L'AUTORITA' PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE Visto l'art. 2, comma 15, della legge 24 dicembre 1993, n. 537, che prevede che gli obblighi di conservazione e di esibizione di documenti, per finalita' amministrative e probatorie, previsti dalla legislazione vigente, si ritengono soddisfatti anche se realizzati mediante supporto ottico purche' le procedure utilizzate siano conformi a regole tecniche, dettate dall'Autorita' per l'informatica nella pubblica amministrazione; Viste le proposte all'uopo predisposte dagli uffici, consistenti in: a) regole tecniche per l'uso dei supporti ottici ai fini previsti dal comma 15, art. 2, della legge n. 537/93; b) allegato - indicazioni per le procedure conformi alle regole tecniche per l'uso dei supporti ottici ai fini previsti dal comma 15, art. 2, della legge n. 537/93; c) note esplicative sulle regole tecniche per l'uso dei supporti ottici ai fini previsti dal comma 15, art. 2, della legge n. 537/93; Ritenuto di accogliere le proposte suindicate; Delibera di dettare, a norma dell'art. 2, comma 15, della legge 24 dicembre 1993, n. 537, le regole tecniche di seguito riportate, indicando nel contempo le procedure conformi alle stesse: REGOLE TECNICHE PER L'USO DEI SUPPORTI OTTICI 1. Sono utilizzabili i CD-R e le tecnologie WORM, fisicamente non riscrivibili: ablativa, "alloy forming", "bubble forming", "dye polymer", "phase change". Limitatamente all'uso di queste tecnologie WORM non riscrivibili, per la struttura fisica del supporto ottico si adottano come regole tecniche dell'Autorita' le seguenti norme ISO: ISO 9171 parte 1 e parte 2; ISO 10885. In mancanza ed in attesa di uno standard specifico per i CD-R e' ammesso il loro utilizzo purche' conformi alla norma ISO 10149. Quando saranno disponibili altre norme ISO che egualmente soddisfino le esigenze per l'archiviazione su supporto ottico ai fini probatori ed amministrativi, l'Autorita' provvedera' ad aggiornare il presente elenco e ad emanare le relative regole tecniche. 2. Per la struttura logica dei file, si adottano: per i dischi ottici, la norma ISO/DIS 13346, approvata ed in corso di pubblicazione, da seguire in tutte le sue parti 1,2,3,4,5; per i CD-R la norma ISO/DIS 13490, approvata ed in corso di pubblicazione, e la norma ISO 9660 nei casi in cui e' applicabile. 3. Per la memorizzazione sul disco dei documenti e per i meccanismi di lettura, al momento non vi sono norme in proposito, ma e' in corso il procedimento di approvazione di alcune di esse. Fino ad allora si adottano, per analogia, le stesse norme del CCITT G3 e G4 FAX. Per la compressione, si adotta anche la norma ISO 10918, la cui parte prima e' pubblicata mentre la parte seconda e' stata approvata ed e' in corso di pubblicazione. 4. Il fornitore del disco ottico deve indicare, sotto la sua responsabilita', le condizioni ottimali (temperatura, umidita', ecc.) per la conservazione fisica, per la stabilita' del supporto e per la sua fruibilita' (leggibilita' e riproducibilita') a lungo termine. L'Amministrazione deve assicurarsi che tali condizioni vengano rispettate attentamente. 5. L'identificazione univoca del singolo disco fisico, ai fini della protezione contro l'eventuale alterazione dolosa del suo contenuto e riscrittura su un altro disco ottico, deve essere garantita dal fornitore del disco; ogni disco deve quindi riportare, in maniera facilmente leggibile e non alterabile: il nome, o un identificativo, del fornitore; la data di fabbricazione; un codice identificativo del singolo disco fisico, che il costruttore deve garantire essere unico, formato da numeri e/o lettere dell'alfabeto. In alternativa, e' ammessa l'identificazione del disco mediante firma autografa del responsabile del disco sul supporto stesso e l'apposizione di un numero identificativo la cui unicita' e' garantita dal responsabile del disco, realizzate con modalita' che le rendano indelebili. Se si vuole assicurare l'appartenenza del disco ad un lotto specifico della pubblica amministrazione, il lotto dovra' essere contraddistinto da un ologramma, sufficientemente difficile da riprodurre, posto sul disco con una tecnica di incollaggio, o di stampa, che garantisca contro la possibilita' di trasferirlo in maniera non rilevabile. 6. Il fornitore del sistema di scrittura/lettura ("drive"), insieme alle apparecchiature fisiche e ai relativi programmi di gestione, dovra' anche fornire e certificare la corretta funzionalita' di uno o piu' programmi che svolgano complessivamente le seguenti funzioni: leggere in qualunque momento qualunque traccia, anche quelle dichiarate come cancellate, ai fini della protezione contro le riscritture parziali sullo stesso disco; conoscere in ogni momento il numero delle tracce occupate e di quelle libere, sia relativamente alla parte dati che a quella dei settori alternativi; gestire la cattura dell'immagine nella fase di memorizzazione con modalita' che non permettano manomissioni del documento; copiare, visualizzare, stampare i documenti archiviati su supporto ottico con modalita' che non permettano manomissioni del documento. Questi programmi devono presentare all'utente un'interfaccia auto esplicativa, che permetta anche ad un utente non abituato di accedere alle informazioni che essi forniscono. Saranno preferiti i sistemi di cattura/scrittura che permettono di misurare le capacita' residue di correzione di errore, rese possibili dai campi ECC, in modo che il risultato della misura possa essere assunto come uno degli indici utili alle procedure che definiscono il momento opportuno per il riversamento su altro supporto. 7. I contratti di fornitura devono contenere clausole atte a garantire sia da parte del fornitore del supporto fisico che di quello dei sistemi di lettura/scrittura: la disponibilita' sul mercato di supporti ottici e di apparecchiature ad essi conformi (sistemi di lettura/ scrittura e di gestione fisica) per tre anni; la compatibilita' tra sistemi al momento del passaggio da uno obsoleto ad un altro piu' avanzato imposto dall'evoluzione tecnologica; la disponibilita' della manutenzione e di parti di ricambio per almeno due anni dopo aver informato l'amministrazione dell'uscita dal mercato del sistema; la disponibilita' di procedure per il riversamento al momento in cui il sistema offerto dal fornitore uscira' dal mercato; l'esistenza sul mercato di almeno un fornitore alternativo per i dischi e per i sistemi di lettura/scrittura. L'esistenza sul mercato di almeno un fornitore alternativo per i sistemi di gestione fisica ("juke-box") e' motivo di preferenza. 8. Il contratto di fornitura deve anche contenere l'indicazione delle norme a cui la fornitura si deve conformare e la richiesta di produrre adeguata certificazione di conformita' emessa da un centro europeo riconosciuto. Tale certificazione puo' tuttavia essere sostituita da un'autodichiarazione in cui il fornitore, sotto la propria responsabilita', dichiara la conformita' delle apparecchiature fornite alle norme citate nel contratto. 9. Saranno regolati con provvedimenti successivi gli aspetti relativi: all'archiviazione dei documenti che presentano colori; all'archiviazione dei documenti redatti in forma elettronica; all'uso della crittografia; alla produzione e alla conservazione delle relative chiavi; all'uso dei meccanismi di firma elettronica; alla produzione e alla pubblicita' delle relative chiavi; al modo di trattare i formati non A4; alla trasmissione via rete del documento da esibire; a tempi e modalita' di riversamento su altri supporti. 10. Regole tecniche da definire in funzione dell'emanazione delle procedure operative. Ogni disco ottico deve contenere tutte le informazioni che permettono di facilitare il ritrovamento dei documenti archiviati, nella loro interezza, anche a grande distanza di tempo e anche da persone diverse da quelle che hanno proceduto all'archiviazione. Il primo file memorizzato sul disco ottico deve quindi contenere, in un formato e con le modalita' che saranno precisate con documenti successivi: la data di inizio della registrazione; l'identificazione della persona fisica responsabile del riempimento del disco; le informazioni generali relative: al disco; al suo contenuto previsto; alle modalita' con cui esso sara' riempito; all'uso della compressione; all'uso di crittografia; all'uso dei programmi di cui al precedente punto 6. Per ogni file memorizzato sul disco ottico devono essere introdotti, con modalita' che saranno precisate con documenti successivi, i seguenti dati: l'identificazione della persona fisica che lo ha immesso; la data di archiviazione di quel file; eventuali informazioni relative alla crittografia; eventuali informazioni relative alla firma elettronica; altre informazioni utili al ritrovamento del documento; la somma ciclica ("checksum") del file contenente il documento e dei dati aggiuntivi. Alla chiusura del disco deve essere garantito che sul disco stesso siano stati memorizzati, con modalita' che saranno precisate con documenti successivi, anche i seguenti dati: la data di fine dell'archiviazione; l'identificazione della persona fisica che lo ha chiuso; il contenuto effettivo del disco; le informazioni relative agli indici; quelle relative alle tracce occupate, a quelle libere e a quelle danneggiate, come rilevate dai programmi previsti al precedente punto 6; le altre informazioni utili al ritrovamento dei documenti. Allegato - Indicazioni per le procedure conformi alle regole tecniche per l'uso dei supporti ottici. Roma, 28 luglio 1994 Il presidente: REY