CENTRO NAZIONALE PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE | Edilone.it

CENTRO NAZIONALE PER L’INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

CENTRO NAZIONALE PER L'INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE - DELIBERAZIONE 17 febbraio 2005: Regole per il riconoscimento e la verifica del documento informatico. (Deliberazione n. 4/2005). (GU n. 51 del 3-3-2005)

CENTRO NAZIONALE PER L’INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

DELIBERAZIONE 17 febbraio 2005

Regole per il riconoscimento e la verifica del documento informatico.
(Deliberazione n. 4/2005).

Titolo I
DISPOSIZIONI GENERALI
IL COLLEGIO

Visto il decreto legislativo 12 febbraio 1993, n. 39, cosi’ come
modificato dall’art. 176, comma 3, del decreto legislativo 30 giugno
2003, n. 196;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445, recante testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante
attuazione della direttiva 1999/93/CE, relativa ad un quadro
comunitario per le firme elettroniche;
Visto l’art. 40, comma 4, del decreto del Presidente del Consiglio
dei Ministri 13 gennaio 2004;
Delibera
di emanare le seguenti regole per il riconoscimento e la verifica del
documento informatico.
Art. 1.
Definizioni
1. Fatte salve le definizioni contenute negli articoli 1 e 22 del
decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e
successive modificazioni, ai fini delle presenti regole si intende
per:
a) testo unico, il testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa, emanato
con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
b) regole tecniche, le regole tecniche per la formazione, la
trasmissione, la conservazione, la duplicazione, la riproduzione e la
validazione, anche temporale, dei documenti informatici emanate con
decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004
pubblicate nella Gazzetta Ufficiale 27 aprile 2004, n. 98;
c) firme multiple, firme digitali apposte da diversi
sottoscrittori allo stesso documento;
d) campo, unita’ informativa contenuta nel certificato. Puo’
essere composta da diverse unita’ informative elementari dette
«attributi»;
e) estensione, metodo utilizzato per associare specifiche
informazioni (attributi) alla chiave pubblica contenuta nel
certificato, utilizzata per fornire ulteriori informazioni sul
titolare del certificato e per gestire la gerarchia di
certificazione;
f) attributo, informazione elementare contenuta in un campo di un
certificato elettronico come un nome, un numero o una data;
g) attributi autenticati, insieme di attributi sottoscritti con
firma elettronica dal sottoscrittore;
h) marcatura critica, caratteristica che possono assumere le
estensioni conformemente allo standard RFC 3280;
i) marca temporale, un’evidenza informatica che consente la
validazione temporale;
l) OID (Object Identifier), codice numerico standard per
l’identificazione univoca di evidenze informatiche utilizzate per la
rappresentazione delle strutture di dati nell’ambito degli standard
internazionali relativi alla interconnessione dei sistemi aperti;
m) RFC (Request For Comments), documenti contenenti specifiche
tecniche standard, riconosciute a livello internazionale, definite
dall’Internet Engineering Task Force (IETF) e dall’Internet
Engineering Steering Group (IESG);
n) ETSI (European Telecommunications Standards Institute),
organizzazione indipendente, no profit, la cui missione e’ produrre
standard sulle telecomunicazioni. E’ ufficialmente responsabile per
la creazione di standard in Europa;
o) HTTP (Hypertext Transfer Protocol), protocollo per il
trasferimento di pagine ipertestuali e risorse in rete conforme allo
standard RFC 2616 e successive modificazioni;
p) LDAP (Lightweight Directory Access Protocol), protocollo di
rete utilizzato per rendere accessibili informazioni in rete conforme
allo standard RFC 3494 e successive modificazioni.

Art. 2.
Ambito di applicazione e contenuto
1. La presente deliberazione stabilisce, ai sensi dell’art. 40,
comma 4 delle regole tecniche, le regole per il riconoscimento e la
verifica del documento informatico cui i certificatori accreditati
devono attenersi al fine di ottenere e mantenere il riconoscimento di
cui all’art. 28, comma 1 del testo unico.
2. Le disposizioni di cui al titolo II definiscono il formato dei
certificati qualificati e le informazioni che in essi devono essere
contenute.
3. Le disposizioni di cui al titolo III definiscono il formato dei
certificati elettronici di certificazione e le informazioni che in
essi devono essere contenute, generati ai sensi dell’art. 13, comma
2, delle regole tecniche, e il formato dei certificati elettronici di
marcatura temporale e le informazioni che in essi devono essere
contenute.
4. Le disposizioni di cui al titolo IV definiscono il formato e le
informazioni che devono essere contenute nelle marche temporali
utilizzate dai sistemi di validazione temporale dei documenti, cosi’
come definiti nel titolo IV delle regole tecniche.
5. Le disposizioni di cui al titolo V definiscono i formati e le
modalita’ di accesso alle informazioni sulla revoca e la sospensione
dei certificati, ai sensi dell’art. 29, comma 1, delle regole
tecniche.
6. Le disposizioni di cui al titolo VI definiscono i formati delle
buste crittografiche destinate a contenere gli oggetti sottoscritti
con firma digitale.
7. Le disposizioni di cui al titolo VII definiscono i requisiti
delle applicazioni di verifica della firma digitale di cui all’art.
10 delle regole tecniche.

Titolo II
PROFILO DEI CERTIFICATI QUALIFICATI
Art. 3.
Norme generali
1. Il profilo dei certificati e’, se non diversamente indicato,
conforme alla specifica RFC 3280, capitolo 4, recante «Profilo dei
certificati e delle liste di revoca dei certificati
nell’infrastruttura a chiave pubblica» e, se non diversamente
indicato, conforme alla specifica ETSI TS 101 862 V1.3.2, recante
«Profilo dei certificati qualificati».

Art. 4.
Profilo dei certificati qualificati
1. Salvo quanto diversamente disposto nella presente deliberazione,
ai certificati qualificati si applica quanto stabilito nella
specifica ETSI TS 102 280 V1.1.1, recante «Profilo dei certificati
X.509 V.3 per certificati rilasciati a persone fisiche».
2. Il campo Issuer (emittente) del certificato contiene almeno i
seguenti attributi:
a) organizationName (OID: 2.5.4.10), che contiene la ragione
sociale o denominazione dell’organizzazione che emette il certificato
qualificato;
b) countryName (OID: 2.5.4.6), che contiene il country code ISO
3166 dello Stato in cui e’ registrata l’organizzazione indicata
nell’organizationName.
3. Il campo SubjectDN (Dati identificativi del titolare) del
certificato contiene i seguenti attributi:
a) givenName e surname (OID: 2.5.4.42 e 2.5.4.4) che contengono
rispettivamente nome di battesimo e cognome del titolare del
certificato;
b) countryName (OID: 2.5.4.6) che, nel caso in cui
l’organizationName contenga il valore «non presente», contiene il
country code ISO 3166 dello Stato di residenza del titolare. Nel caso
in cui l’organizationName contenga un valore diverso da «non
presente», contiene il country code ISO 3166 dello Stato che ha
assegnato all’organizzazione il codice identificativo riportato
nell’attributo organizationName;
c) organizationName (OID: 2.5.4.10) che contiene, se applicabile,
la ragione sociale o la denominazione e il codice identificativo
dell’organizzazione che ha richiesto o autorizzato il rilascio del
certificato del titolare. Il codice identificativo e’ un codice
rilasciato dall’autorita’ governativa preposta dello Stato indicato
nell’attributo countryName. Se l’organizationName non e’ applicabile,
assume il valore «non presente»;
d) serialNumber (OID: 2.5.4.5) che contiene il codice fiscale del
titolare rilasciato dall’autorita’ fiscale dello Stato di residenza
del titolare o, in mancanza, un analogo codice identificativo, quale
ad esempio un codice di previdenza sociale o un codice identificativo
generale. Allo scopo di definire il contesto per la comprensione del
codice in questione, il codice stesso e’ preceduto dal country code
ISO 3166 e dal carattere «:» (in notazione esadecimale «0x3A»);
e) in alternativa agli attributi specificati alla lettera a), il
certificato puo’ contenere l’attributo pseudonym (OID: 2.5.4.65), che
contiene una qualsiasi stringa univoca, a discrezione del titolare.
La stringa utilizzata non permette di risalire ai dati identificativi
del titolare. Se l’attributo pseudonym e’ presente, l’attributo
countryName assume il valore «IT», l’attributo organizationName
assume il valore «non presente», l’attributo serialNumber il valore
«pseudonimo» e gli attributi title e localityName non sono presenti;
f) dnQualifier (OID: 2.5.4.46), contiene il codice identificativo
del titolare presso il certificatore. Detto codice, assegnato dal
certificatore, e’ univoco.
4. Il campo subjectDN (Dati identificativi del titolare) del
certificato puo’ contenere altri attributi purche’ non in contrasto
con quanto previsto dal documento ETSI TS 102 280. L’eventuale
codifica degli attributi title, localityName, commonName e
organizational UnitName rispetta le seguenti regole:
a) title (OID: 2.5.4.12), contiene una indicazione della
qualifica specifica del titolare, quale l’appartenenza ad ordini o
collegi professionali, l’iscrizione ad albi o il possesso di altre
ab…

[Continua nel file zip allegato]

CENTRO NAZIONALE PER L’INFORMATICA NELLA PUBBLICA AMMINISTRAZIONE

Edilone.it