Dette regole tecniche, emanate con il D.P.C.M. 8 febbraio 1999, pubblicato sulla Gazzetta Ufficiale n. 87 del 15 aprile 1999, all’articolo 16, comma 1, prevedono che: "Chiunque intenda esercitare l’attività di certificatore deve inoltrare all’Autorità per l’informatica nella pubblica amministrazione, secondo le modalità da questa definite con apposita circolare, domanda di iscrizione nell’elenco pubblico di cui all’articolo 8, comma 3, del decreto del Presidente della Repubblica 10 novembre 1997, n. 513".

La domanda, sottoscritta dal legale rappresentante della società, in plico chiuso con evidenza del mittente e con l’indicazione "Domanda per l’iscrizione nell’elenco dei certificatori", va indirizzata e fatta pervenire a:

Autorità per l’informatica nella pubblica amministrazione
Via Solferino, 15
00185 ROMA

La consegna può avvenire tramite servizio pubblico o privato oppure a mano nelle ore d'ufficio (09.00-13.00 e 15.00-17.00) dei giorni dal lunedì al venerdì.

In quest'ultimo caso, verrà data formale ricevuta di consegna del plico.

Il testo della domanda e di tutti i documenti allegati originati dal richiedente, va predisposto utilizzando un sistema di elaborazione testi di larga diffusione. Un supporto informatico contenente tale testo, con l’eccezione del piano per la sicurezza, va allegato alla domanda, insieme alla stampa, in duplice copia, del contenuto del supporto stesso.

La domanda deve indicare:

È opportuno che vengano indicati il nominativo di una persona cui far riferimento, anche per le vie brevi, e le modalità di contattarla (numeri telefonici, telefax, telex), in vista di una sollecita definizione delle eventuali problematiche che richiedessero chiarimenti di minore importanza.

Alla domanda vanno allegati:

a) copia autentica dell’atto costitutivo della società;
b) statuto sociale vigente, certificato dalla competente CCIA (non anteriore a 90 giorni);
c) certificato di iscrizione nel registro delle imprese (non anteriore a 90 giorni);
d) dichiarazione del presidente del collegio sindacale, attestante l’entità del capitale sociale versato nonché l’ammontare e la composizione del patrimonio netto al momento della presentazione della domanda;
e) situazione patrimoniale, predisposta e approvata dall'organo amministrativo (non anteriore a 90 giorni) - (solo per le società già operative);
f) relazione del collegio sindacale sulla situazione patrimoniale di cui alla lettera e;
g) per le imprese registrate all’estero, documentazione equivalente a quella dei punti precedenti, a norma della legge n. 1253/1966*, legalizzata e tradotta in lingua italiana nelle forme e nei modi di cui alla legge n. 15/1968, salvo le eccezioni espressamente in essa previste;
h) elenco nominativo dei componenti del consiglio d’amministrazione e del collegio sindacale, di eventuali amministratori delegati e del o dei direttori, dei soggetti con funzioni equivalenti a quelle del Direttore Generale, con l’indicazione dei relativi poteri. Ognuna delle suddette persone, dovrà risultare in possesso, all'atto della domanda, dei requisiti di onorabilità stabiliti dal decreto del Ministro del Tesoro, del Bilancio e della Programmazione economica 18 marzo 1998, n. 161, comprovato da:

- per i cittadini italiani residenti in Italia:

- per le persone che non rientrano nella categoria di cui al precedente alinea:

- Per entrambe le categorie, la prescritta certificazione antimafia sarà acquisita a cura dell'Autorità;

i) copia della polizza assicurativa (o certificato provvisorio impegnativo) a copertura dei rischi dell’attività e dei danni causati a terzi, rilasciata da una società di assicurazioni abilitata ad esercitare nel campo dei rischi industriali, a norma delle vigenti disposizioni;
j) copia dell’ultimo bilancio con relativa certificazione, se la società è stata costituita da più di un anno. Se il bilancio non è stato certificato, la società dovrà allegare una dichiarazione di impegno a certificare il bilancio a partire dall’esercizio in corso al momento della presentazione della domanda;
k) dichiarazione del presidente della società attestante la composizione dell’azionariato, per quanto nota, con indicazione, comunque, dei soggetti partecipanti, in forma diretta o indiretta, al capitale sociale, in misura superiore al 5%;
l) dichiarazione di piena disponibilità a consentire accessi presso le strutture dedicate alle operazioni di certificazione da parte di incaricati dell’AIPA, finalizzati alla verifica del mantenimento della rispondenza ai requisiti tecnico-organizzativi di cui alla documentazione allegata alla domanda;

Alla domanda vanno altresì allegati, secondo le modalità specificate nel seguito:
m) copia del manuale operativo;
n) copia del piano per la sicurezza;
o) una relazione sulla struttura organizzativa;
p) fermo restando quanto prescritto dall’articolo 18 del D.P.C.M. 8 febbraio 1999 sopra citato, dichiarazione di impegno a comunicare tempestivamente all’AIPA ogni variazione significativa delle soluzioni tecnico-organizzative adottate.

Il manuale deve contenere almeno le seguenti informazioni:
a) dati identificativi del certificatore;
b) dati identificativi della versione del manuale operativo;
c) responsabile del manuale operativo;
d) definizione degli obblighi del certificatore, del titolare e di quanti accedono per la verifica delle firme;
e) definizione delle responsabilità e delle eventuali limitazioni agli indennizzi;
f) tariffe;
g) modalità di identificazione e registrazione degli utenti;
h) modalità di generazione delle chiavi;
i) modalità di emissione dei certificati;
j) modalità di sospensione e revoca dei certificati;
k) modalità di sostituzione delle chiavi;
l) modalità di gestione del registro dei certificati;
m) modalità di accesso al registro dei certificati;
n) modalità di protezione della riservatezza.

Il documento contenente il piano per la sicurezza, in quanto coperto da riservatezza, deve essere racchiuso in una busta sigillata, all’interno del plico contenente la domanda, con evidenza della società e l’indicazione "Piano per la sicurezza – versione del …(data)".

Il piano deve contenere almeno i seguenti elementi:
a) struttura generale, modalità operativa e struttura logistica dell’organizzazione;
b) descrizione sommaria dell’infrastruttura di sicurezza per ciascun immobile;
c) breve descrizione dell’allocazione degli impianti informatici, dei servizi e degli uffici negli immobili dell’organizzazione;
d) elenco del personale addetto;
e) attribuzioni dettagliate delle responsabilità;
f) algoritmi crittografici utilizzati;
g) descrizione delle procedure utilizzate nell’attività di certificazione, con particolare riferimento ai problemi di sicurezza, alla gestione del log-file e alla garanzia della sua integrità;
h) descrizione dei dispositivi di sicurezza installati;
i) descrizione dei flussi di dati;
j) procedura di gestione delle copie di sicurezza dei dati (modalità e frequenze dei salvataggi, tipo e ubicazione delle sicurezze fisiche);
k) procedura di gestione dei disastri (precisare i tipi di disastri per i quali sono state previste delle soluzioni: per calamità naturali, per dolo, per indisponibilità prolungata del sistema, per altre ragioni; descrivere le soluzioni con dettagli sui tempi e le modalità previste per il ripristino del servizio);
l) analisi dei rischi (precisare i tipi di rischi: per dolo, per infedeltà del personale, per inefficienza operativa, per inadeguatezza tecnologica, per altre ragioni);
m) descrizione delle contromisure (precisare i tempi di reazioni previsti e i nomi dei responsabili);
n) specificazione dei controlli (precisare se è previsto il ricorso periodico a ispezioni esterne).

Va predisposto un apposito documento contenente la descrizione dell’organizzazione del personale, limitatamente alle funzioni elencate nell’articolo 49 del D.P.C.M. 8 febbraio 1999; tale atto deve essere corredato da un’adeguata documentazione, a norma del successivo articolo 51 del medesimo D.P.C.M., dell’esperienza maturata dal personale stesso.

Va precisato, in particolare, a norma dell’articolo 16, comma 2, del D.P.C.M. 8 febbraio 1999, il profilo del personale responsabile della generazione delle chiavi, della emissione dei certificati e della gestione del registro delle chiavi. Tale profilo dovrà essere idoneo ad attestare il possesso della competenza e dell’esperienza richiesti dall’art.8, comma 3, lett. c), del DPR n. 513/1997.

La società è tenuta a specificare, con apposita dichiarazione, i punti che seguono:

a) algoritmi di generazione e verifica firme utilizzati e supportati;
b) algoritmi di hash utilizzati e supportati;
c) lunghezza delle chiavi;
d) assicurazioni relative al sistema di generazione delle chiavi;
e) caratteristiche del sistema di generazione;
f) informazioni contenute nei certificati;
g) formato dei certificati;
h) modalità di accesso al registro dei certificati;
i) modalità con la quale viene soddisfatta la verifica dell’unicità della chiave pubblica, in rapporto allo stato delle conoscenze scientifiche e tecnologiche;
j) caratteristiche del sistema di generazione dei certificati;
k) modalità di attuazione della copia del registro dei certificati;
l) modalità di tenuta del giornale di controllo;
m) descrizione del sistema di validazione temporale adottato;
n) impegno ad adottare ogni opportuna misura tecnico-organizzativa volta a garantire il rispetto delle disposizioni della legge 31 dicembre 1996, n. 675.

E' data facoltà di limitare la documentazione alle sole informazioni non soggette a particolari ragioni di riservatezza. L’AIPA, dal canto suo, si riserva, a norma dell’articolo 16, comma 3, del D.P.C.M. 8 febbraio 1999, di richiedere integrazioni alla documentazione presentata e di effettuare le opportune verifiche su quanto dichiarato.

L’istruttoria delle domande e della relativa documentazione sarà svolta, sotto il controllo di un Membro dell'Autorità all'uopo designato, a cura degli uffici, con il supporto specialistico del Centro Tecnico di cui all’articolo 17, comma 19, della legge 15 maggio 1997, n. 127. Al termine dell’istruttoria, sulla richiesta di iscrizione nell’elenco dei certificatori sarà adottata dall’Autorità, su proposta formulata dal Membro designato, motivata deliberazione di accoglimento o di reiezione ovvero, se ritenuta necessaria, di integrazione dell'istruttoria.

La società, le cui domande di inserzione siano state oggetto di provvedimento di reiezione, non possono presentare una nuova istanza, se non siano trascorsi almeno 6 (sei) mesi dalla data di comunicazione del provvedimento stesso e, comunque, prima che siano cessate le cause che hanno determinato il non accoglimento della precedente domanda.

Eventuali richieste di delucidazioni e/o chiarimenti potranno essere inoltrate al Direttore Generale dell’Autorità per l’informatica nella Pubblica Amministrazione.

Il Presidente: REY

--------------------