| Gazzetta n. 261 del 9 novembre 2007 (vai al sommario) |
| MINISTERO DELL'INTERNO |
| DECRETO 8 novembre 2007 |
| Regole tecniche della Carta d'identita' elettronica. |
| IL MINISTRO DELL'INTERNO di concerto con IL MINISTRO PER LE RIFORME E LE INNOVAZIONI NELLA PUBBLICA AMMINISTRAZIONE e IL MINISTRO DELL'ECONOMIA E DELLE FINANZE Visto l'art. 2 della legge 15 maggio 1997, n. 127, come modificato dall'art. 2, comma 4, della legge 16 giugno 1998, n. 191; Visto il regio decreto 18 giugno 1931, n. 773, ed il regio decreto 6 maggio 1940, n. 635; Visto il decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437; Vista la legge 9 ottobre 2002, n. 222; Visti gli articoli 64, 65 e in particolare l'art. 66, comma 6, del decreto legislativo 7 marzo 2005, 82, e successive modificazioni, recante Codice dell'Amministrazione Digitale»; Considerato che la legge 31 marzo 2005, n. 43 ha disposto che dal 1° gennaio 2006 la carta d'identita' su supporto cartaceo venga sostituita, all'atto della richiesta del primo rilascio o del rinnovo del documento, dalla carta d'identita' elettronica; Ravvisata, pertanto, la necessita' e l'urgenza di aggiornare, sostituendolo con il presente decreto interministeriale che nella sua attivita' applicativa riguarda unicamente regole tecniche e di sicurezza relative a tecnologie e materiali, nonche' le relative modalita' di impiego, il decreto del Ministro dell'interno in data 19 luglio 2000, modificato con decreto ministeriale 14 maggio 2003, con decreto ministeriale 6 novembre 2003 e con decreto ministeriale 2 agosto 2005, recante regole tecniche e di sicurezza relative alla carta d'identita' e al documento di identita' elettronici, in attuazione delle disposizioni contenute nell'art. 7-vicies ter della legge n. 43 del 2005; Tenuto conto delle indicazioni e delle proposte presentate dal Gruppo interministeriale di lavoro incaricato di collaborare alla realizzazione della fase di consolidamento e razionalizzazione della sperimentazione della carta d'identita' elettronica, istituito con decreto ministeriale 25 gennaio 2002; Tenuto conto delle direttive dell'Unione europea in merito all'interoperabilita' tra documenti elettronici; Vista la Direttiva 98/34/CE del Parlamento Europeo e del Consiglio, del 22 giugno 1998, modificata dalla Direttiva 98/48/CE del Parlamento Europeo e del Consiglio, del 20 luglio 1998, attuata dalla legge 21 giugno 1986, n. 317, modificata dal decreto legislativo 23 novembre 2000, n. 427; Sentito il Garante per la protezione dei dati personali, che ha espresso parere favorevole in data 2 agosto; D'intesa con la Conferenza unificata di cui all'art. 8 del decreto legislativo 28 agosto 1997, n. 281, espressa nella seduta del 20 settembre 2007. Decreta: Art. 1. Definizioni 1. Ai sensi del presente decreto si intende: a) per «D.P.C.M.»: il decreto del Presidente del Consiglio dei Ministri del 22 ottobre 1999, n. 437; a)-bis per «CIE»: la carta d'identita' elettronica, ovvero il documento d'identita' di cui all'art. 1, comma 1, lettera c) del decreto legislativo 7 marzo 2005, n. 82; b) per «documento»: la carta d'identita' elettronica e/o il documento d'identita' elettronico di cui all'art. 2 del decreto del Presidente del Consiglio dei Ministri costituito dall'insieme del supporto fisico e dei supporti informatici; b)-bis per «C.N.S.D.»: il Centro nazionale dei servizi demografici costituito con il decreto ministeriale 23 aprile 2002; c) per «S.S.C.E.»: il sistema di servizi del C.N.S.D. per il circuito di emissione dei documenti; c)-bis per «I.N.A.»: l'Indice nazionale delle anagrafi istituito con legge 28 febbraio 2001, n. 26; c)-ter per «Backbone»: il backbone di sicurezza e certificazione per l'accesso ai servizi del C.N.S.D.; c)-quater per «Sistema di sicurezza»: il sistema dei servizi di sicurezza del C.N.S.D.; c)-quinquies per «Sistema di monitoraggio e allarme»: le funzioni di rilevazione degli allarmi di sicurezza e monitoraggio del funzionamento dei servizi del Sistema dei Servizi di sicurezza del C.N.S.D.; d) per «S.A.I.A.»: il sistema predisposto dal Ministero dell'interno per l'accesso e l'interscambio anagrafico; d)-bis per «porta applicativa»: la porta di accesso, attraverso il backbone, ai domini applicativi del C.N.S.D. utilizzata dal circuito di emissione CIE; d)-ter per «porta di dominio»: la porta di accesso, realizzata secondo le specifiche SPC, ai domini applicativi del C.N.S.D. a disposizione delle amministrazioni (fruitori del servizio) che richiedono funzioni di cooperazione al C.N.S.D. (erogatore del servizio) tramite accordo di servizio; e) per «Istituto»: l'Istituto Poligrafico e Zecca dello Stato; f) per «dati riferiti alla persona»: i dati identificativi della persona di cui all'art. 1, comma 1, lettera d) e gli altri elementi di cui all'art. 3, comma 1, lettere da b) ad h), del D.P.C.M.; g) per «carta-servizi»: l'insieme dei dati di cui alla precedente lettera f) - ad esclusione della fotografia e della firma - e delle informazioni amministrative di cui all'art. 1, comma 1, lettera e) e dell'art. 3, comma 4, del D.P.C.M.; h) per «codice cifrato»: i codici alfanumerici che identificano univocamente il microprocessore di ogni documento; i) per «cartellino elettronico»: la trasposizione, in formato digitale e cifrata, del cartellino cartaceo di cui all'art. 290 del regio decreto 6 maggio 1940, n. 635; j) per «P.I.N.»: il numero identificativo personale necessario alla fruizione dei servizi che ne richiedono l'utilizzo. k) per «Comitato tecnico permanente»: il Comitato istituito con decreto dirigenziale del Ministero dell'interno in data 20 marzo 2003 con il compito di stabilire la perfetta corrispondenza dei supporti fisici prodotti dall'Istituto alle caratteristiche indicate nell'allegato B al presente decreto, nonche' l'idoneita' tecnica e la compatibilita' con il sistema di rete delle attrezzature da utilizzare per l'emissione della C.I.E.; k)-bis per «Comitato tecnico-scientifico permanente»: il Comitato istituito ai sensi dell'art. 8-bis del presente decreto; k)-ter per «Comitato di indirizzo e monitoraggio» il Comitato istituito ai sensi dell'art. 8-ter del presente decreto; k)-quater per «Commissione di verifica e omologazione tecnica dei microprocessori» la Commissione istituita ai sensi dell'art. 8-quater del presente decreto; l) per «sito»: il sito Web della carta d'identita' elettronica accedibile all'indirizzo Internet www.interno.it; m) per «certificato qualificato» il certificato elettronico di cui all'art. 1, comma 1, lettera f), legge 7 marzo 2005, n. 82 e successive modificazioni; n) per «finalita' istituzionali»: utilizzo della CIE per nome e per conto del Ministero dell'interno; o) per «MAE»: il Ministero degli affari esteri; p) per «CAPA»: il Centro di allestimento e personalizzazione autonomo, realizzato presso il singolo Comune o anche in forma associata tra piu' Comuni, per i servizi di personalizzazione e stampa delle CIE da parte dei Comuni autonomi e Uffici consolari autonomi dotati di attrezzature di stampa autonome. q) per «CAPS»: il Centro di allestimento e personalizzazione sussidiario, gestito direttamente e garantito dall'Istituto Poligrafico e Zecca dello Stato, che offre servizi di personalizzazione e stampa delle CIE alle strutture (Comuni, Uffici consolari) che non stampano in autonomia le CIE. Il CAPS puo' offrire, su richiesta, servizi di backup ai CAPA; r) per «CA»: la struttura di Certification Authority del C.N.S.D.; s) per «DM Sicurezza»: il decreto 2 agosto 2005 (nella Gazzetta Ufficiale n. 218 del 19 settembre 2005 - Supplemento ordinario n. 155) - Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE, in attuazione del comma 2, dell'art. 7-vicies ter della legge 31 marzo 2005, n. 43; t) per «CSI»: il Centro Servizi di Informazione e logistica, gestito direttamente da IPZS, che coordina i processi di produzione dei supporti CIE. Gestisce inoltre i flussi di approvvigionamento dei supporti. Ospita un portale informativo per la gestione di informazioni logistiche (manutenzione apparati, tempi di consegna CIE, ...), realizzato in collaborazione con il Ministero dell'interno, a disposizione dei cittadini, dei Comuni emettitori e degli Uffici consolari. Garantisce, senza entrare nel merito del contenuto informativo della comunicazione e senza conservare traccia alcuna dei dati, l'inoltro delle comunicazioni dal C.N.S.D. ai CAPS e viceversa; u) per «postazione di emissione CIE»: apparato informatico dedicato al processo di emissione della CIE; possono essere postazioni per la sola fase di acquisizione dati (dedicate alla fase di front-office necessaria ad acquisire dal cittadino i dati riferiti alla sua persona), postazioni per la sola fase di allestimento e stampa (dedicate alla fase di scrittura del microprocessore e della banda ottica e al processo termografico di stampa della carta in bianco) o postazioni in grado di svolgere sia il processo di acquisizione dati che il processo di allestimento e stampa; v) per «laboratorio di sicurezza del C.N.S.D.»: laboratorio scientifico del C.N.S.D. per lo studio e l'applicazione di standard e metodologie di sicurezza, microchip, algoritmi crittografici che si confronta a livello internazionale sugli standard tecnici con gli organismi competenti; w) per «ICAO»: l'International Civil Aviation Organization; x) per «autenticazione in rete»: l'autenticazione informatica tramite CIE di cui all'art. 1, comma 1 del decreto legislativo 7 marzo 2005, n. 82 finalizzata all'accesso ai servizi erogati in rete dalle pubbliche amministrazioni ai sensi dell'art. 64 del decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni; y) per «identificazione»: il riconoscimento, anche in rete, tramite CIE, dell'identita' personale anagrafica del soggetto titolare della stessa ai sensi del Regolamento di esecuzione del testo unico delle leggi di P.S. (Regio decreto 18 giugno 1931, n. 773 e successive modificazioni) e dell'art. 66 del decreto legislativo 7 marzo 2005, n. 82. |
| Art. 2. Funzioni dei Comuni 1) Le funzioni di pertinenza dei Comuni possono essere esercitate anche in forma associata. 2) I Comuni, nel rispetto delle regole tecniche e di sicurezza di cui all'allegato B al presente decreto, predispongono in piena autonomia i servizi locali. |
| Art. 3. Modalita' di connessione 1. Le amministrazioni e gli enti che, ai sensi della normativa vigente e del D.P.C.M., esercitano funzioni e svolgono compiti nell'ambito delle procedure di produzione, trasmissione, formazione, rilascio, rinnovo, aggiornamento e relativa verifica dei documenti, per l'espletamento di tali attivita' utilizzano in rete i servizi di sicurezza e di emissione del C.N.S.D. con le modalita' di cui all'allegato B e, per quanto di loro competenza, devono provvedere all'aggiornamento dell'I.N.A. |
| Art. 4. Misure di sicurezza 1. Ai fini della produzione, del rilascio, dell'aggiornamento e del rinnovo dei documenti, il trattamento dei dati, da parte delle amministrazioni e degli enti indicati dall'art. 3, comma 1, e' effettuato nel rispetto del decreto legislativo 30 giugno 2003, n. 196, nonche' delle ulteriori prescrizioni tecniche descritte nell'allegato B. 2. Le strutture coinvolte nelle diverse parti della filiera necessaria alla formazione e rilascio della CIE devono ottemperare, per la protezione delle comunicazioni e per le funzioni di propria competenza, alle prescrizioni di cui al decreto ministeriale Sicurezza. I CAPS, CAPA e gli Uffici consolari sono tenuti a definire, per le componenti di propria pertinenza, appositi Piani di sicurezza basati sul modello dei Piani di sicurezza comunali e del Piano di sicurezza del C.N.S.D. I piani di sicurezza dei CAPA realizzati in forma associata tra piu' Comuni devono essere predisposti congiuntamente da tutti i Comuni associati. 3. Il Ministero dell'interno e i Comuni sono titolari del trattamento di dati personali da essi rispettivamente effettuato. |
| Art. 5. Servizi e modalita' di autenticazione 1. Ai sensi dell'art. 3, comma 4, e dell'art. 7, comma 1, del decreto del Presidente del Consiglio dei Ministri, tutti i servizi che non implicano la memorizzazione dei dati sui documenti sono predisposti in piena autonomia dalle amministrazioni. Le modalita' di autenticazione in rete per l'accesso ai servizi da parte del titolare del documento sono definite nell'allegato B. 2. Per i servizi che richiedono la memorizzazione di dati sui documenti e' necessaria l'installazione degli stessi da parte del Comune e, qualora relativi a dati sensibili, la richiesta dell'interessato. 3. I servizi nazionali che richiedono la memorizzazione di dati sui documenti sono predisposti con le modalita' e nel rispetto delle regole tecniche di cui all'allegato B. 4. Nell'attuazione dei servizi erogabili in rete non si procede in alcun caso al tracciamento e/o alla registrazione centralizzata presso il Ministero dell'interno di dati relativi all'utilizzo della carta per l'accesso ai servizi delle PP.AA., ne' dei servizi per cui e' stata richiesta l'autenticazione. |
| Art. 5-bis. Diffusione della documentazione 1. Tutta la documentazione ufficiale, normativa e tecnica, relativa alla carta d'identita' elettronica e' pubblicata sul sito. |
| Art. 6. C.N.S.D. 1. Il Ministero dell'interno, con le modalita' di cui all'allegato B, mette a disposizione delle Questure, dei Comuni, degli Uffici consolari e dell'Istituto l'infrastruttura organizzativa, informatica e di rete del C.N.S.D. e cura la realizzazione, la gestione e la manutenzione dei servizi di sicurezza e di emissione, nonche' rende disponibili ai Comuni, agli Uffici consolari e ai centri di allestimento: il software della porta applicativa di accesso al backbone, ai fini dell'utilizzazione dei servizi del C.N.S.D. da parte degli Enti emettitori; il software di supporto all'uso in rete del documento, ai cittadini, ai Comuni e alle amministrazioni ed enti interessati; il servizio di convalida I.N.A., attraverso backbone del C.N.S.D., direttamente dall'I.N.A.; il servizio di validazione dei certificati digitali CIE, realizzato sullo standard OCSP (RFC 2560) per i sistemi che erogano servizi tramite il documento. L'accesso a tale servizio avviene tramite credenziali di sicurezza fornite dal Ministero dell'interno o dallo stesso riconosciute ed e' reso disponibile direttamente dal Ministero dell'interno e attraverso strutture dallo stesso riconosciute ed e' fruibile sia su SPC che su altre reti per gli enti non connessi a SPC. Nell'attuazione del servizio di validazione dei certificati digitali CIE non si procede in alcun caso al tracciamento e/o alla registrazione centralizzata presso il Ministero dell'interno di dati relativi all'utilizzo della carta per l'accesso ai servizi delle PP.AA., ne' dei servizi per cui e' stata richiesta 1'autenticazione; i software di sicurezza e di emissione, finalizzati a garantire l'integrita', l'accessibilita' e la riservatezza delle informazioni nelle fasi di compilazione, allestimento, stampa, rilascio, aggiornamento, rinnovo e verifica dei documenti ai Comuni e ai CAPA nonche' finalizzati a garantire l'integrita' e la sicurezza delle comunicazioni telematiche tra C.N.S.D., Comuni e centri di allestimento; il servizio di notifica al CSI dell'operativita' delle postazioni di allestimento e stampa dei CAPA; pubblica il file system del documento. Il Ministero dell'interno C.N.S.D. fornisce ai Comuni che acquisiscono in autonomia postazioni di emissione conformi alle specifiche tecniche pubblicate sul sito il necessario software di sicurezza ed emissione, nonche' i relativi aggiornamenti. In relazione alle banche dati del C.N.S.D. relative ai processi della CIE e quelle che vengono utilizzate anche in altri servizi del C.N.S.D. (quali l'I.N.A., l'A.I.R.E. e le banche dati per la validazione dei certificati digitali), il Sistema di sicurezza del C.N.S.D. fornisce le infrastrutture fisiche e logiche per assicurare sia l'effettiva separazione tra queste ultime banche dati e le banche dati del C.N.S.D. relative ai processi della CIE, sia l'impossibilita' della loro consultabilita' incrociata. 2. Ai sensi dell'art. 6, comma 1, del decreto del Presidente del Consiglio dei Ministri le questure, nei casi previsti dallo stesso articolo, procedono all'interdizione dell'operativita' del documento secondo le modalita' descritte nell'allegato B. 3. Le questure, ai sensi dell'art. 290 del regio decreto 6 maggio 1940, n. 635, conservano il cartellino elettronico, a cui accedono in via esclusiva, relativo ai documenti rilasciati dai Comuni della stessa provincia. |
| Art. 6-bis. Utilizzo delle infrastrutture di servizio C.N.S.D. da parte di altri circuiti di emissione 1. Il supporto informatico del documento ne rende possibile l'utilizzo, con le modalita' di cui all'allegato B, da parte di altri circuiti. 2. Le modalita' operative di accesso e di utilizzo delle infrastrutture di servizio del C.N.S.D. devono di volta in volta essere concordate con il Ministero dell'interno. I CAPS possono comunicare telematicamente con il C.N.S.D. per il tramite del CSI, fermo restando che al CSI non e' consentito entrare nel merito del contenuto informativo della comunicazione e conservare traccia alcuna dei dati: a tale scopo viene utilizzato il software di sicurezza di cui all'art. 6, comma 1. |
| Art. 7. Supporto fisico 1. Il supporto fisico del documento e' costituito da una carta plastica conforme alle norme ISO/IEC 7816-1, 7816-2 e ISO/ID-001 ed e' integrato dai supporti informatici di cui all'art. 8. 2. Il supporto fisico e' stampato con le tecniche tipiche della produzione di carte valori ed e' dotato degli elementi fisici di sicurezza atti a consentire il controllo dell'autenticita' del documento visivamente e mediante strumenti portatili e di laboratorio. 3. Il documento ha le caratteristiche grafiche di cui al modello approvato con il presente decreto e di cui all'allegato A. |
| Art. 8. Supporti informatici Il supporto fisico di cui all'art. 7 e' dotato di una banda ottica per la memorizzazione, con modalita' informatiche di sicurezza, dei dati riportati graficamente sul documento, nonche' di un microprocessore per la memorizzazione della carta-servizi e per le operazioni connesse alle procedure di identificazione in rete del titolare del documento. Gli standard internazionali, le caratteristiche tecniche e l'architettura logica dei predetti supporti informatici sono conformi alle specifiche indicate nell'allegato B. |
| Art. 8-bis. Comitato tecnico-scientifico permanente 1. E' istituito, con decreto del Ministro dell'interno, un Comitato tecnico-scientifico permanente, struttura tecnica del Ministero dell'interno di raccordo con i soggetti attuatori per la gestione operativa del progetto CIE e di supporto al Comitato di indirizzo e monitoraggio. Il Comitato tecnico-scientifico permanente e' composto da rappresentanti ed esperti nominati dal Ministero dell'interno e da esperti indicati da IPZS, CNIPA e da ANCI in rappresentanza dei Comuni. Alle sedute del Comitato partecipa inoltre il responsabile del coordinamento scientifico e progettuale dei progetti C.N.S.D. e CIE. Al Comitato sono affidati anche i seguenti compiti: definire e aggiornare costantemente gli standard tecnologici e le linee-guida per le attivita' correlate: a) alla produzione e alla formazione dei supporti fisici; b) alle caratteristiche della banda ottica; c) alle caratteristiche del microprocessore e del file system; d) alle caratteristiche dei dispositivi di acquisizione e stampa; e) alla definizione delle modalita' di utilizzo della CIE come strumento di firma digitale. certificare le stampanti termografiche e i dispositivi di acquisizione dati biometrici, prima della loro distribuzione sul territorio. 2. Le determinazioni tecniche assunte dal Comitato sono pubblicate nel sito del Ministero dell'interno. Il Ministero dell'interno, nel caso si tratti di determinazioni relative alla definizione e all'aggiornamento di standard tecnologici o di linee guida le sottopone, prima della pubblicazione, al parere del Garante per la protezione dei dati personali. 3. Il Ministero dell'interno invia per conoscenza al Garante per la protezione dei dati personali tutte le determinazioni del Comitato relative a decisioni e pareri di monitoraggio, applicazione e valutazione dello stato di avanzamento del progetto CIE, che non ricadono tra quelle di cui al comma 2. 4. Il funzionamento e la partecipazione al predetto Comitato non comportera' oneri a carico dell'Amministrazione dello Stato. |
| Art. 8-ter. Comitato di indirizzo e monitoraggio 1. E' istituito, con decreto del Ministro dell'interno, un Comitato di indirizzo e di monitoraggio. I componenti del Comitato di indirizzo e di monitoraggio sono i seguenti: un presidente designato dal Ministro dell'interno; un rappresentante nominato dal Ministro dell'interno e un supplente; un rappresentante nominato dal Ministro dell'economia e delle finanze e un supplente; un rappresentante nominato dal Ministro per le riforme e le innovazioni nella pubblica amministrazione e un supplente; un rappresentante nominato dal Ministro per gli affari regionali e le autonomie locali e un supplente; un rappresentante nominato dalle Regioni e un supplente; un rappresentante nominato dall'ANCI e un supplente. Alle sedute del Comitato partecipa inoltre il responsabile del coordinamento scientifico e progettuale dei progetti C.N.S.D. e CIE. Il Comitato di indirizzo e monitoraggio: a) valuta lo stato di avanzamento del progetto CIE nei diversi ambiti e aspetti; b) valuta le modalita' di utilizzo della CIE come strumento di firma digitale; c) controlla che i servizi erogati tramite CIE siano correttamente svolti, nel rispetto degli standard definiti dal Ministero dell'interno e dal Ministro per le riforme e le innovazioni nella Pubblica Amministrazione; d) monitora le attivita' relative ai progetti per la diffusione dei servizi accessibili on line; e) definisce i livelli di servizio delle componenti del progetto CIE e ne effettua il monitoraggio; f) definisce e approva le linee guida sull'erogazione dei servizi on line e l'utilizzo della CIE; g) controlla il rispetto degli standard di utilizzo della CIE. 2. Il Ministero dell'interno sottopone al parere del Garante per la protezione dei dati personali tutte le determinazioni del Comitato relative alla definizione e all'aggiornamento di standard tecnologici o di linee guida. 3. Il Ministero dell'interno invia per conoscenza al Garante per la protezione dei dati personali tutte le determinazioni del Comitato relative a decisioni e pareri di monitoraggio, applicazione e valutazione dello stato di avanzamento del progetto CIE, che non ricadono tra quelle di cui al comma 2. 4. Il funzionamento e la partecipazione al predetto Comitato non comportera' oneri a carico dell'Amministrazione dello Stato. |
| Art. 8-quater. Commissione di verifica e omologazione tecnica dei microprocessori 1. E' istituita, con provvedimento del Ministero dell'interno, una Commissione di verifica e omologazione tecnica dei microprocessori. I componenti della Commissione, presieduta da un funzionario del Ministero dell'interno, sono i seguenti: un esperto del Ministero dell'interno e un supplente; un esperto del Ministero dell'economia e delle finanze e un supplente; un esperto del CNIPA in rappresentanza del Ministero per le riforme e le innovazioni nella pubblica amministrazione e un supplente; un esperto dell'Istituto Poligrafico e Zecca dello Stato e un supplente. Alle sedute della Commissione partecipa inoltre il responsabile del coordinamento scientifico e progettuale dei progetti C.N.S.D. e CIE. 2. Il Ministero dell'interno invia per conoscenza al Garante per la protezione dei dati personali tutte le determinazioni della Commissione relative a decisioni e pareri di monitoraggio, applicazione e valutazione dello stato di avanzamento del progetto CIE. 3. Il funzionamento e la partecipazione al predetto Comitato non comportera' oneri a carico dell'Amministrazione dello Stato. |
| Art. 9. Inizializzazione del documento 1. L'Istituto, cui e' riservata la produzione dei documenti a norma dell'art. 11 del presente decreto, provvede alla inizializzazione delle componenti fisiche ed informatiche del documento secondo le procedure di sicurezza descritte nell'allegato B. A seguito della inizializzazione il documento acquisisce la qualita' di documento in bianco. 2. I supporti fisici prodotti nella prima fase di sperimentazione recano la numerazione da AA0000001 a AA0155940. I supporti fisici prodotti nella seconda fase della sperimentazione sono numerati in progressione a partire da 0000001AA. I supporti fisici prodotti a partire dall'entrata in vigore del presente decreto proseguiranno la numerazione della seconda fase della sperimentazione. I numeri non attribuiti non possono essere riassegnati e verranno pubblicati con cadenza trimestrale nella Gazzetta Ufficiale con apposito decreto dirigenziale del Ministero dell'interno. |
| Art. 10. Configurazione hardware e software per la formazione del documento 1. Ai fini della formazione dei documenti: i Comuni e gli Uffici consolari utilizzano le specifiche configurazioni delle postazioni di acquisizione dati approvate dal Ministero dell'interno; i Comuni, e gli Uffici consolari, dotati di CAPA utilizzano le specifiche configurazioni delle postazioni di acquisizione dati e delle postazioni di allestimento e stampa approvate dal Ministero dell'interno. 2. Ai fini della compilazione, rilascio, aggiornamento e rinnovo dei documenti, nonche' delle comunicazioni con il C.N.S.D., i Comuni e gli Uffici consolari utilizzano il software di sicurezza di cui all'art. 6, comma 1. 3. Ai fini della riservatezza dei flussi di dati necessari per l'allestimento e della stampa dei documenti, nonche' di tutte le altre comunicazioni con il C.N.S.D., i CAPS utilizzano, tenendo conto delle funzioni del CSI, il software di sicurezza di cui all'art. 6, comma 1. 4. L'Istituto, per le postazioni di emissione che fornisce direttamente, cura la fase di installazione del software, ricevuto dal Ministero dell'interno, sulle postazioni di acquisizione dati e sulle postazioni di allestimento e stampa destinate ai Comuni, Uffici consolari e CAPA, prima della loro attivazione. |
| Art. 11. Produzione del documento 1. La produzione del documento e' riservata all'Istituto che vi provvede ottemperando alle norme che disciplinano la produzione delle carte valori e dei documenti di sicurezza della Repubblica italiana e agli standard internazionali di sicurezza previsti per l'emissione di carte di pagamento. 2. Nella fase di produzione a regime dei documenti elettronici di cui al presente decreto, l'Istituto, nell'ambito di proprio stabilimento, costituisce uno speciale settore con accesso limitato ai dipendenti addetti alle specifiche lavorazioni e sorvegliato dalle Forze di Polizia, dotato altresi' delle sicurezze fisiche antieffrazione e dei sistemi di sorveglianza elettronici definiti di intesa con il Ministero dell'interno. |
| Art. 12. Trasmissione del documento in bianco in periferia e sua custodia da parte del Comune 1. La trasmissione alle Prefetture dei documenti in bianco e' effettuata dal Provveditorato Generale dello Stato, d'intesa con l'Istituto, in condizioni di sicurezza, mediante affidamento dei plichi a vettori specializzati nel trasporto di valori. Il Comune ritira presso la Prefettura i documenti in bianco ad esso assegnati. Nel caso di CAPA realizzato in forma associata il Comune responsabile del CAPA ritira presso la Prefettura sia i documenti in bianco ad esso assegnati che quelli assegnati agli altri Comuni associati nel CAPA, in base alle specifiche autorizzazioni ricevute dai singoli Comuni associati. 2. I Comuni dotati di proprio CAPA e i CAPA realizzati in forma associata adottano ogni idonea misura per la custodia dei documenti in bianco in condizioni di sicurezza in conformita' al Piano di sicurezza di cui al «DM Sicurezza». 3. Il CAPS adotta ogni idonea misura per la custodia dei documenti in bianco in condizioni di sicurezza in conformita' al Piano di sicurezza di cui al «DM Sicurezza». |
| Art. 13. Procedura di sicurezza per la formazione e rilascio del documento 1. La formazione ed il rilascio del documento avvengono nel rispetto della seguente procedura di sicurezza: a) il Comune, utilizzando le funzionalita' del software di sicurezza di cui all'art. 10, comma 2, acquisisce al front-office i dati anagrafici e biometrici del richiedente; b) il Comune, utilizzando le funzionalita' del software di sicurezza di cui all'art. 10, comma 2, genera un messaggio informatico cifrato, costituito dai dati riferiti alla persona del richiedente e dai codici cifrati necessari all'identificazione del documento e lo invia in via telematica al Sistema di sicurezza del C.N.S.D.; c) i dati, ad eccezione del codice fiscale e del numero identificativo del documento, vengono registrati cifrati dal Sistema di sicurezza del C.N.S.D.; l'accesso ai predetti dati in chiaro e' consentito esclusivamente alla questura territorialmente competente e al Comune emettitore; d) il Comune che si avvale di un proprio CAPA, ricevuta la necessaria abilitazione ad emettere il documento da parte della CA del C.N.S.D., riporta i dati identificativi della persona sul microprocessore e sulla banda ottica secondo le modalita' indicate nell'allegato B ed effettua la stampa di tali dati sul supporto fisico. Il sistema di monitoraggio e allarme, mediante i suoi moduli periferici, rileva la stampa della carta e la segnala al sistema di contabilizzazione del C.N.S.D.; e) il Comune, al front office, genera il P.I.N., lo stampa su carta chimica retinata in grado di garantire la riservatezza dell'informazione, segnala l'avvenuta emissione al Sistema di sicurezza del C.N.S.D. e lo consegna, insieme al documento, al titolare. Il sistema di monitoraggio e allarme, mediante i suoi moduli periferici, rileva l'emissione della carta e la segnala al sistema di contabilizzazione del C.N.S.D.. Il C.N.S.D. invia periodicamente tali dati di contabilizzazione all'Istituto, per alimentare il sistema di contabilizzazione del MEF; f) Il Comune che procede in forma associata alla stampa della CIE, per la generazione del P.I.N. e la consegna della carta dovra' attendere di riceverla dal Comune responsabile del CAPA. 2. I Comuni che si avvalgono dei CAPS dell'Istituto ai fini della formazione del documento, utilizzano una configurazione hardware, per la componente di acquisizione dei dati e di rilascio del documento, conforme ad uno standard minimo corrispondente alle specifiche tecniche pubblicate sul sito e che rispetta i richiesti standard di sicurezza. Per i Comuni che si avvalgono dei CAPS, dopo che sono state effettuate le operazioni di cui al comma 1, punti a) e b): a) il Sistema di sicurezza del C.N.S.D., a fronte dei messaggi informatici cifrati di cui al comma 1, lettera b), ancora privi del codice cifrato necessario per l'identificazione in rete del documento, predispone, a partire da tali messaggi informatici, un elenco classificato per Comune; segnala, a cadenze temporali prefissate, in via telematica al CAPS il numero di carte da stampare, e i relativi Comuni emettitori, desunti dall'elenco dei suddetti messaggi informatici; b) il CAPS associa all'elenco ricevuto dal C.N.S.D. i codici cifrati necessari per l'identificazione in rete dei documenti e li invia al C.N.S.D. richiedendo alla CA del C.N.S.D. l'abilitazione all'allestimento dei documenti; c) i dati, ad eccezione del codice fiscale e del numero identificativo del documento, vengono registrati cifrati dal Sistema di sicurezza del C.N.S.D.; l'accesso ai predetti dati in chiaro e' consentito esclusivamente alla questura territorialmente competente e al Comune emettitore; d) il CAPS, ricevuta la necessaria abilitazione ad emettere il documento da parte della CA del C.N.S.D., abilitazione firmata dal Sistema di sicurezza del C.N.S.D., riporta i dati identificativi della persona sul microprocessore e sulla banda ottica secondo le modalita' indicate nell'allegato B ed effettua la stampa ditali dati sul supporto fisico; e) I CAPS e i CAPA non conservano traccia dei dati utilizzati per la formazione del documento ne' forniscono a terzi tali dati, anche in modo parziale. Il CSI non conserva traccia dei dati ricevuti dal C.N.S.D. e trasmessi ai CAPS e viceversa. I CAPS generano un messaggio di conferma dell'avvenuta stampa e lo inviano al sistema di monitoraggio e allarme del C.N.S.D. per la contabilizzazione. I CAPS inviano al C.N.S.D. anche l'elenco delle carte la cui stampa e' andata in errore. Il C.N.S.D. integrera' tali carte in un successivo elenco che seguira' le stesse modalita' di lavorazione dal punto a) in avanti; f) lo sportello di front-office del Comune, alla ricezione delle carte allestite dal CAPS o dal CAPA, genera il P.I.N., lo stampa su carta chimica retinata in grado di garantire la riservatezza dell'informazione, segnala l'avvenuta emissione al Sistema di sicurezza del C.N.S.D. e lo consegna, insieme al documento, al titolare. Il sistema di monitoraggio e allarme, mediante i suoi moduli periferici, rileva l'emissione della carta e la segnala al sistema di contabilizzazione del C.N.S.D.. Il C.N.S.D. invia periodicamente tali dati di contabilizzazione all'Istituto, per alimentare il sistema di contabilizzazione del MEF. 3. L'Istituto, che gestisce direttamente i CAPS, assicura, per quanto di competenza, a regime un livello di servizio che consente la disponibilita' presso le Prefetture dei documenti formati entro il termine di (5) cinque giorni lavorativi successivi alla ricezione dell'abilitazione di cui al punto d, comma 2, e, comunque, non superiore ai quindici giorni lavorativi nel transitorio, dandone comunicazione ai competenti Uffici del Ministero dell'interno e di quello dell'economia e delle finanze. I Comuni ritirano presso le Prefetture, secondo le modalita' indicate dal Ministero dell'interno, i documenti formati di loro competenza. 4. I Comuni che fanno ricorso a propri CAPA, assicurano, per quanto di competenza, livelli di servizio che consentano la disponibilita' presso le proprie sedi comunali dei documenti formati entro il termine di due giorni lavorativi successivi alla ricezione dell'abilitazione di cui al comma 1, punto d. 5. I CAPS e i CAPA sono tenuti alla presentazione al Ministero dell'interno, coerentemente con le prescrizioni del «DM Sicurezza», dei piani di sicurezza per i processi di allestimento da essi svolti. L'approvazione di tali Piani di sicurezza da parte del Ministero dell'interno costituisce un prerequisito inderogabile per l'inizio delle loro attivita' nei confronti dei Comuni. 6. Gli Uffici consolari abilitati all'emissione della CIE sono tenuti alla presentazione al Ministero dell'interno, coerentemente con le prescrizione del «DM Sicurezza», dei Piani di sicurezza per i processi da essi svolti. 7. Il Sistema di sicurezza del C.N.S.D. fornisce ai CAPS e ai CAPA le quantita' di sicurezza, generate dalla CA del C.N.S.D., necessarie alla loro autenticazione e alla sicurezza delle comunicazioni di rete con il C.N.S.D. stesso. |
| Art. 14. Validita' della CIE 1. L'eventuale estensione della durata della validita' della CIE comporta l'aggiornamento delle regole tecniche di cui al presente decreto e dei relativi allegati. |
| Art. 15. Emissione della CIE da parte dei Consolati 1. I Consolati italiani sono autorizzati all'emissione della CIE per i cittadini italiani che ne facessero richiesta presso gli Uffici Consolari stessi. 2. Con decreto interministeriale del Ministro dell'interno e del Ministro degli affari esteri verranno definite le modalita' organizzative e tecniche di dettaglio per l'emissione della CIE da parte degli Uffici Consolari. |
| Art. 16. Abrogazioni 1. Il presente decreto e relativi allegati sostituisce integralmente il decreto del Ministro dell'interno in data 19 luglio 2000, modificato con decreto ministeriale 14 maggio 2003, con decreto ministeriale 6 novembre 2004 e con decreto ministeriale 2 agosto 2005, recante regole tecniche e di sicurezza relative alla carta d'identita' e al documento di identita' elettronici. Roma, 8 novembre 2007 Il Ministro dell'interno Amato Il Ministro per le riforme e le innovazioni nella pubblica amministrazione Nicolais Il Ministro dell'economia e delle finanze Padoa Schioppa |
| Allegato A ----> Vedere allegato da pag. 15 a pag. 20 <---- |
| Allegato B ----> Vedere allegato da pag. 21 a pag. 72 <---- |
|