Identity Management
DECRETO PRESIDENTE CONSIGLIO DEI MINISTRI 6 settembre 2012 G.U.R.I. 18 dicembre 2012, n. 294
Separati certificati di firma, ai sensi dell’articolo 28, comma 3-bis), del Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82.
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005 n. 82, come modificato dal decreto legislativo 30 dicembre 2010 n. 235 recante “Codice dell’amministrazione digitale”, di seguito “CAD” e, in particolare l’art. 28, comma 3-bis;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali”;
Visto il decreto legislativo 1° dicembre 2009, n. 1 77, recante “Riorganizzazione del Centro nazionale per l’informatica nella pubblica amministrazione, a norma dell’art. 24 della legge 18 giugno 2009, n. 69”;
Visto il decreto del Presidente del Consiglio dei Ministri 1° aprile 2008, recante “Regole tecniche e di sicurezza del sistema pubblico di connettività (SPC)”, pubblicato nella Gazzetta Ufficiale del 21 giugno 2008, n. 144;
Visti gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n. 83, recante “Misure urgenti per la crescita del Paese”, con cui é stato soppresso DigitPA, le cui funzioni sono state attribuite all’Agenzia per l’Italia digitale;
Visto il decreto del Presidente della Repubblica in data 29 novembre 2011, con il quale il Presidente Filippo Patroni Griffi è stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei Ministri del 4 dicembre 2011, con il quale al predetto Ministro senza portafoglio è stato conferito l’incarico per la pubblica amministrazione e la semplificazione;
Visto il decreto del Presidente del Consiglio dei Ministri 13 dicembre 2011 recante delega di funzioni del Presidente del Consiglio dei Ministri al Ministro senza portafoglio, Presidente Filippo Patroni Griffi, in materia di pubblica amministrazione e semplificazione, tra cui, in raccordo con il Ministro delegato per l’innovazione tecnologica e lo sviluppo della società dell’informazione, prof. Francesco Profumo, le funzioni in materia di disciplina delle innovazioni connesse all’uso delle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni e nei relativi sistemi informatici e di telecomunicazione, nonché di adeguamento, per amministrazioni ed enti pubblici, della normativa vigente relativa all’organizzazione e alle procedure in ragione dell’uso delle predette tecnologie;
Acquisito il parere tecnico di DigitPA di cui al decreto legislativo 1° dicembre 2009, n. 177 e succes sive modificazioni;
Sentito il Garante per la protezione dei dati personali;
Sentita la Conferenza Unificata di cui all’art. 8 del decreto legislativo 28 agosto 1997, n. 281 nella seduta del 19 gennaio 2012;
Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, recepita con legge 21 giugno 1986, n. 317 e decreto legislativo 23 novembre 2000, n. 427;di concerto con il Ministro dell’istruzione, dell’università e della ricerca;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) Certificatore: il certificatore di firma elettronica qualificata o digitale accreditato ai sensi dell’art. 29 del CAD;
b) Titolare: la persona fisica cui sono attribuite una o più qualifiche tra quelle indicate all’art. 28, comma 3, lettera a) del CAD;
c) Terzo interessato: il soggetto di cui all’art. 28, commi 3 e 4, del CAD, titolato a attestare il possesso di qualifiche, abilitazioni professionali o poteri di rappresentanza;
d) SAML: Security Assertion Markup Language definito dall’OASIS Security Services Technical Committee (SSTC) nella versione 2.0;
e) Autorità di attributo: entità abilitata ad attestare, anche per conto del terzo interessato, nel certificato digitale ovvero a fornire in rete le informazioni di cui all’art. 28, comma 3, del CAD;
f) Asserzione: la rappresentazione informatica della attestazione delle informazioni di cui all’art. 28, comma 3, del CAD;
g) Commissione: la commissione di coordinamento SPC come definita all’art. 79 del CAD.
Art. 2
Ambito di applicazione
1. Le disposizioni di cui al presente decreto si applicano:
a) al Titolare;
b) al Terzo interessato;
c) al Certificatore.
2. Si applicano, in quanto compatibili con il presente decreto, le regole tecniche del Sistema Pubblico di Connettività (di seguito: “SPC”) di cui agli articoli 72 e seguenti del CAD, nonché le relative regole di sicurezza di cui al decreto del Presidente del Consiglio dei Ministri
1° aprile 2008.
3. Gli articoli 3 e 4 del presente decreto definiscono le modalità di attuazione di cui all’art. 28, comma 3-bis, del CAD, limitatamente alla disponibilità delle informazioni di cui all’art. 28, comma 3, del CAD all’interno di un certificato qualificato.
4. Gli articoli 5 e 6 del presente decreto definiscono le modalità di attuazione di cui all’art. 28, comma 3-bis, del CAD, limitatamente alla disponibilità in rete delle informazioni di cui all’art. 28, comma 3, del CAD.
Art. 3
Certificato di attributo
1. Il terzo interessato che intende emettere certificati di attributo può operare come certificatore accreditato o avvalersi di certificatori accreditati.
2. Il certificatore al fine di emettere certificati di attributo agisce come Autorità di attributo nel rispetto del presente decreto.
3. Il certificatore, inserisce nel certificato gli attributi del titolare dello stesso, secondo modalità definite con provvedimenti dell’Agenzia per l’Italia digitale e pubblicati sul sito internet dello stesso Ente.
4. Il formato del certificato di attributo é definito con il provvedimento di cui al comma 3.
5. Le Autorità di attributo comunicano all’Agenzia per l’Italia digitale la propria attività e forniscono i certificati di certificazione utilizzati
allo scopo.
6. L’Agenzia per l’Italia digitale pubblica le informazioni inerenti le Autorità di attributo e i certificati di cui al comma 5 nell’elenco di cui alla decisione della Commissione europea 16 ottobre 2009, n. 767.
7. Con i provvedimenti di cui al comma 3, sono definite le modalità operative e le specifiche tecnologiche per l’esercizio dell’attività di Autorità di attributo.
Art. 4
Revoca degli attributi
1. Il titolare e il terzo interessato comunicano al Certificatore tempestivamente e comunque non oltre le ventiquattr’ore il modificarsi o il venir meno delle circostanze oggetto delle informazioni di cui all’articolo dall’art. 28, comma 3, del CAD.
2. Il Certificatore, a seguito di una delle comunicazioni di cui al comma 1, revoca tempestivamente il certificato di attributo.
Art. 5
Disponibilità in rete di qualifiche, abilitazioni professionali o poteri di rappresentanza
1. I Terzi interessati al fine di rendere disponibili in rete le asserzioni agiscono come Autorità di attributo nel rispetto del presente decreto.
2. Le asserzioni emesse dalle Autorità di attributo sono utilizzabili per la fruizione di servizi telematici o per la presentazione di documenti recanti certificazione delle informazioni di cui all’art. 28, comma 3, del CAD relativi alla qualifica professionale nonché di limiti d’uso e/o di valore.
3. Il Terzo interessato può rendere direttamente disponibili in rete le asserzioni oppure avvalersi di un Certificatore.
4. Nella ipotesi in cui si avvalga di un Certificatore il Terzo interessato fornisce allo stesso le informazioni di cui all’articolo dall’art. 28, comma 3-bis), del CAD segnalando tempestivamente e comunque non oltre le 24 ore il modificarsi o il venir meno delle circostanze oggetto delle informazioni stesse. Il Certificatore è responsabile della disponibilità in rete delle informazioni di cui all’art. 28, comma 3, del CAD nel rispetto del presente decreto.
5. I soggetti di cui all’art. 2, comma 1, lettere b) e c) rispettano le prescrizioni tecniche, finalizzate a gestire in rete le informazioni di cui al comma 3 dell’art. 28 del CAD, emanate dalla Commissione ai sensi dell’art. 79 del CAD.
6. L’Agenzia per l’Italia digitale gestisce, nell’ambito delle infrastrutture nazionali condivise del Sistema Pubblico di Connettività (di seguito “SPC”), il Registro delle Autorità di attributo. A tale fine, l’Agenzia per l’Italia digitale può utilizzare altri registri, gestiti dallo stesso, che, ad altro titolo, forniscono un’analoga funzionalità. L’iscrizione nel Registro avviene nel rispetto di quanto disciplinato dal decreto del Presidente del Consiglio dei Ministri 1° aprile 2008. A tal fine la Commissione definisce le relative modalità operative.
7. Gli organismi di attuazione e controllo SPC, come definiti nel decreto del Presidente del Consiglio dei Ministri 1° aprile 2008, secondo gli indirizzi della Commissione, realizzano servizi atti a facilitare in rete l’utilizzo del Registro di cui al comma 6.
8. Il registro di cui al comma 6 contiene l’elenco delle informazioni di cui all’art. 28, comma 3, del CAD disponibili in rete e l’indicazione del Terzo interessato operante quale Autorità di attributo di dette informazioni. Il formato tecnico e il contenuto informativo di dettaglio del registro sono specificati con delibera dell’Agenzia per l’Italia digitale.
Art. 6
Formato dell’asserzione
1. Ai fini dell’attestazione delle informazioni di cui al comma 3, dell’art. 28 del CAD, l’Autorità di attributo produce un’Asserzione nel formato specificato in apposita delibera dell’Agenzia per l’Italia digitale.
2. Per i soggetti appartenenti ad ordini o collegi professionali, l’Asserzione indica l’identificativo univoco del soggetto, corrispondente al codice fiscale, e il codice relativo alla professione e l’eventuale numero di iscrizione all’albo. Per gli ordini o collegi professionali che
siano articolati per specializzazioni, ambiti territoriali e sezioni, l’asserzione deve evidenziare tali specificità.
3. Per i soggetti dotati di poteri di rappresentanza ovvero aventi qualifica di pubblico ufficiale, l’Asserzione indica l’identificativo univoco del soggetto, corrispondente al codice fiscale, e la specifica qualifica.
Il presente decreto é inviato ai competenti organi di controllo e sarà pubblicato nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 6 settembre 2012
si può inviare una e-mail all’indirizzo PEC
assocertificatori@pec.it