
impegnativo - stipulata per la copertura dei rischi derivanti
dall'attivita' e dagli eventuali danni causati a terzi, rilasciata da
una societa' di assicurazione abilitata ad esercitare nel campo dei
rischi industriali a norma delle vigenti disposizioni;
l) copia dell'ultimo bilancio e relativa certificazione, se la
societa' e' stata costituita da piu' di un anno;
m) dichiarazione, sottoscritta dal presidente della societa' o dal
legale rappresentante, attestante la composizione dell'azionariato
con l'indicazione dei soggetti partecipanti, in forma diretta o
indiretta al capitale sociale medesimo in misura superiore al 5%,
nonche' della data a cui si riferisce detta dichiarazione;
n) manuale operativo redatto come indicato al successivo punto
2.1, sottoscritto dal legale rappresentante o dal responsabile del
servizio di posta elettronica certificata, come indicato ai sensi
della successiva lettera p);
o) piano per la sicurezza, in copia cartacea, redatto come
indicato al successivo punto 2.2, sottoscritto e siglato in ogni
foglio dal legale rappresentante o dal responsabile del servizio di
posta elettronica certificata, come indicato ai sensi della
successiva lettera p);
p) relazione descrittiva della struttura organizzativa,
sottoscritta dal legale rappresentante, contenente:
1) i nomi dei responsabili delle attivita' di cui all'art. 21 del
decreto del Ministro per l'innovazione e le tecnologie 2 novembre
2005 e la descrizione delle mansioni da essi svolte nell'esercizio di
dette attivita';
2) il nome del responsabile del servizio di posta elettronica
certificata;
3) i requisiti di competenza ed esperienza del personale di cui
ai punti precedenti;
4) l'organigramma della struttura organizzativa con l'evidenza
del dettaglio della struttura dedicata alla posta elettronica
certificata. Per ognuno dei responsabili di cui al precedente punto
1) si richiede di indicare anche il numero delle risorse umane
coordinate nell'ambito dell'attivita' di competenza.
Le societa' e le pubbliche amministrazioni che affidano alcune
delle proprie attivita' del servizio di posta elettronica certificata
ad una terza parte che le gestisce in outsourcing dovranno indicare
le modalita' con le quali i responsabili di cui ai precedenti punti
1) e 2) esercitano le loro funzioni nei confronti della suddetta
terza parte;
q) dichiarazione, sottoscritta dal legale rappresentante, di piena
disponibilita' a consentire l'accesso di incaricati del CNIPA presso
le strutture dedicate all'erogazione del servizio di posta
elettronica certificata al fine di verificare la sussistenza dei
requisiti tecnici, organizzativi e funzionali di cui alla
documentazione allegata alla domanda. Qualora le societa' e le
pubbliche amministrazioni affidino alcune delle attivita' proprie del
servizio di posta elettronica certificata ad una terza parte, che le
gestisce in outsourcing, dovra' essere presentata analoga
dichiarazione anche dalla terza parte;
r) descrizione delle caratteristiche di sicurezza dei dispositivi
utilizzati per la creazione della firma delle ricevute, degli avvisi
e delle buste di trasporto dalla quale si evinca il livello di
protezione dei dati per la creazione della firma stessa e le
modalita' con le quali tale livello viene valutato;
s) dichiarazione, sottoscritta dal legale rappresentante,
d'impegno a comunicare al CNIPA, entro il quindicesimo giorno, ogni
variazione intervenuta rispetto a quanto dichiarato nella domanda di
iscrizione a seguito della quale il CNIPA puo' procedere ad una
nuova, anche parziale, valutazione dei requisiti o richiedere
ulteriore documentazione;
t) descrizione delle modalita' operative del servizio che
dimostrino il rispetto delle regole tecniche (architettura tecnica e
funzionale, indicazione dei principali prodotti/componenti software
utilizzati);
u) dichiarazione contenente l'indicazione delle sedi presso le
quali e' erogato il servizio;
v) dichiarazione di conformita' ai requisiti previsti nel decreto
del Ministro per l'innovazione e le tecnologie 2 novembre 2005 e suo
allegato.
I documenti di cui alle lettere h), m), n), p), q), r), s), t), u),
v) devono essere predisposti in formato elettronico e sottoscritti
con firma digitale.
I restanti documenti possono essere presentati in formato cartaceo
ovvero in formato elettronico, purche' sottoscritti con firma
digitale.
La domanda di iscrizione e tutti i documenti predisposti in formato
elettronico e sottoscritti con firma digitale devono essere forniti
su supporto ottico.
Il plico chiuso, contenente la domanda e tutti i documenti
allegati, deve essere inviato all'indirizzo postale istituzionale del
CNIPA con l'indicazione del mittente. Sul plico deve essere apposta
la dicitura «Domanda di iscrizione nell'elenco pubblico dei gestori
di posta elettronica certificata di cui all'art. 14 del decreto del
Presidente della Repubblica 11 febbraio 2005, n. 68».
La consegna puo' avvenire tramite servizio pubblico o privato
oppure a mano, nelle ore d'ufficio (09.00-13.00 e 15.00-17.00) dei
giorni feriali, dal lunedi' al venerdi'. In caso di consegna a mano
verra' data formale ricevuta di ricezione del plico.
La domanda e i documenti, predisposti in formato elettronico e
sottoscritti digitalmente, devono essere inviati anche alla seguente
casella di posta elettronica certificata: cnipadir@cert.cnipa.it
Ai sensi dell'art. 15 del decreto del Ministro per l'innovazione e
le tecnologie 2 novembre 2005, la domanda di iscrizione presentata da
una pubblica amministrazione deve essere corredata da una relazione
tecnica che illustri le misure adottate «affinche' l'utilizzo di
caselle di posta elettronica rilasciate a privati
dall'amministrazione medesima: a) costituisca invio valido ai sensi
dell'art. 16, comma 2, del decreto del Presidente della Repubblica n.
68 del 2005; b) avvenga limitatamente ai rapporti di cui al medesimo
art. 16, comma 2».
Ai sensi dell'art. 16, comma 2, del richiamato decreto del Ministro
per l'innovazione e le tecnologie 2 novembre 2005, le pubbliche
amministrazioni non devono presentare la documentazione di cui alle
lettere a), b), c), d), e), f), g), h), i), l), m).
I certificatori gia' iscritti nell'elenco pubblico di cui all'art.
29, comma 1, del decreto legislativo 7 marzo 2005 n. 82, recante
“Codice dell'amministrazione digitale” sono esentati
dalla presentazione della documentazione gia' prodotta ai fini
dell'iscrizione, per la quale non sia richiesto uno specifico termine
di validita', purche' dichiarino espressamene nella domanda che essa
e' ancora valida.
2. Requisiti tecnico-organizzativi.
2.1 Manuale operativo.
Il manuale operativo deve individuare le regole generali e le
procedure seguite dal gestore di posta elettronica certificata (PEC)
nello svolgimento della propria attivita' e deve essere pubblicato a
garanzia dell'affidabilita' dei servizi offerti dal gestore stesso ai
titolari di caselle di posta elettronica certificata e ai loro
corrispondenti.
Detto manuale deve essere disponibile per la consultazione ed il
download sul sito del gestore.
Il manuale operativo deve contenere, almeno:
a) i dati identificativi del gestore;
b) il nominativo del responsabile del manuale stesso;
c) i riferimenti normativi necessari per la verifica dei
contenuti;
d) l'indirizzo del sito web del gestore ove e' pubblicato e
scaricabile;
e) le procedure nonche' degli standard tecnologici e di sicurezza
utilizzati dal gestore nell'erogazione del servizio;
f) le definizioni relative alle abbreviazioni e ai termini tecnici
che in esso figurano;
g) la descrizione e le modalita' del servizio offerto;
h) la descrizione delle modalita' di reperimento e di
presentazione delle informazioni presenti nei log dei messaggi;
i) le modalita' di accesso e di fornitura del servizio;
j) i livelli di servizio e i relativi indicatori di qualita' di
cui all'art. 12 del decreto del Ministro per l'innovazione e le
tecnologie 2 novembre 2005;
k) le modalita' di protezione dei dati dei titolari delle caselle,
gli obblighi e le responsabilita' che ne discendono, le esclusioni e
le eventuali limitazioni in caso di indennizzo, relativamente ai
soggetti previsti all'art. 2 del decreto del Presidente della
Repubblica n. 68/2005;
l) le procedure operative da attuare nel caso di cessazione
dell'attivita' di gestore di posta elettronica certificata;
m) la versione del medesimo manuale.
E data facolta' di limitare le dichiarazioni contenute nel manuale
operativo alle sole informazioni non soggette a particolari ragioni
di riservatezza.
Ai sensi dell'art. 14 del decreto del Presidente della Repubblica
n. 68/2005, il CNIPA puo' richiedere integrazioni della
documentazione presentata ovvero effettuare opportuni controlli in
merito a quanto dichiarato.
2.2 Piano per la sicurezza.
In considerazione della sua particolare riservatezza, il piano per
la sicurezza - corredato della relazione descrittiva della struttura
organizzativa - deve essere inserito all'interno del plico contenente
la domanda, in una busta separata e sigillata da cui risulti la
denominazione della pubblica amministrazione o la ragione sociale
della societa' che richiede l'iscrizione e la dicitura «Piano per la
sicurezza - versione del gg/mm/aa».
Il piano deve contenere, almeno:
a) la descrizione delle procedure utilizzate nell'erogazione del
servizio (attivazione dell'utenza e organizzazione del servizio di
posta elettronica certificata), con particolare riferimento ai
problemi attinenti alla sicurezza, alla gestione dei log-file e alla
garanzia della loro integrita';
b) la descrizione dei dispositivi di sicurezza installati;
c) la descrizione dei flussi di dati;
d) l'indicazione della procedura di gestione e conservazione delle
copie di sicurezza dei dati;
e) l'indicazione della procedura da seguire al verificarsi di
eventuali guasti di grande rilevanza che determinino l'arresto del
servizio (occorre precisare i tipi di guasti per i quali sono state
previste delle soluzioni: calamita' naturali, dolo, indisponibilita'
prolungata del sistema, o altri eventi) e descrizione delle soluzioni
proposte per farvi fronte, con informazioni dettagliate circa i tempi
e le modalita' previste per il ripristino;
f) l'analisi dei rischi (occorre precisare le possibili tipologie
di rischio: dolo, infedelta' del personale, inefficienza operativa,
inadeguatezza tecnologica, o altro);
g) la descrizione delle procedure per la gestione dei rischi di
cui al punto precedente (occorre precisare i tempi di reazione
previsti e i nomi dei responsabili tenuti ad intervenire);
h) l'indicazione dettagliata dei controlli previsti (occorre
indicare, se e' previsto, il ricorso periodico a ispezioni esterne);
i) l'indicazione della struttura generale e della struttura
logistica dell'organizzazione e delle relative modalita' operative;
j) una sommaria descrizione dell'infrastruttura di sicurezza per
ciascun immobile di cui si compone la struttura;
k) una breve descrizione dell'allocazione degli impianti
informatici, dei servizi e degli uffici collocati negli immobili che
fanno parte della struttura;
l) l'indicazione delle modalita' di gestione dei log dei messaggi;
m) una descrizione della procedura di accesso ai log dei messaggi
da parte del personale del gestore;
n) la descrizione del sistema di riferimento temporale e della
marca temporale adottata;
o) la descrizione dei sistemi adottati per garantire la
riservatezza e l'integrita' delle trasmissioni di messaggi mediante
il sistema.
I certificatori qualificati accreditati, gia' iscritti nell'elenco
pubblico tenuto dal CNIPA, potranno fare riferimento ai dati ed agli
elementi contenuti nel piano della sicurezza gia' in possesso del
CNIPA.
3. Modalita' di esame delle domande.
Il CNIPA effettua, ai sensi della vigente normativa, l'esame delle
domande di iscrizione presentate e la verifica della regolarita'
della documentazione prodotta adottando, nei tempi previsti, il
conseguente provvedimento di accoglimento o di reiezione ovvero
richiedendo una integrazione della documentazione.
Il soggetto nei confronti del quale sia stato adottato un
provvedimento di reiezione dovra' dimostrare la cessazione delle
cause che hanno determinato il mancato accoglimento della sua
domanda, prima della presentazione di una nuova istanza.
Nel caso in cui sia stata richiesta l'integrazione della
documentazione, essa dovra' essere trasmessa nei modi e nei termini
previsti dalla presente circolare.
4. Iscrizione nell'elenco pubblico dei gestori di posta elettronica
certificata.
Il provvedimento di accoglimento della domanda d'iscrizione
nell'elenco pubblico dei gestori di posta elettronica certificata e'
adottato dal CNIPA con apposita deliberazione. In tal caso, il CNIPA
invia al richiedente la comunicazione dell'avvenuto accreditamento,
indicando, contestualmente, le modalita' di rilascio dei certificati
di firma previsti dall'art. 7, comma 2, del decreto del Ministro per
l'innovazione e le tecnologie 2 novembre 2005. Nella medesima
comunicazione e' contenuta la richiesta delle informazioni di
carattere tecnico-operativo che dovranno essere fatte pervenire al
CNIPA prima dell'avvio del servizio.
Almeno 48 ore prima dell'avvio del servizio, il gestore deve
informarne il CNIPA, utilizzando la casella di posta elettronica
certificata gestoripec@cert.cnipa.it, comunicando, contestualmente, i
seguenti dati:
la data e l'ora di avvio del servizio;
l'URL presso il quale sara' reso disponibile il file, contenente
le informazioni operative del gestore, codificato nel formato LDIF;
i recapiti del gestore (numero telefonico fisso o mobile, numeri
di telefax, indirizzo di posta elettronica), nonche' la casella di
posta elettronica certificata del responsabile del servizio di posta
elettronica certificata indicato ai sensi della lettera p) del punto
1. della presente circolare, che sara' utilizzata dal CNIPA per
inviare comunicazioni di carattere tecnico - organizzativo.
Roma, 21 maggio 2009
Il presidente: Pistella