IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 3 agosto 2007, n. 124, recante "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto"; Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE; Viste le disposizioni in materia di protezione e tutela delle informazioni classificate; Visto il decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, recante "Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa"; Visto il decreto legislativo del 7 marzo 2005, n. 82, e successive modificazioni, recante "Codice dell'amministrazione digitale" (CAD); Visto il decreto del Presidente del Consiglio dei ministri dell'11 aprile 2002 recante "Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato"; Visto il decreto del Presidente del Consiglio dei ministri del 22 febbraio 2013 recante "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71; Visto il decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7, recante "Determinazione dell'ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d'individuazione delle materie oggetto di classifica nonche' dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica"; Visto il decreto del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4, recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate"; Visto l'art. 7, comma 1, lettera g), del suddetto decreto del Presidente del Consiglio dei ministri, che attribuisce la funzione di autorita' di certificazione all'Ufficio centrale per la segretezza, nonche' l'art. 75 concernente l'emanazione di nuove disposizioni tecniche al fine di adeguare la disciplina applicativa in materia di tutela amministrativa del segreto di Stato e delle informazioni classificate ai principi del suddetto decreto; Vista la deliberazione del Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) n. 45/2009 del 21 maggio 2009 concernente le "Regole per il riconoscimento e la verifica del documento informatico" cosi' come modificata dalla "Determinazione Commissariale 28 luglio 2010"; Visto l'art. 2, comma 6, del decreto legislativo del 7 marzo 2005, n. 82, secondo cui le disposizioni del CAD non si applicano limitatamente all'esercizio delle attivita' e funzioni di ordine e sicurezza pubblica, difesa e sicurezza nazionale; Considerato che le classifiche di segretezza sono attribuite per limitare la circolazione di informazioni la cui eventuale diffusione non autorizzata sia idonea ad arrecare un pregiudizio agli interessi fondamentali della Repubblica; Visto il decreto del Presidente del Consiglio dei ministri 22 febbraio 2013 recante "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 28, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71"; Visto il decreto del Presidente del Consiglio dei ministri 13 novembre 2014, recante "Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonche' di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell'amministrazione digitale di cui al citato decreto legislativo n. 82 del 2005"; Visto l'art. 4, comma 3, lettera l), della legge 3 agosto 2007, n. 124, cosi' come modificato con decreto-legge 1° luglio 2009, n. 78, convertito con legge 3 agosto 2009 n. 102, il quale prevede che il Dipartimento delle informazioni per la sicurezza assicura l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei ministri con apposito regolamento adottato ai sensi dell'art. 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresi' sulla loro corretta applicazione; Visto il decreto legislativo 30 giugno 2003, n. 196, recante "Codice in materia di protezione dei dati personali"; Visto l'art. 43 della legge 3 agosto 2007, n. 124, che consente l'adozione di regolamenti in deroga alle disposizioni dell'art. 17 della legge 23 agosto 1998, n. 400, e successive modificazioni e, dunque, in assenza del parere del Consiglio di Stato; Ravvisata la necessita' di regolamentare l'impiego delle procedure di firma digitale per i documenti informatici classificati; Acquisito il parere tecnico dell'Agenzia per l'Italia digitale di cui alla legge 7 agosto 2012, n. 134; Consultato il Garante per la protezione dei dati personali; Acquisito il parere del Comitato parlamentare per la sicurezza della Repubblica; Sentito il Comitato interministeriale per la sicurezza della Repubblica; A d o t t a il seguente regolamento: Art. 1 Definizioni 1. Ai fini del presente regolamento sono definiti: a) "Autorita' nazionale per la sicurezza (ANS)", il Presidente del Consiglio dei ministri nell'esercizio delle funzioni di tutela amministrativa del segreto di Stato e delle informazioni classificate; b) "Autorita' di certificazione (CA)", l'ente nazionale che effettua la certificazione, rilascia il certificato qualificato, pubblica e aggiorna gli elenchi dei certificati sospesi e revocati. La CA si avvale di altre entita' chiamate Autorita' Locali di Registrazione (LRA), per garantire che l'utente richiedente un certificato sia esattamente quello riportato nel certificato stesso; c) "Autorita' di registrazione locale (LRA)", l'ente responsabile della verifica in modo affidabile delle identita' dei titolari istituita presso tutti i soggetti, pubblici e privati, in possesso delle previste abilitazioni di sicurezza; d) "CAD", il decreto legislativo del 7 marzo 2005 n. 82 e successive modificazioni, recante "Codice dell'amministrazione digitale"; e) "certificate revocation list (CRL)", la lista conseguente alle operazioni con cui la CA annulla la validita' di un certificato da un dato momento, non retroattivo, in poi. Tale elenco e' firmato digitalmente, aggiornato e pubblicato dalla CA; f) "certificate suspension list (CSL)", la lista conseguente alle operazioni con cui la CA sospende temporaneamente la validita' di un certificato da un dato momento, non retroattivo, in poi. Tale elenco e' firmato digitalmente, aggiornato e pubblicato dalla CA; g) "certificato elettronico", attestato elettronico che collega all'identita' del titolare i dati utilizzati per verificare le firme elettroniche; h) "certificato qualificato", un certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva; i) "certificazione", il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza univoca tra chiave pubblica e soggetto titolare, si identifica quest'ultimo, si attesta il periodo di validita' della predetta chiave e il termine di scadenza del relativo certificato; l) "chiavi asimmetriche", la coppia di chiavi crittografiche, una pubblica e una privata, correlate tra loro, utilizzate nell'ambito dei sistemi di validazione e di generazione della firma; m) "chiave privata", elemento della coppia di chiavi asimmetriche,utilizzato dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico; n) "chiave pubblica", l'elemento della coppia di chiavi asimmetriche destinato a essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche; o) "codici personali", codici alfanumerici o caratteristiche biometriche in possesso del titolare e necessarie per attivare le procedure di firma digitale; p) "copia per immagine su supporto informatico di documento analogico", il documento informatico avente contenuto e forma identici a quelli del documento analogico da cui e' tratto; q) "copia informatica di documento informatico", il documento informatico avente contenuto identico a quello del documento da cui e' tratto su supporto informatico con diversa sequenza di valori binari; r) "crittografia", metodo di codifica e protezione dei dati, definito per impedire ad estranei di accedere alle informazioni senza essere dotati di autorizzazione; s) "Dipartimento delle informazioni per la sicurezza" (DIS), l'organismo di cui all'art. 4 della legge; t) "dispositivo di firma", insieme dei dispositivi hardware e software che consentono di sottoscrivere con firma digitale i documenti informatici; u) "Direttiva", il provvedimento in materia di documenti informatici classificati adottato ai sensi dell'art. 75 del decreto del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4; v) "Disciplinare Tecnico" documento che contiene le regole tecniche che disciplinano la sottoscrizione digitale del documento informatico; z) "documento", rappresentazione in formato analogico o informatico di atti, fatti e dati intelligibili direttamente o attraverso un processo di elaborazione elettronica; aa) "documento analogico", il documento formato utilizzando una grandezza fisica che assume valori continui, come le tracce su carta (ad esempio i documenti cartacei), le immagini su film (microfilm), le magnetizzazioni su nastro (cassette e nastri magnetici audio); bb) "documento informatico", la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti, formata e gestita su un sistema per l'elaborazione automatica dei dati; cc) "documento informatico classificato", un documento informatico, formato e gestito su un sistema per l'elaborazione automatica dei dati omologato dall'UCSe, a cui e' stata apposta una classifica di segretezza in conformita' a quanto stabilito dalle vigenti norme in materia di protezione e tutela delle informazioni classificate; dd) "duplicato informatico", il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario; ee) "esibizione", l'operazione che consente di visualizzare un documento conservato e di ottenerne, eventualmente, copia; ff) "firma digitale", un particolare tipo di firma elettronica: 1) basata su un certificato qualificato; 2) basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrita' di un documento informatico o di un insieme di documenti informatici, nonche' eventualmente il momento dell'apposizione della firma medesima; 3) realizzata mediante un dispositivo sicuro per la creazione della firma; gg) "firma elettronica", l'insieme di dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica; hh) "firme multiple", firme digitali apposte da diversi sottoscrittori allo stesso documento informatico; ii) "integrita'", caratteristica dei dati che si riferisce al loro livello di alterazione o danno; ll) "formato di un file", un modo particolare col quale le informazioni sono codificate per la memorizzazione su un dispositivo di memoria; mm) "legge", la legge 3 agosto 2007, n. 124; nn) "Manuale Operativo", documento che contiene le regole tecniche che disciplinano l'attivita' della CA; oo) "Organo nazionale di sicurezza (ONS)", il Direttore generale del Dipartimento delle informazioni per la sicurezza di cui all'art. 4 della legge nell'esercizio delle funzioni di direzione e coordinamento dell'Organizzazione nazionale di sicurezza, di cui all'art. 5 del decreto del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4, e secondo le direttive impartite dall'ANS; pp) "public key infrastructure (PKI)", l'insieme di tecnologie, politiche, processi e persone utilizzate per gestire (generare, distribuire, archiviare, utilizzare, revocare) chiavi di crittografia e certificati digitali in sistemi di crittografia a chiave pubblica; qq) "registrazione di protocollo", l'operazione con cui si attribuisce ai documenti prodotti o ricevuti da un soggetto una numerazione univoca secondo un ordine cronologico progressivo e si annotano informazioni descrittive idonee all'identificazione di ciascun documento; rr) "revoca di un certificato", l'operazione con cui la CA annulla la validita' del certificato da un dato momento, non retroattivo, in poi; ss) "riferimento temporale", l'informazione, contenente la data, che viene associata ad uno o piu' documenti informatici; tt) "riservatezza", garanzia che le informazioni vengano utilizzate unicamente dalle persone o dalle organizzazioni autorizzate; uu) "segnatura di protocollo", l'apposizione o l'associazione all'originale del documento, in forma permanente non modificabile, delle informazioni riguardanti il documento stesso; consente di individuare ciascun documento in modo univoco ed e' effettuata congiuntamente all'operazione di registrazione di protocollo; vv) "sospensione del certificato", l'operazione con cui la CA sospende la validita' del certificato per un determinato periodo di tempo; zz) "titolare", persona fisica titolare di un certificato, ossia il legittimo possessore e utilizzatore della chiave privata associata alla chiave pubblica che compare nel certificato; aaa) "Ufficio centrale per la segretezza" (UCSe), l'Ufficio istituito dall'art. 9 della legge; bbb) "validazione temporale", il risultato della procedura informatica, con cui si attribuisce, ad uno o piu' documenti informatici, un riferimento temporale opponibile ai terzi; ccc) "validita' del certificato", l'efficacia e opponibilita' al titolare della chiave pubblica, dei dati contenuti nel certificato stesso.