IL MINISTRO DELL'INTERNO
di concerto con
IL MINISTRO DELL'ECONOMIA
E DELLE FINANZE
Visto l'articolo 117, secondo comma, lettera h) della Costituzione;
Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400;
Visto l'articolo 11, comma 6, del decreto legislativo 10 agosto
2018, n. 104 che rimette all'adozione di un regolamento la disciplina
delle modalita' di funzionamento di un «sistema informatico dedicato»
per la tracciabilita' delle armi e delle munizioni, anche per cio'
che concerne le procedure di accesso, di consultazione, di
conservazione dei dati, nonche' di collegamento con il Centro
elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981,
n. 121;
Visto il regolamento UE n. 910/2014 del Parlamento europeo e del
Consiglio, del 23 luglio 2014, in materia di identificazione
elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE;
Vista la direttiva 91/477/CEE del Consiglio, del 18 giugno 1991,
relativa al controllo dell'acquisizione e della detenzione di armi,
come codificata dalla direttiva (UE) 2021/555 del Parlamento europeo
e del Consiglio, del 24 marzo 2021;
Visto il regolamento delegato (UE) 2019/686 della Commissione, del
16 gennaio 2019, che stabilisce le modalita' dettagliate, a norma
della direttiva 91/477/CEE del Consiglio, per lo scambio sistematico
con mezzi elettronici di informazioni relative al trasferimento di
armi da fuoco nell'Unione;
Vista la legge 18 aprile 1975, n. 110 e, in particolare, gli
articoli 5 e 25, recanti disposizioni per la tenuta del registro
giornaliero previsto dall'articolo 55 del testo unico delle leggi di
pubblica sicurezza di cui al regio decreto 18 giugno 1931, n. 773;
Vista la legge 1° aprile 1981, n. 121 e, in particolare, gli
articoli 8, 9 e 10, che prevedono l'istituzione del Centro
elaborazione dati nell'ambito del Dipartimento della pubblica
sicurezza del Ministero dell'interno, disciplinando il regime degli
accessi e dei controlli;
Vista la legge 26 marzo 2001, n. 128 e, in particolare, l'articolo
21, comma 1, che prevede che le Forze di polizia conferiscono senza
ritardo al Centro elaborazione dati del Dipartimento della pubblica
sicurezza, le notizie e le informazioni acquisite nel corso delle
attivita' di prevenzione e repressione dei reati e di quelle
amministrative;
Visto il decreto legislativo 30 dicembre 1992, n. 527, recante
attuazione della direttiva 91/477/CEE relativa al controllo
dell'acquisizione e della detenzione di armi;
Visto il decreto legislativo 18 maggio 2018, n. 51, recante
attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativa alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali da parte delle
autorita' competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali, nonche' alla
libera circolazione di tali dati e che abroga la decisione quadro
2008/977/GAI del Consiglio;
Visto il testo unico delle leggi di pubblica sicurezza, di cui al
regio decreto 18 giugno 1931, n. 773 e, in particolare, gli articoli
35 e 55, concernenti i registri delle operazioni giornaliere che
devono essere detenuti e compilati, rispettivamente, dai soggetti di
cui all'articolo 1-bis, comma 1, lettera f) e g) del decreto
legislativo 30 dicembre 1992, n. 527, nonche' dagli esercenti
fabbriche, depositi o rivendite di esplodenti;
Visto il regio decreto 6 maggio 1940, n. 635, recante «Approvazione
del regolamento per l'esecuzione del testo unico 18 giugno 1931, n.
773 delle leggi di pubblica sicurezza»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito con
modificazioni dalla legge 18 novembre 2019, n. 133, recante
«Disposizioni urgenti in materia di perimetro di sicurezza nazionale
cibernetica e di disciplina dei poteri speciali nei settori di
rilevanza strategica» e, in particolare, l'articolo 1 che istituisce
il perimetro di sicurezza cibernetica;
Visto il decreto del Presidente della Repubblica 15 gennaio 2018,
n. 15, e in particolare, l'articolo 5, concernente la configurazione
dei sistemi informativi e dei programmi informatici utilizzati per il
trattamento dei dati personali per finalita' di polizia da parte di
organi, uffici e comandi di polizia, nonche' l'articolo 10, che
definisce i termini di conservazione dei medesimi dati;
Visto il decreto del Ministro dell'interno 24 maggio 2017,
pubblicato nella Gazzetta Ufficiale n. 145 del 24 agosto 2017,
recante l'individuazione dei trattamenti di dati personali effettuati
dal Centro elaborazione dati del Dipartimento della pubblica
sicurezza o da Forze di polizia sui dati destinati a confluirvi,
ovvero da organi di pubblica sicurezza o altri soggetti pubblici
nell'esercizio delle attribuzioni conferite da disposizioni di legge
o di regolamento, effettuati con strumenti elettronici e i relativi
titolari, in attuazione dell'articolo 53, comma 3, del decreto
legislativo 30 giugno 2003, n. 196;
Visto il decreto del Presidente del Consiglio dei ministri 14
aprile 2021, n. 81, recante «Regolamento in materia di notifiche
degli incidenti aventi impatto su reti, sistemi informativi e servizi
informatici di cui all'articolo 1, comma 2, lettera b), del
decreto-legge 21 settembre 2019, n. 105, convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure
volte a garantire elevati livelli di sicurezza»;
Sentito il Garante per la protezione dei dati personali che ha
espresso il proprio parere favorevole con deliberazione del 7 aprile
2022;
Udito il parere del Consiglio di Stato, espresso dalla Sezione
consultiva per gli atti normativi nell'adunanza del 4 ottobre 2022;
Sentito il Ministro della difesa con nota del 27 febbraio 2023;
Udito il concerto del Ministro dell'economia e delle finanze
acquisito in data 14 marzo 2023;
Vista la comunicazione al Presidente del Consiglio dei ministri,
riscontrata con nota n. 4.3.13.3/2021/47 del 14 aprile 2023 del
Dipartimento per gli affari giuridici e legislativi della Presidenza
del Consiglio dei ministri;
Adotta
il seguente regolamento:
Art. 1
Oggetto
1. Il presente regolamento disciplina le modalita' di funzionamento
del «sistema informatico dedicato» per la tracciabilita' delle armi e
delle munizioni di cui all'articolo 11 del decreto legislativo 10
agosto 2018, n. 104, nonche' le procedure secondo le quali gli
armaioli di cui all'articolo 1-bis, comma 1, lettera g), del decreto
legislativo 30 dicembre 1992, n. 527 e gli intermediari di cui
all'articolo 1-bis, comma 1, lettera f), del medesimo decreto
legislativo, nei casi contemplati dall'articolo 31-bis, comma 2, del
testo unico delle leggi di pubblica sicurezza, di cui al regio
decreto 18 giugno 1931, n. 773, immettono i dati relativi alle
operazioni giornaliere riguardanti le armi e le munizioni, al fine di
assolvere agli obblighi di registrazione e comunicazione previsti
dagli articoli 35 e 55 del predetto testo unico delle leggi di
pubblica sicurezza.
2. Il presente regolamento stabilisce inoltre le modalita' di
autenticazione, autorizzazione e registrazione degli accessi e delle
operazioni effettuate nel predetto Sistema informatico, le modalita'
di conservazione sicura e di verifica di qualita' dei dati nonche'
della loro protezione e trasmissione in caso di malfunzionamento,
danneggiamento o di altri eventi accidentali o dolosi riguardanti il
medesimo Sistema.
3. Il presente regolamento disciplina, altresi', le modalita' di
collegamento del predetto Sistema informatico, ai fini di
consultazione e riscontro dei dati, con il Centro elaborazione dati
di cui all'articolo 8 della legge 1° aprile 1981, n. 121.
---------------
Nota redazionale
Il testo delle premesse e' gia' integrato con le correzioni
apportate dall'errata-corrige pubblicato in G.U. 19/08/2023, n. 193
durante il periodo di "vacatio legis".
E' possibile visualizzare il testo originario accedendo alla
versione pdf della relativa Gazzetta di pubblicazione.
N O T E
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
modificate o alle quali e' operato il rinvio. Restano
invariati il valore e l'efficacia degli atti legislativi
qui trascritti.
Per le direttive CEE vengono forniti gli estremi di
pubblicazione nella Gazzetta Ufficiale delle Comunita'
europee (GUUE).
Note alle premesse:
- L'art. 117, secondo comma, lettera h) della
Costituzione conferisce allo Stato la legislazione
esclusiva nella materia dell'ordine pubblico e sicurezza,
ad esclusione della polizia amministrativa locale.
- Si riporta il testo dell'art. 17, comma 3, della
legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
Ministri):
«Art. 17 (Regolamenti). - Omissis
3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del ministro o di
autorita' sottordinate al ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei ministri prima della loro emanazione.
Omissis.»
- Per il testo dell'art. 11, comma 6, del decreto
legislativo 10 agosto 2018, n. 104 (Attuazione della
direttiva (UE) 2017/853 del Parlamento europeo e del
Consiglio, del 17 maggio 2017, che modifica la direttiva
91/477/CEE del Consiglio, relativa al controllo
dell'acquisizione e della detenzione di armi), v. nelle
note all'art. 1.
- Si riporta il testo dell'articolo 8 della legge 1°
aprile 1981, n. 121 (Nuovo ordinamento dell'Amministrazione
della pubblica sicurezza):
«Art. 8 (Istituzione del Centro elaborazione dati). -
E' istituito presso il Ministero dell'interno, nell'ambito
dell'ufficio di cui alla lettera c) del primo comma
dell'articolo 5, il Centro elaborazione dati, per la
raccolta delle informazioni e dei dati di cui all'articolo
6, lettera a), e all'articolo 7.
Il Centro provvede alla raccolta, elaborazione,
classificazione e conservazione negli archivi magnetici
delle informazioni e dei dati nonche' alla loro
comunicazione ai soggetti autorizzati, indicati
nell'articolo 9, secondo i criteri e le norme tecniche
fissati ai sensi del comma seguente.
Con decreto del Ministro dell'interno e' costituita una
commissione tecnica, presieduta dal funzionario preposto
all'ufficio di cui alla lettera c) del primo comma
dell'articolo 5, per la fissazione dei criteri e delle
norme tecniche per l'espletamento da parte del Centro delle
operazioni di cui al comma precedente e per il controllo
tecnico sull'osservanza di tali criteri enorme da parte del
personale operante presso il Centro stesso. I criteri e le
norme tecniche predetti divengono esecutivi con
l'approvazione del Ministro dell'interno.»
- Il regolamento (CE) del 23 luglio 2014, n. 910
(pubblicato nella G.U. della Unione Europea n. L 257 del 28
agosto 2014), reca: «Regolamento del Parlamento europeo e
del Consiglio in materia di identificazione elettronica e
servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE».
- La direttiva del 18 giugno 1991, n. 91/477/CEE
(pubblicata nella G.U.C.E. del 13 settembre 1991, n. L 256)
reca: «Direttiva del Consiglio relativa al controllo
dell'acquisizione e della detenzione di armi».
- La direttiva del 24 marzo 2021, n. 2021/555
(pubblicata nella G.U.U.E. del 6 aprile 2021, n. L 115)
reca: «Regolamento del Parlamento europeo e del Consiglio
relativa al controllo dell'acquisizione e della detenzione
di armi» (codificazione)».
- Il regolamento (CE) del 16 gennaio 2019, n.
2019/686/UE (pubblicato nella G.U.U.E. del 3 maggio 2019),
n. L 116 reca: «Regolamento delegato della commissione che
stabilisce le modalita' dettagliate, a norma della
direttiva 91/477/CEE del Consiglio, per lo scambio
sistematico, con mezzi elettronici di informazioni relative
al trasferimento di armi da fuoco nell' Unione».
- Si riporta il testo degli articoli 5 e 25 della legge
18 aprile 1975, n. 110 (Norme integrative della disciplina
vigente per il controllo delle armi, delle munizioni e
degli esplosivi):
«Art. 5 (Limiti alle registrazioni. Divieto di
strumenti trasformabili in armi). - 1. Le disposizioni di
cui al primo comma dell'articolo 55 del testo unico delle
leggi di pubblica sicurezza 18 giugno 1931, n. 773 e
successive modificazioni, non si applicano alla vendita al
minuto delle cartucce da caccia a pallini, dei relativi
bossoli o inneschi nonche' alla vendita dei pallini per le
armi ad aria compressa.
2. L'articolo 4-bis del decreto-legge 22 novembre 1956,
n. 1274, convertito nella legge 22 dicembre 1956, n. 1452,
e' abrogato.
3. Le disposizioni del citato testo unico, del regio
decreto 6 maggio 1940, n. 635, e quelle della presente
legge non si applicano agli strumenti di cui al presente
articolo.
4. Gli strumenti riproducenti armi non possono essere
fabbricati con l'impiego di tecniche e di materiali che ne
consentano la trasformazione in armi da guerra o comuni da
sparo o che consentano l'utilizzo del relativo
munizionamento o il lancio di oggetti idonei all'offesa
della persona. I predetti strumenti se realizzati in
metallo devono avere la canna completamente ostruita, non
in grado di camerare cartucce ed avere la canna occlusa da
un tappo rosso inamovibile. Quelli da segnalazione
acustica, destinati a produrre un rumore tramite
l'accensione di una cartuccia a salve, devono avere la
canna occlusa da un inserto di metallo ed un tappo rosso
inamovibile all'estremita' della canna.
Gli strumenti denominati «softair», vendibili solo ai
maggiori di 16 anni, possono sparare pallini in plastica,
di colore vivo, per mezzo di aria o gas compresso, purche'
l'energia del singolo pallino, misurata ad un metro dalla
volata, non sia superiore ad 1 joule. La canna dell'arma
deve essere colorata di rosso per almeno tre centimetri e
qualora la canna non sia sporgente la verniciatura deve
interessare la parte anteriore dello strumento per un pari
tratto.
Gli strumenti di cui al presente comma sono sottoposti,
a spese dell'interessato, a verifica di conformita'
accertata dal Banco nazionale di prova.
5. Nessuna limitazione e' posta all'aspetto degli
strumenti riproducenti armi destinati all'esportazione.
6. Chiunque produce o pone in commercio gli strumenti
di cui al presente articolo, senza l'osservanza delle
disposizioni del quarto comma, e' punito con la reclusione
da uno a tre anni e con la multa da 1.500 euro a 15.000
euro.
7. Quando l'uso o il porto d'armi e' previsto quale
elemento costitutivo o circostanza aggravante del reato, il
reato stesso sussiste o e' aggravato anche qualora si
tratti di arma per uso scenico o di strumenti riproducenti
armi la cui canna non sia occlusa a norma del quarto
comma.»
«Art. 25 (Registro delle operazioni giornaliere). - 1.
Chiunque, per l'esercizio della propria attivita'
lavorativa, fa abituale impiego di esplosivi di qualsiasi
genere deve tenere il registro delle operazioni giornaliere
previsto dal primo comma dell'articolo 55 del testo unico
delle leggi di pubblica sicurezza 18 giugno 1931, n. 773.
2. E' punito con la reclusione da sei mesi a tre anni e
con la multa da euro 206 (lire 400.000) a euro 2.065 (lire
4.000.000) chi non osserva l'obbligo di cui al comma
precedente.
3. Con la stessa pena sono punite le persone indicate
nel primo comma del citato articolo 55 che non osservano
l'obbligo di tenuta del registro.
4. Sono punite con l'arresto da venti giorni a tre mesi
e con l'ammenda fino a euro 103 (lire 200.000) le persone
obbligate a tenere il predetto registro le quali rifiutano
ingiustificatamente di esibire il registro stesso agli
ufficiali ed agenti di pubblica sicurezza che ne facciano
richiesta.».
- Si riporta il testo dell'articolo 55 del regio
decreto 18 giugno 1931, n. 773 (Approvazione del testo
unico delle leggi di pubblica sicurezza):
«Art. 55. Gli esercenti fabbriche, depositi o rivendite
di esplodenti di qualsiasi specie sono obbligati a tenere
un registro delle operazioni giornaliere, in cui saranno
indicate le generalita' delle persone con le quali le
operazioni stesse sono compiute. Il registro e' tenuto in
formato elettronico, secondo le modalita' definite nel
regolamento. I rivenditori di materie esplodenti devono
altresi' comunicare mensilmente all'ufficio di polizia
competente per territorio le generalita' delle persone e
delle ditte che hanno acquistato munizioni ed esplosivi, la
specie, i contrassegni e la quantita' delle munizioni e
degli esplosivi venduti e gli estremi dei titoli
abilitativi all'acquisto esibiti dagli interessati.
Tale registro deve essere esibito a ogni richiesta
degli ufficiali od agenti di pubblica sicurezza e deve
essere conservato per un periodo di cinquanta anni anche
dopo la cessazione dell'attivita'.
Alla cessazione dell'attivita', i registri delle
operazioni giornaliere, sia in formato cartaceo che
elettronico, devono essere consegnati all'Autorita' di
pubblica sicurezza che aveva rilasciato la licenza, che ne
curera' la conservazione per il periodo necessario. Le
informazioni registrate nel sistema informatico di cui
all'articolo 3 del decreto legislativo 25 gennaio 2010, n.
8, devono essere conservate per i 10 anni successivi alla
cessazione dell'attivita'.
E' vietato vendere o in qualsiasi altro modo cedere
materie esplodenti di Iª, IIª, IIIª, IVª e Vª categoria,
gruppo A e gruppo B, a privati che non siano muniti di
permesso di porto d'armi ovvero di nulla osta rilasciato
dal Questore, nonche' materie esplodenti di Vª categoria,
gruppo C, a privati che non siano maggiorenni e che non
esibiscano un documento di identita' in corso di validita'.
Il nulla osta non puo' essere rilasciato a minori: ha la
validita' di un mese ed e' esente da ogni tributo. La
domanda e' redatta in carta libera.
Il Questore puo' subordinare il rilascio del nulla osta
di cui al comma precedente, alla presentazione di
certificato del medico provinciale, o dell'ufficiale
sanitario o di un medico militare, dal quale risulti che il
richiedente non e' affetto da malattie mentali oppure da
vizi che ne diminuiscono, anche temporaneamente, la
capacita' di intendere e di volere. Il contravventore e'
punito con l'arresto da nove mesi a tre anni e con
l'ammenda non inferiore a euro 154 (lire 300.000).
Gli obblighi di registrazione delle operazioni
giornaliere e di comunicazione mensile all'ufficio di
polizia competente per territorio non si applicano alle
materie esplodenti di Vª categoria, gruppo D e gruppo E.
L'acquirente o cessionario di materie esplodenti in
violazione delle norme del presente articolo e' punito con
l'arresto sino a diciotto mesi e con l'ammenda sino a euro
154 (lire 300.000).»
- Si riporta il testo degli articoli 9 e 10 della legge
1° aprile 1981, n. 121 (Nuovo ordinamento
dell'Amministrazione della pubblica sicurezza):
«Art. 9 (Accesso ai dati ed informazioni e loro uso). -
L'accesso ai dati e alle informazioni conservati negli
archivi automatizzati del Centro di cui all'articolo
precedente e la loro utilizzazione sono consentiti agli
ufficiali di polizia giudiziaria appartenenti alle forze di
polizia, agli ufficiali di pubblica sicurezza e ai
funzionari dei servizi di sicurezza, nonche' agli agenti di
polizia giudiziaria delle forze di polizia debitamente
autorizzati ai sensi del secondo comma del successivo
articolo 11.
L'accesso ai dati e alle informazioni di cui al comma
precedente e' consentito all'autorita' giudiziaria ai fini
degli accertamenti necessari per i procedimenti in corso e
nei limiti stabiliti dal codice di procedura penale.
E' comunque vietata ogni utilizzazione delle
informazioni e dei dati predetti per finalita' diverse da
quelle previste dall'articolo 6, lettera a). E' altresi'
vietata ogni circolazione delle informazioni all'interno
della pubblica amministrazione fuori dei casi indicati nel
primo comma del presente articolo.»
«Art. 10 (Controlli). - 1. Il controllo sul Centro
elaborazione dati e' esercitato dal Garante per la
protezione dei dati personali, nei modi previsti dalla
legge e dai regolamenti.
2. I dati e le informazioni conservati negli archivi
del Centro possono essere utilizzati in procedimenti
giudiziari o amministrativi soltanto attraverso
l'acquisizione delle fonti originarie indicate nel primo
comma dell'articolo 7, fermo restando quanto stabilito
dall'articolo 240 del codice di procedura penale. Quando
nel corso di un procedimento giurisdizionale o
amministrativo viene rilevata l'erroneita' o
l'incompletezza dei dati e delle informazioni, o
l'illegittimita' del loro trattamento, l'autorita'
precedente ne da' notizia al Garante per la protezione dei
dati personali.
3. La persona alla quale si riferiscono i dati puo'
chiedere all'ufficio di cui alla lettera c) del primo comma
dell'articolo 5 la conferma dell'esistenza di dati
personali che lo riguardano, la loro comunicazione in forma
intellegibile e, se i dati risultano trattati in violazione
di vigenti disposizioni di legge o di regolamento, la loro
cancellazione o trasformazione in forma anonima.
4. Esperiti i necessari accertamenti, l'ufficio
comunica al richiedente, non oltre trenta giorni dalla
richiesta, le determinazioni adottate. L'ufficio puo'
omettere di provvedere sulla richiesta se cio' puo'
pregiudicare azioni od operazioni a tutela dell'ordine e
della sicurezza pubblica o di prevenzione e repressione
della criminalita', dandone informazione al Garante per la
protezione dei dati personali.
5. Chiunque viene a conoscenza dell'esistenza di dati
personali che lo riguardano, trattati anche in forma non
automatizzata in violazione di disposizioni di legge o di
regolamento, puo' chiedere al tribunale del luogo ove
risiede il titolare del trattamento di compiere gli
accertamenti necessari e di ordinare la rettifica,
l'integrazione, la cancellazione o la trasformazione in
forma anonima dei dati medesimi.».
- Si riporta il testo dell'art. 21, comma 1, della
legge 26 marzo 2001, n. 128 (Interventi legislativi in
materia di tutela della sicurezza dei cittadini):
«Art. 21. - 1. Ai fini di cui all'articolo 6 della
legge 1º aprile 1981, n. 121, le Forze di polizia
conferiscono senza ritardo al Centro elaborazione dati del
Dipartimento della pubblica sicurezza, istituito
dall'articolo 8 della medesima legge, le notizie e le
informazioni acquisite nel corso delle attivita' di
prevenzione e repressione dei reati e di quelle
amministrative.
Omissis.»
- Il decreto legislativo 30 dicembre 1992, n. 527,
recante: "Attuazione della direttiva 91/477/CEE relativa al
controllo dell'acquisizione e della detenzione di armi" e'
pubblicato nella Gazzetta Ufficiale 11 gennaio 1993, n. 7,
S.O..
- Il decreto legislativo 18 maggio 2018, n. 51,
recante: «Attuazione della direttiva (UE) 2016/680 del
Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativa alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali da parte delle autorita'
competenti a fini di prevenzione, indagine, accertamento e
perseguimento di reati o esecuzione di sanzioni penali,
nonche' alla libera circolazione di tali dati e che abroga
la decisione quadro 2008/977/GAI del Consiglio» e'
pubblicato nella Gazzetta Ufficiale 24 maggio 2018, n. 119.
.
- Si riporta il testo dell'articolo 35 del regio
decreto 18 giugno 1931, n. 773 (Approvazione del testo
unico delle leggi di pubblica sicurezza):
«Art. 35. - 1. L'armaiolo di cui all'articolo 1-bis,
comma 1, lettera g), del decreto legislativo 30 dicembre
1992, n. 527, e' obbligato a tenere un registro delle
operazioni giornaliere, nel quale devono essere indicate le
generalita' delle persone con cui le operazioni stesse sono
compiute. Il registro e' tenuto in formato elettronico,
secondo le modalita' definite nel regolamento.
2. Il registro di cui al comma 1 deve essere esibito a
richiesta degli ufficiali od agenti di pubblica sicurezza e
deve essere conservato per un periodo di 50 anni.
3. Alla cessazione dell'attivita', i registri delle
operazioni giornaliere, sia in formato cartaceo che
elettronico, devono essere consegnati all'Autorita' di
pubblica sicurezza che aveva rilasciato la licenza, che ne
cura la conservazione per il periodo necessario. Le
informazioni registrate nel sistema informatico di cui
all'articolo 3 del decreto legislativo del 25 gennaio 2010,
n. 8, sono conservate per i 50 anni successivi alla
cessazione dell'attivita'.
4. Gli armaioli devono, altresi', comunicare
mensilmente all'ufficio di polizia competente per
territorio le generalita' dei privati che hanno acquistato
o venduto loro le armi, nonche' la specie e la quantita'
delle armi vendute o acquistate e gli estremi dei titoli
abilitativi all'acquisto esibiti dagli interessati. Le
comunicazioni possono essere trasmesse anche per via
telematica.
5. E' vietato vendere o in qualsiasi altro modo cedere
armi a privati che non siano muniti di permesso di porto
d'armi ovvero di nulla osta all'acquisto rilasciato dal
Questore.
6. Il nulla osta non puo' essere rilasciato ai minori
di 18 anni, ha la validita' di un mese ed e' esente da ogni
tributo. La domanda e' redatta in carta libera.
7. Il Questore subordina il rilascio del nulla osta
alla presentazione di certificato rilasciato dal settore
medico legale delle Aziende sanitarie locali, o da un
medico militare, della Polizia di Stato o del Corpo
nazionale dei vigili del fuoco, dal quale risulti che il
richiedente non e' affetto da malattie mentali oppure da
vizi che ne diminuiscono, anche temporaneamente, la
capacita' di intendere e di volere, ovvero non risulti
assumere, anche occasionalmente, sostanze stupefacenti o
psicotrope ovvero abusare di alcool, nonche' dalla
presentazione di ogni altra certificazione sanitaria
prevista dalle disposizioni vigenti.
8. Il contravventore e' punito con l'arresto da sei
mesi a due anni e con l'ammenda da 4.000 euro a 20.000
euro.
9. L'acquirente o cessionario di armi in violazione
delle norme del presente articolo e' punito con l'arresto
fino a un anno e con l'ammenda da 2.000 euro a 10.000 euro.
10. Il provvedimento con cui viene rilasciato il nulla
osta all'acquisto delle armi, nonche' quello che consente
l'acquisizione, a qualsiasi titolo, della disponibilita' di
un'arma devono essere comunicati, a cura dell'interessato,
ai conviventi maggiorenni, anche diversi dai familiari,
compreso il convivente more uxorio, individuati dal
regolamento e indicati dallo stesso interessato all'atto
dell'istanza, secondo le modalita' definite nel medesimo
regolamento. In caso di violazione degli obblighi previsti
in attuazione del presente comma, si applica la sanzione
amministrativa da 2.000 euro a 10.000 euro. Puo' essere
disposta, altresi', la revoca della licenza o del nulla
osta alla detenzione.»
- Si riporta il testo dell'articolo 1-bis, comma 1,
lettera f) e g) del decreto legislativo 30 dicembre 1992,
n. 527 (Attuazione della direttiva 91/477/CEE relativa al
controllo dell'acquisizione e della detenzione di armi):
«Art. 1-bis. - 1. Ai fini del presente decreto, si
intende per:
omissis
f) «intermediario«, qualsiasi persona fisica o
giuridica, diversa dall'armaiolo e dai soggetti che
esercitano la sola attivita' di trasporto, che svolge, pur
senza avere la materiale disponibilita' di armi da fuoco,
loro parti o munizioni, un'attivita' professionale
consistente integralmente o in parte:
1) nella negoziazione o organizzazione di
transazioni dirette all'acquisto, alla vendita o alla
fornitura di armi da fuoco, loro parti o munizioni;
2) nell'organizzazione del trasferimento di armi da
fuoco, loro parti o munizioni all'interno del territorio
nazionale o di altro Stato membro, dallo Stato italiano ad
altro Stato anche terzo e viceversa o fra uno Stato membro
e un altro Stato anche terzo e viceversa;
g) «armaiolo», qualsiasi persona fisica o giuridica
che esercita un'attivita' professionale consistente
integralmente o in parte in una o piu' attivita' fra le
seguenti:
1) fabbricazione, commercio, scambio, assemblaggio,
locazione, riparazione, disattivazione, modifica o
trasformazione di armi da fuoco o loro parti;
2) fabbricazione, commercio, scambio, modifica o
trasformazione di munizioni.»
- Il regio decreto 6 maggio 1940, n. 635, reca:
«Approvazione del regolamento per l'esecuzione del testo
unico 18 giugno 1931, n. 773, delle leggi di pubblica
sicurezza» e' pubblicato nella Gazz. Uff. 26 giugno 1940,
n. 149, S.O.
- Si riporta il testo dell'articolo 1 del decreto-legge
21 settembre 2019, n. 105, convertito con modificazioni
dalla legge 18 novembre 2019, n. 133, recante:
«Disposizioni urgenti in materia di perimetro di sicurezza
nazionale cibernetica e di disciplina dei poteri speciali
nei settori di rilevanza strategica»:
«Art. 1 (Perimetro di sicurezza nazionale cibernetica).
- 1. Al fine di assicurare un livello elevato di sicurezza
delle reti, dei sistemi informativi e dei servizi
informatici delle amministrazioni pubbliche, degli enti e
degli operatori pubblici e privati aventi una sede nel
territorio nazionale, da cui dipende l'esercizio di una
funzione essenziale dello Stato, ovvero la prestazione di
un servizio essenziale per il mantenimento di attivita'
civili, sociali o economiche fondamentali per gli interessi
dello Stato e dal cui malfunzionamento, interruzione, anche
parziali, ovvero utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale, e' istituito il
perimetro di sicurezza nazionale cibernetica.
2. Entro quattro mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, adottato
su proposta del Comitato interministeriale per la
cybersicurezza (CIC):
a) sono definiti modalita' e criteri procedurali di
individuazione di amministrazioni pubbliche, enti e
operatori pubblici e privati di cui al comma 1 aventi una
sede nel territorio nazionale, inclusi nel perimetro di
sicurezza nazionale cibernetica e tenuti al rispetto delle
misure e degli obblighi previsti dal presente articolo; ai
fini dell'individuazione, fermo restando che per gli
Organismi di informazione per la sicurezza si applicano le
norme previste dalla legge 3 agosto 2007, n. 124, si
procede sulla base dei seguenti criteri:
1) il soggetto esercita una funzione essenziale
dello Stato, ovvero assicura un servizio essenziale per il
mantenimento di attivita' civili, sociali o economiche
fondamentali per gli interessi dello Stato;
2) l'esercizio di tale funzione o la prestazione di
tale servizio dipende da reti, sistemi informativi e
servizi informatici;
2-bis) l'individuazione avviene sulla base di un
criterio di gradualita', tenendo conto dell'entita' del
pregiudizio per la sicurezza nazionale che, in relazione
alle specificita' dei diversi settori di attivita', puo'
derivare dal malfunzionamento, dall'interruzione, anche
parziali, ovvero dall'utilizzo improprio delle reti, dei
sistemi informativi e dei servizi informatici predetti;
b) sono definiti, sulla base di un'analisi del
rischio e di un criterio di gradualita' che tenga conto
delle specificita' dei diversi settori di attivita', i
criteri con i quali i soggetti di cui al comma 2-bis
predispongono e aggiornano con cadenza almeno annuale un
elenco delle reti, dei sistemi informativi e dei servizi
informatici di cui al comma 1, di rispettiva pertinenza,
comprensivo della relativa architettura e componentistica,
fermo restando che, per le reti, i sistemi informativi e i
servizi informatici attinenti alla gestione delle
informazioni classificate, si applica quanto previsto dal
regolamento adottato ai sensi dell'articolo 4, comma 3,
lettera l), della legge 3 agosto 2007, n. 124;
all'elaborazione di tali criteri provvede, adottando
opportuni moduli organizzativi, il Tavolo interministeriale
di cui all'articolo 6 del regolamento di cui al decreto del
Presidente del Consiglio dei ministri 30 luglio 2020, n.
131; entro sei mesi dalla data della comunicazione,
prevista dal comma 2-bis, a ciascuno dei soggetti iscritti
nell'elenco di cui al medesimo comma, i soggetti pubblici e
quelli di cui all'articolo 29 del codice
dell'amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, nonche' quelli privati, di
cui al citato comma 2-bis, trasmettono tali elenchi
all'Agenzia per la cybersicurezza nazionale, anche per le
attivita' di prevenzione, preparazione e gestione di crisi
cibernetiche affidate al Nucleo per la cybersicurezza; il
Dipartimento delle informazioni per la sicurezza, l'Agenzia
informazioni e sicurezza esterna (AISE) e l'Agenzia
informazioni e sicurezza interna (AISI) ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge n. 124 del
2007, nonche' l'organo del Ministero dell'interno per la
sicurezza e per la regolarita' dei servizi di
telecomunicazione di cui all'articolo 7-bis del decreto-
legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155, accedono
a tali elenchi per il tramite della piattaforma digitale di
cui all'articolo 9, comma 1, del regolamento di cui al
decreto del Presidente del Consiglio dei ministri n. 131
del 2020, costituita presso l'Agenzia per la cybersicurezza
nazionale
2-bis. L'elencazione dei soggetti individuati ai sensi
del comma 2, lettera a), e' contenuta in un atto
amministrativo, adottato dal Presidente del Consiglio dei
ministri, su proposta del CIC, entro trenta giorni dalla
data di entrata in vigore del decreto del Presidente del
Consiglio dei ministri di cui al comma 2. Il predetto atto
amministrativo, per il quale e' escluso il diritto di
accesso, non e' soggetto a pubblicazione, fermo restando
che a ciascun soggetto e' data, separatamente,
comunicazione senza ritardo dell'avvenuta iscrizione
nell'elenco. L'aggiornamento del predetto atto
amministrativo e' effettuato con le medesime modalita' di
cui al presente comma.
2-ter. Gli elenchi dei soggetti di cui alla lettera a)
del comma 2 del presente articolo sono trasmessi al
Dipartimento delle informazioni per la sicurezza, che
provvede anche a favore dell'AISE e dell'AISI ai fini
dell'esercizio delle funzioni istituzionali previste dagli
articoli 1, comma 3-bis, 4, 6 e 7 della legge 3 agosto
2007, n. 124.
3. Entro dieci mesi dalla data di entrata in vigore
della legge di conversione del presente decreto, con
decreto del Presidente del Consiglio dei ministri, che
disciplina altresi' i relativi termini e modalita'
attuative, adottato su proposta del CIC:
a) sono definite le procedure secondo cui i soggetti
di cui al comma 2-bis notificano gli incidenti aventi
impatto su reti, sistemi informativi e servizi informatici
di cui al comma 2, lettera b), al Gruppo di intervento per
la sicurezza informatica in caso di incidente (CSIRT)
Italia, che inoltra tali notifiche, tempestivamente, al
Dipartimento delle informazioni per la sicurezza anche per
le attivita' demandate al Nucleo per la sicurezza
cibernetica; il Dipartimento delle informazioni per la
sicurezza assicura la trasmissione delle notifiche cosi'
ricevute all'organo del Ministero dell'interno per la
sicurezza e la regolarita' dei servizi di telecomunicazione
di cui all'articolo 7-bis del decreto-legge 27 luglio 2005,
n. 144, convertito, con modificazioni, dalla legge 31
luglio 2005, n. 155, nonche' alla Presidenza del Consiglio
dei ministri, se provenienti da un soggetto pubblico o da
un soggetto di cui all'articolo 29 del decreto legislativo
7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo
economico, se effettuate da un soggetto privato;
b) sono stabilite misure volte a garantire elevati
livelli di sicurezza delle reti, dei sistemi informativi e
dei servizi informatici di cui al comma 2, lettera b),
tenendo conto degli standard definiti a livello
internazionale e dell'Unione europea relative:
1) alla struttura organizzativa preposta alla
gestione della sicurezza;
1-bis) alle politiche di sicurezza e alla gestione
del rischio;
2) alla mitigazione e gestione degli incidenti e
alla loro prevenzione, anche attraverso interventi su
apparati o prodotti che risultino gravemente inadeguati sul
piano della sicurezza;
3) alla protezione fisica e logica e dei dati;
4) all'integrita' delle reti e dei sistemi
informativi;
5) alla gestione operativa, ivi compresa la
continuita' del servizio;
6) al monitoraggio, test e controllo;
7) alla formazione e consapevolezza;
8) all'affidamento di forniture di beni, sistemi e
servizi di information and communication technology (ICT),
anche mediante definizione di caratteristiche e requisiti
di carattere generale, di standard e di eventuali limiti.
3-bis. Al di fuori dei casi di cui al comma 3, i
soggetti di cui al comma 2-bis notificano gli incidenti di
cui all'articolo 1, comma 1, lettera h), del regolamento di
cui al decreto del Presidente del Consiglio dei ministri 14
aprile 2021, n. 81, aventi impatto su reti, sistemi
informativi e servizi informatici di propria pertinenza
diversi da quelli di cui al comma 2, lettera b), del
presente articolo, fatta eccezione per quelli aventi
impatto sulle reti, sui sistemi informativi e sui servizi
informatici del Ministero della difesa, per i quali si
applicano i principi e le modalita' di cui all'articolo
528, comma 1, lettera d), del codice di cui al decreto
legislativo 15 marzo 2010, n. 66. I medesimi soggetti
effettuano la notifica entro il termine di settantadue ore.
Si applicano, per la decorrenza del termine e per le
modalita' di notifica, in quanto compatibili, le
disposizioni dell'articolo 3, comma 4, secondo e terzo
periodo, del regolamento di cui al decreto del Presidente
del Consiglio dei ministri 14 aprile 2021, n. 81. Si
applicano, altresi', le disposizioni di cui all'articolo 4,
commi 2 e 4, del medesimo regolamento. Con determinazioni
tecniche del direttore generale, sentito il vice direttore
generale, dell'Agenzia per la cybersicurezza nazionale, e'
indicata la tassonomia degli incidenti che debbono essere
oggetto di notifica ai sensi del presente comma e possono
essere dettate specifiche modalita' di notifica.
4. All'elaborazione delle misure di cui al comma 3,
lettera b), provvedono, secondo gli ambiti di competenza
delineati dal presente decreto, il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri,
d'intesa con il Ministero della difesa, il Ministero
dell'interno, il Ministero dell'economia e delle finanze e
il Dipartimento delle informazioni per la sicurezza.
4-bis. Gli schemi dei decreti di cui ai commi 2 e 3
sono trasmessi alla Camera dei deputati e al Senato della
Repubblica per l'espressione del parere delle Commissioni
parlamentari competenti per materia, che si pronunciano nel
termine di trenta giorni, decorso il quale il decreto puo'
essere comunque adottato. I medesimi schemi sono altresi'
trasmessi al Comitato parlamentare per la sicurezza della
Repubblica.
4-ter. L'atto amministrativo di cui al comma 2-bis e i
suoi aggiornamenti sono trasmessi, entro dieci giorni
dall'adozione, al Comitato parlamentare per la sicurezza
della Repubblica.
5. Per l'aggiornamento di quanto previsto dai decreti
di cui ai commi 2 e 3 si procede secondo le medesime
modalita' di cui ai commi 2, 3, 4 e 4-bis con cadenza
almeno biennale.
6. Con regolamento, adottato ai sensi dell'articolo 17,
comma 1, della legge 23 agosto 1988, n. 400, entro dieci
mesi dalla data di entrata in vigore della legge di
conversione del presente decreto, sono disciplinati le
procedure, le modalita' e i termini con cui:
a) i soggetti di cui al comma 2-bis, che intendano
procedere, anche per il tramite delle centrali di
committenza alle quali essi sono tenuti a fare ricorso ai
sensi dell'articolo 1, comma 512, della legge 28 dicembre
2015, n. 208, all'affidamento di forniture di beni, sistemi
e servizi ICT destinati a essere impiegati sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), appartenenti a
categorie individuate, sulla base di criteri di natura
tecnica, con decreto del Presidente del Consiglio dei
ministri, da adottare entro dieci mesi dalla data di
entrata in vigore della legge di conversione del presente
decreto, ne danno comunicazione al Centro di valutazione e
certificazione nazionale (CVCN), istituito presso il
Ministero dello sviluppo economico; la comunicazione
comprende anche la valutazione del rischio associato
all'oggetto della fornitura, anche in relazione all'ambito
di impiego. L'obbligo di comunicazione di cui alla presente
lettera e' efficace a decorrere dal trentesimo giorno
successivo alla pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana del decreto del Presidente del
Consiglio dei ministri che, sentita l'Agenzia per la
cybersicurezza nazionale, attesta l'operativita' del CVCN e
comunque dal 30 giugno 2022. Entro quarantacinque giorni
dalla ricezione della comunicazione, prorogabili di
quindici giorni, una sola volta, in caso di particolare
complessita', il CVCN puo' effettuare verifiche preliminari
ed imporre condizioni e test di hardware e software da
compiere anche in collaborazione con i soggetti di cui al
comma 2-bis, secondo un approccio gradualmente crescente
nelle verifiche di sicurezza. Decorso il termine di cui al
precedente periodo senza che il CVCN si sia pronunciato, i
soggetti che hanno effettuato la comunicazione possono
proseguire nella procedura di affidamento. In caso di
imposizione di condizioni e test di hardware e software, i
relativi bandi di gara e contratti sono integrati con
clausole che condizionano, sospensivamente ovvero
risolutivamente, il contratto al rispetto delle condizioni
e all'esito favorevole dei test disposti dal CVCN. I test
devono essere conclusi nel termine di sessanta giorni.
Decorso il termine di cui al precedente periodo, i soggetti
che hanno effettuato la comunicazione possono proseguire
nella procedura di affidamento. In relazione alla
specificita' delle forniture di beni, sistemi e servizi ICT
da impiegare su reti, sistemi informativi e servizi
informatici del Ministero dell'interno e del Ministero
della difesa, individuati ai sensi del comma 2, lettera b),
i predetti Ministeri, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica, in
coerenza con quanto previsto dal presente decreto, possono
procedere, con le medesime modalita' e i medesimi termini
previsti dai periodi precedenti, attraverso la
comunicazione ai propri Centri di valutazione accreditati
per le attivita' di cui al presente decreto, ai sensi del
comma 7, lettera b), che impiegano le metodologie di
verifica e di test definite dal CVCN. Per tali casi i
predetti Centri informano il CVCN con le modalita'
stabilite con il decreto del Presidente del Consiglio dei
ministri, di cui al comma 7, lettera b). Non sono oggetto
di comunicazione gli affidamenti delle forniture di beni,
sistemi e servizi ICT destinate alle reti, ai sistemi
informativi e ai servizi informatici per lo svolgimento
delle attivita' di prevenzione, accertamento e repressione
dei reati e i casi di deroga stabiliti dal medesimo
regolamento con riguardo alle forniture di beni, sistemi e
servizi ICT per le quali sia indispensabile procedere in
sede estera, fermo restando, in entrambi i casi, l'utilizzo
di beni, sistemi e servizi ICT conformi ai livelli di
sicurezza di cui al comma 3, lettera b), salvo motivate
esigenze connesse agli specifici impieghi cui essi sono
destinati;
b) i soggetti individuati quali fornitori di beni,
sistemi e servizi destinati alle reti, ai sistemi
informativi e ai servizi informatici di cui al comma 2,
lettera b), assicurano al CVCN e, limitatamente agli ambiti
di specifica competenza, ai Centri di valutazione operanti
presso i Ministeri dell'interno e della difesa, di cui alla
lettera a) del presente comma, la propria collaborazione
per l'effettuazione delle attivita' di test di cui alla
lettera a) del presente comma, sostenendone gli oneri; il
CVCN segnala la mancata collaborazione al Ministero dello
sviluppo economico, in caso di fornitura destinata a
soggetti privati, o alla Presidenza del Consiglio dei
ministri, in caso di fornitura destinata a soggetti
pubblici ovvero a quelli di cui all'articolo 29 del codice
di cui al decreto legislativo 7 marzo 2005, n. 82; sono
inoltrate altresi' alla Presidenza del Consiglio dei
ministri le analoghe segnalazioni dei Centri di valutazione
dei Ministeri dell'interno e della difesa, di cui alla
lettera a);
c) la Presidenza del Consiglio dei ministri, per i
profili di pertinenza dei soggetti pubblici e di quelli di
cui all'articolo 29 del codice dell'Amministrazione
digitale di cui al decreto legislativo 7 marzo 2005, n. 82,
di cui al comma 2-bis, e il Ministero dello sviluppo
economico, per i soggetti privati di cui al medesimo comma,
svolgono attivita' di ispezione e verifica in relazione a
quanto previsto dal comma 2, lettera b), dal comma 3, dal
presente comma e dal comma 7, lettera b), impartendo, se
necessario, specifiche prescrizioni; nello svolgimento
delle predette attivita' di ispezione e verifica l'accesso,
se necessario, a dati o metadati personali e amministrativi
e' effettuato in conformita' a quanto previsto dal
regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, e dal codice in materia di
protezione dei dati personali, di cui al decreto
legislativo 30 giugno 2003, n. 196; per le reti, i sistemi
informativi e i servizi informatici di cui al comma 2,
lettera b), connessi alla funzione di prevenzione e
repressione dei reati, alla tutela dell'ordine e della
sicurezza pubblica, alla difesa civile e alla difesa e
sicurezza militare dello Stato, le attivita' di ispezione e
verifica sono svolte, nell'ambito delle risorse umane e
finanziarie disponibili a legislazione vigente e senza
nuovi o maggiori oneri a carico della finanza pubblica,
dalle strutture specializzate in tema di protezione di reti
e sistemi, nonche', nei casi in cui siano espressamente
previste dalla legge, in tema di prevenzione e di contrasto
del crimine informatico, delle amministrazioni da cui
dipendono le Forze di polizia e le Forze armate, che ne
comunicano gli esiti alla Presidenza del Consiglio dei
ministri per i profili di competenza.
7. Nell'ambito dell'approvvigionamento di prodotti,
processi, servizi ICT e associate infrastrutture destinati
alle reti, ai sistemi informativi e per l'espletamento dei
servizi informatici di cui al comma 2, lettera b), il CVCN
assume i seguenti compiti:
a) contribuisce all'elaborazione delle misure di
sicurezza di cui al comma 3, lettera b), per cio' che
concerne l'affidamento di forniture di beni, sistemi e
servizi ICT;
b) ai fini della verifica delle condizioni di
sicurezza e dell'assenza di vulnerabilita' note, anche in
relazione all'ambito di impiego, definisce le metodologie
di verifica e di test e svolge le attivita' di cui al comma
6, lettera a), dettando, se del caso, anche prescrizioni di
utilizzo al committente; a tali fini il CVCN si avvale
anche di laboratori dallo stesso accreditati secondo
criteri stabiliti da un decreto del Presidente del
Consiglio dei ministri, adottato entro dieci mesi dalla
data di entrata in vigore della legge di conversione del
presente decreto, su proposta del CIC, impiegando, per le
esigenze delle amministrazioni centrali dello Stato, quelli
eventualmente istituiti, senza nuovi o maggiori oneri a
carico della finanza pubblica, presso le medesime
amministrazioni. Con lo stesso decreto sono altresi'
stabiliti i raccordi, ivi compresi i contenuti, le
modalita' e i termini delle comunicazioni, tra il CVCN e i
predetti laboratori, nonche' tra il medesimo CVCN e i
Centri di valutazione del Ministero dell'interno e del
Ministero della difesa, di cui al comma 6, lettera a),
anche la fine di assicurare il coordinamento delle
rispettive attivita' e perseguire la convergenza e la non
duplicazione delle valutazioni in presenza di medesimi
condizioni e livelli di rischio;
c) elabora e adotta, previo conforme avviso del
Tavolo interministeriale di cui all'articolo 6 del decreto
del Presidente del Consiglio dei ministri 30 luglio 2020,
n. 131, schemi di certificazione cibernetica, tenendo conto
degli standard definiti a livello internazionale e
dell'Unione europea, laddove, per ragioni di sicurezza
nazionale, gli schemi di certificazione esistenti non siano
ritenuti adeguati alle esigenze di tutela del perimetro di
sicurezza nazionale cibernetica.
8. I soggetti di cui agli articoli 12 e 14 del decreto
legislativo 18 maggio 2018, n. 65, e quelli di cui
all'articolo 16-ter, comma 2, del codice delle
comunicazioni elettroniche di cui al decreto legislativo 1°
agosto 2003, n. 259, inclusi nel perimetro di sicurezza
nazionale cibernetica:
a) osservano le misure di sicurezza previste,
rispettivamente, dai predetti decreti legislativi, ove di
livello almeno equivalente a quelle adottate ai sensi del
comma 3, lettera b), del presente articolo; le eventuali
misure aggiuntive necessarie al fine di assicurare i
livelli di sicurezza previsti dal presente decreto sono
definite dall'Agenzia per la cybersicurezza nazionale, di
cui al comma 2-bis, e dal Ministero dello sviluppo
economico per i soggetti privati di cui al medesimo comma,
avvalendosi anche del CVCN; il Ministero dello sviluppo
economico e la Presidenza del Consiglio dei ministri si
raccordano, ove necessario, con le autorita' competenti di
cui all'articolo 7 del decreto legislativo 18 maggio 2018,
n. 65;
b) assolvono l'obbligo di notifica di cui al comma 3,
lettera a), che costituisce anche adempimento,
rispettivamente, dell'obbligo di notifica di cui agli
articoli 12 e 14 del decreto legislativo 18 maggio 2018, n.
65, e dell'analogo obbligo previsto ai sensi dell'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, e delle correlate disposizioni attuative; a
tal fine, oltre a quanto previsto dal comma 3, lettera a),
anche in relazione alle disposizioni di cui all'articolo
16-ter del codice di cui al decreto legislativo 1° agosto
2003, n. 259, il CSIRT Italia inoltra le notifiche ricevute
ai sensi del predetto comma 3, lettera a), autorita'
nazionale competente NIS di cui all'articolo 7 del decreto
legislativo 18 maggio 2018, n. 65.
9. Salvo che il fatto costituisca reato:
a) il mancato adempimento degli obblighi di
predisposizione, di aggiornamento e di trasmissione
dell'elenco delle reti, dei sistemi informativi e dei
servizi informatici di cui al comma 2, lettera b), e'
punito con la sanzione amministrativa pecuniaria da euro
200.000 a euro 1.200.000;
b) il mancato adempimento dell'obbligo di notifica di
cui al comma 3, lettera a), nei termini prescritti, e'
punito con la sanzione amministrativa pecuniaria da euro
250.000 a euro 1.500.000;
c) l'inosservanza delle misure di sicurezza di cui al
comma 3, lettera b), e' punita con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000;
d) la mancata comunicazione di cui al comma 6,
lettera a), nei termini prescritti, e' punita con la
sanzione amministrativa pecuniaria da euro 300.000 a euro
1.800.000;
e) l'impiego di prodotti e servizi sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), in violazione
delle condizioni o in assenza del superamento dei test
imposti dal CVCN ovvero dai Centri di valutazione di cui al
comma 6, lettera a), e' punito con la sanzione
amministrativa pecuniaria da euro 300.000 a euro 1.800.000;
f) la mancata collaborazione per l'effettuazione
delle attivita' di test di cui al comma 6, lettera a), da
parte dei soggetti di cui al medesimo comma 6, lettera b),
e' punita con la sanzione amministrativa pecuniaria da euro
250.000 a euro 1.500.000;
g) il mancato adempimento delle prescrizioni indicate
dal Ministero dello sviluppo economico o dalla Presidenza
del Consiglio dei ministri in esito alle attivita' di
ispezione e verifica svolte ai sensi del comma 6, lettera
c), e' punito con la sanzione amministrativa pecuniaria da
euro 250.000 a euro 1.500.000;
h) il mancato rispetto delle prescrizioni di cui al
comma 7, lettera b), e' punito con la sanzione
amministrativa pecuniaria da euro 250.000 a euro 1.500.000.
10. L'impiego di prodotti e di servizi sulle reti, sui
sistemi informativi e per l'espletamento dei servizi
informatici di cui al comma 2, lettera b), in assenza della
comunicazione o del superamento dei test o in violazione
delle condizioni di cui al comma 6, lettera a), comporta,
oltre alle sanzioni di cui al comma 9, lettere d) ed e),
l'applicazione della sanzione amministrativa accessoria
della incapacita' ad assumere incarichi di direzione,
amministrazione e controllo nelle persone giuridiche e
nelle imprese, per un periodo di tre anni a decorrere dalla
data di accertamento della violazione.
11. Chiunque, allo scopo di ostacolare o condizionare
l'espletamento dei procedimenti di cui al comma 2, lettera
b), o al comma 6, lettera a), o delle attivita' ispettive e
di vigilanza previste dal comma 6, lettera c), fornisce
informazioni, dati o elementi di fatto non rispondenti al
vero, rilevanti per la predisposizione o l'aggiornamento
degli elenchi di cui al comma 2, lettera b), o ai fini
delle comunicazioni di cui al comma 6, lettera a), o per lo
svolgimento delle attivita' ispettive e di vigilanza di cui
al comma 6), lettera c) od omette di comunicare entro i
termini prescritti i predetti dati, informazioni o elementi
di fatto, e' punito con la reclusione da uno a tre anni.
11- bis. All'articolo 24-bis, comma 3, del decreto
legislativo 8 giugno 2001, n. 231, dopo le parole: «di
altro ente pubblico,» sono inserite le seguenti: «e dei
delitti di cui all'articolo 1, comma 11, del decreto-legge
21 settembre 2019, n. 105,».
12. Le autorita' competenti per l'accertamento delle
violazioni e per l'irrogazione delle sanzioni
amministrative sono la Presidenza del Consiglio dei
ministri, per i soggetti pubblici e per i soggetti di cui
all'articolo 29 del codice di cui al decreto legislativo 7
marzo 2005, n. 82, di cui al comma 2-bis, e il Ministero
dello sviluppo economico, per i soggetti privati di cui al
medesimo comma.
13. Ai fini dell'accertamento e dell'irrogazione delle
sanzioni amministrative di cui al comma 9, si osservano le
disposizioni contenute nel capo I, sezioni I e II, della
legge 24 novembre 1981, n. 689.
14. Per i dipendenti dei soggetti pubblici di cui al
comma 2-bis, la violazione delle disposizioni di cui al
presente articolo puo' costituire causa di responsabilita'
disciplinare e amministrativo-contabile.
15. Le autorita' titolari delle attribuzioni di cui al
presente decreto assicurano gli opportuni raccordi con il
Dipartimento delle informazioni per la sicurezza e con
l'organo del Ministero dell'interno per la sicurezza e la
regolarita' dei servizi di telecomunicazione, quale
autorita' di contrasto nell'esercizio delle attivita' di
cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
144, convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155.
16. La Presidenza del Consiglio dei ministri, per lo
svolgimento delle funzioni di cui al presente decreto puo'
avvalersi dell'Agenzia per l'Italia Digitale (AgID) sulla
base di apposite convenzioni, nell'ambito delle risorse
finanziarie e umane disponibili a legislazione vigente,
senza nuovi o maggiori oneri per la finanza pubblica.
17. Al decreto legislativo 18 maggio 2018, n. 65, sono
apportate le seguenti modificazioni:
a) all'articolo 4, comma 5, dopo il primo periodo e'
aggiunto il seguente:
«Il Ministero dello sviluppo economico inoltra tale
elenco al punto di contatto unico e all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto- legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.»;
b) all'articolo 9, comma 3, le parole «e il punto di
contatto unico» sono sostituite dalle seguenti:
«, il punto di contatto unico e l'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155,».
18. Gli eventuali adeguamenti alle prescrizioni di
sicurezza definite ai sensi del presente articolo, delle
reti, dei sistemi informativi e dei servizi informatici
delle amministrazioni pubbliche, degli enti e degli
operatori pubblici di cui al comma 2-bis, sono effettuati
con le risorse finanziarie disponibili a legislazione
vigente.
19. Per la realizzazione, l'allestimento e il
funzionamento del CVCN di cui ai commi 6 e 7 e' autorizzata
la spesa di euro 3.200.000 per l'anno 2019 e di euro
2.850.000 per ciascuno degli anni dal 2020 al 2023 e di
euro 750.000 annui a decorrere dall'anno 2024. Per la
realizzazione, l'allestimento e il funzionamento del Centro
di valutazione del Ministero dell'interno, di cui ai commi
6 e 7, e' autorizzata la spesa di euro 200.000 per l'anno
2019 e di euro 1.500.000 per ciascuno degli anni 2020 e
2021.
19-bis. Il Presidente del Consiglio dei ministri
coordina la coerente attuazione delle disposizioni del
presente decreto che disciplinano il perimetro di sicurezza
nazionale cibernetica, anche avvalendosi del Dipartimento
delle informazioni per la sicurezza, che assicura gli
opportuni raccordi con le autorita' titolari delle
attribuzioni di cui al presente decreto e con i soggetti di
cui al comma 1 del presente articolo. Entro sessanta giorni
dalla data di entrata in vigore del regolamento di cui al
comma 6, il Presidente del Consiglio dei ministri trasmette
alle Camere una relazione sulle attivita' svolte.
19-ter. Nei casi in cui sui decreti del Presidente del
Consiglio dei ministri previsti dal presente articolo e'
acquisito, ai fini della loro adozione, il parere del
Consiglio di Stato, i termini ordinatori stabiliti dal
presente articolo sono sospesi per un periodo di
quarantacinque giorni.»
- Si riporta il testo degli articoli 5 e 10 del decreto
del Presidente della Repubblica 15 gennaio 2018, n. 15
«Regolamento a norma dell'articolo 57 del decreto
legislativo 30 giugno 2003, n. 196, recante
l'individuazione delle modalita' di attuazione dei principi
del Codice in materia di protezione dei dati personali
relativamente al trattamento dei dati effettuato, per le
finalita' di polizia, da organi, uffici e comandi di
polizia»
«Art. 5 (Configurazione dei sistemi informativi e dei
programmi informatici). - 1. Ai sensi dell'articolo 3 del
Codice, in relazione ai trattamenti automatizzati, i
sistemi informativi e i programmi informatici sono
configurati in modo da ridurre al minimo l'utilizzo di dati
personali e identificativi, escludendone comunque il
trattamento quando le finalita' di cui all'articolo 3
possono essere perseguite mediante dati anonimi o modalita'
che consentono di identificare la persona interessata solo
in caso di necessita'.
2. I nuovi sistemi informativi e programmi informatici
sono progettati in modo che i dati personali siano
cancellati o resi anonimi, con modalita' automatizzate,
allo scadere dei termini di conservazione di cui
all'articolo 10. Essi, inoltre, sono progettati in modo da
consentire la registrazione in appositi registri degli
accessi e delle operazioni, di seguito «file di log»,
effettuati dagli operatori abilitati.»
«Art. 10 (Termini di conservazione dei dati).- 1. I
dati personali oggetto di trattamento sono conservati per
un periodo di tempo non superiore a quello necessario per
il conseguimento delle finalita' di polizia di cui
all'articolo 3.
2. I dati personali soggetti a trattamento
automatizzato, trascorsa la meta' del tempo massimo di
conservazione di cui al comma 3, se uguale o superiore a
quindici anni, sono accessibili ai soli operatori a cio'
abilitati e designati, incaricati del trattamento secondo
profili di autorizzazione predefiniti in base alle
indicazioni del capo dell'ufficio o del comandante del
reparto e in relazione a specifiche attivita' informative,
di sicurezza o di indagine di polizia giudiziaria.
3. Fatto salvo quanto previsto dai commi 6 e 7, i dati
personali non possono essere conservati oltre il termine
massimo fissato come segue:
a) dati relativi a provvedimenti di natura
interdittiva, di sicurezza e cautelare, nonche' a misure
restrittive della liberta' personale conseguenti ad una
sentenza di condanna - 20 anni dalla cessazione della loro
efficacia;
b) dati relativi a misure di prevenzione di carattere
personale e patrimoniale - 25 anni dalla cessazione della
loro efficacia;
c) dati relativi a procedimenti, misure e
provvedimenti su cui interviene una procedura di
annullamento, invalidazione o revoca - 3 anni dalla data di
inoppugnabilita' del provvedimento di annullamento,
invalidazione o revoca;
d) dati relativi a provvedimenti che dichiarano
l'estinzione della pena o del reato - 8 anni
dall'inoppugnabilita' del provvedimento;
e) dati derivanti da attivita' informativa e
ispettiva svolta per le finalita' di cui all'articolo 3 -
15 anni dall'ultimo trattamento;
f) dati relativi ad attivita' di polizia giudiziaria
conclusa con provvedimento di archiviazione - 20 anni
dall'emissione del provvedimento;
g) dati relativi ad attivita' di polizia giudiziaria
conclusa con sentenza di assoluzione o di non doversi
procedere - 20 anni dal passaggio in giudicato della
sentenza;
h) dati relativi ad attivita' di polizia giudiziaria
conclusa con sentenza di condanna - 25 anni dal passaggio
in giudicato della sentenza;
i) dati relativi ad attivita' di indagine o polizia
giudiziaria che non hanno dato luogo a procedimento penale
- 15 anni dall'ultimo trattamento;
l) dati relativi ad attivita' di prevenzione generale
e soccorso pubblico - 5 anni dalla raccolta;
m) dati relativi a controlli di polizia - 20 anni
dalla raccolta;
n) dati raccolti per l'analisi criminale e di
prevenzione - 10 anni dall'elaborazione dell'analisi;
o) dati relativi a provvedimenti di espulsione e
rimpatrio di stranieri - 30 anni dall'esecuzione;
p) dati relativi a nulla osta, licenze,
autorizzazioni di polizia - 5 anni dalla scadenza o dalla
revoca del titolo;
q) dati relativi alla detenzione delle armi o parti
di esse, di munizioni finite e di materie esplodenti di
qualsiasi genere - 5 anni dalla cessazione della
detenzione;
r) dati relativi a persone detenute negli istituti
penitenziari - 30 anni dalla scarcerazione a seguito di
espiazione della pena in caso di condanna - 5 anni dalla
scarcerazione a seguito di decreto di archiviazione o non
luogo a procedere o di sentenza di assoluzione;
s) dati relativi a persone sottoposte a misure di
sicurezza detentive - 25 anni dalla scadenza del termine di
efficacia della misura;
t) dati relativi alla gestione delle attivita'
operative - 10 anni dall'ultimo trattamento;
u) dati raccolti mediante sistemi di ripresa
fotografica, audio e video nei servizi di ordine pubblico e
di polizia giudiziaria - 3 anni dalla raccolta; dati
raccolti mediante sistemi di videosorveglianza o di ripresa
fotografica, audio e video di documentazione dell'attivita'
operativa - 18 mesi dalla raccolta. Si applicano i diversi
termini di conservazione di cui alla lettera b), quando i
dati personali sono confluiti in un procedimento per
l'applicazione di una misura di prevenzione, o quelli di
cui alle lettere a), f), g), h) e i), quando i dati
personali sono confluiti in un procedimento penale.
4. I termini di conservazione di cui al comma 3 sono
aumentati di due terzi quando i dati personali sono
trattati nell'ambito di attivita' preventiva o repressiva
relativa ai delitti di cui all'articolo 51, commi 3-bis,
3-quater e 3-quinquies, del codice di procedura penale,
nonche' per le ulteriori ipotesi indicate dall'articolo
407, comma 2, lettera a), del codice di procedura penale.
5. Il capo dell'ufficio o il comandante del reparto,
prima della scadenza dei termini di cui al comma 3, ove sia
strettamente necessario per il conseguimento delle
finalita' di polizia di cui all'articolo 3, puo' decidere,
sulla base dei criteri definiti dal Capo della polizia -
direttore generale della pubblica sicurezza ovvero, su sua
delega, dal vice direttore generale di cui all'articolo 4,
comma 6, del decreto-legge 29 ottobre 1991, n. 345,
convertito, con modificazioni, dalla legge 30 dicembre
1991, n. 410, di aumentare la durata di conservazione,
indicandone i motivi in relazione al caso specifico e
l'ulteriore periodo di trattamento, che non puo' comunque
superare i due terzi di quelli fissati al comma 3.
6. I dati personali soggetti a trattamento non
automatizzato, sono conservati per il periodo di tempo
previsto dalle disposizioni sullo scarto dei documenti
d'archivio delle pubbliche amministrazioni se superiore a
quello di cui al comma 3.
7. Sono fatti salvi i diversi termini e modalita' di
conservazione dei dati personali previsti da disposizioni
di legge o di regolamento, da atti normativi dell'Unione
europea o dal diritto internazionale in relazione a
specifici trattamenti effettuati per le finalita' di cui
all'articolo 3.
8. Decorsi i termini di cui ai commi 1, 3, 4, 5 e 7, i
dati personali soggetti a trattamento automatizzato sono
cancellati o resi anonimi, i dati personali non soggetti a
trattamento automatizzato restano assoggettati alle
disposizioni sullo scarto dei documenti d'archivio delle
pubbliche amministrazioni.».
- Si riporta il testo dell'articolo 53, comma 3, del
decreto legislativo 30 giugno 2003, n. 196 «Codice in
materia di protezione dei dati personali, recante
disposizioni per l'adeguamento dell'ordinamento nazionale
al regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE»:
«Art. 53 (Ambito applicativo e titolari dei
trattamenti). - Omissis
3. Con decreto adottato dal Ministro dell'interno,
previa comunicazione alle competenti Commissioni
parlamentari, sono individuati, nell'allegato C) al
presente codice, i trattamenti non occasionali di cui al
comma 2 effettuati con strumenti elettronici e i relativi
titolari.»
- Il decreto del Presidente del Consiglio dei ministri
del 14 aprile 2021, n. 81 recante «Regolamento in materia
di notifiche degli incidenti aventi impatto su reti,
sistemi informativi e servizi informatici di cui
all'articolo 1, comma 2, lettera b), del decreto-legge 21
settembre 2019, n. 105, convertito, con modificazioni,
dalla legge 18 novembre 2019, n. 133, e di misure volte a
garantire elevati livelli di sicurezza» e' pubblicato nella
Gazz. Uff. 11 giugno 2021, n. 138.
Note all'art. 1:
- Si riporta il testo dell'art. 11, del citato decreto
legislativo 10 agosto 2018, n. 104:
«Art. 11 (Norme di semplificazione in materia di
tracciabilita' delle armi e delle munizioni). - 1. Al fine
di assicurare standard uniformi degli strumenti di
controllo delle armi da fuoco e delle munizioni e garantire
lo scambio di dati con gli altri Stati membri dell'Unione
europea, e' istituito presso il Dipartimento della Pubblica
Sicurezza, un sistema informatico dedicato per la
tracciabilita' delle armi e delle munizioni.
2. Il sistema di cui al comma 1 contiene le seguenti
informazioni:
a) per le armi da fuoco il tipo, la marca, il
modello, il calibro, il numero di catalogo se presente, la
classificazione secondo la normativa europea se presente,
il numero di matricola di ciascuna arma e la marcatura
apposta sul telaio o sul fusto quale marcatura unica ai
sensi dell'articolo 11 della legge 18 aprile 1975, n. 110,
nonche' il numero di matricola o la marcatura unica
applicata alle loro parti, nel caso in cui questa
differisca dalla marcatura apposta sul telaio o sul fusto
di ciascuna arma da fuoco. Il sistema contiene, altresi', i
dati identificativi dei fornitori, degli acquirenti, dei
detentori dell'arma, ivi compresi quelli riguardanti la
sede legale qualora tali soggetti esercitino attivita'
d'impresa, l'indicazione delle operazioni aventi ad oggetto
ogni arma e la data in cui sono state effettuate, il
relativo prezzo, nonche' gli estremi del titolo abilitativo
all'acquisto e, nel caso di persona fisica diversa
dall'imprenditore, il luogo di residenza. Nel sistema sono,
inoltre, inseriti i dati relativi a qualsiasi operazione
consistente in una trasformazione o modifica irreversibile
dell'arma da fuoco che determini un cambiamento della
categoria o della sottocategoria di cui all'allegato I alla
direttiva 91/477/CEE del Consiglio, del 18 giugno 1991,
incluse la disattivazione o la distruzione certificate e la
data in cui sono avvenute tali operazioni;
b) per le munizioni, le informazioni previste
dall'articolo 55, primo comma, del regio decreto 18 giugno
1931, n. 773 e i dati di cui all'articolo 3, comma 2,
lettere a), b) e c), della legge 6 dicembre 1993, n. 509;
c) per le armi diverse dalle armi da fuoco, le
informazioni previste dall'articolo 35 del regio decreto 18
giugno 1931, n. 773 e dall'articolo 54, primo comma, del
regio decreto 6 maggio 1940, n. 635, ivi compresi i dati
relativi alle armi a modesta capacita' offensiva.
3. I soggetti tenuti alla conservazione dei registri di
cui all'articolo 35 e, limitatamente alle munizioni,
all'articolo 55 del testo unico delle leggi di pubblica
sicurezza, di cui al regio decreto 18 giugno 1931, n. 773,
provvedono ad immettere i dati relativi alle operazioni
eseguite, secondo le modalita' stabilite con i
provvedimenti di cui al comma 6. L'inserimento dei dati nel
sistema di cui al comma 1 costituisce valida modalita' di
assolvimento degli obblighi di cui all'articolo 35 e,
limitatamente alle munizioni all'articolo 55 del testo
unico delle leggi di pubblica sicurezza, di cui al regio
decreto 18 giugno 1931, n. 773.
4. I dati concernenti le operazioni relative alle armi
compiute dagli acquirenti e detentori diversi dai soggetti
di cui al comma 3, sono inseriti dall'ufficio locale di
pubblica sicurezza o, quando questo manchi, dal locale
comando dell'Arma dei Carabinieri ovvero dalla Questura
competente per territorio in caso di trasmissione della
denuncia per via telematica.
5. Il sistema informatico e' consultabile dal personale
delle Forze di polizia di cui all'articolo 16, primo comma,
della legge 1° aprile 1981, n. 121, nonche' dal personale
dell'Amministrazione civile dell'interno, in servizio
presso le Prefetture - Uffici Territoriali del Governo, le
Questure e gli uffici locali di pubblica sicurezza, per le
finalita' di controllo della circolazione delle armi e
delle munizioni, nonche' per la prevenzione e repressione
dei reati commessi a mezzo di essi.
6. Con decreto del Ministro dell'interno adottato ai
sensi dell'articolo 17, comma 3, della legge 23 agosto
1988, n. 400, di concerto con il Ministro dell'economia e
delle finanze, sentiti il Ministero della difesa e il
Garante per la protezione dei dati personali, sono
disciplinate, in conformita' alle vigenti disposizioni in
materia di tutela dei dati personali in ambito giudiziario
e per finalita' di polizia, le modalita':
a) di funzionamento del sistema informatico;
b) di trasmissione e conservazione dei dati previsti
dall'articolo 35 e, limitatamente alle munizioni,
dall'articolo 55 del testo unico delle leggi di pubblica
sicurezza, di cui al regio decreto 18 giugno 1931, n. 773;
c) di autenticazione, autorizzazione e registrazione
degli accessi e delle operazioni effettuate sul sistema;
d) di collegamento, ai fini di consultazione e
riscontro dei dati, con il Centro elaborazione dati di cui
all'articolo 8 della legge 1° aprile 1981, n. 121;
e) di verifica della qualita' e protezione dal
danneggiamento e dalla distruzione accidentale o dolosa dei
dati registrati e la loro sicura conservazione;
f) di trasmissione delle informazioni qualora il
sistema informatico di cui al comma 1 non sia in grado di
funzionare regolarmente a causa di eventi eccezionali.
7. Gli oneri derivanti dall'attuazione del presente
articolo sono pari a euro 500.000 per l'anno 2018 e ad euro
1.000.000 per l'anno 2019, per l'istituzione del sistema
informatico, e ad euro 300.000 annui a decorrere dall'anno
2020, per le attivita' di gestione e manutenzione del
sistema.»
- Per il testo dell'articolo 1-bis, comma 1, lett. f) e
g) del decreto legislativo 30 dicembre 1992, n. 527, v.
nelle note alle premesse.
- Si riporta il testo dell'articolo 31-bis, del citato
regio decreto 18 giugno 1931, n. 773:
«Art. 31-bis
1. Fatte salve le previsioni di cui agli articoli 01,
comma 1, lettera p), e 1, comma 11, della legge 9 luglio
1990, n. 185, come modificata dal decreto legislativo 22
giugno 2012, n. 105, per esercitare l'attivita' di
intermediario di cui all'articolo 1-bis, comma 1, lettera
f), del decreto legislativo 30 dicembre 1992, n. 527, nel
settore delle armi, e' richiesta una apposita licenza
rilasciata dal questore, che ha una validita' di 3 anni. Si
applicano in quanto compatibili le disposizioni anche
regolamentari previste per la licenza di cui all'articolo
31. La licenza non e' necessaria per i rappresentanti in
possesso di mandato delle parti interessate. Del mandato e'
data comunicazione alla Questura competente per territorio.
2. Ogni operatore autorizzato deve comunicare, l'ultimo
giorno del mese, all'autorita' che ha rilasciato la licenza
un resoconto dettagliato delle singole operazioni
effettuate nel corso dello stesso mese. Il resoconto puo'
essere trasmesso anche all'indirizzo di posta elettronica
certificata della medesima autorita'. L'operatore, nel caso
in cui abbia la materiale disponibilita' delle armi o delle
munizioni, e' obbligato alla tenuta del registro di cui,
rispettivamente, agli articoli 35 e 55, nonche' ad
effettuare le relative annotazioni concernenti le
operazioni eseguite.
3. La mancata comunicazione puo' comportare, in caso di
prima violazione, la sospensione e, in caso di recidiva, la
sospensione o la revoca della licenza.»
- Per il testo degli articoli 35 e 55 del regio decreto
18 giugno 1931, n. 773, v. nelle note alle premesse.
- Per il testo dell'articolo 8 della legge 1° aprile
1981, n. 121, v. nelle note alle premesse.