Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici.
Titolo I DISPOSIZIONI GENERALI IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto il
del Presidente della Repubblica 28 dicembre 2000, n. 445, recante testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa e in particolare l'art. 8, comma 2; Visto il
23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche; Visto l'art. 15, comma 2, della legge 15 marzo 1997, n. 59; Vista la decisione della Commissione europea 14 luglio 2003, relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, pubblicata nella Gazzetta Ufficiale dell'Unione europea L 175/45 del 15 luglio 2003 che induce ad integrare in tal senso le premesse del provvedimento; Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, con il quale e' stata attribuita al Ministro per l'innovazione e le tecnologie, dott. Lucio Stanca, tra l'altro, la delega ad esercitare le funzioni spettanti al Presidente del Consiglio dei Ministri nelle materie dell'innovazione tecnologica, dello sviluppo della societa' dell'informazione, nonche' delle connesse innovazioni per le amministrazioni pubbliche; Sentito il Ministro per la funzione pubblica; Sentito il Garante per la protezione dei dati personali; Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, CE attuata con
Decreta
Art. 1.
Definizioni
1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute negli articoli 1 e 22 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni. Si intende, inoltre, per
-
testo unico, il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, emanato con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; b) Dipartimento, il dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri o altro organismo di cui si avvale il Ministro per l'innovazione e le tecnologie; c) chiavi, la coppia di chiavi asimmetriche come definite all'art. 22, comma 1, lettera b), del testo unico; d) impronta di una sequenza di simboli binari (bit), la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash; e) funzione di hash, una funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) per le quali la funzione generi impronte uguali; f) evidenza informatica, una sequenza di simboli binari (bit) che puo' essere elaborata da una procedura informatica; g) riferimento temporale, informazione, contenente la data e l'ora, che viene associata ad uno o piu' documenti informatici; h) validazione temporale, il risultato della procedura informatica, con cui si attribuisce, ad uno o piu' documenti informatici, un riferimento temporale opponibile ai terzi; i) marca temporale, un'evidenza informatica che consente la validazione temporale.
Art. 2.
Ambito di applicazione
1. Il presente decreto stabilisce, ai sensi dell'art. 8, comma 2, del testo unico, le regole tecniche per la generazione, apposizione e verifica delle firme digitali.
2. Le disposizioni di cui al titolo II si applicano ai certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico.
3. Ai certificatori accreditati o che intendono accreditarsi ai sensi del testo unico si applicano, oltre a quanto previsto dal comma 2, anche le disposizioni di cui al titolo III.
4. I certificatori accreditati devono disporre di un sistema di validazione temporale conforme alle disposizioni di cui al titolo IV.
5. Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione europea e dello spazio economico europeo in conformita' alle norme nazionali di recepimento della direttiva 1999/93/CE, e' consentito di circolare liberamente nel mercato interno.
6. Le disposizioni di cui al comma 5 si applicano anche agli Stati non appartenenti all'Unione europea con i quali siano stati stipulati specifici accordi di riconoscimento reciproco.
Titolo II REGOLE TECNICHE DI BASE
Art. 3.
Norme tecniche di riferimento
1. I prodotti di firma digitale e i dispositivi sicuri di firma di cui all'art. 29-sexies del testo unico, devono essere conformi alle norme generalmente riconosciute a livello internazionale o individuate dalla Commissione europea secondo la procedura di cui all'art. 9 della direttiva 1999/93/CE.
2. Gli algoritmi di generazione e verifica delle firme digitali e le funzioni di hash sono individuati ai sensi del comma 1.
3. Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma, non produce gli effetti di cui all'art. 10, comma 3, del testo unico, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalita' che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.
Art. 4.
Caratteristiche generali delle chiavi per la creazione e la verifica della firma
1. Una coppia di chiavi per la creazione e la verifica della firma puo' essere attribuita ad un solo titolare.
2. Se il titolare appone la sua firma per mezzo di una procedura automatica, deve utilizzare una coppia di chiavi diversa da tutte le altre in suo possesso.
3. Se la procedura automatica fa uso di piu' dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata una coppia di chiavi diversa per ciascun dispositivo.
4. Ai fini del presente decreto, le chiavi di creazione e verifica della firma ed i correlati servizi, si distinguono secondo le seguenti tipologie
-
chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti; b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati qualificati, alle liste di revoca (CRL) e sospensione (CSL), ovvero alla sottoscrizione dei certificati relativi a chiavi di marcatura temporale; c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.
5. Non e' consentito l'uso di una coppia di chiavi per funzioni diverse da quelle previste, per ciascuna tipologia, dal precedente comma 4.
6. In deroga a quanto stabilito al comma 5, le chiavi di certificazione di cui al comma 4, lettera b), possono essere utilizzate per altre finalita' previa autorizzazione da parte del Dipartimento.
7. La robustezza delle chiavi deve essere tale da garantire un adeguato livello di sicurezza in rapporto allo stato delle conoscenze scientifiche e tecnologiche.
Art. 5.
Generazione delle chiavi
1. La generazione della coppia di chiavi deve essere effettuata mediante dispositivi e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicita' e la robustezza della coppia generata, nonche' la segretezza della chiave privata.
2. Il sistema di generazione della coppia di chiavi deve comunque assicurare
-
la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati; b) l'equiprobabilita' di generazione di tutte le coppie possibili; c) l'identificazione del soggetto che attiva la procedura di generazione.
Art. 6.
Modalita' di generazione delle chiavi
1. Le chiavi di certificazione possono essere generate esclusivamente dal responsabile del servizio.
2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.
3. La generazione delle chiavi di sottoscrizione effettuata, autonomamente dal titolare, deve avvenire all'interno del dispositivo sicuro per la generazione delle firme, che deve essere rilasciato o indicato dal certificatore.
4. Il certificatore deve assicurarsi che il dispositivo sicuro per la generazione delle firme, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'art. 29-sexies del testo unico e all'art. 9 del presente decreto.
5. Il titolare e' tenuto ad utilizzare esclusivamente il dispositivo fornito dal certificatore, ovvero un dispositivo scelto tra quelli indicati dal certificatore stesso.
Art. 7.
Conservazione delle chiavi
1. E' vietata la duplicazione della chiave privata e dei dispositivi che la contengono.
2. Per fini particolari di sicurezza, e' consentito che le chiavi di certificazione vengano esportate purche' cio' avvenga con modalita' tali da non ridurre il livello di sicurezza.
3. Il titolare della coppia di chiavi deve
-
conservare con la massima diligenza la chiave privata o il dispositivo che la contiene al fine di garantirne l'integrita' e la massima riservatezza; b) conservare le informazioni di abilitazione all'uso della chiave privata separatamente dal dispositivo contenente la chiave; c) richiedere immediatamente la revoca dei certificati qualificati relativi alle chiavi contenute in dispositivi di firma difettosi o di cui abbia perduto il possesso.
Art. 8.
Generazione delle chiavi al di fuori del dispositivo di firma
1. Se la generazione delle chiavi avviene su un sistema diverso da quello destinato all'uso della chiave privata, il sistema di generazione deve assicurare
-
l'impossibilita' di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l'esecuzione della procedura; b) il trasferimento della chiave privata, in condizioni di massima...
Per continuare a leggere
RICHIEDI UNA PROVA