DIGITPA

DETERMINAZIONE 28 luglio 2010  

Modifiche alla  deliberazione  21  maggio  2009,  n.  45  del  Centro
nazionale per l'informatica nella Pubblica  Amministrazione,  recante
«Regole  per  il  riconoscimento  e   la   verifica   del   documento
informatico». (Determinazione commissariale n. 69/2010). (10A10008)
(GU n.191 del 17-8-2010) 

 
 
 
                    IL COMMISSARIO STRAORDINARIO 
 
  Visto il decreto legislativo  1°  dicembre  2009,  n.  177  recante
«Riorganizzazione  del  Centro  nazionale  per  l'informatica   nella
pubblica amministrazione, a norma dell'art. 24 della legge 18  giugno
2009, n. 69; 
  Considerato  che  il  Centro  nazionale  per  l'informatica   nella
pubblica  amministrazione  (CNIPA)  ha   assunto   la   denominazione
«DigitPA» ai  sensi  dell'art.  2,  comma  1,  del  predetto  decreto
legislativo 1° dicembre 2009, n. 177; 
  Visto il decreto del Presidente del Consiglio dei Ministri in  data
2 luglio 2010 con cui  l'incarico  di  Commissario  straordinario  di
DigitPA conferito  con  decreto  del  Presidente  del  Consiglio  dei
Ministri 9 marzo 2010 al prof. Fabio Pistella e' stato prorogato, con
poteri   di   ordinaria   e   straordinaria   amministrazione,   fino
all'approvazione del piano  triennale  di  DigitPA  per  il  triennio
2011-2013, e comunque non oltre il 31 dicembre 2010; 
  Visto il decreto legislativo 7 marzo  2005,  n.  82,  e  successive
modificazioni ed integrazioni, recante  «Codice  dell'amministrazione
digitale»  e,  in  particolare,  la  sezione  II  del  capo  II,  che
disciplina le firme elettroniche ed i  certificatori,  e  l'art.  71,
comma 1; 
  Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo
2009,  recante  «Regole   tecniche   in   materia   di   generazione,
apposizione, verifica delle firme digitali e  validazione  temporale»
ed, in particolare, gli articoli 3, comma 2, e 38, comma 4; 
  Vista la deliberazione 21 maggio 2009, n.45  del  Centro  nazionale
per l'informatica nella pubblica amministrazione, recante «Regole per
il riconoscimento e la verifica del documento informatico.»; 
  Vista l'istanza dell'Agenzia delle dogane in data  21  luglio  2010
con la quale  e'  segnalata  la  necessita'  di  inserire  il  codice
E.O.R.I. nei certificati di firma digitale; 
  Preso atto che il regolamento (CE) n. 312/2009  dispone  l'uso  del
codice E.O.R.I. (Economic Operator Registration  and  Identification)
per l'individuazione degli operatori economici; 
  Considerato che  le  dichiarazioni  doganali  di  esportazione,  di
transito e  le  dichiarazioni  sommarie  di  entrata  e  uscita  sono
sottoscritte con firma digitale; 
  Ritenuto  opportuno  adeguare  la  normativa  vigente  al  fine  di
consentire  l'indicazione  del  codice   E.O.R.I.   nel   certificato
qualificato di firma digitale; 
  Considerato che la Commissione europea, a seguito  della  direttiva
n. 123/2006, sta emanando decisioni atte  a  consentire  la  verifica
della firma digitale a livello comunitario; 
  Ritenuto, pertanto, opportuno adeguare la  normativa  vigente  agli
standard internazionali al fine di rendere nota la previsione di  cui
all'art. 18, comma 3 della deliberazione 21 maggio 2009, n. 45  circa
la permanenza delle informazioni  di  revoca  nelle  liste  deputate,
anche dopo la scadenza del certificato; 
  Considerato che l'imminente scadenza del periodo transitorio di cui
all'art. 29, comma 3 della deliberazione 21 maggio 2009, n.  45  puo'
compromettere la validita' della firma digitale  generata  da  utenti
che non abbiano provveduto  all'aggiornamento  degli  applicativi  di
firma digitale; 
  Ritenuto opportuno rendere  disponibile  agli  utenti  un  adeguato
periodo di tempo per eseguire l'aggiornamento delle  applicazioni  di
firma digitale; 
  Considerato,  altresi',  che  l'imminente  scadenza   del   periodo
transitorio di cui all'art. 29, comma 3 della deliberazione 21 maggio
2009, n. 45, puo' richiedere la sostituzione dei  dispositivi  sicuri
per la generazione della firma digitale; 
  Ritenuto necessario rendere  disponibile  un  adeguato  periodo  di
tempo per la sostituzione dei dispositivi sicuri per  la  generazione
della firma digitale; 
  Considerato, che la decisione della Commissione europea 2009/767/CE
del 16 ottobre 2009 prescrive che i certificatori accreditati rendano
disponibile la  descrizione  dei  propri  servizi  almeno  in  lingua
inglese; 
  Valutata l'opportunita' di  adeguare  la  deliberazione  21  maggio
2009, n. 45 del Centro nazionale  per  l'informatica  nella  pubblica
amministrazione, recante «Regole per il riconoscimento e la  verifica
del documento informatico." pubblicata il 3  dicembre  2009  Gazzetta
Ufficiale della Repubblica italiana - serie generale - n. 282; 
  Esaminati gli atti; 
  Considerata l'istruttoria svolta dall'ufficio competente; 
  Su proposta del direttore generale; 
 
                             Determina: 
 
  Di apportare le seguenti modifiche  alla  deliberazione  21  maggio
2009, n. 45 del Centro nazionale  per  l'informatica  nella  pubblica
amministrazione, recante «Regole per il riconoscimento e la  verifica
del documento informatico»,  pubblicata  il  3  dicembre  2009  nella
Gazzetta Ufficiale della Repubblica italiana - serie  generale  -  n.
282. 
1. Modifica all'art. 4 della deliberazione n. 45: 
  Il comma 2 dell'art. 4 e' sostituito dal seguente: 
    «2. Le applicazioni di generazione della firma  digitale  per  la
sottoscrizione  dei  documenti  informatici  devono   utilizzare   la
funzione di hash indicata al comma 1.»; 
  Dopo il comma 2 dell'art. 4 e' inserito il seguente comma: 
    «2-bis.  Salvo  quanto  disposto  dall'art.  27,  comma   4,   le
applicazioni di verifica della firma digitale per  la  sottoscrizione
dei documenti informatici  devono  utilizzare  la  funzione  di  hash
indicata al comma 1.». 
2. Modifica all'art. 12 della deliberazione n. 45: 
  Dopo il comma 4 dell'art. 12 e' inserito il seguente comma: 
    «4-bis. Il campo subjectDN (Dati identificativi del titolare) del
certificato puo' contenere nell'attributo description (OID: 2.5.4.13)
anche  il  codice  E.O.R.I.  (Economic  Operator   Registration   and
Identification) di cui al Regolamento (CE) n. 312/2009 del 16  aprile
2009.  Il  codice  stesso  e'  preceduto  dal  testo  "EORI"  e   dal
carattere»: «(in notazione esadecimale "0x3A").». 
3. Modifica all'art. 18 della deliberazione n. 45: 
  Dopo il comma 4 dell'art. 18 sono inseriti i seguenti commi: 
    «5. Entro  il  1°  settembre  2011  i  certificatori  accreditati
provvedono a codificare all'interno delle liste di revoca di  cui  al
presente articolo  l'estensione  ExpiredCertsOnCRL  (OID  2.5.29.60),
prevista dallo  standard  X.509.  L'estensione  contiene  la  data  a
partire dalla quale i certificati revocati o sospesi permangono nella
CRL ai sensi del comma 3». 
    «6. I certificatori comunicano a DigitPA  la  data  di  effettiva
applicazione  del  precedente   comma   5   e   la   data   contenuta
nell'estensione di cui al comma precedente.». 
4. Modifica all'art. 27 della deliberazione n. 45: 
  a) Il comma 4 dell'art. 27 e' sostituito dal seguente: 
    «4. Le applicazioni  di  cui  al  presente  articolo  indicate  o
distribuite dai certificatori accreditati assicurano la  possibilita'
di verifica positiva anche per le firme digitali basate sulle  regole
vigenti prima dell'entrata in  vigore  della  presente  deliberazione
purche' generate entro il 30 giugno  2011.  Trascorsa  tale  data  le
applicazioni  informano  circa  l'eventuale  mancato  rispetto  delle
regole tecnologiche.». 
5. Modifica del titolo IX della deliberazione n. 45: 
  a) Dopo l'art. 28, e' inserito il seguente: 
    «Art.  28-bis  (Pubblicazione  informazioni   sull'attivita'   di
certificazione). - 1.  I  certificatori  pubblicano  le  informazioni
previste dalla decisione della Commissione europea 2009/767/EC del 16
ottobre 2009 per il campo TSP information URI della TSL e  comunicano
a  DigitPA  l'indirizzo  internet  (URI)  ove  le  stesse  sono  rese
disponibili.». 
6. Modifica all'art. 29 della deliberazione n. 45: 
  Il comma 3 dell'art. 29 e' sostituito dal seguente: 
    «3. L'art. 4 commi  1  e  2-bis,  devono  essere  applicati  dopo
duecentosettanta  giorni  dall'entrata  in  vigore   della   presente
deliberazione.  Fino  a  tale  data  continuano  ad   applicarsi   le
previsioni in merito  contenute  nella  deliberazione  del  CNIPA  17
febbraio 2005, n. 4.». 
  Dopo il comma 3 dell'art. 29 e' inserito il seguente: 
    «3-bis. L'art. 4 comma 2, l'art. 5, l'art. 17, l'art. 21 comma  1
e l'art. 24 comma 2, possono essere applicati  dopo  duecentosettanta
giorni dall'entrata in vigore della presente deliberazione  e  devono
essere applicati entro il 31 dicembre 2010. Fino all'applicazione  di
tali articoli  continuano  ad  applicarsi  le  previsioni  in  merito
contenute nelle deliberazioni del CNIPA 17 febbraio 2005, n. 4  e  18
maggio 2006, n. 34.». 
  Il comma 4 dell'art. 29 e' sostituito dal seguente: 
  «4. L'applicazione dei commi 3 e 3-bis del presente  articolo  puo'
essere anticipata fino a novanta giorni rispetto ai termini stabiliti
nei medesimi commi, nei casi in cui non e' possibile  una  diffusione
tempestiva  delle  applicazioni  a  causa  della  complessita'  delle
attivita'   connesse.   Al   fine   di   non   creare   problemi   di
interoperabilita', tale anticipazione e' consentita solo  nell'ambito
di attivita' relative al medesimo procedimento.». 
  La presente determinazione e' pubblicata nella  Gazzetta  Ufficiale
della Repubblica italiana. 
 
    Roma, 28 luglio 2010 
 
                               Il commissario straordinario: Pistella