IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 3 agosto 2007, n. 124, recante "Sistema di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto";
Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del
Consiglio, del 23 luglio 2014, in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE;
Viste le disposizioni in materia di protezione e tutela delle
informazioni classificate;
Visto il decreto del Presidente della Repubblica del 28 dicembre
2000, n. 445, recante "Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa";
Visto il decreto legislativo del 7 marzo 2005, n. 82, e successive
modificazioni, recante "Codice dell'amministrazione digitale" (CAD);
Visto il decreto del Presidente del Consiglio dei ministri dell'11
aprile 2002 recante "Schema nazionale per la valutazione e la
certificazione della sicurezza delle tecnologie dell'informazione, ai
fini della tutela delle informazioni classificate, concernenti la
sicurezza interna ed esterna dello Stato";
Visto il decreto del Presidente del Consiglio dei ministri del 22
febbraio 2013 recante "Regole tecniche in materia di generazione,
apposizione e verifica delle firme elettroniche avanzate, qualificate
e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28,
comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71;
Visto il decreto del Presidente del Consiglio dei ministri 12
giugno 2009, n. 7, recante "Determinazione dell'ambito dei singoli
livelli di segretezza, dei soggetti con potere di classifica, dei
criteri d'individuazione delle materie oggetto di classifica nonche'
dei modi di accesso nei luoghi militari o definiti di interesse per
la sicurezza della Repubblica";
Visto il decreto del Presidente del Consiglio dei ministri 22
luglio 2011, n. 4, recante "Disposizioni per la tutela amministrativa
del segreto di Stato e delle informazioni classificate";
Visto l'art. 7, comma 1, lettera g), del suddetto decreto del
Presidente del Consiglio dei ministri, che attribuisce la funzione di
autorita' di certificazione all'Ufficio centrale per la segretezza,
nonche' l'art. 75 concernente l'emanazione di nuove disposizioni
tecniche al fine di adeguare la disciplina applicativa in materia di
tutela amministrativa del segreto di Stato e delle informazioni
classificate ai principi del suddetto decreto;
Vista la deliberazione del Centro nazionale per l'informatica nella
pubblica amministrazione (CNIPA) n. 45/2009 del 21 maggio 2009
concernente le "Regole per il riconoscimento e la verifica del
documento informatico" cosi' come modificata dalla "Determinazione
Commissariale 28 luglio 2010";
Visto l'art. 2, comma 6, del decreto legislativo del 7 marzo 2005,
n. 82, secondo cui le disposizioni del CAD non si applicano
limitatamente all'esercizio delle attivita' e funzioni di ordine e
sicurezza pubblica, difesa e sicurezza nazionale;
Considerato che le classifiche di segretezza sono attribuite per
limitare la circolazione di informazioni la cui eventuale diffusione
non autorizzata sia idonea ad arrecare un pregiudizio agli interessi
fondamentali della Repubblica;
Visto il decreto del Presidente del Consiglio dei ministri 22
febbraio 2013 recante "Regole tecniche in materia di generazione,
apposizione e verifica delle firme elettroniche avanzate, qualificate
e digitali, ai sensi degli articoli 20, comma 3, 28, comma 4, 28,
comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71";
Visto il decreto del Presidente del Consiglio dei ministri 13
novembre 2014, recante "Regole tecniche in materia di formazione,
trasmissione, copia, duplicazione, riproduzione e validazione
temporale dei documenti informatici nonche' di formazione e
conservazione dei documenti informatici delle pubbliche
amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40,
comma 1, 41, e 71, comma 1, del Codice dell'amministrazione digitale
di cui al citato decreto legislativo n. 82 del 2005";
Visto l'art. 4, comma 3, lettera l), della legge 3 agosto 2007, n.
124, cosi' come modificato con decreto-legge 1° luglio 2009, n. 78,
convertito con legge 3 agosto 2009 n. 102, il quale prevede che il
Dipartimento delle informazioni per la sicurezza assicura
l'attuazione delle disposizioni impartite dal Presidente del
Consiglio dei ministri con apposito regolamento adottato ai sensi
dell'art. 1, comma 2, ai fini della tutela amministrativa del segreto
di Stato e delle classifiche di segretezza, vigilando altresi' sulla
loro corretta applicazione;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
"Codice in materia di protezione dei dati personali";
Visto l'art. 43 della legge 3 agosto 2007, n. 124, che consente
l'adozione di regolamenti in deroga alle disposizioni dell'art. 17
della legge 23 agosto 1998, n. 400, e successive modificazioni e,
dunque, in assenza del parere del Consiglio di Stato;
Ravvisata la necessita' di regolamentare l'impiego delle procedure
di firma digitale per i documenti informatici classificati;
Acquisito il parere tecnico dell'Agenzia per l'Italia digitale di
cui alla legge 7 agosto 2012, n. 134;
Consultato il Garante per la protezione dei dati personali;
Acquisito il parere del Comitato parlamentare per la sicurezza
della Repubblica;
Sentito il Comitato interministeriale per la sicurezza della
Repubblica;
A d o t t a
il seguente regolamento:
Art. 1
Definizioni
1. Ai fini del presente regolamento sono definiti:
a) "Autorita' nazionale per la sicurezza (ANS)", il Presidente
del Consiglio dei ministri nell'esercizio delle funzioni di tutela
amministrativa del segreto di Stato e delle informazioni
classificate;
b) "Autorita' di certificazione (CA)", l'ente nazionale che
effettua la certificazione, rilascia il certificato qualificato,
pubblica e aggiorna gli elenchi dei certificati sospesi e revocati.
La CA si avvale di altre entita' chiamate Autorita' Locali di
Registrazione (LRA), per garantire che l'utente richiedente un
certificato sia esattamente quello riportato nel certificato stesso;
c) "Autorita' di registrazione locale (LRA)", l'ente responsabile
della verifica in modo affidabile delle identita' dei titolari
istituita presso tutti i soggetti, pubblici e privati, in possesso
delle previste abilitazioni di sicurezza;
d) "CAD", il decreto legislativo del 7 marzo 2005 n. 82 e
successive modificazioni, recante "Codice dell'amministrazione
digitale";
e) "certificate revocation list (CRL)", la lista conseguente alle
operazioni con cui la CA annulla la validita' di un certificato da un
dato momento, non retroattivo, in poi. Tale elenco e' firmato
digitalmente, aggiornato e pubblicato dalla CA;
f) "certificate suspension list (CSL)", la lista conseguente alle
operazioni con cui la CA sospende temporaneamente la validita' di un
certificato da un dato momento, non retroattivo, in poi. Tale elenco
e' firmato digitalmente, aggiornato e pubblicato dalla CA;
g) "certificato elettronico", attestato elettronico che collega
all'identita' del titolare i dati utilizzati per verificare le firme
elettroniche;
h) "certificato qualificato", un certificato elettronico conforme
ai requisiti di cui all'allegato I della direttiva 1999/93/CE,
rilasciati da certificatori che rispondono ai requisiti di cui
all'allegato II della medesima direttiva;
i) "certificazione", il risultato della procedura informatica,
applicata alla chiave pubblica e rilevabile dai sistemi di
validazione, mediante la quale si garantisce la corrispondenza
univoca tra chiave pubblica e soggetto titolare, si identifica
quest'ultimo, si attesta il periodo di validita' della predetta
chiave e il termine di scadenza del relativo certificato;
l) "chiavi asimmetriche", la coppia di chiavi crittografiche, una
pubblica e una privata, correlate tra loro, utilizzate nell'ambito
dei sistemi di validazione e di generazione della firma;
m) "chiave privata", elemento della coppia di chiavi
asimmetriche,utilizzato dal soggetto titolare, mediante il quale si
appone la firma digitale sul documento informatico;
n) "chiave pubblica", l'elemento della coppia di chiavi
asimmetriche destinato a essere reso pubblico, con il quale si
verifica la firma digitale apposta sul documento informatico dal
titolare delle chiavi asimmetriche;
o) "codici personali", codici alfanumerici o caratteristiche
biometriche in possesso del titolare e necessarie per attivare le
procedure di firma digitale;
p) "copia per immagine su supporto informatico di documento
analogico", il documento informatico avente contenuto e forma
identici a quelli del documento analogico da cui e' tratto;
q) "copia informatica di documento informatico", il documento
informatico avente contenuto identico a quello del documento da cui
e' tratto su supporto informatico con diversa sequenza di valori
binari;
r) "crittografia", metodo di codifica e protezione dei dati,
definito per impedire ad estranei di accedere alle informazioni senza
essere dotati di autorizzazione;
s) "Dipartimento delle informazioni per la sicurezza" (DIS),
l'organismo di cui all'art. 4 della legge;
t) "dispositivo di firma", insieme dei dispositivi hardware e
software che consentono di sottoscrivere con firma digitale i
documenti informatici;
u) "Direttiva", il provvedimento in materia di documenti
informatici classificati adottato ai sensi dell'art. 75 del decreto
del Presidente del Consiglio dei ministri 22 luglio 2011, n. 4;
v) "Disciplinare Tecnico" documento che contiene le regole
tecniche che disciplinano la sottoscrizione digitale del documento
informatico;
z) "documento", rappresentazione in formato analogico o
informatico di atti, fatti e dati intelligibili direttamente o
attraverso un processo di elaborazione elettronica;
aa) "documento analogico", il documento formato utilizzando una
grandezza fisica che assume valori continui, come le tracce su carta
(ad esempio i documenti cartacei), le immagini su film (microfilm),
le magnetizzazioni su nastro (cassette e nastri magnetici audio);
bb) "documento informatico", la rappresentazione informatica di
atti, fatti o dati giuridicamente rilevanti, formata e gestita su un
sistema per l'elaborazione automatica dei dati;
cc) "documento informatico classificato", un documento
informatico, formato e gestito su un sistema per l'elaborazione
automatica dei dati omologato dall'UCSe, a cui e' stata apposta una
classifica di segretezza in conformita' a quanto stabilito dalle
vigenti norme in materia di protezione e tutela delle informazioni
classificate;
dd) "duplicato informatico", il documento informatico ottenuto
mediante la memorizzazione, sullo stesso dispositivo o su dispositivi
diversi, della medesima sequenza di valori binari del documento
originario;
ee) "esibizione", l'operazione che consente di visualizzare un
documento conservato e di ottenerne, eventualmente, copia;
ff) "firma digitale", un particolare tipo di firma elettronica:
1) basata su un certificato qualificato;
2) basata su un sistema di chiavi crittografiche, una pubblica
e una privata, correlate tra loro, che consente al titolare tramite
la chiave privata e al destinatario tramite la chiave pubblica
rispettivamente, di rendere manifesta e di verificare la provenienza
e l'integrita' di un documento informatico o di un insieme di
documenti informatici, nonche' eventualmente il momento
dell'apposizione della firma medesima;
3) realizzata mediante un dispositivo sicuro per la creazione
della firma;
gg) "firma elettronica", l'insieme di dati in forma elettronica,
allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di identificazione informatica;
hh) "firme multiple", firme digitali apposte da diversi
sottoscrittori allo stesso documento informatico;
ii) "integrita'", caratteristica dei dati che si riferisce al
loro livello di alterazione o danno;
ll) "formato di un file", un modo particolare col quale le
informazioni sono codificate per la memorizzazione su un dispositivo
di memoria;
mm) "legge", la legge 3 agosto 2007, n. 124;
nn) "Manuale Operativo", documento che contiene le regole
tecniche che disciplinano l'attivita' della CA;
oo) "Organo nazionale di sicurezza (ONS)", il Direttore generale
del Dipartimento delle informazioni per la sicurezza di cui all'art.
4 della legge nell'esercizio delle funzioni di direzione e
coordinamento dell'Organizzazione nazionale di sicurezza, di cui
all'art. 5 del decreto del Presidente del Consiglio dei ministri 22
luglio 2011, n. 4, e secondo le direttive impartite dall'ANS;
pp) "public key infrastructure (PKI)", l'insieme di tecnologie,
politiche, processi e persone utilizzate per gestire (generare,
distribuire, archiviare, utilizzare, revocare) chiavi di crittografia
e certificati digitali in sistemi di crittografia a chiave pubblica;
qq) "registrazione di protocollo", l'operazione con cui si
attribuisce ai documenti prodotti o ricevuti da un soggetto una
numerazione univoca secondo un ordine cronologico progressivo e si
annotano informazioni descrittive idonee all'identificazione di
ciascun documento;
rr) "revoca di un certificato", l'operazione con cui la CA
annulla la validita' del certificato da un dato momento, non
retroattivo, in poi;
ss) "riferimento temporale", l'informazione, contenente la data,
che viene associata ad uno o piu' documenti informatici;
tt) "riservatezza", garanzia che le informazioni vengano
utilizzate unicamente dalle persone o dalle organizzazioni
autorizzate;
uu) "segnatura di protocollo", l'apposizione o l'associazione
all'originale del documento, in forma permanente non modificabile,
delle informazioni riguardanti il documento stesso; consente di
individuare ciascun documento in modo univoco ed e' effettuata
congiuntamente all'operazione di registrazione di protocollo;
vv) "sospensione del certificato", l'operazione con cui la CA
sospende la validita' del certificato per un determinato periodo di
tempo;
zz) "titolare", persona fisica titolare di un certificato, ossia
il legittimo possessore e utilizzatore della chiave privata associata
alla chiave pubblica che compare nel certificato;
aaa) "Ufficio centrale per la segretezza" (UCSe), l'Ufficio
istituito dall'art. 9 della legge;
bbb) "validazione temporale", il risultato della procedura
informatica, con cui si attribuisce, ad uno o piu' documenti
informatici, un riferimento temporale opponibile ai terzi;
ccc) "validita' del certificato", l'efficacia e opponibilita' al
titolare della chiave pubblica, dei dati contenuti nel certificato
stesso.