|
DECRETO DEL PRESIDENTE DELLA REPUBBLICA 11 febbraio 2005, n.68
Regolamento recante disposizioni per l'utilizzo della posta elettronica
certificata, a norma
dell'articolo 27 della legge 16 gennaio 2003, n. 3.
(G.U. 28 marzo 2005, n. 97)
IL PRESIDENTE DELLA REPUBBLICA
- Visto l'articolo 87 della Costituzione;
- Visto l'articolo 15, comma 2, della legge 15 marzo 1997, n. 59;
- Visto l'articolo 27, commi 8, lettera e), e 9, della legge 16 gennaio 2003, n.
3;
- Visto l'articolo 17, comma 2, della legge 23 agosto 1988, n. 400;
- Visto l'articolo 14 del decreto del Presidente della Repubblica 28 dicembre
2000, n. 445,
recante il testo unico delle disposizioni legislative e regolamentari in materia
di
documentazione amministrativa;
- Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella
riunione del 25
marzo 2004;
- Espletata la procedura di informazione di cui alla direttiva 98/34/CE del
Parlamento europeo
e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del
Parlamento
europeo e del Consiglio, del 20 luglio 1998, attuata con legge 21 giugno 1986,
n. 317, cosi'
come modificata dal decreto legislativo 23 novembre 2000, n. 427;
- Acquisito il parere della Conferenza unificata, ai sensi dell'articolo 8 del
decreto legislativo
28 agosto 1997, n. 281, espresso nella riunione del 20 maggio 2004;
- Vista la nota del 29 marzo 2004, con la quale e' stato richiesto il parere del
Garante per la
protezione dei dati personali;
- Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per
gli atti normativi
nell'adunanza del 14 giugno 2004;
- Acquisito il parere delle competenti Commissioni della Camera dei deputati e
del Senato
della Repubblica;
- Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del
28 gennaio
2005;
- Sulla proposta del Ministro per la funzione pubblica e del Ministro per
l'innovazione e le
tecnologie, di concerto con il Ministro dell'economia e delle finanze;
Emana il seguente regolamento:
Articolo 1 - Oggetto e definizioni
Il presente regolamento stabilisce le caratteristiche e le modalita' per
l'erogazione e la fruizione di
servizi di trasmissione di documenti informatici mediante posta elettronica
certificata.
1. Ai fini del presente regolamento si intende per:
a. BUSTA DI TRASPORTO, il documento informatico che contiene il messaggio di
posta elettronica certificata;
b. CENTRO NAZIONALE PER L'INFORMATICA NELLA PUBBLICA
AMMINISTRAZIONE, di seguito denominato: «CNIPA», l'organismo di cui
all'articolo 4, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, come
modificato dall'articolo 176, comma 3, del decreto legislativo 30 giugno 2003,
n.
196;
c. DATI DI CERTIFICAZIONE, i dati inseriti nelle ricevute indicate dal presente
regolamento, relativi alla trasmissione del messaggio di posta elettronica
certificata;
d. DOMINIO DI POSTA ELETTRONICA CERTIFICATA, l'insieme di tutte e sole le
caselle di posta elettronica certificata il cui indirizzo fa riferimento,
nell'estensione,
ad uno stesso dominio della rete Internet, definito secondo gli standard propri
di tale
rete;
e. LOG DEI MESSAGGI, il registro informatico delle operazioni relative alle
trasmissioni effettuate mediante posta elettronica certificata tenuto dal
gestore;
f. MESSAGGIO DI POSTA ELETTRONICA CERTIFICATA, un documento
informatico composto dal testo del messaggio, dai dati di certificazione e dagli
eventuali documenti informatici allegati;
g. POSTA ELETTRONICA CERTIFICATA, ogni sistema di posta elettronica nel
quale e' fornita al mittente documentazione elettronica attestante l'invio e la
consegna
di documenti informatici;
h. POSTA ELETTRONICA, un sistema elettronico di trasmissione di documenti
informatici;
i. RIFERIMENTO TEMPORALE, l'informazione contenente la data e l'ora che viene
associata ad un messaggio di posta elettronica certificata;
l. UTENTE DI POSTA ELETTRONICA CERTIFICATA, la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi ente, associazione o
organismo,
nonche' eventuali unita' organizzative interne ove presenti, che sia mittente o
destinatario di posta elettronica certificata;
m. VIRUS INFORMATICO, un programma informatico avente per scopo o per effetto
il danneggiamento di un sistema informatico o telematico, dei dati o dei
programmi
in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o
parziale, o
l'alterazione del suo funzionamento.
Articolo 2 - Soggetti del servizio di posta elettronica certificata
1. Sono soggetti del servizio di posta elettronica certificata:
a. il mittente, cioe' l'utente che si avvale del servizio di posta elettronica
certificata per
la trasmissione di documenti prodotti mediante strumenti informatici;
b. il destinatario, cioe' l'utente che si avvale del servizio di posta
elettronica certificata
per la ricezione di documenti prodotti mediante strumenti informatici;
c. il gestore del servizio, cioe' il soggetto, pubblico o privato, che eroga il
servizio di
posta elettronica certificata e che gestisce domini di posta elettronica
certificata.
Articolo 3 - Trasmissione del documento informatico
1. Il comma 1 dell'articolo 14 del decreto del Presidente della Repubblica 28
dicembre
2000, n. 445, e' sostituito dal seguente:
«1. Il documento informatico trasmesso per via telematica si intende spedito dal
mittente se inviato al proprio gestore, e si intende consegnato al destinatario
se reso
disponibile all'indirizzo elettronico da questi dichiarato, nella casella di
posta
elettronica del destinatario messa a disposizione dal gestore.».
Articolo 4 - Utilizzo della posta elettronica certificata
1. La posta elettronica certificata consente l'invio di messaggi la cui
trasmissione e' valida agli
effetti di legge.
2. Per i privati che intendono utilizzare il servizio di posta elettronica
certificata, il solo
indirizzo valido, ad ogni effetto giuridico, e' quello espressamente dichiarato
ai fini di
ciascun procedimento con le pubbliche amministrazioni o di ogni singolo rapporto
intrattenuto tra privati o tra questi e le pubbliche amministrazioni. Tale
dichiarazione
obbliga solo il dichiarante e puo' essere revocata nella stessa forma.
3. La volonta' espressa ai sensi del comma 2 non puo' comunque dedursi dalla
mera
indicazione dell'indirizzo di posta certificata nella corrispondenza o in altre
comunicazioni o
pubblicazioni del soggetto.
4. Le imprese, nei rapporti tra loro intercorrenti, possono dichiarare la
esplicita volonta' di
accettare l'invio di posta elettronica certificata mediante indicazione
nell'atto di iscrizione al
registro delle imprese. Tale dichiarazione obbliga solo il dichiarante e puo'
essere revocata
nella stessa forma.
5. Le modalita' attraverso le quali il privato comunica la disponibilita'
all'utilizzo della posta
elettronica certificata, il proprio indirizzo di posta elettronica certificata,
il mutamento del
medesimo o l'eventuale cessazione della disponibilita', nonche' le modalita' di
conservazione, da parte dei gestori del servizio, della documentazione relativa
sono definite
nelle regole tecniche di cui all'articolo 17.
6. La validita' della trasmissione e ricezione del messaggio di posta
elettronica certificata e'
attestata rispettivamente dalla ricevuta di accettazione e dalla ricevuta di
avvenuta consegna,
di cui all'articolo 6.
7. Il mittente o il destinatario che intendono fruire del servizio di posta
elettronica certificata si
avvalgono di uno dei gestori di cui agli articoli 14 e 15.
Articolo 5 - Modalita' della trasmissione e interoperabilita'
1. Il messaggio di posta elettronica certificata inviato dal mittente al proprio
gestore di posta
elettronica certificata viene da quest'ultimo trasmesso al destinatario
direttamente o
trasferito al gestore di posta elettronica certificata di cui si avvale il
destinatario stesso;
quest'ultimo gestore provvede alla consegna nella casella di posta elettronica
certificata del
destinatario.
2. Nel caso in cui la trasmissione del messaggio di posta elettronica
certificata avviene tra
diversi gestori, essi assicurano l'interoperabilita' dei servizi offerti,
secondo quanto previsto
dalle regole tecniche di cui all'articolo 17.
Articolo 6 - Ricevuta di accettazione e di avvenuta consegna
1. Il gestore di posta elettronica certificata utilizzato dal mittente fornisce
al mittente stesso la
ricevuta di accettazione nella quale sono contenuti i dati di certificazione che
costituiscono
prova dell'avvenuta spedizione di un messaggio di posta elettronica certificata.
2. Il gestore di posta elettronica certificata utilizzato dal destinatario
fornisce al mittente,
all'indirizzo elettronico del mittente, la ricevuta di avvenuta consegna.
3. La ricevuta di avvenuta consegna fornisce al mittente prova che il suo
messaggio di posta
elettronica certificata e' effettivamente pervenuto all'indirizzo elettronico
dichiarato dal
destinatario e certifica il momento della consegna tramite un testo, leggibile
dal mittente,
contenente i dati di certificazione.
4. La ricevuta di avvenuta consegna puo' contenere anche la copia completa del
messaggio di
posta elettronica certificata consegnato secondo quanto specificato dalle regole
tecniche di
cui all'articolo 17.
5. La ricevuta di avvenuta consegna e' rilasciata contestualmente alla consegna
del messaggio
di posta elettronica certificata nella casella di posta elettronica messa a
disposizione del
destinatario dal gestore, indipendentemente dall'avvenuta lettura da parte del
soggetto
destinatario.
6. La ricevuta di avvenuta consegna e' emessa esclusivamente a fronte della
ricezione di una
busta di trasporto valida secondo le modalita' previste dalle regole tecniche di
cui all'articolo
17.
7. Nel caso in cui il mittente non abbia piu' la disponibilita' delle ricevute
dei messaggi di posta
elettronica certificata inviati, le informazioni di cui all'articolo 11,
detenute dai gestori, sono
opponibili ai terzi ai sensi dell'articolo 14, comma 2, del decreto del
Presidente della
Repubblica 28 dicembre 2000, n. 445.
Articolo 7 - Ricevuta di presa in carico
1. Quando la trasmissione del messaggio di posta elettronica certificata avviene
tramite piu'
gestori il gestore del destinatario rilascia al gestore del mittente la ricevuta
che attesta
l'avvenuta presa in carico del messaggio.
Articolo 8 - Avviso di mancata consegna
1. Quando il messaggio di posta elettronica certificata non risulta consegnabile
il gestore
comunica al mittente, entro le ventiquattro ore successive all'invio, la mancata
consegna
tramite un avviso secondo le modalita' previste dalle regole tecniche di cui
all'articolo 17.
Articolo 9 - Firma elettronica delle ricevute e della busta di trasporto
1. Le ricevute rilasciate dai gestori di posta elettronica certificata sono
sottoscritte dai
medesimi mediante una firma elettronica avanzata ai sensi dell'articolo 1, comma
1, lettera
dd), del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445,
generata
automaticamente dal sistema di posta elettronica e basata su chiavi asimmetriche
a coppia,
una pubblica e una privata, che consente di rendere manifesta la provenienza,
assicurare
l'integrita' e l'autenticita' delle ricevute stesse secondo le modalita'
previste dalle regole
tecniche di cui all'articolo 17.
2. La busta di trasporto e' sottoscritta con una firma elettronica di cui al
comma 1 che
garantisce la provenienza, l'integrita' e l'autenticita' del messaggio di posta
elettronica
certificata secondo le modalita' previste dalle regole tecniche di cui
all'articolo 17.
Articolo 10 - Riferimento temporale
1. Il riferimento temporale e la marca temporale sono formati in conformita' a
quanto previsto
dalle regole tecniche di cui all'articolo 17.
2. I gestori di posta elettronica certificata appongono un riferimento temporale
su ciascun
messaggio e quotidianamente una marca temporale sui log dei messaggi.
Articolo 11 - Sicurezza della trasmissione
1. I gestori di posta elettronica certificata trasmettono il messaggio di posta
elettronica
certificata dal mittente al destinatario integro in tutte le sue parti,
includendolo nella busta di
trasporto.
2. Durante le fasi di trasmissione del messaggio di posta elettronica
certificata, i gestori
mantengono traccia delle operazioni svolte su un apposito log dei messaggi. I
dati contenuti
nel suddetto registro sono conservati dal gestore di posta elettronica
certificata per trenta
mesi.
3. Per la tenuta del registro i gestori adottano le opportune soluzioni tecniche
e organizzative
che garantiscano la riservatezza, la sicurezza, l'integrita' e l'inalterabilita'
nel tempo delle
informazioni in esso contenute.
4. I gestori di posta elettronica certificata prevedono, comunque, l'esistenza
di servizi di
emergenza che in ogni caso assicurano il completamento della trasmissione ed il
rilascio
delle ricevute.
Articolo 12 - Virus informatici
1. Qualora il gestore del mittente riceva messaggi con virus informatici e'
tenuto a non
accettarli, informando tempestivamente il mittente dell'impossibilita' di dar
corso alla
trasmissione; in tale caso il gestore conserva i messaggi ricevuti per trenta
mesi secondo le
modalita' definite dalle regole tecniche di cui all'articolo 17.
2. Qualora il gestore del destinatario riceva messaggi con virus informatici e'
tenuto a non
inoltrarli al destinatario, informando tempestivamente il gestore del mittente,
affinche'
comunichi al mittente medesimo l'impossibilita' di dar corso alla trasmissione;
in tale caso il
gestore del destinatario conserva i messaggi ricevuti per trenta mesi secondo le
modalita'
definite dalle regole tecniche di cui all'articolo 17.
Articolo 13 - Livelli minimi di servizio
1. I gestori di posta elettronica certificata sono tenuti ad assicurare il
livello minimo di servizio
previsto dalle regole tecniche di cui all'articolo 17.
Articolo 14 - Elenco dei gestori di posta elettronica certificata
1. Il mittente o il destinatario che intendono fruire del servizio di posta
elettronica certificata si
avvalgono dei gestori inclusi in un apposito elenco pubblico disciplinato dal
presente
articolo.
2. Le pubbliche amministrazioni ed i privati che intendono esercitare
l'attivita' di gestore di
posta elettronica certificata inviano al CNIPA domanda di iscrizione nell'elenco
dei gestori
di posta elettronica certificata.
3. I richiedenti l'iscrizione nell'elenco dei gestori di posta elettronica
certificata diversi dalle
pubbliche amministrazioni devono avere natura giuridica di societa' di capitali
e capitale
sociale interamente versato non inferiore a un milione di euro.
4. I gestori di posta elettronica certificata o, se persone giuridiche, i loro
legali rappresentanti
ed i soggetti preposti all'amministrazione devono, inoltre, possedere i
requisiti di onorabilita'
richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e
controllo presso
le banche di cui all'articolo 26 del testo unico delle leggi in materia bancaria
e creditizia, di
cui al decreto legislativo 1° settembre 1993, n. 385, e successive
modificazioni.
5. Non possono rivestire la carica di rappresentante legale, di componente del
consiglio di
amministrazione, di componente del collegio sindacale, o di soggetto comunque
preposto
all'amministrazione del gestore privato coloro i quali sono stati sottoposti a
misure di
prevenzione, disposte dall'autorita' giudiziaria ai sensi della legge 27
dicembre 1956, n.
1423, e della legge 31 maggio 1965, n. 575, e successive modificazioni, ovvero
sono stati
condannati con sentenza irrevocabile, salvi gli effetti della riabilitazione,
alla reclusione non
inferiore ad un anno per delitti contro la pubblica amministrazione, in danno di
sistemi
informatici o telematici, contro la fede pubblica, contro il patrimonio, contro
l'economia
pubblica, ovvero per un delitto in materia tributaria.
6. Il richiedente deve inoltre:
a. dimostrare l'affidabilita' organizzativa e tecnica necessaria per svolgere il
servizio di
posta elettronica certificata;
b. impiegare personale dotato delle conoscenze specifiche, dell'esperienza e
delle
competenze necessarie per i servizi forniti, in particolare della competenza a
livello
gestionale, della conoscenza specifica nel settore della tecnologia della posta
elettronica e della dimestichezza con procedure di sicurezza appropriate;
c. rispettare le norme del presente regolamento e le regole tecniche di cui
all'articolo
17;
d. applicare procedure e metodi amministrativi e di gestione adeguati e tecniche
consolidate;
e. utilizzare per la firma elettronica, di cui all'articolo 9, dispositivi che
garantiscono la
sicurezza delle informazioni gestite in conformita' a criteri riconosciuti in
ambito
europeo o internazionale;
f. adottare adeguate misure per garantire l'integrita' e la sicurezza del
servizio di posta
elettronica certificata;
g. prevedere servizi di emergenza che assicurano in ogni caso il completamento
della
trasmissione;
h. fornire, entro i dodici mesi successivi all'iscrizione nell'elenco dei
gestori di posta
elettronica certificata, dichiarazione di conformita' del proprio sistema di
qualita' alle
norme ISO 9000, successive evoluzioni o a norme equivalenti, relativa al
processo di
erogazione di posta elettronica certificata;
i. fornire copia di una polizza assicurativa di copertura dei rischi
dell'attivita' e dei
danni causati a terzi.
7. Trascorsi novanta giorni dalla presentazione, la domanda si considera accolta
qualora il
CNIPA non abbia comunicato all'interessato il provvedimento di diniego.
8. Il termine di cui al comma 7 puo' essere interrotto una sola volta
esclusivamente per la
motivata richiesta di documenti che integrino o completino la documentazione
presentata e
che non siano gia' nella disponibilita' del CNIPA o che questo non possa
acquisire
autonomamente. In tale caso, il termine riprende a decorrere dalla data di
ricezione della
documentazione integrativa.
9. Il procedimento di iscrizione nell'elenco dei gestori di posta elettronica
certificata di cui al
presente articolo puo' essere sospeso nei confronti dei soggetti per i quali
risultano pendenti
procedimenti penali per delitti in danno di sistemi informatici o telematici.
10. I soggetti di cui al comma 1 forniscono i dati, previsti dalle regole
tecniche di cui all'articolo
17, necessari per l'iscrizione nell'elenco dei gestori.
11. Ogni variazione organizzativa o tecnica concernente il gestore ed il
servizio di posta
elettronica certificata e' comunicata al CNIPA entro il quindicesimo giorno.
12. Il venire meno di uno o piu' requisiti tra quelli indicati al presente
articolo e' causa di
cancellazione dall'elenco.
13. Il CNIPA svolge funzioni di vigilanza e controllo sull'attivita' esercitata
dagli iscritti
all'elenco di cui al comma 1.
Articolo 15 - Gestori di posta elettronica certificata stabiliti nei Paesi
dell'Unione europea
1. Puo' esercitare il servizio di posta elettronica certificata il gestore del
servizio stabilito in
altri Stati membri dell'Unione europea che soddisfi, conformemente alla
legislazione dello
Stato membro di stabilimento, formalita' e requisiti equivalenti ai contenuti
del presente
decreto e operi nel rispetto delle regole tecniche di cui all'articolo 17. E'
fatta salva in
particolare, la possibilita' di avvalersi di gestori stabiliti in altri Stati
membri dell'Unione
europea che rivestono una forma giuridica equipollente a quella prevista
dall'articolo 14,
comma 3.
2. Per i gestori di posta elettronica certificata stabiliti in altri Stati
membri dell'Unione europea
il CNIPA verifica l'equivalenza ai requisiti ed alle formalita' di cui al
presente decreto e alle
regole tecniche di cui all'articolo 17.
Articolo 16 - Disposizioni per le pubbliche amministrazioni
1. Le pubbliche amministrazioni possono svolgere autonomamente l'attivita' di
gestione del
servizio di posta elettronica certificata, oppure avvalersi dei servizi offerti
da altri gestori
pubblici o privati, rispettando le regole tecniche e di sicurezza previste dal
presente
regolamento.
2. L'utilizzo di caselle di posta elettronica certificata rilasciate a privati
da pubbliche
amministrazioni incluse nell'elenco di cui all'articolo 14, comma 2, costituisce
invio valido
ai sensi del presente decreto limitatamente ai rapporti intrattenuti tra le
amministrazioni
medesime ed i privati cui sono rilasciate le caselle di posta elettronica
certificata.
3. Le pubbliche amministrazioni garantiscono ai terzi la libera scelta del
gestore di posta
elettronica certificata.
4. Le disposizioni di cui al presente regolamento non si applicano all'uso degli
strumenti
informatici e telematici nel processo civile, nel processo penale, nel processo
amministrativo, nel processo tributario e nel processo dinanzi alle sezioni
giurisdizionali
della Corte dei conti, per i quali restano ferme le specifiche disposizioni
normative.
Articolo 17 - Regole tecniche
1. Il Ministro per l'innovazione e le tecnologie definisce, ai sensi
dell'articolo 8, comma 2, del
decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sentito il
Ministro per la
funzione pubblica, le regole tecniche per la formazione, la trasmissione e la
validazione,
anche temporale, della posta elettronica certificata. Qualora le predette regole
riguardino la
certificazione di sicurezza dei prodotti e dei sistemi e' acquisito il concerto
del Ministro
delle comunicazioni.
Articolo 18 - Disposizioni finali
1. Le modifiche di cui all'articolo 3 apportate all'articolo 14, comma 1, del
decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445, (Testo A) si intendono
riferite anche
al decreto del Presidente della Repubblica 28 dicembre 2000, n. 444 (Testo C).
Il presente
decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale
degli atti
normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di
osservarlo e di farlo
osservare.
Dato a Roma, addi' 11 febbraio 2005
CIAMPI
Berlusconi, Presidente del Consiglio dei Ministri
Baccini, Ministro per la funzione pubblica
Stanca, Ministro per l'innovazione e le tecnologie
Siniscalco, Ministro del-l'economia e delle finanze
Visto, il Guardasigilli: Castelli
Registrato alla Corte dei conti il 18 aprile 2005
Registro n. 4, Ministeri istituzionali, foglio n. 332
|