Premessa.
L'art. 14 del decreto del Presidente della Repubblica 11 febbraio
2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della
posta elettronica certificata, a norma dell'art. 27 della legge
16 gennaio 2003, n. 3», attribuisce, tra l'altro, al Centro nazionale
per l'informatica nella pubblica amministrazione (di seguito indicato
«CNIPA»):
- la gestione dell'elenco pubblico di cui al medesimo art. 14
(di seguito indicato «elenco»);
- il compito di procedere all'iscrizione nell'elenco dei
soggetti in possesso dei requisiti prescritti.
Consequenziale alle richiamate funzioni, e' l'attribuzione al
CNIPA, ai sensi dell'art. 14, comma 13, del citato decreto del
Presidente della Repubblica n. 68 del 2005, di funzioni di vigilanza
e di controllo sull'attivita' esercitata dai soggetti iscritti
nell'elenco, dalle quali discende altresi' il compito di monitorare -
anche in collaborazione con le autorita' competenti - eventuali casi
di esercizio o pubblicizzazione della attivita' di gestore di posta
elettronica certificata (di seguito indicata «PEC») da parte di
soggetti non abilitati.
Successivamente, l'art. 19 del decreto del Ministro per
l'innovazione e le tecnologie 2 novembre 2005, recante «Regole
tecniche per la formazione, la trasmissione e la validazione, anche
temporale, della posta elettronica certificata», ha demandato al
CNIPA il compito di definire, con proprie circolari, sia le modalita'
di inoltro delle domande di iscrizione nell'elenco, sia le modalita'
dell'esercizio dei richiamati compiti di vigilanza e controllo.
Il CNIPA, con la circolare 24 novembre 2005, n. CNIPA/CR/49, ha
provveduto a fornire le indicazioni relative alle modalita' con le
quali coloro che intendono esercitare attivita' di gestori di PEC
devono presentare domanda.
Con la presente circolare si indicano le modalita' attraverso le
quali il CNIPA svolge la suddetta funzione di vigilanza e di
controllo.
1. Test di interoperabilita' del sistema di gestione della PEC.
1.1 Ai sensi dell'art. 5 del citato decreto del Presidente della
Repubblica n. 68 del 2005 e dell'art. 8 del decreto del Ministro per
l'innovazione e tecnologie del 2 novembre 2005 (di seguito indicato
«decreto ministeriale»), i sistemi di PEC utilizzati dai gestori
devono essere interoperabili.
Il CNIPA svolge la funzione di vigilanza e di controllo sulla
predetta interoperabilita' ai sensi dei successivi punti.
1.2 Ogni gestore deve superare con esito positivo una serie di test
di interoperabilita' presso una struttura indicata dal CNIPA. La
serie di test e' pubblicata sul sito del CNIPA (www.cnipa.gov.it).
Detti test devono essere ripetuti ogni volta che il gestore apporti
modifiche funzionali o tecniche che impattino sull'interoperabilita'
dei sistemi di PEC. Il gestore deve, in ogni caso, fornire al CNIPA
una casella di PEC per tutto il periodo di esercizio della relativa
attivita'.
1.3 I test di interoperabilita' di cui al punto 1.2 sono
obbligatori trascorso il termine di trenta giorni solari che
decorrono dal giorno successivo a quello della loro pubblicazione sul
sito del CNIPA. Quest'ultimo comunica a ciascun gestore la
pianificazione delle rispettive fasi di test.
1.4 Il CNIPA puo' in qualsiasi momento effettuare verifiche, anche
mediante visite presso il gestore, per accertare la piena
interoperabilita' del sistema di PEC del gestore medesimo, anche
richiedendo la ripetizione, in tutto o in parte, della serie di test.
2. Vigilanza e controllo sull'esercizio delle attivita' dei gestori.
2.1 Il CNIPA esercita attivita' di vigilanza e di controllo al fine
di verificare il possesso e il mantenimento dei requisiti previsti
per l'iscrizione nell'elenco.
3. Modalita' di vendita dei servizi di PEC attraverso canali
commerciali.
3.1 Il CNIPA monitora le modalita' di vendita dei servizi di PEC
attraverso canali commerciali, anche avvalendosi del supporto di
terzi, e verifica, in particolare, che le modalita' di vendita siano
conformi alle prescrizioni di legge e che il rapporto contrattuale
sia sempre posto in essere tra il titolare di cui all'art. 1,
lettera t) del decreto ministeriale ed un gestore; a tal fine, ogni
gestore deve mettere a disposizione del CNIPA, su richiesta di
quest'ultimo, le informazioni del caso.
4. Struttura informativa dei gestori.
4.1 Il gestore organizza una struttura informativa che raccoglie e
gestisce le informazioni relative:
a) al numero di caselle in esercizio per ciascun dominio;
b) al numero totale giornaliero di messaggi di PEC in ingresso
alle caselle gestite ed in uscita dalle stesse;
c) ai livelli di servizio erogati, con riferimento a quelli
previsti dal decreto ministeriale;
d) al numero totale giornaliero di virus rilevati in ingresso ai
sistemi gestiti ed in uscita dagli stessi.
Le informazioni di cui alle lettere a), b), c), d) devono essere
inviate al CNIPA con le modalita' e nei tempi definiti al punto 5.
4.2 Il CNIPA puo' inoltre richiedere ai gestori:
a) informazioni circa il livello di soddisfazione dei propri
clienti;
b) le caratteristiche di eventuali servizi aggiuntivi offerti.
4.3 In un'apposita sezione della struttura informativa sono
registrate e gestite le informazioni relative a disservizi,
segnalazioni e reclami secondo la classificazione riportata
nell'allegata tabella «A».
5. Tempi e modalita' delle comunicazioni dirette al CNIPA.
5.1 Ogni gestore e' tenuto a raccogliere le informazioni di cui al
punto 4.1 trascorso il termine di sessanta giorni solari decorrenti
dalla data di pubblicazione della presente circolare.
Dette informazioni devono essere inviate al CNIPA con le cadenze di
seguito indicate:
a) con frequenza bimestrale, entro il quindicesimo giorno
successivo al termine del bimestre di riferimento, devono essere
trasmesse le informazioni relative:
- al numero di caselle in esercizio per ciascun dominio;
- al numero totale giornaliero di messaggi di PEC in ingresso
alle caselle gestite ed in uscita dalle stesse;
- al numero totale giornaliero di virus rilevati in ingresso ai
sistemi gestiti ed in uscita dagli stessi;
b) con frequenza quadrimestrale, entro il quindicesimo giorno
successivo al termine del quadrimestre di riferimento, devono essere
trasmesse le informazioni concernenti:
- i livelli di servizio erogati, con riferimento a quelli
previsti dal decreto ministeriale citato in premessa.
5.2 Le informazioni di cui al punto 5.1 devono essere inviate
tramite posta elettronica certificata alla casella
gestoripec@cert.cnipa.it. Le informazioni di cui alla lettera a) del
punto 5.1 devono avere un formato conforme a quanto descritto nel
sito del CNIPA. Le informazioni di cui alla lettera b) del punto 5.1
devono essere in formato Adobe PDF.
6. Segnalazioni urgenti al CNIPA di malfunzionamenti gravi.
6.1 I gestori hanno l'obbligo di comunicare al CNIPA, con le
modalita' e nei tempi indicati al punto 6.2, i disservizi di cui al
punto 4, contraddistinti da uno dei seguenti codici: 1A, 1B, 2A, 2B,
3A, 3B, secondo quanto riportato nell'allegata tabella «A».
6.2 In particolare, il gestore e' tenuto ad informare il CNIPA
dell'evento occorso, entro trenta minuti dalla rilevazione
dell'evento stesso, utilizzando i recapiti e l'apposito modulo
indicati nel sito del CNIPA medesimo. La comunicazione deve fornire
anche una prima valutazione dell'incidente e le eventuali misure
adottate al riguardo.
7. Sospensione del servizio.
7.1 Nel caso di comportamento anomalo e non circoscritto (codici 1A
e 1B della citata tabella «A»), il gestore e' tenuto a sospendere il
servizio, fornendo adeguata e tempestiva informativa ai propri utenti
ed agli altri gestori. Ove il gestore coinvolto non attivi
l'autosospensione, il CNIPA dispone la sospensione del servizio.
7.2 Nel caso di comportamento anomalo e circoscritto (codici 2A e
2B della citata tabella «A»), il CNIPA puo' disporre la sospensione
del servizio per il gestore coinvolto, fino alla rimozione delle
cause che hanno determinato detto comportamento anomalo e
circoscritto; in tal caso, il gestore fornisce adeguata e tempestiva
informativa ai propri utenti ed agli altri gestori.
7.3 Non appena ripristinata l'operativita', il gestore comunica al
CNIPA l'avvenuta rimozione delle cause che hanno determinato il
comportamento anomalo e fornisce parimenti al CNIPA entro una
settimana dalla data della comunicazione di cui al presente punto,
una circostanziata relazione tecnica sull'accaduto e sui
provvedimenti adottati in conseguenza.
7.4 Il gestore attua l'autosospensione producendo un «avviso di non
accettazione per eccezioni formali» relativamente ai messaggi immessi
dai propri utenti e non producendo la «ricevuta di presa in carico»
per i messaggi destinati ai propri utenti.
7.5 La sospensione del servizio disposta dal CNIPA viene attuata
dal gestore con le medesime modalita' previste per l'autosospensione.
7.6 Qualora il gestore coinvolto non ottemperi a quanto prescritto
ai punti 7.1 e 7.2, il CNIPA puo' disporne la cancellazione
dall'elenco.
8. Verifiche periodiche dei gestori.
8.1 I gestori hanno l'obbligo di effettuare verifiche semestrali, i
cui esiti sono riportati in relazioni sottoscritte dal responsabile
delle verifiche stesse e delle ispezioni, come previsto dal decreto
ministeriale, e messe a disposizione, su richiesta, del CNIPA. Dette
verifiche devono riguardare, in particolare, le componenti tecniche
ed organizzative del sistema di PEC, il sistema di raccolta dei
livelli di servizio e le tipologie di contratti di vendita dei
servizi di PEC.
9. Verifiche del CNIPA.
9.1 Con riferimento alla dichiarazione di cui alla lettera q) del
punto 1 della citata circolare n. CNIPA/CR/49 del 24 novembre 2005,
il CNIPA puo' effettuare, con un preavviso di 48 ore, sopralluoghi
presso le strutture utilizzate dal gestore per verificare la
conformita' del sistema di PEC.
10. Provvedimenti nei confronti dei gestori inadempienti.
10.1 A seguito delle risultanze dell'attivita' di vigilanza e di
controllo, nell'ipotesi di inosservanza di uno o piu' degli obblighi
posti a carico del gestore, il CNIPA puo' disporre l'inibizione
dell'esercizio dell'attivita' svolta dal gestore inadempiente,
indicando nel contempo il termine entro il quale il gestore stesso
deve conformarsi agli obblighi previsti. Qualora il gestore non
provveda in tal senso nei tempi indicati, il CNIPA puo' disporre la
cancellazione del gestore medesimo dall'elenco.
10.2 Nel caso in cui il CNIPA disponga la cancellazione di un
gestore dall'elenco rimane in capo al gestore stesso l'obbligo di
conservare e rendere disponibili, su richiesta, i log prodotti
nell'ambito dell'attivita' svolta come previsto dall'art. 11,
comma 2, del citato decreto del Presidente della Repubblica n. 68 del
2005.
Roma, 7 dicembre 2006
Il presidente: Zoffoli