DIGITPA - DETERMINAZIONE 28 luglio 2010 | Chimici.info

DIGITPA – DETERMINAZIONE 28 luglio 2010

DIGITPA - DETERMINAZIONE 28 luglio 2010 - Modifiche alla deliberazione 21 maggio 2009, n. 45 del Centro nazionale per l'informatica nella Pubblica Amministrazione, recante «Regole per il riconoscimento e la verifica del documento informatico». (Determinazione commissariale n. 69/2010). (10A10008) - (GU n. 191 del 17-8-2010 )

DETERMINAZIONE 28 luglio 2010
Modifiche alla deliberazione 21 maggio 2009, n. 45 del Centro
nazionale per l’informatica nella Pubblica Amministrazione,
recante«Regole per il riconoscimento e la verifica del documento
informatico». (Determinazione commissariale n. 69/2010). (10A10008)

IL COMMISSARIO STRAORDINARIO

Visto il decreto legislativo 1° dicembre 2009, n. 177 recante
«Riorganizzazione del Centro nazionale per l’informatica nella
pubblica amministrazione, a norma dell’art. 24 della legge 18 giugno
2009, n. 69;
Considerato che il Centro nazionale per l’informatica nella
pubblica amministrazione (CNIPA) ha assunto la denominazione
«DigitPA» ai sensi dell’art. 2, comma 1, del predetto decreto
legislativo 1° dicembre 2009, n. 177;
Visto il decreto del Presidente del Consiglio dei Ministri in data
2 luglio 2010 con cui l’incarico di Commissario straordinario di
DigitPA conferito con decreto del Presidente del Consiglio dei
Ministri 9 marzo 2010 al prof. Fabio Pistella e’ stato prorogato, con
poteri di ordinaria e straordinaria amministrazione, fino
all’approvazione del piano triennale di DigitPA per il triennio
2011-2013, e comunque non oltre il 31 dicembre 2010;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive
modificazioni ed integrazioni, recante «Codice dell’amministrazione
digitale» e, in particolare, la sezione II del capo II, che
disciplina le firme elettroniche ed i certificatori, e l’art. 71,
comma 1;
Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo
2009, recante «Regole tecniche in materia di generazione,
apposizione, verifica delle firme digitali e validazione temporale»
ed, in particolare, gli articoli 3, comma 2, e 38, comma 4;
Vista la deliberazione 21 maggio 2009, n.45 del Centro nazionale
per l’informatica nella pubblica amministrazione, recante «Regole per
il riconoscimento e la verifica del documento informatico.»;
Vista l’istanza dell’Agenzia delle dogane in data 21 luglio 2010
con la quale e’ segnalata la necessita’ di inserire il codice
E.O.R.I. nei certificati di firma digitale;
Preso atto che il regolamento (CE) n. 312/2009 dispone l’uso del
codice E.O.R.I. (Economic Operator Registration and Identification)
per l’individuazione degli operatori economici;
Considerato che le dichiarazioni doganali di esportazione, di
transito e le dichiarazioni sommarie di entrata e uscita sono
sottoscritte con firma digitale;
Ritenuto opportuno adeguare la normativa vigente al fine di
consentire l’indicazione del codice E.O.R.I. nel certificato
qualificato di firma digitale;
Considerato che la Commissione europea, a seguito della direttiva
n. 123/2006, sta emanando decisioni atte a consentire la verifica
della firma digitale a livello comunitario;
Ritenuto, pertanto, opportuno adeguare la normativa vigente agli
standard internazionali al fine di rendere nota la previsione di cui
all’art. 18, comma 3 della deliberazione 21 maggio 2009, n. 45 circa
la permanenza delle informazioni di revoca nelle liste deputate,
anche dopo la scadenza del certificato;
Considerato che l’imminente scadenza del periodo transitorio di cui
all’art. 29, comma 3 della deliberazione 21 maggio 2009, n. 45 puo’
compromettere la validita’ della firma digitale generata da utenti
che non abbiano provveduto all’aggiornamento degli applicativi di
firma digitale;
Ritenuto opportuno rendere disponibile agli utenti un adeguato
periodo di tempo per eseguire l’aggiornamento delle applicazioni di
firma digitale;
Considerato, altresi’, che l’imminente scadenza del periodo
transitorio di cui all’art. 29, comma 3 della deliberazione 21 maggio
2009, n. 45, puo’ richiedere la sostituzione dei dispositivi sicuri
per la generazione della firma digitale;
Ritenuto necessario rendere disponibile un adeguato periodo di
tempo per la sostituzione dei dispositivi sicuri per la generazione
della firma digitale;
Considerato, che la decisione della Commissione europea 2009/767/CE
del 16 ottobre 2009 prescrive che i certificatori accreditati rendano
disponibile la descrizione dei propri servizi almeno in lingua
inglese;
Valutata l’opportunita’ di adeguare la deliberazione 21 maggio
2009, n. 45 del Centro nazionale per l’informatica nella pubblica
amministrazione, recante «Regole per il riconoscimento e la verifica
del documento informatico.” pubblicata il 3 dicembre 2009 Gazzetta
Ufficiale della Repubblica italiana – serie generale – n. 282;
Esaminati gli atti;
Considerata l’istruttoria svolta dall’ufficio competente;
Su proposta del direttore generale;

Determina:

Di apportare le seguenti modifiche alla deliberazione 21 maggio
2009, n. 45 del Centro nazionale per l’informatica nella pubblica
amministrazione, recante «Regole per il riconoscimento e la verifica
del documento informatico», pubblicata il 3 dicembre 2009 nella
Gazzetta Ufficiale della Repubblica italiana – serie generale – n.
282.
1. Modifica all’art. 4 della deliberazione n. 45:
Il comma 2 dell’art. 4 e’ sostituito dal seguente:
«2. Le applicazioni di generazione della firma digitale per la
sottoscrizione dei documenti informatici devono utilizzare la
funzione di hash indicata al comma 1.»;
Dopo il comma 2 dell’art. 4 e’ inserito il seguente comma:
«2-bis. Salvo quanto disposto dall’art. 27, comma 4, le
applicazioni di verifica della firma digitale per la sottoscrizione
dei documenti informatici devono utilizzare la funzione di hash
indicata al comma 1.».
2. Modifica all’art. 12 della deliberazione n. 45:
Dopo il comma 4 dell’art. 12 e’ inserito il seguente comma:
«4-bis. Il campo subjectDN (Dati identificativi del titolare) del
certificato puo’ contenere nell’attributo description (OID: 2.5.4.13)
anche il codice E.O.R.I. (Economic Operator Registration and
Identification) di cui al Regolamento (CE) n. 312/2009 del 16 aprile
2009. Il codice stesso e’ preceduto dal testo “EORI” e dal
carattere»: «(in notazione esadecimale “0x3A”).».
3. Modifica all’art. 18 della deliberazione n. 45:
Dopo il comma 4 dell’art. 18 sono inseriti i seguenti commi:
«5. Entro il 1° settembre 2011 i certificatori accreditati
provvedono a codificare all’interno delle liste di revoca di cui al
presente articolo l’estensione ExpiredCertsOnCRL (OID 2.5.29.60),
prevista dallo standard X.509. L’estensione contiene la data a
partire dalla quale i certificati revocati o sospesi permangono nella
CRL ai sensi del comma 3».
«6. I certificatori comunicano a DigitPA la data di effettiva
applicazione del precedente comma 5 e la data contenuta
nell’estensione di cui al comma precedente.».
4. Modifica all’art. 27 della deliberazione n. 45:
a) Il comma 4 dell’art. 27 e’ sostituito dal seguente:
«4. Le applicazioni di cui al presente articolo indicate o
distribuite dai certificatori accreditati assicurano la possibilita’
di verifica positiva anche per le firme digitali basate sulle regole
vigenti prima dell’entrata in vigore della presente deliberazione
purche’ generate entro il 30 giugno 2011. Trascorsa tale data le
applicazioni informano circa l’eventuale mancato rispetto delle
regole tecnologiche.».
5. Modifica del titolo IX della deliberazione n. 45:
a) Dopo l’art. 28, e’ inserito il seguente:
«Art. 28-bis (Pubblicazione informazioni sull’attivita’ di
certificazione). – 1. I certificatori pubblicano le informazioni
previste dalla decisione della Commissione europea 2009/767/EC del 16
ottobre 2009 per il campo TSP information URI della TSL e comunicano
a DigitPA l’indirizzo internet (URI) ove le stesse sono rese
disponibili.».
6. Modifica all’art. 29 della deliberazione n. 45:
Il comma 3 dell’art. 29 e’ sostituito dal seguente:
«3. L’art. 4 commi 1 e 2-bis, devono essere applicati dopo
duecentosettanta giorni dall’entrata in vigore della presente
deliberazione. Fino a tale data continuano ad applicarsi le
previsioni in merito contenute nella deliberazione del CNIPA 17
febbraio 2005, n. 4.».
Dopo il comma 3 dell’art. 29 e’ inserito il seguente:
«3-bis. L’art. 4 comma 2, l’art. 5, l’art. 17, l’art. 21 comma 1
e l’art. 24 comma 2, possono essere applicati dopo duecentosettanta
giorni dall’entrata in vigore della presente deliberazione e devono
essere applicati entro il 31 dicembre 2010. Fino all’applicazione di
tali articoli continuano ad applicarsi le previsioni in merito
contenute nelle deliberazioni del CNIPA 17 febbraio 2005, n. 4 e 18
maggio 2006, n. 34.».
Il comma 4 dell’art. 29 e’ sostituito dal seguente:
«4. L’applicazione dei commi 3 e 3-bis del presente articolo puo’
essere anticipata fino a novanta giorni rispetto ai termini stabiliti
nei medesimi commi, nei casi in cui non e’ possibile una diffusione
tempestiva delle applicazioni a causa della complessita’ delle
attivita’ connesse. Al fine di non creare problemi di
interoperabilita’, tale anticipazione e’ consentita solo nell’ambito
di attivita’ relative al medesimo procedimento.».
La presente determinazione e’ pubblicata nella Gazzetta Ufficiale
della Repubblica italiana.

Roma, 28 luglio 2010

Il commissario straordinario: Pistella

DIGITPA – DETERMINAZIONE 28 luglio 2010

Chimici.info