Gazzetta n. 237 del 10 ottobre 2012 (vai al sommario)
PRESIDENZA DEL CONSIGLIO DEI MINISTRI
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 19 luglio 2012
Definizione dei termini di validita' delle autocertificazioni circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003, e dei termini per la sostituzione dei dispositivi automatici di firma.


IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400 e successive modificazioni, recante la «disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri»;
Visti i decreti del Presidente della Repubblica del 16 novembre 2011 di nomina del Presidente del Consiglio dei Ministri e dei Ministri;
Visto il decreto del Presidente del Consiglio dei Ministri del 13 dicembre 2011, recante delega di funzioni del Presidente del Consiglio dei Ministri in materia di innovazione tecnologica e sviluppo della societa' dell'informazione al Ministro dell'istruzione dell'universita' e della ricerca prof. Francesco Profumo;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, recante Codice dell'amministrazione digitale e, in particolare, gli articoli 29, 31, 35 e 71;
Visto il decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010 riguardante la «Fissazione del termine che autorizza l'autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza» pubblicato nella Gazzetta Ufficiale n. 98 del 28 aprile 2010;
Visto il decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, pubblicato nella Gazzetta Ufficiale della Repubblica n. 254 del 31 ottobre 2011, ed in particolare, l'art. 1 del predetto decreto;
Considerato che, il citato decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, e' stato pubblicato nella Gazzetta Ufficiale della Repubblica italiana in data 31 ottobre 2011;
Ritenuto il termine del 1° novembre 2011 previsto dall'art. 1 del citato decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, non congruo in relazione alla complessita' della procedura di accertamento di conformita' dei dispositivi automatici di firma ai requisiti di sicurezza;
Considerato che l'applicazione delle disposizioni di cui al citato art. 1 potrebbe avere un significativo impatto sui servizi assicurati dall'utilizzo dei dispositivi automatici di firma, creando notevoli disservizi agli utenti che se ne avvalgono, ivi comprese numerose amministrazioni ed enti pubblici;
Considerata, pertanto, l'esigenza di adeguare il termine di cui all'art. 1 del predetto decreto del Presidente del Consiglio dei Ministri 14 ottobre 2011, in modo da consentire ai certificatori l'impiego dei dispositivi per i quali, alla data del 1° novembre 2011, sia stata formalmente attivata la procedura di accertamento di conformita' presso l'Organismo di certificazione della sicurezza informatica (OCSI);
Considerato che, ai sensi della «Procedura di accertamento di conformita' di un dispositivo per la creazione di firme elettroniche ai requisiti di sicurezza previsti dall'allegato III della direttiva 1999/93/CE» di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010 e pubblicata sul sito web dell'Organismo di certificazione della sicurezza informatica (OCSI), il processo di accertamento e' costituito da un processo di valutazione che si conclude con un pronunciamento da parte dell'OCSI sull'adeguatezza del traguardo di sicurezza e da una successiva fase di certificazione presso il medesimo organismo o presso analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme, che si conclude con un attestato finale di conformita';
Considerata pertanto, l'esigenza, sempre in relazione alle ragioni sopra evidenziate, di stabilire in via definitiva le condizioni volte all'attestazione della rispondenza dei dispositivi per l'apposizione di firma elettronica con procedure automatiche gia' in uso ai requisiti di sicurezza previsti dalla vigente normativa nonche' i termini di validita' dell'efficacia delle autodichiarazioni e autocertificazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010;
Su proposta del Ministro dell'istruzione, dell'universita' e della ricerca;
Di concerto con il Ministro dell'economia e delle finanze, acquisito con nota n. 15776 del 25 giugno 2012, e il Ministro dello sviluppo economico, acquisito con nota n. 9440 del 4 maggio 2012;
Visto il decreto-legge 22 giugno 2012, n. 83, pubblicato nella Gazzetta Ufficiale, supplemento ordinario, n. 147 del 26 giugno 2012, recante «Misure urgenti per la crescita» ed, in particolare, gli articoli 19, 20, 21 e 22 con i quali e' «istituita l'Agenzia per l'Italia digitale che, tra le altre, svolge le funzioni di coordinamento, di indirizzo e regolazione affidate a DigitPA dalla normativa vigente e, in particolare, dall'art. 3 del decreto legislativo 1° dicembre 2009, n. 177, fatto salvo quanto previsto dal successivo comma 4», e che «dall'entrata in vigore del decreto DigitPA e l'Agenzia per la diffusione delle tecnologie per l'innovazione sono soppressi»;

Decreta:

Art. 1

1. A decorrere dall'entrata in vigore del presente decreto, i certificatori di firma elettronica di cui all'art. 29 del decreto legislativo 7 marzo 2005, n. 82, possono attestare, mediante autocertificazione, non oltre il termine di ventuno mesi dall'entrata in vigore del presente decreto, la rispondenza dei dispositivi per l'apposizione di firme elettroniche con procedure automatiche ai requisiti di sicurezza previsti dalla vigente normativa, a condizione che per gli stessi dispositivi:
a) alla data del 1° novembre 2011 sia stata formalmente attivata la procedura di accertamento di conformita' presso l'Organismo di certificazione della sicurezza informatica (OCSI);
b) entro novanta giorni dalla data di entrata in vigore del presente decreto, si ottenga il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di certificazione della sicurezza informatica (OCSI) ed entro i successivi quindici giorni sia avviato un processo di certificazione debitamente comprovato presso l'Organismo di certificazione della sicurezza informatica (OCSI) o analogo organismo di certificazione che aderisce all'accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.
2. Le autocertificazioni e le autodichiarazioni, gia' rese ai sensi del decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, continuano a spiegare ininterrottamente i propri effetti, anche dopo il 1° novembre 2011 e non oltre il termine di ventuno mesi dalla data di entrata in vigore del presente decreto, alle medesime condizioni previste dal comma 1.
 
Art. 2

1. E' possibile generare nuove chiavi crittografiche afferenti a certificati qualificati solo dopo avere ottenuto, per i relativi dispositivi, il pronunciamento positivo sull'adeguatezza del traguardo di sicurezza da parte dell'Organismo di certificazione della sicurezza informatica (OCSI) ed entro i successivi quindici giorni sia avviato un processo di certificazione debitamente comprovato presso il medesimo Organismo di certificazione o analogo organismo di certificazione che aderisce all'Accordo internazionale denominato Common Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme».
 
Art. 3

1. Il certificatore che, nei termini indicati all'art. 1, primo comma, lettera b), non dia prova all'Agenzia per l'Italia digitale che per i dispositivi in uso si sia ottenuto il pronunciamento positivo e sia in corso il processo di certificazione indicato nel medesimo articolo, presenta all'Agenzia per l'Italia digitale, entro i successivi quindici giorni, un piano di migrazione per la sostituzione dei dispositivi in uso con altri dispositivi che soddisfino tali requisiti, da completarsi inderogabilmente entro sei mesi.
2. Fino all'avvenuta migrazione ed entro il termine di sei mesi indicato nel comma precedente, le autocertificazioni e le autodichiarazioni di cui all'art. 1 continuano a spiegare ininterrottamente i propri effetti. Il certificatore comunica all'Agenzia per l'Italia digitale la data di effettivo completamento della migrazione.
 
Art. 4

1. Il certificatore che entro il termine di ventuno mesi di cui all'art. 1 non dia prova all'Agenzia per l'Italia digitale dell'avvenuto rilascio dell'attestato finale di conformita' a seguito dell'avvio del processo di certificazione, entro i quindici giorni successivi alla scadenza del medesimo termine presenta all'Agenzia per l'Italia digitale un piano di migrazione per la sostituzione dei dispositivi in uso con altri dispositivi che soddisfino tali requisiti, da completarsi inderogabilmente entro i successivi sei mesi.
2. Fino all'avvenuta migrazione ed entro il termine di sei mesi indicato nel comma precedente, le autocertificazioni e le autodichiarazioni, di cui all'art. 1, continuano a spiegare ininterrottamente i propri effetti. Il certificatore comunica all'Agenzia per l'Italia digitale la data di effettivo completamento della migrazione.
 
Art. 5

1. Scaduti i termini stabiliti nel presente decreto, le dichiarazioni ed autocertificazioni gia' rese allo scopo di attestare la rispondenza dei dispositivi automatici di firma ai requisiti stabiliti dalla vigente normativa cessano definitivamente di avere efficacia.
 
Art. 6

1. Il presente decreto entra in vigore dopo quindici giorni dalla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il presente decreto non reca oneri aggiuntivi per il bilancio dello Stato.
Il presente decreto e' inviato ai competenti organi di controllo.

Roma, 19 luglio 2012

p. Il Presidente del Consiglio dei Ministri
Il Ministro delegato
Profumo
 
Gazzetta Ufficiale Serie Generale per iPhone