Gazzetta n. 296 del 21 dicembre 2006 (vai al sommario) CENTRO NAZIONALE PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE CIRCOLARE 7 dicembre 2006, n. 51 Espletamento della vigilanza e del controllo sulle attivita' esercitate dagli iscritti nell'elenco dei gestori di posta elettronica certificata (PEC), di cui all'articolo 14 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3». Premessa. L'art. 14 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'art. 27 della legge 16 gennaio 2003, n. 3», attribuisce, tra l'altro, al Centro nazionale per l'informatica nella pubblica amministrazione (di seguito indicato «CNIPA»): - la gestione dell'elenco pubblico di cui al medesimo art. 14 (di seguito indicato «elenco»); - il compito di procedere all'iscrizione nell'elenco dei soggetti in possesso dei requisiti prescritti. Consequenziale alle richiamate funzioni, e' l'attribuzione al CNIPA, ai sensi dell'art. 14, comma 13, del citato decreto del Presidente della Repubblica n. 68 del 2005, di funzioni di vigilanza e di controllo sull'attivita' esercitata dai soggetti iscritti nell'elenco, dalle quali discende altresi' il compito di monitorare - anche in collaborazione con le autorita' competenti - eventuali casi di esercizio o pubblicizzazione della attivita' di gestore di posta elettronica certificata (di seguito indicata «PEC») da parte di soggetti non abilitati. Successivamente, l'art. 19 del decreto del Ministro per l'innovazione e le tecnologie 2 novembre 2005, recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata», ha demandato al CNIPA il compito di definire, con proprie circolari, sia le modalita' di inoltro delle domande di iscrizione nell'elenco, sia le modalita' dell'esercizio dei richiamati compiti di vigilanza e controllo. Il CNIPA, con la circolare 24 novembre 2005, n. CNIPA/CR/49, ha provveduto a fornire le indicazioni relative alle modalita' con le quali coloro che intendono esercitare attivita' di gestori di PEC devono presentare domanda. Con la presente circolare si indicano le modalita' attraverso le quali il CNIPA svolge la suddetta funzione di vigilanza e di controllo. 1. Test di interoperabilita' del sistema di gestione della PEC. 1.1 Ai sensi dell'art. 5 del citato decreto del Presidente della Repubblica n. 68 del 2005 e dell'art. 8 del decreto del Ministro per l'innovazione e tecnologie del 2 novembre 2005 (di seguito indicato «decreto ministeriale»), i sistemi di PEC utilizzati dai gestori devono essere interoperabili. Il CNIPA svolge la funzione di vigilanza e di controllo sulla predetta interoperabilita' ai sensi dei successivi punti. 1.2 Ogni gestore deve superare con esito positivo una serie di test di interoperabilita' presso una struttura indicata dal CNIPA. La serie di test e' pubblicata sul sito del CNIPA (www.cnipa.gov.it). Detti test devono essere ripetuti ogni volta che il gestore apporti modifiche funzionali o tecniche che impattino sull'interoperabilita' dei sistemi di PEC. Il gestore deve, in ogni caso, fornire al CNIPA una casella di PEC per tutto il periodo di esercizio della relativa attivita'. 1.3 I test di interoperabilita' di cui al punto 1.2 sono obbligatori trascorso il termine di trenta giorni solari che decorrono dal giorno successivo a quello della loro pubblicazione sul sito del CNIPA. Quest'ultimo comunica a ciascun gestore la pianificazione delle rispettive fasi di test. 1.4 Il CNIPA puo' in qualsiasi momento effettuare verifiche, anche mediante visite presso il gestore, per accertare la piena interoperabilita' del sistema di PEC del gestore medesimo, anche richiedendo la ripetizione, in tutto o in parte, della serie di test. 2. Vigilanza e controllo sull'esercizio delle attivita' dei gestori. 2.1 Il CNIPA esercita attivita' di vigilanza e di controllo al fine di verificare il possesso e il mantenimento dei requisiti previsti per l'iscrizione nell'elenco. 3. Modalita' di vendita dei servizi di PEC attraverso canali commerciali. 3.1 Il CNIPA monitora le modalita' di vendita dei servizi di PEC attraverso canali commerciali, anche avvalendosi del supporto di terzi, e verifica, in particolare, che le modalita' di vendita siano conformi alle prescrizioni di legge e che il rapporto contrattuale sia sempre posto in essere tra il titolare di cui all'art. 1, lettera t) del decreto ministeriale ed un gestore; a tal fine, ogni gestore deve mettere a disposizione del CNIPA, su richiesta di quest'ultimo, le informazioni del caso. 4. Struttura informativa dei gestori. 4.1 Il gestore organizza una struttura informativa che raccoglie e gestisce le informazioni relative: a) al numero di caselle in esercizio per ciascun dominio; b) al numero totale giornaliero di messaggi di PEC in ingresso alle caselle gestite ed in uscita dalle stesse; c) ai livelli di servizio erogati, con riferimento a quelli previsti dal decreto ministeriale; d) al numero totale giornaliero di virus rilevati in ingresso ai sistemi gestiti ed in uscita dagli stessi. Le informazioni di cui alle lettere a), b), c), d) devono essere inviate al CNIPA con le modalita' e nei tempi definiti al punto 5. 4.2 Il CNIPA puo' inoltre richiedere ai gestori: a) informazioni circa il livello di soddisfazione dei propri clienti; b) le caratteristiche di eventuali servizi aggiuntivi offerti. 4.3 In un'apposita sezione della struttura informativa sono registrate e gestite le informazioni relative a disservizi, segnalazioni e reclami secondo la classificazione riportata nell'allegata tabella «A». 5. Tempi e modalita' delle comunicazioni dirette al CNIPA. 5.1 Ogni gestore e' tenuto a raccogliere le informazioni di cui al punto 4.1 trascorso il termine di sessanta giorni solari decorrenti dalla data di pubblicazione della presente circolare. Dette informazioni devono essere inviate al CNIPA con le cadenze di seguito indicate: a) con frequenza bimestrale, entro il quindicesimo giorno successivo al termine del bimestre di riferimento, devono essere trasmesse le informazioni relative: - al numero di caselle in esercizio per ciascun dominio; - al numero totale giornaliero di messaggi di PEC in ingresso alle caselle gestite ed in uscita dalle stesse; - al numero totale giornaliero di virus rilevati in ingresso ai sistemi gestiti ed in uscita dagli stessi; b) con frequenza quadrimestrale, entro il quindicesimo giorno successivo al termine del quadrimestre di riferimento, devono essere trasmesse le informazioni concernenti: - i livelli di servizio erogati, con riferimento a quelli previsti dal decreto ministeriale citato in premessa. 5.2 Le informazioni di cui al punto 5.1 devono essere inviate tramite posta elettronica certificata alla casella gestoripec@cert.cnipa.it. Le informazioni di cui alla lettera a) del punto 5.1 devono avere un formato conforme a quanto descritto nel sito del CNIPA. Le informazioni di cui alla lettera b) del punto 5.1 devono essere in formato Adobe PDF. 6. Segnalazioni urgenti al CNIPA di malfunzionamenti gravi. 6.1 I gestori hanno l'obbligo di comunicare al CNIPA, con le modalita' e nei tempi indicati al punto 6.2, i disservizi di cui al punto 4, contraddistinti da uno dei seguenti codici: 1A, 1B, 2A, 2B, 3A, 3B, secondo quanto riportato nell'allegata tabella «A». 6.2 In particolare, il gestore e' tenuto ad informare il CNIPA dell'evento occorso, entro trenta minuti dalla rilevazione dell'evento stesso, utilizzando i recapiti e l'apposito modulo indicati nel sito del CNIPA medesimo. La comunicazione deve fornire anche una prima valutazione dell'incidente e le eventuali misure adottate al riguardo. 7. Sospensione del servizio. 7.1 Nel caso di comportamento anomalo e non circoscritto (codici 1A e 1B della citata tabella «A»), il gestore e' tenuto a sospendere il servizio, fornendo adeguata e tempestiva informativa ai propri utenti ed agli altri gestori. Ove il gestore coinvolto non attivi l'autosospensione, il CNIPA dispone la sospensione del servizio. 7.2 Nel caso di comportamento anomalo e circoscritto (codici 2A e 2B della citata tabella «A»), il CNIPA puo' disporre la sospensione del servizio per il gestore coinvolto, fino alla rimozione delle cause che hanno determinato detto comportamento anomalo e circoscritto; in tal caso, il gestore fornisce adeguata e tempestiva informativa ai propri utenti ed agli altri gestori. 7.3 Non appena ripristinata l'operativita', il gestore comunica al CNIPA l'avvenuta rimozione delle cause che hanno determinato il comportamento anomalo e fornisce parimenti al CNIPA entro una settimana dalla data della comunicazione di cui al presente punto, una circostanziata relazione tecnica sull'accaduto e sui provvedimenti adottati in conseguenza. 7.4 Il gestore attua l'autosospensione producendo un «avviso di non accettazione per eccezioni formali» relativamente ai messaggi immessi dai propri utenti e non producendo la «ricevuta di presa in carico» per i messaggi destinati ai propri utenti. 7.5 La sospensione del servizio disposta dal CNIPA viene attuata dal gestore con le medesime modalita' previste per l'autosospensione. 7.6 Qualora il gestore coinvolto non ottemperi a quanto prescritto ai punti 7.1 e 7.2, il CNIPA puo' disporne la cancellazione dall'elenco. 8. Verifiche periodiche dei gestori. 8.1 I gestori hanno l'obbligo di effettuare verifiche semestrali, i cui esiti sono riportati in relazioni sottoscritte dal responsabile delle verifiche stesse e delle ispezioni, come previsto dal decreto ministeriale, e messe a disposizione, su richiesta, del CNIPA. Dette verifiche devono riguardare, in particolare, le componenti tecniche ed organizzative del sistema di PEC, il sistema di raccolta dei livelli di servizio e le tipologie di contratti di vendita dei servizi di PEC. 9. Verifiche del CNIPA. 9.1 Con riferimento alla dichiarazione di cui alla lettera q) del punto 1 della citata circolare n. CNIPA/CR/49 del 24 novembre 2005, il CNIPA puo' effettuare, con un preavviso di 48 ore, sopralluoghi presso le strutture utilizzate dal gestore per verificare la conformita' del sistema di PEC. 10. Provvedimenti nei confronti dei gestori inadempienti. 10.1 A seguito delle risultanze dell'attivita' di vigilanza e di controllo, nell'ipotesi di inosservanza di uno o piu' degli obblighi posti a carico del gestore, il CNIPA puo' disporre l'inibizione dell'esercizio dell'attivita' svolta dal gestore inadempiente, indicando nel contempo il termine entro il quale il gestore stesso deve conformarsi agli obblighi previsti. Qualora il gestore non provveda in tal senso nei tempi indicati, il CNIPA puo' disporre la cancellazione del gestore medesimo dall'elenco. 10.2 Nel caso in cui il CNIPA disponga la cancellazione di un gestore dall'elenco rimane in capo al gestore stesso l'obbligo di conservare e rendere disponibili, su richiesta, i log prodotti nell'ambito dell'attivita' svolta come previsto dall'art. 11, comma 2, del citato decreto del Presidente della Repubblica n. 68 del 2005. Roma, 7 dicembre 2006 Il presidente: Zoffoli   Allegato alla circolare 7 dicembre 2006, n. CNIPA/CR/51 Tabella A Classificazione dei disservizi in relazione agli effetti prodotti e relativi codici identificativi 1. Comportamento anomalo e non circoscritto: comportamento difforme dalle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, relativo alle funzioni base (trattamento del messaggio originario, ricevute e avvisi) per il quale non e' circoscritto il potenziale impatto (codice 1A, se rilevato dal gestore; codice 1B, se rilevato da terzi). 2. Comportamento anomalo circoscritto: comportamento difforme dalle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, relativo alle funzioni base (trattamento del messaggio originario, ricevute e avvisi) per il quale e' circoscritto il potenziale impatto (codice 2A, se rilevato dal gestore; codice 2B, se rilevato da terzi). 3. Malfunzionamento bloccante: tipologia di malfunzionamento a causa del quale le funzionalita' del sistema di PEC, come definite nelle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, non possono essere utilizzate in tutto o in parte dagli utenti (codice 3A, se rilevato dal gestore; codice 3B, se rilevato da terzi). 4. Malfunzionamento grave: tipologia di malfunzionamento a causa del quale in alcune circostanze le funzionalita' del sistema di PEC, come definite nelle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, non possono essere utilizzate in tutto o in parte dagli utenti (codice 4A, se rilevato dal gestore; codice 4B, se rilevato da terzi). 5. Malfunzionamento: situazione a causa della quale le funzionalita' del sistema di PEC, come definite nelle regole tecniche di cui all'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, in tutto o in parte, risultano degradate ovvero il sistema ha un comportamento anomalo in situazioni circoscritte e per funzionalita' secondarie (esclusi: la procedura di identificazione, i messaggi originari, le ricevute, gli avvisi e le buste) (codice 5A, se rilevato dal gestore; codice 5B, se rilevato da terzi). Classificazione dei reclami/segnalazioni degli utenti e relativi codici identificativi RC|Segnalazione di un reclamo relativo al rapporto contrattuale. --------------------------------------------------------------------- |Segnalazione di un reclamo relativo alla procedura di accesso al AL|log. --------------------------------------------------------------------- |Segnalazione di anomalia/disservizio non imputabili al gestore SA|(client, collegamento internet, gestione utenze decentrate).