DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 marzo 2009 - Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici. (09A06300)
TITOLO I
DISPOSIZIONI GENERALI
DEL CONSIGLIO DEI MINISTRI
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante il codice dell'amministrazione digitale e, in particolare, la sezione II, che disciplina le firme elettroniche ed i certificatori, e l'art. 71, comma 1;
Visto il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante codice in materia di protezione dei dati personali;
Visto il decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004, recante le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici, pubblicato nella Gazzetta Ufficiale 27 aprile 2004, n. 98;
Visto il decreto del Presidente della Repubblica in data 7 maggio 2008, con il quale l'on. prof. Renato Brunetta e' stato nominato Ministro senza portafoglio;
Visto il decreto del Presidente del Consiglio dei Ministri dell'8 maggio 2008, con il quale al predetto Ministro senza portafoglio e' stato conferito l'incarico per la pubblica amministrazione e l'innovazione;
Visto il decreto del Presidente del Consiglio dei ministri 13 giugno 2008, recante delega di funzioni del Presidente del Consiglio dei Ministri in materia pubblica amministrazione ed innovazione al Ministro senza portafoglio on. prof. Renato Brunetta;
Acquisito il parere tecnico del Centro nazionale per l'informatica nella pubblica amministrazione di cui al decreto legislativo 12 febbraio 1993, n. 39 e successive modificazioni;
Sentito il Garante per la protezione dei dati personali;
Sentita la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281 nella seduta del 13 novembre 2008;
Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, attuata con decreto legislativo 23 novembre 2000, n. 427;
Decreta:
Art. 1.
Definizioni
-
Ai fini delle presenti regole tecniche si applicano le definizioni contenute nell'art. 1 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni. Si intende, inoltre, per:
-
codice: il codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82;
-
chiavi: la coppia di chiavi asimmetriche come definite all'articolo 1, comma 1, lettere h) e i), del codice;
-
CNIPA: il centro nazionale per l'informatica nella pubblica amministrazione;
-
compromissione della chiave privata: la sopravvenuta assenza di affidabilita' nelle caratteristiche di sicurezza della chiave crittografica privata;
-
dati per la creazione della firma: l'insieme dei codici personali e delle chiavi crittografiche private, utilizzate dal firmatario per creare una firma elettronica;
-
evidenza informatica: una sequenza di simboli binari (bit) che puo' essere elaborata da una procedura informatica;
-
funzione di hash: una funzione matematica che genera, a partire da una evidenza informatica, una impronta in modo tale che risulti di fatto impossibile, a partire da questa, ricostruire l'evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti;
-
impronta di una sequenza di simboli binari (bit): la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash;
-
marca temporale: il riferimento temporale che consente la validazione temporale;
-
registro dei certificati: la combinazione di uno o piu' archivi informatici, tenuto dal certificatore, contenente tutti i certificati emessi;
-
riferimento temporale: informazione, contenente la data e l'ora, che viene associata ad uno o piu' documenti informatici.
TITOLO I
DISPOSIZIONI GENERALIArt. 2. Ambito di applicazione
-
-
Il presente decreto stabilisce, ai sensi degli articoli 20, 24 comma 4, 27, 28, 29, 30 e 32 del codice, le regole tecniche per la generazione, apposizione e verifica delle firme elettroniche qualificate e per la validazione temporale, nonche' per lo svolgimento delle attivita' dei certificatori qualificati.
-
Le disposizioni di cui al titolo II si applicano ai certificatori che rilasciano al pubblico certificati qualificati in conformita' al codice.
-
Ai certificatori accreditati o che intendono accreditarsi ai sensi del codice, si applicano, oltre a quanto previsto dal comma 2, anche le disposizioni di cui al titolo III.
-
I certificatori accreditati rendono disponibile ai propri titolari un sistema di validazione temporale conforme alle disposizioni di cui al titolo IV.
-
Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione europea e dello spazio economico europeo in conformita' alle norme nazionali di recepimento della direttiva 1999/93/CE del Parlamento Europeo e del Consiglio, pubblicata nella Gazzetta Ufficiale dell'Unione europea, Serie L, n. 13 del 19 gennaio 2000, e' consentito di circolare liberamente nel mercato interno.
TITOLO II
REGOLE TECNICHE DI BASEArt. 3. Norme tecniche di riferimento
-
I dispositivi sicuri per la generazione delle firme di cui all'art. 35 del codice sono conformi alle norme generalmente riconosciute a livello internazionale.
-
Gli algoritmi di generazione e verifica delle firme, le caratteristiche delle chiavi utilizzate, le funzioni di hash, i formati e le caratteristiche dei certificati qualificati, le caratteristiche delle firme digitali e delle marche temporali, il formato dell'elenco di cui all'art. 39 del presente decreto, sono definiti, anche ai fini del riconoscimento e della verifica del documento informatico, con deliberazioni del CNIPA e pubblicati sul sito internet dello stesso Centro nazionale.
-
Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica qualificata, non produce gli effetti di cui all'art. 21, comma 2, del codice, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalita' che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.
TITOLO II
REGOLE TECNICHE DI BASEArt. 4. Caratteristiche generali delle chiavi per la creazione e la verifica della firma
-
Una coppia di chiavi per la creazione e la verifica della firma puo' essere attribuita ad un solo titolare.
-
Se il soggetto appone la sua firma per mezzo di una procedura automatica ai sensi dell'art. 35, comma 3 del codice, deve utilizzare una coppia di chiavi diversa da tutte le altre in suo possesso.
-
Se la procedura automatica fa uso di un insieme di dispositivi sicuri per la generazione delle firme del medesimo soggetto, deve essere utilizzata una coppia di chiavi diversa per ciascun dispositivo utilizzato dalla procedura automatica.
-
Ai fini del presente decreto, le chiavi di creazione e verifica della firma ed i correlati servizi, si distinguono secondo le seguenti tipologie:
-
chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;
-
chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati qualificati, alle informazioni sullo stato di validita' del certificato ovvero alla sottoscrizione dei certificati relativi a chiavi di marcatura temporale;
-
chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.
-
-
Non e' consentito l'uso di una coppia di chiavi per funzioni diverse da quelle previste, per ciascuna tipologia, dal comma 4, salvo che, con riferimento esclusivo alle chiavi di cui al medesimo comma 4, lettera b), il CNIPA non ne autorizzi l'utilizzo per altri scopi.
-
Le caratteristiche quantitative e qualitative delle chiavi sono tali da garantire un adeguato livello di sicurezza in rapporto allo stato delle conoscenze scientifiche e tecnologiche, in conformita' con quanto indicato dal CNIPA nella deliberazione di cui all'art. 3, comma 2.
TITOLO II
REGOLE TECNICHE DI BASEArt. 5. Generazione delle chiavi
-
La generazione della coppia di chiavi e' effettuata mediante dispositivi e procedure che assicurano, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicita' e un adeguato livello di sicurezza della coppia generata, nonche' la segretezza della chiave privata.
-
Il sistema di generazione della coppia di chiavi comunque assicura:
-
la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati;
-
l'utilizzo di algoritmi che consentano l'equiprobabilita' di generazione di tutte le coppie possibili;
-
l'autenticazione informatica del soggetto che attiva la procedura di generazione.
TITOLO II
REGOLE TECNICHE DI BASEArt. 6. Modalita' di generazione delle chiavi
-
-
Le chiavi di certificazione possono essere generate esclusivamente in presenza del responsabile del servizio.
-
Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.
-
La generazione delle chiavi di sottoscrizione effettuata autonomamente dal titolare, avviene all'interno del dispositivo sicuro per la generazione delle firme, che e' rilasciato o indicato dal certificatore.
-
Il certificatore e' tenuto ad assicurarsi che il dispositivo sicuro per la generazione delle firme, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'art. 35 del codice e all'art. 9 del presente decreto.
-
Il titolare e' tenuto ad utilizzare esclusivamente il dispositivo sicuro per la generazione delle firme fornito dal certificatore, ovvero un dispositivo scelto tra quelli indicati dal certificatore stesso.
TITOLO II
REGOLE TECNICHE DI BASEArt. 7. Conservazione delle chiavi e dei dati per la creazione della firma
-
E' vietata la duplicazione della chiave privata e dei dispositivi che la contengono.
-
Per fini particolari di sicurezza, e' consentito che le chiavi di certificazione...
Per continuare a leggere
RICHIEDI UNA PROVA