IL MINISTRO DELL'INTERNO di concerto con IL MINISTRO DELL'ECONOMIA E DELLE FINANZE Visto l'articolo 117, secondo comma, lettera h) della Costituzione; Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400; Visto l'articolo 11, comma 6, del decreto legislativo 10 agosto 2018, n. 104 che rimette all'adozione di un regolamento la disciplina delle modalita' di funzionamento di un «sistema informatico dedicato» per la tracciabilita' delle armi e delle munizioni, anche per cio' che concerne le procedure di accesso, di consultazione, di conservazione dei dati, nonche' di collegamento con il Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121; Visto il regolamento UE n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE; Vista la direttiva 91/477/CEE del Consiglio, del 18 giugno 1991, relativa al controllo dell'acquisizione e della detenzione di armi, come codificata dalla direttiva (UE) 2021/555 del Parlamento europeo e del Consiglio, del 24 marzo 2021; Visto il regolamento delegato (UE) 2019/686 della Commissione, del 16 gennaio 2019, che stabilisce le modalita' dettagliate, a norma della direttiva 91/477/CEE del Consiglio, per lo scambio sistematico con mezzi elettronici di informazioni relative al trasferimento di armi da fuoco nell'Unione; Vista la legge 18 aprile 1975, n. 110 e, in particolare, gli articoli 5 e 25, recanti disposizioni per la tenuta del registro giornaliero previsto dall'articolo 55 del testo unico delle leggi di pubblica sicurezza di cui al regio decreto 18 giugno 1931, n. 773; Vista la legge 1° aprile 1981, n. 121 e, in particolare, gli articoli 8, 9 e 10, che prevedono l'istituzione del Centro elaborazione dati nell'ambito del Dipartimento della pubblica sicurezza del Ministero dell'interno, disciplinando il regime degli accessi e dei controlli; Vista la legge 26 marzo 2001, n. 128 e, in particolare, l'articolo 21, comma 1, che prevede che le Forze di polizia conferiscono senza ritardo al Centro elaborazione dati del Dipartimento della pubblica sicurezza, le notizie e le informazioni acquisite nel corso delle attivita' di prevenzione e repressione dei reati e di quelle amministrative; Visto il decreto legislativo 30 dicembre 1992, n. 527, recante attuazione della direttiva 91/477/CEE relativa al controllo dell'acquisizione e della detenzione di armi; Visto il decreto legislativo 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; Visto il testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773 e, in particolare, gli articoli 35 e 55, concernenti i registri delle operazioni giornaliere che devono essere detenuti e compilati, rispettivamente, dai soggetti di cui all'articolo 1-bis, comma 1, lettera f) e g) del decreto legislativo 30 dicembre 1992, n. 527, nonche' dagli esercenti fabbriche, depositi o rivendite di esplodenti; Visto il regio decreto 6 maggio 1940, n. 635, recante «Approvazione del regolamento per l'esecuzione del testo unico 18 giugno 1931, n. 773 delle leggi di pubblica sicurezza»; Visto il decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica» e, in particolare, l'articolo 1 che istituisce il perimetro di sicurezza cibernetica; Visto il decreto del Presidente della Repubblica 15 gennaio 2018, n. 15, e in particolare, l'articolo 5, concernente la configurazione dei sistemi informativi e dei programmi informatici utilizzati per il trattamento dei dati personali per finalita' di polizia da parte di organi, uffici e comandi di polizia, nonche' l'articolo 10, che definisce i termini di conservazione dei medesimi dati; Visto il decreto del Ministro dell'interno 24 maggio 2017, pubblicato nella Gazzetta Ufficiale n. 145 del 24 agosto 2017, recante l'individuazione dei trattamenti di dati personali effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o da Forze di polizia sui dati destinati a confluirvi, ovvero da organi di pubblica sicurezza o altri soggetti pubblici nell'esercizio delle attribuzioni conferite da disposizioni di legge o di regolamento, effettuati con strumenti elettronici e i relativi titolari, in attuazione dell'articolo 53, comma 3, del decreto legislativo 30 giugno 2003, n. 196; Visto il decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza»; Sentito il Garante per la protezione dei dati personali che ha espresso il proprio parere favorevole con deliberazione del 7 aprile 2022; Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 4 ottobre 2022; Sentito il Ministro della difesa con nota del 27 febbraio 2023; Udito il concerto del Ministro dell'economia e delle finanze acquisito in data 14 marzo 2023; Vista la comunicazione al Presidente del Consiglio dei ministri, riscontrata con nota n. 4.3.13.3/2021/47 del 14 aprile 2023 del Dipartimento per gli affari giuridici e legislativi della Presidenza del Consiglio dei ministri; Adotta il seguente regolamento: Art. 1 Oggetto 1. Il presente regolamento disciplina le modalita' di funzionamento del «sistema informatico dedicato» per la tracciabilita' delle armi e delle munizioni di cui all'articolo 11 del decreto legislativo 10 agosto 2018, n. 104, nonche' le procedure secondo le quali gli armaioli di cui all'articolo 1-bis, comma 1, lettera g), del decreto legislativo 30 dicembre 1992, n. 527 e gli intermediari di cui all'articolo 1-bis, comma 1, lettera f), del medesimo decreto legislativo, nei casi contemplati dall'articolo 31-bis, comma 2, del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773, immettono i dati relativi alle operazioni giornaliere riguardanti le armi e le munizioni, al fine di assolvere agli obblighi di registrazione e comunicazione previsti dagli articoli 35 e 55 del predetto testo unico delle leggi di pubblica sicurezza. 2. Il presente regolamento stabilisce inoltre le modalita' di autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate nel predetto Sistema informatico, le modalita' di conservazione sicura e di verifica di qualita' dei dati nonche' della loro protezione e trasmissione in caso di malfunzionamento, danneggiamento o di altri eventi accidentali o dolosi riguardanti il medesimo Sistema. 3. Il presente regolamento disciplina, altresi', le modalita' di collegamento del predetto Sistema informatico, ai fini di consultazione e riscontro dei dati, con il Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121. --------------- Nota redazionale Il testo delle premesse e' gia' integrato con le correzioni apportate dall'errata-corrige pubblicato in G.U. 19/08/2023, n. 193 durante il periodo di "vacatio legis". E' possibile visualizzare il testo originario accedendo alla versione pdf della relativa Gazzetta di pubblicazione.
N O T E Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUUE). Note alle premesse: - L'art. 117, secondo comma, lettera h) della Costituzione conferisce allo Stato la legislazione esclusiva nella materia dell'ordine pubblico e sicurezza, ad esclusione della polizia amministrativa locale. - Si riporta il testo dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri): «Art. 17 (Regolamenti). - Omissis 3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del ministro o di autorita' sottordinate al ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei ministri prima della loro emanazione. Omissis.» - Per il testo dell'art. 11, comma 6, del decreto legislativo 10 agosto 2018, n. 104 (Attuazione della direttiva (UE) 2017/853 del Parlamento europeo e del Consiglio, del 17 maggio 2017, che modifica la direttiva 91/477/CEE del Consiglio, relativa al controllo dell'acquisizione e della detenzione di armi), v. nelle note all'art. 1. - Si riporta il testo dell'articolo 8 della legge 1° aprile 1981, n. 121 (Nuovo ordinamento dell'Amministrazione della pubblica sicurezza): «Art. 8 (Istituzione del Centro elaborazione dati). - E' istituito presso il Ministero dell'interno, nell'ambito dell'ufficio di cui alla lettera c) del primo comma dell'articolo 5, il Centro elaborazione dati, per la raccolta delle informazioni e dei dati di cui all'articolo 6, lettera a), e all'articolo 7. Il Centro provvede alla raccolta, elaborazione, classificazione e conservazione negli archivi magnetici delle informazioni e dei dati nonche' alla loro comunicazione ai soggetti autorizzati, indicati nell'articolo 9, secondo i criteri e le norme tecniche fissati ai sensi del comma seguente. Con decreto del Ministro dell'interno e' costituita una commissione tecnica, presieduta dal funzionario preposto all'ufficio di cui alla lettera c) del primo comma dell'articolo 5, per la fissazione dei criteri e delle norme tecniche per l'espletamento da parte del Centro delle operazioni di cui al comma precedente e per il controllo tecnico sull'osservanza di tali criteri enorme da parte del personale operante presso il Centro stesso. I criteri e le norme tecniche predetti divengono esecutivi con l'approvazione del Ministro dell'interno.» - Il regolamento (CE) del 23 luglio 2014, n. 910 (pubblicato nella G.U. della Unione Europea n. L 257 del 28 agosto 2014), reca: «Regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE». - La direttiva del 18 giugno 1991, n. 91/477/CEE (pubblicata nella G.U.C.E. del 13 settembre 1991, n. L 256) reca: «Direttiva del Consiglio relativa al controllo dell'acquisizione e della detenzione di armi». - La direttiva del 24 marzo 2021, n. 2021/555 (pubblicata nella G.U.U.E. del 6 aprile 2021, n. L 115) reca: «Regolamento del Parlamento europeo e del Consiglio relativa al controllo dell'acquisizione e della detenzione di armi» (codificazione)». - Il regolamento (CE) del 16 gennaio 2019, n. 2019/686/UE (pubblicato nella G.U.U.E. del 3 maggio 2019), n. L 116 reca: «Regolamento delegato della commissione che stabilisce le modalita' dettagliate, a norma della direttiva 91/477/CEE del Consiglio, per lo scambio sistematico, con mezzi elettronici di informazioni relative al trasferimento di armi da fuoco nell' Unione». - Si riporta il testo degli articoli 5 e 25 della legge 18 aprile 1975, n. 110 (Norme integrative della disciplina vigente per il controllo delle armi, delle munizioni e degli esplosivi): «Art. 5 (Limiti alle registrazioni. Divieto di strumenti trasformabili in armi). - 1. Le disposizioni di cui al primo comma dell'articolo 55 del testo unico delle leggi di pubblica sicurezza 18 giugno 1931, n. 773 e successive modificazioni, non si applicano alla vendita al minuto delle cartucce da caccia a pallini, dei relativi bossoli o inneschi nonche' alla vendita dei pallini per le armi ad aria compressa. 2. L'articolo 4-bis del decreto-legge 22 novembre 1956, n. 1274, convertito nella legge 22 dicembre 1956, n. 1452, e' abrogato. 3. Le disposizioni del citato testo unico, del regio decreto 6 maggio 1940, n. 635, e quelle della presente legge non si applicano agli strumenti di cui al presente articolo. 4. Gli strumenti riproducenti armi non possono essere fabbricati con l'impiego di tecniche e di materiali che ne consentano la trasformazione in armi da guerra o comuni da sparo o che consentano l'utilizzo del relativo munizionamento o il lancio di oggetti idonei all'offesa della persona. I predetti strumenti se realizzati in metallo devono avere la canna completamente ostruita, non in grado di camerare cartucce ed avere la canna occlusa da un tappo rosso inamovibile. Quelli da segnalazione acustica, destinati a produrre un rumore tramite l'accensione di una cartuccia a salve, devono avere la canna occlusa da un inserto di metallo ed un tappo rosso inamovibile all'estremita' della canna. Gli strumenti denominati «softair», vendibili solo ai maggiori di 16 anni, possono sparare pallini in plastica, di colore vivo, per mezzo di aria o gas compresso, purche' l'energia del singolo pallino, misurata ad un metro dalla volata, non sia superiore ad 1 joule. La canna dell'arma deve essere colorata di rosso per almeno tre centimetri e qualora la canna non sia sporgente la verniciatura deve interessare la parte anteriore dello strumento per un pari tratto. Gli strumenti di cui al presente comma sono sottoposti, a spese dell'interessato, a verifica di conformita' accertata dal Banco nazionale di prova. 5. Nessuna limitazione e' posta all'aspetto degli strumenti riproducenti armi destinati all'esportazione. 6. Chiunque produce o pone in commercio gli strumenti di cui al presente articolo, senza l'osservanza delle disposizioni del quarto comma, e' punito con la reclusione da uno a tre anni e con la multa da 1.500 euro a 15.000 euro. 7. Quando l'uso o il porto d'armi e' previsto quale elemento costitutivo o circostanza aggravante del reato, il reato stesso sussiste o e' aggravato anche qualora si tratti di arma per uso scenico o di strumenti riproducenti armi la cui canna non sia occlusa a norma del quarto comma.» «Art. 25 (Registro delle operazioni giornaliere). - 1. Chiunque, per l'esercizio della propria attivita' lavorativa, fa abituale impiego di esplosivi di qualsiasi genere deve tenere il registro delle operazioni giornaliere previsto dal primo comma dell'articolo 55 del testo unico delle leggi di pubblica sicurezza 18 giugno 1931, n. 773. 2. E' punito con la reclusione da sei mesi a tre anni e con la multa da euro 206 (lire 400.000) a euro 2.065 (lire 4.000.000) chi non osserva l'obbligo di cui al comma precedente. 3. Con la stessa pena sono punite le persone indicate nel primo comma del citato articolo 55 che non osservano l'obbligo di tenuta del registro. 4. Sono punite con l'arresto da venti giorni a tre mesi e con l'ammenda fino a euro 103 (lire 200.000) le persone obbligate a tenere il predetto registro le quali rifiutano ingiustificatamente di esibire il registro stesso agli ufficiali ed agenti di pubblica sicurezza che ne facciano richiesta.». - Si riporta il testo dell'articolo 55 del regio decreto 18 giugno 1931, n. 773 (Approvazione del testo unico delle leggi di pubblica sicurezza): «Art. 55. Gli esercenti fabbriche, depositi o rivendite di esplodenti di qualsiasi specie sono obbligati a tenere un registro delle operazioni giornaliere, in cui saranno indicate le generalita' delle persone con le quali le operazioni stesse sono compiute. Il registro e' tenuto in formato elettronico, secondo le modalita' definite nel regolamento. I rivenditori di materie esplodenti devono altresi' comunicare mensilmente all'ufficio di polizia competente per territorio le generalita' delle persone e delle ditte che hanno acquistato munizioni ed esplosivi, la specie, i contrassegni e la quantita' delle munizioni e degli esplosivi venduti e gli estremi dei titoli abilitativi all'acquisto esibiti dagli interessati. Tale registro deve essere esibito a ogni richiesta degli ufficiali od agenti di pubblica sicurezza e deve essere conservato per un periodo di cinquanta anni anche dopo la cessazione dell'attivita'. Alla cessazione dell'attivita', i registri delle operazioni giornaliere, sia in formato cartaceo che elettronico, devono essere consegnati all'Autorita' di pubblica sicurezza che aveva rilasciato la licenza, che ne curera' la conservazione per il periodo necessario. Le informazioni registrate nel sistema informatico di cui all'articolo 3 del decreto legislativo 25 gennaio 2010, n. 8, devono essere conservate per i 10 anni successivi alla cessazione dell'attivita'. E' vietato vendere o in qualsiasi altro modo cedere materie esplodenti di Iª, IIª, IIIª, IVª e Vª categoria, gruppo A e gruppo B, a privati che non siano muniti di permesso di porto d'armi ovvero di nulla osta rilasciato dal Questore, nonche' materie esplodenti di Vª categoria, gruppo C, a privati che non siano maggiorenni e che non esibiscano un documento di identita' in corso di validita'. Il nulla osta non puo' essere rilasciato a minori: ha la validita' di un mese ed e' esente da ogni tributo. La domanda e' redatta in carta libera. Il Questore puo' subordinare il rilascio del nulla osta di cui al comma precedente, alla presentazione di certificato del medico provinciale, o dell'ufficiale sanitario o di un medico militare, dal quale risulti che il richiedente non e' affetto da malattie mentali oppure da vizi che ne diminuiscono, anche temporaneamente, la capacita' di intendere e di volere. Il contravventore e' punito con l'arresto da nove mesi a tre anni e con l'ammenda non inferiore a euro 154 (lire 300.000). Gli obblighi di registrazione delle operazioni giornaliere e di comunicazione mensile all'ufficio di polizia competente per territorio non si applicano alle materie esplodenti di Vª categoria, gruppo D e gruppo E. L'acquirente o cessionario di materie esplodenti in violazione delle norme del presente articolo e' punito con l'arresto sino a diciotto mesi e con l'ammenda sino a euro 154 (lire 300.000).» - Si riporta il testo degli articoli 9 e 10 della legge 1° aprile 1981, n. 121 (Nuovo ordinamento dell'Amministrazione della pubblica sicurezza): «Art. 9 (Accesso ai dati ed informazioni e loro uso). - L'accesso ai dati e alle informazioni conservati negli archivi automatizzati del Centro di cui all'articolo precedente e la loro utilizzazione sono consentiti agli ufficiali di polizia giudiziaria appartenenti alle forze di polizia, agli ufficiali di pubblica sicurezza e ai funzionari dei servizi di sicurezza, nonche' agli agenti di polizia giudiziaria delle forze di polizia debitamente autorizzati ai sensi del secondo comma del successivo articolo 11. L'accesso ai dati e alle informazioni di cui al comma precedente e' consentito all'autorita' giudiziaria ai fini degli accertamenti necessari per i procedimenti in corso e nei limiti stabiliti dal codice di procedura penale. E' comunque vietata ogni utilizzazione delle informazioni e dei dati predetti per finalita' diverse da quelle previste dall'articolo 6, lettera a). E' altresi' vietata ogni circolazione delle informazioni all'interno della pubblica amministrazione fuori dei casi indicati nel primo comma del presente articolo.» «Art. 10 (Controlli). - 1. Il controllo sul Centro elaborazione dati e' esercitato dal Garante per la protezione dei dati personali, nei modi previsti dalla legge e dai regolamenti. 2. I dati e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti giudiziari o amministrativi soltanto attraverso l'acquisizione delle fonti originarie indicate nel primo comma dell'articolo 7, fermo restando quanto stabilito dall'articolo 240 del codice di procedura penale. Quando nel corso di un procedimento giurisdizionale o amministrativo viene rilevata l'erroneita' o l'incompletezza dei dati e delle informazioni, o l'illegittimita' del loro trattamento, l'autorita' precedente ne da' notizia al Garante per la protezione dei dati personali. 3. La persona alla quale si riferiscono i dati puo' chiedere all'ufficio di cui alla lettera c) del primo comma dell'articolo 5 la conferma dell'esistenza di dati personali che lo riguardano, la loro comunicazione in forma intellegibile e, se i dati risultano trattati in violazione di vigenti disposizioni di legge o di regolamento, la loro cancellazione o trasformazione in forma anonima. 4. Esperiti i necessari accertamenti, l'ufficio comunica al richiedente, non oltre trenta giorni dalla richiesta, le determinazioni adottate. L'ufficio puo' omettere di provvedere sulla richiesta se cio' puo' pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della criminalita', dandone informazione al Garante per la protezione dei dati personali. 5. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, puo' chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi.». - Si riporta il testo dell'art. 21, comma 1, della legge 26 marzo 2001, n. 128 (Interventi legislativi in materia di tutela della sicurezza dei cittadini): «Art. 21. - 1. Ai fini di cui all'articolo 6 della legge 1º aprile 1981, n. 121, le Forze di polizia conferiscono senza ritardo al Centro elaborazione dati del Dipartimento della pubblica sicurezza, istituito dall'articolo 8 della medesima legge, le notizie e le informazioni acquisite nel corso delle attivita' di prevenzione e repressione dei reati e di quelle amministrative. Omissis.» - Il decreto legislativo 30 dicembre 1992, n. 527, recante: "Attuazione della direttiva 91/477/CEE relativa al controllo dell'acquisizione e della detenzione di armi" e' pubblicato nella Gazzetta Ufficiale 11 gennaio 1993, n. 7, S.O.. - Il decreto legislativo 18 maggio 2018, n. 51, recante: «Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio» e' pubblicato nella Gazzetta Ufficiale 24 maggio 2018, n. 119. . - Si riporta il testo dell'articolo 35 del regio decreto 18 giugno 1931, n. 773 (Approvazione del testo unico delle leggi di pubblica sicurezza): «Art. 35. - 1. L'armaiolo di cui all'articolo 1-bis, comma 1, lettera g), del decreto legislativo 30 dicembre 1992, n. 527, e' obbligato a tenere un registro delle operazioni giornaliere, nel quale devono essere indicate le generalita' delle persone con cui le operazioni stesse sono compiute. Il registro e' tenuto in formato elettronico, secondo le modalita' definite nel regolamento. 2. Il registro di cui al comma 1 deve essere esibito a richiesta degli ufficiali od agenti di pubblica sicurezza e deve essere conservato per un periodo di 50 anni. 3. Alla cessazione dell'attivita', i registri delle operazioni giornaliere, sia in formato cartaceo che elettronico, devono essere consegnati all'Autorita' di pubblica sicurezza che aveva rilasciato la licenza, che ne cura la conservazione per il periodo necessario. Le informazioni registrate nel sistema informatico di cui all'articolo 3 del decreto legislativo del 25 gennaio 2010, n. 8, sono conservate per i 50 anni successivi alla cessazione dell'attivita'. 4. Gli armaioli devono, altresi', comunicare mensilmente all'ufficio di polizia competente per territorio le generalita' dei privati che hanno acquistato o venduto loro le armi, nonche' la specie e la quantita' delle armi vendute o acquistate e gli estremi dei titoli abilitativi all'acquisto esibiti dagli interessati. Le comunicazioni possono essere trasmesse anche per via telematica. 5. E' vietato vendere o in qualsiasi altro modo cedere armi a privati che non siano muniti di permesso di porto d'armi ovvero di nulla osta all'acquisto rilasciato dal Questore. 6. Il nulla osta non puo' essere rilasciato ai minori di 18 anni, ha la validita' di un mese ed e' esente da ogni tributo. La domanda e' redatta in carta libera. 7. Il Questore subordina il rilascio del nulla osta alla presentazione di certificato rilasciato dal settore medico legale delle Aziende sanitarie locali, o da un medico militare, della Polizia di Stato o del Corpo nazionale dei vigili del fuoco, dal quale risulti che il richiedente non e' affetto da malattie mentali oppure da vizi che ne diminuiscono, anche temporaneamente, la capacita' di intendere e di volere, ovvero non risulti assumere, anche occasionalmente, sostanze stupefacenti o psicotrope ovvero abusare di alcool, nonche' dalla presentazione di ogni altra certificazione sanitaria prevista dalle disposizioni vigenti. 8. Il contravventore e' punito con l'arresto da sei mesi a due anni e con l'ammenda da 4.000 euro a 20.000 euro. 9. L'acquirente o cessionario di armi in violazione delle norme del presente articolo e' punito con l'arresto fino a un anno e con l'ammenda da 2.000 euro a 10.000 euro. 10. Il provvedimento con cui viene rilasciato il nulla osta all'acquisto delle armi, nonche' quello che consente l'acquisizione, a qualsiasi titolo, della disponibilita' di un'arma devono essere comunicati, a cura dell'interessato, ai conviventi maggiorenni, anche diversi dai familiari, compreso il convivente more uxorio, individuati dal regolamento e indicati dallo stesso interessato all'atto dell'istanza, secondo le modalita' definite nel medesimo regolamento. In caso di violazione degli obblighi previsti in attuazione del presente comma, si applica la sanzione amministrativa da 2.000 euro a 10.000 euro. Puo' essere disposta, altresi', la revoca della licenza o del nulla osta alla detenzione.» - Si riporta il testo dell'articolo 1-bis, comma 1, lettera f) e g) del decreto legislativo 30 dicembre 1992, n. 527 (Attuazione della direttiva 91/477/CEE relativa al controllo dell'acquisizione e della detenzione di armi): «Art. 1-bis. - 1. Ai fini del presente decreto, si intende per: omissis f) «intermediario«, qualsiasi persona fisica o giuridica, diversa dall'armaiolo e dai soggetti che esercitano la sola attivita' di trasporto, che svolge, pur senza avere la materiale disponibilita' di armi da fuoco, loro parti o munizioni, un'attivita' professionale consistente integralmente o in parte: 1) nella negoziazione o organizzazione di transazioni dirette all'acquisto, alla vendita o alla fornitura di armi da fuoco, loro parti o munizioni; 2) nell'organizzazione del trasferimento di armi da fuoco, loro parti o munizioni all'interno del territorio nazionale o di altro Stato membro, dallo Stato italiano ad altro Stato anche terzo e viceversa o fra uno Stato membro e un altro Stato anche terzo e viceversa; g) «armaiolo», qualsiasi persona fisica o giuridica che esercita un'attivita' professionale consistente integralmente o in parte in una o piu' attivita' fra le seguenti: 1) fabbricazione, commercio, scambio, assemblaggio, locazione, riparazione, disattivazione, modifica o trasformazione di armi da fuoco o loro parti; 2) fabbricazione, commercio, scambio, modifica o trasformazione di munizioni.» - Il regio decreto 6 maggio 1940, n. 635, reca: «Approvazione del regolamento per l'esecuzione del testo unico 18 giugno 1931, n. 773, delle leggi di pubblica sicurezza» e' pubblicato nella Gazz. Uff. 26 giugno 1940, n. 149, S.O. - Si riporta il testo dell'articolo 1 del decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133, recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»: «Art. 1 (Perimetro di sicurezza nazionale cibernetica). - 1. Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, e' istituito il perimetro di sicurezza nazionale cibernetica. 2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la cybersicurezza (CIC): a) sono definiti modalita' e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell'individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti criteri: 1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attivita' civili, sociali o economiche fondamentali per gli interessi dello Stato; 2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici; 2-bis) l'individuazione avviene sulla base di un criterio di gradualita', tenendo conto dell'entita' del pregiudizio per la sicurezza nazionale che, in relazione alle specificita' dei diversi settori di attivita', puo' derivare dal malfunzionamento, dall'interruzione, anche parziali, ovvero dall'utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti; b) sono definiti, sulla base di un'analisi del rischio e di un criterio di gradualita' che tenga conto delle specificita' dei diversi settori di attivita', i criteri con i quali i soggetti di cui al comma 2-bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124; all'elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all'articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2-bis, a ciascuno dei soggetti iscritti nell'elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all'articolo 29 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di cui al citato comma 2-bis, trasmettono tali elenchi all'Agenzia per la cybersicurezza nazionale, anche per le attivita' di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l'Agenzia informazioni e sicurezza esterna (AISE) e l'Agenzia informazioni e sicurezza interna (AISI) ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del 2007, nonche' l'organo del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto- legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all'articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l'Agenzia per la cybersicurezza nazionale 2-bis. L'elencazione dei soggetti individuati ai sensi del comma 2, lettera a), e' contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale e' escluso il diritto di accesso, non e' soggetto a pubblicazione, fermo restando che a ciascun soggetto e' data, separatamente, comunicazione senza ritardo dell'avvenuta iscrizione nell'elenco. L'aggiornamento del predetto atto amministrativo e' effettuato con le medesime modalita' di cui al presente comma. 2-ter. Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell'AISE e dell'AISI ai fini dell'esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto 2007, n. 124. 3. Entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, che disciplina altresi' i relativi termini e modalita' attuative, adottato su proposta del CIC: a) sono definite le procedure secondo cui i soggetti di cui al comma 2-bis notificano gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui al comma 2, lettera b), al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) Italia, che inoltra tali notifiche, tempestivamente, al Dipartimento delle informazioni per la sicurezza anche per le attivita' demandate al Nucleo per la sicurezza cibernetica; il Dipartimento delle informazioni per la sicurezza assicura la trasmissione delle notifiche cosi' ricevute all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, nonche' alla Presidenza del Consiglio dei ministri, se provenienti da un soggetto pubblico o da un soggetto di cui all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo economico, se effettuate da un soggetto privato; b) sono stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), tenendo conto degli standard definiti a livello internazionale e dell'Unione europea relative: 1) alla struttura organizzativa preposta alla gestione della sicurezza; 1-bis) alle politiche di sicurezza e alla gestione del rischio; 2) alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; 3) alla protezione fisica e logica e dei dati; 4) all'integrita' delle reti e dei sistemi informativi; 5) alla gestione operativa, ivi compresa la continuita' del servizio; 6) al monitoraggio, test e controllo; 7) alla formazione e consapevolezza; 8) all'affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti. 3-bis. Al di fuori dei casi di cui al comma 3, i soggetti di cui al comma 2-bis notificano gli incidenti di cui all'articolo 1, comma 1, lettera h), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, aventi impatto su reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli di cui al comma 2, lettera b), del presente articolo, fatta eccezione per quelli aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici del Ministero della difesa, per i quali si applicano i principi e le modalita' di cui all'articolo 528, comma 1, lettera d), del codice di cui al decreto legislativo 15 marzo 2010, n. 66. I medesimi soggetti effettuano la notifica entro il termine di settantadue ore. Si applicano, per la decorrenza del termine e per le modalita' di notifica, in quanto compatibili, le disposizioni dell'articolo 3, comma 4, secondo e terzo periodo, del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81. Si applicano, altresi', le disposizioni di cui all'articolo 4, commi 2 e 4, del medesimo regolamento. Con determinazioni tecniche del direttore generale, sentito il vice direttore generale, dell'Agenzia per la cybersicurezza nazionale, e' indicata la tassonomia degli incidenti che debbono essere oggetto di notifica ai sensi del presente comma e possono essere dettate specifiche modalita' di notifica. 4. All'elaborazione delle misure di cui al comma 3, lettera b), provvedono, secondo gli ambiti di competenza delineati dal presente decreto, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e delle finanze e il Dipartimento delle informazioni per la sicurezza. 4-bis. Gli schemi dei decreti di cui ai commi 2 e 3 sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l'espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto puo' essere comunque adottato. I medesimi schemi sono altresi' trasmessi al Comitato parlamentare per la sicurezza della Repubblica. 4-ter. L'atto amministrativo di cui al comma 2-bis e i suoi aggiornamenti sono trasmessi, entro dieci giorni dall'adozione, al Comitato parlamentare per la sicurezza della Repubblica. 5. Per l'aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si procede secondo le medesime modalita' di cui ai commi 2, 3, 4 e 4-bis con cadenza almeno biennale. 6. Con regolamento, adottato ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalita' e i termini con cui: a) i soggetti di cui al comma 2-bis, che intendano procedere, anche per il tramite delle centrali di committenza alle quali essi sono tenuti a fare ricorso ai sensi dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico; la comunicazione comprende anche la valutazione del rischio associato all'oggetto della fornitura, anche in relazione all'ambito di impiego. L'obbligo di comunicazione di cui alla presente lettera e' efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l'Agenzia per la cybersicurezza nazionale, attesta l'operativita' del CVCN e comunque dal 30 giugno 2022. Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessita', il CVCN puo' effettuare verifiche preliminari ed imporre condizioni e test di hardware e software da compiere anche in collaborazione con i soggetti di cui al comma 2-bis, secondo un approccio gradualmente crescente nelle verifiche di sicurezza. Decorso il termine di cui al precedente periodo senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test di hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. I test devono essere conclusi nel termine di sessanta giorni. Decorso il termine di cui al precedente periodo, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In relazione alla specificita' delle forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell'interno e del Ministero della difesa, individuati ai sensi del comma 2, lettera b), i predetti Ministeri, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, possono procedere, con le medesime modalita' e i medesimi termini previsti dai periodi precedenti, attraverso la comunicazione ai propri Centri di valutazione accreditati per le attivita' di cui al presente decreto, ai sensi del comma 7, lettera b), che impiegano le metodologie di verifica e di test definite dal CVCN. Per tali casi i predetti Centri informano il CVCN con le modalita' stabilite con il decreto del Presidente del Consiglio dei ministri, di cui al comma 7, lettera b). Non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attivita' di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera, fermo restando, in entrambi i casi, l'utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b), salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati; b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b), assicurano al CVCN e, limitatamente agli ambiti di specifica competenza, ai Centri di valutazione operanti presso i Ministeri dell'interno e della difesa, di cui alla lettera a) del presente comma, la propria collaborazione per l'effettuazione delle attivita' di test di cui alla lettera a) del presente comma, sostenendone gli oneri; il CVCN segnala la mancata collaborazione al Ministero dello sviluppo economico, in caso di fornitura destinata a soggetti privati, o alla Presidenza del Consiglio dei ministri, in caso di fornitura destinata a soggetti pubblici ovvero a quelli di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate altresi' alla Presidenza del Consiglio dei ministri le analoghe segnalazioni dei Centri di valutazione dei Ministeri dell'interno e della difesa, di cui alla lettera a); c) la Presidenza del Consiglio dei ministri, per i profili di pertinenza dei soggetti pubblici e di quelli di cui all'articolo 29 del codice dell'Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma, svolgono attivita' di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3, dal presente comma e dal comma 7, lettera b), impartendo, se necessario, specifiche prescrizioni; nello svolgimento delle predette attivita' di ispezione e verifica l'accesso, se necessario, a dati o metadati personali e amministrativi e' effettuato in conformita' a quanto previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196; per le reti, i sistemi informativi e i servizi informatici di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile e alla difesa e sicurezza militare dello Stato, le attivita' di ispezione e verifica sono svolte, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, dalle strutture specializzate in tema di protezione di reti e sistemi, nonche', nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza. 7. Nell'ambito dell'approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), il CVCN assume i seguenti compiti: a) contribuisce all'elaborazione delle misure di sicurezza di cui al comma 3, lettera b), per cio' che concerne l'affidamento di forniture di beni, sistemi e servizi ICT; b) ai fini della verifica delle condizioni di sicurezza e dell'assenza di vulnerabilita' note, anche in relazione all'ambito di impiego, definisce le metodologie di verifica e di test e svolge le attivita' di cui al comma 6, lettera a), dettando, se del caso, anche prescrizioni di utilizzo al committente; a tali fini il CVCN si avvale anche di laboratori dallo stesso accreditati secondo criteri stabiliti da un decreto del Presidente del Consiglio dei ministri, adottato entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, su proposta del CIC, impiegando, per le esigenze delle amministrazioni centrali dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori oneri a carico della finanza pubblica, presso le medesime amministrazioni. Con lo stesso decreto sono altresi' stabiliti i raccordi, ivi compresi i contenuti, le modalita' e i termini delle comunicazioni, tra il CVCN e i predetti laboratori, nonche' tra il medesimo CVCN e i Centri di valutazione del Ministero dell'interno e del Ministero della difesa, di cui al comma 6, lettera a), anche la fine di assicurare il coordinamento delle rispettive attivita' e perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio; c) elabora e adotta, previo conforme avviso del Tavolo interministeriale di cui all'articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell'Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica. 8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica: a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b), del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono definite dall'Agenzia per la cybersicurezza nazionale, di cui al comma 2-bis, e dal Ministero dello sviluppo economico per i soggetti privati di cui al medesimo comma, avvalendosi anche del CVCN; il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri si raccordano, ove necessario, con le autorita' competenti di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65; b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT Italia inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), autorita' nazionale competente NIS di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65. 9. Salvo che il fatto costituisca reato: a) il mancato adempimento degli obblighi di predisposizione, di aggiornamento e di trasmissione dell'elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b), e' punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000; b) il mancato adempimento dell'obbligo di notifica di cui al comma 3, lettera a), nei termini prescritti, e' punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; c) l'inosservanza delle misure di sicurezza di cui al comma 3, lettera b), e' punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; d) la mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti, e' punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; e) l'impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione di cui al comma 6, lettera a), e' punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000; f) la mancata collaborazione per l'effettuazione delle attivita' di test di cui al comma 6, lettera a), da parte dei soggetti di cui al medesimo comma 6, lettera b), e' punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; g) il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attivita' di ispezione e verifica svolte ai sensi del comma 6, lettera c), e' punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000; h) il mancato rispetto delle prescrizioni di cui al comma 7, lettera b), e' punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000. 10. L'impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 2, lettera b), in assenza della comunicazione o del superamento dei test o in violazione delle condizioni di cui al comma 6, lettera a), comporta, oltre alle sanzioni di cui al comma 9, lettere d) ed e), l'applicazione della sanzione amministrativa accessoria della incapacita' ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione. 11. Chiunque, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b), o al comma 6, lettera a), o delle attivita' ispettive e di vigilanza previste dal comma 6, lettera c), fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l'aggiornamento degli elenchi di cui al comma 2, lettera b), o ai fini delle comunicazioni di cui al comma 6, lettera a), o per lo svolgimento delle attivita' ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, e' punito con la reclusione da uno a tre anni. 11- bis. All'articolo 24-bis, comma 3, del decreto legislativo 8 giugno 2001, n. 231, dopo le parole: «di altro ente pubblico,» sono inserite le seguenti: «e dei delitti di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105,». 12. Le autorita' competenti per l'accertamento delle violazioni e per l'irrogazione delle sanzioni amministrative sono la Presidenza del Consiglio dei ministri, per i soggetti pubblici e per i soggetti di cui all'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma. 13. Ai fini dell'accertamento e dell'irrogazione delle sanzioni amministrative di cui al comma 9, si osservano le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689. 14. Per i dipendenti dei soggetti pubblici di cui al comma 2-bis, la violazione delle disposizioni di cui al presente articolo puo' costituire causa di responsabilita' disciplinare e amministrativo-contabile. 15. Le autorita' titolari delle attribuzioni di cui al presente decreto assicurano gli opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione, quale autorita' di contrasto nell'esercizio delle attivita' di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. 16. La Presidenza del Consiglio dei ministri, per lo svolgimento delle funzioni di cui al presente decreto puo' avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla base di apposite convenzioni, nell'ambito delle risorse finanziarie e umane disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica. 17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le seguenti modificazioni: a) all'articolo 4, comma 5, dopo il primo periodo e' aggiunto il seguente: «Il Ministero dello sviluppo economico inoltra tale elenco al punto di contatto unico e all'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto- legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»; b) all'articolo 9, comma 3, le parole «e il punto di contatto unico» sono sostituite dalle seguenti: «, il punto di contatto unico e l'organo del Ministero dell'interno per la sicurezza e la regolarita' dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155,». 18. Gli eventuali adeguamenti alle prescrizioni di sicurezza definite ai sensi del presente articolo, delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici di cui al comma 2-bis, sono effettuati con le risorse finanziarie disponibili a legislazione vigente. 19. Per la realizzazione, l'allestimento e il funzionamento del CVCN di cui ai commi 6 e 7 e' autorizzata la spesa di euro 3.200.000 per l'anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024. Per la realizzazione, l'allestimento e il funzionamento del Centro di valutazione del Ministero dell'interno, di cui ai commi 6 e 7, e' autorizzata la spesa di euro 200.000 per l'anno 2019 e di euro 1.500.000 per ciascuno degli anni 2020 e 2021. 19-bis. Il Presidente del Consiglio dei ministri coordina la coerente attuazione delle disposizioni del presente decreto che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del Dipartimento delle informazioni per la sicurezza, che assicura gli opportuni raccordi con le autorita' titolari delle attribuzioni di cui al presente decreto e con i soggetti di cui al comma 1 del presente articolo. Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui al comma 6, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione sulle attivita' svolte. 19-ter. Nei casi in cui sui decreti del Presidente del Consiglio dei ministri previsti dal presente articolo e' acquisito, ai fini della loro adozione, il parere del Consiglio di Stato, i termini ordinatori stabiliti dal presente articolo sono sospesi per un periodo di quarantacinque giorni.» - Si riporta il testo degli articoli 5 e 10 del decreto del Presidente della Repubblica 15 gennaio 2018, n. 15 «Regolamento a norma dell'articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l'individuazione delle modalita' di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalita' di polizia, da organi, uffici e comandi di polizia» «Art. 5 (Configurazione dei sistemi informativi e dei programmi informatici). - 1. Ai sensi dell'articolo 3 del Codice, in relazione ai trattamenti automatizzati, i sistemi informativi e i programmi informatici sono configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi, escludendone comunque il trattamento quando le finalita' di cui all'articolo 3 possono essere perseguite mediante dati anonimi o modalita' che consentono di identificare la persona interessata solo in caso di necessita'. 2. I nuovi sistemi informativi e programmi informatici sono progettati in modo che i dati personali siano cancellati o resi anonimi, con modalita' automatizzate, allo scadere dei termini di conservazione di cui all'articolo 10. Essi, inoltre, sono progettati in modo da consentire la registrazione in appositi registri degli accessi e delle operazioni, di seguito «file di log», effettuati dagli operatori abilitati.» «Art. 10 (Termini di conservazione dei dati).- 1. I dati personali oggetto di trattamento sono conservati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3. 2. I dati personali soggetti a trattamento automatizzato, trascorsa la meta' del tempo massimo di conservazione di cui al comma 3, se uguale o superiore a quindici anni, sono accessibili ai soli operatori a cio' abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti in base alle indicazioni del capo dell'ufficio o del comandante del reparto e in relazione a specifiche attivita' informative, di sicurezza o di indagine di polizia giudiziaria. 3. Fatto salvo quanto previsto dai commi 6 e 7, i dati personali non possono essere conservati oltre il termine massimo fissato come segue: a) dati relativi a provvedimenti di natura interdittiva, di sicurezza e cautelare, nonche' a misure restrittive della liberta' personale conseguenti ad una sentenza di condanna - 20 anni dalla cessazione della loro efficacia; b) dati relativi a misure di prevenzione di carattere personale e patrimoniale - 25 anni dalla cessazione della loro efficacia; c) dati relativi a procedimenti, misure e provvedimenti su cui interviene una procedura di annullamento, invalidazione o revoca - 3 anni dalla data di inoppugnabilita' del provvedimento di annullamento, invalidazione o revoca; d) dati relativi a provvedimenti che dichiarano l'estinzione della pena o del reato - 8 anni dall'inoppugnabilita' del provvedimento; e) dati derivanti da attivita' informativa e ispettiva svolta per le finalita' di cui all'articolo 3 - 15 anni dall'ultimo trattamento; f) dati relativi ad attivita' di polizia giudiziaria conclusa con provvedimento di archiviazione - 20 anni dall'emissione del provvedimento; g) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di assoluzione o di non doversi procedere - 20 anni dal passaggio in giudicato della sentenza; h) dati relativi ad attivita' di polizia giudiziaria conclusa con sentenza di condanna - 25 anni dal passaggio in giudicato della sentenza; i) dati relativi ad attivita' di indagine o polizia giudiziaria che non hanno dato luogo a procedimento penale - 15 anni dall'ultimo trattamento; l) dati relativi ad attivita' di prevenzione generale e soccorso pubblico - 5 anni dalla raccolta; m) dati relativi a controlli di polizia - 20 anni dalla raccolta; n) dati raccolti per l'analisi criminale e di prevenzione - 10 anni dall'elaborazione dell'analisi; o) dati relativi a provvedimenti di espulsione e rimpatrio di stranieri - 30 anni dall'esecuzione; p) dati relativi a nulla osta, licenze, autorizzazioni di polizia - 5 anni dalla scadenza o dalla revoca del titolo; q) dati relativi alla detenzione delle armi o parti di esse, di munizioni finite e di materie esplodenti di qualsiasi genere - 5 anni dalla cessazione della detenzione; r) dati relativi a persone detenute negli istituti penitenziari - 30 anni dalla scarcerazione a seguito di espiazione della pena in caso di condanna - 5 anni dalla scarcerazione a seguito di decreto di archiviazione o non luogo a procedere o di sentenza di assoluzione; s) dati relativi a persone sottoposte a misure di sicurezza detentive - 25 anni dalla scadenza del termine di efficacia della misura; t) dati relativi alla gestione delle attivita' operative - 10 anni dall'ultimo trattamento; u) dati raccolti mediante sistemi di ripresa fotografica, audio e video nei servizi di ordine pubblico e di polizia giudiziaria - 3 anni dalla raccolta; dati raccolti mediante sistemi di videosorveglianza o di ripresa fotografica, audio e video di documentazione dell'attivita' operativa - 18 mesi dalla raccolta. Si applicano i diversi termini di conservazione di cui alla lettera b), quando i dati personali sono confluiti in un procedimento per l'applicazione di una misura di prevenzione, o quelli di cui alle lettere a), f), g), h) e i), quando i dati personali sono confluiti in un procedimento penale. 4. I termini di conservazione di cui al comma 3 sono aumentati di due terzi quando i dati personali sono trattati nell'ambito di attivita' preventiva o repressiva relativa ai delitti di cui all'articolo 51, commi 3-bis, 3-quater e 3-quinquies, del codice di procedura penale, nonche' per le ulteriori ipotesi indicate dall'articolo 407, comma 2, lettera a), del codice di procedura penale. 5. Il capo dell'ufficio o il comandante del reparto, prima della scadenza dei termini di cui al comma 3, ove sia strettamente necessario per il conseguimento delle finalita' di polizia di cui all'articolo 3, puo' decidere, sulla base dei criteri definiti dal Capo della polizia - direttore generale della pubblica sicurezza ovvero, su sua delega, dal vice direttore generale di cui all'articolo 4, comma 6, del decreto-legge 29 ottobre 1991, n. 345, convertito, con modificazioni, dalla legge 30 dicembre 1991, n. 410, di aumentare la durata di conservazione, indicandone i motivi in relazione al caso specifico e l'ulteriore periodo di trattamento, che non puo' comunque superare i due terzi di quelli fissati al comma 3. 6. I dati personali soggetti a trattamento non automatizzato, sono conservati per il periodo di tempo previsto dalle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni se superiore a quello di cui al comma 3. 7. Sono fatti salvi i diversi termini e modalita' di conservazione dei dati personali previsti da disposizioni di legge o di regolamento, da atti normativi dell'Unione europea o dal diritto internazionale in relazione a specifici trattamenti effettuati per le finalita' di cui all'articolo 3. 8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i dati personali soggetti a trattamento automatizzato sono cancellati o resi anonimi, i dati personali non soggetti a trattamento automatizzato restano assoggettati alle disposizioni sullo scarto dei documenti d'archivio delle pubbliche amministrazioni.». - Si riporta il testo dell'articolo 53, comma 3, del decreto legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»: «Art. 53 (Ambito applicativo e titolari dei trattamenti). - Omissis 3. Con decreto adottato dal Ministro dell'interno, previa comunicazione alle competenti Commissioni parlamentari, sono individuati, nell'allegato C) al presente codice, i trattamenti non occasionali di cui al comma 2 effettuati con strumenti elettronici e i relativi titolari.» - Il decreto del Presidente del Consiglio dei ministri del 14 aprile 2021, n. 81 recante «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza» e' pubblicato nella Gazz. Uff. 11 giugno 2021, n. 138. Note all'art. 1: - Si riporta il testo dell'art. 11, del citato decreto legislativo 10 agosto 2018, n. 104: «Art. 11 (Norme di semplificazione in materia di tracciabilita' delle armi e delle munizioni). - 1. Al fine di assicurare standard uniformi degli strumenti di controllo delle armi da fuoco e delle munizioni e garantire lo scambio di dati con gli altri Stati membri dell'Unione europea, e' istituito presso il Dipartimento della Pubblica Sicurezza, un sistema informatico dedicato per la tracciabilita' delle armi e delle munizioni. 2. Il sistema di cui al comma 1 contiene le seguenti informazioni: a) per le armi da fuoco il tipo, la marca, il modello, il calibro, il numero di catalogo se presente, la classificazione secondo la normativa europea se presente, il numero di matricola di ciascuna arma e la marcatura apposta sul telaio o sul fusto quale marcatura unica ai sensi dell'articolo 11 della legge 18 aprile 1975, n. 110, nonche' il numero di matricola o la marcatura unica applicata alle loro parti, nel caso in cui questa differisca dalla marcatura apposta sul telaio o sul fusto di ciascuna arma da fuoco. Il sistema contiene, altresi', i dati identificativi dei fornitori, degli acquirenti, dei detentori dell'arma, ivi compresi quelli riguardanti la sede legale qualora tali soggetti esercitino attivita' d'impresa, l'indicazione delle operazioni aventi ad oggetto ogni arma e la data in cui sono state effettuate, il relativo prezzo, nonche' gli estremi del titolo abilitativo all'acquisto e, nel caso di persona fisica diversa dall'imprenditore, il luogo di residenza. Nel sistema sono, inoltre, inseriti i dati relativi a qualsiasi operazione consistente in una trasformazione o modifica irreversibile dell'arma da fuoco che determini un cambiamento della categoria o della sottocategoria di cui all'allegato I alla direttiva 91/477/CEE del Consiglio, del 18 giugno 1991, incluse la disattivazione o la distruzione certificate e la data in cui sono avvenute tali operazioni; b) per le munizioni, le informazioni previste dall'articolo 55, primo comma, del regio decreto 18 giugno 1931, n. 773 e i dati di cui all'articolo 3, comma 2, lettere a), b) e c), della legge 6 dicembre 1993, n. 509; c) per le armi diverse dalle armi da fuoco, le informazioni previste dall'articolo 35 del regio decreto 18 giugno 1931, n. 773 e dall'articolo 54, primo comma, del regio decreto 6 maggio 1940, n. 635, ivi compresi i dati relativi alle armi a modesta capacita' offensiva. 3. I soggetti tenuti alla conservazione dei registri di cui all'articolo 35 e, limitatamente alle munizioni, all'articolo 55 del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773, provvedono ad immettere i dati relativi alle operazioni eseguite, secondo le modalita' stabilite con i provvedimenti di cui al comma 6. L'inserimento dei dati nel sistema di cui al comma 1 costituisce valida modalita' di assolvimento degli obblighi di cui all'articolo 35 e, limitatamente alle munizioni all'articolo 55 del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773. 4. I dati concernenti le operazioni relative alle armi compiute dagli acquirenti e detentori diversi dai soggetti di cui al comma 3, sono inseriti dall'ufficio locale di pubblica sicurezza o, quando questo manchi, dal locale comando dell'Arma dei Carabinieri ovvero dalla Questura competente per territorio in caso di trasmissione della denuncia per via telematica. 5. Il sistema informatico e' consultabile dal personale delle Forze di polizia di cui all'articolo 16, primo comma, della legge 1° aprile 1981, n. 121, nonche' dal personale dell'Amministrazione civile dell'interno, in servizio presso le Prefetture - Uffici Territoriali del Governo, le Questure e gli uffici locali di pubblica sicurezza, per le finalita' di controllo della circolazione delle armi e delle munizioni, nonche' per la prevenzione e repressione dei reati commessi a mezzo di essi. 6. Con decreto del Ministro dell'interno adottato ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, di concerto con il Ministro dell'economia e delle finanze, sentiti il Ministero della difesa e il Garante per la protezione dei dati personali, sono disciplinate, in conformita' alle vigenti disposizioni in materia di tutela dei dati personali in ambito giudiziario e per finalita' di polizia, le modalita': a) di funzionamento del sistema informatico; b) di trasmissione e conservazione dei dati previsti dall'articolo 35 e, limitatamente alle munizioni, dall'articolo 55 del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773; c) di autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate sul sistema; d) di collegamento, ai fini di consultazione e riscontro dei dati, con il Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121; e) di verifica della qualita' e protezione dal danneggiamento e dalla distruzione accidentale o dolosa dei dati registrati e la loro sicura conservazione; f) di trasmissione delle informazioni qualora il sistema informatico di cui al comma 1 non sia in grado di funzionare regolarmente a causa di eventi eccezionali. 7. Gli oneri derivanti dall'attuazione del presente articolo sono pari a euro 500.000 per l'anno 2018 e ad euro 1.000.000 per l'anno 2019, per l'istituzione del sistema informatico, e ad euro 300.000 annui a decorrere dall'anno 2020, per le attivita' di gestione e manutenzione del sistema.» - Per il testo dell'articolo 1-bis, comma 1, lett. f) e g) del decreto legislativo 30 dicembre 1992, n. 527, v. nelle note alle premesse. - Si riporta il testo dell'articolo 31-bis, del citato regio decreto 18 giugno 1931, n. 773: «Art. 31-bis 1. Fatte salve le previsioni di cui agli articoli 01, comma 1, lettera p), e 1, comma 11, della legge 9 luglio 1990, n. 185, come modificata dal decreto legislativo 22 giugno 2012, n. 105, per esercitare l'attivita' di intermediario di cui all'articolo 1-bis, comma 1, lettera f), del decreto legislativo 30 dicembre 1992, n. 527, nel settore delle armi, e' richiesta una apposita licenza rilasciata dal questore, che ha una validita' di 3 anni. Si applicano in quanto compatibili le disposizioni anche regolamentari previste per la licenza di cui all'articolo 31. La licenza non e' necessaria per i rappresentanti in possesso di mandato delle parti interessate. Del mandato e' data comunicazione alla Questura competente per territorio. 2. Ogni operatore autorizzato deve comunicare, l'ultimo giorno del mese, all'autorita' che ha rilasciato la licenza un resoconto dettagliato delle singole operazioni effettuate nel corso dello stesso mese. Il resoconto puo' essere trasmesso anche all'indirizzo di posta elettronica certificata della medesima autorita'. L'operatore, nel caso in cui abbia la materiale disponibilita' delle armi o delle munizioni, e' obbligato alla tenuta del registro di cui, rispettivamente, agli articoli 35 e 55, nonche' ad effettuare le relative annotazioni concernenti le operazioni eseguite. 3. La mancata comunicazione puo' comportare, in caso di prima violazione, la sospensione e, in caso di recidiva, la sospensione o la revoca della licenza.» - Per il testo degli articoli 35 e 55 del regio decreto 18 giugno 1931, n. 773, v. nelle note alle premesse. - Per il testo dell'articolo 8 della legge 1° aprile 1981, n. 121, v. nelle note alle premesse.