Gazzetta n. 76 del 30 marzo 2012 (vai al sommario) MINISTERO DELL'INTERNO DECRETO 19 gennaio 2012, n. 32 Nuovo regolamento di gestione dell'Indice nazionale delle anagrafi. IL MINISTRO DELL'INTERNO di concerto con IL MINISTRO PER LA PUBBLICA AMMINISTRAZIONE E LA SEMPLIFICAZIONE e IL MINISTRO DELL'ISTRUZIONE, DELL'UNIVERSITA' E DELLA RICERCA Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400; Visto l'articolo 50, comma 5, del decreto-legge 31 maggio 2010, n. 78, convertito in legge 30 luglio 2010, n. 122, recante «Misure urgenti in materia di stabilizzazione finanziaria e di competitivita' economica», che prevede l'emanazione di disposizioni di armonizzazione del regolamento di gestione dell'INA, emanato con decreto del Ministro dell'interno 13 ottobre 2005, n. 240; Vista la legge 24 dicembre 1954, n. 1228, recante «Ordinamento delle anagrafi della popolazione residente», ed in particolare l'articolo 1, comma 5, come modificato dall'articolo 1-novies del decreto-legge 31 marzo 2005, n. 44, convertito con modificazioni in legge 31 maggio 2005, n. 88, e l'articolo 1, comma 6, come modificato dall'articolo 50, comma 5, del decreto-legge 31 maggio 2010, n. 78, convertito con la legge 30 luglio 2010, n. 122; Visto il decreto del Presidente della Repubblica 30 maggio 1989, n. 223, recante l'approvazione del nuovo regolamento anagrafico della popolazione residente; Visto il decreto legislativo 6 settembre 1989, n. 322, recante «Norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica» e successive modifiche e integrazioni; Vista la legge 7 agosto 1990, n. 241 e successive modificazioni, recante «Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi»; Visto il decreto-legge 15 gennaio 1993, n. 6, convertito in legge 17 marzo 1993, n. 63, recante «Disposizioni urgenti per il recupero degli introiti contributivi in materia previdenziale», e, in particolare, l'articolo 2 che disciplina lo scambio dei dati nei rapporti tra le pubbliche amministrazioni e tra queste e altri soggetti pubblici o privati, sulla base del codice fiscale quale elemento identificativo di ogni soggetto; Visto l'articolo 2, comma 5, della legge 15 maggio 1997, n. 127 e successive modificazioni, recante «Misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo»; Visto il decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437, recante «Regolamento recante caratteristiche e modalita' per il rilascio della carta d'identita' elettronica e del documento d'identita' elettronico»; Visto il decreto del Ministro dell'interno in data 8 novembre 2007 recante «Regole tecniche della carta di identita' elettronica»; Visto il decreto del Ministro dell'interno in data 6 ottobre 2000, recante «Specifiche tecniche per l'allineamento dei dati contenuti nelle anagrafi comunali con quelli contenuti nell'archivio dell'Agenzia delle entrate»; Visto il decreto del Presidente della Repubblica 3 novembre 2000, n. 396, recante «Regolamento per la revisione e la semplificazione dell'ordinamento dello stato civile, a norma dell'articolo 2, comma 12, della legge 15 maggio 1997, n. 127; Visto l'articolo 25 della legge 24 novembre 2000, n. 340, recante «Disposizioni per la delegificazione di norme e per la semplificazione di procedimenti amministrativi - Legge di semplificazione 1999»; Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante «Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa»; Visto il decreto del Ministro dell'interno in data 18 dicembre 2000, recante «Modalita' di comunicazione dei dati relativi ai cittadini stranieri extracomunitari fra gli uffici anagrafici dei comuni, gli archivi dei lavoratori extracomunitari e gli archivi dei competenti organi centrali e periferici del Ministero dell'interno, nonche' le modalita' tecniche ed il termine per l'aggiornamento e la verifica delle posizioni anagrafiche dei cittadini stranieri gia' iscritti nei registri della popolazione residente; Visto il decreto del Ministro dell'interno in data 23 aprile 2002 con il quale viene costituito presso il Dipartimento per gli Affari Interni e Territoriali - Direzione Centrale per i Servizi Demografici il Centro Nazionale per i Servizi Demografici; Visto il decreto-legge 31 marzo 2003, n. 52, articolo 2 comma 1, convertito in legge 30 maggio 2003, n. 122, che, per il completamento dell'informatizzazione e l'aggiornamento dell'AIRE, prevede l'utilizzo dell'infrastruttura informatica di base dell'Indice Nazionale delle Anagrafi (INA); Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali» e successive modificazioni; Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice dell'amministrazione digitale», e successive modificazioni; Visto il decreto del Ministro dell'interno 2 agosto 2005, recante «Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE, in attuazione del comma 2 dell'articolo 7-viciester della legge 31 marzo 2005, n. 43»; Visto l'articolo 16-bis, del decreto-legge 29 novembre 2008, n. 185, convertito in legge 28 gennaio 2009, n. 2, recante «Misure urgenti per il sostegno a famiglie, lavoro, occupazione e impresa e per ridisegnare in funzione anticrisi il quadro strategico nazionale»; Visto il decreto del Presidente della Repubblica del 7 settembre 2010, n. 166, recante il «Regolamento recante il riordino dell'Istituto nazionale di statistica»; Visto il Regolamento (CE) 763/2008 del Parlamento europeo e del Consiglio del 9 luglio 2008 relativo ai censimenti della popolazione e delle abitazioni; Visto il Regolamento (CE) 223/2009 del Parlamento europeo e del Consiglio dell'11 marzo 2009 relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all'Istituto statistico delle Comunita' europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunita' europee; Sentito l'Istituto Nazionale di Statistica, che si e' espresso con parere n. SP/559.2011 del 20 maggio 2011; Sentito il DigitPA - Ente nazionale per la digitalizzazione della pubblica amministrazione - che si e' espresso con parere del 24 maggio 2011; Sentito il Garante per la protezione dei dati personali, che si e' espresso con parere n. 250 del 24 giugno 2011; Vista la nota del 20 luglio 2011 con cui il Ministero per la pubblica amministrazione e l'innovazione ha espresso il proprio concerto sullo schema di decreto; Udito il parere n. 3703/2011 emesso dalla Sezione Consultiva per gli Atti Normativi del Consiglio di Stato nell'adunanza 27 settembre 2011; A d o t t a il seguente regolamento: Art. 1 Definizioni 1. Ai fini del presente decreto verranno utilizzate le seguenti definizioni: ISTAT: Istituto Nazionale di Statistica; CNSD: Centro Nazionale per i Servizi Demografici; INA: Indice Nazionale delle Anagrafi; Backbone CNSD: Infrastruttura informatica di base dell'Indice Nazionale delle Anagrafi; APR: Anagrafe della popolazione residente; AIRE: Anagrafe degli Italiani Residenti all'Estero. Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse: Si riporta il testo dell'articolo 17 della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri), pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n. 214, S.O.: «Art. 17 (Regolamenti) - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possono essere emanati regolamenti per disciplinare: a) l'esecuzione delle leggi e dei decreti legislativi, nonche' dei regolamenti comunitari; b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale; c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, sempre che non si tratti di materie comunque riservate alla legge; d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge; e). 2. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, sentito il Consiglio di Stato e previo parere delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, sono emanati i regolamenti per la disciplina delle materie, non coperte da riserva assoluta di legge prevista dalla Costituzione, per le quali le leggi della Repubblica, autorizzando l'esercizio della potesta' regolamentare del Governo, determinano le norme generali regolatrici della materia e dispongono l'abrogazione delle norme vigenti, con effetto dall'entrata in vigore delle norme regolamentari. 3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del ministro o di autorita' sottordinate al ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale. 4-bis. L'organizzazione e la disciplina degli uffici dei Ministeri sono determinate, con regolamenti emanati ai sensi del comma 2, su proposta del Ministro competente d'intesa con il Presidente del Consiglio dei ministri e con il Ministro del tesoro, nel rispetto dei principi posti dal decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, con i contenuti e con l'osservanza dei criteri che seguono: a) riordino degli uffici di diretta collaborazione con i Ministri ed i Sottosegretari di Stato, stabilendo che tali uffici hanno esclusive competenze di supporto dell'organo di direzione politica e di raccordo tra questo e l'amministrazione; b) individuazione degli uffici di livello dirigenziale generale, centrali e periferici, mediante diversificazione tra strutture con funzioni finali e con funzioni strumentali e loro organizzazione per funzioni omogenee e secondo criteri di flessibilita' eliminando le duplicazioni funzionali; c) previsione di strumenti di verifica periodica dell'organizzazione e dei risultati; d) indicazione e revisione periodica della consistenza delle piante organiche; e) previsione di decreti ministeriali di natura non regolamentare per la definizione dei compiti delle unita' dirigenziali nell'ambito degli uffici dirigenziali generali . 4-ter. Con regolamenti da emanare ai sensi del comma 1 del presente articolo, si provvede al periodico riordino delle disposizioni regolamentari vigenti, alla ricognizione di quelle che sono state oggetto di abrogazione implicita e all'espressa abrogazione di quelle che hanno esaurito la loro funzione o sono prive di effettivo contenuto normativo o sono comunque obsolete .». Si riporta il testo dell'art. 50 del decreto-legge 31 maggio 2010, n. 78, convertito con Legge 30 luglio 2010, n. 122 (Misure urgenti in materia di stabilizzazione finanziaria e di competitivita' economica) pubblicata nella Gazzetta Ufficiale 30 luglio 2010, n. 176, S.O.: «Art. 50(Censimento). - 1. E' indetto il 15° Censimento generale della popolazione e delle abitazioni, di cui al Regolamento (CE) 9 luglio 2008, n. 763/08 del Parlamento europeo e del Consiglio, nonche' il 9° censimento generale dell'industria e dei servizi ed il censimento delle istituzioni non-profit. A tal fine e' autorizzata la spesa di 200 milioni di euro per l'anno 2011, di 277 milioni per l'anno 2012 e di 150 milioni per l'anno 2013. 2. Ai sensi dell'articolo 15, comma 1, lettere b), c) ed e) del decreto legislativo 6 settembre 1989, n. 322, l'ISTAT organizza le operazioni di ciascun censimento attraverso il Piano generale di censimento e apposite circolari, nonche' mediante specifiche intese con le Province autonome di Trento e di Bolzano per i territori di competenza e nel rispetto della normativa vigente. Nel Piano Generale di Censimento vengono definite la data di riferimento dei dati, gli obiettivi, il campo di osservazione, le metodologie di indagine e le modalita' di organizzazione ed esecuzione delle operazioni censuarie, gli adempimenti cui sono tenuti i rispondenti nonche' gli uffici di censimento, singoli o associati, preposti allo svolgimento delle procedure di cui agli articoli 7 e 11 del decreto legislativo 6 settembre 1989, n. 322, gli obblighi delle amministrazioni pubbliche di fornitura all'ISTAT di basi dati amministrative relative a soggetti costituenti unita' di rilevazione censuaria. L'ISTAT, attraverso il Piano e apposite circolari, stabilisce altresi': a) le modalita' di costituzione degli uffici di censimento, singoli o associati, preposti allo svolgimento delle operazioni censuarie e i criteri di determinazione e ripartizione dei contributi agli organi di censimento, i criteri per l'affidamento di fasi della rilevazione censuaria a enti e organismi pubblici e privati, d'intesa con la Conferenza Unificata, sentito il Ministero dell'economia e delle finanze; b) in ragione delle peculiarita' delle rispettive tipologie di incarico, le modalita' di selezione ed i requisiti professionali del personale con contratto a tempo determinato, nonche' le modalita' di conferimento dell'incarico di coordinatore e rilevatore, anche con contratti di collaborazione coordinata e continuativa, limitatamente alla durata delle operazioni censuarie e comunque con scadenza entro il 31 dicembre 2012, d'intesa con il Dipartimento della Funzione pubblica e il Ministero dell'economia e delle finanze; c) i soggetti tenuti all'obbligo di risposta, il trattamento dei dati e la tutela della riservatezza, le modalita' di diffusione dei dati, anche con frequenza inferiore alle tre unita', ad esclusione dei dati di cui all'articolo 22 del decreto legislativo 30 giugno 2003, n. 196, e la comunicazione dei dati elementari ai soggetti facenti parte del SISTAN, nel rispetto del decreto legislativo n. 322/89 e successive modifiche e del codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica, nonche' la comunicazione agli organismi di censimento dei dati elementari, privi di identificativi e previa richiesta all'ISTAT, relativi ai territori di rispettiva competenza e necessari per lo svolgimento delle funzioni istituzionali, nel rispetto di quanto stabilito dal presente articolo e dalla normativa vigente in materia di trattamento dei dati personali a scopi statistici; d) limitatamente al 15° Censimento generale della popolazione e delle abitazioni, le modalita' per il confronto contestuale alle operazioni censuarie tra dati rilevati al censimento e dati contenuti nelle anagrafi della popolazione residente, nonche', d'intesa con il Ministero dell'interno, le modalita' di aggiornamento e revisione delle anagrafi della popolazione residente sulla base delle risultanze censuarie. 3. Per gli enti territoriali individuati dal Piano generale di censimento di cui al comma 2 come affidatari di fasi delle rilevazioni censuarie, le spese derivanti dalla progettazione ed esecuzione dei censimenti sono escluse dal Patto di stabilita' interno, nei limiti delle risorse trasferite dall'ISTAT. Per gli enti territoriali per i quali il Patto di stabilita' interno e' regolato con riferimento al saldo finanziario sono escluse dalle entrate valide ai fini del Patto anche le risorse trasferite dall'ISTAT. Le disposizioni del presente comma si applicano anche agli enti territoriali individuati dal Piano generale del 6° censimento dell'agricoltura di cui al numero Istat SP/1275.2009, del 23 dicembre 2009 e di cui al comma 6, lettera a). 4. Per far fronte alle esigenze temporanee ed eccezionali connesse all'esecuzione dei censimenti, l'ISTAT, gli enti e gli organismi pubblici, indicati nel Piano di cui al comma 2, possono avvalersi delle forme contrattuali flessibili, ivi compresi i contratti di somministrazione di lavoro, nell'ambito e nei limiti delle risorse finanziarie ad essi assegnate ai sensi del comma 1 limitatamente alla durata delle operazioni censuarie e, comunque, non oltre il 2013; nei limiti delle medesime risorse, l'ISTAT puo' avvalersene fino al 31 dicembre 2014, dando apposita comunicazione dell'avvenuto reclutamento al Dipartimento della funzione pubblica ed al Ministero dell'economia e delle finanze. 5. La determinazione della popolazione legale e' definita con decreto del Presidente della Repubblica sulla base dei dati del censimento relativi alla popolazione residente, come definita dal decreto del Presidente della Repubblica 30 maggio 1989, n. 223. Nelle more dell'adozione del Piano Generale di Censimento di cui al comma 2, l'ISTAT provvede alle iniziative necessarie e urgenti preordinate ad effettuare la rilevazione sui numeri civici geocodificati alle sezioni di censimento nei comuni con popolazione residente non inferiore a 20.000 abitanti e la predisposizione di liste precensuarie di famiglie e convivenze desunte dagli archivi di anagrafi comunali attraverso apposite circolari. Con apposite circolari e nel rispetto della riservatezza, l'ISTAT stabilisce la tipologia ed il formato dei dati individuali nominativi dell'anagrafe della popolazione residente, utili per le operazioni censuarie, che i Comuni devono fornire all'ISTAT. Il Ministero dell'interno vigila sulla corretta osservanza da parte dei Comuni dei loro obblighi di comunicazione, anche ai fini dell'eventuale esercizio dei poteri sostitutivi di cui agli articoli 14, comma 2, e 54, commi 3 e 11, del decreto legislativo 18 agosto 2000, n. 267. L'articolo 1, comma 6, della legge 24 dicembre 1954, n. 1228, e' sostituito dal seguente: «6. L'INA promuove la circolarita' delle informazioni anagrafiche essenziali al fine di consentire alle amministrazioni pubbliche centrali e locali collegate la disponibilita', in tempo reale, dei dati relativi alle generalita', alla cittadinanza, alla famiglia anagrafica nonche' all'indirizzo anagrafico delle persone residenti in Italia, certificati dai comuni e, limitatamente al codice fiscale, dall'Agenzia delle Entrate». Con decreto, da adottare entro tre mesi dalla data di entrata in vigore della legge di conversione ai sensi dell'art. 1, comma 7, della legge 24 dicembre 1954, n. 1228, sono emanate le disposizioni volte ad armonizzare il regolamento di gestione dell'INA con quanto previsto dal presente comma. 6. Nelle more dell'entrata in vigore del regolamento di cui all'articolo 17 del decreto-legge 25 settembre 2009, n. 135, convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166, e in attuazione del Protocollo di intesa sottoscritto dall'ISTAT e dalle Regioni e Province Autonome in data 17 dicembre 2009: a) l'ISTAT organizza le operazioni censuarie, nel rispetto del regolamento (CE) n. 1166/2008 del Parlamento europeo e del Consiglio, del 19 novembre 2008, e del predetto Protocollo, secondo il Piano Generale di Censimento di cui al numero ISTAT SP/1275.2009 del 23 dicembre 2009 e relative circolari applicative che individuano anche gli enti e gli organismi pubblici impegnati nelle operazioni censuarie; b) le Regioni organizzano e svolgono le attivita' loro affidate secondo i rispettivi Piani di censimento e attraverso la scelta, prevista dal Piano Generale di Censimento, tra il modello ad alta partecipazione o a partecipazione integrativa, alla quale corrisponde l'erogazione di appositi contributi; c) l'ISTAT, gli enti e gli organismi pubblici impegnati nelle operazioni censuarie sono autorizzati, ai sensi del predetto articolo 17, comma 4, ad avvalersi delle forme contrattuali flessibili ivi previste limitatamente alla durata delle operazioni censuarie e comunque non oltre il 2012. Della avvenuta selezione, assunzione o reclutamento da parte dell'ISTAT e' data apposita comunicazione al Dipartimento della funzione pubblica ed al Ministero dell'economia e delle finanze. 7. Gli organi preposti allo svolgimento delle operazioni del 6° censimento generale dell'agricoltura sono autorizzati a conferire, per lo svolgimento dei compiti di rilevatore e coordinatore, anche incarichi di natura autonoma limitatamente alla durata delle operazioni censuarie e comunque non oltre il 31 dicembre 2011. Il reclutamento dei coordinatori intercomunali di censimento e gli eventuali loro responsabili avviene, secondo le modalita' previste dalla normativa e dagli accordi di cui al presente comma e dalle circolari emanate dall'ISTAT, tra i dipendenti dell'amministrazione o di altre amministrazioni pubbliche territoriali o funzionali, nel rispetto delle norme regionali e locali ovvero tra personale esterno alle pubbliche amministrazioni. L'ISTAT provvede con proprie circolari alla definizione dei requisiti professionali dei coordinatori intercomunali di censimento e degli eventuali loro responsabili, nonche' dei coordinatori comunali e dei rilevatori in ragione delle peculiarita' delle rispettive tipologie di incarico. 8. Al fine di ridurre l'utilizzo di soggetti estranei alla pubblica amministrazione per il perseguimento dei fini di cui al comma 1, i ricercatori, i tecnologi e il personale tecnico di ruolo dei livelli professionali IV - VI degli enti di ricerca e di sperimentazione di cui all'articolo 7 del presente decreto, che risultino in esubero all'esito della soppressione e incorporazione degli enti di ricerca di cui al medesimo articolo 7, sono trasferiti a domanda all'ISTAT in presenza di vacanze risultanti anche a seguito di apposita rimodulazione dell'organico e con le modalita' ivi indicate. Resta fermo il limite finanziario dell'80 per cento di cui all'articolo 1, comma 643, della legge 27 dicembre 2006, n. 296. Dall'attuazione del presente comma non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. 9. Agli oneri derivanti dai commi 6 e 7, nonche' a quelli derivanti dalle ulteriori attivita' previste dal regolamento di cui all'articolo 17, comma 2, del decreto-legge 25 settembre 2009, n. 135, convertito, con modificazioni, in legge 20 novembre 2009, n. 166, si provvede nei limiti dei complessivi stanziamenti previsti dal citato articolo 17.». Si riporta il testo vigente dell'art. 1 della Legge 24 dicembre 1954, n. 1228 (Ordinamento delle anagrafi della popolazione residente), pubblicata nella Gazzetta Ufficiale 12 gennaio 1955, n. 8, come modificato dall'articolo 1 novies del Decreto Legge 31 marzo 2005, n. 44, convertito con modificazioni dalla Legge 31 maggio 2005, n. 88 (pubblicata nella Gazzetta Ufficiale 31 maggio 2005, n. 125) e successivamente ulteriormente modificato dall'articolo 50, comma 5, del Decreto-Legge 31 maggio 2010, n. 78, convertito con la Legge 30 luglio 2010, n. 122 (pubblicata nella Gazzetta Ufficiale 30 luglio 2010, n. 176, S.O.): «Art. 1. In ogni Comune deve essere tenuta l'anagrafe della popolazione residente. L'iscrizione e la richiesta di variazione anagrafica possono dar luogo alla verifica, da parte dei competenti uffici comunali, delle condizioni igienico-sanitarie dell'immobile in cui il richiedente intende fissare la propria residenza, ai sensi delle vigenti norme sanitarie. Nell'anagrafe della popolazione residente sono registrate le posizioni relative alle singole persone, alle famiglie ed alle convivenze, che hanno fissato nel Comune la residenza, nonche' le posizioni relative alle persone senza fissa dimora che hanno stabilito nel Comune il proprio domicilio, in conformita' del regolamento per l'esecuzione della presente legge. Gli atti anagrafici sono atti pubblici. Per l'esercizio delle funzioni di vigilanza di cui all'articolo 12, e' istituito, presso il Ministero dell'interno, l'Indice nazionale delle anagrafi (INA), alimentato e costantemente aggiornato, tramite collegamento informatico, da tutti i comuni.. L'Indice nazionale delle anagrafi (INA) promuove la circolarita' delle informazioni anagrafiche essenziali al fine di consentire alle amministrazioni pubbliche centrali e locali collegate la disponibilita', in tempo reale, dei dati relativi alle generalita', alla cittadinanza, alla famiglia anagrafica, all'indirizzo anagrafico delle persone residenti in Italia e dei cittadini italiani residenti all'estero iscritti nell'Anagrafe della popolazione italiana residente all'estero (AIRE), certificati dai comuni e, limitatamente al codice fiscale, dall'Agenzia delle Entrate. Con decreto del Ministro dell'interno, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, di concerto con il Ministro per la funzione pubblica e il Ministro per l'innovazione e le tecnologie, sentiti il Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA), il Garante per la protezione dei dati personali e l'Istituto nazionale di statistica (ISTAT), e' adottato il regolamento dell'INA. Il regolamento disciplina le modalita' di aggiornamento dell'INA da parte dei comuni e le modalita' per l'accesso da parte delle amministrazioni pubbliche centrali e locali al medesimo INA, per assicurarne la piena operativita'.". Il Decreto del Presidente della Repubblica 30 maggio 1989, n. 223 (Approvazione del nuovo regolamento anagrafico della popolazione residente) e' stato pubblicato nella Gazzetta Ufficiale 8 giugno 1989, n. 132. Il decreto legislativo 6 settembre 1989, n. 322 (Norme sul Sistema statistico nazionale e sulla riorganizzazione dell'Istituto nazionale di statistica) e' stato pubblicato nella Gazzetta Ufficiale 22 settembre 1989, n. 222. La Legge 7 agosto 1990, n. 241 (Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi) e' stata pubblicata nella Gazzetta Ufficiale 18 agosto 1990, n. 192. Si riporta il testo dell'art. 2 del decreto-legge 15 gennaio 1993, n. 6, convertito nella Legge 17 marzo 1993, n. 63 (Disposizioni urgenti per il recupero degli introiti contributivi in materia previdenziale) pubblicata nella Gazzetta Ufficiale 18 marzo 1993, n. 64: «Art. 2. Scambio dati attraverso il codice fiscale e acquisizione degli indirizzi. 1. I rapporti tra pubbliche amministrazioni e quelli intercorrenti tra queste e altri soggetti pubblici o privati devono essere tenuti sulla base del codice fiscale. Il codice fiscale, quale elemento identificativo di ogni soggetto, deve essere pertanto indicato in ogni atto relativo a rapporti intercorrenti con la pubblica amministrazione. L'Amministrazione finanziaria comunica il codice fiscale e i dati anagrafici registrati nel proprio sistema informativo agli organismi legittimati a richiederli. 2. Le disposizioni dell'articolo 8 del decreto-legge 11 luglio 1992, n. 333 , convertito, con modificazioni, dalla legge 8 agosto 1992, n. 359, sono estese a tutte le aziende, istituti, enti e societa' che stipulano contratti di somministrazione e di fornitura di servizi, individuati con il decreto del Presidente del Consiglio dei Ministri di cui al comma 6 del presente articolo. L'acquisizione del codice fiscale alle anagrafi automatizzate dei vari enti deve essere completata entro il 30 giugno 1993. 3. I comuni che dispongono o si servono di centri elaborazione dati, ovvero che sono collegabili alla rete videotel gestita dagli organismi tecnici dell'Associazione nazionale comuni italiani, devono consentire l'attivazione di collegamenti telematici con tutti gli organismi che esercitano attivita' di prelievo contributivo e fiscale o che eroghino servizi di pubblica utilita'. Tali collegamenti dovranno permettere l'accesso, da parte di detti organismi, a tutte le variazioni che intervengono nelle anagrafi comunali e, da parte dei comuni, ai dati informatizzati degli organismi rincipiti, purche' funzionali all'assolvimento dei compiti istituzionali dei comuni stessi. 4. I collegamenti devono assicurare piena trasparenza alle anagrafi dello stato civile, nonche' alle risultanze degli archivi automatizzati costituiti per la gestione delle licenze di esercizio. I comuni e le camere di commercio, industria, artigianato e agricoltura che inviano agli organismi centrali i dati per via telematica sono sollevati dall'onere di inviare i medesimi dati con le modalita' precedentemente adottate. 5. Qualora i comuni non dispongono di collegamenti automatizzati per la gestione delle licenze di esercizio, i dati sono resi disponibili agli altri enti indicati nel presente articolo dall'Amministrazione finanziaria, che li rileva dalle comunicazioni rese dai comuni stessi con le modalita' attualmente in vigore. 6. Le modalita' tecniche per l'attivazione dei collegamenti e la ripartizione delle spese connesse alla realizzazione e uso dei collegamenti medesimi, sono stabilite, entro sessanta giorni dalla data di entrata in vigore del presente decreto, con decreto del Presidente del Consiglio dei Ministri, sentiti i Ministri interessati e l'Associazione nazionale comuni italiani. 7. Il mancato scambio delle informazioni e dei dati comporta la sospensione dall'incarico, disposta con decreto del Ministro vigilante, per un periodo di sei mesi, dei legali rappresentanti degli enti di cui al comma 4 dell'articolo 14 della citata legge n. 412 del 1991 , come modificato dal comma 1 dell'articolo 1, o dei dirigenti specificamente preposti al compimento degli atti necessari.". Si riporta il testo dell'art. 2 della Legge 15 maggio 1997, n. 127 (Misure urgenti per lo snellimento dell'attivita' amministrativa e dei procedimenti di decisione e di controllo) pubblicata nella Gazzetta Ufficiale 17 maggio 1997, n. 113, S.O.: "Art. 2. Disposizioni in materia di stato civile e di certificazione anagrafica. 1. ... 2. ... 3. 4. 5. I comuni favoriscono, per mezzo di intese o convenzioni, la trasmissione di dati o documenti tra gli archivi anagrafici e dello stato civile, le altre pubbliche amministrazioni, nonche' i gestori o esercenti di pubblici servizi, garantendo il diritto alla riservatezza delle persone. La trasmissione di dati puo' avvenire anche attraverso sistemi informatici e telematici. 6. .... 7. 8. Le firme e le sottoscrizioni inerenti ai medesimi atti, e richieste a piu' soggetti dai pubblici uffici, possono essere apposte anche disgiuntamente, purche' nei termini. 9. 10. 11. E' abrogata la lettera f) dell'articolo 3 della legge 21 novembre 1967, n. 1185 , in materia di rilascio del passaporto. 11-bis. Il terzo comma dell'articolo 17 della legge 21 novembre 1967, n. 1185 , e' abrogato. 11-ter. ... 12. Entro sei mesi dalla data di entrata in vigore della presente legge, con regolamento da adottarsi ai sensi dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400 , previo parere delle competenti Commissioni parlamentari, il Governo adotta misure per la revisione e la semplificazione dell'ordinamento dello stato civile di cui al regio decreto 9 luglio 1939, n. 1238, sulla base dei seguenti criteri: a) riduzione e semplificazione dei registri dello stato civile; b) eliminazione o riduzione delle fasi procedimentali che si svolgono tra uffici di diverse amministrazioni o della medesima amministrazione; c) eliminazione, riduzione e semplificazione degli adempimenti richiesti al cittadino in materia di stato civile; d) revisione delle competenze e dei procedimenti degli organi della giurisdizione volontaria in materia di stato civile; e) riduzione dei termini per la conclusione dei procedimenti; f) regolazione uniforme dei procedimenti dello stesso tipo che si svolgono presso diverse amministrazioni o presso diversi uffici della medesima amministrazione; g) riduzione del numero di procedimenti amministrativi e accorpamento dei procedimenti che si riferiscono alla medesima attivita', anche riunendo in una unica fonte regolamentare, ove cio' non ostacoli la conoscibilita' normativa, disposizioni provenienti da fonti di rango diverso, ovvero che richiedano particolari procedure, fermo restando l'obbligo di porre in essere le procedure stesse. 13. Sullo schema di regolamento di cui al comma 12 le Commissioni parlamentari si esprimono entro trenta giorni dalla data di ricezione. Decorso tale termine il decreto e' emanato anche in mancanza del parere ed entra in vigore novanta giorni dopo la sua pubblicazione nella Gazzetta Ufficiale. 14. Dalla data di entrata in vigore delle norme regolamentari di cui al comma 12 sono abrogate le disposizioni vigenti, anche di legge, con esse incompatibili. 15. I comuni che non versino nelle situazioni strutturalmente deficitarie di cui all'articolo 45 del decreto legislativo 30 dicembre 1992, n. 504 , e successive modificazioni, possono prevedere la soppressione dei diritti di segreteria da corrispondere per il rilascio degli atti amministrativi previsti dall'articolo 10, comma 10, del decreto-legge 18 gennaio 1993, n. 8 , convertito, con modificazioni, dalla legge 19 marzo 1993, n. 68, nonche' del diritto fisso previsto dal comma 12-ter del citato articolo 10. Possono inoltre prevedere la soppressione o riduzione di diritti, tasse o contributi previsti per il rilascio di certificati, documenti e altri atti amministrativi, quando i relativi proventi sono destinati esclusivamente a vantaggio dell'ente locale, o limitatamente alla quota destinata esclusivamente a vantaggio dell'ente locale .». Il Decreto del Presidente del Consiglio dei Ministri 22 ottobre 1999, n. 437 (Regolamento recante caratteristiche e modalita' per il rilascio della carta di identita' elettronica e del documento di identita' elettronico, a norma dell'articolo 2, comma 10, della L. 15 maggio 1997, n. 127, come modificato dall'articolo 2, comma 4, della L. 16 giugno 1998, n. 191) e' stato pubblicato nella Gazzetta Ufficiale 25 novembre 1999, n. 277. Il Decreto del Ministro dell'interno del 8 novembre 2007 (Regole tecniche della carta di identita' elettronica) e' stato pubblicato nella Gazzetta Ufficiale 9 novembre 2007, n. 261, S.O. Il Decreto del Ministro dell'Interno del 6 ottobre 2000 (Procedura per la comunicazione ai comuni del codice fiscale) e' stato pubblicato nella Gazzetta Ufficiale 25 ottobre 2000, n. 250. Il Decreto del Presidente della Repubblica 3 novembre 2000, n. 396 (Regolamento per la revisione e la semplificazione dell'ordinamento dello stato civile, a norma dell'articolo 2, comma 12, della Legge 15 maggio 1997, n. 127) e' stato pubblicato nella Gazzetta Ufficiale 30 dicembre 2000, n. 303, S.O. Si riporta il testo dell'art. 25 della Legge 24 novembre 2000, n. 340 (Disposizioni per la delegificazione di norme e per la semplificazione di procedimenti amministrativi - Legge di semplificazione 1999), pubblicata nella Gazzetta. Ufficiale 24 novembre 2000, n. 275: «Art. 25(Accesso alle banche dati pubbliche). - 1. Le pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 3 febbraio 1993, n. 29, che siano titolari di programmi applicativi realizzati su specifiche indicazioni del committente pubblico, hanno facolta' di darli in uso gratuito ad altre amministrazioni pubbliche, che li adattano alle proprie esigenze. 2. Le pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo n. 29 del 1993 hanno accesso gratuito ai dati contenuti in pubblici registri, elenchi, atti o documenti da chiunque conoscibili.". Il Decreto del Presidente della Repubblica 28 dicembre 2000, 445 (Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa) e' stato pubblicato nella Gazzetta Ufficiale 20 febbraio 2001, n. 42, S.O. Il decreto del Ministro dell'Interno del 18 dicembre 2000 (Modalita' di comunicazione dei dati relativi ai cittadini stranieri extracomunitari fra gli uffici anagrafici dei comuni, gli archivi dei lavoratori extracomunitari e gli archivi dei competenti organi centrali e periferici del Ministero dell'Interno, nonche' le modalita' tecniche ed il termine per l'aggiornamento e la verifica delle posizioni anagrafiche dei cittadini stranieri gia' iscritti nei registri della popolazione residente) e' stato pubblicato nella Gazzetta Ufficiale 11 gennaio 2001, n. 8. Si riporta il testo dell'art. 2 del decreto legge 31 marzo 2003, n. 52, convertito in Legge 30 maggio 2003 n. 122 (Differimento dei termini relativi alle elezioni per il rinnovo dei Comitati degli italiani all'estero), pubblicata nella Gazzetta Ufficiale 31 maggio 2003, n. 125: "Art. 2. - 1. Per il completamento dell'informatizzazione e per l'aggiornamento dell'anagrafe degli italiani residenti all'estero tramite il sistema di accesso e interscambio anagrafico (SAIA), il Ministero dell'interno si avvale della infrastruttura informatica di base dell'indice nazionale delle anagrafi (INA), previsto dall'articolo 2-quater del decreto-legge 27 dicembre 2000, n. 392, convertito, con modificazioni, dalla legge 28 febbraio 2001, n. 26, allocato presso il centro nazionale per i servizi demografici, costituito con D.M. 23 aprile 2002 del Ministro dell'interno. 2. Il Ministro dell'interno, nel quadro delle direttive e degli indirizzi del Comitato dei Ministri per la Societa' dell'informazione, puo' avvalersi, a decorrere dalla data di entrata in vigore del presente decreto, delle forme di finanziamento previste dalle lettere a), b) e c) del comma 4 dell'articolo 26 della legge 27 dicembre 2002, n. 289, ai fini della produzione e dell'emissione della carta d'identita' elettronica.». Il decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale) e' stato pubblicato nella Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O. Si riporta il testo dell'articolo16-bis del decreto - legge 29 novembre 2008, n. 185, convertito nella Legge 28 gennaio 2009, n. 2 (Misure urgenti per il sostegno a famiglie, lavoro, occupazione e impresa e per ridisegnare in funzione anticrisi il quadro strategico nazionale), pubblicata nella Gazzetta Ufficiale 28 gennaio 2009, n. 22, S.O.: «Art. 16-bis. Misure di semplificazione per le famiglie e per le imprese. 1. A decorrere dalla data di entrata in vigore del decreto di cui al comma 3 e secondo le modalita' ivi previste, i cittadini comunicano il trasferimento della propria residenza e gli altri eventi anagrafici e di stato civile all'ufficio competente. Entro ventiquattro ore dalla conclusione del procedimento amministrativo anagrafico, l'ufficio di anagrafe trasmette le variazioni all'Indice nazionale delle anagrafi, di cui all'articolo 1, quarto comma, della legge 24 dicembre 1954, n. 1228, e successive modificazioni, che provvede a renderle accessibili alle altre amministrazioni pubbliche. In caso di ritardo nella trasmissione all'Indice nazionale delle anagrafi, il responsabile del procedimento ne risponde a titolo disciplinare e, ove ne derivi pregiudizio, anche a titolo di danno erariale. 2. La richiesta al cittadino di produrre dichiarazioni o documenti al di fuori di quelli indispensabili per la formazione e le annotazioni degli atti di stato civile e di anagrafe costituisce violazione dei doveri d'ufficio, ai fini della responsabilita' disciplinare. 3. Con uno o piu' decreti del Ministro per la pubblica amministrazione e l'innovazione e del Ministro dell'interno, sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e successive modificazioni, sono stabilite le modalita' per l'attuazione del comma 1. 4. Dall'attuazione del comma 1 non devono derivare nuovi o maggiori oneri per la finanza pubblica. 5. Per favorire la realizzazione degli obiettivi di massima diffusione delle tecnologie telematiche nelle comunicazioni, previsti dal codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai cittadini che ne fanno richiesta e' attribuita una casella di posta elettronica certificata o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrita' del contenuto delle stesse, garantendo l'interoperabilita' con analoghi sistemi internazionali. L'utilizzo della posta elettronica certificata avviene ai sensi degli articoli 6 e 48 del citato codice di cui al decreto legislativo n. 82 del 2005, con effetto equivalente, ove necessario, alla notificazione per mezzo della posta. Le comunicazioni che transitano per la predetta casella di posta elettronica certificata sono senza oneri. 6. Per i medesimi fini di cui al comma 5, ogni amministrazione pubblica utilizza la posta elettronica certificata, ai sensi dei citati articoli 6 e 48 del codice di cui al decreto legislativo n. 82 del 2005 o analogo indirizzo di posta elettronica basato su tecnologie che certifichino data e ora dell'invio e della ricezione delle comunicazioni e l'integrita' del contenuto delle stesse, garantendo l'interoperabilita' con analoghi sistemi internazionali, con effetto equivalente, ove necessario, alla notificazione per mezzo della posta, per le comunicazioni e le notificazioni aventi come destinatari dipendenti della stessa o di altra amministrazione pubblica. 7. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione e l'innovazione, da emanare entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, previa intesa in sede di Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e successive modificazioni, sono definite le modalita' di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini ai sensi del comma 5 del presente articolo, con particolare riguardo alle categorie a rischio di esclusione ai sensi dell'articolo 8 del citato codice di cui al decreto legislativo n. 82 del 2005, nonche' le modalita' di attivazione del servizio mediante procedure di evidenza pubblica, anche utilizzando strumenti di finanza di progetto. Con il medesimo decreto sono stabilite le modalita' di attuazione di quanto previsto nel comma 6, cui le amministrazioni pubbliche provvedono nell'ambito degli ordinari stanziamenti di bilancio . 8. Agli oneri derivanti dall'attuazione del comma 5 si provvede mediante l'utilizzo delle risorse finanziarie assegnate, ai sensi dell'articolo 27 della legge 16 gennaio 2003, n. 3, al progetto "Fondo di garanzia per le piccole e medie imprese" con decreto dei Ministri delle attivita' produttive e per l'innovazione e le tecnologie 15 giugno 2004, pubblicato nella Gazzetta Ufficiale n. 150 del 29 giugno 2004, non impegnate alla data di entrata in vigore della legge di conversione del presente decreto. 9. All'articolo 1, comma 213, della legge 24 dicembre 2007, n. 244, sono apportate le seguenti modificazioni: a) all'alinea sono aggiunte, in fine, le seguenti parole: ", in conformita' a quanto previsto dagli standard del Sistema pubblico di connettivita' (SPC)"; b) dopo la lettera g) e' aggiunta la seguente: "g-bis) le regole tecniche idonee a garantire l'attestazione della data, l'autenticita' dell'origine e l'integrita' del contenuto della fattura elettronica, di cui all'articolo 21, comma 3, del decreto del Presidente della Repubblica 26 ottobre 1972, n. 633, e successive modificazioni, per ogni fine di legge.». 10. In attuazione dei principi stabiliti dall'articolo 18, comma 2, della legge 7 agosto 1990, n. 241, e successive modificazioni, e dall'articolo 43, comma 5, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, le stazioni appaltanti pubbliche acquisiscono d'ufficio, anche attraverso strumenti informatici, il documento unico di regolarita' contributiva (DURC) dagli istituti o dagli enti abilitati al rilascio in tutti i casi in cui e' richiesto dalla legge. 11. In deroga alla normativa vigente, per i datori di lavoro domestico gli obblighi di cui all'articolo 9-bis del decreto-legge 1° ottobre 1996, n. 510, convertito, con modificazioni, dalla legge 28 novembre 1996, n. 608, e successive modificazioni, si intendono assolti con la presentazione all'Istituto nazionale della previdenza sociale (INPS), attraverso modalita' semplificate, della comunicazione di assunzione, cessazione, trasformazione e proroga del rapporto di lavoro. 12. L'INPS trasmette, in via informatica, le comunicazioni semplificate di cui al comma 11 ai servizi competenti, al Ministero del lavoro, della salute e delle politiche sociali, all'Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro (INAIL), nonche' alla prefettura-ufficio territoriale del Governo, nell'ambito del Sistema pubblico di connettivita' (SPC) e nel rispetto delle regole tecniche di sicurezza, di cui all'articolo 71, comma 1-bis, del codice di cui al decreto legislativo 7 marzo 2005, n. 82, anche ai fini di quanto previsto dall'articolo 4-bis, comma 6, del decreto legislativo 21 aprile 2000, n. 181, e successive modificazioni". Il Decreto del Presidente della Repubblica del 7 settembre 2010 n. 166 (Regolamento di riordino dell'Istituto nazionale di statistica) e' stato pubblicato nella Gazzetta Ufficiale 7 ottobre 2010, n. 235. Il Regolamento (CE) 763/2008 del Parlamento Europeo e del Consiglio del 9 luglio 2008, relativo ai censimenti della popolazione e delle abitazioni, e' stato pubblicato nella G.U.U.E. 13 agosto 2008, n. L 218. Il Regolamento (CE) 223/2009 del Parlamento Europeo e del Consiglio dell'11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento europeo e del Consiglio, relativo alla trasmissione all'Istituto statistico delle Comunita' europee di dati statistici protetti dal segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle statistiche comunitarie, e la decisione 89/382/CEE, Euratom del Consiglio, che istituisce un comitato del programma statistico delle Comunita' europee, e' stato pubblicato nella G.U.U.E. 31 marzo 2009, n. L 87.   Art. 2 Finalita' 1. L'INA e' il sistema incardinato nell'infrastruttura tecnologica e di sicurezza del CNSD, istituito presso il Dipartimento per gli Affari Interni e Territoriali, che garantisce la disponibilita', in tempo reale, tramite i servizi di interscambio e di cooperazione di cui all'articolo 6, dei dati relativi alle generalita', alla cittadinanza, alla famiglia anagrafica e all'indirizzo anagrafico delle persone iscritte in APR e in AIRE, anche per un migliore esercizio della funzione di vigilanza e di gestione dei dati anagrafici e di stato civile. 2. L'INA fornisce i servizi di interscambio e di cooperazione di cui all'articolo 6, anche per assicurare l'allineamento e la coerenza degli archivi degli enti collegati all'INA con le anagrafi comunali. 3. Per le finalita' di cui ai precedenti commi 1 e 2, e' utilizzato anche il codice fiscale, che garantisce l'univocita' delle informazioni di cui al successivo articolo 3 del presente regolamento.   Art. 3 Caratteristiche 1. Nell'INA sono contenuti i dati che consentono la corretta ed univoca associazione tra cittadino e comune di residenza, nonche' l'acquisizione delle seguenti informazioni: a) Cognome; b) Nome; c) Luogo e data di nascita; d) Codice fiscale attribuito dall'Agenzia delle Entrate; e) Codice ISTAT del Comune di ultima residenza e codice Istat della sezione di censimento; f) Cittadinanza (denominazione dello Stato); g) Famiglia anagrafica (componenti della famiglia, relazione di parentela o di affinita'); h) Indirizzo anagrafico (specie e denominazione del toponimo, numero civico, data di decorrenza della residenza).   Art. 4 Costituzione e aggiornamento 1. L'INA e' costituito ed aggiornato sulla base delle informazioni contenute nelle anagrafi di tutti i comuni italiani, con il codice fiscale validato dall'Agenzia delle Entrate. 2. A tal fine, i comuni inviano all'INA i dati di cui all'articolo 3, attraverso i servizi telematici e di sicurezza del CNSD, entro 24 ore dalla registrazione del dato in APR, secondo le istruzioni tecniche adottate dalla Direzione Centrale per i Servizi Demografici. 3. L'Ufficiale d'anagrafe e' responsabile del corretto e tempestivo invio delle informazioni anagrafiche all'INA. 4. L'interessato puo' esercitare il diritto di accesso ai dati personali contenuti nell'INA e gli altri diritti di cui all'articolo 7 del decreto legislativo 30 giugno 2003, n. 196, tramite il comune di residenza, che riscontra la richiesta. 5. Qualora i dati inviati all'INA siano errati o non aggiornati competente ad effettuarne la rettificazione o l'aggiornamento e' il comune di residenza del soggetto a cui i dati si riferiscono. 6. Qualora l'errore non sia imputabile al comune di residenza, quest'ultimo ne informa la Direzione Centrale per i Servizi Demografici per i conseguenti adempimenti ai sensi del decreto legislativo 30 giugno 2003, n. 196. Note all'art. 4: Per i riferimenti al citato decreto legislativo n. 196 del 2003, si veda nelle note alle premesse.   Art. 5 Soggetti fornitori e/o fruitori dei servizi 1. Ai servizi di cui all'articolo 6, e ai dati resi disponibili dall'INA accedono, in modalita' telematica, tramite il Centro Nazionale per i Servizi Demografici, secondo quanto previsto nell'allegato tecnico di cui al successivo articolo 8: a) il Ministero dell'interno - Direzione Centrale per i Servizi Demografici, ai fini del migliore espletamento della vigilanza sulla tenuta delle anagrafi comunali e del rilascio della carta di identita' elettronica; b) le Prefetture - Uffici Territoriali del Governo, le Questure e le altre strutture centrali e territoriali del Ministero dell'interno, per l'espletamento dei propri compiti istituzionali; c) l'ISTAT per la produzione dell'informazione statistica ufficiale e per la verifica della qualita' statistica dei dati di fonte amministrativa, utile anche ai fini della vigilanza anagrafica; d) l'Agenzia delle Entrate per l'attribuzione, l'aggiornamento e la validazione dei codici fiscali e per la corretta individuazione dei dati anagrafici e di residenza dei cittadini; e) il Ministero degli affari esteri, per l'aggiornamento dell'AIRE e dell'elenco unico aggiornato dei cittadini italiani residenti all'estero, di cui all'articolo 5, comma 1 della legge 27 dicembre 2001, n. 459; f) i Comuni, per il popolamento e l'aggiornamento dell'INA, per verificare la coerenza, a livello nazionale, dei cittadini iscritti nella propria anagrafe, rispetto ai cittadini iscritti nelle altre anagrafi comunali, fermo restando quanto previsto dalla lettera g); g) ogni altra amministrazione pubblica in relazione a specifiche finalita' previste da legge o da regolamento; h) gli organismi che esercitano attivita' di prelievo contributivo e fiscale o erogano servizi di pubblica utilita', di cui all'articolo 2, comma 3 del decreto-legge 15 gennaio 1993, n. 6, convertito nella legge 17 marzo 1993, n. 63, ai fini della corretta individuazione della residenza anagrafica dei cittadini e della semplificazione del servizio pubblico. 2. L'autorizzazione per l'utilizzo dei servizi INA da parte dei soggetti di cui alle lettere b), c), d), e), g), h) del precedente comma 1, e' subordinata alle modalita' concordate con il Ministero dell'interno - Direzione Centrale per i Servizi Demografici ed individuate da un'apposita convenzione, nella quale sono specificati i presupposti di legge o di regolamento. 3. L'accesso ai dati contenuti nell'INA e' gratuito ai sensi di quanto previsto all'articolo 58 del decreto legislativo 7 marzo 2005, n. 82, salvo il riconoscimento dei costi derivanti da elaborazioni aggiuntive. 4. L'accesso ai servizi resi disponibili dall'INA e' assicurato, in collegamento telematico con il CNSD, tutti i giorni dell'anno e nell'arco dell'intera giornata. Note all'art. 5: - Si riporta il testo dell'art. 5 della legge 27 dicembre 2001, n.459 (Norme per l'esercizio del diritto di voto dei cittadini italiani residenti all'estero), pubblicata nella Gazzetta Ufficiale 5 gennaio 2002, n. 4: "Art. 5. 1. Il Governo, mediante unificazione dei dati dell'anagrafe degli italiani residenti all'estero e degli schedari consolari, provvede a realizzare l'elenco aggiornato dei cittadini italiani residenti all'estero finalizzato alla predisposizione delle liste elettorali, distinte secondo le ripartizioni di cui all'articolo 6, per le votazioni di cui all'articolo 1, comma 1. 2. Sono ammessi ad esprimere il proprio voto in Italia solo i cittadini residenti all'estero che hanno esercitato l'opzione di cui all'articolo 1, comma 3." . Si riporta il testo dell' art. 2 del decreto - legge 15 gennaio 1993, n. 6, convertito nella Legge 17 marzo 1993, n. 63 (Disposizioni urgenti per il recupero degli introiti contributivi in materia previdenziale) pubblicata nella Gazzetta Ufficiale 18 marzo 1993, n. 64: "Art. 2 (Scambio dati attraverso il codice fiscale e acquisizione degli indirizzi). - 1. I rapporti tra pubbliche amministrazioni e quelli intercorrenti tra queste e altri soggetti pubblici o privati devono essere tenuti sulla base del codice fiscale. Il codice fiscale, quale elemento identificativo di ogni soggetto, deve essere pertanto indicato in ogni atto relativo a rapporti intercorrenti con la pubblica amministrazione. L'Amministrazione finanziaria comunica il codice fiscale e i dati anagrafici registrati nel proprio sistema informativo agli organismi legittimati a richiederli. 2. Le disposizioni dell'articolo 8 del decreto-legge 11 luglio 1992, n. 333 , convertito, con modificazioni, dalla legge 8 agosto 1992, n. 359, sono estese a tutte le aziende, istituti, enti e societa' che stipulano contratti di somministrazione e di fornitura di servizi, individuati con il decreto del Presidente del Consiglio dei Ministri di cui al comma 6 del presente articolo. L'acquisizione del codice fiscale alle anagrafi automatizzate dei vari enti deve essere completata entro il 30 giugno 1993. 3. I comuni che dispongono o si servono di centri elaborazione dati, ovvero che sono collegabili alla rete videotel gestita dagli organismi tecnici dell'Associazione nazionale comuni italiani, devono consentire l'attivazione di collegamenti telematici con tutti gli organismi che esercitano attivita' di prelievo contributivo e fiscale o che eroghino servizi di pubblica utilita'. Tali collegamenti dovranno permettere l'accesso, da parte di detti organismi, a tutte le variazioni che intervengono nelle anagrafi comunali e, da parte dei comuni, ai dati informatizzati degli organismi sopracitati, purche' funzionali all'assolvimento dei compiti istituzionali dei comuni stessi. 4. I collegamenti devono assicurare piena trasparenza alle anagrafi dello stato civile, nonche' alle risultanze degli archivi automatizzati costituiti per la gestione delle licenze di esercizio. I comuni e le camere di commercio, industria, artigianato e agricoltura che inviano agli organismi centrali i dati per via telematica sono sollevati dall'onere di inviare i medesimi dati con le modalita' precedentemente adottate. 5. Qualora i comuni non dispongono di collegamenti automatizzati per la gestione delle licenze di esercizio, i dati sono resi disponibili agli altri enti indicati nel presente articolo dall'Amministrazione finanziaria, che li rileva dalle comunicazioni rese dai comuni stessi con le modalita' attualmente in vigore. 6. Le modalita' tecniche per l'attivazione dei collegamenti e la ripartizione delle spese connesse alla realizzazione e uso dei collegamenti medesimi, sono stabilite, entro sessanta giorni dalla data di entrata in vigore del presente decreto, con decreto del Presidente del Consiglio dei Ministri, sentiti i Ministri interessati e l'Associazione nazionale comuni italiani. 7. Il mancato scambio delle informazioni e dei dati comporta la sospensione dall'incarico, disposta con decreto del Ministro vigilante, per un periodo di sei mesi, dei legali rappresentanti degli enti di cui al comma 4 dell'articolo 14 della citata legge n. 412 del 1991 , come modificato dal comma 1 dell'articolo 1, o dei dirigenti specificamente preposti al compimento degli atti necessari.". Si riporta il testo dell'articolo 58 del citato decreto legislativo n. 82 del 2005: "Art. 58 (Modalita' della fruibilita' del dato). - 1. Il trasferimento di un dato da un sistema informativo ad un altro non modifica la titolarita' del dato. 2. Ai sensi dell'articolo 50, comma 2, nonche' al fine di agevolare l'acquisizione d'ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualita' personali e fatti di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, le Amministrazioni titolari di banche dati accessibili per via telematica predispongono, sulla base delle linee guida redatte da DigitPA, sentito il Garante per la protezione dei dati personali, apposite convenzioni aperte all'adesione di tutte le amministrazioni interessate volte a disciplinare le modalita' di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico. Le convenzioni valgono anche quale autorizzazione ai sensi dell'articolo 43, comma 2, del citato decreto del Presidente della Repubblica n. 445 del 2000. 3. DigitPA provvede al monitoraggio dell'attuazione del presente articolo, riferendo annualmente con apposita relazione al Ministro per la pubblica amministrazione e l'innovazione e alla Commissione per la valutazione, la trasparenza e l'integrita' delle amministrazione pubbliche di cui all'articolo 13 del decreto legislativo 27 ottobre 2009, n. 150. 3-bis. In caso di mancata predisposizione delle convenzioni di cui al comma 2, il Presidente del Consiglio dei Ministri stabilisce un termine entro il quale le amministrazioni interessate devono provvedere. Decorso inutilmente il termine, il Presidente del Consiglio dei Ministri puo' nominare un commissario ad acta incaricato di predisporre le predette convenzioni. Al Commissario non spettano compensi, indennita' o rimborsi. 3-ter. Resta ferma la speciale disciplina dettata in materia di dati territoriali.».   Art. 6 Servizi di interscambio e di cooperazione 1. I servizi di interscambio e di cooperazione dell'INA hanno l'obiettivo di garantire una efficace realizzazione delle finalita' di cui all'articolo 2. La sicurezza, e l'integrita' delle informazioni scambiate tra i soggetti fornitori e/o fruitori di cui all'articolo 5 comma 1 sono assicurate attraverso il Backbone di sicurezza del CNSD, che certifica lo scambio e la certezza dei punti di origine e di destinazione delle comunicazioni, secondo le modalita' indicate nell'allegato tecnico di cui al successivo articolo 8. 2. I servizi di interscambio e cooperazione dell'INA riguardano: a) i dati anagrafici trasmessi dall'INA in risposta alle richieste inoltrate, tramite l'INA, da parte dei soggetti di cui all'articolo 5, comma 1; b) le variazioni anagrafiche trasmesse dai comuni all'INA e da quest'ultimo inviate ai soggetti di cui all'articolo 5, comma 1; c) i dati contenuti nell'INA e quelli concernenti le variazioni anagrafiche per le rilevazioni statistiche sulla popolazione residente, notificati dai comuni all'ISTAT, secondo le modalita' stabilite d'intesa con l'ISTAT. 3. Le informazioni anagrafiche inviate dai comuni all'INA, tramite l'infrastruttura Backbone di sicurezza del CNSD, hanno valore ufficiale e sostituiscono gli altri collegamenti telematici e le altre forme di comunicazione, anche di tipo tradizionale, con i soggetti di cui al precedente articolo 5, comma 1, fatte salve le esigenze di completezza e qualita' delle informazioni statistiche derivanti dalle normative internazionali, europee e nazionali. 4. Il collegamento e lo scambio dei dati avviene, nel rispetto delle competenze e delle responsabilita' delle singole Amministrazioni, come regolate dalla normativa vigente e dalle Convenzioni di cui all'articolo 5, comma 2 del presente decreto.   Art. 7 Vigilanza sulla tenuta delle anagrafi 1. Ai fini della vigilanza sulla regolare ed efficiente tenuta delle anagrafi di cui al decreto del Presidente della Repubblica 30 maggio 1989, n. 223, vengono effettuati, attraverso indicatori derivati dall'INA e mediante l'utilizzo dell'informazione statistica ufficiale prodotta dall'Istat, il monitoraggio e la valutazione della qualita' dell'informazione amministrativa. I criteri e le modalita' di esercizio del monitoraggio sono definiti, d'intesa tra il Ministero dell'interno e l'ISTAT, nell'ambito di un Comitato paritetico costituito con provvedimento del Capo del Dipartimento per gli Affari interni e territoriali del Ministero dell'interno e composto da tre rappresentanti del Ministero dell'interno - Direzione Centrale per i Servizi Demografici e da tre rappresentanti dell'ISTAT. Il Comitato si riunisce con cadenza semestrale. Note all'art. 7: Il Decreto del Presidente della Repubblica 30 maggio 1989 n. 223 (Approvazione del nuovo regolamento anagrafico della popolazione residente) e' stato pubblicato nella Gazzetta Ufficiale 8 giugno 1989, n. 132.   Art. 8 Titolare del trattamento e misure di sicurezza 1. Titolare del trattamento dei dati contenuti nell'INA e' il Ministero dell'interno, che designa, quale responsabile del trattamento dei dati, il Direttore Centrale dei Servizi Demografici. 2. Titolare del trattamento dei dati anagrafici contenuti nell'anagrafe comunale, ivi comprese le comunicazioni all'INA e' il comune. Il Sindaco, o suo delegato, e' responsabile dell'attuazione delle misure di sicurezza. 3. La vigilanza sul tempestivo invio dei dati di cui all'articolo 4 e sull'adozione delle misure di sicurezza da parte dei Comuni nella gestione dell'anagrafe e nelle comunicazioni all'INA, rientra nella funzione generale di vigilanza sulla tenuta delle anagrafi, di competenza del Prefetto della provincia. 4. I soggetti di cui all'articolo 5, comma 1, individuano i responsabili e gli incaricati del trattamento dei dati anagrafici scambiati con l'INA, in relazione a quanto previsto dalla normativa vigente e dalle convenzioni di cui all'articolo 5 comma 2. 5. L'INA e' costituito e gestito in conformita' alle disposizioni di sicurezza dettate dall'articolo 31 e seguenti del decreto legislativo 30 giugno 2003, n. 196 e relativo allegato B. E' altresi' assicurata la conformita' alle misure di sicurezza previste dal decreto legislativo 7 marzo 2005, n. 82 e delle relative regole tecniche nonche' dalle direttive emanate dal Ministro per l'innovazione e le tecnologie, in particolare e' assicurata l'adozione della base minima di sicurezza prevista dalla direttiva del 16 gennaio 2002 del Presidente del Consiglio dei Ministri - DIT «Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali». E' inoltre realizzato un Sistema di gestione della sicurezza informativa secondo lo standard ISO 27001/27002 e BS7799, nell'ambito del quale sono progettate, mantenute ed adeguate in modo organico le misure di sicurezza, di natura tecnica, organizzative e sul personale. In tale ambito e' gestito il piano della sicurezza, con aggiornamento almeno annuale. 6. Le misure di sicurezza dell'INA sono definite nell'allegato tecnico che forma parte integrante del presente decreto. 7. L'allegato tecnico di cui al comma precedente e' aggiornato periodicamente con decreto del Ministro dell'interno di concerto con il Ministro per la pubblica amministrazione e l'innovazione, sentito il Garante per la Protezione dei dati personali, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore. 8. Le misure di sicurezza sopraccitate riguardano anche i sistemi del CNSD, le connessioni con i soggetti collegati al CNSD, di cui all'articolo 5 comma 1, ed i «sistemi di frontiera» (porta applicativa Backbone del CNSD o Porta di Dominio con modulo Backbone del CNSD presso i soggetti collegati); l'adozione di misure di sicurezza relative ai sistemi interni di ciascuno dei soggetti di cui all'articolo 5 comma 1, sono di responsabilita' dello stesso, in coerenza con le prescrizioni di natura tecnica specificate nell'allegato tecnico di cui al comma 6. Prescrizioni, impegni e moduli organizzativi e gestionali sono espressamente richiamati nelle convenzioni di adesione. Note all'art. 8: Si riporta il testo dell'art. 31 del citato decreto legislativo n. 196 del 2003: «Art. 31 (Obblighi di sicurezza). - 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.».   Art. 9 Disposizioni finali 1. Il presente regolamento si applica nel rispetto della disciplina rilevante in materia di protezione dei dati personali, e, in particolare, delle disposizioni del Codice in materia di protezione dei dati personali, approvato con decreto legislativo 30 giugno 2003, n. 196. 2. A far data dall'entrata in vigore del presente decreto e' abrogato il decreto ministeriale 13 ottobre 2005, n. 240, recante «Regolamento di gestione dell'INA». Il presente decreto, munito di sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 19 gennaio 2012 Il Ministro dell'interno Cancellieri Il Ministro per la pubblica amministrazione e la semplificazione Patroni Griffi Il Ministro dell'istruzione, dell'universita' e della ricerca Profumo Visto, il Guardasigilli: Severino Registrato alla Corte dei conti il 28 febbraio 2012 Interno, Registro n. 1, foglio n. 395 Note all'art. 9: Per i riferimenti al citato decreto legislativo n. 196 del 2003, si veda nelle note alle premesse. Il decreto ministeriale 13 ottobre 2005, n. 240 (Regolamento di gestione dell'Indice Nazionale delle Anagrafi - INA) e' stato pubblicato nella Gazzetta Ufficiale 23 novembre 2005, n. 273.   Allegato Allegato tecnico al D.M. 19 gennaio 2012 recante «Nuovo regolamento di gestione dell'Indice Nazionale delle Anagrafi» ARCHITETTURA DI SICUREZZA DELL'INA Sommario: 1. Scopo e campo di applicazione 2. Glossario 3. Premessa 4. Architettura di cooperazione e sicurezza del CNSD applicata all'INA a. Infrastruttura di cooperazione e sicurezza «Backbone» 3 b. Sistema di Monitoraggio dei servizi: Allarmi sicurezza e allarmi servizi Allarmi sicurezza Allarmi servizi 5. Misure di sicurezza garantite dall'infrastruttura di cooperazione e sicurezza Backbone 1. Scopo e campo di applicazione. Il presente disciplinare tecnico allegato al nuovo regolamento di gestione dell'INA descrive l'architettura di sicurezza prevista per l'accesso ai servizi del CNSD e le relative misure di sicurezza. 2. Glossario. Le componenti di sicurezza, descritte nello specifico capitolo, sono le seguenti: INA: Indice Nazionale delle Anagrafi; SAIA: Sistema di Accesso ed Interscambio Anagrafico; CNSD: Centro Nazionale per i Servizi Demografici; SPC: Sistema Pubblico di Connettivita' Backbone CNSD/INA.: Infrastruttura di sicurezza del CNSD e dell'Indice Nazionale delle Anagrafi, che certifica lo scambio e l'integrita' del contenuto informativo tra i soggetti fornitori e/o fruitori di cui all'art. 5, comma 1, del Regolamento di gestione n. 240/2005; Modulo Porta di Accesso-Backbone Ente (SS_BKPDD ENTE): modulo della Porta di Dominio dell'Ente; e' il sistema, all'interno dell'Ente, abilitante per l'accesso in rete ai servizi applicativi del CNSD. Porta di Dominio del CNSD: Porta di Dominio del CNSD, qualificata DigitPA, comprensiva del «modulo Porta di Accesso Backbone CNSD» (SS_BKPDD CNSD), sistema di sicurezza del CNSD che abilita e gestisce l'accesso ai domini applicativi del CNSD per gli Enti che utilizzano il Sistema Pubblico di Connettivita'; Porta di Dominio dell'Ente: Porta di Dominio dell'Ente, qualificata DigitPA, che si interfaccia da un lato con il Modulo «Porta di Accesso-Backbone CNSD» presso l'Ente (modulo SS_BKPDD ENTE) per l'invocazione dei servizi applicativi del CNSD da parte degli applicativi interni all'Ente e dall'altro con la Porta di Dominio del CNSD per l'accesso a tali servizi; Porta di Accesso ai Domini Applicativi del CNSD: e' il sistema di sicurezza del CNSD che abilita e gestisce l'accesso ai domini applicativi del CNSD per gli Enti che non utilizzano il Sistema Pubblico di Connettivita'. Porta di Accesso Comunale: la «Porta di Accesso ai Domini Applicativi del CNSD» situata presso il Comune; rappresenta il solo sistema, presente presso il Comune, abilitato all'accesso in rete ai servizi applicativi del CNSD. Porta di Accesso Ente: la «Porta di Accesso ai Domini Applicativi del CNSD» situata presso l'Ente; rappresenta il solo sistema, presente presso l'Ente, abilitato all'accesso in rete ai servizi applicativi del CNSD. Utilizzata dagli Enti che ancora non utilizzano il Sistema Pubblico di Connettivita'. Sistema di monitoraggio, tracciatura e allarme: sistema di vigilanza informatica del Ministero dell'interno in grado di assicurare, per l'intera filiera di comunicazione, il controllo della sicurezza, la tutela della riservatezza, la gestione degli allarmi e la misura della qualita' dei servizi del CNSD. 3. Premessa. Presso Il CNSD, Centro nazionale per i Servizi Demografici, operano i servizi anagrafici del Dipartimento degli Affari Interni e Territoriali del Ministero dell'interno. I servizi anagrafici del CNSD rappresentano un sistema complesso di cooperazione a garanzia della circolarita' anagrafica tra diverse Amministrazioni il cui fulcro principale e' l'Indice Nazionale delle Anagrafi (INA), realizzato con strumenti informatici nel rispetto delle regole tecniche concernenti il sistema pubblico di connettivita'. Il modello organizzativo del CNSD, il modello di cooperazione e di circolarita' anagrafica, nonche' la sicurezza e tutela della privacy si basano sui seguenti presupposti: Da un punto di vista normativo: Decreto legislativo n. 82/2005 e successive modificazioni e integrazioni Circolare n. 23/2005 del 20 giugno 2005 e relativo allegato tecnico D.M. 2 agosto 2005 sulla sicurezza: Gazzetta Ufficiale n. 218 del 19 settembre 2005 - supplemento ordinario n. 155 Piano di Sicurezza Comunale Piano di Sicurezza del CNSD D.M. n. 240/2005 Convenzioni con gli enti centrali per i processi di circolarita' anagrafica Schema di CONVENZIONE tra il MINISTERO DELL'INTERNO e la REGIONE ... per il collegamento all'INDICE NAZIONALE DELLE ANAGRAFI (I.N.A.) approvato dalla Conferenza Unificata nella seduta del 10 febbraio 2011 Accordi di servizio, in aggiunta alle Convenzioni, per gli enti che adottano SPC Da un punto di vista tecnico: Architettura di sicurezza della Porta di Accesso e del protocollo Backbone e relativa regolamentazione tecnica Architettura di sicurezza per l'integrazione del protocollo Backbone nelle Porte di Dominio degli enti che adottano SPC, coerentemente con il modello di sicurezza del SPC Indicazioni tecniche per la connessione delle Regioni e Province Autonome al CNSD - allegato allo schema di CONVENZIONE tra il MINISTERO DELL'INTERNO e la REGIONE ... per il collegamento all'INDICE NAZIONALE DELLE ANAGRAFI (I.N.A.) - approvate dalla Conferenza Unificata nella seduta del 10 febbraio 2011 Grazie ad una grande flessibilita' allo stato attuale il CNSD vede, contemporaneamente, enti connessi su SPC con Porta di Dominio integrata con Modulo Porta di Accesso-Backbone, denominato «modulo SS_BKPDD», (tipicamente le Regioni e alcuni enti centrali) ed enti (tipicamente i Comuni e i primi enti centrali collegati), connessi tramite l'architettura, definita nei regolamenti tecnici richiamati, basata su «Porta di Accesso» e protocollo di sicurezza «Backbone». Per utilizzare il Sistema Pubblico di Connettivita' e nel contempo rispettare gli stringenti requisiti di sicurezza e privacy del CNSD il protocollo Backbone e' stato integrato in SPC realizzando un «modulo plug-in» della Porta di Dominio denominato SS_BKPDD CNSD (per la Porta di Dominio del CNSD qualificata DigitPA) e SS_BKPDD ENTE (per la Porta di Dominio qualificata DigitPA degli enti che si connettono al CNSD per i processi di circolarita' anagrafica). Il modulo SS_BKPDD ENTE viene fornito dal Ministero dell'interno a tutti gli enti dotati di Porta di Dominio che sottoscrivono la convenzione e il relativo accordo di servizio con il Ministero stesso per i processi di circolarita' anagrafica. La relativa architettura e' descritta nell'allegato tecnico allo schema di Convenzione tra il Ministero dell'interno e le Regioni per il collegamento all'Indice Nazionale delle Anagrafi approvato ufficialmente il 10 febbraio 2011 dalla Conferenza Unificata. A tendere, in relazione al grado di evoluzione e dispiegamento del SPC e delle relative regole tecniche e di sicurezza, l'infrastruttura INA utilizzera' pienamente tale sistema, prevedendo anche l'interfacciamento del sistema di sicurezza INA CNSD per fornire informazioni di monitoraggio al CERT-SPC. 4. Architettura di cooperazione e sicurezza del CNSD applicata all'INA. L'architettura di cooperazione e sicurezza del Ministero dell'interno presso il CNSD si basa sull'infrastruttura di intermediazione, cooperazione e sicurezza «Backbone» che provvede a garantire la cooperazione applicativa, la sicurezza, la protezione dei dati e la tutela della privacy, per una molteplicita' di servizi informativi utilizzati da PA centrali, PA locali ed Enti. Tale coordinamento e composizione dei servizi erogati online dal CNSD e' sostenuto, inoltre, dal Sistema di monitoraggio, tracciatura e allarme. Il Backbone utilizza un protocollo che separa nettamente la componente applicativa da quella di autenticazione e da quella di gestione del trasporto delle informazioni associate ai servizi applicativi. La figura seguente schematizza l'architettura di cooperazione e sicurezza del CNSD. Parte di provvedimento in formato grafico Nella figura la Regione rappresenta un esempio tipico di ente connesso al CNSD per i processi di circolarita' anagrafica. La stessa architettura viene utilizzata dagli enti centrali autorizzati ai processi di circolarita' anagrafica in quanto la logica di funzionamento rimane identica. Presso la Porta di Dominio dell'ente connesso con il CNSD e' presente il modulo SS_BKPDD ENTE, mentre presso il CNSD e' presente il modulo SS_BKPDD CNSD della Porta di Dominio del CNSD; tali componenti costituiscono l'infrastruttura di sicurezza Backbone per la gestione della sicurezza delle comunicazioni tra Regione e CNSD. Presso i Comuni e alcuni enti centrali l'architettura di sicurezza per l'accesso al CNSD si puo' basare, invece che su Porta di Dominio integrata con modulo SS_BKPDD, anche sulla Porta di Accesso Comunale ai domini applicativi del CNSD (d'ora in avanti anche «Porta di Accesso») e sul canale sicuro Backbone per la comunicazione su rete Internet. In ogni caso la logica di funzionamento rimane identica e le funzionalita' e le misure di sicurezza assicurate dall'infrastruttura di cooperazione e sicurezza «Backbone» sono uguali per cui, nel seguito, non si faranno distinzioni. a. Infrastruttura di cooperazione e sicurezza «Backbone». Tutti i servizi applicativi afferenti al CNSD vengono incapsulati in un canale di autenticazione e autorizzazione basato sull'infrastruttura di cooperazione e sicurezza «Backbone» che controlla i permessi di Accesso alle singole componenti applicative del soggetto che ha effettuato l'autenticazione sulla postazione dotata di Backbone. Si tratta di una autenticazione all'infrastruttura di sicurezza «Backbone» del CNSD che gestisce i profili di autorizzazione di tutti i servizi applicativi del CNSD e non di una semplice autenticazione al sistema operativo della postazione. Il Backbone consente infatti di individuare la terna «postazione-utente-servizio» tramite una gestione delle credenziali che assicura la possibilita' di individuare quale utente da quale postazione e' stato autenticato per usare un determinato servizio applicativo. Anche la postazione viene autenticata tramite un identificativo univocamente associato alla postazione stessa. In particolare per ogni postazione viene creato un identificativo hardware «Backbone» che consente di associare univocamente la postazione all'ente cui e' assegnata. L'identificativo e' costituito da una chiave hardware univoca creata nel momento della inizializzazione e abilitazione della postazione. Utilizzando il Sistema di monitoraggio, tracciatura e allarme e' possibile associare i flussi applicativi ai profili di autorizzazione nonche' verificare la conformita' del flusso rispetto agli schemi applicativi (ad esempio XSD) e relativi tracciati record. I server applicativi hanno necessita' di riconoscere il tipo di flusso in funzione del servizio applicativo e di un identificativo ad esso associato. A tal fine l'identificativo serve a distinguere la versione del software utilizzato sulla postazione per erogare uno specifico servizio. Ogni versione di software applicativo ha un identificativo diverso. L'identificativo viene utilizzato dal sistema di Sistema di monitoraggio, tracciatura e allarme per classificare univocamente ciascuna transazione. I servizi di autenticazione e autorizzazione dell'infrastruttura sono gestiti dal Backbone. Il Backbone incapsula i servizi applicativi nel canale di autenticazione e autorizzazione secondo il seguente paradigma di funzionamento: La componente di Accesso del Backbone («Porta di Accesso» di front end oppure la Porta di Dominio integrata con modulo «Backbone» SS-BKPDD) verso un punto di cooperazione con un ente che accede ai servizi del CNSD viene definita sulla base di uno o piu' procedimenti amministrativi che determinano la necessita' di cooperazione tra l'organizzazione e il Ministero dell'interno. La Porta di Accesso (o modulo SS-BKPDD della Porta di Dominio) consente quindi di assicurare la corrispondenza selettiva dei profili di autorizzazione sia degli enti, sia degli incaricati, sia dei punti di Accesso utilizzati per usufruire dei servizi applicativi relativi ai procedimenti. Infatti la Porta di Accesso (o modulo SS-BKPDD della Porta di Dominio) e' definita attraverso un servizio di autenticazione che identifica l'amministrazione che coopera con il Ministero dell'interno, determina in modo univoco e certifica il punto di origine della comunicazione e associa al punto di origine le credenziali che definiscono in modo univoco il responsabile della sicurezza del dispositivo fisico presso il quale e' situata la componente di front end del Backbone della Amministrazione che coopera con il Ministero dell'interno. L'accesso al servizio applicativo esposto dal Ministero dell'interno-CNSD prevede che la richiesta venga consegnata all'agente di sicurezza Backbone presso il dispositivo (Porta di Accesso o modulo SS-BKPDD della Porta di Dominio) che risiede presso l'unita' organizzativa dell'ente abilitato a cooperare con il Ministero dell'interno. La componente Backbone verifica che il servizio applicativo appartenga ai profili di autorizzazione consentiti per quella Porta di Accesso (o modulo SS-BKPDD della Porta di Dominio). Questi profili di autorizzazione consentono di discriminare la tipologia di servizi applicativi cui l'ente e' stato abilitato e le caratteristiche di utilizzo di tali servizi ad esso riservate. Una volta consegnata alla Porta di Accesso (o modulo SS-BKPDD della Porta di Dominio), la componente di richiesta del servizio applicativo e i dati ad essa associati vengono crittografati con algoritmo a standard RSA 2048 bit e incapsulati dall'agente di sicurezza Backbone in una apposita struttura per il servizio di invio su rete. La struttura, crittografata attraverso un sistema di cifratura asimmetrica con mutua autenticazione dei peer, basato sul profilo dei servizi applicativi e delle credenziali delle postazioni, viene quindi inviata al CNSD su canale di comunicazione SSL. I certificati client e server necessari per la mutua autenticazione sono emessi dalla Certification Authority del CNSD. L'agente di sicurezza Backbone invia le comunicazioni solo dopo aver verificato la corretta corrispondenza dell'insieme di regole di sicurezza che gli sono assegnate. Tra queste regole si hanno il controllo: dell'identificativo hardware «Backbone» della postazione di lavoro della corrispondenza tra username e password e identificativo hardware «Backbone» della postazione di lavoro della corretta attivazione, tramite username e password, della postazione di lavoro connessa al backbone dello stato di abilitazione/disabilitazione della postazione di lavoro dello stato di abilitazione/disabilitazione dell'utente dell'abilitazione dell'utente alla transazione in rete richiesta dell'abilitazione della postazione di lavoro alla transazione in rete richiesta della presenza di specifici attributi nella transazione in rete richiesta Il servizio di invio associa alla struttura crittografata alcune informazioni necessarie a caratterizzare la richiesta come ad esempio il nome del servizio applicativo incapsulato, gli identificatori del punto di Accesso e dell'organizzazione associata. Nel caso di un Comune abilitato all'accesso ai sevizi anagrafici del CNSD con 3 postazioni riconosciute e certificate il sistema di autorizzazione prevede di identificare l'ente richiedente (il Comune), la postazione da cui e' stata fatta la richiesta (una delle 3 postazioni riconosciute) oltre alle credenziali di autenticazione del richiedente. La struttura crittografata viene identificata al momento della ricezione presso la corrispondente componente Backbone del CNSD. La componente Backbone presso il CNSD quando riceve la struttura crittografata verifica, sulla base delle credenziali, che il punto di invio e l'utente fossero autorizzati ad effettuare quella comunicazione, verifica l'integrita' della struttura crittografata e quindi la decifra. In base al nome del servizio applicativo la componente Backbone consegna la struttura decifrata al servizio applicativo deputato al trattamento. Si rimanda alla Circolare del Dipartimento per gli affari interni e territoriali n. 23/2005 del 20 giugno 2005 e al D.M. 2 agosto 2005 sulla sicurezza (Gazzetta Ufficiale n. 218 del 19 settembre 2005 - Supplemento Ordinario n. 155) per i dettagli relativi alle procedure di attivazione e di gestione. L'infrastruttura di cooperazione e sicurezza «Backbone» fornisce inoltre, per tutti i servizi applicativi afferenti al CNSD, le seguenti funzioni: Certificazione del punto di origine e destinazione delle comunicazioni tra ente e CNSD: identificazione univoca del sistema informatico che rappresenta il punto di origine della comunicazione dell'ente verso l'INA associazione in modo certo e sicuro del sistema informatico all'ente abilitato Erogazione dei servizi applicativi ai soli sistemi abilitati: Identificazione certa dei sistemi informatici dell'ente abilitati ad accedere ai servizi applicativi del CNSD Protezione dei flussi informativi scambiati con l'ente Riservatezza delle informazioni tramite cifratura dei flussi Certificazione dei flussi applicativi tramite firma dei flussi con algoritmo di firma digitale che utlizza I certificati emessi dalla Certification Authority del CNSD L'architettura di sicurezza per l'accesso al CNSD si basa sul canale sicuro Backbone per la comunicazione su rete, sulla «Porta di Accesso», sui moduli SS_BKPDD CNSD e SS_BKPDD ENTE che si integrano rispettivamente nella Porta di Dominio del CNSD e nella Porta di Dominio dell'Ente connesso. L'architettura e' stata integrata con il Sistema Pubblico di Connettivita' e cooperazione (SPC) definito dal Codice dell'Amministrazione Digitale e dalle Regole Tecniche (cfr. Decreto legislativo n. 235/10 del 31 dicembre 2010 e decreto del Presidente del Consiglio dei Ministri del 1° aprile 2008), e, a tendere, sara' previsto l'interfacciamento con il CERT-SPC. La logica architetturale e' basata su un sistema di agenti di natura adattiva. Cio' vuol dire che ogni agente e' in grado di utilizzare regole di sicurezza diverse in funzione del servizio applicativo. L'infrastruttura di cooperazione e sicurezza Backbone si avvale di agenti di sicurezza che hanno funzionalita' di configurazione e gestione dei formati di sicurezza dei dati e dei relativi flussi, per ciascun servizio applicativo, entranti/uscenti dalle postazioni protette da Backbone. Se il servizio e' di consultazione allora l'agente controlla solo le credenziali di autenticazione. Se il servizio applicativo permette il trattamento di informazioni l'agente costruisce anche un hash dei flussi di comunicazione per controllare che l'hash dei dati inviati dal client corrisponda all'hash dei dati ricevuti dal server. Se il servizio riguarda l'aggiornamento del software applicativo sulla postazione l'agente verifica anche che la versione del servizio applicativo in uso presso la postazione abbia un identificativo corrispondente a quello dell'aggiornamento ricevuto e che l'hash del software di aggiornamento corrisponda a quello di uno dei software di aggiornamento catalogati come autorizzati per accedere ai servizi del CNSD tramite infrastruttura di cooperazione e sicurezza «Backbone». Inoltre gli agenti di sicurezza, per ogni transazione in rete verso un peer/server, si fanno carico di cifrare i dati e di inviarli verso il peer/server su un canale di comunicazione SSL secondo le modalita' sopra specificate. L'infrastruttura di cooperazione e sicurezza Backbone si avvale inoltre di agenti di cooperazione distribuiti che forniscono funzionalita' di configurazione e gestione di protocolli di cooperazione specifici al fine di garantire modalita' di cooperazione omogenei ed uniformi sia su SPC che su Internet. b. Sistema di Monitoraggio dei servizi: Allarmi sicurezza e allarmi servizi Allarmi sicurezza. L'infrastruttura di sicurezza del CNSD include un sistema di monitoraggio e allarme che consente, relativamente alla sicurezza, di controllare le seguenti informazioni: Monitoraggio, documentazione e certificazione delle transazioni: Monitoraggio, tracciatura e notifica del funzionamento dei servizi applicativi del CNSD Monitoraggio, tracciatura e notifica dei tentativi di Accesso illeciti ai servizi applicativi del CNSD Monitoraggio, tracciatura e notifica di tentativi di intrusione e/o modifica dei flussi applicativi su rete Controllo della disponibilita' del servizio Rilevazione e gestione di allarmi: Verifica della connettivita' di rete al CNSD Verifica della conformita' dei flussi di rete Verifica dei tentativi di Accesso illeciti Verifica dei tentativi di intrusione e/o modifica dei flussi Verifica e gestione della continuita' di erogazione dei servizi applicativi Allarmi servizi. Il sistema di monitoraggio, tracciatura e allarme dell'infrastruttura di sicurezza del CNSD consente sia di monitorare e documentare la qualita' dei servizi (tempi di risposta, disponibilita', errori, etc.) sia di rilevare allarmi relativamente all'utilizzo dei servizi ed agli adempimenti che questi comportano. Tali rilevazioni possono essere effettuate dal sistema sia lato centrale (CNSD) sia periferico (Comuni, Regioni, prefetture). E' inoltre prevista la produzione di report periodici. Nell'header di trasmissione dei dati al CNSD attraverso il Backbone, viene inglobato un numero di protocollo che identifica il lotto di dati inviato. Per ogni lotto e' possibile riconoscere il numero di comunicazioni per ogni singola tipologia di servizio classificata. 5. Misure di sicurezza garantite dall'infrastruttura di cooperazione e sicurezza Backbone. Il presente paragrafo illustra come l'infrastruttura di cooperazione e sicurezza Backbone del CNSD, sia nella sua implementazione Porta di Accesso sia nella sua implementazione Porta di Dominio integrata con modulo Backbone SS-BKPDD, implementa le misure di sicurezza sulla base del Codice in materia di protezione dei dati personali. Autenticazione informatica. 1. Gestione autenticazione utenti. Tutti i servizi applicativi del CNSD vengono incapsulati in un canale di autenticazione SSL basato su Backbone che controlla i permessi di Accesso alle singole componenti applicative del soggetto che ha effettuato l'autenticazione sulla postazione dotata di Backbone. Non si tratta di autenticazione al sistema operativo della postazione ma di autenticazione all'infrastruttura di sicurezza «Backbone» del CNSD che gestisce i profili di autorizzazione di tutti i servizi applicativi del CNSD. L'utilizzo di username e password, sul client, e' direttamente sotto il controllo di un agente di sicurezza del Backbone che protegge adeguatamente la password utente cifrandola in modalita' tale da evitare anche che si crei regolarita' nella trasmissione di dati di autenticazione cifrati. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola «chiave» riservata conosciuta solamente dal medesimo. Sono assegnate per l'uso della postazione di accesso periferica (abilitata tramite Backbone) e permettono anche di autorizzare all'incaricato all'uso dei servizi applicativi. 3. Le credenziali per l'autenticazione della Porta di Accesso sono assegnate individualmente all'ente nella persona del responsabile della sicurezza Comunale. Il sistema Backbone consente di definire il numero massimo di utenti autorizzabili. Il responsabile puo' quindi richiedere l'autorizzazione per altri utenti (di norma fino a 3). E' prevista un'Interfaccia per la registrazione della postazione e una interfaccia per l'abilitazione di altri utenti (da notare che l'utente puo' essere abilitato ai soli servizi applicativi d'interesse). Nel caso di altro ente, diverso dal Comune, le credenziali per l'autenticazione sono consegnate al responsabile del trattamento dei dati nominato dall'ente ai sensi della convenzione stipulata tra il Ministero e l'ente stesso. 4. Il Piano di Sicurezza Comunale, verificato e approvato dagli uffici periferici (Prefettura - UTG) del Ministero definisce le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. L'attuazione del Piano di sicurezza viene verificata nel contesto dei compiti di vigilanza del Ministero. Per gli altri enti, diversi dai Comuni, vengono adottate le specifiche cautele in uso presso gli enti stessi. E' compito del responsabile del trattamento dei dati nominato dall'ente consegnare al Ministero la descrizione delle misure adottate per assicurare la segretezza della componente riservata della credenziale. 5. La parola chiave e' composta da piu' di otto caratteri. I caratteri devono essere sia alfabetici che numerici. 6. Il Backbone consente, per alcuni servizi, l'adozione di sistemi di «autenticazione rafforzata» (password a scadenza immediata, tessere smart card dotate di Pin, credenziali digitali con scadenza prefissata o finestra temporale prefissata di validita' ...) per ridurre la possibilita' di usi impropri, cessione o sottrazione delle credenziali di Accesso. I servizi per cui sono stati adottati sistemi di «autenticazione rafforzata» riguardano il sistema CIE. Per altri servizi possono essere adottati a richiesta. 7. I codici per l'identificazione non vengono assegnati ad altri incaricati, neppure in tempi diversi. I codici di identificazione delle postazioni sono protetti da cifra e cambiati dinamicamente secondo un protocollo noto solo al centro (CNSD). 8. L'informazione relativa all'ultimo utilizzo della credenziale e' disponibile presso il CNSD che puo' decidere opportune politiche di intervento (contatto con l'utente, sollecito all'uso del sistema ...) fino ad arrivare alla disattivazione della credenziale e della postazione di Accesso. La funzione di disattivazione e' attivabile dal CNSD in modo centralizzato con capillarita' a livello di intero ente o di singola postazione/utente. 9. Nel caso venga nominato un nuovo responsabile della sicurezza Comunale o un nuovo responsabile del trattamento dei dati per gli altri enti (quindi il precedente perde la qualita' che gli consente l'accesso ai dati) le credenziali del precedente responsabile vengono disattivate e vengono create nuove credenziali. Le credenziali assegnate non possono essere ri-assegnate. 10. Il Piano di Sicurezza Comunale, verificato e approvato dagli uffici periferici (Prefettura - UTG) del Ministero definisce le necessarie cautele relativamente alle procedure adottate per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Per gli altri enti, diversi dai Comuni, vengono adottate le specifiche cautele in uso presso gli enti stessi. Il sistema Backbone attualmente permette di tracciare dal centro la durata del fermo dell'operativita' delle postazioni periferiche collegate. 11. In caso di prolungata assenza dell'incaricato le sue funzioni vengono svolte con altre credenziali create dal responsabile per altri soggetti (normalmente fino ad un massimo di 3 postazioni e 3 soggetti per ente a meno che non sia diversamente specificato in convenzione o esplicitamente richiesto e autorizzato). 12. Le misure di cui ai punti precedenti non si applicano ai dati destinati alla libera diffusione. Autorizzazione. 13. L'infrastruttura di sicurezza «Backbone» del CNSD gestisce i profili di autorizzazione per tutti i servizi applicativi del CNSD. 14. L'infrastruttura di sicurezza «Backbone» fornisce un sistema di autorizzazione che consente di identificare l'ente richiedente, la postazione da cui e' stata fatta la richiesta oltre alle credenziali di autenticazione del richiedente (normalmente fino ad un massimo di 3 postazioni e 3 soggetti per ente a meno che non sia diversamente specificato in convenzione o esplicitamente richiesto e autorizzato). La configurazione delle postazioni e dei profili di autorizzazione viene effettuata preventivamente all'autorizzazione ad accedere ai servizi del CNSD. Vengono configurati i soli servizi del CNSD cui l'ente ha diritto di accedere. In tale insieme si puo' anche limitare l'autorizzazione di Accesso di una specifica postazione e/o utente ad un sotto-insieme di servizi. 15. Periodicamente viene rinnovata la convenzione verificando che l'ente mantenga i diritti di accedere ai servizi. La tempestiva disabilitazione all'accesso del personale adibito ad altre mansioni o non piu' in servizio e l'adeguamento costante dei profili di autorizzazione e' attuata in funzione delle nomine dei Responsabili. Nel caso venga nominato un nuovo Responsabile (quindi il precedente perde la qualita' che gli consente l'accesso ai dati) le credenziali del precedente responsabile vengono disattivate e vengono create nuove credenziali. Le credenziali assegnate non possono essere ri-assegnate. Profilatura, monitoraggio, tracciatura e allarme. 16. Gestione profilatura utenti. Utilizzando il Sistema di monitoraggio, tracciatura e allarme e' possibile associare i flussi applicativi ai profili di autorizzazione nonche' verificare la conformita' del flusso rispetto agli schemi applicativi (ad esempio XSD) e relativi tracciati record. I server applicativi hanno necessita' di riconoscere il tipo di flusso in funzione del servizio applicativo e di un identificativo ad esso associato. A tal fine l'identificativo serve a distinguere la versione del software utilizzato sulla postazione per erogare uno specifico servizio. Ogni versione di software applicativo ha un identificativo diverso. L'identificativo viene utilizzato dal sistema di Sistema di monitoraggio, tracciatura e allarme per classificare univocamente ciascuna transazione. 17. Il Backbone rende disponibile un sistema di certificazione digitale e di censimento delle postazioni terminali dai quali si ha accesso ai dati realizzato tramite il Backbone e il modulo SS_BKPDD delle Porte di Dominio. Le postazioni vengono censite tramite l'identificativo Backbone che consente di associare univocamente la postazione all'ente cui e' assegnata impedendo accessi da postazioni non dell'ente. Con modalita' analoghe viene assicurata la certificazione digitale dei server del CNSD. Viene assicurata la certificazione del punto di origine e di destinazione dei flussi relativi alle transazioni (matrice origine-destinazione). La rappresentazione in tempo reale di tutti i flussi tra gli enti abilitati e il CNSD viene assicurata da un apposito «Cruscotto di tracciatura, monitoraggio e allarme» a disposizione del Ministero. In caso di necessita' puo' essere dispiegata la funzione per disabilitare l'intera postazione oppure per disattivare un sotto-insieme di servizi applicativi selezionando il servizio o i servizi da disabilitare sulla specifica postazione. 18. Gli accessi contemporanei con medesime credenziali sono tracciati. In ogni caso e' sempre conosciuto l'identificativo Backbone univoco della postazione origine e quindi e' discriminata l'identita' digitale delle postazioni che accedono al sistema. Se necessario e' possibile dispiegare la funzione che impedisce l'accesso di una postazione se la credenziale che si sta usando e' gia' usata da un'altra postazione. 19. Gli accessi non conformi a quanto stabilito nelle convenzioni o nei regolamenti e disposizioni del Ministero vengono tracciati e rifiutati. E' possibile disabilitare, manualmente, una postazione se si rileva un eccesso di tentativi di accesso non conformi. Se necessario e' possibile dispiegare la funzione che permette di disabilitare, in modo automatico, (momentaneamente o permanentemente) una postazione se i tentativi di Accesso non conformi si presentano con una frequenza che supera una soglia prefissata. 20. Il Backbone e i suoi «agenti di sicurezza» consentono il tracciamento degli utenti che accedono via web, via web services e altri protocolli applicativi. Un apposito Cruscotto di monitoraggio, tracciatura e allarme consente di rappresentare sia il normale funzionamento del sistema sia le anomalie che si dovessero presentare rispetto alle normali regole di cooperazione e interscambio dei dati definite tra le parti. Se necessario e' possibile dispiegare la funzione che permette di limitare quantitativamente e/o qualitativamente gli accessi e le interrogazioni. 21. Il tracciamento degli utenti che accedono ai servizi del CNSD nelle diverse modalita' e' assicurato dagli agenti di sicurezza del Backbone. Informazioni in merito agli orari di Accesso sono disponibili a livello di infrastruttura centrale del Backbone. Se necessario e' possibile dispiegare la funzione che permette, sulla base delle informazioni disponibili, di definire profili che prevedano limitazioni orarie per gli accessi di determinate categorie di utenti. 22. Il Backbone e i suoi «agenti di cooperazione» consentono l'esatta associazione tra la postazione-utente e le informazioni accedute dall'utente tramite la postazione. E' conservato il dettaglio delle informazioni a cui si e' avuto accesso o che si sono aggiornate con una modalita' che consente di ricostruire l'informazione esclusivamente su specifica richiesta dei soggetti titolati. Sono dunque conservate registrazioni (log) di tutte le operazioni effettuate, comprese le visualizzazioni con i riferimenti ai soggetti che hanno effettuato il trattamento e con l'indicazione della data, dell'orario e dei riferimenti agli interessati i cui dati sono stati trattati. Tali registrazioni sono rese accessibili solo a seguito di documentate motivazioni e solo agli incaricati del CNSD cui e' associato il profilo di autorizzazione allo scopo definito. E' quindi possibile associare in modo esatto l'utente, la postazione e le informazioni trattate per ciascuna transazione. In particolare e' possibile tracciare quali informazioni ha trattato (inserito, aggiornato, consultato) un utente, da quale postazione, in che momento e sulla base di quale profilo autorizzativo al servizio che ha utilizzato per trattare le informazioni stesse. 23. E' previsto il tracciamento delle operazioni compiute con possibilita' di identificazione dell'utente (username) che accede ai dati, il timestamp, l'indirizzo IP di provenienza dell'utente e/o della postazione che rappresenta la «Porta di Accesso» o «Porta di Dominio» interconnessa, l'identificativo univoco hardware della postazione (origine della comunicazione), l'operazione effettuata e i dati trattati (tramite tecniche di hash). 24. Sono disponibili, presso il CNSD sul cruscotto di monitoraggio, tracciatura e allarme, informazioni relative all'ultima sessione effettuata con le stesse credenziali. Se necessario la funzione puo' essere dispiegata per renderla disponibile sulle postazioni periferiche, presentando l'informazione relativa alla data e ora dell'ultimo accesso effettuato per ciascun servizio acceduto. 25. E' effettuata la ricognizione giornaliera degli enti che accedono tramite produzione del Report degli accessi effettuati da parte degli enti. Tale Report e' visualizzabile tramite il Cruscotto di monitoraggio, tracciatura e allarme del CNSD anche al fine di verificare la corretta periodicita' delle attivita' previste dalla normativa o dagli accordi tra le parti nonche' il rispetto dei livelli di servizio concordati. 26. E' effettuata la procedura di rilevazione e registrazione degli accessi logici (access log) ai sistemi di elaborazione e agli archivi elettronici del CNSD da parte degli amministratori di sistema come definito dal Garante per la Protezione dei dati personali. Altre misure di sicurezza. 27. Periodicamente vengono censite le postazioni e le utenze che non accedono al sistema da un periodo troppo lungo al fine di deciderne la disabilitazione. Per le utenze di servizio presso il CNSD sono definite, nel Piano di Sicurezza del CNSD, le regole per il controllo delle liste degli incaricati per singola funzione e area del CNSD nonche' le regole per il controllo del rinnovo periodico (almeno ogni 3 mesi) delle parte segreta delle credenziali. 28. I dati personali presso il centro sono adeguatamente protetti dall'infrastruttura Backbone e dalle sue tecniche di cifratura. Sono presenti anche apparati di sicurezza di rete, sia perimetrali che interni. Con cadenza almeno trimestrale ne viene effettuato il controllo e l'aggiornamento. 29. Gli aggiornamenti periodici dei programmi di elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati con cadenza almeno trimestrale. 30. Il salvataggio dei dati avviene, in conformita' con le procedure formalizzate nel Piano di Sicurezza del CNSD, con diverse modalita': i. backup incrementale giornaliero ii. backup completo con cadenza settimanale iii. e' prevista la procedura per la conservazione, cifrata, delle registrazioni degli accessi logici (access log) ai sistemi di elaborazione e agli archivi elettronici del CNSD da parte degli amministratori di sistema. 31. Requisiti di idoneita': Il responsabile della sicurezza Comunale e' il Sindaco o un funzionario dallo stesso nominato con atto formale. Per gli altri enti il responsabile del trattamento e' un dipendente nominato dall'ente stesso ai sensi della convenzione stipulata con il Ministero dell'interno per l'accesso al CNSD. 32. La gestione via web, via web services e altri protocolli applicativi dei flussi di dati avviene su canale di sicurezza Backbone che assicura un doppio livello di crittografia: del canale Backbone di comunicazione e del contenuto dei flussi che viaggiano su tale canale. 33. Sono previsti appositi accordi di servizio e stringenti requisiti di sicurezza per l'impiego di web service esposti su rete SPC al fine di impedire che i dati scambiati con il CNSD siano accessibili da altri soggetti oltre a quelli autorizzati. Per tale motivo e' stato definito il modulo «Backbone» SS-BKPDD per la Porta di Dominio, modulo che implementa i protocolli di crittografia e le regole di sicurezza adottate dal Ministero dell'interno. Sono anche protette, con gli stessi protocolli di crittografia e regole di sicurezza, tutte le comunicazioni che avvengono utilizzando la rete Internet.