1) Cosa si intende per allineamento dei dati? 2) Cosa si intende per autenticazione del documento informatico?

Transcript

1 1) Cosa si intende per allineamento dei dati? Il processo di coordinamento dei dati presenti in più archivi finalizzato alla verifica della corrispondenza delle informazioni in essi contenute; 2) Cosa si intende per autenticazione del documento informatico? La validazione del documento informatico attraverso l'associazione di dati informatici relativi all'autore o alle circostanze, anche temporali, della redazione del documento stesso. 3) Cosa si intende per carta d'identità elettronica: il documento d'identità munito di elementi per l'identificazione fisica del titolare rilasciato su supporto informatico dalle amministrazioni comunali con la prevalente finalità di dimostrare l'identità anagrafica del suo titolare; 4) Cos è la carta nazionale dei servizi? Il documento rilasciato su supporto informatico per consentire l'accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni; 5) Cosa Sono i certificati elettronici? gli attestati elettronici che collegano all'identità del titolare i dati utilizzati per verificare le firme elettroniche; 6) Cosa si intende per certificato qualificato? il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva; Parlando di firma digitale, cosa si intende per chiave privata? L'elemento della coppia di chiavi asimmetriche, utilizzato dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico 7) Parlando di firma digitale, cosa si intende per chiave pubblica? L'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche; 8) Cosa si intende per copia informatica di documento analogico? Il documento informatico avente contenuto identico a quello del documento analogico da cui è tratto; 9) Cosa si intende quando si parla di copia per immagine su supporto informatico di documento analogico? Si fa riferimento ad un documento informatico avente contenuto e forma identici a quelli del documento analogico da cui è tratto.

2 10) Cosa si intende per copia informatica di documento informatico? Il documento informatico avente contenuto identico a quello del documento da cui è tratto su supporto informatico con diversa sequenza di valori binari; 11) Cosa si intende per duplicato informatico? Il documento informatico ottenuto mediante la memorizzazione, sullo stesso dispositivo o su dispositivi diversi, della medesima sequenza di valori binari del documento originario; 12) Cosa vuol dire dato a conoscibilità limitata? Il dato la cui conoscibilità è riservata per legge o regolamento a specifici soggetti o categorie di soggetti; 13) Cosa si intende per dato pubblico? il dato conoscibile da chiunque; 14) Cosa si intende per disponibilità del dato? La possibilità di accedere ai dati senza restrizioni non riconducibili a esplicite norme di legge; 15) Cosa si intende per documento informatico? La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti; 16) Cosa si intende per documento analogico? La rappresentazione non informatica di atti, fatti o dati giuridicamente rilevanti; 17) Quale può essere la definizione più appropriata per la firma elettronica? L'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica; 18) Cosa si intende per firma elettronica avanzata? Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; 19) Cosa si intende per firma elettronica qualificata? un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;

3 20) Come può definirsi la firma digitale? un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici; fruibilità di un dato: la possibilità di utilizzare il dato anche trasferendolo nei sistemi informativi automatizzati di un'altra amministrazione; 21) Cosa si intende per gestione informatica dei documenti? l'insieme delle attività finalizzate alla registrazione e segnatura di protocollo, nonché alla classificazione, organizzazione, assegnazione, reperimento e conservazione dei documenti amministrativi formati o acquisiti dalle amministrazioni, nell'àmbito del sistema di classificazione d'archivio adottato, effettuate mediante sistemi informatici; 22) Chi è il gestore di posta elettronica certificata? il soggetto che presta servizi di trasmissione dei documenti informatici mediante la posta elettronica certificata; 23) Cosa si intende per identificazione informatica? la validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso; 24) Cosa si intende per validazione temporale? il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi. 25) Come sono tutelati i diritti dei cittadini e delle imprese nell utilizzo delle tecnologie informatiche nei rapporti con la P.A.? La nuova formulazione dell art. 3 del C.A.D., garantisce una tutela giurisdizionale davanti al giudice amministrativo, disciplinata dal codice del processo amministrativo, ogni qual volta i cittadini e le imprese vedano leso il loro diritto a richiedere ed ottenere l'uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni 26) Cosa si intende per domicilio digitale nella nuova formulazione dell art. 3 Bis del C.A.D.? Il comma 1 del citato articolo dispone Al fine di facilitare la comunicazione tra pubbliche amministrazioni e cittadini, è facoltà di ogni cittadino indicare alla pubblica amministrazione, secondo le modalità stabilite al comma 3, un proprio indirizzo di posta elettronica certificata, rilasciato ai sensi dell'articolo 16-bis, comma 5, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2 quale suo domicilio digitale L'indirizzo dianzi nominato è inserito nell'anagrafe nazionale della popolazione residente-anpr e reso disponibile a tutte le pubbliche amministrazioni e ai gestori o esercenti di pubblici servizi. A tal riguardo con decreto del Ministro dell'interno, di concerto con il Ministro per la pubblica amministrazione e la semplificazione e il Ministro delegato per l'innovazione tecnologica,sentita

4 l'agenzia per l'italia digitale, sono definite le modalità di comunicazione, variazione e cancellazione del proprio domicilio digitale da parte del cittadino, nonché le modalità di consultazione dell'anpr da parte dei gestori o esercenti di pubblici servizi ai fini del reperimento del domicilio digitale dei propri utenti. 27) Da quando è in vigore il domicilio digitale? A decorrere dal 1 gennaio 2013, salvo i casi in cui è prevista dalla normativa vigente una diversa modalità di comunicazione o di pubblicazione in via telematica, le amministrazioni pubbliche e i gestori o esercenti di pubblici servizi comunicano con il cittadino esclusivamente tramite il domicilio digitale dallo stesso dichiarato, anche ai sensi dell'articolo 21-bis della legge 7 agosto 1990, n. 241, senza oneri di spedizione a suo carico. Ogni altra forma di comunicazione non può produrre effetti pregiudizievoli per il destinatario. In assenza del domicilio digitale,le amministrazioni possono predispone le comunicazioni ai cittadini come documenti informatici sottoscritti con firma digitale o firma elettronica avanzata, da conservare nei propri archivi, ed inviare ai cittadini stessi, per posta ordinaria o raccomandata con avviso di ricevimento, copia analogica di tali documenti sottoscritti con firma autografa sostituita a mezzo stampa predisposta secondo le disposizioni di cui all'articolo 3 del decreto legislativo 12 dicembre 1993, n. 39. Tali disposizioni soddisfano a tutti gli effetti di legge gli obblighi di conservazione e di esibizione dei documenti previsti dalla legislazione vigente laddove la copia analogica inviata al cittadino contenga una dicitura che specifichi che il documento informatico, da cui la copia è tratta,è stato predisposto e conservato presso l'amministrazione in conformità alle regole tecniche di cui all'articolo 71 del CAD. Le modalita' di predisposizione della copia analogica soddisfano le condizioni di cui all'articolo 23-ter, comma 5 del CAD, fatti salvi i casi in cui il documento rappresenti, per propria natura, una certificazione rilasciata dall'amministrazione da utilizzarsi nei rapporti tra privati. 28) Sono previste sanzioni se l amministrazione non si adegua all invio delle comunicazioni al domicilio digitale dei cittadini? Oltre la tutela giurisdizionale in sede amministrativa, l'utilizzo di differenti modalità di comunicazione rientra tra i parametri di valutazione della performance dirigenziale ai sensi dell'articolo 11, comma 9, del decreto legislativo 27 ottobre 2009, n ) Cosa si intende per INI-PEC? Al fine di favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica,è istituito, il pubblico elenco denominato Indice nazionale degli indirizzi di posta elettronica certificata (INI-PEC) delle imprese e dei professionisti, presso il Ministero per lo sviluppo economico. L'Indice nazionale è realizzato a partire dagli elenchi di indirizzi PEC costituiti presso il registro delle imprese e gli ordini o collegi professionali, in attuazione di quanto previsto dall'articolo 16 del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n ) Tutti possono accedere all INI-PEC? L'accesso all'ini-pec è consentito alle pubbliche amministrazioni, ai professionisti, alle imprese, ai gestori o esercenti di pubblici servizi ed a tutti i cittadini tramite sito web e senza necessità di autenticazione. Il Ministero per lo sviluppo economico, al fine del contenimento dei costi e dell'utilizzo razionale delle risorse, sentita l'agenzia per l'italia digitale, si avvale per la realizzazione e gestione

5 operativa dell'indice nazionale delle strutture informatiche delle Camere di commercio deputate alla gestione del registro imprese senza far derivare nuovi o maggiori oneri a carico della finanza pubblica. 31) Come viene regolato il pagamento elettronico? Lo Stato, le regioni,le autonomie locali e i gestori di pubblici servizi nei rapporti con l'utenza sono tenuti a far data dal 1 giugno 2013 ad accettare i pagamenti ad essi spettanti, a qualsiasi titolo dovuti, anche con l'uso delle tecnologie dell'informazione e della comunicazione. A tal fine l art. 5 del CAD dispone che i suddetti enti: a) sono tenuti a pubblicare nei propri siti istituzionali e a specificare nelle richieste di pagamento: 1)i codici IBAN identificativi del conto di pagamento, ovvero dell'imputazione del versamento in Tesoreria, di cui all'articolo 3 del decreto del Ministro dell'economia e delle finanze 9 ottobre 2006, n. 293, tramite i quali i soggetti versanti possono effettuare i pagamenti mediante bonifico bancario o postale, ovvero gli identificativi del conto corrente postale sul quale i soggetti versanti possono effettuare i pagamenti mediante bollettino postale; 2) i codici identificativi del pagamento da indicare obbligatoriamente per il versamento; b) si avvalgono di prestatori di servizi di pagamento, individuati mediante ricorso agli strumenti di acquisto e negoziazione messi a disposizione da Consip o dalle centrali di committenza regionali di riferimento costituite ai sensi dell'articolo 1, comma 455, della legge 27 dicembre 2006, n. 296, per consentire ai privati di effettuare i pagamenti in loro favore attraverso l'utilizzo di carte di debito, di credito, prepagate ovvero di altri strumenti di pagamento elettronico disponibili, che consentano anche l'addebito in conto corrente, indicando sempre le condizioni, anche economiche, per il loro utilizzo. Il prestatore dei servizi di pagamento, che riceve l'importo dell'operazione di pagamento, effettua il riversamento dell'importo trasferito al tesoriere dell'ente, registrando in apposito sistema informatico, a disposizione dell'amministrazione, il pagamento eseguito, i codici identificativi del pagamento medesimo, nonché i codici IBAN identificativi dell'utenza bancaria ovvero dell'imputazione del versamento in Tesoreria. Le modalità di movimentazione tra le sezioni di Tesoreria e Poste Italiane S.p.A. dei fondi connessi alle operazioni effettuate sui conti correnti postali intestati a pubbliche amministrazioni sono regolate dalla convenzione tra il Ministero dell'economia e delle finanze e Poste Italiane S.p.A. stipulata ai sensi dell'articolo 2, comma 2, del decreto-legge 1 dicembre 1993, n. 487, convertito, con modificazioni, dalla legge 29 gennaio 1994, n Per le finalità di cui al comma 1, lettera b), le amministrazioni e i soggetti di cui al comma 1 possono altresì avvalersi dei servizi erogati dalla piattaforma di cui all'articolo 81 comma 2-bis e dei prestatori di servizi di pagamento abilitati. 3. Dalle previsioni di cui alla lettera a) del comma 1 possono essere escluse le operazioni di pagamento per le quali la verifica del buon fine dello stesso debba essere contestuale all'erogazione del servizio; in questi casi devono comunque essere rese disponibili modalità di pagamento di cui alla lettera b) del medesimo comma 1. 3-bis. I micro-pagamenti dovuti a titolo di corrispettivo dalle pubbliche amministrazioni di cui all'articolo 1, comma 450, della legge 27 dicembre 2006, n. 296, come modificato dall'articolo 7, comma 2, del decreto-legge 7 maggio 2012, n. 52, convertito, con modificazioni, dalla legge 6 luglio 2012, n. 94, per i contratti di acquisto di beni e servizi conclusi tramite gli strumenti elettronici di cui al medesimo articolo 1, comma 450, stipulati nelle forme di cui all'articolo 11, comma 13, del codice di cui al decreto legislativo 12 aprile 2006, n. 163, e successive modificazioni, sono effettuati mediante strumenti elettronici di pagamento se richiesto dalle imprese fornitrici. 3-ter. Con decreto del Ministero dell'economia e delle finanze da pubblicare entro il 1 marzo 2013 sono definiti i micro-pagamenti in relazione al volume complessivo del contratto e sono adeguate alle finalità di cui al comma 3-bis le norme relative alle procedure di pagamento delle pubbliche amministrazioni di cui al citato articolo 1, comma 450, della legge n. 296 del Le medesime

6 pubbliche amministrazioni provvedono ad adeguare le proprie norme al fine di consentire il pagamento elettronico per gli acquisti di cui al comma 3-bis entro il 1 gennaio L'Agenzia per l'italia digitale, sentita la Banca d'italia, definisce linee guida per la specifica dei codici identificativi del pagamento di cui al comma 1, lettere a) e b) e le modalità attraverso le quali il prestatore dei servizi di pagamento mette a disposizione dell'ente le informazioni relative al pagamento medesimo. 5. Le attività previste dal presente articolo si svolgono con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente. 32) Che valore giuridico hanno i duplicati informatici? Richiamando il disposto dell art. 23 bis del CAD, i duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformità alle regole tecniche di cui all articolo 71 del codice dell amministrazione digitale. Le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui al predetto articolo, hanno la stessa efficacia probatoria dell originale da cui sono tratte se la loro conformità all originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta. Resta fermo, ove previsto, l obbligo di conservazione dell originale informatico. 33) Come viene regolata la formazione e la gestione del Documento informatico? La vigente normativa affida all art. Art.23 ter del CAD la codifica del documento informatico scandendo nei commi che seguono le fondamentali caratteristiche: 1. Gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonché i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge. 2. I documenti costituenti atti amministrativi con rilevanza interna al procedimento amministrativo sottoscritti con firma elettronica avanzata hanno l efficacia prevista dall art del codice civile. 3. Le copie su supporto informatico di documenti formati dalla pubblica amministrazione in origine su supporto analogico ovvero da essa detenuti, hanno il medesimo valore giuridico, ad ogni effetto di legge, degli originali da cui sono tratte, se la loro conformità all'originale è assicurata dal funzionario a ciò delegato nell'ambito dell'ordinamento proprio dell'amministrazione di appartenenza, mediante l'utilizzo della firma digitale o di altra firma elettronica qualificata e nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71;in tale caso l obbligo di conservazione dell originale del documento è soddisfatto con la conservazione della copia su supporto informatico. 4. Le regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni sono definite con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per la pubblica amministrazione e l innovazione, di concerto con il Ministro per i beni e le attività culturali, nonché d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, e sentiti DigitPA e il Garante per la protezione dei dati personali. 5. Sulle copie analogiche di documenti amministrativi informatici può essere apposto a stampa un contrassegno, sulla base dei criteri definiti con linee guida dell'agenzia per l'italia digitale, tramite il quale è possibile ottenere il documento informatico, ovvero verificare la corrispondenza allo stesso della copia analogica. Il contrassegno apposto ai sensi del primo periodo sostituisce a tutti gli effetti di legge la sottoscrizione autografa e non può essere richiesta la produzione di altra copia analogica con

7 sottoscrizione autografa del medesimo documento informatico. I programmi software eventualmente necessari alla verifica sono di libera e gratuita disponibilità. 5-bis. I documenti di cui al presente articolo devono essere fruibili indipendentemente dalla condizione di disabilità personale, applicando i criteri di accessibilità definiti dai requisiti tecnici di cui all'articolo 11 della legge 9 gennaio 2004, n Per quanto non previsto dal presente articolo si applicano gli articoli 21, 22, 23 e 23-bis 34) Si può firmare con un documento elettronico con uno pseudonimo? Richiamando l applicazione dell art.33 del Cad, in luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l'obbligo di conservare le informazioni relative alla reale identità del titolare per almeno venti anni dall emissione del certificato stesso. 35) A quali obblighi deve attenersi il titolare di un certificato di firma elettronica? Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma. 36) A quali obblighi di legge è sottoposto il certificatore? Ai sensi dell art. 32 il certificatore è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi. Il certificatore che rilascia, ai sensi dell'articolo 19, certificati qualificati deve inoltre: a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione; b) rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi stabiliti dalle regole tecniche di cui all'articolo 71, nel rispetto del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni; c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi; d) attenersi alle regole tecniche di cui all'articolo 71; e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione; f) (soppressa) g) procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri del titolare medesimo, di perdita del possesso o della compromissione del dispositivo di firma, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni, secondo quanto previsto dalle regole tecniche di cui all'articolo 71; h) garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonché garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati; i) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;

8 j) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari; k) non copiare, né conservare, le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione; l) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il certificatore; m) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato. m-bis) garantire il corretto funzionamento e la continuità del sistema e comunicare immediatamente a DigitPA e agli utenti eventuali malfunzionamenti che determinano disservizio, sospensione o interruzione del servizio stesso. 37) Chi è responsabile dell identificazione del soggetto richiedente il certificato? Il certificatore è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi. Il certificatore raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l'informativa prevista dall'articolo 13 del decreto legislativo 30 giugno 2003, n I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono. 38) Chi si occupa di vigilare sull operato del certificatore? Qualora si verifichi, salvi i casi di forza maggiore o caso fortuito, un malfunzionamento nel sistema che determini un disservizio, ovvero la mancata o intempestiva comunicazione dello stesso disservizio a DigitPA o agli utenti,(così come previsto ai sensi dell articolo 32, comma 3, lettera m-bis), DigitPA diffida il certificatore qualificato o il gestore di posta elettronica certificata a ripristinare la regolarità del servizio o ad effettuare le comunicazioni ivi previste. Se il disservizio ovvero la mancata o intempestiva comunicazione sono reiterati per due volte nel corso di un biennio, successivamente alla seconda diffida si applica la sanzione della cancellazione dall elenco pubblico. Se l interruzione del servizio ovvero la mancata o intempestiva comunicazione sono reiterati nel corso di un biennio, successivamente alla prima diffida si applica la sanzione della cancellazione dall elenco pubblico. 39) Cosa si intende per cloud computing? Il cloud computing rappresenta una rivoluzione nel modo di distribuire e di utilizzare le tecnologie ICT. Si tratta di un modello flessibile ed economico di fornitura di servizi ICT reso possibile dall accesso online a massicce risorse informatiche condivise. In tal modo potenza elaborativa, database, applicazioni e servizi tendono a divenire delle commodity, cioè beni standard acquistabili in forme essenzialmente equivalenti fra loro dai Cloud Service Provider (CSP) presenti sul mercato.

9 I vantaggi strategici che è possibile perseguire attraverso il cloud computing comprendono la riduzione dei costi dell ICT (hardware, software di base e applicativo, energia elettrica, personale) e la promozione di una ICT condivisa, capace di erogare servizi online a tutti. L utilizzazione di questo paradigma da parte della pubblica amministrazione, ovvero il G-Cloud, è inclusa nelle strategie ICT di molti Paesi. A livello UE si moltiplicano i riferimenti al cloud computing nei documenti strategici (Digital Agenda for Europe, EU Cloud Initiative, egovernment Action Plan ) e nei principali programmi (programma ISA, 7 programma quadro di ricerca, programma CIP ICT PSP). Il cloud computing spinge inoltre ad un deciso ammodernamento dei sistemi informativi attraverso la virtualizzazione delle risorse hardware. Nel back-office produce rilevanti economie di scala accentrando le risorse e favorendo la flessibilità e l integrazione dei differenti sistemi ICT. Nel front-office contribuisce a concentrare l attenzione sull utente finale e ad abbattere i costi di intermediazione. Il cloud nelle sue diverse sfaccettature (IaaS/Paas/SaaS, privato/pubblico/di comunità/ibrido ecc.) interessa non solo per il risparmio e la razionalizzazione che può portare nei data center ma anche per la prospettiva di realizzare infrastrutture condivise che potranno facilitare la progettazione, la realizzazione e la gestione dei sistemi informativi, migliorando in prospettiva tra le amministrazioni e i cittadini. Si può affermare che il cambiamento innescato dal cloud computing si manifesterà per il 20% nella tecnologia e per l 80% nella società. 40) Quali cambiamenti sono stati introdotti nella gestione della continuità operativa? La continuità operativa rappresenta un aspetto di estrema importanza per l e-governement, poiché consente di garantire realmente una disponibilità dei servizi on line superiore a quella degli accessi tradizionali tramite sportello. In tal modo, è possibile fornire al cittadino il pieno esercizio del suo diritto ad accedere ai servizi pubblici per via telematica, come previsto dall Articolo 3 del Codice dell Amministrazione Digitale. L importanza di questo tema ha trovato conferma in occasione della revisione del CAD operata dal decreto legislativo 30 dicembre 2010, n. 235 che ha inserito un nuovo articolo, il 50-bis, Continuità operativa. In sintesi, l articolo prevede: la predisposizione di un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 ( ) la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4). 41) Quali attività sono svolte da DigitPA e dalle Amministrazioni ai fini dell attuazione degli adempimenti previsti per la continuità Operativa ex art. 50 -bis CAD, così come modificato dal D.lgs. 235/2010? Preliminarmente è opportuno richiamare la Circolare 1 dicembre 2011, n. 58 che illustra le attività di competenza di DigitPA e delle Amministrazioni in merito all attuazione dell art. 50 bis - Continuita Operativa (CO) - del Codice dell Amministrazione Digitale (D.lgs. n. 82/2005 così come modificato dal D.lgs. 235/2010, per brevità CAD), richiamando le Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni.

10 La prima parte della Circolare riporta le informazioni che le Amministrazioni devono inviare a DigitPA ai fini del rilascio del parere sugli Studi di Fattibilita Tecnica (SFT) e le modalità di presentazione delle richieste come previsto dal comma 4, art. 50 bis del CAD. La seconda parte della Circolare riporta le informazioni che le Amministrazioni devono inviare a DigitPA ai fini dell attivita di verifica del costante aggiornamento dei Piani di Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis, del CAD. 42) Quali sono le informazioni da inviare a digitpa ai fini del rilascio del parere sugli studi di fattibilità tecnica (sft) e modalità di presentazione delle richieste di parere? La richiesta di parere sullo SFT, predisposta in ottemperanza all art. 50 bis del CAD, deve essere trasmessa mediante posta elettronica certificata (PEC) all indirizzo PEC: Digitpadir@pec.digitpa.gov.it) dal Responsabile della Continuità Operativa (così come definito nelle Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni ) dalla casella PEC dell Amministrazione. La richiesta di parere, deve essere inoltrata sia dalle Amministrazioni che non dispongono di Piani e soluzioni di CO/DR sia dalle Amministrazioni che già si sono dotate degli stessi. Il messaggio di PEC deve avere in allegato: - la richiesta di parere sullo SFT; - una relazione che illustri gli obiettivi complessivi che l'amministrazione si propone di raggiungere ai fini della digitalizzazione e dell attuazione degli adempimenti del CAD, nonché per assicurare il rispetto delle Regole Tecniche dallo stesso CAD previste; - lo SFT in formato elettronico liberamente rielaborabile e uno o più file contenenti gli esiti della autovalutazione eseguita mediante lo strumento di autovalutazione descritto nelle Linee Guida sul Disaster Recovery delle Pubbliche Amministrazioni e messo a disposizione da DigitPA sul proprio sito; - i riferimenti (indirizzo e.mail; numeri di telefono) del Responsabile della Continuità Operativa, per eventuali richieste di informazioni e chiarimenti. 43) Come si articola Lo Studio di Fattibilità Tecnica? Lo SFT deve essere compilato dalla singola Amministrazione e inviato da parte del Responsabile della Continuità Operativa. Nel caso di una Amministrazione articolata in diverse strutture che operano in modo autonomo, lo SFT dovrà essere comunque unico e dovrà essere elaborato con le modalità proposte nelle Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni, con particolare riferimento ai capitoli 5 e 7 e alle relative appendici. Di seguito si descrivono i contenuti principali dei paragrafi dello SFT: a) informazioni generali In questo paragrafo vanno riportate le informazioni generali dell Amministrazione che emette lo SFT. Le informazioni sono le stesse richieste dallo strumento di autovalutazione come descritto nelle Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni. Per le Amministrazioni che già dispongono di un a soluzione di CO/DR deve essere inviata la versione vigente del Piano di CO e del Piano di DR. b) l ambito dello studio di fattibilità tecnica

11 In questo paragrafo va descritto l ambito a cui si applica lo SFT, ossia il complesso dei servizi e della relativa struttura che li eroga. È opportuno che si effettui un raggruppamento in classi omogenee dei servizi aventi caratteristiche comuni, nel qual caso le autovalutazioni e i tipi di soluzioni si riferiranno alla classe e non al singolo servizio. Va riportato l elenco dei servizi o delle classi di servizi (gli stessi per cui è stata fatta l autovalutazione): - servizio/ classe di servizi 1 - servizio/ classe di servizi 2 - servizio/ classe di servizi N c) il risultato del percorso di autovalutazione In questo paragrafo, per ogni servizio/classe di servizi che fa parte dell ambito dello SFT devono essere riportati i dati emersi nel corso dell autovalutazione, secondo lo schema di sintesi proposto dallo strumento di autovalutazione messo a diposizione da DigitPA, ossia: - Indice complessivo di criticità; - Classe di criticità; - Soluzione tecnologica. Le Amministrazioni che già dispongono di un Piano di CO devono dare evidenza della soluzione tecnologica prescelta (o tier) e, ove questa sia diversa da quella suggerita dal percorso indicato nelle Linee Guida, devono fornire una breve descrizione dell analisi effettuata e delle motivazioni che hanno condotto a tale scelta. d) la soluzione tecnica In questo paragrafo deve essere indicato se i servizi/classe servizi, elencati in precedenza, sono coperti da un unica soluzione o sono previste diverse soluzioni. In quest ultimo caso deve essere riportata una mappa di copertura tra le singole soluzioni e i servizi. Se le soluzioni effettivamente adottate differiscono da quelle suggerite dal risultato dello strumento di autovalutazione, è necessario riportarne in dettaglio le motivazioni. Nel caso in cui lo SFT comprenda più soluzioni, per ognuna di esse deve essere compilato un sottoparagrafo in cui riportare: Soluzione X (X indica il numero della soluzione) In questo sottoparagrafo deve essere riportato a quale servizio/classe di servizi si riferisce la soluzione. (la soluzione deve essere esplicitamente riconducibile ad una delle sei tipologie di soluzione descritte nel capitolo 5 delle citate Linee Guida.) Architettura soluzione X (X indica il numero della soluzione) In questo sottoparagrafo deve essere descritta l architettura tecnica ed applicativa che si intende adottare/ si è adottata per la soluzione X, avuto riguardo a tutto quanto attiene al perimetro della Continuità Operativa ICT delineato nel capitolo 1 delle LG. e) tempi e modalità di realizzazione della soluzione In questo paragrafo, per il complesso delle soluzioni riportate nel SFT, devono essere indicati: - i tempi di realizzazione delle soluzioni individuate; - le modalità di realizzazione delle soluzioni individuate; - le eventuali criticita che possono incidere sul piano di realizzazione. 44) Quali sono i criteri di valutazione seguiti da DigitPA per esprimere il parere? DigitPA, nel valutare gli SFT, in base alla documentazione trasmessa, emette un parere di congruità tecnica ai sensi dell art. 17 della legge n.241/1990 e s.m.i., prendendo in considerazione principalmente: - elementi di natura strategica: valutazione della coerenza della soluzione con gli obiettivi complessivi che l'amministrazione si propone di raggiungere ai fini della digitalizzazione e dell attuazione degli adempimenti del CAD, nonché per il rispetto delle Regole Tecniche da esso previste;

12 - elementi di natura tecnica: adeguatezza tecnica delle soluzioni prescelte rispetto alle esigenze descritte dall Amministrazione e conformità della soluzione rispetto al percorso descritto nelle Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni, emanate da DigitPA. 45) Quanto tempo è necessario per ottenere un parere? Il parere verrà emesso da DigitPA, entro sessanta giorni solari dalla data di ricezione della richiesta e verrà trasmesso via PEC al Responsabile della Continuità Operativa, come indicato nella richiesta di parere. Il parere può essere: - Favorevole; - Favorevole condizionato; - Contrario, 46) Se la documentazione trasmessa è incompleta, oppure non è sufficiente per la valutazione, il parere sarà contrario? Ove risulti necessario un supplemento istruttorio, sempre nel rispetto del termine di sessanta giorni, DigitPA ne dà comunicazione all Amministrazione, segnalando gli aspetti da completare. In tale ipotesi il termine previsto per il rilascio del parere è interrotto, ai sensi di quanto previsto dall art. 16 della legge n. 241/1990 e s.m.i.; il parere è reso entro trenta giorni successivi alla ricezione di tutti gli elementi richiesti. 47) quali sono le informazioni da inviare ai fini dell attivita di verifica del costante aggiornamento dei piani di dr? Le Amministrazioni, una volta ricevuto il parere di DigitPA e definito il Piano di DR devono inviare il predetto Piano, in formato elettronico, mediante posta elettronica certificata (PEC) (indirizzo PEC: Digitpadir@pec.digitpa.gov.it) per il tramite del Responsabile della Continuità Operativa (così come definito nelle Linee Guida sul Disaster Recovery delle Pubbliche Amministrazioni ), dalla casella PEC dell Amministrazione. Con cadenza annuale, entro il 31 dicembre di ogni anno, le Amministrazioni devono inviare a DigitPA mediante posta elettronica certificata (PEC) a (indirizzo PEC: Digitpadir@pec.digitpa.gov.it), da parte del Responsabile della Continuità Operativa (così come definito nelle Linee Guida per il Disaster Recovery delle Pubbliche Amministrazioni ) dalla casella PEC della Amministrazione, la versione aggiornata del Piano di DR in formato elettronico unitamente alla dichiarazione che, in relazione al Piano di DR trasmesso in precedenza, specifichi le modifiche intervenute e le motivazioni di tali modifiche. Ove il Piano non sia stato modificato in alcuna parte, l Amministrazione dovrà comunque inviare una comunicazione, con gli stessi termini e modalità definite al precedente capoverso, dichiarando che non sono stati apportati aggiornamenti al Piano. 48) Con quali modalità è garantita l'esattezza, la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture? DigitPA, ai fini dell'attuazione del comma 1 dell art. 50 del CAD: a) raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici; b) promuove intese con le analoghe strutture internazionali; c) segnala al Ministro per la pubblica amministrazione e l'innovazione il mancato rispetto delle regole tecniche di cui al comma 1 da parte delle pubbliche amministrazioni.

13 In ogni caso i documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta. A tal riguardo le amministrazioni hanno l'obbligo di aggiornare tempestivamente i dati nei propri archivi, non appena vengano a conoscenza dell'inesattezza degli stessi. 49) Quanti tipi di backup esistono? Le politiche di backup normalmente contemplano, in relazione al dato da salvaguardare, vari tipi di salvataggio dei dati, ognuno dei quali trova specifici campi di applicazione: full backup: backup completo dei dati indicati; backup incrementale: backup che salva solo le modifiche apportate ai dati rispetto all ultimo salvataggio incrementale compiuto; backup differenziale: backup cumulativo di tutti i cambiamenti apportati rispetto all ultimo full backup; disk image: metodo di backup di un intero disco o di un file system; hot backup: salvataggio di un database effettuato mentre il database e/o il file è aperto ed in fase di aggiornamento; cold backup: salvataggio di un database effettuato mentre il database e/o il file è chiuso e non sottoposto ad aggiornamento. 50) I sistemi di backup si occupano solo dei dati? I server dei sistemi oggetto di backup devono, oltre ai dati utente, includere: le configurazioni, i sistemi operativi, i prodotti, i file server, i server di posta e i web server. Ciascun backup deve essere raggruppato in set autoconsistente (ad esempio un full backup settimanale + 7 backup incrementali giornalieri = un set di backup) e rappresenta l unità da utilizzare in caso di ripristino dei dati. 51) Esiste un modello di tempistica, ovvero di periodicità, con cui vanno eseguiti i salvataggi dei dati? Si possono avere due tipologie di backup: di tipo totale (full backup) o di tipo incrementale (incremental backup). Per esempio: con cadenza Settimanale e mensile di dovrà eseguire un full backup (Totale), mentre con cadenza Giornaliera dovrà eseguirsi un backup di tipo Incrementale

14 52) Cosa si intende per periodo di ritenzione? I salvataggi devono avere un periodo di ritenzione passato il quale vengono eliminati, periodo commisurato alle finalità della conservazione dell informazione (dei dati, delle applicazioni e dei processi). Tale periodo deve essere precisamente indicato in tutti i documenti interessati (Documento Programmatico della Sicurezza (DPS); Piano di Continuità Operativa (PCO); Piano di Disaster Recovery (PDR)). A titolo di esempio si riportano alcune periodicità: Periodicità Tipo Ritenzione Settimanale Totale 2 settimane Giornaliero Incrementale 7 giorni Mensile Totale 6 mesi Il periodo di ritenzione consente il recupero periodico degli spazi o dei supporti usati per il salvataggio dei dati. 53) Cos è l l Agenzia per l Italia Digitale? Con il Decreto Sviluppo : DL 22 giugno 2012 n.83 convertito dalla legge 7 agosto 2012 n.134 è stato soppresso DigitPA ed istituita l Agenzia per l Italia Digitale Nell art. 20 comma 3 lett. b) viene specificato che l Agenzia per l Italia Digitale detta indirizzi, regole tecniche e linee guida in materia di sicurezza informatica e di omogeneità dei linguaggi, delle procedure e degli standard, anche di tipo aperto, in modo da assicurare anche la piena interoperabilità e cooperazione applicativa tra i sistemi informatici della pubblica amministrazione e tra questi e i sistemi dell Unione europea; Pertanto L Agenzia per l Italia Digitale è chiamata a dettare raccomandazioni, strategie, norme tecniche in tema di: sensibilizzazione e alfabetizzazione del personale in materia di sicurezza informatica e di relative emergenze, metodologia di rilevazione ed analisi dei rischi connessi all impiego di tecnologie evolute, valutazione dell impatto - nel quadro della riservatezza e della sicurezza dell avvio di iniziative di automazione,esame e stima delle misure di protezione poste in essere e delle eventuali attività di misurazione delle prestazioni. L Agenzia, attraverso l Ufficio Sicurezza Informatica e Continuità Operativa d'intesa e con la partecipazione delle amministrazioni interessate, provvede inoltre a: promuovere progetti coerenti con gli obiettivi di cui sopra accertare periodicamente, il livello di sicurezza e riservatezza dei sistemi informatici e delle reti telematiche geografiche e locali utilizzate dalle amministrazioni stesse proporre interventi correttivi e suggerire rimedi alle eventuali carenze tecniche, procedurali e organizzative rilevate in sede di riscontro periodico. L Agenzia, in collaborazione con le Università degli Studi e la Scuola Superiore della Pubblica Amministrazione, attiverà specifici corsi di formazione e specializzazione in sicurezza dei sistemi, protezione dei dati e risk management per dirigenti e direttivi delle amministrazioni, attività che certificheranno professionalmente gli addetti al settore. 54) Cosa si intende per Sistema Pubblico di Connettività (SPC)? Il Sistema Pubblico di Connettività (SPC) è un insieme di infrastrutture tecnologiche e di regole tecniche che ha lo scopo di federare le infrastrutture ICT delle pubbliche amministrazioni al fine di realizzare servizi integrati mediante regole e servizi condivisi. Tale integrazione permette di risparmiare

15 sui costi e sui tempi, e di realizzare i servizi finali centrati sull utente, evitando richieste continue di dati da parte delle amministrazioni, oltre che duplicazioni di informazioni e controlli. Il Codice dell'amministrazione Digitale (CAD) lo definisce come: l insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l autonomia del patrimonio informativo di ciascuna pubblica amministrazione. Nel suo insieme di regole tecniche e nei suoi principi, il Sistema Pubblico di Connettività è quindi un "framework" nazionale di interoperabilità: definisce, cioè, le modalità preferenziali che i sistemi informativi delle pubbliche amministrazioni devono adottare per essere tra loro "interoperabili". Gli aspetti di interoperabilità sono assicurati da regole e, soprattutto, da una serie di servizi di interoperabilità, cooperazione e accesso facenti parte delle infrastrutture nazionali condivise SPC. Il Sistema Pubblico di Connettività definisce, inoltre, sia l architettura enterprise della PA italiana (cioè il sistema di riferimento per legare i processi operativi interamministrativi con i sistemi informativi che li supportano), sia le azioni sussidiarie, di coordinamento e di governante 55) Cosa si intende per Smart City? Il decreto crescita 2.0, d.l. 179/2012 convertito in legge dalla Camera il 13 dicembre 2012, attribuisce all Agenzia per l Italia Digitale un ruolo chiave per la piena realizzazione, sviluppo e diffusione del paradigma delle Smart City. Alla luce di tali disposizioni il contributo che l Agenzia dovrà apportare appare significativo e risulta strategico individuare un unico modello di riferimento basato su un approccio multidisciplinare e integrato che consenta l effettiva costruzione di luoghi intelligenti partendo dai bisogni della città e dagli obiettivi che si vogliono perseguire attraverso l innovazione digitale. Da parte di molte amministrazioni, soprattutto enti locali e realtà collegate, è emerso l interesse per una migliore comprensione delle problematiche tecnologiche, organizzative, legali ed economiche legate all adozione di modelli e servizi di Comunità Intelligenti e Smart City. Il documento Architetture informative per le Comunità Intelligenti: visione concettuale e raccomandazioni alla pubblica amministrazione, che recepisce anche i suggerimenti raccolti attraverso la consultazione pubblica, intende supportare le amministrazioni fornendo proposte relativamente a: architettura di riferimento del modello delle Comunità Intelligenti e Smart City; individuazione, classificazione e stratificazione tra sorgenti informative; aggregazione e distribuzione delle informazioni; livelli di interfacce standard da definire. Al Gruppo di Lavoro istituito da DigitPA hanno partecipato il Ministero dell istruzione, dell università e della ricerca, il CNR, l Arma dei Carabinieri, l Autorità Garante per la Protezione dei Dati Personali, la RAI, operatori di mercato come Assintel, IBM, Telecom Italia, CapGemini, CISCO, Technolabs e altri ancora. Il documento elaborato dal Gruppo costituisce un primo passo nella definizione di un modello di riferimento tecnologico e di una governance di sistema per le Comunità Intelligenti e Smart City. La legge di conversione del d.l. 179/2012 recepisce le indicazioni contenute nel documento che inoltre definisce il contesto di riferimento per la costruzione della Piattaforma nazionale delle comunità intelligenti (art.20, comma 9 del d.l. 179/2012) e fornisce utili elementi per una visione integrata e coerente del paradigma Smart City. 56) Cos è il Riuso? Per "riuso di programmi informatici o parti di essi" si intende la possibilità per una pubblica amministrazione di riutilizzare gratuitamente programmi informatici o parti di essi, sviluppati per conto e a spese di un altra amministrazione adattandoli alle proprie esigenze.

16 Il riuso del software esistente, sia esso di proprietà della pubblica amministrazione che appartenente alla categoria del software libero o a Codice sorgente aperto, consente di razionalizzare le spese e di riorientare i flussi economici verso settori non ancora coperti da informatizzazione. Consente inoltre di conseguire benefici in termini di qualità dei requisiti funzionali, uniformità e qualità dei prodotti implementati, adozione di standard e di riduzione dei tempi di messa in esercizio dei prodotti. I recenti aggiornamenti del Codice dell Amministrazione Digitale (CAD) relativi, in particolare, al Capo VI Sviluppo, acquisizione e riuso di sistemi informatici nelle pubbliche amministrazioni, hanno dato nuovo impulso alla pratica del riuso: estendendo l istituto del riuso a parti di programmi informatici ed alle pratiche tecnologiche ed organizzative adottate dalle pubbliche amministrazioni; richiedendo alle amministrazioni pubbliche di comunicare tempestivamente a DigitPA l adozione di applicazioni informatiche e delle pratiche tecnologiche ed organizzative adottate e dei risultati ottenuti anche per favorire il riuso; prevedendo: - la definizione di linee guida da utilizzare nella redazione di capitolati per l'acquisizione di software riusabile da parte di altre amministrazioni; - la verifica della presenza dei requisiti per il riuso di cui sopra in sede di redazione del parere degli atti di gara da parte di DigitPA. 57) Cos è il servizio PEC ID? Il servizio PEC ID consente di identificare le persone fisiche e giuridiche che presentano istanze e dichiarazioni per via telematica nei confronti delle pubbliche amministrazioni (articolo 65 comma 1 lettera c-bis del CAD). Il servizio prevede che il titolare della casella di posta elettronica certificata (autore del messaggio) abbia ricevuto le credenziali per l accesso al servizio previa identificazione da parte del Gestore, anche per via telematica e secondo modalità definite con Regole Tecniche adottate ai sensi dell'articolo 71 del CAD, e ciò sia attestato dal Gestore nel messaggio o in un suo allegato. A tal fine un gruppo di lavoro, coordinato dall'agenzia per l'italia Digitale per l attuazione delle previsioni contenute nel CAD, ha definito le Regole Tecniche, che attualmente stanno seguendo l iter legislativo che prevede l emanazione di un DPCM, alle quali i Gestori iscritti nell elenco pubblico dei Gestori di posta elettronica certificata dovranno attenersi qualora vogliano erogare il servizio PEC ID. Le Regole tecniche, in coerenza con il modello GFID di gestione federata delle identità digitali del Sistema Pubblico di Connettività, seguono il paradigma SAML (Security Assertion Markup Language ), uno standard informatico basato su XML per lo scambio di dati di autenticazione e autorizzazione (dette asserzioni) tra domini di sicurezza distinti, gestiti da Identity Provider. I Gestori iscritti nell elenco Pubblico dei Gestori di posta elettronica certificata che decideranno di erogare il servizio di PEC ID, opereranno pertanto da Identity Provider, entità abilitate a creare, gestire e mantenere informazioni sull identità digitale di soggetti che operano telematicamente, allo scopo di fornire supporto alla loro identificazione informatica, di cui all articolo 1, comma 1, lettera u-ter) del CAD, finalizzata alla fruizione di servizi erogati in rete 58) Cos è l Agenda digitale italiana? (art. 1 del d.l. 179/2012 conv. con mod. dalla legge 221/2012) La norma reca il riconoscimento espresso della strategicità e importanza della digitalizzazione. Si prevede infatti che lo Stato, nel rispetto del principio di leale collaborazione con le autonomie regionali, promuova lo sviluppo dell'economia e della cultura digitali, definisca le politiche di incentivo

17 alla domanda dei servizi digitali e favorisca, tramite azioni concrete, l alfabetizzazione e lo sviluppo delle competenze digitali con particolare riguardo alle categorie a rischio di esclusione, nonché la ricerca e l'innovazione tecnologica quali fattori essenziali di progresso e opportunità di arricchimento economico, culturale e civile. Le politiche di sviluppo in materia sono pertanto individuate come potente leva per il progresso economico, culturale e civile e strumento idoneo a consentire riduzione di tempi e costi per lo Stato, da tradurre in crescita occupazionale, maggiore produttività e competitività, nonché in una migliore coesione sociale per il Paese. Da ciò deriva la centralità dell Agenda digitale italiana, che si muove nel rispetto dell Agenda Digitale europea, una delle sette iniziative faro individuate nella più ampia Strategia Europea 2020, indirizzata al raggiungimento di un ruolo chiave delle tecnologie dell informazione e della comunicazione, al fine di raggiungere gli obiettivi che l Europa si è posta. Pertanto, alla luce dell importanza dell attuazione di quanto previsto nell Agenda digitale italiana, si dispone nella norma uno strumento di monitoraggio della stessa: entro il 30 giugno di ogni anno (e per la prima volta entro 60 giorni dalla data di entrata in vigore della legge di conversione del decreto) il Governo, anche avvalendosi dell Agenzia per l Italia digitale, presenta alle Commissioni parlamentari competenti una relazione che evidenzia lo stato di attuazione dell Agenda digitale italiana, di cui all art. 47 del d.l. 5/2012, convertito con modificazioni dalla legge 35/2012, nel quadro delle indicazioni sancite a livello europeo, con particolare riferimento agli effetti prodotti e ai risultati conseguiti. Nella relazione è fornita, altresì, dettagliata illustrazione dell impiego di ogni finanziamento, con distinta indicazione degli interventi per i quali le risorse sono state utilizzate. In prima attuazione la relazione ha come finalità la descrizione del progetto complessivo di attuazione dell Agenda digitale italiana, delle linee strategiche di azione e l identificazione degli obiettivi da raggiungere. 59) Cos è la Carta dei diritti? (art. 13 ter del d.l. 179/2012 inserito dalla legge 221/2012) La disposizione chiarisce che lo Stato riconosce l importanza del superamento del divario digitale, in particolare nelle aree depresse del Paese, per la libera diffusione della conoscenza fra la cittadinanza, l accesso pieno e aperto alle fonti di informazione e agli strumenti di produzione del sapere. Lo strumento previsto dalla disposizione per conseguire tali finalità è la promozione da parte dello Stato di una Carta dei diritti, nella quale sono definiti i principi e i criteri volti a garantire l accesso universale della cittadinanza alla rete internet senza alcuna discriminazione o forma di censura. Si prevede una promozione internazionale della Carta dei diritti da parte dello Stato, che promuove la diffusione dei principi della Carta dei diritti a livello internazionale e individua forme di sostegno al Fondo di solidarietà digitale per la diffusione della società dell'informazione e della conoscenza nei Paesi in via di sviluppo. 60) Cosa si intende per Documento digitale unificato? (art. 1 del d.l. 179/2012 convertito con mod. dalla legge 221/2012) La norma reca disposizioni in merito all unificazione su unico supporto di carta d identità elettronica e tessera sanitaria. Con d.p.c.m., sentita l Agenzia per l Italia digitale, è disposto anche progressivamente,

18 nell ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, l ampliamento delle possibili utilizzazioni della carta d identità elettronica (CIE) anche in relazione all unificazione sul medesimo supporto della CIE con la tessera sanitaria, alle modifiche ai parametri della CIE e della tessera sanitaria necessarie per l unificazione delle stesse sul medesimo supporto, nonché al rilascio gratuito del documento unificato, mediante utilizzazione, anche ai fini di produzione e rilascio, di tutte le risorse disponibili a legislazione vigente per la tessera sanitaria. La disposizione viene motivata con la necessità di semplificare il processo di unificazione su medesimo supporto della carta di identità elettronica con la tessera sanitaria, prevista dall art. 10 del decreto legge 13 maggio 2011, n. 70, mediante modifiche mirate al testo originale del citato articolo e con la necessità di integrare la copertura finanziaria necessaria. E infatti nella norma si prevedono investimenti dedicati: per la realizzazione e il rilascio gratuito del documento unificato, in aggiunta alle risorse già previste, è autorizzata la spesa di 60 milioni di euro per l anno 2013 e di 82 milioni di euro a decorrere dal Le modalità tecniche di produzione, distribuzione, gestione e supporto all utilizzo del documento unificato saranno stabilite entro 6 mesi con decreto del Ministro dell interno, di concerto con il Ministro dell economia e delle finanze, con il Ministro per la pubblica amministrazione e la semplificazione e con il Ministro delegato per l innovazione tecnologica e, limitatamente ai profili sanitari, con il Ministro della salute. In attesa dell attuazione si mantiene il rilascio della carta d identità elettronica, al fine di non interrompere l emissione e la relativa continuità di esercizio. 61) A cosa serve l Anagrafe nazionale della popolazione residente (ANPR)? (art. 62 del d.lgs. 82/2005 sostituito dall art. 2 del d.l. 179/2012 convertito con mod. dalla legge 221/2012) La disposizione, come precisa la relazione illustrativa, intende accelerare il processo di automazione amministrativa e migliorare i servizi per i cittadini, le imprese e le pubbliche amministrazioni, riducendone i costi connessi. A tal fine si istituisce l anagrafe nazionale della popolazione residente (ANPR), quale strumento portante di un profondo processo di semplificazione ed efficientamento nella gestione dei dati anagrafici della popolazione (popolazione residente in Italia e cittadini italiani residenti all estero), attraverso l utilizzo delle nuove tecnologie e la valorizzazione delle infrastrutture realizzate e degli investimenti fatti, sia a livello centrale, sia a livello locale. L ANPR intende rappresentare l evoluzione tecnologica e informativa dell Indice nazionale delle anagrafi (INA) istituito presso il Ministero dell interno, volendo ampliare le potenzialità informative dell INA includendo tutti i dati presenti nelle anagrafi dei comuni e, attraverso la prevista integrazione dei dati attualmente contenuti nell AIRE, offrire un anagrafe completa ed aggiornata della popolazione residente in Italia e della popolazione italiana residente all estero, ferme restando le competenze dei singoli comuni in tema di anagrafi della popolazione residente da essi tenute. L intenzione del legislatore è di far divenire l ANPR il sistema anagrafico di riferimento per l intero Paese (cittadini, imprese, amministrazioni), favorendo la razionalizzazione e l ottimizzazione delle infrastrutture ICT e il processo di dematerializzazione della pubblica amministrazione, potendo determinare consistenti risparmi grazie alle ricadute in termini di semplificazione delle procedure e di ottimizzazione dei sistemi informativi che la disponibilità di un tale sistema potrà avere sull intera pubblica amministrazione, nonché evidenti benefici per cittadini e imprese.

19 Con la disposizione pertanto viene istituita presso il Ministero dell'interno l Anagrafe nazionale della popolazione residente (ANPR), quale base di dati di interesse nazionale, ai sensi dell art. 60 del d.lgs. 82/2005, che subentra a: indice nazionale delle anagrafi (INA), istituito ai sensi del comma 5 dell art. 1 della legge 1228/1954, recante Ordinamento delle anagrafi della popolazione residente, anagrafe della popolazione italiana residente all'estero (AIRE), istituita ai sensi della legge 470/1988 recante Anagrafe e censimento degli italiani all estero, subentra altresì alle anagrafi della popolazione residente e dei cittadini italiani residenti all estero tenute dai comuni, ferme restando le attribuzioni del sindaco di cui all art. 54, comma 3, del T.U. delle leggi sull ordinamento degli enti locali, approvato con d.lgs. 267/2000. Tale base di dati è sottoposta ad un audit di sicurezza con cadenza annuale in conformità alle regole tecniche. I risultati dell audit sono inseriti nella relazione annuale del Garante per la protezione dei dati personali. Le modalità e i tempi di attuazione saranno oggetto di uno o più decreti del Presidente del Consiglio dei Ministri, su proposta del Ministro dell interno, del Ministro per la pubblica amministrazione e la semplificazione e del Ministro delegato all innovazione tecnologica, di concerto con il Ministro dell economia e delle finanze, d'intesa con la Conferenza Stato - città, di cui all art. 8 del d.lgs. 281/1997, per gli aspetti d interesse dei comuni, sentita l ISTAT e acquisito il parere del Garante per la protezione dei dati personali; in specifico con questo decreto: è definito un piano per il graduale subentro dell ANPR alle citate anagrafi, da completare entro il 31 dicembre Fino alla completa attuazione di questo piano, l ANPR acquisisce automaticamente in via telematica i dati contenuti nelle anagrafi tenute dai comuni per i quali non è ancora avvenuto il subentro. L ANPR è organizzata secondo modalità funzionali e operative che garantiscono la univocità dei dati stessi. sono disciplinate le modalità di integrazione nell ANPR dei dati dei cittadini attualmente registrati in anagrafi istituite presso altre amministrazioni nonché dei dati relativi al numero e alla data di emissione e di scadenza della carta di identità della popolazione residente. sono stabiliti i tempi e le modalità di attuazione delle disposizioni della norma, anche con riferimento a: a) garanzie e misure di sicurezza da adottare nel trattamento dei dati personali, modalità e tempi di conservazione dei dati e accesso ai dati da parte delle pubbliche amministrazioni per le proprie finalità istituzionali secondo le modalità di cui all art. 58 del d.lgs. 82/2005; b) criteri per l interoperabilità dell ANPR con le altre banche dati di rilevanza nazionale e regionale, secondo le regole tecniche del sistema pubblico di connettività in modo che le informazioni di anagrafe, una volta rese dai cittadini, si intendano acquisite dalle pubbliche amministrazioni senza necessità di ulteriori adempimenti o duplicazioni da parte degli stessi; c) erogazione di altri servizi resi disponibili dall'anpr, tra i quali il servizio di invio telematico delle attestazioni e delle dichiarazioni di nascita e dei certificati di cui all art. 74 del d.p.r. 396/2000, compatibile con il sistema di trasmissione di cui al decreto del Ministro della salute in data 26/02/2010, pubblicato nella Gazzetta Ufficiale n. 65 del 19/03/2010. Per quanto attiene all accesso all ANPR, l'anpr assicura al singolo comune la disponibilità dei dati anagrafici della popolazione residente e degli strumenti per lo svolgimento delle funzioni di competenza statale attribuite al sindaco ai sensi dell art. 54, comma 3, del T.U. delle leggi sull ordinamento degli enti locali di cui al d.lgs. 267/2000, nonché la disponibilità dei dati anagrafici e dei servizi per

20 l interoperabilità con le banche dati tenute dai comuni per lo svolgimento delle funzioni di competenza. L'ANPR consente esclusivamente ai comuni la certificazione dei dati anagrafici nel rispetto di quanto previsto dall'articolo 33 d.p.r. 223/1989, anche in modalità telematica. I Comuni inoltre possono consentire, anche mediante apposite convenzioni, la fruizione dei dati anagrafici da parte dei soggetti aventi diritto. L ANPRE assicura alle pubbliche amministrazioni e agli organismi che erogano pubblici servizi l accesso ai dati contenuti nell ANPR. In merito alle trasmissioni telematiche, per accelerare il processo di automazione amministrativa e migliorare i servizi per i cittadini, l attestazione e la dichiarazione di nascita e il certificato di cui all art. 74 del d.p.r. 396/2000 sono inviati da parte della struttura sanitaria e del medico necroscopo o altro delegato sanitario ai comuni esclusivamente in via telematica, utilizzando il sistema di trasmissione di cui al decreto del Ministro della salute del 26/02/2010. Da plaudire la previsione di investimenti dedicati per l attuazione della norma: è autorizzata una spesa di 15 milioni di euro per l'anno 2013 e di 3 milioni di euro a decorrere dall anno In considerazione della necessità di investimenti per l attuazione concreta delle disposizioni soprattutto in materia di amministrazione digitale, è da accogliere con favore il fatto di avere stabilito risorse dedicate, al fine di fugare il rischio di mancata attuazione dello strumento previsto nella disposizione. 62) Quali sono le regole tecniche per le basi di dati? (art. 2-bis del d.l. 179/2012 inserito dalla legge 221/2012) L Agenzia per l Italia digitale, entro 90 giorni dalla data di entrata in vigore della legge di conversione del decreto, predispone le regole tecniche per l identificazione delle basi di dati critiche tra quelle di interesse nazionale specificate dal d.lgs. 82/2005 e per definirne le modalità di aggiornamento in modo che, secondo gli standard internazionali di riferimento, sia garantita la qualità dei dati presenti. 63) Cosa si intende per domicilio digitale del cittadino? (art. 3 bis del d.lgs. 82/2005, inserito dall art. 4 del d.l. 179/2012 convertito con mod. dalla legge 221/2012) Al fine di facilitare la comunicazione tra pubbliche amministrazioni e cittadini, è facoltà di ogni cittadino indicare alla pubblica amministrazione, secondo le modalità previste, un proprio indirizzo di posta elettronica certificata (PEC), rilasciata al cittadino ai sensi dell art. 16 bis comma 5 del decreto legge 185/2008 convertito con modificazioni dalla legge 2/2009 quale suo domicilio digitale. Per quanto riguarda conservazione e disponibilità del domicilio digitale, si prevede che l indirizzo sia inserito nell ANPR - Anagrafe nazionale della popolazione residente e reso disponibile a tutte le pubbliche amministrazioni e ai gestori o esercenti di pubblici servizi. Le modalità di comunicazione, variazione e cancellazione del proprio domicilio digitale da parte del cittadino e le modalità di consultazione dell ANPR da parte dei gestori o esercenti di pubblici servizi, ai fini del reperimento del domicilio digitale dei propri utenti, sono definite con decreto ministeriale, sentita l Agenzia per l Italia digitale.