Gazzetta n. 191 del 17 agosto 2010 (vai al sommario) DIGITPA DETERMINAZIONE 28 luglio 2010 Modifiche alla deliberazione 21 maggio 2009, n. 45 del Centro nazionale per l'informatica nella Pubblica Amministrazione, recante «Regole per il riconoscimento e la verifica del documento informatico». (Determinazione commissariale n. 69/2010). IL COMMISSARIO STRAORDINARIO Visto il decreto legislativo 1° dicembre 2009, n. 177 recante «Riorganizzazione del Centro nazionale per l'informatica nella pubblica amministrazione, a norma dell'art. 24 della legge 18 giugno 2009, n. 69; Considerato che il Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) ha assunto la denominazione «DigitPA» ai sensi dell'art. 2, comma 1, del predetto decreto legislativo 1° dicembre 2009, n. 177; Visto il decreto del Presidente del Consiglio dei Ministri in data 2 luglio 2010 con cui l'incarico di Commissario straordinario di DigitPA conferito con decreto del Presidente del Consiglio dei Ministri 9 marzo 2010 al prof. Fabio Pistella e' stato prorogato, con poteri di ordinaria e straordinaria amministrazione, fino all'approvazione del piano triennale di DigitPA per il triennio 2011-2013, e comunque non oltre il 31 dicembre 2010; Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni ed integrazioni, recante «Codice dell'amministrazione digitale» e, in particolare, la sezione II del capo II, che disciplina le firme elettroniche ed i certificatori, e l'art. 71, comma 1; Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009, recante «Regole tecniche in materia di generazione, apposizione, verifica delle firme digitali e validazione temporale» ed, in particolare, gli articoli 3, comma 2, e 38, comma 4; Vista la deliberazione 21 maggio 2009, n.45 del Centro nazionale per l'informatica nella pubblica amministrazione, recante «Regole per il riconoscimento e la verifica del documento informatico.»; Vista l'istanza dell'Agenzia delle dogane in data 21 luglio 2010 con la quale e' segnalata la necessita' di inserire il codice E.O.R.I. nei certificati di firma digitale; Preso atto che il regolamento (CE) n. 312/2009 dispone l'uso del codice E.O.R.I. (Economic Operator Registration and Identification) per l'individuazione degli operatori economici; Considerato che le dichiarazioni doganali di esportazione, di transito e le dichiarazioni sommarie di entrata e uscita sono sottoscritte con firma digitale; Ritenuto opportuno adeguare la normativa vigente al fine di consentire l'indicazione del codice E.O.R.I. nel certificato qualificato di firma digitale; Considerato che la Commissione europea, a seguito della direttiva n. 123/2006, sta emanando decisioni atte a consentire la verifica della firma digitale a livello comunitario; Ritenuto, pertanto, opportuno adeguare la normativa vigente agli standard internazionali al fine di rendere nota la previsione di cui all'art. 18, comma 3 della deliberazione 21 maggio 2009, n. 45 circa la permanenza delle informazioni di revoca nelle liste deputate, anche dopo la scadenza del certificato; Considerato che l'imminente scadenza del periodo transitorio di cui all'art. 29, comma 3 della deliberazione 21 maggio 2009, n. 45 puo' compromettere la validita' della firma digitale generata da utenti che non abbiano provveduto all'aggiornamento degli applicativi di firma digitale; Ritenuto opportuno rendere disponibile agli utenti un adeguato periodo di tempo per eseguire l'aggiornamento delle applicazioni di firma digitale; Considerato, altresi', che l'imminente scadenza del periodo transitorio di cui all'art. 29, comma 3 della deliberazione 21 maggio 2009, n. 45, puo' richiedere la sostituzione dei dispositivi sicuri per la generazione della firma digitale; Ritenuto necessario rendere disponibile un adeguato periodo di tempo per la sostituzione dei dispositivi sicuri per la generazione della firma digitale; Considerato, che la decisione della Commissione europea 2009/767/CE del 16 ottobre 2009 prescrive che i certificatori accreditati rendano disponibile la descrizione dei propri servizi almeno in lingua inglese; Valutata l'opportunita' di adeguare la deliberazione 21 maggio 2009, n. 45 del Centro nazionale per l'informatica nella pubblica amministrazione, recante «Regole per il riconoscimento e la verifica del documento informatico." pubblicata il 3 dicembre 2009 Gazzetta Ufficiale della Repubblica italiana - serie generale - n. 282; Esaminati gli atti; Considerata l'istruttoria svolta dall'ufficio competente; Su proposta del direttore generale; Determina: Di apportare le seguenti modifiche alla deliberazione 21 maggio 2009, n. 45 del Centro nazionale per l'informatica nella pubblica amministrazione, recante «Regole per il riconoscimento e la verifica del documento informatico», pubblicata il 3 dicembre 2009 nella Gazzetta Ufficiale della Repubblica italiana - serie generale - n. 282. 1. Modifica all'art. 4 della deliberazione n. 45: Il comma 2 dell'art. 4 e' sostituito dal seguente: «2. Le applicazioni di generazione della firma digitale per la sottoscrizione dei documenti informatici devono utilizzare la funzione di hash indicata al comma 1.»; Dopo il comma 2 dell'art. 4 e' inserito il seguente comma: «2-bis. Salvo quanto disposto dall'art. 27, comma 4, le applicazioni di verifica della firma digitale per la sottoscrizione dei documenti informatici devono utilizzare la funzione di hash indicata al comma 1.». 2. Modifica all'art. 12 della deliberazione n. 45: Dopo il comma 4 dell'art. 12 e' inserito il seguente comma: «4-bis. Il campo subjectDN (Dati identificativi del titolare) del certificato puo' contenere nell'attributo description (OID: 2.5.4.13) anche il codice E.O.R.I. (Economic Operator Registration and Identification) di cui al Regolamento (CE) n. 312/2009 del 16 aprile 2009. Il codice stesso e' preceduto dal testo "EORI" e dal carattere»: «(in notazione esadecimale "0x3A").». 3. Modifica all'art. 18 della deliberazione n. 45: Dopo il comma 4 dell'art. 18 sono inseriti i seguenti commi: «5. Entro il 1° settembre 2011 i certificatori accreditati provvedono a codificare all'interno delle liste di revoca di cui al presente articolo l'estensione ExpiredCertsOnCRL (OID 2.5.29.60), prevista dallo standard X.509. L'estensione contiene la data a partire dalla quale i certificati revocati o sospesi permangono nella CRL ai sensi del comma 3». «6. I certificatori comunicano a DigitPA la data di effettiva applicazione del precedente comma 5 e la data contenuta nell'estensione di cui al comma precedente.». 4. Modifica all'art. 27 della deliberazione n. 45: a) Il comma 4 dell'art. 27 e' sostituito dal seguente: «4. Le applicazioni di cui al presente articolo indicate o distribuite dai certificatori accreditati assicurano la possibilita' di verifica positiva anche per le firme digitali basate sulle regole vigenti prima dell'entrata in vigore della presente deliberazione purche' generate entro il 30 giugno 2011. Trascorsa tale data le applicazioni informano circa l'eventuale mancato rispetto delle regole tecnologiche.». 5. Modifica del titolo IX della deliberazione n. 45: a) Dopo l'art. 28, e' inserito il seguente: «Art. 28-bis (Pubblicazione informazioni sull'attivita' di certificazione). - 1. I certificatori pubblicano le informazioni previste dalla decisione della Commissione europea 2009/767/EC del 16 ottobre 2009 per il campo TSP information URI della TSL e comunicano a DigitPA l'indirizzo internet (URI) ove le stesse sono rese disponibili.». 6. Modifica all'art. 29 della deliberazione n. 45: Il comma 3 dell'art. 29 e' sostituito dal seguente: «3. L'art. 4 commi 1 e 2-bis, devono essere applicati dopo duecentosettanta giorni dall'entrata in vigore della presente deliberazione. Fino a tale data continuano ad applicarsi le previsioni in merito contenute nella deliberazione del CNIPA 17 febbraio 2005, n. 4.». Dopo il comma 3 dell'art. 29 e' inserito il seguente: «3-bis. L'art. 4 comma 2, l'art. 5, l'art. 17, l'art. 21 comma 1 e l'art. 24 comma 2, possono essere applicati dopo duecentosettanta giorni dall'entrata in vigore della presente deliberazione e devono essere applicati entro il 31 dicembre 2010. Fino all'applicazione di tali articoli continuano ad applicarsi le previsioni in merito contenute nelle deliberazioni del CNIPA 17 febbraio 2005, n. 4 e 18 maggio 2006, n. 34.». Il comma 4 dell'art. 29 e' sostituito dal seguente: «4. L'applicazione dei commi 3 e 3-bis del presente articolo puo' essere anticipata fino a novanta giorni rispetto ai termini stabiliti nei medesimi commi, nei casi in cui non e' possibile una diffusione tempestiva delle applicazioni a causa della complessita' delle attivita' connesse. Al fine di non creare problemi di interoperabilita', tale anticipazione e' consentita solo nell'ambito di attivita' relative al medesimo procedimento.». La presente determinazione e' pubblicata nella Gazzetta Ufficiale della Repubblica italiana. Roma, 28 luglio 2010 Il commissario straordinario: Pistella