MINISTERO DELL'INTERNO - DECRETO 19 gennaio 2012, n. 32 - Nuovo regolamento di gestione dell'Indice nazionale delle anagrafi. (12G0052) (GU n. 76 del 30-3-2012 | Edilone.it

MINISTERO DELL’INTERNO – DECRETO 19 gennaio 2012, n. 32 – Nuovo regolamento di gestione dell’Indice nazionale delle anagrafi. (12G0052) (GU n. 76 del 30-3-2012

MINISTERO DELL'INTERNO - DECRETO 19 gennaio 2012, n. 32 - Nuovo regolamento di gestione dell'Indice nazionale delle anagrafi. (12G0052) (GU n. 76 del 30-3-2012 ) note: Entrata in vigore del provvedimento: 14/04/2012

MINISTERO DELL’INTERNO

DECRETO 19 gennaio 2012 , n. 32

Nuovo regolamento di gestione dell’Indice nazionale delle anagrafi.
(12G0052)

IL MINISTRO DELL’INTERNO

di concerto con

IL MINISTRO PER LA PUBBLICA
AMMINISTRAZIONE E LA SEMPLIFICAZIONE

e

IL MINISTRO DELL’ISTRUZIONE,
DELL’UNIVERSITA’ E DELLA RICERCA

Visto l’articolo 17, comma 3, della legge 23 agosto 1988, n. 400;
Visto l’articolo 50, comma 5, del decreto-legge 31 maggio 2010, n.
78, convertito in legge 30 luglio 2010, n. 122, recante «Misure
urgenti in materia di stabilizzazione finanziaria e di competitivita’
economica», che prevede l’emanazione di disposizioni di
armonizzazione del regolamento di gestione dell’INA, emanato con
decreto del Ministro dell’interno 13 ottobre 2005, n. 240;
Vista la legge 24 dicembre 1954, n. 1228, recante «Ordinamento
delle anagrafi della popolazione residente», ed in particolare
l’articolo 1, comma 5, come modificato dall’articolo 1-novies del
decreto-legge 31 marzo 2005, n. 44, convertito con modificazioni in
legge 31 maggio 2005, n. 88, e l’articolo 1, comma 6, come modificato
dall’articolo 50, comma 5, del decreto-legge 31 maggio 2010, n. 78,
convertito con la legge 30 luglio 2010, n. 122;
Visto il decreto del Presidente della Repubblica 30 maggio 1989, n.
223, recante l’approvazione del nuovo regolamento anagrafico della
popolazione residente;
Visto il decreto legislativo 6 settembre 1989, n. 322, recante
«Norme sul Sistema statistico nazionale e sulla riorganizzazione
dell’Istituto nazionale di statistica» e successive modifiche e
integrazioni;
Vista la legge 7 agosto 1990, n. 241 e successive modificazioni,
recante «Nuove norme in materia di procedimento amministrativo e di
diritto di accesso ai documenti amministrativi»;
Visto il decreto-legge 15 gennaio 1993, n. 6, convertito in legge
17 marzo 1993, n. 63, recante «Disposizioni urgenti per il recupero
degli introiti contributivi in materia previdenziale», e, in
particolare, l’articolo 2 che disciplina lo scambio dei dati nei
rapporti tra le pubbliche amministrazioni e tra queste e altri
soggetti pubblici o privati, sulla base del codice fiscale quale
elemento identificativo di ogni soggetto;
Visto l’articolo 2, comma 5, della legge 15 maggio 1997, n. 127 e
successive modificazioni, recante «Misure urgenti per lo snellimento
dell’attivita’ amministrativa e dei procedimenti di decisione e di
controllo»;
Visto il decreto del Presidente del Consiglio dei Ministri 22
ottobre 1999, n. 437, recante «Regolamento recante caratteristiche e
modalita’ per il rilascio della carta d’identita’ elettronica e del
documento d’identita’ elettronico»;
Visto il decreto del Ministro dell’interno in data 8 novembre 2007
recante «Regole tecniche della carta di identita’ elettronica»;
Visto il decreto del Ministro dell’interno in data 6 ottobre 2000,
recante «Specifiche tecniche per l’allineamento dei dati contenuti
nelle anagrafi comunali con quelli contenuti nell’archivio
dell’Agenzia delle entrate»;
Visto il decreto del Presidente della Repubblica 3 novembre 2000,
n. 396, recante «Regolamento per la revisione e la semplificazione
dell’ordinamento dello stato civile, a norma dell’articolo 2, comma
12, della legge 15 maggio 1997, n. 127;
Visto l’articolo 25 della legge 24 novembre 2000, n. 340, recante
«Disposizioni per la delegificazione di norme e per la
semplificazione di procedimenti amministrativi – Legge di
semplificazione 1999»;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445, recante «Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa»;
Visto il decreto del Ministro dell’interno in data 18 dicembre
2000, recante «Modalita’ di comunicazione dei dati relativi ai
cittadini stranieri extracomunitari fra gli uffici anagrafici dei
comuni, gli archivi dei lavoratori extracomunitari e gli archivi dei
competenti organi centrali e periferici del Ministero dell’interno,
nonche’ le modalita’ tecniche ed il termine per l’aggiornamento e la
verifica delle posizioni anagrafiche dei cittadini stranieri gia’
iscritti nei registri della popolazione residente;
Visto il decreto del Ministro dell’interno in data 23 aprile 2002
con il quale viene costituito presso il Dipartimento per gli Affari
Interni e Territoriali – Direzione Centrale per i Servizi Demografici
il Centro Nazionale per i Servizi Demografici;
Visto il decreto-legge 31 marzo 2003, n. 52, articolo 2 comma 1,
convertito in legge 30 maggio 2003, n. 122, che, per il completamento
dell’informatizzazione e l’aggiornamento dell’AIRE, prevede
l’utilizzo dell’infrastruttura informatica di base dell’Indice
Nazionale delle Anagrafi (INA);
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali» e successive
modificazioni;
Visto il decreto legislativo 7 marzo 2005, n. 82, recante «Codice
dell’amministrazione digitale», e successive modificazioni;
Visto il decreto del Ministro dell’interno 2 agosto 2005, recante
«Regole tecniche e di sicurezza per la redazione dei piani di
sicurezza comunali per la gestione delle postazioni di emissione CIE,
in attuazione del comma 2 dell’articolo 7-viciester della legge 31
marzo 2005, n. 43»;
Visto l’articolo 16-bis, del decreto-legge 29 novembre 2008, n.
185, convertito in legge 28 gennaio 2009, n. 2, recante «Misure
urgenti per il sostegno a famiglie, lavoro, occupazione e impresa e
per ridisegnare in funzione anticrisi il quadro strategico
nazionale»;
Visto il decreto del Presidente della Repubblica del 7 settembre
2010, n. 166, recante il «Regolamento recante il riordino
dell’Istituto nazionale di statistica»;
Visto il Regolamento (CE) 763/2008 del Parlamento europeo e del
Consiglio del 9 luglio 2008 relativo ai censimenti della popolazione
e delle abitazioni;
Visto il Regolamento (CE) 223/2009 del Parlamento europeo e del
Consiglio dell’11 marzo 2009 relativo alle statistiche europee e che
abroga il regolamento (CE, Euratom) n. 1101/2008 del Parlamento
europeo e del Consiglio, relativo alla trasmissione all’Istituto
statistico delle Comunita’ europee di dati statistici protetti dal
segreto, il regolamento (CE) n. 322/97 del Consiglio, relativo alle
statistiche comunitarie, e la decisione 89/382/CEE, Euratom del
Consiglio, che istituisce un comitato del programma statistico delle
Comunita’ europee;
Sentito l’Istituto Nazionale di Statistica, che si e’ espresso con
parere n. SP/559.2011 del 20 maggio 2011;
Sentito il DigitPA – Ente nazionale per la digitalizzazione della
pubblica amministrazione – che si e’ espresso con parere del 24
maggio 2011;
Sentito il Garante per la protezione dei dati personali, che si e’
espresso con parere n. 250 del 24 giugno 2011;
Vista la nota del 20 luglio 2011 con cui il Ministero per la
pubblica amministrazione e l’innovazione ha espresso il proprio
concerto sullo schema di decreto;
Udito il parere n. 3703/2011 emesso dalla Sezione Consultiva per
gli Atti Normativi del Consiglio di Stato nell’adunanza 27 settembre
2011;

A d o t t a
il seguente regolamento:

Art. 1

Definizioni

1. Ai fini del presente decreto verranno utilizzate le seguenti
definizioni:
ISTAT: Istituto Nazionale di Statistica;
CNSD: Centro Nazionale per i Servizi Demografici;
INA: Indice Nazionale delle Anagrafi;
Backbone CNSD: Infrastruttura informatica di base dell’Indice
Nazionale delle Anagrafi;
APR: Anagrafe della popolazione residente;
AIRE: Anagrafe degli Italiani Residenti all’Estero.

Avvertenza:
Il testo delle note qui pubblicato e’ stato redatto
dall’amministrazione competente per materia, ai sensi
dell’art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull’emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
alle quali e’ operato il rinvio. Restano invariati il
valore e l’efficacia degli atti legislativi qui trascritti.
Note alle premesse:
Si riporta il testo dell’articolo 17 della legge 23
agosto 1988, n. 400 (Disciplina dell’attivita’ di Governo e
ordinamento della Presidenza del Consiglio dei Ministri),
pubblicata nella Gazzetta Ufficiale 12 settembre 1988, n.
214, S.O.:
«Art. 17 (Regolamenti) – 1. Con decreto del Presidente
della Repubblica, previa deliberazione del Consiglio dei
ministri, sentito il parere del Consiglio di Stato che deve
pronunziarsi entro novanta giorni dalla richiesta, possono
essere emanati regolamenti per disciplinare:
a) l’esecuzione delle leggi e dei decreti
legislativi, nonche’ dei regolamenti comunitari;
b) l’attuazione e l’integrazione delle leggi e dei
decreti legislativi recanti norme di principio, esclusi
quelli relativi a materie riservate alla competenza
regionale;
c) le materie in cui manchi la disciplina da parte di
leggi o di atti aventi forza di legge, sempre che non si
tratti di materie comunque riservate alla legge;
d) l’organizzazione ed il funzionamento delle
amministrazioni pubbliche secondo le disposizioni dettate
dalla legge;
e).
2. Con decreto del Presidente della Repubblica, previa
deliberazione del Consiglio dei ministri, sentito il
Consiglio di Stato e previo parere delle Commissioni
parlamentari competenti in materia, che si pronunciano
entro trenta giorni dalla richiesta, sono emanati i
regolamenti per la disciplina delle materie, non coperte da
riserva assoluta di legge prevista dalla Costituzione, per
le quali le leggi della Repubblica, autorizzando
l’esercizio della potesta’ regolamentare del Governo,
determinano le norme generali regolatrici della materia e
dispongono l’abrogazione delle norme vigenti, con effetto
dall’entrata in vigore delle norme regolamentari.
3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del ministro o di
autorita’ sottordinate al ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu’ ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita’ di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di «regolamento», sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.
4-bis. L’organizzazione e la disciplina degli uffici
dei Ministeri sono determinate, con regolamenti emanati ai
sensi del comma 2, su proposta del Ministro competente
d’intesa con il Presidente del Consiglio dei ministri e con
il Ministro del tesoro, nel rispetto dei principi posti dal
decreto legislativo 3 febbraio 1993, n. 29, e successive
modificazioni, con i contenuti e con l’osservanza dei
criteri che seguono:
a) riordino degli uffici di diretta collaborazione
con i Ministri ed i Sottosegretari di Stato, stabilendo che
tali uffici hanno esclusive competenze di supporto
dell’organo di direzione politica e di raccordo tra questo
e l’amministrazione;
b) individuazione degli uffici di livello
dirigenziale generale, centrali e periferici, mediante
diversificazione tra strutture con funzioni finali e con
funzioni strumentali e loro organizzazione per funzioni
omogenee e secondo criteri di flessibilita’ eliminando le
duplicazioni funzionali;
c) previsione di strumenti di verifica periodica
dell’organizzazione e dei risultati;
d) indicazione e revisione periodica della
consistenza delle piante organiche;
e) previsione di decreti ministeriali di natura non
regolamentare per la definizione dei compiti delle unita’
dirigenziali nell’ambito degli uffici dirigenziali generali
.
4-ter. Con regolamenti da emanare ai sensi del comma 1
del presente articolo, si provvede al periodico riordino
delle disposizioni regolamentari vigenti, alla ricognizione
di quelle che sono state oggetto di abrogazione implicita e
all’espressa abrogazione di quelle che hanno esaurito la
loro funzione o sono prive di effettivo contenuto normativo
o sono comunque obsolete .».
Si riporta il testo dell’art. 50 del decreto-legge 31
maggio 2010, n. 78, convertito con Legge 30 luglio 2010, n.
122 (Misure urgenti in materia di stabilizzazione
finanziaria e di competitivita’ economica) pubblicata nella
Gazzetta Ufficiale 30 luglio 2010, n. 176, S.O.:
«Art. 50(Censimento). – 1. E’ indetto il 15° Censimento
generale della popolazione e delle abitazioni, di cui al
Regolamento (CE) 9 luglio 2008, n. 763/08 del Parlamento
europeo e del Consiglio, nonche’ il 9° censimento generale
dell’industria e dei servizi ed il censimento delle
istituzioni non-profit. A tal fine e’ autorizzata la spesa
di 200 milioni di euro per l’anno 2011, di 277 milioni per
l’anno 2012 e di 150 milioni per l’anno 2013.
2. Ai sensi dell’articolo 15, comma 1, lettere b), c)
ed e) del decreto legislativo 6 settembre 1989, n. 322,
l’ISTAT organizza le operazioni di ciascun censimento
attraverso il Piano generale di censimento e apposite
circolari, nonche’ mediante specifiche intese con le
Province autonome di Trento e di Bolzano per i territori di
competenza e nel rispetto della normativa vigente. Nel
Piano Generale di Censimento vengono definite la data di
riferimento dei dati, gli obiettivi, il campo di
osservazione, le metodologie di indagine e le modalita’ di
organizzazione ed esecuzione delle operazioni censuarie,
gli adempimenti cui sono tenuti i rispondenti nonche’ gli
uffici di censimento, singoli o associati, preposti allo
svolgimento delle procedure di cui agli articoli 7 e 11 del
decreto legislativo 6 settembre 1989, n. 322, gli obblighi
delle amministrazioni pubbliche di fornitura all’ISTAT di
basi dati amministrative relative a soggetti costituenti
unita’ di rilevazione censuaria. L’ISTAT, attraverso il
Piano e apposite circolari, stabilisce altresi’:
a) le modalita’ di costituzione degli uffici di
censimento, singoli o associati, preposti allo svolgimento
delle operazioni censuarie e i criteri di determinazione e
ripartizione dei contributi agli organi di censimento, i
criteri per l’affidamento di fasi della rilevazione
censuaria a enti e organismi pubblici e privati, d’intesa
con la Conferenza Unificata, sentito il Ministero
dell’economia e delle finanze;
b) in ragione delle peculiarita’ delle rispettive
tipologie di incarico, le modalita’ di selezione ed i
requisiti professionali del personale con contratto a tempo
determinato, nonche’ le modalita’ di conferimento
dell’incarico di coordinatore e rilevatore, anche con
contratti di collaborazione coordinata e continuativa,
limitatamente alla durata delle operazioni censuarie e
comunque con scadenza entro il 31 dicembre 2012, d’intesa
con il Dipartimento della Funzione pubblica e il Ministero
dell’economia e delle finanze;
c) i soggetti tenuti all’obbligo di risposta, il
trattamento dei dati e la tutela della riservatezza, le
modalita’ di diffusione dei dati, anche con frequenza
inferiore alle tre unita’, ad esclusione dei dati di cui
all’articolo 22 del decreto legislativo 30 giugno 2003, n.
196, e la comunicazione dei dati elementari ai soggetti
facenti parte del SISTAN, nel rispetto del decreto
legislativo n. 322/89 e successive modifiche e del codice
di deontologia e di buona condotta per i trattamenti di
dati personali a scopi statistici e di ricerca scientifica,
nonche’ la comunicazione agli organismi di censimento dei
dati elementari, privi di identificativi e previa richiesta
all’ISTAT, relativi ai territori di rispettiva competenza e
necessari per lo svolgimento delle funzioni istituzionali,
nel rispetto di quanto stabilito dal presente articolo e
dalla normativa vigente in materia di trattamento dei dati
personali a scopi statistici;
d) limitatamente al 15° Censimento generale della
popolazione e delle abitazioni, le modalita’ per il
confronto contestuale alle operazioni censuarie tra dati
rilevati al censimento e dati contenuti nelle anagrafi
della popolazione residente, nonche’, d’intesa con il
Ministero dell’interno, le modalita’ di aggiornamento e
revisione delle anagrafi della popolazione residente sulla
base delle risultanze censuarie.
3. Per gli enti territoriali individuati dal Piano
generale di censimento di cui al comma 2 come affidatari di
fasi delle rilevazioni censuarie, le spese derivanti dalla
progettazione ed esecuzione dei censimenti sono escluse dal
Patto di stabilita’ interno, nei limiti delle risorse
trasferite dall’ISTAT. Per gli enti territoriali per i
quali il Patto di stabilita’ interno e’ regolato con
riferimento al saldo finanziario sono escluse dalle entrate
valide ai fini del Patto anche le risorse trasferite
dall’ISTAT. Le disposizioni del presente comma si applicano
anche agli enti territoriali individuati dal Piano generale
del 6° censimento dell’agricoltura di cui al numero Istat
SP/1275.2009, del 23 dicembre 2009 e di cui al comma 6,
lettera a).
4. Per far fronte alle esigenze temporanee ed
eccezionali connesse all’esecuzione dei censimenti,
l’ISTAT, gli enti e gli organismi pubblici, indicati nel
Piano di cui al comma 2, possono avvalersi delle forme
contrattuali flessibili, ivi compresi i contratti di
somministrazione di lavoro, nell’ambito e nei limiti delle
risorse finanziarie ad essi assegnate ai sensi del comma 1
limitatamente alla durata delle operazioni censuarie e,
comunque, non oltre il 2013; nei limiti delle medesime
risorse, l’ISTAT puo’ avvalersene fino al 31 dicembre 2014,
dando apposita comunicazione dell’avvenuto reclutamento al
Dipartimento della funzione pubblica ed al Ministero
dell’economia e delle finanze.
5. La determinazione della popolazione legale e’
definita con decreto del Presidente della Repubblica sulla
base dei dati del censimento relativi alla popolazione
residente, come definita dal decreto del Presidente della
Repubblica 30 maggio 1989, n. 223.
Nelle more dell’adozione del Piano Generale di
Censimento di cui al comma 2, l’ISTAT provvede alle
iniziative necessarie e urgenti preordinate ad effettuare
la rilevazione sui numeri civici geocodificati alle sezioni
di censimento nei comuni con popolazione residente non
inferiore a 20.000 abitanti e la predisposizione di liste
precensuarie di famiglie e convivenze desunte dagli archivi
di anagrafi comunali attraverso apposite circolari. Con
apposite circolari e nel rispetto della riservatezza,
l’ISTAT stabilisce la tipologia ed il formato dei dati
individuali nominativi dell’anagrafe della popolazione
residente, utili per le operazioni censuarie, che i Comuni
devono fornire all’ISTAT. Il Ministero dell’interno vigila
sulla corretta osservanza da parte dei Comuni dei loro
obblighi di comunicazione, anche ai fini dell’eventuale
esercizio dei poteri sostitutivi di cui agli articoli 14,
comma 2, e 54, commi 3 e 11, del decreto legislativo 18
agosto 2000, n. 267. L’articolo 1, comma 6, della legge 24
dicembre 1954, n. 1228, e’ sostituito dal seguente: «6.
L’INA promuove la circolarita’ delle informazioni
anagrafiche essenziali al fine di consentire alle
amministrazioni pubbliche centrali e locali collegate la
disponibilita’, in tempo reale, dei dati relativi alle
generalita’, alla cittadinanza, alla famiglia anagrafica
nonche’ all’indirizzo anagrafico delle persone residenti in
Italia, certificati dai comuni e, limitatamente al codice
fiscale, dall’Agenzia delle Entrate». Con decreto, da
adottare entro tre mesi dalla data di entrata in vigore
della legge di conversione ai sensi dell’art. 1, comma 7,
della legge 24 dicembre 1954, n. 1228, sono emanate le
disposizioni volte ad armonizzare il regolamento di
gestione dell’INA con quanto previsto dal presente comma.
6. Nelle more dell’entrata in vigore del regolamento di
cui all’articolo 17 del decreto-legge 25 settembre 2009, n.
135, convertito, con modificazioni, dalla legge 20 novembre
2009, n. 166, e in attuazione del Protocollo di intesa
sottoscritto dall’ISTAT e dalle Regioni e Province Autonome
in data 17 dicembre 2009:
a) l’ISTAT organizza le operazioni censuarie, nel
rispetto del regolamento (CE) n. 1166/2008 del Parlamento
europeo e del Consiglio, del 19 novembre 2008, e del
predetto Protocollo, secondo il Piano Generale di
Censimento di cui al numero ISTAT SP/1275.2009 del 23
dicembre 2009 e relative circolari applicative che
individuano anche gli enti e gli organismi pubblici
impegnati nelle operazioni censuarie;
b) le Regioni organizzano e svolgono le attivita’
loro affidate secondo i rispettivi Piani di censimento e
attraverso la scelta, prevista dal Piano Generale di
Censimento, tra il modello ad alta partecipazione o a
partecipazione integrativa, alla quale corrisponde
l’erogazione di appositi contributi;
c) l’ISTAT, gli enti e gli organismi pubblici
impegnati nelle operazioni censuarie sono autorizzati, ai
sensi del predetto articolo 17, comma 4, ad avvalersi delle
forme contrattuali flessibili ivi previste limitatamente
alla durata delle operazioni censuarie e comunque non oltre
il 2012. Della avvenuta selezione, assunzione o
reclutamento da parte dell’ISTAT e’ data apposita
comunicazione al Dipartimento della funzione pubblica ed al
Ministero dell’economia e delle finanze.
7. Gli organi preposti allo svolgimento delle
operazioni del 6° censimento generale dell’agricoltura sono
autorizzati a conferire, per lo svolgimento dei compiti di
rilevatore e coordinatore, anche incarichi di natura
autonoma limitatamente alla durata delle operazioni
censuarie e comunque non oltre il 31 dicembre 2011. Il
reclutamento dei coordinatori intercomunali di censimento e
gli eventuali loro responsabili avviene, secondo le
modalita’ previste dalla normativa e dagli accordi di cui
al presente comma e dalle circolari emanate dall’ISTAT, tra
i dipendenti dell’amministrazione o di altre
amministrazioni pubbliche territoriali o funzionali, nel
rispetto delle norme regionali e locali ovvero tra
personale esterno alle pubbliche amministrazioni. L’ISTAT
provvede con proprie circolari alla definizione dei
requisiti professionali dei coordinatori intercomunali di
censimento e degli eventuali loro responsabili, nonche’ dei
coordinatori comunali e dei rilevatori in ragione delle
peculiarita’ delle rispettive tipologie di incarico.
8. Al fine di ridurre l’utilizzo di soggetti estranei
alla pubblica amministrazione per il perseguimento dei fini
di cui al comma 1, i ricercatori, i tecnologi e il
personale tecnico di ruolo dei livelli professionali IV –
VI degli enti di ricerca e di sperimentazione di cui
all’articolo 7 del presente decreto, che risultino in
esubero all’esito della soppressione e incorporazione degli
enti di ricerca di cui al medesimo articolo 7, sono
trasferiti a domanda all’ISTAT in presenza di vacanze
risultanti anche a seguito di apposita rimodulazione
dell’organico e con le modalita’ ivi indicate. Resta fermo
il limite finanziario dell’80 per cento di cui all’articolo
1, comma 643, della legge 27 dicembre 2006, n. 296.
Dall’attuazione del presente comma non devono derivare
nuovi o maggiori oneri a carico della finanza pubblica.
9. Agli oneri derivanti dai commi 6 e 7, nonche’ a
quelli derivanti dalle ulteriori attivita’ previste dal
regolamento di cui all’articolo 17, comma 2, del
decreto-legge 25 settembre 2009, n. 135, convertito, con
modificazioni, in legge 20 novembre 2009, n. 166, si
provvede nei limiti dei complessivi stanziamenti previsti
dal citato articolo 17.».
Si riporta il testo vigente dell’art. 1 della Legge 24
dicembre 1954, n. 1228 (Ordinamento delle anagrafi della
popolazione residente), pubblicata nella Gazzetta Ufficiale
12 gennaio 1955, n. 8, come modificato dall’articolo 1
novies del Decreto Legge 31 marzo 2005, n. 44, convertito
con modificazioni dalla Legge 31 maggio 2005, n. 88
(pubblicata nella Gazzetta Ufficiale 31 maggio 2005, n.
125) e successivamente ulteriormente modificato
dall’articolo 50, comma 5, del Decreto-Legge 31 maggio
2010, n. 78, convertito con la Legge 30 luglio 2010, n. 122
(pubblicata nella Gazzetta Ufficiale 30 luglio 2010, n.
176, S.O.):
«Art. 1.
In ogni Comune deve essere tenuta l’anagrafe della
popolazione residente.
L’iscrizione e la richiesta di variazione anagrafica
possono dar luogo alla verifica, da parte dei competenti
uffici comunali, delle condizioni igienico-sanitarie
dell’immobile in cui il richiedente intende fissare la
propria residenza, ai sensi delle vigenti norme sanitarie.
Nell’anagrafe della popolazione residente sono
registrate le posizioni relative alle singole persone, alle
famiglie ed alle convivenze, che hanno fissato nel Comune
la residenza, nonche’ le posizioni relative alle persone
senza fissa dimora che hanno stabilito nel Comune il
proprio domicilio, in conformita’ del regolamento per
l’esecuzione della presente legge.
Gli atti anagrafici sono atti pubblici.
Per l’esercizio delle funzioni di vigilanza di cui
all’articolo 12, e’ istituito, presso il Ministero
dell’interno, l’Indice nazionale delle anagrafi (INA),
alimentato e costantemente aggiornato, tramite collegamento
informatico, da tutti i comuni..
L’Indice nazionale delle anagrafi (INA) promuove la
circolarita’ delle informazioni anagrafiche essenziali al
fine di consentire alle amministrazioni pubbliche centrali
e locali collegate la disponibilita’, in tempo reale, dei
dati relativi alle generalita’, alla cittadinanza, alla
famiglia anagrafica, all’indirizzo anagrafico delle persone
residenti in Italia e dei cittadini italiani residenti
all’estero iscritti nell’Anagrafe della popolazione
italiana residente all’estero (AIRE), certificati dai
comuni e, limitatamente al codice fiscale, dall’Agenzia
delle Entrate.
Con decreto del Ministro dell’interno, ai sensi
dell’articolo 17, comma 3, della legge 23 agosto 1988, n.
400, di concerto con il Ministro per la funzione pubblica e
il Ministro per l’innovazione e le tecnologie, sentiti il
Centro nazionale per l’informatica nella pubblica
amministrazione (CNIPA), il Garante per la protezione dei
dati personali e l’Istituto nazionale di statistica
(ISTAT), e’ adottato il regolamento dell’INA. Il
regolamento disciplina le modalita’ di aggiornamento
dell’INA da parte dei comuni e le modalita’ per l’accesso
da parte delle amministrazioni pubbliche centrali e locali
al medesimo INA, per assicurarne la piena operativita’.”.
Il Decreto del Presidente della Repubblica 30 maggio
1989, n. 223 (Approvazione del nuovo regolamento anagrafico
della popolazione residente) e’ stato pubblicato nella
Gazzetta Ufficiale 8 giugno 1989, n. 132.
Il decreto legislativo 6 settembre 1989, n. 322 (Norme
sul Sistema statistico nazionale e sulla riorganizzazione
dell’Istituto nazionale di statistica) e’ stato pubblicato
nella Gazzetta Ufficiale 22 settembre 1989, n. 222.
La Legge 7 agosto 1990, n. 241 (Nuove norme in materia
di procedimento amministrativo e di diritto di accesso ai
documenti amministrativi) e’ stata pubblicata nella
Gazzetta Ufficiale 18 agosto 1990, n. 192.
Si riporta il testo dell’art. 2 del decreto-legge 15
gennaio 1993, n. 6, convertito nella Legge 17 marzo 1993,
n. 63 (Disposizioni urgenti per il recupero degli introiti
contributivi in materia previdenziale) pubblicata nella
Gazzetta Ufficiale 18 marzo 1993, n. 64:
«Art. 2. Scambio dati attraverso il codice fiscale e
acquisizione degli indirizzi.
1. I rapporti tra pubbliche amministrazioni e quelli
intercorrenti tra queste e altri soggetti pubblici o
privati devono essere tenuti sulla base del codice fiscale.
Il codice fiscale, quale elemento identificativo di ogni
soggetto, deve essere pertanto indicato in ogni atto
relativo a rapporti intercorrenti con la pubblica
amministrazione. L’Amministrazione finanziaria comunica il
codice fiscale e i dati anagrafici registrati nel proprio
sistema informativo agli organismi legittimati a
richiederli.
2. Le disposizioni dell’articolo 8 del decreto-legge 11
luglio 1992, n. 333 , convertito, con modificazioni, dalla
legge 8 agosto 1992, n. 359, sono estese a tutte le
aziende, istituti, enti e societa’ che stipulano contratti
di somministrazione e di fornitura di servizi, individuati
con il decreto del Presidente del Consiglio dei Ministri di
cui al comma 6 del presente articolo. L’acquisizione del
codice fiscale alle anagrafi automatizzate dei vari enti
deve essere completata entro il 30 giugno 1993.
3. I comuni che dispongono o si servono di centri
elaborazione dati, ovvero che sono collegabili alla rete
videotel gestita dagli organismi tecnici dell’Associazione
nazionale comuni italiani, devono consentire l’attivazione
di collegamenti telematici con tutti gli organismi che
esercitano attivita’ di prelievo contributivo e fiscale o
che eroghino servizi di pubblica utilita’. Tali
collegamenti dovranno permettere l’accesso, da parte di
detti organismi, a tutte le variazioni che intervengono
nelle anagrafi comunali e, da parte dei comuni, ai dati
informatizzati degli organismi rincipiti, purche’
funzionali all’assolvimento dei compiti istituzionali dei
comuni stessi.
4. I collegamenti devono assicurare piena trasparenza
alle anagrafi dello stato civile, nonche’ alle risultanze
degli archivi automatizzati costituiti per la gestione
delle licenze di esercizio. I comuni e le camere di
commercio, industria, artigianato e agricoltura che inviano
agli organismi centrali i dati per via telematica sono
sollevati dall’onere di inviare i medesimi dati con le
modalita’ precedentemente adottate.
5. Qualora i comuni non dispongono di collegamenti
automatizzati per la gestione delle licenze di esercizio, i
dati sono resi disponibili agli altri enti indicati nel
presente articolo dall’Amministrazione finanziaria, che li
rileva dalle comunicazioni rese dai comuni stessi con le
modalita’ attualmente in vigore.
6. Le modalita’ tecniche per l’attivazione dei
collegamenti e la ripartizione delle spese connesse alla
realizzazione e uso dei collegamenti medesimi, sono
stabilite, entro sessanta giorni dalla data di entrata in
vigore del presente decreto, con decreto del Presidente del
Consiglio dei Ministri, sentiti i Ministri interessati e
l’Associazione nazionale comuni italiani.
7. Il mancato scambio delle informazioni e dei dati
comporta la sospensione dall’incarico, disposta con decreto
del Ministro vigilante, per un periodo di sei mesi, dei
legali rappresentanti degli enti di cui al comma 4
dell’articolo 14 della citata legge n. 412 del 1991 , come
modificato dal comma 1 dell’articolo 1, o dei dirigenti
specificamente preposti al compimento degli atti
necessari.”.
Si riporta il testo dell’art. 2 della Legge 15 maggio
1997, n. 127 (Misure urgenti per lo snellimento
dell’attivita’ amministrativa e dei procedimenti di
decisione e di controllo) pubblicata nella Gazzetta
Ufficiale 17 maggio 1997, n. 113, S.O.:
“Art. 2. Disposizioni in materia di stato civile e di
certificazione anagrafica.
1. …
2. …
3.
4.
5. I comuni favoriscono, per mezzo di intese o
convenzioni, la trasmissione di dati o documenti tra gli
archivi anagrafici e dello stato civile, le altre pubbliche
amministrazioni, nonche’ i gestori o esercenti di pubblici
servizi, garantendo il diritto alla riservatezza delle
persone. La trasmissione di dati puo’ avvenire anche
attraverso sistemi informatici e telematici.
6. ….
7.
8. Le firme e le sottoscrizioni inerenti ai medesimi
atti, e richieste a piu’ soggetti dai pubblici uffici,
possono essere apposte anche disgiuntamente, purche’ nei
termini.
9.
10.
11. E’ abrogata la lettera f) dell’articolo 3 della
legge 21 novembre 1967, n. 1185 , in materia di rilascio
del passaporto.
11-bis. Il terzo comma dell’articolo 17 della legge 21
novembre 1967, n. 1185 , e’ abrogato.
11-ter. …
12. Entro sei mesi dalla data di entrata in vigore
della presente legge, con regolamento da adottarsi ai sensi
dell’articolo 17, comma 2, della legge 23 agosto 1988, n.
400 , previo parere delle competenti Commissioni
parlamentari, il Governo adotta misure per la revisione e
la semplificazione dell’ordinamento dello stato civile di
cui al regio decreto 9 luglio 1939, n. 1238, sulla base dei
seguenti criteri:
a) riduzione e semplificazione dei registri dello
stato civile;
b) eliminazione o riduzione delle fasi procedimentali
che si svolgono tra uffici di diverse amministrazioni o
della medesima amministrazione;
c) eliminazione, riduzione e semplificazione degli
adempimenti richiesti al cittadino in materia di stato
civile;
d) revisione delle competenze e dei procedimenti
degli organi della giurisdizione volontaria in materia di
stato civile;
e) riduzione dei termini per la conclusione dei
procedimenti;
f) regolazione uniforme dei procedimenti dello stesso
tipo che si svolgono presso diverse amministrazioni o
presso diversi uffici della medesima amministrazione;
g) riduzione del numero di procedimenti
amministrativi e accorpamento dei procedimenti che si
riferiscono alla medesima attivita’, anche riunendo in una
unica fonte regolamentare, ove cio’ non ostacoli la
conoscibilita’ normativa, disposizioni provenienti da fonti
di rango diverso, ovvero che richiedano particolari
procedure, fermo restando l’obbligo di porre in essere le
procedure stesse.
13. Sullo schema di regolamento di cui al comma 12 le
Commissioni parlamentari si esprimono entro trenta giorni
dalla data di ricezione. Decorso tale termine il decreto e’
emanato anche in mancanza del parere ed entra in vigore
novanta giorni dopo la sua pubblicazione nella Gazzetta
Ufficiale.
14. Dalla data di entrata in vigore delle norme
regolamentari di cui al comma 12 sono abrogate le
disposizioni vigenti, anche di legge, con esse
incompatibili.
15. I comuni che non versino nelle situazioni
strutturalmente deficitarie di cui all’articolo 45 del
decreto legislativo 30 dicembre 1992, n. 504 , e successive
modificazioni, possono prevedere la soppressione dei
diritti di segreteria da corrispondere per il rilascio
degli atti amministrativi previsti dall’articolo 10, comma
10, del decreto-legge 18 gennaio 1993, n. 8 , convertito,
con modificazioni, dalla legge 19 marzo 1993, n. 68,
nonche’ del diritto fisso previsto dal comma 12-ter del
citato articolo 10. Possono inoltre prevedere la
soppressione o riduzione di diritti, tasse o contributi
previsti per il rilascio di certificati, documenti e altri
atti amministrativi, quando i relativi proventi sono
destinati esclusivamente a vantaggio dell’ente locale, o
limitatamente alla quota destinata esclusivamente a
vantaggio dell’ente locale .».
Il Decreto del Presidente del Consiglio dei Ministri 22
ottobre 1999, n. 437 (Regolamento recante caratteristiche e
modalita’ per il rilascio della carta di identita’
elettronica e del documento di identita’ elettronico, a
norma dell’articolo 2, comma 10, della L. 15 maggio 1997,
n. 127, come modificato dall’articolo 2, comma 4, della L.
16 giugno 1998, n. 191) e’ stato pubblicato nella Gazzetta
Ufficiale 25 novembre 1999, n. 277.
Il Decreto del Ministro dell’interno del 8 novembre
2007 (Regole tecniche della carta di identita’ elettronica)
e’ stato pubblicato nella Gazzetta Ufficiale 9 novembre
2007, n. 261, S.O.
Il Decreto del Ministro dell’Interno del 6 ottobre 2000
(Procedura per la comunicazione ai comuni del codice
fiscale) e’ stato pubblicato nella Gazzetta Ufficiale 25
ottobre 2000, n. 250.
Il Decreto del Presidente della Repubblica 3 novembre
2000, n. 396 (Regolamento per la revisione e la
semplificazione dell’ordinamento dello stato civile, a
norma dell’articolo 2, comma 12, della Legge 15 maggio
1997, n. 127) e’ stato pubblicato nella Gazzetta Ufficiale
30 dicembre 2000, n. 303, S.O.
Si riporta il testo dell’art. 25 della Legge 24
novembre 2000, n. 340 (Disposizioni per la delegificazione
di norme e per la semplificazione di procedimenti
amministrativi – Legge di semplificazione 1999), pubblicata
nella Gazzetta. Ufficiale 24 novembre 2000, n. 275:
«Art. 25(Accesso alle banche dati pubbliche). – 1. Le
pubbliche amministrazioni di cui all’articolo 1, comma 2,
del decreto legislativo 3 febbraio 1993, n. 29, che siano
titolari di programmi applicativi realizzati su specifiche
indicazioni del committente pubblico, hanno facolta’ di
darli in uso gratuito ad altre amministrazioni pubbliche,
che li adattano alle proprie esigenze.
2. Le pubbliche amministrazioni di cui all’articolo 1,
comma 2, del decreto legislativo n. 29 del 1993 hanno
accesso gratuito ai dati contenuti in pubblici registri,
elenchi, atti o documenti da chiunque conoscibili.”.
Il Decreto del Presidente della Repubblica 28 dicembre
2000, 445 (Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa)
e’ stato pubblicato nella Gazzetta Ufficiale 20 febbraio
2001, n. 42, S.O.
Il decreto del Ministro dell’Interno del 18 dicembre
2000 (Modalita’ di comunicazione dei dati relativi ai
cittadini stranieri extracomunitari fra gli uffici
anagrafici dei comuni, gli archivi dei lavoratori
extracomunitari e gli archivi dei competenti organi
centrali e periferici del Ministero dell’Interno, nonche’
le modalita’ tecniche ed il termine per l’aggiornamento e
la verifica delle posizioni anagrafiche dei cittadini
stranieri gia’ iscritti nei registri della popolazione
residente) e’ stato pubblicato nella Gazzetta Ufficiale 11
gennaio 2001, n. 8.
Si riporta il testo dell’art. 2 del decreto legge 31
marzo 2003, n. 52, convertito in Legge 30 maggio 2003 n.
122 (Differimento dei termini relativi alle elezioni per il
rinnovo dei Comitati degli italiani all’estero), pubblicata
nella Gazzetta Ufficiale 31 maggio 2003, n. 125:
“Art. 2. – 1. Per il completamento
dell’informatizzazione e per l’aggiornamento dell’anagrafe
degli italiani residenti all’estero tramite il sistema di
accesso e interscambio anagrafico (SAIA), il Ministero
dell’interno si avvale della infrastruttura informatica di
base dell’indice nazionale delle anagrafi (INA), previsto
dall’articolo 2-quater del decreto-legge 27 dicembre 2000,
n. 392, convertito, con modificazioni, dalla legge 28
febbraio 2001, n. 26, allocato presso il centro nazionale
per i servizi demografici, costituito con D.M. 23 aprile
2002 del Ministro dell’interno.
2. Il Ministro dell’interno, nel quadro delle direttive
e degli indirizzi del Comitato dei Ministri per la Societa’
dell’informazione, puo’ avvalersi, a decorrere dalla data
di entrata in vigore del presente decreto, delle forme di
finanziamento previste dalle lettere a), b) e c) del comma
4 dell’articolo 26 della legge 27 dicembre 2002, n. 289, ai
fini della produzione e dell’emissione della carta
d’identita’ elettronica.».
Il decreto legislativo 7 marzo 2005, n. 82 (Codice
dell’amministrazione digitale) e’ stato pubblicato nella
Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O.
Si riporta il testo dell’articolo16-bis del decreto –
legge 29 novembre 2008, n. 185, convertito nella Legge 28
gennaio 2009, n. 2 (Misure urgenti per il sostegno a
famiglie, lavoro, occupazione e impresa e per ridisegnare
in funzione anticrisi il quadro strategico nazionale),
pubblicata nella Gazzetta Ufficiale 28 gennaio 2009, n. 22,
S.O.:
«Art. 16-bis. Misure di semplificazione per le famiglie
e per le imprese.
1. A decorrere dalla data di entrata in vigore del
decreto di cui al comma 3 e secondo le modalita’ ivi
previste, i cittadini comunicano il trasferimento della
propria residenza e gli altri eventi anagrafici e di stato
civile all’ufficio competente. Entro ventiquattro ore dalla
conclusione del procedimento amministrativo anagrafico,
l’ufficio di anagrafe trasmette le variazioni all’Indice
nazionale delle anagrafi, di cui all’articolo 1, quarto
comma, della legge 24 dicembre 1954, n. 1228, e successive
modificazioni, che provvede a renderle accessibili alle
altre amministrazioni pubbliche. In caso di ritardo nella
trasmissione all’Indice nazionale delle anagrafi, il
responsabile del procedimento ne risponde a titolo
disciplinare e, ove ne derivi pregiudizio, anche a titolo
di danno erariale.
2. La richiesta al cittadino di produrre dichiarazioni
o documenti al di fuori di quelli indispensabili per la
formazione e le annotazioni degli atti di stato civile e di
anagrafe costituisce violazione dei doveri d’ufficio, ai
fini della responsabilita’ disciplinare.
3. Con uno o piu’ decreti del Ministro per la pubblica
amministrazione e l’innovazione e del Ministro
dell’interno, sentita la Conferenza unificata di cui
all’articolo 8 del decreto legislativo 28 agosto 1997, n.
281, e successive modificazioni, sono stabilite le
modalita’ per l’attuazione del comma 1.
4. Dall’attuazione del comma 1 non devono derivare
nuovi o maggiori oneri per la finanza pubblica.
5. Per favorire la realizzazione degli obiettivi di
massima diffusione delle tecnologie telematiche nelle
comunicazioni, previsti dal codice dell’amministrazione
digitale, di cui al decreto legislativo 7 marzo 2005, n.
82, ai cittadini che ne fanno richiesta e’ attribuita una
casella di posta elettronica certificata o analogo
indirizzo di posta elettronica basato su tecnologie che
certifichino data e ora dell’invio e della ricezione delle
comunicazioni e l’integrita’ del contenuto delle stesse,
garantendo l’interoperabilita’ con analoghi sistemi
internazionali. L’utilizzo della posta elettronica
certificata avviene ai sensi degli articoli 6 e 48 del
citato codice di cui al decreto legislativo n. 82 del 2005,
con effetto equivalente, ove necessario, alla notificazione
per mezzo della posta. Le comunicazioni che transitano per
la predetta casella di posta elettronica certificata sono
senza oneri.
6. Per i medesimi fini di cui al comma 5, ogni
amministrazione pubblica utilizza la posta elettronica
certificata, ai sensi dei citati articoli 6 e 48 del codice
di cui al decreto legislativo n. 82 del 2005 o analogo
indirizzo di posta elettronica basato su tecnologie che
certifichino data e ora dell’invio e della ricezione delle
comunicazioni e l’integrita’ del contenuto delle stesse,
garantendo l’interoperabilita’ con analoghi sistemi
internazionali, con effetto equivalente, ove necessario,
alla notificazione per mezzo della posta, per le
comunicazioni e le notificazioni aventi come destinatari
dipendenti della stessa o di altra amministrazione
pubblica.
7. Con decreto del Presidente del Consiglio dei
ministri, su proposta del Ministro per la pubblica
amministrazione e l’innovazione, da emanare entro novanta
giorni dalla data di entrata in vigore della legge di
conversione del presente decreto, previa intesa in sede di
Conferenza unificata di cui all’articolo 8 del decreto
legislativo 28 agosto 1997, n. 281, e successive
modificazioni, sono definite le modalita’ di rilascio e di
uso della casella di posta elettronica certificata
assegnata ai cittadini ai sensi del comma 5 del presente
articolo, con particolare riguardo alle categorie a rischio
di esclusione ai sensi dell’articolo 8 del citato codice di
cui al decreto legislativo n. 82 del 2005, nonche’ le
modalita’ di attivazione del servizio mediante procedure di
evidenza pubblica, anche utilizzando strumenti di finanza
di progetto. Con il medesimo decreto sono stabilite le
modalita’ di attuazione di quanto previsto nel comma 6, cui
le amministrazioni pubbliche provvedono nell’ambito degli
ordinari stanziamenti di bilancio .
8. Agli oneri derivanti dall’attuazione del comma 5 si
provvede mediante l’utilizzo delle risorse finanziarie
assegnate, ai sensi dell’articolo 27 della legge 16 gennaio
2003, n. 3, al progetto “Fondo di garanzia per le piccole e
medie imprese” con decreto dei Ministri delle attivita’
produttive e per l’innovazione e le tecnologie 15 giugno
2004, pubblicato nella Gazzetta Ufficiale n. 150 del 29
giugno 2004, non impegnate alla data di entrata in vigore
della legge di conversione del presente decreto.
9. All’articolo 1, comma 213, della legge 24 dicembre
2007, n. 244, sono apportate le seguenti modificazioni:
a) all’alinea sono aggiunte, in fine, le seguenti
parole: “, in conformita’ a quanto previsto dagli standard
del Sistema pubblico di connettivita’ (SPC)”;
b) dopo la lettera g) e’ aggiunta la seguente:
“g-bis) le regole tecniche idonee a garantire
l’attestazione della data, l’autenticita’ dell’origine e
l’integrita’ del contenuto della fattura elettronica, di
cui all’articolo 21, comma 3, del decreto del Presidente
della Repubblica 26 ottobre 1972, n. 633, e successive
modificazioni, per ogni fine di legge.».
10. In attuazione dei principi stabiliti dall’articolo
18, comma 2, della legge 7 agosto 1990, n. 241, e
successive modificazioni, e dall’articolo 43, comma 5, del
testo unico delle disposizioni legislative e regolamentari
in materia di documentazione amministrativa, di cui al
decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445, le stazioni appaltanti pubbliche acquisiscono
d’ufficio, anche attraverso strumenti informatici, il
documento unico di regolarita’ contributiva (DURC) dagli
istituti o dagli enti abilitati al rilascio in tutti i casi
in cui e’ richiesto dalla legge.
11. In deroga alla normativa vigente, per i datori di
lavoro domestico gli obblighi di cui all’articolo 9-bis del
decreto-legge 1° ottobre 1996, n. 510, convertito, con
modificazioni, dalla legge 28 novembre 1996, n. 608, e
successive modificazioni, si intendono assolti con la
presentazione all’Istituto nazionale della previdenza
sociale (INPS), attraverso modalita’ semplificate, della
comunicazione di assunzione, cessazione, trasformazione e
proroga del rapporto di lavoro.
12. L’INPS trasmette, in via informatica, le
comunicazioni semplificate di cui al comma 11 ai servizi
competenti, al Ministero del lavoro, della salute e delle
politiche sociali, all’Istituto nazionale per
l’assicurazione contro gli infortuni sul lavoro (INAIL),
nonche’ alla prefettura-ufficio territoriale del Governo,
nell’ambito del Sistema pubblico di connettivita’ (SPC) e
nel rispetto delle regole tecniche di sicurezza, di cui
all’articolo 71, comma 1-bis, del codice di cui al decreto
legislativo 7 marzo 2005, n. 82, anche ai fini di quanto
previsto dall’articolo 4-bis, comma 6, del decreto
legislativo 21 aprile 2000, n. 181, e successive
modificazioni”.
Il Decreto del Presidente della Repubblica del 7
settembre 2010 n. 166 (Regolamento di riordino
dell’Istituto nazionale di statistica) e’ stato pubblicato
nella Gazzetta Ufficiale 7 ottobre 2010, n. 235.
Il Regolamento (CE) 763/2008 del Parlamento Europeo e
del Consiglio del 9 luglio 2008, relativo ai censimenti
della popolazione e delle abitazioni, e’ stato pubblicato
nella G.U.U.E. 13 agosto 2008, n. L 218.
Il Regolamento (CE) 223/2009 del Parlamento Europeo e
del Consiglio dell’11 marzo 2009, relativo alle statistiche
europee e che abroga il regolamento (CE, Euratom) n.
1101/2008 del Parlamento europeo e del Consiglio, relativo
alla trasmissione all’Istituto statistico delle Comunita’
europee di dati statistici protetti dal segreto, il
regolamento (CE) n. 322/97 del Consiglio, relativo alle
statistiche comunitarie, e la decisione 89/382/CEE, Euratom
del Consiglio, che istituisce un comitato del programma
statistico delle Comunita’ europee, e’ stato pubblicato
nella G.U.U.E. 31 marzo 2009, n. L 87.

Art. 2

Finalita’

1. L’INA e’ il sistema incardinato nell’infrastruttura tecnologica
e di sicurezza del CNSD, istituito presso il Dipartimento per gli
Affari Interni e Territoriali, che garantisce la disponibilita’, in
tempo reale, tramite i servizi di interscambio e di cooperazione di
cui all’articolo 6, dei dati relativi alle generalita’, alla
cittadinanza, alla famiglia anagrafica e all’indirizzo anagrafico
delle persone iscritte in APR e in AIRE, anche per un migliore
esercizio della funzione di vigilanza e di gestione dei dati
anagrafici e di stato civile.
2. L’INA fornisce i servizi di interscambio e di cooperazione di
cui all’articolo 6, anche per assicurare l’allineamento e la coerenza
degli archivi degli enti collegati all’INA con le anagrafi comunali.
3. Per le finalita’ di cui ai precedenti commi 1 e 2, e’ utilizzato
anche il codice fiscale, che garantisce l’univocita’ delle
informazioni di cui al successivo articolo 3 del presente
regolamento.

Art. 3

Caratteristiche

1. Nell’INA sono contenuti i dati che consentono la corretta ed
univoca associazione tra cittadino e comune di residenza, nonche’
l’acquisizione delle seguenti informazioni:
a) Cognome;
b) Nome;
c) Luogo e data di nascita;
d) Codice fiscale attribuito dall’Agenzia delle Entrate;
e) Codice ISTAT del Comune di ultima residenza e codice Istat
della sezione di censimento;
f) Cittadinanza (denominazione dello Stato);
g) Famiglia anagrafica (componenti della famiglia, relazione di
parentela o di affinita’);
h) Indirizzo anagrafico (specie e denominazione del toponimo,
numero civico, data di decorrenza della residenza).

Art. 4

Costituzione e aggiornamento

1. L’INA e’ costituito ed aggiornato sulla base delle informazioni
contenute nelle anagrafi di tutti i comuni italiani, con il codice
fiscale validato dall’Agenzia delle Entrate.
2. A tal fine, i comuni inviano all’INA i dati di cui all’articolo
3, attraverso i servizi telematici e di sicurezza del CNSD, entro 24
ore dalla registrazione del dato in APR, secondo le istruzioni
tecniche adottate dalla Direzione Centrale per i Servizi Demografici.
3. L’Ufficiale d’anagrafe e’ responsabile del corretto e tempestivo
invio delle informazioni anagrafiche all’INA.
4. L’interessato puo’ esercitare il diritto di accesso ai dati
personali contenuti nell’INA e gli altri diritti di cui all’articolo
7 del decreto legislativo 30 giugno 2003, n. 196, tramite il comune
di residenza, che riscontra la richiesta.
5. Qualora i dati inviati all’INA siano errati o non aggiornati
competente ad effettuarne la rettificazione o l’aggiornamento e’ il
comune di residenza del soggetto a cui i dati si riferiscono.
6. Qualora l’errore non sia imputabile al comune di residenza,
quest’ultimo ne informa la Direzione Centrale per i Servizi
Demografici per i conseguenti adempimenti ai sensi del decreto
legislativo 30 giugno 2003, n. 196.

Note all’art. 4:
Per i riferimenti al citato decreto legislativo n. 196
del 2003, si veda nelle note alle premesse.

Art. 5

Soggetti fornitori e/o fruitori dei servizi

1. Ai servizi di cui all’articolo 6, e ai dati resi disponibili
dall’INA accedono, in modalita’ telematica, tramite il Centro
Nazionale per i Servizi Demografici, secondo quanto previsto
nell’allegato tecnico di cui al successivo articolo 8:
a) il Ministero dell’interno – Direzione Centrale per i Servizi
Demografici, ai fini del migliore espletamento della vigilanza sulla
tenuta delle anagrafi comunali e del rilascio della carta di
identita’ elettronica;
b) le Prefetture – Uffici Territoriali del Governo, le Questure e
le altre strutture centrali e territoriali del Ministero
dell’interno, per l’espletamento dei propri compiti istituzionali;
c) l’ISTAT per la produzione dell’informazione statistica
ufficiale e per la verifica della qualita’ statistica dei dati di
fonte amministrativa, utile anche ai fini della vigilanza anagrafica;
d) l’Agenzia delle Entrate per l’attribuzione, l’aggiornamento e
la validazione dei codici fiscali e per la corretta individuazione
dei dati anagrafici e di residenza dei cittadini;
e) il Ministero degli affari esteri, per l’aggiornamento
dell’AIRE e dell’elenco unico aggiornato dei cittadini italiani
residenti all’estero, di cui all’articolo 5, comma 1 della legge 27
dicembre 2001, n. 459;
f) i Comuni, per il popolamento e l’aggiornamento dell’INA, per
verificare la coerenza, a livello nazionale, dei cittadini iscritti
nella propria anagrafe, rispetto ai cittadini iscritti nelle altre
anagrafi comunali, fermo restando quanto previsto dalla lettera g);
g) ogni altra amministrazione pubblica in relazione a specifiche
finalita’ previste da legge o da regolamento;
h) gli organismi che esercitano attivita’ di prelievo
contributivo e fiscale o erogano servizi di pubblica utilita’, di cui
all’articolo 2, comma 3 del decreto-legge 15 gennaio 1993, n. 6,
convertito nella legge 17 marzo 1993, n. 63, ai fini della corretta
individuazione della residenza anagrafica dei cittadini e della
semplificazione del servizio pubblico.
2. L’autorizzazione per l’utilizzo dei servizi INA da parte dei
soggetti di cui alle lettere b), c), d), e), g), h) del precedente
comma 1, e’ subordinata alle modalita’ concordate con il Ministero
dell’interno – Direzione Centrale per i Servizi Demografici ed
individuate da un’apposita convenzione, nella quale sono specificati
i presupposti di legge o di regolamento.
3. L’accesso ai dati contenuti nell’INA e’ gratuito ai sensi di
quanto previsto all’articolo 58 del decreto legislativo 7 marzo 2005,
n. 82, salvo il riconoscimento dei costi derivanti da elaborazioni
aggiuntive.
4. L’accesso ai servizi resi disponibili dall’INA e’ assicurato, in
collegamento telematico con il CNSD, tutti i giorni dell’anno e
nell’arco dell’intera giornata.

Note all’art. 5:
– Si riporta il testo dell’art. 5 della legge 27
dicembre 2001, n.459 (Norme per l’esercizio del diritto di
voto dei cittadini italiani residenti all’estero),
pubblicata nella Gazzetta Ufficiale 5 gennaio 2002, n. 4:
“Art. 5. 1. Il Governo, mediante unificazione dei dati
dell’anagrafe degli italiani residenti all’estero e degli
schedari consolari, provvede a realizzare l’elenco
aggiornato dei cittadini italiani residenti all’estero
finalizzato alla predisposizione delle liste elettorali,
distinte secondo le ripartizioni di cui all’articolo 6, per
le votazioni di cui all’articolo 1, comma 1.
2. Sono ammessi ad esprimere il proprio voto in Italia
solo i cittadini residenti all’estero che hanno esercitato
l’opzione di cui all’articolo 1, comma 3.” .
Si riporta il testo dell’ art. 2 del decreto – legge 15
gennaio 1993, n. 6, convertito nella Legge 17 marzo 1993,
n. 63 (Disposizioni urgenti per il recupero degli introiti
contributivi in materia previdenziale) pubblicata nella
Gazzetta Ufficiale 18 marzo 1993, n. 64:
“Art. 2 (Scambio dati attraverso il codice fiscale e
acquisizione degli indirizzi). – 1. I rapporti tra
pubbliche amministrazioni e quelli intercorrenti tra queste
e altri soggetti pubblici o privati devono essere tenuti
sulla base del codice fiscale. Il codice fiscale, quale
elemento identificativo di ogni soggetto, deve essere
pertanto indicato in ogni atto relativo a rapporti
intercorrenti con la pubblica amministrazione.
L’Amministrazione finanziaria comunica il codice fiscale e
i dati anagrafici registrati nel proprio sistema
informativo agli organismi legittimati a richiederli.
2. Le disposizioni dell’articolo 8 del decreto-legge 11
luglio 1992, n. 333 , convertito, con modificazioni, dalla
legge 8 agosto 1992, n. 359, sono estese a tutte le
aziende, istituti, enti e societa’ che stipulano contratti
di somministrazione e di fornitura di servizi, individuati
con il decreto del Presidente del Consiglio dei Ministri di
cui al comma 6 del presente articolo. L’acquisizione del
codice fiscale alle anagrafi automatizzate dei vari enti
deve essere completata entro il 30 giugno 1993.
3. I comuni che dispongono o si servono di centri
elaborazione dati, ovvero che sono collegabili alla rete
videotel gestita dagli organismi tecnici dell’Associazione
nazionale comuni italiani, devono consentire l’attivazione
di collegamenti telematici con tutti gli organismi che
esercitano attivita’ di prelievo contributivo e fiscale o
che eroghino servizi di pubblica utilita’. Tali
collegamenti dovranno permettere l’accesso, da parte di
detti organismi, a tutte le variazioni che intervengono
nelle anagrafi comunali e, da parte dei comuni, ai dati
informatizzati degli organismi sopracitati, purche’
funzionali all’assolvimento dei compiti istituzionali dei
comuni stessi.
4. I collegamenti devono assicurare piena trasparenza
alle anagrafi dello stato civile, nonche’ alle risultanze
degli archivi automatizzati costituiti per la gestione
delle licenze di esercizio. I comuni e le camere di
commercio, industria, artigianato e agricoltura che inviano
agli organismi centrali i dati per via telematica sono
sollevati dall’onere di inviare i medesimi dati con le
modalita’ precedentemente adottate.
5. Qualora i comuni non dispongono di collegamenti
automatizzati per la gestione delle licenze di esercizio, i
dati sono resi disponibili agli altri enti indicati nel
presente articolo dall’Amministrazione finanziaria, che li
rileva dalle comunicazioni rese dai comuni stessi con le
modalita’ attualmente in vigore.
6. Le modalita’ tecniche per l’attivazione dei
collegamenti e la ripartizione delle spese connesse alla
realizzazione e uso dei collegamenti medesimi, sono
stabilite, entro sessanta giorni dalla data di entrata in
vigore del presente decreto, con decreto del Presidente del
Consiglio dei Ministri, sentiti i Ministri interessati e
l’Associazione nazionale comuni italiani.
7. Il mancato scambio delle informazioni e dei dati
comporta la sospensione dall’incarico, disposta con decreto
del Ministro vigilante, per un periodo di sei mesi, dei
legali rappresentanti degli enti di cui al comma 4
dell’articolo 14 della citata legge n. 412 del 1991 , come
modificato dal comma 1 dell’articolo 1, o dei dirigenti
specificamente preposti al compimento degli atti
necessari.”.
Si riporta il testo dell’articolo 58 del citato decreto
legislativo n. 82 del 2005:
“Art. 58 (Modalita’ della fruibilita’ del dato). – 1.
Il trasferimento di un dato da un sistema informativo ad un
altro non modifica la titolarita’ del dato.
2. Ai sensi dell’articolo 50, comma 2, nonche’ al fine
di agevolare l’acquisizione d’ufficio ed il controllo sulle
dichiarazioni sostitutive riguardanti informazioni e dati
relativi a stati, qualita’ personali e fatti di cui agli
articoli 46 e 47 del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445, le Amministrazioni
titolari di banche dati accessibili per via telematica
predispongono, sulla base delle linee guida redatte da
DigitPA, sentito il Garante per la protezione dei dati
personali, apposite convenzioni aperte all’adesione di
tutte le amministrazioni interessate volte a disciplinare
le modalita’ di accesso ai dati da parte delle stesse
amministrazioni procedenti, senza oneri a loro carico. Le
convenzioni valgono anche quale autorizzazione ai sensi
dell’articolo 43, comma 2, del citato decreto del
Presidente della Repubblica n. 445 del 2000.
3. DigitPA provvede al monitoraggio dell’attuazione del
presente articolo, riferendo annualmente con apposita
relazione al Ministro per la pubblica amministrazione e
l’innovazione e alla Commissione per la valutazione, la
trasparenza e l’integrita’ delle amministrazione pubbliche
di cui all’articolo 13 del decreto legislativo 27 ottobre
2009, n. 150.
3-bis. In caso di mancata predisposizione delle
convenzioni di cui al comma 2, il Presidente del Consiglio
dei Ministri stabilisce un termine entro il quale le
amministrazioni interessate devono provvedere. Decorso
inutilmente il termine, il Presidente del Consiglio dei
Ministri puo’ nominare un commissario ad acta incaricato di
predisporre le predette convenzioni. Al Commissario non
spettano compensi, indennita’ o rimborsi.
3-ter. Resta ferma la speciale disciplina dettata in
materia di dati territoriali.».

Art. 6

Servizi di interscambio e di cooperazione

1. I servizi di interscambio e di cooperazione dell’INA hanno
l’obiettivo di garantire una efficace realizzazione delle finalita’
di cui all’articolo 2. La sicurezza, e l’integrita’ delle
informazioni scambiate tra i soggetti fornitori e/o fruitori di cui
all’articolo 5 comma 1 sono assicurate attraverso il Backbone di
sicurezza del CNSD, che certifica lo scambio e la certezza dei punti
di origine e di destinazione delle comunicazioni, secondo le
modalita’ indicate nell’allegato tecnico di cui al successivo
articolo 8.
2. I servizi di interscambio e cooperazione dell’INA riguardano:
a) i dati anagrafici trasmessi dall’INA in risposta alle
richieste inoltrate, tramite l’INA, da parte dei soggetti di cui
all’articolo 5, comma 1;
b) le variazioni anagrafiche trasmesse dai comuni all’INA e da
quest’ultimo inviate ai soggetti di cui all’articolo 5, comma 1;
c) i dati contenuti nell’INA e quelli concernenti le variazioni
anagrafiche per le rilevazioni statistiche sulla popolazione
residente, notificati dai comuni all’ISTAT, secondo le modalita’
stabilite d’intesa con l’ISTAT.
3. Le informazioni anagrafiche inviate dai comuni all’INA, tramite
l’infrastruttura Backbone di sicurezza del CNSD, hanno valore
ufficiale e sostituiscono gli altri collegamenti telematici e le
altre forme di comunicazione, anche di tipo tradizionale, con i
soggetti di cui al precedente articolo 5, comma 1, fatte salve le
esigenze di completezza e qualita’ delle informazioni statistiche
derivanti dalle normative internazionali, europee e nazionali.
4. Il collegamento e lo scambio dei dati avviene, nel rispetto
delle competenze e delle responsabilita’ delle singole
Amministrazioni, come regolate dalla normativa vigente e dalle
Convenzioni di cui all’articolo 5, comma 2 del presente decreto.

Art. 7

Vigilanza sulla tenuta delle anagrafi

1. Ai fini della vigilanza sulla regolare ed efficiente tenuta
delle anagrafi di cui al decreto del Presidente della Repubblica 30
maggio 1989, n. 223, vengono effettuati, attraverso indicatori
derivati dall’INA e mediante l’utilizzo dell’informazione statistica
ufficiale prodotta dall’Istat, il monitoraggio e la valutazione della
qualita’ dell’informazione amministrativa. I criteri e le modalita’
di esercizio del monitoraggio sono definiti, d’intesa tra il
Ministero dell’interno e l’ISTAT, nell’ambito di un Comitato
paritetico costituito con provvedimento del Capo del Dipartimento per
gli Affari interni e territoriali del Ministero dell’interno e
composto da tre rappresentanti del Ministero dell’interno – Direzione
Centrale per i Servizi Demografici e da tre rappresentanti
dell’ISTAT. Il Comitato si riunisce con cadenza semestrale.

Note all’art. 7:
Il Decreto del Presidente della Repubblica 30 maggio
1989 n. 223 (Approvazione del nuovo regolamento anagrafico
della popolazione residente) e’ stato pubblicato nella
Gazzetta Ufficiale 8 giugno 1989, n. 132.

Art. 8

Titolare del trattamento e misure di sicurezza

1. Titolare del trattamento dei dati contenuti nell’INA e’ il
Ministero dell’interno, che designa, quale responsabile del
trattamento dei dati, il Direttore Centrale dei Servizi Demografici.
2. Titolare del trattamento dei dati anagrafici contenuti
nell’anagrafe comunale, ivi comprese le comunicazioni all’INA e’ il
comune. Il Sindaco, o suo delegato, e’ responsabile dell’attuazione
delle misure di sicurezza.
3. La vigilanza sul tempestivo invio dei dati di cui all’articolo 4
e sull’adozione delle misure di sicurezza da parte dei Comuni nella
gestione dell’anagrafe e nelle comunicazioni all’INA, rientra nella
funzione generale di vigilanza sulla tenuta delle anagrafi, di
competenza del Prefetto della provincia.
4. I soggetti di cui all’articolo 5, comma 1, individuano i
responsabili e gli incaricati del trattamento dei dati anagrafici
scambiati con l’INA, in relazione a quanto previsto dalla normativa
vigente e dalle convenzioni di cui all’articolo 5 comma 2.
5. L’INA e’ costituito e gestito in conformita’ alle disposizioni
di sicurezza dettate dall’articolo 31 e seguenti del decreto
legislativo 30 giugno 2003, n. 196 e relativo allegato B. E’ altresi’
assicurata la conformita’ alle misure di sicurezza previste dal
decreto legislativo 7 marzo 2005, n. 82 e delle relative regole
tecniche nonche’ dalle direttive emanate dal Ministro per
l’innovazione e le tecnologie, in particolare e’ assicurata
l’adozione della base minima di sicurezza prevista dalla direttiva
del 16 gennaio 2002 del Presidente del Consiglio dei Ministri – DIT
«Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche
Amministrazioni Statali». E’ inoltre realizzato un Sistema di
gestione della sicurezza informativa secondo lo standard ISO
27001/27002 e BS7799, nell’ambito del quale sono progettate,
mantenute ed adeguate in modo organico le misure di sicurezza, di
natura tecnica, organizzative e sul personale. In tale ambito e’
gestito il piano della sicurezza, con aggiornamento almeno annuale.
6. Le misure di sicurezza dell’INA sono definite nell’allegato
tecnico che forma parte integrante del presente decreto.
7. L’allegato tecnico di cui al comma precedente e’ aggiornato
periodicamente con decreto del Ministro dell’interno di concerto con
il Ministro per la pubblica amministrazione e l’innovazione, sentito
il Garante per la Protezione dei dati personali, in relazione
all’evoluzione tecnica e all’esperienza maturata nel settore.
8. Le misure di sicurezza sopraccitate riguardano anche i sistemi
del CNSD, le connessioni con i soggetti collegati al CNSD, di cui
all’articolo 5 comma 1, ed i «sistemi di frontiera» (porta
applicativa Backbone del CNSD o Porta di Dominio con modulo Backbone
del CNSD presso i soggetti collegati); l’adozione di misure di
sicurezza relative ai sistemi interni di ciascuno dei soggetti di cui
all’articolo 5 comma 1, sono di responsabilita’ dello stesso, in
coerenza con le prescrizioni di natura tecnica specificate
nell’allegato tecnico di cui al comma 6. Prescrizioni, impegni e
moduli organizzativi e gestionali sono espressamente richiamati nelle
convenzioni di adesione.

Note all’art. 8:
Si riporta il testo dell’art. 31 del citato decreto
legislativo n. 196 del 2003:
«Art. 31 (Obblighi di sicurezza). – 1. I dati personali
oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l’adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalita’
della raccolta.».

Art. 9

Disposizioni finali

1. Il presente regolamento si applica nel rispetto della disciplina
rilevante in materia di protezione dei dati personali, e, in
particolare, delle disposizioni del Codice in materia di protezione
dei dati personali, approvato con decreto legislativo 30 giugno 2003,
n. 196.
2. A far data dall’entrata in vigore del presente decreto e’
abrogato il decreto ministeriale 13 ottobre 2005, n. 240, recante
«Regolamento di gestione dell’INA».
Il presente decreto, munito di sigillo dello Stato, sara’ inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E’ fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Roma, 19 gennaio 2012

Il Ministro dell’interno
Cancellieri

Il Ministro per la pubblica
amministrazione e la semplificazione
Patroni Griffi

Il Ministro dell’istruzione,
dell’universita’ e della ricerca
Profumo

Visto, il Guardasigilli: Severino

Registrato alla Corte dei conti il 28 febbraio 2012
Interno, Registro n. 1, foglio n. 395

Note all’art. 9:
Per i riferimenti al citato decreto legislativo n. 196
del 2003, si veda nelle note alle premesse.
Il decreto ministeriale 13 ottobre 2005, n. 240
(Regolamento di gestione dell’Indice Nazionale delle
Anagrafi – INA) e’ stato pubblicato nella Gazzetta
Ufficiale 23 novembre 2005, n. 273.

Allegato

Allegato tecnico al D.M. 19 gennaio 2012 recante
«Nuovo regolamento di gestione
dell’Indice Nazionale delle Anagrafi»

ARCHITETTURA DI SICUREZZA DELL’INA

Sommario:
1. Scopo e campo di applicazione
2. Glossario
3. Premessa
4. Architettura di cooperazione e sicurezza del CNSD applicata
all’INA
a. Infrastruttura di cooperazione e sicurezza «Backbone» 3
b. Sistema di Monitoraggio dei servizi: Allarmi sicurezza e
allarmi servizi
Allarmi sicurezza
Allarmi servizi
5. Misure di sicurezza garantite dall’infrastruttura di
cooperazione e sicurezza Backbone
1. Scopo e campo di applicazione.
Il presente disciplinare tecnico allegato al nuovo regolamento di
gestione dell’INA descrive l’architettura di sicurezza prevista per
l’accesso ai servizi del CNSD e le relative misure di sicurezza.
2. Glossario.
Le componenti di sicurezza, descritte nello specifico capitolo,
sono le seguenti:
INA: Indice Nazionale delle Anagrafi;
SAIA: Sistema di Accesso ed Interscambio Anagrafico;
CNSD: Centro Nazionale per i Servizi Demografici;
SPC: Sistema Pubblico di Connettivita’
Backbone CNSD/INA.: Infrastruttura di sicurezza del CNSD e
dell’Indice Nazionale delle Anagrafi, che certifica lo scambio e
l’integrita’ del contenuto informativo tra i soggetti fornitori e/o
fruitori di cui all’art. 5, comma 1, del Regolamento di gestione n.
240/2005;
Modulo Porta di Accesso-Backbone Ente (SS_BKPDD ENTE): modulo
della Porta di Dominio dell’Ente; e’ il sistema, all’interno
dell’Ente, abilitante per l’accesso in rete ai servizi applicativi
del CNSD.
Porta di Dominio del CNSD: Porta di Dominio del CNSD, qualificata
DigitPA, comprensiva del «modulo Porta di Accesso Backbone CNSD»
(SS_BKPDD CNSD), sistema di sicurezza del CNSD che abilita e gestisce
l’accesso ai domini applicativi del CNSD per gli Enti che utilizzano
il Sistema Pubblico di Connettivita’;
Porta di Dominio dell’Ente: Porta di Dominio dell’Ente,
qualificata DigitPA, che si interfaccia da un lato con il Modulo
«Porta di Accesso-Backbone CNSD» presso l’Ente (modulo SS_BKPDD ENTE)
per l’invocazione dei servizi applicativi del CNSD da parte degli
applicativi interni all’Ente e dall’altro con la Porta di Dominio del
CNSD per l’accesso a tali servizi;
Porta di Accesso ai Domini Applicativi del CNSD: e’ il sistema di
sicurezza del CNSD che abilita e gestisce l’accesso ai domini
applicativi del CNSD per gli Enti che non utilizzano il Sistema
Pubblico di Connettivita’.
Porta di Accesso Comunale: la «Porta di Accesso ai Domini
Applicativi del CNSD» situata presso il Comune; rappresenta il solo
sistema, presente presso il Comune, abilitato all’accesso in rete ai
servizi applicativi del CNSD.
Porta di Accesso Ente: la «Porta di Accesso ai Domini Applicativi
del CNSD» situata presso l’Ente; rappresenta il solo sistema,
presente presso l’Ente, abilitato all’accesso in rete ai servizi
applicativi del CNSD. Utilizzata dagli Enti che ancora non utilizzano
il Sistema Pubblico di Connettivita’.
Sistema di monitoraggio, tracciatura e allarme: sistema di
vigilanza informatica del Ministero dell’interno in grado di
assicurare, per l’intera filiera di comunicazione, il controllo della
sicurezza, la tutela della riservatezza, la gestione degli allarmi e
la misura della qualita’ dei servizi del CNSD.
3. Premessa.
Presso Il CNSD, Centro nazionale per i Servizi Demografici, operano
i servizi anagrafici del Dipartimento degli Affari Interni e
Territoriali del Ministero dell’interno.
I servizi anagrafici del CNSD rappresentano un sistema complesso di
cooperazione a garanzia della circolarita’ anagrafica tra diverse
Amministrazioni il cui fulcro principale e’ l’Indice Nazionale delle
Anagrafi (INA), realizzato con strumenti informatici nel rispetto
delle regole tecniche concernenti il sistema pubblico di
connettivita’.
Il modello organizzativo del CNSD, il modello di cooperazione e di
circolarita’ anagrafica, nonche’ la sicurezza e tutela della privacy
si basano sui seguenti presupposti:
Da un punto di vista normativo:
Decreto legislativo n. 82/2005 e successive modificazioni e
integrazioni
Circolare n. 23/2005 del 20 giugno 2005 e relativo allegato
tecnico
D.M. 2 agosto 2005 sulla sicurezza: Gazzetta Ufficiale n. 218 del
19 settembre 2005 – supplemento ordinario n. 155
Piano di Sicurezza Comunale
Piano di Sicurezza del CNSD
D.M. n. 240/2005
Convenzioni con gli enti centrali per i processi di circolarita’
anagrafica
Schema di CONVENZIONE tra il MINISTERO DELL’INTERNO e la REGIONE
… per il collegamento all’INDICE NAZIONALE DELLE ANAGRAFI (I.N.A.)
approvato dalla Conferenza Unificata nella seduta del 10 febbraio
2011
Accordi di servizio, in aggiunta alle Convenzioni, per gli enti
che adottano SPC
Da un punto di vista tecnico:
Architettura di sicurezza della Porta di Accesso e del protocollo
Backbone e relativa regolamentazione tecnica
Architettura di sicurezza per l’integrazione del protocollo
Backbone nelle Porte di Dominio degli enti che adottano SPC,
coerentemente con il modello di sicurezza del SPC
Indicazioni tecniche per la connessione delle Regioni e Province
Autonome al CNSD – allegato allo schema di CONVENZIONE tra il
MINISTERO DELL’INTERNO e la REGIONE … per il collegamento
all’INDICE NAZIONALE DELLE ANAGRAFI (I.N.A.) – approvate dalla
Conferenza Unificata nella seduta del 10 febbraio 2011
Grazie ad una grande flessibilita’ allo stato attuale il CNSD vede,
contemporaneamente, enti connessi su SPC con Porta di Dominio
integrata con Modulo Porta di Accesso-Backbone, denominato «modulo
SS_BKPDD», (tipicamente le Regioni e alcuni enti centrali) ed enti
(tipicamente i Comuni e i primi enti centrali collegati), connessi
tramite l’architettura, definita nei regolamenti tecnici richiamati,
basata su «Porta di Accesso» e protocollo di sicurezza «Backbone».
Per utilizzare il Sistema Pubblico di Connettivita’ e nel contempo
rispettare gli stringenti requisiti di sicurezza e privacy del CNSD
il protocollo Backbone e’ stato integrato in SPC realizzando un
«modulo plug-in» della Porta di Dominio denominato SS_BKPDD CNSD (per
la Porta di Dominio del CNSD qualificata DigitPA) e SS_BKPDD ENTE
(per la Porta di Dominio qualificata DigitPA degli enti che si
connettono al CNSD per i processi di circolarita’ anagrafica). Il
modulo SS_BKPDD ENTE viene fornito dal Ministero dell’interno a tutti
gli enti dotati di Porta di Dominio che sottoscrivono la convenzione
e il relativo accordo di servizio con il Ministero stesso per i
processi di circolarita’ anagrafica. La relativa architettura e’
descritta nell’allegato tecnico allo schema di Convenzione tra il
Ministero dell’interno e le Regioni per il collegamento all’Indice
Nazionale delle Anagrafi approvato ufficialmente il 10 febbraio 2011
dalla Conferenza Unificata.
A tendere, in relazione al grado di evoluzione e dispiegamento del
SPC e delle relative regole tecniche e di sicurezza, l’infrastruttura
INA utilizzera’ pienamente tale sistema, prevedendo anche
l’interfacciamento del sistema di sicurezza INA CNSD per fornire
informazioni di monitoraggio al CERT-SPC.
4. Architettura di cooperazione e sicurezza del CNSD applicata
all’INA.
L’architettura di cooperazione e sicurezza del Ministero
dell’interno presso il CNSD si basa sull’infrastruttura di
intermediazione, cooperazione e sicurezza «Backbone» che provvede a
garantire la cooperazione applicativa, la sicurezza, la protezione
dei dati e la tutela della privacy, per una molteplicita’ di servizi
informativi utilizzati da PA centrali, PA locali ed Enti.
Tale coordinamento e composizione dei servizi erogati online dal
CNSD e’ sostenuto, inoltre, dal Sistema di monitoraggio, tracciatura
e allarme.
Il Backbone utilizza un protocollo che separa nettamente la
componente applicativa da quella di autenticazione e da quella di
gestione del trasporto delle informazioni associate ai servizi
applicativi.
La figura seguente schematizza l’architettura di cooperazione e
sicurezza del CNSD.

Parte di provvedimento in formato grafico

Nella figura la Regione rappresenta un esempio tipico di ente
connesso al CNSD per i processi di circolarita’ anagrafica. La stessa
architettura viene utilizzata dagli enti centrali autorizzati ai
processi di circolarita’ anagrafica in quanto la logica di
funzionamento rimane identica.
Presso la Porta di Dominio dell’ente connesso con il CNSD e’
presente il modulo SS_BKPDD ENTE, mentre presso il CNSD e’ presente
il modulo SS_BKPDD CNSD della Porta di Dominio del CNSD; tali
componenti costituiscono l’infrastruttura di sicurezza Backbone per
la gestione della sicurezza delle comunicazioni tra Regione e CNSD.
Presso i Comuni e alcuni enti centrali l’architettura di sicurezza
per l’accesso al CNSD si puo’ basare, invece che su Porta di Dominio
integrata con modulo SS_BKPDD, anche sulla Porta di Accesso Comunale
ai domini applicativi del CNSD (d’ora in avanti anche «Porta di
Accesso») e sul canale sicuro Backbone per la comunicazione su rete
Internet. In ogni caso la logica di funzionamento rimane identica e
le funzionalita’ e le misure di sicurezza assicurate
dall’infrastruttura di cooperazione e sicurezza «Backbone» sono
uguali per cui, nel seguito, non si faranno distinzioni.
a. Infrastruttura di cooperazione e sicurezza «Backbone».
Tutti i servizi applicativi afferenti al CNSD vengono incapsulati
in un canale di autenticazione e autorizzazione basato
sull’infrastruttura di cooperazione e sicurezza «Backbone» che
controlla i permessi di Accesso alle singole componenti applicative
del soggetto che ha effettuato l’autenticazione sulla postazione
dotata di Backbone. Si tratta di una autenticazione
all’infrastruttura di sicurezza «Backbone» del CNSD che gestisce i
profili di autorizzazione di tutti i servizi applicativi del CNSD e
non di una semplice autenticazione al sistema operativo della
postazione. Il Backbone consente infatti di individuare la terna
«postazione-utente-servizio» tramite una gestione delle credenziali
che assicura la possibilita’ di individuare quale utente da quale
postazione e’ stato autenticato per usare un determinato servizio
applicativo. Anche la postazione viene autenticata tramite un
identificativo univocamente associato alla postazione stessa. In
particolare per ogni postazione viene creato un identificativo
hardware «Backbone» che consente di associare univocamente la
postazione all’ente cui e’ assegnata. L’identificativo e’ costituito
da una chiave hardware univoca creata nel momento della
inizializzazione e abilitazione della postazione.
Utilizzando il Sistema di monitoraggio, tracciatura e allarme e’
possibile associare i flussi applicativi ai profili di autorizzazione
nonche’ verificare la conformita’ del flusso rispetto agli schemi
applicativi (ad esempio XSD) e relativi tracciati record. I server
applicativi hanno necessita’ di riconoscere il tipo di flusso in
funzione del servizio applicativo e di un identificativo ad esso
associato. A tal fine l’identificativo serve a distinguere la
versione del software utilizzato sulla postazione per erogare uno
specifico servizio. Ogni versione di software applicativo ha un
identificativo diverso. L’identificativo viene utilizzato dal sistema
di Sistema di monitoraggio, tracciatura e allarme per classificare
univocamente ciascuna transazione.
I servizi di autenticazione e autorizzazione dell’infrastruttura
sono gestiti dal Backbone. Il Backbone incapsula i servizi
applicativi nel canale di autenticazione e autorizzazione secondo il
seguente paradigma di funzionamento:
La componente di Accesso del Backbone («Porta di Accesso» di front
end oppure la Porta di Dominio integrata con modulo «Backbone»
SS-BKPDD) verso un punto di cooperazione con un ente che accede ai
servizi del CNSD viene definita sulla base di uno o piu’ procedimenti
amministrativi che determinano la necessita’ di cooperazione tra
l’organizzazione e il Ministero dell’interno. La Porta di Accesso (o
modulo SS-BKPDD della Porta di Dominio) consente quindi di assicurare
la corrispondenza selettiva dei profili di autorizzazione sia degli
enti, sia degli incaricati, sia dei punti di Accesso utilizzati per
usufruire dei servizi applicativi relativi ai procedimenti. Infatti
la Porta di Accesso (o modulo SS-BKPDD della Porta di Dominio) e’
definita attraverso un servizio di autenticazione che identifica
l’amministrazione che coopera con il Ministero dell’interno,
determina in modo univoco e certifica il punto di origine della
comunicazione e associa al punto di origine le credenziali che
definiscono in modo univoco il responsabile della sicurezza del
dispositivo fisico presso il quale e’ situata la componente di front
end del Backbone della Amministrazione che coopera con il Ministero
dell’interno.
L’accesso al servizio applicativo esposto dal Ministero
dell’interno-CNSD prevede che la richiesta venga consegnata
all’agente di sicurezza Backbone presso il dispositivo (Porta di
Accesso o modulo SS-BKPDD della Porta di Dominio) che risiede presso
l’unita’ organizzativa dell’ente abilitato a cooperare con il
Ministero dell’interno.
La componente Backbone verifica che il servizio applicativo
appartenga ai profili di autorizzazione consentiti per quella Porta
di Accesso (o modulo SS-BKPDD della Porta di Dominio). Questi profili
di autorizzazione consentono di discriminare la tipologia di servizi
applicativi cui l’ente e’ stato abilitato e le caratteristiche di
utilizzo di tali servizi ad esso riservate.
Una volta consegnata alla Porta di Accesso (o modulo SS-BKPDD della
Porta di Dominio), la componente di richiesta del servizio
applicativo e i dati ad essa associati vengono crittografati con
algoritmo a standard RSA 2048 bit e incapsulati dall’agente di
sicurezza Backbone in una apposita struttura per il servizio di invio
su rete. La struttura, crittografata attraverso un sistema di
cifratura asimmetrica con mutua autenticazione dei peer, basato sul
profilo dei servizi applicativi e delle credenziali delle postazioni,
viene quindi inviata al CNSD su canale di comunicazione SSL. I
certificati client e server necessari per la mutua autenticazione
sono emessi dalla Certification Authority del CNSD.
L’agente di sicurezza Backbone invia le comunicazioni solo dopo
aver verificato la corretta corrispondenza dell’insieme di regole di
sicurezza che gli sono assegnate. Tra queste regole si hanno il
controllo:
dell’identificativo hardware «Backbone» della postazione di
lavoro
della corrispondenza tra username e password e identificativo
hardware «Backbone» della postazione di lavoro
della corretta attivazione, tramite username e password, della
postazione di lavoro connessa al backbone
dello stato di abilitazione/disabilitazione della postazione di
lavoro
dello stato di abilitazione/disabilitazione dell’utente
dell’abilitazione dell’utente alla transazione in rete richiesta
dell’abilitazione della postazione di lavoro alla transazione in
rete richiesta
della presenza di specifici attributi nella transazione in rete
richiesta
Il servizio di invio associa alla struttura crittografata alcune
informazioni necessarie a caratterizzare la richiesta come ad esempio
il nome del servizio applicativo incapsulato, gli identificatori del
punto di Accesso e dell’organizzazione associata.
Nel caso di un Comune abilitato all’accesso ai sevizi anagrafici
del CNSD con 3 postazioni riconosciute e certificate il sistema di
autorizzazione prevede di identificare l’ente richiedente (il
Comune), la postazione da cui e’ stata fatta la richiesta (una delle
3 postazioni riconosciute) oltre alle credenziali di autenticazione
del richiedente. La struttura crittografata viene identificata al
momento della ricezione presso la corrispondente componente Backbone
del CNSD.
La componente Backbone presso il CNSD quando riceve la struttura
crittografata verifica, sulla base delle credenziali, che il punto di
invio e l’utente fossero autorizzati ad effettuare quella
comunicazione, verifica l’integrita’ della struttura crittografata e
quindi la decifra. In base al nome del servizio applicativo la
componente Backbone consegna la struttura decifrata al servizio
applicativo deputato al trattamento.
Si rimanda alla Circolare del Dipartimento per gli affari interni e
territoriali n. 23/2005 del 20 giugno 2005 e al D.M. 2 agosto 2005
sulla sicurezza (Gazzetta Ufficiale n. 218 del 19 settembre 2005 –
Supplemento Ordinario n. 155) per i dettagli relativi alle procedure
di attivazione e di gestione.
L’infrastruttura di cooperazione e sicurezza «Backbone» fornisce
inoltre, per tutti i servizi applicativi afferenti al CNSD, le
seguenti funzioni:
Certificazione del punto di origine e destinazione delle
comunicazioni tra ente e CNSD:
identificazione univoca del sistema informatico che rappresenta
il punto di origine della comunicazione dell’ente verso l’INA
associazione in modo certo e sicuro del sistema informatico
all’ente abilitato
Erogazione dei servizi applicativi ai soli sistemi abilitati:
Identificazione certa dei sistemi informatici dell’ente abilitati
ad accedere ai servizi applicativi del CNSD
Protezione dei flussi informativi scambiati con l’ente
Riservatezza delle informazioni tramite cifratura dei flussi
Certificazione dei flussi applicativi tramite firma dei flussi
con algoritmo di firma digitale che utlizza I certificati emessi
dalla Certification Authority del CNSD
L’architettura di sicurezza per l’accesso al CNSD si basa sul
canale sicuro Backbone per la comunicazione su rete, sulla «Porta di
Accesso», sui moduli SS_BKPDD CNSD e SS_BKPDD ENTE che si integrano
rispettivamente nella Porta di Dominio del CNSD e nella Porta di
Dominio dell’Ente connesso. L’architettura e’ stata integrata con il
Sistema Pubblico di Connettivita’ e cooperazione (SPC) definito dal
Codice dell’Amministrazione Digitale e dalle Regole Tecniche (cfr.
Decreto legislativo n. 235/10 del 31 dicembre 2010 e decreto del
Presidente del Consiglio dei Ministri del 1° aprile 2008), e, a
tendere, sara’ previsto l’interfacciamento con il CERT-SPC.
La logica architetturale e’ basata su un sistema di agenti di
natura adattiva. Cio’ vuol dire che ogni agente e’ in grado di
utilizzare regole di sicurezza diverse in funzione del servizio
applicativo. L’infrastruttura di cooperazione e sicurezza Backbone si
avvale di agenti di sicurezza che hanno funzionalita’ di
configurazione e gestione dei formati di sicurezza dei dati e dei
relativi flussi, per ciascun servizio applicativo, entranti/uscenti
dalle postazioni protette da Backbone. Se il servizio e’ di
consultazione allora l’agente controlla solo le credenziali di
autenticazione. Se il servizio applicativo permette il trattamento di
informazioni l’agente costruisce anche un hash dei flussi di
comunicazione per controllare che l’hash dei dati inviati dal client
corrisponda all’hash dei dati ricevuti dal server. Se il servizio
riguarda l’aggiornamento del software applicativo sulla postazione
l’agente verifica anche che la versione del servizio applicativo in
uso presso la postazione abbia un identificativo corrispondente a
quello dell’aggiornamento ricevuto e che l’hash del software di
aggiornamento corrisponda a quello di uno dei software di
aggiornamento catalogati come autorizzati per accedere ai servizi del
CNSD tramite infrastruttura di cooperazione e sicurezza «Backbone».
Inoltre gli agenti di sicurezza, per ogni transazione in rete verso
un peer/server, si fanno carico di cifrare i dati e di inviarli verso
il peer/server su un canale di comunicazione SSL secondo le modalita’
sopra specificate.
L’infrastruttura di cooperazione e sicurezza Backbone si avvale
inoltre di agenti di cooperazione distribuiti che forniscono
funzionalita’ di configurazione e gestione di protocolli di
cooperazione specifici al fine di garantire modalita’ di cooperazione
omogenei ed uniformi sia su SPC che su Internet.
b. Sistema di Monitoraggio dei servizi: Allarmi sicurezza e allarmi
servizi
Allarmi sicurezza.
L’infrastruttura di sicurezza del CNSD include un sistema di
monitoraggio e allarme che consente, relativamente alla sicurezza, di
controllare le seguenti informazioni:
Monitoraggio, documentazione e certificazione delle transazioni:
Monitoraggio, tracciatura e notifica del funzionamento dei
servizi applicativi del CNSD
Monitoraggio, tracciatura e notifica dei tentativi di Accesso
illeciti ai servizi applicativi del CNSD
Monitoraggio, tracciatura e notifica di tentativi di intrusione
e/o modifica dei flussi applicativi su rete
Controllo della disponibilita’ del servizio
Rilevazione e gestione di allarmi:
Verifica della connettivita’ di rete al CNSD
Verifica della conformita’ dei flussi di rete
Verifica dei tentativi di Accesso illeciti
Verifica dei tentativi di intrusione e/o modifica dei flussi
Verifica e gestione della continuita’ di erogazione dei servizi
applicativi
Allarmi servizi.
Il sistema di monitoraggio, tracciatura e allarme
dell’infrastruttura di sicurezza del CNSD consente sia di monitorare
e documentare la qualita’ dei servizi (tempi di risposta,
disponibilita’, errori, etc.) sia di rilevare allarmi relativamente
all’utilizzo dei servizi ed agli adempimenti che questi comportano.
Tali rilevazioni possono essere effettuate dal sistema sia lato
centrale (CNSD) sia periferico (Comuni, Regioni, prefetture). E’
inoltre prevista la produzione di report periodici.
Nell’header di trasmissione dei dati al CNSD attraverso il
Backbone, viene inglobato un numero di protocollo che identifica il
lotto di dati inviato. Per ogni lotto e’ possibile riconoscere il
numero di comunicazioni per ogni singola tipologia di servizio
classificata.
5. Misure di sicurezza garantite dall’infrastruttura di cooperazione
e sicurezza Backbone.
Il presente paragrafo illustra come l’infrastruttura di
cooperazione e sicurezza Backbone del CNSD, sia nella sua
implementazione Porta di Accesso sia nella sua implementazione Porta
di Dominio integrata con modulo Backbone SS-BKPDD, implementa le
misure di sicurezza sulla base del Codice in materia di protezione
dei dati personali.
Autenticazione informatica.
1. Gestione autenticazione utenti. Tutti i servizi applicativi del
CNSD vengono incapsulati in un canale di autenticazione SSL basato su
Backbone che controlla i permessi di Accesso alle singole componenti
applicative del soggetto che ha effettuato l’autenticazione sulla
postazione dotata di Backbone. Non si tratta di autenticazione al
sistema operativo della postazione ma di autenticazione
all’infrastruttura di sicurezza «Backbone» del CNSD che gestisce i
profili di autorizzazione di tutti i servizi applicativi del CNSD.
L’utilizzo di username e password, sul client, e’ direttamente sotto
il controllo di un agente di sicurezza del Backbone che protegge
adeguatamente la password utente cifrandola in modalita’ tale da
evitare anche che si crei regolarita’ nella trasmissione di dati di
autenticazione cifrati.
2. Le credenziali di autenticazione consistono in un codice per
l’identificazione dell’incaricato associato a una parola «chiave»
riservata conosciuta solamente dal medesimo. Sono assegnate per l’uso
della postazione di accesso periferica (abilitata tramite Backbone) e
permettono anche di autorizzare all’incaricato all’uso dei servizi
applicativi.
3. Le credenziali per l’autenticazione della Porta di Accesso sono
assegnate individualmente all’ente nella persona del responsabile
della sicurezza Comunale. Il sistema Backbone consente di definire il
numero massimo di utenti autorizzabili. Il responsabile puo’ quindi
richiedere l’autorizzazione per altri utenti (di norma fino a 3). E’
prevista un’Interfaccia per la registrazione della postazione e una
interfaccia per l’abilitazione di altri utenti (da notare che
l’utente puo’ essere abilitato ai soli servizi applicativi
d’interesse).
Nel caso di altro ente, diverso dal Comune, le credenziali per
l’autenticazione sono consegnate al responsabile del trattamento dei
dati nominato dall’ente ai sensi della convenzione stipulata tra il
Ministero e l’ente stesso.
4. Il Piano di Sicurezza Comunale, verificato e approvato dagli
uffici periferici (Prefettura – UTG) del Ministero definisce le
necessarie cautele per assicurare la segretezza della componente
riservata della credenziale e la diligente custodia dei dispositivi
in possesso ed uso esclusivo dell’incaricato. L’attuazione del Piano
di sicurezza viene verificata nel contesto dei compiti di vigilanza
del Ministero. Per gli altri enti, diversi dai Comuni, vengono
adottate le specifiche cautele in uso presso gli enti stessi. E’
compito del responsabile del trattamento dei dati nominato dall’ente
consegnare al Ministero la descrizione delle misure adottate per
assicurare la segretezza della componente riservata della
credenziale.
5. La parola chiave e’ composta da piu’ di otto caratteri. I
caratteri devono essere sia alfabetici che numerici.
6. Il Backbone consente, per alcuni servizi, l’adozione di sistemi
di «autenticazione rafforzata» (password a scadenza immediata,
tessere smart card dotate di Pin, credenziali digitali con scadenza
prefissata o finestra temporale prefissata di validita’ …) per
ridurre la possibilita’ di usi impropri, cessione o sottrazione delle
credenziali di Accesso. I servizi per cui sono stati adottati sistemi
di «autenticazione rafforzata» riguardano il sistema CIE. Per altri
servizi possono essere adottati a richiesta.
7. I codici per l’identificazione non vengono assegnati ad altri
incaricati, neppure in tempi diversi. I codici di identificazione
delle postazioni sono protetti da cifra e cambiati dinamicamente
secondo un protocollo noto solo al centro (CNSD).
8. L’informazione relativa all’ultimo utilizzo della credenziale e’
disponibile presso il CNSD che puo’ decidere opportune politiche di
intervento (contatto con l’utente, sollecito all’uso del sistema …)
fino ad arrivare alla disattivazione della credenziale e della
postazione di Accesso. La funzione di disattivazione e’ attivabile
dal CNSD in modo centralizzato con capillarita’ a livello di intero
ente o di singola postazione/utente.
9. Nel caso venga nominato un nuovo responsabile della sicurezza
Comunale o un nuovo responsabile del trattamento dei dati per gli
altri enti (quindi il precedente perde la qualita’ che gli consente
l’accesso ai dati) le credenziali del precedente responsabile vengono
disattivate e vengono create nuove credenziali. Le credenziali
assegnate non possono essere ri-assegnate.
10. Il Piano di Sicurezza Comunale, verificato e approvato dagli
uffici periferici (Prefettura – UTG) del Ministero definisce le
necessarie cautele relativamente alle procedure adottate per non
lasciare incustodito e accessibile lo strumento elettronico durante
una sessione di trattamento.
Per gli altri enti, diversi dai Comuni, vengono adottate le
specifiche cautele in uso presso gli enti stessi.
Il sistema Backbone attualmente permette di tracciare dal centro la
durata del fermo dell’operativita’ delle postazioni periferiche
collegate.
11. In caso di prolungata assenza dell’incaricato le sue funzioni
vengono svolte con altre credenziali create dal responsabile per
altri soggetti (normalmente fino ad un massimo di 3 postazioni e 3
soggetti per ente a meno che non sia diversamente specificato in
convenzione o esplicitamente richiesto e autorizzato).
12. Le misure di cui ai punti precedenti non si applicano ai dati
destinati alla libera diffusione.
Autorizzazione.
13. L’infrastruttura di sicurezza «Backbone» del CNSD gestisce i
profili di autorizzazione per tutti i servizi applicativi del CNSD.
14. L’infrastruttura di sicurezza «Backbone» fornisce un sistema di
autorizzazione che consente di identificare l’ente richiedente, la
postazione da cui e’ stata fatta la richiesta oltre alle credenziali
di autenticazione del richiedente (normalmente fino ad un massimo di
3 postazioni e 3 soggetti per ente a meno che non sia diversamente
specificato in convenzione o esplicitamente richiesto e autorizzato).
La configurazione delle postazioni e dei profili di autorizzazione
viene effettuata preventivamente all’autorizzazione ad accedere ai
servizi del CNSD. Vengono configurati i soli servizi del CNSD cui
l’ente ha diritto di accedere. In tale insieme si puo’ anche limitare
l’autorizzazione di Accesso di una specifica postazione e/o utente ad
un sotto-insieme di servizi.
15. Periodicamente viene rinnovata la convenzione verificando che
l’ente mantenga i diritti di accedere ai servizi. La tempestiva
disabilitazione all’accesso del personale adibito ad altre mansioni o
non piu’ in servizio e l’adeguamento costante dei profili di
autorizzazione e’ attuata in funzione delle nomine dei Responsabili.
Nel caso venga nominato un nuovo Responsabile (quindi il precedente
perde la qualita’ che gli consente l’accesso ai dati) le credenziali
del precedente responsabile vengono disattivate e vengono create
nuove credenziali. Le credenziali assegnate non possono essere
ri-assegnate.
Profilatura, monitoraggio, tracciatura e allarme.
16. Gestione profilatura utenti. Utilizzando il Sistema di
monitoraggio, tracciatura e allarme e’ possibile associare i flussi
applicativi ai profili di autorizzazione nonche’ verificare la
conformita’ del flusso rispetto agli schemi applicativi (ad esempio
XSD) e relativi tracciati record. I server applicativi hanno
necessita’ di riconoscere il tipo di flusso in funzione del servizio
applicativo e di un identificativo ad esso associato. A tal fine
l’identificativo serve a distinguere la versione del software
utilizzato sulla postazione per erogare uno specifico servizio. Ogni
versione di software applicativo ha un identificativo diverso.
L’identificativo viene utilizzato dal sistema di Sistema di
monitoraggio, tracciatura e allarme per classificare univocamente
ciascuna transazione.
17. Il Backbone rende disponibile un sistema di certificazione
digitale e di censimento delle postazioni terminali dai quali si ha
accesso ai dati realizzato tramite il Backbone e il modulo SS_BKPDD
delle Porte di Dominio. Le postazioni vengono censite tramite
l’identificativo Backbone che consente di associare univocamente la
postazione all’ente cui e’ assegnata impedendo accessi da postazioni
non dell’ente. Con modalita’ analoghe viene assicurata la
certificazione digitale dei server del CNSD. Viene assicurata la
certificazione del punto di origine e di destinazione dei flussi
relativi alle transazioni (matrice origine-destinazione). La
rappresentazione in tempo reale di tutti i flussi tra gli enti
abilitati e il CNSD viene assicurata da un apposito «Cruscotto di
tracciatura, monitoraggio e allarme» a disposizione del Ministero. In
caso di necessita’ puo’ essere dispiegata la funzione per
disabilitare l’intera postazione oppure per disattivare un
sotto-insieme di servizi applicativi selezionando il servizio o i
servizi da disabilitare sulla specifica postazione.
18. Gli accessi contemporanei con medesime credenziali sono
tracciati. In ogni caso e’ sempre conosciuto l’identificativo
Backbone univoco della postazione origine e quindi e’ discriminata
l’identita’ digitale delle postazioni che accedono al sistema. Se
necessario e’ possibile dispiegare la funzione che impedisce
l’accesso di una postazione se la credenziale che si sta usando e’
gia’ usata da un’altra postazione.
19. Gli accessi non conformi a quanto stabilito nelle convenzioni o
nei regolamenti e disposizioni del Ministero vengono tracciati e
rifiutati. E’ possibile disabilitare, manualmente, una postazione se
si rileva un eccesso di tentativi di accesso non conformi. Se
necessario e’ possibile dispiegare la funzione che permette di
disabilitare, in modo automatico, (momentaneamente o permanentemente)
una postazione se i tentativi di Accesso non conformi si presentano
con una frequenza che supera una soglia prefissata.
20. Il Backbone e i suoi «agenti di sicurezza» consentono il
tracciamento degli utenti che accedono via web, via web services e
altri protocolli applicativi. Un apposito Cruscotto di monitoraggio,
tracciatura e allarme consente di rappresentare sia il normale
funzionamento del sistema sia le anomalie che si dovessero presentare
rispetto alle normali regole di cooperazione e interscambio dei dati
definite tra le parti. Se necessario e’ possibile dispiegare la
funzione che permette di limitare quantitativamente e/o
qualitativamente gli accessi e le interrogazioni.
21. Il tracciamento degli utenti che accedono ai servizi del CNSD
nelle diverse modalita’ e’ assicurato dagli agenti di sicurezza del
Backbone. Informazioni in merito agli orari di Accesso sono
disponibili a livello di infrastruttura centrale del Backbone. Se
necessario e’ possibile dispiegare la funzione che permette, sulla
base delle informazioni disponibili, di definire profili che
prevedano limitazioni orarie per gli accessi di determinate categorie
di utenti.
22. Il Backbone e i suoi «agenti di cooperazione» consentono
l’esatta associazione tra la postazione-utente e le informazioni
accedute dall’utente tramite la postazione. E’ conservato il
dettaglio delle informazioni a cui si e’ avuto accesso o che si sono
aggiornate con una modalita’ che consente di ricostruire
l’informazione esclusivamente su specifica richiesta dei soggetti
titolati. Sono dunque conservate registrazioni (log) di tutte le
operazioni effettuate, comprese le visualizzazioni con i riferimenti
ai soggetti che hanno effettuato il trattamento e con l’indicazione
della data, dell’orario e dei riferimenti agli interessati i cui dati
sono stati trattati. Tali registrazioni sono rese accessibili solo a
seguito di documentate motivazioni e solo agli incaricati del CNSD
cui e’ associato il profilo di autorizzazione allo scopo definito. E’
quindi possibile associare in modo esatto l’utente, la postazione e
le informazioni trattate per ciascuna transazione. In particolare e’
possibile tracciare quali informazioni ha trattato (inserito,
aggiornato, consultato) un utente, da quale postazione, in che
momento e sulla base di quale profilo autorizzativo al servizio che
ha utilizzato per trattare le informazioni stesse.
23. E’ previsto il tracciamento delle operazioni compiute con
possibilita’ di identificazione dell’utente (username) che accede ai
dati, il timestamp, l’indirizzo IP di provenienza dell’utente e/o
della postazione che rappresenta la «Porta di Accesso» o «Porta di
Dominio» interconnessa, l’identificativo univoco hardware della
postazione (origine della comunicazione), l’operazione effettuata e i
dati trattati (tramite tecniche di hash).
24. Sono disponibili, presso il CNSD sul cruscotto di monitoraggio,
tracciatura e allarme, informazioni relative all’ultima sessione
effettuata con le stesse credenziali. Se necessario la funzione puo’
essere dispiegata per renderla disponibile sulle postazioni
periferiche, presentando l’informazione relativa alla data e ora
dell’ultimo accesso effettuato per ciascun servizio acceduto.
25. E’ effettuata la ricognizione giornaliera degli enti che
accedono tramite produzione del Report degli accessi effettuati da
parte degli enti. Tale Report e’ visualizzabile tramite il Cruscotto
di monitoraggio, tracciatura e allarme del CNSD anche al fine di
verificare la corretta periodicita’ delle attivita’ previste dalla
normativa o dagli accordi tra le parti nonche’ il rispetto dei
livelli di servizio concordati.
26. E’ effettuata la procedura di rilevazione e registrazione degli
accessi logici (access log) ai sistemi di elaborazione e agli archivi
elettronici del CNSD da parte degli amministratori di sistema come
definito dal Garante per la Protezione dei dati personali.
Altre misure di sicurezza.
27. Periodicamente vengono censite le postazioni e le utenze che
non accedono al sistema da un periodo troppo lungo al fine di
deciderne la disabilitazione. Per le utenze di servizio presso il
CNSD sono definite, nel Piano di Sicurezza del CNSD, le regole per il
controllo delle liste degli incaricati per singola funzione e area
del CNSD nonche’ le regole per il controllo del rinnovo periodico
(almeno ogni 3 mesi) delle parte segreta delle credenziali.
28. I dati personali presso il centro sono adeguatamente protetti
dall’infrastruttura Backbone e dalle sue tecniche di cifratura. Sono
presenti anche apparati di sicurezza di rete, sia perimetrali che
interni. Con cadenza almeno trimestrale ne viene effettuato il
controllo e l’aggiornamento.
29. Gli aggiornamenti periodici dei programmi di elaboratore volti
a prevenire la vulnerabilita’ di strumenti elettronici e a
correggerne difetti sono effettuati con cadenza almeno trimestrale.
30. Il salvataggio dei dati avviene, in conformita’ con le
procedure formalizzate nel Piano di Sicurezza del CNSD, con diverse
modalita’:
i. backup incrementale giornaliero
ii. backup completo con cadenza settimanale
iii. e’ prevista la procedura per la conservazione, cifrata,
delle registrazioni degli accessi logici (access log) ai sistemi di
elaborazione e agli archivi elettronici del CNSD da parte degli
amministratori di sistema.
31. Requisiti di idoneita’: Il responsabile della sicurezza
Comunale e’ il Sindaco o un funzionario dallo stesso nominato con
atto formale. Per gli altri enti il responsabile del trattamento e’
un dipendente nominato dall’ente stesso ai sensi della convenzione
stipulata con il Ministero dell’interno per l’accesso al CNSD.
32. La gestione via web, via web services e altri protocolli
applicativi dei flussi di dati avviene su canale di sicurezza
Backbone che assicura un doppio livello di crittografia: del canale
Backbone di comunicazione e del contenuto dei flussi che viaggiano su
tale canale.
33. Sono previsti appositi accordi di servizio e stringenti
requisiti di sicurezza per l’impiego di web service esposti su rete
SPC al fine di impedire che i dati scambiati con il CNSD siano
accessibili da altri soggetti oltre a quelli autorizzati. Per tale
motivo e’ stato definito il modulo «Backbone» SS-BKPDD per la Porta
di Dominio, modulo che implementa i protocolli di crittografia e le
regole di sicurezza adottate dal Ministero dell’interno. Sono anche
protette, con gli stessi protocolli di crittografia e regole di
sicurezza, tutte le comunicazioni che avvengono utilizzando la rete
Internet.

MINISTERO DELL’INTERNO – DECRETO 19 gennaio 2012, n. 32 – Nuovo regolamento di gestione dell’Indice nazionale delle anagrafi. (12G0052) (GU n. 76 del 30-3-2012

Edilone.it