Allegato 1
Disciplinare tecnico
Modalita' tecniche di richiesta e invio telematico dei certificati di
nascita e modalita' telematiche di richiesta dell'iscrizione
anagrafica, attraverso l'ANPR
Introduzione
Il presente allegato definisce le modalita' operative per rendere
disponibile al cittadino dell'Unione europea, attraverso l'ANPR, i
servizi di:
richiesta e rilascio telematico di certificati di nascita
attraverso l'ANPR, in favore del cittadino dell'Unione europea, nato
in Italia, non piu' iscritto nell'ANPR alla data della richiesta, ma
comunque registrato nell'anagrafe comunale al momento del subentro
del comune in ANPR o successivamente;
presentazione, in via telematica, della richiesta di iscrizione
anagrafica in conformita' alle previsioni di cui agli articoli 3 e 9
del decreto legislativo 6 febbraio 2007, n. 30.
1. Accesso ai servizi e tipologia di dati trattati
1.1 La richiesta di accesso ai servizi di cui all'articolo 1,
comma 1, lettere a) e b), del presente decreto da parte del cittadino
dell'Unione europea, e' possibile dall'area riservata del sito web di
ANPR, previa identificazione elettronica ai sensi del regolamento
(UE) 2014/910 con livello di garanzia significativo.
L'identificazione elettronica mediante l'utilizzo di sistemi
riconosciuti in ambito eIDAS conformemente al regolamento (UE)
2014/910 avviene attraverso il nodo italiano eIDAS integrato nel
portale dell'ANPR secondo le indicazioni operative di cui all'avviso
01-2018 recante «Note per il dispiegamento del LOGIN EIDAS presso le
pubbliche amministrazioni», pubblicate e aggiornate da AgID sul sito
www.eid.gov.it/abilita-eidas
=====================================================================
| | Attivita' | Tipologia di | |
| Utente | richiesta | dati trattati | Finalita' |
+===========+================+================+=====================+
| | |codice | |
| | |identificativo | |
| |Autenticazione |associato al | |
| |nel sito web di |mezzo di | |
| |ANPR tramite |identificazione | |
| |identita' |elettronica | |
| |elettronica con |impiegato | |
| |livello di |dall'utente ai | |
| |garanzia |fini di | |
| |significativo ai|autenticazione |Gestione |
| |sensi del |(Unique |dell'autenticazione |
| |regolamento (UE)|Identifier); |del cittadino UE ai |
| cittadino |2014/910 - Login|nome; cognome; |fini dell'accesso ai |
| UE |eIDAS. |data di nascita.|servizi. |
+-----------+----------------+----------------+---------------------+
Tabella 1 - Modalita' di accesso
1.2 Per accedere ai servizi presenti nell'area riservata, oltre
al completamento dell'identificazione elettronica del richiedente
come descritto al punto n. 1.1, viene richiesto al cittadino di
inserire il proprio codice fiscale.
Tale dato risulta obbligatorio per accedere al servizio di cui
all'articolo 1, comma 1, lettera a); per quanto riguarda il servizio
di cui alla lettera b), l'inserimento del dato risulta discrezionale
in base al possesso o meno dello stesso da parte del cittadino
comunitario.
Vengono altresi' richiesti il genere e il luogo di nascita
(corrispondente alla nazione estera di nascita per i cittadini nati
all'estero), ai fini della validazione dei dati, nonche' un indirizzo
di posta elettronica al fine di gestire le comunicazioni relative al
procedimento.
Il servizio di validazione del codice fiscale, che verra'
richiamato direttamente dall'ANPR in forza degli accordi preesistenti
tra il Ministero dell'interno e Agenzia delle entrate, e' il medesimo
servizio esposto dalla suddetta Agenzia nei confronti delle altre
amministrazioni per il tramite delle componenti nazionali del Single
Digital Gateway.
=====================================================================
| | Attivita' | Tipologia di | |
| Utente | richiesta | dati trattati | Finalita' |
+============+=================+=================+==================+
| | | |Tramite il |
| | | |sopracitato |
| | | |servizio |
| | | |dell'Agenzia delle|
| | | |entrate, in caso |
| |Il cittadino UE |nome; |di inserimento del|
| |inserisce il |cognome; |codice fiscale, |
|cittadino UE|proprio codice |data di nascita; |sara' validata la |
| |fiscale (ove |codice fiscale; |corrispondenza tra|
| |disponibile), il |genere; |dati anagrafici e |
| |genere e il luogo|luogo/nazione di |il codice fiscale |
| |di nascita |nascita. |del cittadino. |
| | |-----------------+------------------+
| | | |Comunicazioni |
| | |indirizzo di |inerenti l'esito |
| | |posta elettronica|del procedimento |
+------------+-----------------+-----------------+------------------+
Tabella 2 - Modalita' di validazione dei dati
1.3 Nei casi in cui il dato del codice fiscale sia nella
disponibilita' del cittadino che accede ai servizi dell'area
riservata, quest'ultimo dovra' inserirlo al momento della
presentazione delle richieste e verra' effettuato un controllo di
corrispondenza tra il codice fiscale stesso e i suoi dati anagrafici.
In caso di mancata corrispondenza tra i predetti dati, ovvero in
presenza di dati non validati, all'utente e' inibito l'accesso ai
servizi di ANPR e verra' informato delle motivazioni che hanno
impedito l'accesso al servizio ai sensi dell'articolo 16 del
regolamento di esecuzione (UE) 2022/1463 della Commissione europea
del 5 agosto 2022.
Per quanto riguarda il servizio di cui all'art. 1, comma 1,
lettera b), qualora il dichiarante non sia in possesso del codice
fiscale al momento della presentazione della richiesta di iscrizione
anagrafica, sara' l'ufficiale d'anagrafe, ricevuta l'istanza
attraverso l'ANPR ed esaminata con esito positivo, a richiederne
l'assegnazione all'Agenzia delle entrate. In questo caso, vista la
mancanza del dato in fase di presentazione della dichiarazione, non
verra' effettuato nessuno dei controlli di cui al paragrafo
precedente.
2. Servizi al cittadino dell'Unione europea
2.1 Servizio per la richiesta e il rilascio di certificati di
nascita in via telematica
Il servizio consente al cittadino dell'Unione europea, nato in
Italia e non piu' iscritto nell'ANPR alla data della richiesta, di
richiedere il rilascio di un certificato di nascita, gia' registrato
nella banca dati, esclusivamente per se' stesso.
Anteprima del certificato
Prima della formazione del certificato, il sistema ANPR
visualizza un'anteprima che consente di verificare la correttezza dei
dati. Nell'Anteprima non e' riportato il contrassegno e in diagonale
e' apposta la dicitura: ANTEPRIMA.
Formazione ed emissione del certificato
A seguito della conferma di emissione da parte del richiedente,
il sistema ANPR, previo pagamento del bollo ove richiesto o
indicazione della relativa esenzione, produce il certificato in
formato pdf che, conformemente al modello disponibile sul sito web di
ANPR, riporta:
il logo del Ministero dell'interno e la dicitura: «Anagrafe
nazionale della popolazione residente»;
il contrassegno;
il sigillo elettronico cosi' come previsto dall'articolo 62,
comma 3, del CAD.
In caso di mancata emissione del certificato verra' restituito un
apposito codice di errore.
A scelta del cittadino, il certificato prodotto sara' disponibile
nell'Area riservata del cittadino per il download, per il periodo di
validita' del certificato stesso e, laddove disponibili, sara'
altresi' inviato all'indirizzo di posta elettronica indicato dal
cittadino e/o reso disponibile tramite il punto di accesso telematico
di cui all'articolo 64-bis del CAD.
Al fine di garantire una migliore fruibilita' del servizio, il
certificato potra' a scelta del cittadino essere trasmesso, a titolo
di cortesia, anche agli indirizzi e-mail dallo stesso indicati e
validati in fase di richiesta di invio del certificato.
Al termine del periodo di validita' del certificato, lo stesso
sara' cancellato.
Contrassegno
Ai sensi dell'art. 23, comma 2-bis, del CAD, al fine di
consentire di verificare la conformita' della copia analogica del
certificato all'originale informatico, e' apposto sulla predetta
copia analogica un contrassegno che consente di visualizzare
l'originale informatico munito di sigillo elettronico.
Verifica del certificato tramite contrassegno
Per i soggetti in possesso di una copia analogica, dotata di
contrassegno, del certificato prodotto da ANPR, e' prevista una
specifica funzione per verificare la corrispondenza con il
certificato digitale tramite lettura del QR-code apposto sulla
predetta copia, mediante:
a) smartphone
l'accesso alla pagina WEB e' effettuato automaticamente;
il cittadino deve inserire il captcha suggeritogli
dall'applicazione web;
con il pulsante Conferma si attiva la verifica e, in caso
di esito positivo, l'applicazione web apre il certificato
corrispondente alle informazioni reperite dal QR-code.
b) PC
il cittadino deve scannerizzare il QR-code ed effettuare
l'upload dell'immagine;
il cittadino deve inserire il captcha suggeritogli
dall'applicazione web;
con il pulsante Conferma si attiva la verifica e, in caso
di esito positivo, l'applicazione web apre il certificato
corrispondente alle informazioni reperite dal QR-code.
L'applicazione di verifica legge il QR-code che contiene il link
(URL) che permette di risalire, sul portale ANPR, all'esatta copia
digitale del certificato, la quale potra' essere verificata con
confronto visivo rispetto alla copia cartacea e' garantita dalla
presenza del sigillo elettronico del Ministero dell'interno.
L'accesso alla funzionalita' sopra descritta e' presente nell'area
pubblica del sito web di ANPR.
2.2 Servizio di iscrizione anagrafica
Il servizio consente al cittadino dell'Unione europea di
richiedere l'iscrizione anagrafica, per i componenti della propria
costituenda famiglia anagrafica, compilando l'apposito modulo on-line
reso disponibile dal sistema, producendo altresi' la documentazione
richiesta dalla normativa vigente.
I modelli di richiesta e l'elenco della documentazione necessaria
a supporto della richiesta, sono pubblicati e aggiornati nel sito
internet www.anagrafenazionale.interno.it del Ministero dell'interno,
in apposita sezione dedicata.
Nel caso in cui il dichiarante non fosse in possesso della
documentazione necessaria da allegare alla procedura di iscrizione
anagrafica, si rinvia alla procedura propria del «Sistema tecnico per
lo scambio transfrontaliero automatizzato di prove» tra le autorita'
competenti in diversi Stati membri, di cui all'art. 14 del
regolamento 2018/1724 e al relativo regolamento di esecuzione
2022/1463 (cd. once-only technical system) secondo le modalita'
definite con il regolamento concernente il funzionamento del Single
Digital Gateway da adottare previo parere del Garante per la
protezione dei dati personali.
Nel caso in cui il dichiarante intenda costituire una famiglia
anagrafica ai sensi dell'art. 4 del decreto del Presidente del
Consiglio dei ministri n. 223/1989, e la dichiarazione interessi
riguardi anche componenti maggiorenni della costituenda famiglia
anagrafica, il dichiarante dovra' allegare alla richiesta, oltre alla
documentazione prevista dalla normativa vigente, l'apposito modulo di
dichiarazione anagrafica sottoscritto vada tutti i componenti
interessati ai sensi dell'articolo 20, comma 1-bis, del CAD ovvero ai
sensi dell'articolo 65, comma 1, lettera c) del CAD e il relativo
documento di identita' (nel caso in cui il modello non sia firmato
digitalmente).
Nella formazione del documento, in caso di contestuale
apposizione di una pluralita' di sottoscrizioni, di cui alcune
autografe e altre digitali, le firme autografe dovranno precedere
quelle digitali, altrimenti non sara' possibile procedere alla
verifica di queste ultime, che pertanto si considereranno non
apposte. Una volta completato l'inserimento e la verifica dei dati,
il cittadino potra' procedere alla trasmissione della dichiarazione.
Il richiedente, accedendo al sito web di ANPR, prende visione ed
eventualmente estrae copia analogica del corrispondente originale
informatico relativo alla richiesta effettuata.
Una volta iscritti, il cittadino dell'Unione europea e gli
eventuali componenti della propria famiglia anagrafica potranno
accedere a tutti i servizi disponibili tramite portale ANPR.
Funzionalita' per il comune
Il comune potra' accedere all'elenco delle richieste presente
in ANPR mediante web application o tramite web service.
Il comune ricevera' una notifica di avvenuta presentazione della
richiesta tramite l'apposito servizio di notifica e potra'
visualizzare la lista delle richieste ricevute attraverso
l'applicazione WEB di ANPR, ovvero per il tramite di appositi servizi
applicativi (web services) di interoperabilita' messi a disposizione
dalla piattaforma di ANPR, per la consultazione, la valutazione e
l'aggiornamento dei dati.
Selezionando una richiesta dalla lista, l'ufficiale di anagrafe
del comune potra' visualizzare tutti i dati, nonche' i documenti
trasmessi dal cittadino tra i quali anche quelli recuperati tramite
la procedura propria del «Sistema tecnico per lo scambio
transfrontaliero automatizzato di prove» tra le autorita' competenti
in diversi Stati membri, di cui all'art. 14 del regolamento 2018/1724
e al relativo regolamento di esecuzione 2022/1463 (cd. once-only
technical system) secondo le modalita' definite con il regolamento
concernente il funzionamento del Single Digital Gateway da adottare
previo parere del Garante per la protezione dei dati personali, e
procedere con la verifica e convalida degli stessi.
In caso di esito positivo delle verifiche, l'ufficiale di
anagrafe potra' dare seguito alla comunicazione di avvio del
procedimento nei confronti degli interessati ai sensi di legge.
Sia le funzionalita' di verifica e convalida, a valle della
consultazione dei dati e dei documenti presentati dal cittadino, sia
la successiva comunicazione al cittadino stesso dell'esito della
pratica, saranno messe a disposizione da ANPR attraverso le due
distinte modalita' di comunicazione: l'applicazione WEB di ANPR da
una parte e i servizi applicativi dedicati (web services) dall'altra.
Il processo di espletamento e chiusura della pratica, sia su ANPR sia
su gestionale locale, ove presente, sara' quindi istruibile tramite
entrambe le modalita', consentendo cosi' la massima flessibilita',
direttamente tramite le funzionalita' di ANPR o tramite applicativo
locale, interfacciato via servizi applicativi (web services) con ANPR
stessa.
3. Misure di sicurezza
Le misure di sicurezza per l'erogazione dei servizi di cui al
presente decreto sono quelle previste dall'allegato C «Misure di
sicurezza» del decreto del Presidente del Consiglio dei ministri n.
194 del 2014 e successive integrazioni, secondo cui l'infrastruttura
di sicurezza a supporto del sistema ANPR garantisce:
l'integrita' e la riservatezza dei dati;
la sicurezza dei servizi e dell'accesso ad essi;
il tracciamento delle operazioni effettuate.
3.1 Integrita' e riservatezza dei dati
L'integrita' (la protezione dei dati e delle informazioni nei
confronti delle modifiche del contenuto, accidentali oppure
effettuate volontariamente da una terza parte) e il non ripudio
(condizione secondo la quale non si puo' negare la paternita' e la
validita' del dato) sono garantiti dall'apposizione di firma ai
messaggi scambiati nell'interazione tra comune ed ANPR.
Nel caso di servizi fruiti tramite un'applicazione web, il non
ripudio e' garantito, oltre che dalla non modificabilita' dei log di
tracciamento, anche dall'identificazione certa dell'utente da parte
del sistema informatico, mediante un meccanismo di autenticazione
forte (metodo di autenticazione basato sull'utilizzo di piu' di un
fattore di autenticazione) per l'accesso al servizio erogato dalla
pubblica amministrazione (Ministero dell'interno).
3.2 Sicurezza dei servizi e dell'accesso ad essi
Per proteggere i sistemi dagli attacchi informatici al fine di
eliminare le vulnerabilita', si utilizzano le seguenti tecnologie o
procedure:
a) aggiornamenti periodici dei sistemi operativi e dei software
di sistema, hardening delle macchine;
b) adozione di una infrastruttura di sistemi firewall e sistemi
IPS (Intrusion Prevention System) che consentono la rilevazione
dell'esecuzione di codice non previsto e l'esecuzione di azioni in
tempo reale quali il blocco del traffico proveniente da un indirizzo
IP attaccante;
c) esecuzione di WAPT (Web Application Penetration Test), per
la verifica della presenza di eventuali vulnerabilita' sul codice
sorgente;
d) adozione del captcha sull'applicazione web e di sistemi di
rate-limit sui web services che limitano il numero di transazioni
nell'unita' di tempo, al fine di mitigare il rischio di accesso
automatizzato alle applicazioni che genererebbe un traffico
finalizzato alla saturazione dei sistemi e quindi al successivo
blocco del servizio;
e) sono previsti sistemi di backup e disaster recovery per i
log di accesso applicativo. Tali sistemi sono previsti anche per i
dati, in quanto la perdita delle informazioni registrate pregiudica
l'utilizzo e l'efficienza dei servizi, e non permette di raggiungere
le finalita' stesse dei servizi.
3.3 Tracciamento delle operazioni effettuate
Il sistema registra gli accessi alle applicazioni e l'esito
dell'operazione.
Per ciascuna transazione effettuata saranno registrati i seguenti
dati relativi alla richiesta del servizio e all'esito
dell'operazione:
codice identificativo associato al mezzo di identificazione
elettronica impiegato dal soggetto ai fini di autenticazione (Unique
Identifier);
codice fiscale del cittadino;
data-ora-minuti-secondi-millisecondi della richiesta;
operazione richiesta;
esito della richiesta;
identificativo della richiesta;
modalita' di autenticazione.
I log degli accessi cosi' descritti sono conservati fino a un
anno on-line e storicizzati per dieci anni.
E' previsto un sistema di log analysis per l'analisi periodica
delle informazioni registrate degli accessi applicativi, in grado di
individuare, sulla base di regole predefinite e formalizzate e
attraverso l'utilizzo di indicatori di anomalie (alert), eventi
potenzialmente anomali che possano configurare trattamenti illeciti.
I file di log registrano le informazioni riguardanti le
operazioni, per la verifica della correttezza e legittimita' del
trattamento dei dati. I file di log presentano le caratteristiche di
integrita' e inalterabilita', e sono protetti con idonee misure
contro ogni uso improprio.
Sulla base di quanto monitorato dal sistema di log analysis,
vengono generati periodicamente dei report sintetici sullo stato di
sicurezza del sistema (es. accessi ai dati, rilevamento delle
anomalie, etc.).