(Allegato 2) 
 
                                                           Allegato 2 
                                  (articoli 13, comma 2, 18, 19 e 20) 
 
             Procedura per la generazione e assegnazione 
                 delle credenziali di autenticazione 
 
    1.  La  registrazione  al  sistema  informatico   e'   effettuata
personalmente da ciascun  operatore  attraverso  una  procedura  che,
mediante l'utilizzo di diverse  tecnologie  disaccoppiate  tra  loro,
comunica direttamente con l'operatore a favore  del  quale  e'  stato
richiesto il rilascio delle credenziali di autenticazione. 
    2. La sezione centrale  o  provinciale  riceve  la  richiesta  di
rilascio delle credenziali di autenticazione di cui agli articoli 19,
comma 1, e 20, comma 1. La richiesta di  rilascio  contiene  l'elenco
degli operatori  autorizzati  alla  consultazione  della  Banca  dati
nazionale ed  e'  corredata  per  ogni  operatore  dei  dati  di  cui
all'articolo 19, comma 1, lettere da  a)  a  g),  di  una  copia  del
documento di  identificazione  dell'operatore  (carta  di  identita',
patente di  guida  o  passaporto)  e  delle  liberatorie  debitamente
firmate   dall'operatore   stesso.   La   richiesta   viene   inviata
all'indirizzo di posta elettronica certificata della sezione centrale
o provinciale pubblicata su Indice P.A. 
    3. La sezione centrale o provinciale invita ciascun  operatore  a
presentarsi   personalmente    presso    i    propri    uffici    per
l'identificazione dello stesso a mezzo del documento di identita'  in
corso di validita' la cui copia e'  stata  trasmessa  precedentemente
(vedi punto 2) e per la  creazione  delle  relative  credenziali.  Si
evidenzia che per il  rilascio  di  queste  ultime  l'operatore  deve
fornire obbligatoriamente un numero  di  telefonia  mobile  intestato
all'operatore stesso. 
    4. Al termine delle operazioni  di  identificazione,  la  sezione
centrale o provinciale completa la fase di  registrazione  a  sistema
dell'operatore e consegna le istruzioni necessarie ad  effettuare  il
primo accesso alla Banca dati nazionale. In particolare le istruzioni
riportano l'indicazione della username dell'operatore e della  URL  a
cui   collegarsi   per   il   completamento    della    registrazione
(http://certbdna.interno.it). La password  iniziale  e'  generata  in
modo automatico all'atto della registrazione dell'utenza e  trasmessa
alla casella di posta di tipo corporate dell'operatore (articolo  19,
comma 1, lettera g). 
    5. Le istruzioni consegnate consentono  a  ciascun  operatore  di
completare la fase di accesso alla Banca dati  nazionale  utilizzando
tecnologie   di   "autenticazione   forte".    L'operatore    procede
preliminarmente con l'identificazione  della  propria  postazione  di
lavoro che restera' la medesima per tutte le operazioni di accesso  e
consultazione della Banca dati nazionale. Tale procedura  prevede  il
collegamento alla  URL  http://certbdna.interno.it.  Nella  schermata
visualizzata l'operatore digita le credenziali di accesso, ovvero  la
username  consegnata  dalla  sezione  provinciale  o  centrale  e  la
password ricevuta nella sua casella di posta elettronica corporate. A
seguito  dell'inserimento  di  tali  campi,  il  sistema  richiedera'
all'operatore di effettuare il cambio password secondo le  regole  di
sicurezza previste dal sistema; la password deve contenere almeno  un
numero, un carattere speciale, una maiuscola  per  un  minimo  di  10
caratteri  complessivi.  Terminato  con  successo  il  cambio   della
password, l'operatore visualizzera' una pagina per la  creazione  del
proprio certificato digitale. L'avvio della  procedura  di  creazione
del certificato digitale si perfeziona attraverso la ricezione di  un
SMS sul numero di telefonia mobile  dell'interessato  contenente  una
sequenza numerica casuale (OTP) che va inserito nell'apposito  campo.
Il sistema procede alla creazione del certificato digitale pubblico e
richiede l'inserimento di una password legata al certificato digitale
(PIN di protezione) creata  sulla  base  delle  regole  di  sicurezza
previste.  Essa  deve  contenere  almeno  un  numero,  un   carattere
speciale, una maiuscola per un minimo di  10  caratteri  complessivi.
Effettuata con successo la creazione del PIN, e' possibile  procedere
al download e alla relativa installazione  del  certificato  digitale
sulla postazione di lavoro. 
    6. La  procedura  descritta  consente  di  identificare  in  modo
univoco la postazione di lavoro dell'operatore, il quale in  fase  di
accesso alla Banca dati nazionale  dovra'  sbloccare  il  certificato
digitale pubblico attraverso il PIN di protezione inserito in fase di
creazione dello stesso. 
    7. L'accesso  alla  Banca  dati  nazionale  avviene  mediante  un
software dedicato atto a garantire l'identificazione della postazione
dalla quale vengono eseguite le interrogazioni dei dati e un  sistema
di autenticazione  forte  abilitante  all'identificazione  univoca  e
tracciamento   dell'operatore   che   effettua   le   operazioni   di
collegamento e trattamento dei dati. 
    8. Il sistema  prevede  quindi  un  doppio  livello  di  verifica
dell'identita': 
      a) l'accesso in VPN.  Esso  consente  di  identificare  sia  la
postazione mediante l'uso di certificati pubblici sia l'operatore  in
possesso del PIN di sblocco del certificato per raggiungere  la  rete
dove e' esposto il servizio applicativo; 
      b) la autenticazione applicativa mediante  l'uso  di  username,
password e OTP per la consultazione della Banca dati nazionale.