La presente circolare indica le modalita' con le quali i soggetti,
pubblici e privati - che intendono esercitare l'attivita' di gestori
di posta elettronica certificata (PEC), ai sensi dell'art. 14 del
decreto del Presidente della Repubblica 11 febbraio 2005, n. 68,
devono presentare domanda al Centro nazionale per l'informatica nella
pubblica amministrazione (di seguito indicato «CNIPA»).
1. Modalita' di presentazione delle domande.
La domanda, sottoscritta dal legale rappresentante della pubblica
amministrazione o della societa' richiedente, corredata dei relativi
allegati, deve essere inviata, in plico chiuso con l'indicazione del
mittente, al CNIPA, via Isonzo 21b - 00198 Roma.
La consegna puo' avvenire tramite servizio pubblico, o privato,
oppure a mano nelle ore d'ufficio (9 - 13 e 15 - 17) dei giorni
feriali, dal lunedi' al venerdi'. In caso di consegna a mano, verra'
data formale ricevuta di consegna del plico.
In alternativa, la domanda puo' essere predisposta, per quanto
applicabile, in formato elettronico, utilizzando la sottoscrizione
con firma digitale, ed essere inviata alla casella di posta
elettronica cnipadir@ cert.cnipa.it
La domanda deve indicare:
a) la denominazione, o la ragione sociale;
b) la sede legale;
c) il rappresentante legale (nel caso in cui i rappresentanti
legali sono piu' di uno, va indicato il nominativo di ciascuno di
loro);
d) l'elenco dei documenti allegati.
E' opportuno che in detta domanda siano indicati anche il
nominativo e i recapiti (numeri telefonici, numeri di telefax,
indirizzo di posta elettronica) di un referente cui rivolgersi in
presenza di problematiche di minore importanza che possono essere
risolte anche per le vie brevi.
Al fine di dimostrare il possesso dei requisiti previsti dall'art.
14 del decreto del Presidente della Repubblica n. 68/2005 e di
ottemperare a quanto previsto dagli articoli 16, 21, 22 e 23 del
decreto del Ministro per l'innovazione e le tecnologie 2 novembre
2005, e fatta salva la facolta' di avvalersi delle dichiarazioni
sostitutive previste dal decreto del Presidente della Repubblica
28 dicembre 2000, n. 445, recante «Testo unico sulla documentazione
amministrativa», nel seguito indicato «Testo unico», alla domanda
devono essere allegati:
a) una copia autentica dell'atto costitutivo della societa';
b) una copia dello statuto sociale aggiornato, rilasciato dalla
competente Camera di commercio industria artigianato e agricoltura in
data non anteriore a novanta giorni rispetto alla data di
presentazione della domanda stessa;
c) il certificato di iscrizione nel registro delle imprese, con
dicitura antimafia, rilasciato in data non anteriore a novanta giorni
rispetto alla data di presentazione della domanda;
d) una dichiarazione rilasciata dall'organo preposto al controllo
o dal soggetto incaricato della revisione contabile ai sensi della
normativa vigente, in data non anteriore a trenta giorni rispetto
alla data di presentazione della domanda, attestante l'entita' del
capitale sociale versato, nonche' l'ammontare e la composizione del
patrimonio netto;
e) un prospetto della situazione patrimoniale, predisposto e
approvato dall'organo amministrativo, di data non anteriore a
centottanta giorni rispetto a quella di presentazione della domanda
(sono tenute a questo adempimento solo le societa' gia' operative);
f) una relazione dell'organo preposto al controllo, o del
soggetto incaricato della revisione contabile, redatta ai sensi della
normativa vigente, sulla situazione patrimoniale di cui alla lettera
e);
g) documentazione equivalente a quella prevista ai punti
precedenti, legalizzata ai sensi dell'art. 33 del Testo unico (sono
tenute a questo adempimento le societa' costituite all'estero ed
aventi sede in Italia);
h) un elenco nominativo che rechi l'indicazione del/dei
rappresentante/i legale/i, dei componenti dell'organo di
amministrazione e dell'organo di controllo, nonche' di eventuali
altri soggetti preposti all'amministrazione, con l'individuazione dei
relativi poteri. Ognuno dei suddetti soggetti dovra' risultare in
possesso, all'atto della domanda, dei requisiti di onorabilita'
previsti dall'art. 14 del decreto del Presidente della Repubblica n.
68/2005, comprovati:
1) per i cittadini italiani residenti in Italia:
aa) dalla dichiarazione sostitutiva di atto di notorieta';
bb) dal certificato del casellario giudiziale;
cc) dal certificato relativo ai carichi pendenti;
2) per le persone che non rientrano nella categoria di cui al
precedente alinea:
aa) dalla dichiarazione, resa davanti a pubblico ufficiale;
bb) dai certificati attestanti che il soggetto non e' fallito
o sottoposto a procedura equivalente.
Le firme apposte sulla documentazione anzidetta devono esser
legalizzate con le modalita' previste dal citato Testo unico.
In alternativa, per i soggetti iscritti nell'albo di cui all'art.
13 del decreto legislativo 1° settembre 1993, n. 385, recante: «Testo
unico delle leggi in materia bancaria e creditizia», la dimostrazione
del possesso dei requisiti di onorabilita' potra' essere assolta
mediante apposita dichiarazione sostitutiva di certificazione, resa
ai sensi dell'art. 46 del testo unico dal legale rappresentante,
comprovante l'iscrizione nel suddetto albo alla data di presentazione
della domanda di iscrizione;
i) una copia della polizza assicurativa, o certificato
provvisorio impegnativo, stipulata per la copertura dei rischi
derivanti dall'attivita' e dagli eventuali danni causati a terzi,
rilasciata da una societa' di assicurazione abilitata ad esercitare
nel campo dei rischi industriali a norma delle vigenti disposizioni;
l) una copia dell'ultimo bilancio, e relativa certificazione, se
la societa' e' stata costituita da piu' di un anno;
m) una dichiarazione, rilasciata dal presidente della societa',
attestante la composizione dell'azionariato, con l'indicazione,
comunque, dei soggetti partecipanti, in forma diretta o indiretta, al
capitale sociale medesimo, in misura superiore al 5%, nonche' della
data a cui si riferisce detta dichiarazione;
n) una copia del manuale operativo, redatto come indicato al
successivo punto 2.1, sottoscritto da un soggetto munito di potere di
firma;
o) una copia del piano per la sicurezza, redatto come indicato al
successivo punto 2.2, sottoscritto e siglato in ogni foglio da un
soggetto munito di potere di firma;
p) una relazione sulla struttura organizzativa, debitamente
sottoscritta dal legale rappresentante, che contenga, oltre
all'elenco del personale addetto all'erogazione del servizio e dei
compiti allo stesso affidati, l'indicazione:
1) dei nomi dei responsabili delle attivita' di cui all'art. 21
del decreto del Ministro per l'innovazione e le tecnologie 2 novembre
2005;
2) dei requisiti di competenza ed esperienza del personale di
cui al punto precedente;
3) dello specifico ruolo che il gestore svolge all'interno
della struttura aziendale;
4) della ripartizione delle varie mansioni svolte nella
struttura organizzativa e delle connesse responsabilita';
q) una dichiarazione di piena disponibilita' a consentire
l'accesso di incaricati del CNIPA presso le strutture dedicate
all'erogazione del servizio di posta elettronica certificata, al fine
di poter verificare la rispondenza delle stesse ai requisiti tecnici,
organizzativi e funzionali di cui alla documentazione allegata alla
domanda;
r) una descrizione delle caratteristiche dei dispositivi sicuri
utilizzati per la creazione della firma delle ricevute, degli avvisi
e delle buste di trasporto. Le caratteristiche di sicurezza di detti
dispositivi dovranno essere valutate secondo le specifiche CEN: CWA
14169. Sono altresi' ammessi:
1) i livelli di valutazione E3 e robustezza HIGH dell'ITSEC e
EAL 4 della norma ISO/IEC 15408 o superiori;
2) i livelli di valutazione internazionalmente riconosciuti;
3) i dispositivi previsti dalla normativa in materia di firma
digitale;
s) una dichiarazione d'impegno a comunicare al CNIPA ogni
eventuale variazione intervenuta rispetto a quanto dichiarato nella
domanda di iscrizione. A seguito di tale comunicazione il CNIPA puo'
procedere ad una nuova, se del caso anche parziale, valutazione dei
requisiti o richiedere ulteriore documentazione;
t) una descrizione delle modalita' operative del servizio, con
riferimento all'implementazione delle regole tecniche (architettura
tecnica e funzionale, indicazione dei principali prodotti/componenti
software utilizzati).
I certificatori iscritti nell'elenco pubblico di cui all'art. 28,
comma 1, del Testo unico sono esentati, in esito a specifica
richiesta in tal senso, dalla presentazione della documentazione di
cui alle lettere a), b), c), d), e), f), h), l), m), purche' in corso
di validita', in quanto gia' prodotta in sede di accreditamento e
disponibile presso il CNIPA.
2. Requisiti tecnico-organizzativi.
2.1 Manuale operativo.
Il manuale operativo individua le regole generali e le procedure
seguite dal gestore di posta elettronica certificata (PEC) nello
svolgimento della propria attivita' ed e' pubblicato a garanzia
dell'affidabilita' dei servizi offerti dal gestore stesso ai propri
utenti e ai loro corrispondenti.
Detto manuale e' disponibile per la consultazione ed il download
sul sito del gestore.
Oltre ai dati identificativi della versione in uso alla quale si
riferisce, il manuale operativo deve contenere, quanto meno:
a) i dati identificativi del gestore;
b) l'indicazione del responsabile del manuale stesso;
c) i riferimenti normativi necessari per la verifica dei
contenuti;
d) l'indirizzo del sito web del gestore ove e' pubblicato e
scaricabile;
e) l'indicazione delle procedure nonche' degli standard
tecnologici e di sicurezza utilizzati dal gestore nell'erogazione del
servizio;
f) le definizioni, le abbreviazioni e i termini tecnici che in
esso figurano;
g) una descrizione sintetica del servizio offerto;
h) la descrizione delle modalita' di reperimento e di
presentazione delle informazioni presenti nei log dei messaggi;
i) l'indicazione del contenuto e delle modalita' dell'offerta da
parte del gestore;
j) l'indicazione delle modalita' di accesso al servizio;
k) l'indicazione dei livelli di servizio e dei relativi
indicatori di qualita' di cui all'art. 12 del decreto del Ministro
per l'innovazione e le tecnologie 2 novembre 2005;
l) l'indicazione delle condizioni di fornitura del servizio;
m) l'indicazione delle modalita' di protezione dei dati dei
titolari;
n) l'indicazione degli obblighi e delle responsabilita' che ne
discendono, delle esclusioni e delle eventuali limitazioni, in sede
di indennizzo, relative ai soggetti previsti all'art. 2 del decreto
del Presidente della Repubblica n. 68/2005.
Il numero di pagine del manuale operativo deve essere compreso tra
cinquanta (50) e cento (100); ogni pagina deve contenere, mediamente,
quaranta (40) righe; la dimensione del carattere deve essere pari a
dodici punti.
E' data facolta' di limitare le dichiarazioni contenute nel manuale
operativo alle sole informazioni non soggette a particolari ragioni
di riservatezza.
Il CNIPA si riserva, comunque, a norma dell'art. 14, comma 8, del
decreto del Presidente della Repubblica n. 68/2005, di richiedere
integrazioni della documentazione presentata e di effettuare le
opportune verifiche in merito a quanto dichiarato.
2.2 Piano per la sicurezza.
Il piano per la sicurezza, corredato delle relative procedure
attinenti all'organizzazione, in quanto documento riservato, deve
essere inserito all'interno del plico contenente la domanda, in busta
separata e sigillata da cui risulti la denominazione della pubblica
amministrazione o la ragione sociale della societa' che richiede
l'iscrizione e la dicitura «Piano per la sicurezza, versione del
...».
Il piano deve contenere, quanto meno:
a) una descrizione delle procedure utilizzate nell'erogazione del
servizio (attivazione dell'utenza e organizzazione del servizio di
posta elettronica certificata), con particolare riferimento ai
problemi attinenti alla sicurezza, alla gestione dei log-file e alla
garanzia della loro integrita';
b) una descrizione dei dispositivi di sicurezza installati;
c) una descrizione dei flussi di dati;
d) l'indicazione della procedura di gestione e conservazione
delle copie di sicurezza dei dati;
e) l'indicazione della procedura da seguire al verificarsi di
possibili guasti di grande rilevanza che determinino l'arresto del
servizio (occorre precisare i tipi di guasti per i quali sono state
previste delle soluzioni: calamita' naturali, dolo, indisponibilita'
prolungata del sistema, o altri eventi) e descrizione delle soluzioni
proposte per farvi fronte, con informazioni dettagliate circa i tempi
e le modalita' previste per il ripristino;
f) un'analisi dei rischi (occorre precisare le possibili
tipologie di rischio: dolo, infedelta' del personale, inefficienza
operativa, inadeguatezza tecnologica, o altro);
g) una descrizione delle procedure per la gestione dei rischi di
cui al punto precedente (occorre precisare i tempi di reazione
previsti e i nomi dei responsabili tenuti ad intervenire);
h) una dettagliata indicazione dei controlli previsti (occorre
indicare, se e' previsto, il ricorso periodico a ispezioni esterne);
i) l'indicazione della struttura generale e della struttura
logistica dell'organizzazione e delle relative modalita' operative;
j) una sommaria descrizione dell'infrastruttura di sicurezza per
ciascun immobile di cui si compone la struttura;
k) una breve descrizione dell'allocazione degli impianti
informatici, dei servizi e degli uffici collocati negli immobili che
fanno parte della struttura;
l) l'indicazione delle modalita' di tenuta dei log dei messaggi;
m) una descrizione della procedura di accesso ai log dei messaggi
da parte del personale del gestore;
n) una descrizione del sistema di riferimento temporale e della
marca temporale adottata;
o) una descrizione dei sistemi adottati per garantire la
riservatezza e l'integrita' delle trasmissioni di messaggi mediante
il sistema.
I certificatori qualificati accreditati, iscritti nell'elenco
pubblico tenuto dal CNIPA, potranno fare riferimento ai dati ed agli
elementi contenuti nel piano della sicurezza gia' in possesso del
CNIPA medesimo.
3. Modalita' di esame delle domande.
L'istruttoria delle domande di iscrizione presentate, e la verifica
della regolarita' della relativa documentazione prodotta, sono
effettuate, ai sensi del decreto del Ministro per l'innovazione e le
tecnologie 2 novembre 2005, dal CNIPA che, una volta conclusa
l'istruttoria, adotta il conseguente provvedimento di accoglimento o
di reiezione, ovvero, se ritenuta necessaria, si riserva di procedere
ad una integrazione di istruttoria.
Il soggetto la cui domanda sia stata oggetto di un provvedimento di
reiezione non puo' presentare una nuova istanza di iscrizione se non
sono cessate le cause che hanno determinato, a suo tempo, il mancato
accoglimento della domanda di iscrizione nell'elenco pubblico dei
gestori di posta elettronica certificata.
Roma, 24 novembre 2005.
Il presidente del Centro
nazionale per l'informatica nella
pubblica amministrazione
Zoffoli