                               ART. 6 
 
       (Identificazione informatica - art. 6 del regolamento) 
 
  1. L'identificazione informatica avviene sul  portale  dei  servizi
telematici mediante carta d'identita' elettronica o  carta  nazionale
dei servizi e sul  punto  di  accesso  mediante  token  crittografico
(smart  card,  chiavetta  USB  o  altro   dispositivo   sicuro);   in
quest'ultimo  caso,  l'identificazione  avviene  nel   rispetto   dei
seguenti requisiti: 
    a) Il certificato deve essere  rilasciato  da  una  Certification
Authority  (CA),  accreditata  da  DigitPA,   che   si   fa   garante
dell'identita' del soggetto. 
    b) Il certificato deve  rispettare  il  profilo  del  certificato
previsto dalla Carta Nazionale dei Servizi (CNS), facendo riferimento
all'Appendice 1 del documento rilasciato dal CNIPA: "Linee guida  per
l'emissione  e  l'utilizzo  della  Carta  Nazionale   dei   Servizi".
L'estensione Certificate Policy (2.5.29.32) puo'  essere  valorizzata
con un Object Identifier (OID) definito dalla CA. 
    c)  In  termini  di  sicurezza,  i  dispositivi  ammessi  sono  i
dispositivi personali consentiti per la firma elettronica qualificata
e quindi smart card  e  token  USB,  secondo  quanto  previsto  dalla
normativa vigente. I dispositivi  sicuri  devono  essere  certificati
Common Criteria  EAL4+  con  traguardo  di  sicurezza  o  profilo  di
protezione conforme alle disposizioni comunitarie. 
    d) In termini d'interoperabilita', sono  ammissibili  dispositivi
che consentano la disponibilita' di entrambe le interfacce PKCS#11  e
CSP;  in  particolare  entrambe  le  interfacce   devono   consentire
l'accesso alla procedura d'identificazione forte mediante digitazione
del PIN da parte dell'utente; il dispositivo deve inoltre  rispettare
la strutturazione del file system come da specifiche CNS. 
  2. In fase di identificazione, il punto di accesso o il portale dei
servizi telematici verifica la validita' del certificato presente nel
token crittografico  utilizzato  dall'utente  che  accede;  prima  di
consentire  qualunque  operazione,  inoltre,  il  punto  di   accesso
verifica che il token crittografico sia collegato alla postazione; in
caso contrario, invalida e termina la sessione. 
  3.  Il  Ministero  della  giustizia  verifica,   anche   attraverso
opportune visite ispettive, che  i  punti  di  accesso  rispettino  i
predetti requisiti. 
  4. La violazione di queste regole  di  sicurezza  comporta  per  il
punto di accesso  la  sospensione  dell'autorizzazione  a  erogare  i
servizi, fino al definitivo rispetto dei requisiti. 
  5. Possono essere  utilizzati  certificati  di  autenticazione  non
conformi alle specifiche di cui sopra, purche'  emessi  entro  il  30
settembre 2011.