Allegato 1 DISCIPLINARE TECNICO Modalita' tecniche di richiesta e rilascio telematico dei certificati anagrafici agli avvocati tramite l'ANPR Introduzione Il presente allegato definisce le modalita' operative per rendere disponibili agli avvocati i servizi di richiesta e rilascio telematico dei certificati anagrafici attraverso l'ANPR. 1. Accesso ai servizi La richiesta di accesso ai servizi di cui all'art. 1 del presente decreto da parte dell'avvocato, e' possibile dall'area dedicata del sito web di ANPR distinta dall'area pubblica riservata ai cittadini, previa identificazione mediante le modalita' di cui ai commi 2-quater e 2-nonies dell'art. 64 del CAD nonche' verifica dell'iscrizione al relativo albo o elenco di cui al decreto del Ministero della giustizia del 12 settembre 2016, n. 178 e all'art. 15, comma 2, della legge 31 dicembre 2012, n. 247, per il tramite della piattaforma di cui all'art. 50-ter del CAD (PDND): ===================================================================== |Fase di autenticazione| Modalita' | Note | +======================+=====================+======================+ | | |L'avvocato richiede | | | |l'accesso ai servizi | | | |scegliendo la | | | |tipologia di | | |L'avvocato si |autenticazione forte | | |autentica nell'area |(CIE, CNS, SPID di | | |dedicata del sito web|livello 2) che | | |di ANPR tramite |preferisce e supera | | |autenticazione forte:|con successo il | | |CIE, CNS, SPID |processo di | | Fase 1 |livello 2 |autenticazione. | +----------------------+---------------------+----------------------+ | | |Mediante appositi | | |ANPR verifica |servizi resi fruibili | | |l'iscrizione del |dal Consiglio | | |soggetto all'albo o |nazionale forense ai | | |registro degli |sensi dell'art. 5, | | |avvocati di cui |comma 4, del decreto | | |all'art. 15, comma 1,|del Ministro della | | |lettera a) o |giustizia del 16 | | |nell'elenco di cui |agosto 2016, n. 178 | | |alla successiva |per il tramite della | | |lettera b), della |PDND, ANPR verifica la| | |legge n. 247/2012 e |presenza o meno del | | |che non risultino |codice fiscale (o ID | | |presenti negli |ANPR ove disponibile) | | |elenchi di cui alle |del soggetto | | |successive lettere e)|richiedente nell'albo | | Fase 2 |e f). |degli avvocati. | +----------------------+---------------------+----------------------+ Tabella 1 - Modalita' di accesso ai servizi Superato con successo il processo di autenticazione e verifica della qualifica, l'avvocato si connette all'area dedicata del sito web di ANPR e, previa conferma (tramite accettazione della relativa informativa di servizio) che procede nelle operazioni per le finalita' connesse all'esecuzione del mandato professionale, puo' usufruire del servizio di richiesta dei certificati. In caso di mancata verifica, all'avvocato e' inibito l'accesso e verra' restituito un messaggio di errore. 2. Servizi per la richiesta e il rilascio dei certificati da parte degli avvocati 2.1. Certificati disponibili tramite ANPR L'avvocato puo' richiedere i seguenti certificati riferiti ai cittadini iscritti nell'ANPR: =================================== | ID | Descrizione | +=======+=========================+ | 1 |anagrafico di nascita | +-------+-------------------------+ | 2 |anagrafico di matrimonio | +-------+-------------------------+ | 3 |di cittadinanza | +-------+-------------------------+ | 4 |di esistenza in vita | +-------+-------------------------+ | 5 |di residenza | +-------+-------------------------+ | 6 |di residenza AIRE | +-------+-------------------------+ | 7 |di stato civile | +-------+-------------------------+ | 8 |di stato di famiglia | +-------+-------------------------+ | |di residenza in | | 9 |convivenza | +-------+-------------------------+ | 10 |di stato di famiglia AIRE| +-------+-------------------------+ | 11 |di stato libero | +-------+-------------------------+ | |anagrafico di unione | | 12 |civile | +-------+-------------------------+ | |di contratto di | | 13 |convivenza | +-------+-------------------------+ 2.2. Richiesta dei certificati L'avvocato che intende richiedere i certificati anagrafici per il tramite dell'ANPR usufruisce del relativo servizio che consente: di inserire gli elementi identificativi del soggetto del quale l'avvocato intenda richiedere il certificato (CODICE-FISCALE ovvero NOME-COGNOME-DATA E LUOGO DI NASCITA); di confermare il soggetto nei confronti del quale l'avvocato intende richiedere il certificato; dichiarare sotto la propria responsabilita' penale e disciplinare che il certificato e' richiesto sulla base di specifico mandato ricevuto nella data da indicarsi, per finalita' di uso legale scegliendo tra a) uso notifica, b) uso stragiudiziale, c) uso in giudizio; di scegliere il tipo di certificato da richiedere; di ottenere il certificato digitale. L'avvocato e' informato del fatto che le dichiarazioni rese ai sensi del decreto del Presidente della Repubblica n. 445 del 2000 in ordine alla sussistenza del mandato, necessarie alla richiesta dei certificati, saranno oggetto delle previste verifiche da parte del Consiglio nazionale forense e dei Consigli dell'Ordine territorialmente competenti nell'ambito dei compiti di vigilanza ad essi demandati e delle conseguenze di eventuali esiti negativi dei controlli effettuati. 2.3. Scelta del certificato L'avvocato puo' scegliere il tipo di certificato che intende richiedere. Il certificato puo' essere richiesto in una delle lingue disponibili ai sensi delle disposizioni in materia delle minoranze linguistiche e storiche. I certificati possono essere richiesti anche in forma contestuale, come previsto dal decreto del Presidente della Repubblica n. 445/2000. Nel caso in cui il certificato non possa essere rilasciato ai sensi di legge, verra' trasmessa apposita comunicazione. 2.4. Formazione ed emissione del certificato A seguito della conferma di emissione da parte del richiedente, il sistema ANPR produce il certificato in formato PDF che, conformemente al modello disponibile sul sito web di ANPR, riporta: il logo del Ministero dell'interno e la dicitura: «Anagrafe nazionale della popolazione residente»; il contrassegno; il sigillo elettronico cosi' come previsto dall'art. 62, comma 3, del CAD; la dicitura: «Il presente certificato e' rilasciato all'avvocato che ne ha fatto richiesta per finalita' connesse all'esecuzione del mandato professionale». In caso di mancata emissione del certificato, verra' restituito un apposito codice di errore. 2.5. Contrassegno Ai sensi dell'art. 23, comma 2-bis, del CAD, al fine di verificare la conformita' della copia analogica del certificato all'originale informatico, e' apposto sulla predetta copia analogica un contrassegno che consente di visualizzare l'originale informatico munito di sigillo elettronico. 2.6. Verifica del certificato tramite contrassegno Per i soggetti in possesso di una copia analogica dotata di contrassegno del certificato prodotto da ANPR, e' prevista una specifica funzione per verificare la corrispondenza con il certificato digitale tramite lettura del QR-code apposto sulla predetta copia, mediante: a) smartphone: l'accesso alla pagina web e' effettuato automaticamente; il richiedente deve inserire il captcha suggeritogli dall'applicazione web; con il pulsante Conferma si attiva la verifica e, in caso di esito positivo, l'applicazione web apre il certificato corrispondente alle informazioni reperite dal QR-code; b) PC: il richiedente deve scannerizzare il QR-code ed effettuare l'upload dell'immagine; il richiedente deve inserire il captcha suggeritogli dall'applicazione web; con il pulsante Conferma si attiva la verifica e, in caso di esito positivo, l'applicazione web apre il certificato corrispondente alle informazioni reperite dal QR-code. L'applicazione di verifica legge il QR-code che contiene il link (URL) che permette di risalire, sul portale ANPR, all'esatta copia digitale del certificato, la quale potra' essere verificata con confronto visivo rispetto alla copia cartacea e garantita dalla presenza del sigillo elettronico del Ministero dell'interno. L'accesso alla funzionalita' sopra descritta e' presente nell'area pubblica del sito web di ANPR. 2.7. Esenzione dall'imposta di bollo I certificati richiesti dall'avvocato tramite il servizio sono rilasciati esenti dall'imposta di bollo ai sensi dell'art. 18, comma 1, del decreto del Presidente della Repubblica 30 maggio 2002, n. 115. L'avvocato conferma di avvalersi della relativa esenzione. 3. Misure di sicurezza Le misure di sicurezza per l'erogazione dei servizi di cui al presente decreto sono quelle previste dall'allegato C «Misure di sicurezza» del decreto del Presidente del Consiglio dei ministri n. 194 del 2014 e successive integrazioni, secondo cui l'infrastruttura di sicurezza a supporto del sistema ANPR garantisce: l'integrita' e la riservatezza dei dati; la sicurezza dei servizi e dell'accesso ad essi; il tracciamento delle operazioni effettuate. 3.1. Integrita' e riservatezza dei dati L'integrita' (la protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto, accidentali oppure effettuate volontariamente da una terza parte) e il non ripudio (condizione secondo la quale non si puo' negare la paternita' e la validita' del dato) sono garantiti dall'apposizione di firma ai messaggi scambiati nell'interazione tra comune ed ANPR. Nel caso di servizi fruiti tramite un'applicazione web, il non ripudio e' garantito, oltre che dalla non modificabilita' dei log di tracciamento, anche dall'identificazione certa dell'utente da parte del sistema informatico, mediante un meccanismo di autenticazione forte (metodo di autenticazione basato sull'utilizzo di piu' di un fattore di autenticazione) per l'accesso al servizio erogato dalla pubblica amministrazione (Ministero dell'interno). 3.2. Sicurezza dei servizi e dell'accesso ad essi Per proteggere i sistemi dagli attacchi informatici al fine di eliminare le vulnerabilita', si utilizzano le seguenti tecnologie o procedure: a) aggiornamenti periodici dei sistemi operativi e dei software di sistema, hardening delle macchine; b) adozione di una infrastruttura di sistemi firewall e sistemi IPS (Intrusion prevention system) che consentono la rilevazione dell'esecuzione di codice non previsto e l'esecuzione di azioni in tempo reale quali il blocco del traffico proveniente da un indirizzo IP attaccante; c) esecuzione di WAPT (Web application penetration test), per la verifica della presenza di eventuali vulnerabilita' sul codice sorgente; d) adozione del captcha sull'applicazione web e di sistemi di rate-limit sui web services che limitano il numero di transazioni nell'unita' di tempo, al fine di mitigare il rischio di accesso automatizzato alle applicazioni che genererebbe un traffico finalizzato alla saturazione dei sistemi e quindi al successivo blocco del servizio; e) sono previsti sistemi di backup e disaster recovery per i log di accesso applicativo. Tali sistemi sono previsti anche per i dati, in quanto la perdita delle informazioni registrate pregiudica l'utilizzo e l'efficienza dei servizi, e non permette di raggiungere le finalita' stesse dei servizi. 3.3. Tracciamento delle operazioni effettuate Il sistema registra gli accessi alle applicazioni e l'esito dell'operazione. Per ciascuna transazione effettuata saranno registrati i seguenti dati relativi alla richiesta del servizio e all'esito dell'operazione: codice fiscale dell'avvocato; codice fiscale del soggetto nei confronti del quale l'avvocato intende richiedere il certificato; data-ora-minuti-secondi-millisecondi della richiesta; operazione richiesta; esito della richiesta; identificativo della richiesta; modalita' di autenticazione; data del mandato; finalita' indicata. I log degli accessi cosi' descritti sono conservati fino a un anno on-line e storicizzati per due anni. Le informazioni necessarie a imputare, alle singole identita' digitali, le operazioni effettuate tramite SPID e CIEid sono conservate per ventiquattro mesi ai sensi dell'art. 13, comma 2, del decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 e art. 13, comma 4, del decreto del Ministero dell'interno 8 settembre 2022. E' previsto un sistema di log analysis per l'analisi periodica delle informazioni registrate degli accessi applicativi, in grado di individuare, sulla base di regole predefinite e formalizzate e attraverso l'utilizzo di indicatori di anomalie (alert), eventi potenzialmente anomali che possano configurare trattamenti illeciti. I file di log registrano le informazioni riguardanti le operazioni, per la verifica della correttezza e legittimita' del trattamento dei dati. I file di log presentano le caratteristiche di integrita' e inalterabilita', e sono protetti con idonee misure contro ogni uso improprio. Sulla base di quanto monitorato dal sistema di log analysis, vengono generati periodicamente dei report sintetici sullo stato di sicurezza del sistema (es. accessi ai dati, rilevamento delle anomalie, etc.).