Ministero della giustizia
D.Dirett. 5-12-2012
Regole procedurali di carattere tecnico-operativo per l'attuazione della consultazione diretta del Sistema Informativo del Casellario da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi, ai sensi dell'articolo 39 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313.
Pubblicato nella Gazz. Uff. 21 dicembre 2012, n. 297.
D.Dirett. 5 dicembre 2012 (1).
Regole procedurali di carattere tecnico-operativo per l'attuazione della consultazione diretta del Sistema Informativo del Casellario da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi, ai sensi dell'articolo 39 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313. (2)
(1) Pubblicato nella Gazz. Uff. 21 dicembre 2012, n. 297.
(2) Emanato dal Ministero della giustizia.
IL DIREZIONE GENERALE
della giustizia penale
Visto il decreto del Presidente della Repubblica 14 novembre 2002, n. 313, testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti [Testo A] (d'ora in poi T.U.);
Visto il decreto dirigenziale 11 febbraio 2004 del Ministero della giustizia (pubblicato nella Gazzetta Ufficiale n. 37 del 14 febbraio 2004), recante «L'attuazione parziale e transitoria dell'art. 39 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313, in materia di casellario giudiziale»;
Visto il decreto dirigenziale 25 gennaio 2007 del Ministero della giustizia (pubblicato nella Gazzetta Ufficiale n. 32 dell'8 febbraio 2007), recante «Regole procedurali di carattere tecnico operativo per l'attuazione del decreto del Presidente della Repubblica n. 313/2002»;
Visto il decreto legislativo 12 febbraio 1993, n. 39, recante «Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma dell'art. 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421» e successive modificazioni;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa [Testo A] e successive modificazioni;
Visto il decreto legislativo 30 giugno 2003, n. 196, codice in materia di protezione dei dati personali;
Visto il decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, recante «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'art. 27 della legge 16 gennaio 2003, n. 3»;
Visto il decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale (CAD);
Visto il decreto legislativo 12 aprile 2006, n. 163, codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE;
Visto il decreto del Presidente del Consiglio dei Ministri 1° aprile 2008 (pubblicato nella Gazzetta Ufficiale n. 144 del 21 giugno 2008), recante «Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività previste dall'art. 71, comma 1-bis del decreto legislativo 7 marzo 2005, n. 82»;
Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009 (pubblicato nella Gazzetta Ufficiale n. 129 del 6 giugno 2009), recante «Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici»;
Vista la deliberazione Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) n. 45 del 21 maggio 2009, recante «Regole per il riconoscimento e la verifica del documento informatico»;
Visto il decreto legislativo 30 dicembre 2010, n. 235, recante modifiche e integrazioni al decreto legislativo 7 marzo 2005, n. 82;
Rilevato che, per la previsione di cui all'art. 39 del T.U., occorre individuare le modalità tecnico-operative per consentire alle amministrazioni pubbliche ed ai gestori di pubblici servizi la consultazione diretta, in via telematica, del sistema informativo del casellario (SIC), qualora per lo svolgimento dei propri compiti istituzionali abbiano necessità di procedere:
1) alle acquisizioni d'ufficio di informazioni concernenti stati, qualità e fatti, ai sensi dell'art. 43 del decreto del Presidente della Repubblica n. 445/2000, che risultino elencati all'art. 46 del medesimo decreto del Presidente della Repubblica;
2) ai controlli delle dichiarazioni sostitutive di certificazioni, di cui all'art. 71 del citato decreto n. 445/2000;
3) all'acquisizione dei certificati di cui agli articoli 28 e 32 del T.U.;
Ritenuto che la consultazione diretta del SIC costituisce una modalità di accesso ai servizi certificativi previsti dal T.U., che renda fruibili alle amministrazioni pubbliche e ai gestori di pubblici servizi i dati di interesse, attraverso l'uso di tecnologie finalizzate ad escludere il trattamento di dati personali che non siano pertinenti, completi e non eccedenti rispetto ai loro obblighi e compiti istituzionali;
Ritenuto che l'accesso diretto al SIC deve avvenire previa stipula di apposite convenzioni, anche mediante adesione, tra le amministrazioni interessate ed il Ministero della giustizia, redatte su schemi tipo, distinti eventualmente secondo l'ambito territoriale di competenza dell'amministrazione richiedente (nazionale, regionale, comunale) in base alle linee guida della DigitPA e sentito il Garante per la protezione dei dati personali, che siano tali da rispettare le normative in materia di protezione dei dati personali, di accesso ai documenti amministrativi, di tutela del segreto e di divieto di divulgazione;
Considerato che in sede di richiesta di accesso al sistema le amministrazioni interessate devono indicare le norme che ne regolamentano gli specifici procedimenti amministrativi ed, in modo analitico e puntuale, le fattispecie di reato e le condizioni ostative per la definizione positiva di ciascuno di essi e comunque ogni ulteriore indicazione necessaria per la realizzazione di una procedura informatica che garantisca un accesso selettivo;
Ritenuto che per la stipula delle varie convenzioni è necessario adottare criteri di gradualità, eventualmente con differenziazioni territoriali, per tipo di certificato e secondo l'amministrazione o ente richiedente;
Ritenuto che per i fini di cui ai punti 1) e 2) sopra indicati la consultazione diretta del SIC deve avvenire tramite l'acquisizione di apposito certificato rilasciato all'esito di un accesso selettivo alla banca dati del sistema, attuato secondo le regole stabilite nella relativa convenzione;
Ritenuto che le singole amministrazioni, fino a quando non saranno definite le convenzioni che le riguardano e realizzate le procedure informatiche in relazione alle regole tecniche ivi individuate, possono continuare ad acquisire, presso gli uffici locali del casellario, i certificati previsti dal T.U., secondo le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004;
Considerato che la consultazione diretta del sistema di cui all'art. 39 del T.U. consente anche l'acquisizione del certificato del casellario giudiziale di cui all'art. 29 del T.U., richiesto dai comuni per ragioni di elettorato;
Considerato che l'accesso diretto al sistema soddisfa, altresì, l'esigenza delle stazioni appaltanti lavori pubblici di verificare le dichiarazioni di cui all'art. 38, comma 1 e 2 del decreto legislativo 12 aprile 2006, n. 163, relativamente ai candidati o ai concorrenti, finora assolta tramite la richiesta dei certificati di cui all'art. 21 del T.U. oppure delle visure di cui all'art. 33, comma 1, dello stesso T.U., al competente ufficio locale del casellario;
Sentita la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie;
Sentito il Garante per la protezione dei dati personali;
Decreta:
Capo I
Principi generali
Art. 1 Ambito di applicazione e contenuto
1. Il presente decreto stabilisce le modalità tecnico-operative per consentire alle amministrazioni pubbliche ed ai gestori di pubblici servizi la consultazione diretta, per via telematica, del sistema informativo del casellario (SIC), qualora per lo svolgimento dei propri compiti istituzionali abbiano necessità di procedere:
a) alle acquisizioni d'ufficio di informazioni concernenti stati, qualità e fatti, ai sensi dell'art. 43 del decreto del Presidente della Repubblica n. 445/2000, che risultino elencati all'art. 46 del medesimo decreto del Presidente della Repubblica;
b) ai controlli delle dichiarazioni sostitutive di certificazioni, di cui all'art. 71 del citato decreto n. 445/2000;
c) all'acquisizione dei certificati di cui agli articoli 28 e 32 del T.U.;
d) all'acquisizione del certificato di cui all'art. 29 del T.U.;
e) all'acquisizione del certificato di cui all'art. 38, commi 1 e 2 del decreto legislativo 12 aprile 2006, n. 163.
2. La consultazione diretta del sistema avviene nel rispetto dell'obbligo, previsto dagli articoli 11, 21 e 22 del decreto legislativo 30 giugno 2003, n. 196, per i soggetti pubblici, di trattare dati personali, e giudiziari in particolare, che siano pertinenti, completi, non eccedenti ed indispensabili rispetto alle finalità perseguite nei singoli procedimenti amministrativi di loro competenza.
3. La consultazione diretta del sistema è limitata all'acquisizione delle certificazioni del casellario giudiziale, relative a persone di maggiore età salvo quanto disposto all'art. 11, e di quelle relative all'anagrafe delle sanzioni amministrative dipendenti da reato.
4. Le amministrazioni interessate all'accesso al SIC formulano apposita richiesta, secondo i modelli di cui all'allegato tecnico, riportando le norme che ne regolamentano gli specifici procedimenti amministrativi ed, in modo analitico e puntuale, le fattispecie di reato e le condizioni ostative per la definizione positiva di ciascuno di essi e comunque ogni ulteriore indicazione necessaria per la realizzazione di una procedura informatica per un accesso selettivo.
5. Per consentire l'accesso al sistema sono stipulate tra il ministero della giustizia e le amministrazioni interessate apposite convenzioni, anche mediante adesione, finalizzate ad assicurare la fruibilità dei dati nel rispetto delle normative in materia di protezione dei dati personali, di accesso ai documenti amministrativi, di tutela del segreto e di divieto di divulgazione. Le convenzioni sono redatte su schemi tipo, distinti eventualmente secondo l'ambito territoriale di competenza dell'amministrazione richiedente (nazionale, regionale, comunale) in base alle linee guida della DigitPA e sentito il Garante per la protezione dei dati personali. Nelle stesse sono stabiliti, tra l'altro, i termini, le condizioni, i vincoli normativi nonché le regole tecniche necessarie per garantire il rilascio di un certificato che contenga solo dati pertinenti e coerenti con i compiti istituzionali delle amministrazioni interessate.
6. In ciascuna convenzione sono stabilite le modalità con le quali l'amministrazione interessata comunica all'ufficio centrale del casellario eventuali modifiche delle norme che incidano sulle regole tecniche alla base dell'accesso selettivo. Le convenzioni riportano altresì le modalità con le quali l'ufficio centrale del casellario comunica eventuali modifiche a norme del T.U.
7. La consultazione diretta al SIC per le finalità di cui al comma 1, lettere a) e b), si realizza tramite l'acquisizione di apposito certificato (d'ora in poi denominato «certificato selettivo ex art. 39 del T.U.») rilasciato all'esito dell'attivazione del «sistema CERPA» secondo le regole stabilite nella relativa convenzione. Il certificato, riferito ad una determinata persona o ente, riporta le sole iscrizioni corrispondenti a provvedimenti giudiziari che riflettano le condizioni ostative indicate dall'amministrazione richiedente. Il certificato riporta altresì gli estremi della convenzione.
8. Nel rispetto di quanto stabilito dall'art. 11 del decreto legislativo 30 giugno 2003, n. 196, il certificato riporta l'iscrizione completa dei provvedimenti giudiziari selezionati dal sistema. Per iscrizione completa si intende quella conforme all'estratto iscritto nel SIC ai sensi dell'art. 4 del T.U. Resta fermo il divieto di utilizzare eventuali dati personali, e giudiziari in particolare, non indispensabili allo specifico adempimento previsto nell'ambito del procedimento amministrativo cui si riferisce la richiesta.
9. Fino a quando non saranno definite le convenzioni e realizzate le procedure informatiche in relazione alle regole tecniche ivi individuate, le amministrazioni interessate continuano ad acquisire i certificati previsti dal T.U., presso gli uffici locali del casellario, secondo le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004.
10. Qualora si verifichi una delle due ipotesi previste dal comma 6, il «certificato selettivo ex art. 39» è sostituito, fino alla modifica della convenzione e della relativa procedura informatica, con un certificato, denominato «certificato ex art. 39», contenente tutte le iscrizioni presenti sul sistema, munito di apposita avvertenza circa il divieto di utilizzare i dati non indispensabili al procedimento amministrativo cui si riferisce la richiesta di accesso.
11. Fermo restando le capacità operative di elaborazione del SIC e del Sistema pubblico di connettività (SPC), il sistema CERPA è attivato seguendo criteri di gradualità, eventualmente con differenziazioni territoriali, e per tipo di certificato, che tengano conto dell'ordine cronologico di presentazione delle richieste di accesso al SIC e delle esigenze delle amministrazioni interessate, valutate attraverso l'analisi dei dati statistici dei certificati richiesti.
12. La consultazione diretta del sistema per le finalità di cui al comma 1, lettere c) e d), consente, oltre all'acquisizione dei certificati di cui agli articoli 28 e 32 del T.U., anche quello di cui all'art. 29 del T.U. ovvero il certificato del casellario giudiziale richiesto per ragioni di elettorato.
13. La consultazione diretta del sistema per le finalità di cui al comma 1, lettera e), consente di soddisfare l'esigenza delle stazioni appaltanti lavori pubblici di verificare le dichiarazioni di cui all'art. 38, commi 1 e 2 del decreto legislativo 12 aprile 2006, n. 163, relativamente ai candidati o ai concorrenti, finora assolta tramite la richiesta al competente ufficio locale del casellario, dei certificati del casellario giudiziale di cui all'art. 21 del T.U. oppure delle visure di cui all'art. 33, comma 1, dello stesso T.U. La consultazione avviene attraverso il rilascio di apposito certificato denominato «certificato del casellario giudiziale ex art. 21 del T.U. in relazione all'art. 38, decreto legislativo n. 163/2006», nel quale sono riportate le iscrizioni di cui all'art. 21 del T.U., ad eccezione dei provvedimenti indicati al comma 5 dell'art. 25 del decreto dirigenziale del 25 gennaio 2007.
14. La certificazione in materia di casellario dei carichi pendenti e di anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato, in attesa della realizzazione delle funzioni di interconnessione telematica tra il SIC ed i sistemi fonte, continua ad essere assicurata su base locale dagli uffici delle procure della Repubblica presso i tribunali in conformità alle disposizioni del pubblico ministero, secondo le modalità finora osservate.
15. Le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004 che consentono alle amministrazioni interessate l'acquisizione dei certificati ai sensi dell'art. 39 del T.U. per il tramite degli uffici locali rimangono in vigore fino al 30 giugno 2014.
Art. 2 Definizioni
1. Ai fini dell'applicazione del presente decreto le definizioni, se non diversamente ed espressamente indicato:
a) «accordo di servizio»: definisce le prestazioni del servizio e le modalità di erogazione/fruizione, ovvero le funzionalità del servizio, le interfacce di scambio dei messaggi tra erogatore e fruitore, i requisiti di qualità di servizio dell'erogazione/fruizione, ed i requisiti di sicurezza dell'erogazione/fruizione. Inoltre mantiene un riferimento all'ontologia/schema concettuale che definisce la semantica dell'informazione veicolata dal servizio;
b) «amministrazioni interessate» sono le pubbliche amministrazioni e i gestori di pubblici servizi che hanno diritto di ottenere i certificati del casellario giudiziale e dell'anagrafe delle sanzioni amministrative dipendenti da reato, quando tale certificato è necessario per l'esercizio delle loro funzioni;
c) «anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato» è l'insieme dei dati relativi a provvedimenti giudiziari riferiti agli enti con personalità giuridica e alle società e associazioni anche prive di personalità giuridica, cui è stato contestato l'illecito amministrativo dipendente da reato, ai sensi del decreto legislativo 8 giugno 2001, n. 231;
d) «anagrafe delle sanzioni amministrative dipendenti da reato» è l'insieme dei dati relativi a provvedimenti giudiziari definitivi che applicano, agli enti con personalità giuridica e alle società e associazioni anche prive di personalità giuridica, le sanzioni amministrative dipendenti da reato, ai sensi del decreto legislativo 8 giugno 2001, n. 231;
e) «casellario dei carichi pendenti» è l'insieme dei dati relativi a provvedimenti giudiziari riferiti a soggetti determinati che hanno la qualità di imputato;
f) «casellario giudiziale» è l'insieme dei dati relativi a provvedimenti giudiziari e amministrativi definitivi riferiti a soggetti determinati;
g) «Centro nazionale per l'informatica nella pubblica amministrazione, di seguito CNIPA», l'organismo di cui all'art. 4, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, come modificato dall'art. 176, comma 3, del decreto legislativo 30 giugno 2003, n. 196 (già DigitPA, ora Agenzia per l'Italia Digitale);
h) «CERPA - WEB» è il sito web messo a disposizione dall'Ufficio del casellario centrale, per la fruizione dei servizi del sistema CERPA;
i) «certificato ex art. 39 del T.U.» è il certificato rilasciato alle amministrazioni pubbliche e ai gestori di pubblici servizi contenente tutte le iscrizioni presenti nel sistema al nome di una determinata persona;
j) «certificato selettivo ex art. 39 del T.U.» è il certificato rilasciato alle amministrazioni pubbliche e ai gestori di pubblici servizi, contenente le iscrizioni presenti nelle banche dati del casellario giudiziale e dell'anagrafe delle sanzioni amministrative dipendenti da reato al nome di una determinata persona o ente, selezionate dal SIC attraverso una procedura selettiva appositamente realizzata in base a quanto stabilito in apposita convenzione. La certificazione riporta tra l'altro gli estremi della convenzione;
k) «chiave pubblica» è l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche;
l) «codice catastale» è il codice unico identificativo assegnato ad ogni comune italiano che ha lo scopo di rendere possibile l'espressione in forma abbreviata ed univoca delle denominazioni dei comuni d'Italia ad uso catastale;
m) «codice identificativo» è il codice fiscale o il codice individuato ai sensi dell'art. 43 del T.U.;
n) «diacritico» è un segno grafico che, posto sopra, sotto o accanto a una lettera dell'alfabeto o a un simbolo fonetico, ne indica una particolare pronuncia o usato per distinguerne il significato da altre parole simili. Al momento attuale viene eseguita un'operazione di transcodifica dei caratteri speciali in caratteri trattati dal sistema, secondo le modalità di conversione corrispondenti alle normative vigenti. Ad esempio per il soggetto «Müller» è creata una correlazione al soggetto «Mueller»;
o) «firma digitale» è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici (decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni);
p) «firma elettronica» è l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
q) «https» (Hypertext Transfer Protocol over Secure Socket Layer) è il risultato dell'applicazione di un protocollo di crittografia asimmetrica al protocollo di trasferimento di ipertesti HTTP. Viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti che potrebbero essere effettuati tramite la tecnica del man in the middle;
r) «indirizzo IP (Internet Protocol)» è un numero che identifica univocamente un dispositivo collegato a una rete informatica;
s) «Ministero della giustizia» sono gli uffici del Ministero della giustizia e gli uffici giudiziari, nell'esercizio di funzioni amministrative;
t) «PDF» (Portable Document Format) è un formato documentale elettronico definito dallo standard internazionale ISO/IEC 32000;
u) «PEC» (Posta elettronica certificata) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica attestante l'invio e la consegna di documenti informatici, così come disciplinata nel decreto del Presidente della Repubblica 11 febbraio 2005, n. 68;
v) «porta di dominio» è l'elemento che sposa i principi di cooperazione applicativa, emanati dalla pubblica amministrazione, separando la logica delle funzioni interne di un Sistema informativo dalle comunicazioni standard di soggetti eterogenei. Il principio è quello di un adattatore non invasivo, basato su tecnologie web service che implementa un servizio di messaggistica garantendo requisiti di sicurezza e identificabilità delle fonti. Essendo un'interfaccia verso il SPCoop assume pertanto un ruolo indipendente dalla piattaforma su cui opera. Fondamentalmente si occupa dell'imbustamento-sbustamento del messaggio di E-gov instradando richieste/risposte verso il servizio corretto;
w) «RUG» (Rete unitaria della giustizia) è l'infrastruttura telematica che interconnette tra loro i sistemi informatici interni al dominio giustizia;
x) «SIC» o «sistema» è il sistema informativo automatizzato del casellario giudiziale, del casellario dei carichi pendenti, dell'anagrafe delle sanzioni amministrative dipendenti da reato, dell'anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato (art. 3 del decreto dirigenziale 25 gennaio 2007);
y) «sistema CERPA» è l'insieme dei servizi, attivabili tramite una delle modalità indicate nell'art. 4, comma 2, che provvedono alla ricezione delle richieste di consultazione trasmesse con le modalità di cui agli articoli 7 e 8, alla ricerca dei soggetti sulle banche dati del SIC e alla produzione dei certificati con firma digitale. Il sistema provvede inoltre alla verifica di conformità agli standard, definiti nel presente decreto, delle richieste di consultazione e all'attivazione del sistema di autorizzazione;
z) «SOAP» (Simple Object Access Protocol) è un protocollo leggero per lo scambio di informazioni in un ambiente distribuito e decentrato. Tale scambio di informazioni avviene mediante messaggi codificati in un formato XML; si parla, pertanto, di messaggistica XML;
aa) «SPC» (Sistema pubblico di connettività) è l'insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l'integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l'interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l'autonomia del patrimonio informativo di ciascuna pubblica amministrazione;
bb) «SPCoop» è il Sistema pubblico di cooperazione, che costituisce l'infrastruttura abilitante per le comunicazioni applicative tra gli enti pubblici, è un insieme di specifiche gestite da DigitPA che normano le modalità di comunicazione ed organizzative relative alle comunicazioni applicative tra gli enti, quella che comunemente viene chiamata cooperazione applicativa;
cc) «T.U.» è il testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313;
dd) «ufficio centrale» o «ufficio centrale del casellario» è l'ufficio presso il Ministero della giustizia, così come definito nell'art. 19 del T.U.;
ee) «ufficio locale» o «ufficio locale del casellario giudiziale» è l'ufficio presso il tribunale e presso il tribunale per i minorenni, così come definito nel T.U. Nella fase transitoria ed in attesa dell'adozione del regolamento di cui all'art. 7, comma 4 del decreto legislativo 25 luglio 2006, n. 240, ufficio locale è l'ufficio costituito nell'ambito delle procure della Repubblica presso i tribunali ordinari, già denominato casellario locale;
ff) «Web service» è un sistema software progettato per supportare l'interoperabilità tra diversi elaboratori su di una medesima rete; caratteristica fondamentale di un Web Service è quella di offrire un'interfaccia software utilizzando la quale altri sistemi possono interagire con il Web Service stesso attivando le operazioni descritte nell'interfaccia tramite appositi «messaggi» inclusi in una «busta» SOAP: tali messaggi sono, solitamente, trasportati tramite il protocollo HTTP e formattati secondo lo standard XML;
gg) «XML» (eXtended Markup Language) linguaggio derivato dall'SGML (Standard Generalized Markup Language) il metalinguaggio, che permette di creare altri linguaggi. Mentre l'HTML è un'istanza specifica dell'SGML, XML costituisce a sua volta un metalinguaggio, più semplice dell'SGML, largamente utilizzato per la descrizione di documenti sul Web. L'XML viene utilizzato per definire le strutture dei dati invece che per descrivere come questi ultimi devono essere presentati. Tali strutture vengono definite utilizzando dei marcatori (markup tags). Diversamente dall'HTML, l'XML consente all'utente di definire marcatori personalizzati, dandogli il controllo completo sulla struttura di un documento. Si possono definire liberamente anche gli attributi dei singoli marcatori.
Capo II
Consultazione diretta del Sistema informativo del casellario (SIC)
Art. 3 Principi e funzioni del sistema CERPA
1. Per l'attuazione delle disposizioni contenute nel presente decreto è reso operante il sistema CERPA, attivabile tramite le modalità indicate nell'art. 4, comma 2. In particolare, detto sistema, al momento della ricezione della richiesta di consultazione, provvede a:
a) attivare il sistema di autorizzazione di cui al comma 3;
b) verificare la conformità della richiesta agli standard definiti nel presente decreto;
c) ricercare i soggetti sulle banche dati del SIC;
d) attivare la procedura di selezione cui al comma 4 dell'art. 1;
e) produrre i certificati con apposizione della firma digitale.
2. Il sistema CERPA, la cui gestione è demandata all'ufficio centrale del casellario, è il supporto alla base delle procedure concernenti la consultazione diretta da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi ai sensi dell'art. 39 del T.U. e si uniforma ai principi e alle funzioni di cui all'art. 3 del decreto dirigenziale del 25 gennaio 2007 e a quelli disposti dal presente articolo.
3. Per il controllo e la verifica degli accessi al SIC è attivato un sistema di autorizzazione che abilita l'accesso ai dati e definisce le modalità di trattamento degli stessi, in funzione del profilo di autorizzazione assegnato all'Amministrazione interessata, registrato sul sistema ai sensi dell'art. 6.
4. In caso di mancato funzionamento del sistema CERPA l'ufficio centrale attiva le procedure di cui all'art. 16 o il polo secondario in caso di «disaster recovery».
5. Per la trasmissione telematica dei dati, la gestione dei messaggi di posta elettronica certificata e la comunicazione con gli enti esterni al dominio giustizia sono utilizzate le infrastrutture tecnologiche messe a disposizione dalla Direzione generale per i sistemi informativi automatizzati del Ministero della giustizia.
6. Titolare del trattamento dei dati è il Ministero della giustizia - Dipartimento per gli affari di giustizia, nel cui ambito è istituito l'ufficio centrale.
Art. 4 Modalità di consultazione del SIC e rilascio dei certificati
1. La consultazione diretta del sistema è finalizzata all'acquisizione dei seguenti certificati:
a) in materia di casellario giudiziale:
certificato generale ex art. 28 in relazione all'art. 24 del T.U.;
certificato penale ex art. 28 in relazione all'art. 25 del T.U.;
certificato civile ex art. 28 in relazione all'art. 26 del T.U.;
certificato selettivo ex art. 39 del T.U.;
certificato ex art. 39 del T.U. (limitatamente alle ipotesi di cui al comma 10 dell'art. 1);
certificato ex art. 21 del T.U. in relazione all'art. 38 del decreto legislativo n. 163/2006;
certificato richiesto per uso elettorale ex art. 29 del T.U.;
b) in materia di anagrafe delle sanzioni amministrative dipendenti da reato:
certificato ex art. 32 in relazione all'art. 31 del T.U.;
certificato selettivo ex art. 39 del T.U.;
certificato ex art. 39 del T.U. (limitatamente alle ipotesi di cui al comma 10 dell'art. 1).
2. La consultazione diretta del SIC di cui al comma precedente, è consentita secondo le seguenti modalità di accesso:
a) servizio in cooperazione applicativa tramite la tecnologia cosiddetta Web Service;
b) servizio di PEC.
3. La consultazione diretta del SIC è consentita solo se i dati contenuti nella richiesta sono conformi a quelli registrati sul SIC e agli standard di cui agli articoli 6, 7, 8 e 9. A tali fini l'ufficio centrale del casellario provvede a registrare in modo analitico gli estremi della convenzione stipulata ai sensi dell'art. 1, commi 5 e 6, le finalità istituzionali dell'amministrazione interessata nonché le tipologie di certificato che la stessa è autorizzata a richiedere, così come risultanti dalla stessa convenzione.
4. I certificati di cui al comma 1 del presente articolo sono prodotti in formato PDF e, al fine di garantirne l'autenticità e l'integrità, sugli stessi è apposta la firma digitale del direttore dell'Ufficio del casellario centrale, nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71 del Codice dell'amministrazione digitale e dal CNIPA, ora Agenzia per l'Italia Digitale.
5. I certificati recano, tra l'altro, gli estremi della convenzione, l'indicazione dell'amministrazione richiedente, il numero progressivo del certificato, l'elenco delle iscrizioni ovvero, nel caso di assenza di iscrizioni, l'attestazione NULLA, la data e l'ora dell'estrazione, la modalità di consultazione utilizzata e la dicitura «Il direttore del casellario centrale», al di sotto della quale sono riportati i riferimenti della firma digitale applicata.
6. Nelle ipotesi di cui ai commi 8 e 10 dell'art. 1 sui certificati è riportata in calce alle iscrizioni menzionate la seguente avvertenza: Resta fermo il divieto di utilizzare eventuali dati personali, e giudiziari in particolare, non indispensabili allo specifico adempimento previsto nell'ambito del procedimento amministrativo cui si riferisce la richiesta, ai sensi del decreto legislativo 30 giugno 2003, n. 196, recante il codice in materia di protezione dei dati personali.
7. Al fine di verificarne l'autenticità, l'integrità e la provenienza nonché la validità della firma digitale, il certificato acquisito tramite il Sistema CERPA può essere sottoposto ad una fase di verifica.
Art. 5 Modalità per la richiesta di accesso al SIC
1. L'accesso al SIC da parte delle amministrazioni interessate è subordinato all'espletamento di una procedura di registrazione sul sistema, nel rispetto delle vigenti norme in materia di sicurezza e secondo le modalità indicate nell'allegato tecnico, che costituisce parte integrante del presento decreto.
2. L'amministrazione in sede di richiesta di accesso al SIC, con le modalità di cui al comma 4 dell'art. 1, deve nominare un referente e, limitatamente al servizio di PEC, un responsabile tecnico (le due funzioni possono essere attribuite ad un'unica persona) i quali assumono la piena responsabilità delle modalità di gestione e utilizzo degli accessi al sistema. L'amministrazione designa altresì il responsabile del trattamento dei dati acquisiti, che può coincidere con la figura del referente.
3. Il referente e il responsabile tecnico sono individuati dalle amministrazioni interessate sulla base del possesso di adeguati requisiti di idoneità soggettiva tra coloro che abbiano un rapporto stabile con le stesse, gli stessi devono essere adeguatamente formati e costituiscono il punto di riferimento unico per le richieste di abilitazione e autorizzazione.
4. L'ufficio del casellario centrale provvede in merito a ciascuna richiesta di accesso anche al fine di attivare le procedure per la definizione della convenzione di cui all'art. 1, commi 5 e 6. In caso di rigetto della domanda ne comunica le motivazioni al Referente indicato sulla domanda stessa.
Art. 6 Ufficio del responsabile centrale dell'accesso al sistema
1. L'ufficio del responsabile centrale dell'accesso al sistema, istituito presso il Ministero della giustizia - Direzione generale degli affari penali - Ufficio del casellario centrale, per ciascuna richiesta di accesso, appena stipulata la relativa convenzione, avrà cura di:
a) registrare i parametri identificativi dell'ente;
b) registrare i dati del referente e del responsabile tecnico;
c) registrare le tipologie di certificato, di cui all'art. 4, comma 1, che l'amministrazione interessata è autorizzata a richiedere;
d) registrare le finalità definite con l'amministrazione interessata nell'ambito della relativa convenzione, riportandone gli estremi;
e) definire i parametri di accesso e tipo di procedura autorizzata;
f) attivare l'utenza sul SIC;
g) trasmettere al referente le istruzioni per l'attivazione del servizio.
2. L'ufficio del responsabile centrale dell'accesso al sistema, nei casi previsti, provvede inoltre a:
a) definire i parametri di accesso per il referente e il responsabile tecnico, in termini di credenziali di autenticazione: nome utente, parola chiave protetta con tecniche di cifratura;
b) trasmettere al referente e al responsabile tecnico, in busta chiusa sigillata, i suddetti parametri di accesso o altro mezzo che ne possa garantire la riservatezza;
c) attivare l'utenza sul sistema a seguito di conferma dell'avvenuta corretta ricezione della busta di cui alla lettera b).
Art. 7 Consultazione del SIC - Servizio in cooperazione applicativa tramite la tecnologia Web Service
1. La consultazione del SIC nella modalità indicata all'art. 4, comma 2, lettera a) avviene tramite un servizio di cooperazione applicativa tra sistemi informativi realizzata per la fruizione di informazioni pubblicate e utilizzabili dalle amministrazioni interessate attraverso la tecnologia Web Service. Il servizio è disponibile, in piena conformità delle regole tecniche e di sicurezza per il funzionamento del SPCoop, attraverso porte di dominio qualificate, l'uso della busta di e-government e servizi di sicurezza standard.
2. A tale fine, il Ministero della giustizia e le amministrazioni interessate, devono realizzare, ognuno per la parte di propria competenza, le necessarie applicazioni di cooperazione, i Web Service e la porta di dominio, che delimita il confine di responsabilità di un ente e che racchiude al suo interno tutte le applicazioni da esso gestite. Le comunicazioni da e verso un dominio devono quindi attraversare la propria porta di dominio.
3. L'amministrazione interessata definisce nell'ambito del proprio sistema informatico, per tutte le utenze autorizzate alla consultazione del SIC, i corrispondenti livelli di visibilità e operatività, sulla base di profili di autorizzazione e di credenziali di autenticazione associate ad un dispositivo di autenticazione forte aventi caratteristiche equivalenti a quelle della carta nazionale dei servizi e carta d'identità elettronica. Le credenziali di autenticazione possono essere associate ad un codice identificativo e ad una parola chiave, in possesso e ad uso esclusivo dell'utente.
4. Il referente, di cui al comma 2 dell'art. 5, assume la piena responsabilità in merito alla gestione e all'utilizzo degli accessi al proprio sistema per conto di tutte le utenze autorizzate alla consultazione, nonché, se del caso, del trattamento dei dati personali acquisiti.
5. L'amministrazione interessata provvede all'adozione di apposite politiche di sicurezza e di controllo, verifica degli accessi e delle operazioni svolte, anche avvalendosi degli strumenti di cui al comma 2 dell'art. 15.
6. La consultazione del SIC di cui al primo comma avviene attraverso la fruizione di due servizi di cooperazione applicativa SPCoop:
a) uno, riservato all'acquisizione dei certificati in materia di casellario giudiziale di cui all'art. 4, comma 1, lettera a);
b) l'altro, riservato ai certificati in materia di anagrafe delle sanzioni amministrative dipendenti da reato di cui all'art. 4, comma 1, lettera b).
7. La modalità di fruizione dei servizi di consultazione è definita nei relativi accordi di servizio, ai sensi del decreto del Presidente del Consiglio dei Ministri 1° aprile 2008. Gli accordi di servizio devono riportare la specifica delle interfacce per l'accesso telematico e la definizione delle politiche di sicurezza che l'amministrazione interessata deve adottare per garantire il corretto trattamento dei dati personali. In particolare, deve essere previsto il tracciamento delle operazioni compiute in cooperazione applicativa, con possibilità di identificazione dell'utente che accede ai dati, il timestamp, l'indirizzo IP del server interconnesso, l'operazione effettuata e i dati trattati.
8. A garanzia dell'autenticità del mittente e dell'integrità delle richieste pervenute e delle risposte inviate ciascuna amministrazione interessata utilizza un certificato di firma elettronica per lo scambio dei dati. Tale dispositivo di riconoscimento è fornito dal Ministero della giustizia che ha adottato gli standard di sicurezza PKI per la firma dei documenti elettronici basato sulla generazione di una coppia di chiavi (pubblica e privata). Le indicazioni per la generazione delle chiavi di firma, riconosciute nel sistema informatico del casellario, sono riportate nell'allegato tecnico che costituisce parte integrante del presente decreto.
9. Il servizio è reso disponibile secondo le regole indicate nel presente decreto e le modalità tecnico-operative riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 8 Consultazione del SIC - Servizio di PEC
1. La consultazione del SIC nella modalità indicata all'art. 4, comma 2, lettera b) avviene tramite il sistema di comunicazione denominato Posta elettronica certificata (PEC) il quale è in grado di attestare l'invio e l'avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi ed è dotato di caratteristiche di sicurezza così come definite nel decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
2. Per la consultazione del SIC tramite il servizio PEC è istituito il registro delle utenze autorizzate dall'amministrazione interessata, gestito direttamente dal referente di cui al comma 2 dell'art. 5. Il referente, in particolare, tramite l'accesso all'applicazione Web per la gestione delle abilitazioni al servizio, effettuato con le credenziali di autenticazione di cui al comma 2 dell'art. 6, provvede a registrare per ciascuna utenza:
a) cognome e nome;
b) data di nascita;
c) luogo di nascita e nazione di nascita;
d) codice fiscale;
e) la tipologia di certificati che il soggetto è autorizzato a richiedere definite nell'ambito della convenzione;
f) la casella PEC;
g) ai sensi del comma 4, la chiave pubblica della firma digitale.
Il referente provvede, inoltre, all'aggiornamento dei dati registrati, comprese le eventuali disabilitazioni.
3. Alle richieste di consultazione del SIC tramite il servizio PEC deve essere applicata la firma digitale dei soggetti autorizzati dall'amministrazione interessata, risultanti dal registro di cui al comma precedente.
4. Al fine di salvaguardare e garantire la riservatezza dei dati contenuti nei certificati trasmessi per il tramite del servizio PEC, gli stessi sono sottoposti a cifratura mediante l'utilizzo della chiave pubblica della firma digitale in possesso dei soggetti autorizzati. A tali fini il referente provvede all'acquisizione della chiave pubblica della firma digitale, che trasmetterà al sistema, secondo le modalità indicate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
5. Per le operazioni di cui ai commi precedenti il referente può delegare un responsabile tecnico. Le operazioni effettuate dal responsabile tecnico sono comunicate all'indirizzo di PEC del referente.
6. L'accesso all'applicazione per la gestione delle abilitazioni al servizio da parte del referente avviene secondo le modalità indicate nell'art. 9 del decreto dirigenziale del 25 gennaio 2007 emanato dal Ministero della giustizia ed esclusivamente tramite l'utilizzo di un protocollo di comunicazione sicura, come quello offerto dal protocollo HTTPS o da altri standard riconosciuti e di provato utilizzo.
7. L'amministrazione interessata provvede all'adozione di apposite politiche di sicurezza e di controllo, verifica degli accessi e delle operazioni svolte, anche avvalendosi degli strumenti di cui al comma 2 dell'art. 15.
8. Il servizio è reso disponibile secondo le regole indicate nel presente decreto e le modalità tecnico-operative riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 9 Consultazione del SIC - modalità di richiesta
1. La richiesta di consultazione del SIC, trasmessa con le modalità di cui agli articoli 7 e 8, deve essere conforme agli standard stabiliti nell'allegato tecnico, in caso contrario è rifiutata con apposito messaggio. La richiesta, in particolare, deve contenere i seguenti dati obbligatori:
a) i parametri identificativi dell'amministrazione interessata;
b) gli estremi della convenzione;
c) tipo di certificato richiesto (art. 4, comma 1);
d) finalità (art. 6, comma 1, lettera d);
e) numero e data protocollo (nel formato GG/MM/AAAA);
f) lingua tedesca (parametro obbligatorio: «N» o «S»). Il SIC provvede al rilascio del certificato in lingua tedesca, ai sensi dell'art. 28 del decreto del Presidente della Repubblica 15 luglio 1988, n. 574. In tali casi il parametro è indicato con «S».
2. La richiesta di consultazione del SIC deve inoltre contenere:
a) per il casellario giudiziale, con riferimento a ciascun soggetto di cui si richiede la certificazione, i seguenti dati anagrafici obbligatori:
cognome e nome;
data di nascita;
luogo e nazione di nascita. Per i nati all'estero, se il luogo non è conosciuto, è possibile indicare solo la nazione di nascita. Il luogo di nascita e la nazione di nascita devono essere espressi indicando il codice catastale;
codice fiscale, obbligatorio per i cittadini italiani e per il cittadino di stato dell'unione europea che abbia il domicilio fiscale in Italia. In attesa dell'emanazione dei decreti dirigenziali di cui all'art. 42, comma 2 del T.U., per il cittadino di stato dell'unione europea che non abbia il codice fiscale e il cittadino di stato non appartenente all'unione europea, non deve essere indicato il codice unico identificativo di cui all'art. 43 del T.U.;
paternità (il dato è opzionale);
b) per l'anagrafe delle sanzioni amministrative dipendenti da reato, con riferimento a ciascun ente, i seguenti dati obbligatori:
denominazione sociale;
la forma giuridica, secondo la tabella riportata nell'allegato tecnico;
indirizzo della sede legale;
il codice fiscale.
3. Nella richiesta trasmessa con il servizio in cooperazione applicativa sono indicati anche il cognome e nome del soggetto che effettua la richiesta o il codice identificativo attribuito allo stesso dall'amministrazione interessata ai sensi del comma 3 dell'art. 7.
4. Per la suddetta modalità di accesso l'amministrazione interessata deve disporre di un modulo software per richiedere i servizi SPCoop di cui al comma 6 dello stesso art. 7. Tale modulo deve essere realizzato secondo quanto specificato nel relativo accordo di servizio ed essere in grado di:
comporre il corpo del messaggio di richiesta del servizio, che costituirà il SOAP body della busta di e-gov, secondo un formato XML che contenga i dati, specificati nei commi precedenti;
apporre allo stesso la firma elettronica come specificato all'art. 7, comma 8;
chiamare, per il tramite della propria porta di dominio, il web service corrispondente al servizio di interesse di cui all'art. 7, comma 6, a sua volta reso disponibile attraverso la porta di dominio del Ministero della giustizia;
verificare sulla busta di risposta la firma di cui all'art. 7, comma 8, controllando la validità del certificato (verifica di integrità e non ripudio);
controllare eventuali segnalazioni di errori presenti nella risposta;
lettura ed utilizzo dei dati.
5. Per la compilazione della richiesta trasmessa con il servizio di PEC è reso disponibile un apposito software che consente di predisporre:
a) un file contenente i dati relativi alla richiesta (comma 1);
b) un file contenente i dati anagrafici dei soggetti (comma 2, lettera a) oppure i dati dell'ente (comma 2, lettera b);
c) un modulo contenente i dati della richiesta, che una volta stampato può essere oggetto di registrazione nel protocollo ovvero conservato agli atti dell'ufficio.
6. Alla richiesta, trasmessa con il servizio di PEC e predisposta secondo le specifiche indicate al comma precedente, deve essere applicata la firma digitale del soggetto registrato sul SIC che sta effettuando la richiesta stessa ai sensi dell'art. 8, comma 3.
7. Le modalità tecnico-operative per l'utilizzo del software di cui al comma 5 sono riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 10 Consultazione del SIC - Modalità di risposta
1. La ricerca effettuata sulle banche dati del SIC può avere, per ciascun soggetto o ente, i seguenti esiti:
produzione di un certificato positivo, se il soggetto è presente con iscrizioni menzionabili nelle banche dati del SIC;
produzione di un certificato «nullo», se non sono presenti iscrizioni oppure se le iscrizioni presenti sono escluse dalla procedura di selezione.
2. I certificati prodotti sono trasmessi alle amministrazioni interessate tramite i servizi in cooperazione operativa o di PEC utilizzati dalle stesse per la richiesta, secondo le modalità tecnico-operative riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
3. Il sistema provvede a segnalare, esclusivamente per la banca dati del casellario giudiziale, l'eventuale presenza di altri soggetti, così denominati:
a) «Omonimi»: soggetti iscritti nel sistema che presentano gli stessi dati anagrafici obbligatori, tranne il codice fiscale, e che pertanto non possono essere distinti solo sulla base di questi;
b) «Sinonimi»: soggetti iscritti nel sistema che presentano, rispetto al soggetto richiesto, piccole differenze sui dati anagrafici o che sono differenti per il codice fiscale o per la paternità;
c) «Alias»: soggetti iscritti nel sistema che risultano condannati con identità diverse;
d) «Anagrafiche di richiamo»: soggetti iscritti nel sistema per i quali, successivamente alla condanna, sono stati cambiati i dati anagrafici a seguito di comunicazione del comune competente;
e) «Richiamo diacritico»: soggetti correlati al soggetto principale iscritto nel SIC, creati a seguito della transcodificazione per la presenza nel cognome o nome di caratteri diacritici.
4. Le segnalazioni relative agli omonimi ed ai sinonimi vengono effettuate fino a quando non saranno emanati i decreti dirigenziali di cui agli articoli 42, comma 2, e 43 del T.U., che consentiranno la sicura riferibilità delle iscrizioni ad un determinato soggetto attraverso l'utilizzo del codice fiscale o di un codice identificativo individuato sulla base del sistema di riconoscimento delle impronte digitali, limitando l'informazione ai soli dati anagrafici degli stessi ed alla generica indicazione dell'esistenza di iscrizioni a loro carico.
5. La presenza di «sinonimi» è segnalata con apposita attestazione allegata al certificato, nella quale è evidenziato, altresì, che l'informativa ha il solo scopo di consentire all'amministrazione interessata il controllo dei dati anagrafici esistenti presso di sè, confrontandoli con quelli riguardanti i sinonimi segnalati.
6. La presenza di «omonimi», evidenziata con apposita segnalazione, determina il blocco della certificazione. In tale caso l'amministrazione interessata richiede il certificato all'ufficio del casellario giudiziale competente per luogo di nascita.
7. Nell'ipotesi di una richiesta di certificazione riferita ad un soggetto iscritto nel sistema come «Alias», o «Anagrafica di richiamo» o «Richiamo diacritico», nel certificato trasmesso all'amministrazione interessata è riportato anche il riferimento al soggetto denominato principale con la dicitura «correlato a».
8. Nel caso di soggetto per il quale risulta comunicata l'avvenuta morte, da parte del comune competente, è prodotta apposita segnalazione. In tale caso l'amministrazione interessata richiede informazioni al comune competente.
9. Nell'ipotesi in cui il certificato non viene rilasciato dal sistema, per motivi tecnici, è prodotta apposita segnalazione. In tale caso l'amministrazione interessata contatta l'ufficio del casellario centrale.
10. Le disposizioni di cui ai commi precedenti si applicano anche per i certificati rilasciati ai sensi dell'art. 16.
11. Le modalità di risposta, di comunicazione delle attestazioni e delle segnalazioni di cui ai commi precedenti sono riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 11 Disposizioni particolari per le richieste di certificazione relative a minorenni
1. Le richieste di certificazione relative a minorenni sono consentite esclusivamente per le esigenze di aggiornamento delle liste elettorali di cui agli articoli 8 e 9 del decreto del Presidente della Repubblica n. 223 del 20 marzo 1967.
2. Le disposizioni contenute nell'art. 5, comma 4 del T.U. sono assicurate dal sistema mediante la simulazione del compimento del diciottesimo anno di età.
Capo III
Consultazione diretta del sistema da parte del Ministero della giustizia
Art. 12 Accesso diretto al SIC da parte degli uffici del Ministero della giustizia connessi alla RUG
1. Gli uffici del Ministero della giustizia connessi alla RUG possono essere ammessi alla consultazione diretta del sistema, ai fini dell'acquisizione dei certificati indicati nell'art. 4, comma 1, ad esclusione di quello di cui all'art. 29 del T.U., secondo le disposizioni del presente decreto e le regole di cui al decreto dirigenziale 25 gennaio 2007.
2. L'acquisizione dei certificati del casellario giudiziale, concernenti categorie o gruppi di persone numerosi, è possibile tramite l'attivazione del sistema CERPA con le stesse modalità di cui all'art. 16.
Art. 13 Modalità di consultazione da parte degli uffici del Ministero della giustizia non connessi alla RUG
1. Gli uffici del Ministero della giustizia non connessi alla RUG possono consultare il SIC per il tramite della posta elettronica certificata (PEC), secondo le regole indicate nel presente decreto e le modalità tecnico-operative riportate nell'allegato tecnico, che ne costituisce parte integrante.
Capo IV
Sicurezza
Art. 14 Politiche di sicurezza del sistema CERPA
1. Per il sistema CERPA restano ferme le politiche di sicurezza adottate sul SIC ai sensi dell'art. 4 del decreto dirigenziale 25 gennaio 2007.
Art. 15 Controllo e verifica degli accessi e delle operazioni svolte sul sistema CERPA
1. L'ufficio del casellario centrale, nel rispetto delle procedure di sicurezza in vigore, cura la registrazione dei dati necessari a garantire:
a) la tracciabilità dei collegamenti telematici attuati tra il sistema ed i sistemi informatici interessati, sia interni che esterni al dominio giustizia;
b) l'individuazione di tutti gli utenti che interagiscono con il sistema, ivi compresi gli utenti tecnici appartenenti a ditte esterne incaricate della conduzione e/o manutenzione del sistema;
c) la ricostruzione di tutte le operazioni effettuate, in modo da poterle ricondurre all'operatore che le ha eseguite, anche in relazione alla data, all'ora di esecuzione e ai dati oggetto dell'accesso.
2. Per consentire all'amministrazione interessata i controlli sulle attività svolte dagli utenti è istituito il registro informatizzato denominato «Registro degli accessi al SIC» e sono attivati particolari sistemi dall'allarme (c.d. alert) per permettere monitoraggi statistici degli accessi. Attraverso tali controlli, effettuati con cadenza trimestrale anche a campione, potrà essere verificata, in particolare, la rispondenza delle richieste dei certificati ai procedimenti amministrativi correlati. Tenuto conto delle capacità operative e di elaborazione del sistema CERPA, la disponibilità per consultare on line il registro può essere limitata all'ultimo trimestre.
3. L'integrità del registro di cui al comma precedente è verificata, con frequenza mensile, dall'ufficio centrale del casellario che può procedere, altresì, alla verifica dei dati trasmessi anche avuto riguardo al contenuto dei certificati inviati.
4. Le registrazioni contenute nei registri previsti dal presente decreto e nei log del sistema sono conservate per un periodo di dieci anni.
Capo V
Disposizioni transitorie
Art. 16 Modalità di consultazione da parte delle amministrazioni pubbliche ed ai gestori di pubblici servizi non ancora collegati al SIC
1. In via transitoria, le amministrazioni interessate che non hanno ancora attivato la procedura di cui all'art. 5, richiedono i certificati secondo quanto disposto nel decreto dirigenziale 11 febbraio 2004 del Ministero della giustizia, con le modalità di seguito indicate.
2. L'acquisizione del certificato avviene previa richiesta all'ufficio locale del casellario giudiziale. La richiesta è formulata secondo i modelli in uso e può essere inoltrata via PEC, qualora riguardi categorie o gruppi di persone numerosi.
3. Per le richieste concernenti un solo soggetto l'ufficio locale del casellario giudiziale provvede all'estrazione del certificato direttamente dal SIC, alla sua stampa, all'apposizione di firma autografa e timbro dell'ufficio e alla successiva consegna all'amministrazione richiedente.
4. Per le richieste concernenti categorie o gruppi di persone numerosi, limitatamente ai certificati in materia di casellario giudiziale, le amministrazioni interessate possono utilizzare il software di cui al comma 5 dell'art. 9. L'ufficio locale del casellario, controlla che la richiesta riporti il numero e la data di protocollo, attiva il sistema CERPA trasmettendo al SIC, attraverso l'apposita funzione disponibile sul sistema, il file contenente i dati anagrafici dei soggetti (art. 9, comma 2, lettera a).
5. IL sistema elabora le informazioni ricevute e consente l'estrazione dei certificati, che potranno essere prodotti:
a) in formato PDF con firma autografa del responsabile del servizio certificativo sostituita, ai sensi dell'art. 3 del decreto legislativo 12 febbraio 1993, n. 39, dall'indicazione a stampa del nominativo dello stesso, nell'ipotesi in cui l'amministrazione interessata abbia optato, nella richiesta, per la consegna dei certificati su carta oppure
b) in formato PDF con firma digitale del direttore dell'ufficio del casellario centrale, qualora l'amministrazione interessata abbia optato per l'invio dei certificati tramite PEC.
6. Se la trasmissione dei certificati avviene tramite PEC il relativo file è protetto da una password appositamente creata dal sistema. Qualora la numerosità dei certificati contenuti nel file non ne consenta la trasmissione via PEC lo stesso, sempre protetto da password, potrà essere consegnato su supporto magnetico.
7. A supporto delle attività previste dal presente articolo è disponibile sul SIC un manuale utente.
8. Le disposizioni di cui al presente articolo rimangono in vigore fino al 30 giugno 2014, fatta salva l'ipotesi di cui all'art. 3, comma 4.
Capo VI
Disposizioni finali
Art. 17 Certificati richiesti da autorità straniere
1. Dopo l'art. 30 del decreto dirigenziale del Ministero della giustizia emanato in data 25 gennaio 2007 è inserito il seguente:
«Art. 30-bis (Certificati richiesti da autorità straniere). - 1. Alle autorità straniere sono rilasciati, ai sensi dell'art. 37 del T.U.:
a) il certificato di cui all'art. 21 del T.U., ad eccezione dei provvedimenti indicati al comma 5 dell'art. 25 del decreto dirigenziale 25 gennaio 2007, denominato “certificato ex art. 37 in relazione all'art. 21 del T.U.”;
b) il certificato di cui all'art. 30 del T.U., ad eccezione dei provvedimenti indicati al comma 5 dell'art. 25 del decreto dirigenziale 25 gennaio 2007, denominato “certificato ex art. 37 del T.U. in relazione all'art. 30 del T.U”.».
2. La competenza al rilascio dei certificati di cui all'art. 37 del T.U. è attribuita, ai sensi dell'art. 35, comma 2 del T.U., all'ufficio centrale limitatamente alle richieste che riceve direttamente dalle autorità straniere.
Art. 18 Norma finale
1. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana, unitamente agli allegati tecnici che ne costituiscono parte integrante.
2. Per la corretta funzionalità del sistema CERPA, ed eventualmente operare interventi di messa a punto dello stesso, è prevista una fase sperimentale, di sei mesi, le cui operazioni avverranno nel rispetto delle politiche di sicurezza e delle modalità di consultazione del sistema fissate nel presente decreto e secondo quanto definito nelle convenzioni appositamente stipulate con le Amministrazioni interessate che vi parteciperanno.
3. Di eventuali modifiche agli allegati tecnici sarà data pubblicità attraverso la Gazzetta Ufficiale della Repubblica italiana.
Allegato A
Regole procedurali di carattere tecnico operativo per l'accesso ai servizi disponibili in cooperazione applicativa tramite la tecnologia web service
Scarica il file
Allegato B
Regole procedurali di carattere tecnico operativo per l'accesso ai servizi disponibili tramite la posta elettronica certificata
Scarica il file
Allegato C
Scheda informativa per l'attivazione della consultazione diretta del sistema informativo del casellario ai sensi dell'art. 39, D.P.R. n. 313/2002
Scarica il file
Per scaricare tutti gli allegati clicca qui
D.Dirett. 5-12-2012
Regole procedurali di carattere tecnico-operativo per l'attuazione della consultazione diretta del Sistema Informativo del Casellario da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi, ai sensi dell'articolo 39 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313.
Pubblicato nella Gazz. Uff. 21 dicembre 2012, n. 297.
D.Dirett. 5 dicembre 2012 (1).
Regole procedurali di carattere tecnico-operativo per l'attuazione della consultazione diretta del Sistema Informativo del Casellario da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi, ai sensi dell'articolo 39 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313. (2)
(1) Pubblicato nella Gazz. Uff. 21 dicembre 2012, n. 297.
(2) Emanato dal Ministero della giustizia.
IL DIREZIONE GENERALE
della giustizia penale
Visto il decreto del Presidente della Repubblica 14 novembre 2002, n. 313, testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti [Testo A] (d'ora in poi T.U.);
Visto il decreto dirigenziale 11 febbraio 2004 del Ministero della giustizia (pubblicato nella Gazzetta Ufficiale n. 37 del 14 febbraio 2004), recante «L'attuazione parziale e transitoria dell'art. 39 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313, in materia di casellario giudiziale»;
Visto il decreto dirigenziale 25 gennaio 2007 del Ministero della giustizia (pubblicato nella Gazzetta Ufficiale n. 32 dell'8 febbraio 2007), recante «Regole procedurali di carattere tecnico operativo per l'attuazione del decreto del Presidente della Repubblica n. 313/2002»;
Visto il decreto legislativo 12 febbraio 1993, n. 39, recante «Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma dell'art. 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421» e successive modificazioni;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa [Testo A] e successive modificazioni;
Visto il decreto legislativo 30 giugno 2003, n. 196, codice in materia di protezione dei dati personali;
Visto il decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, recante «Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'art. 27 della legge 16 gennaio 2003, n. 3»;
Visto il decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale (CAD);
Visto il decreto legislativo 12 aprile 2006, n. 163, codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE;
Visto il decreto del Presidente del Consiglio dei Ministri 1° aprile 2008 (pubblicato nella Gazzetta Ufficiale n. 144 del 21 giugno 2008), recante «Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività previste dall'art. 71, comma 1-bis del decreto legislativo 7 marzo 2005, n. 82»;
Visto il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009 (pubblicato nella Gazzetta Ufficiale n. 129 del 6 giugno 2009), recante «Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici»;
Vista la deliberazione Centro nazionale per l'informatica nella pubblica amministrazione (CNIPA) n. 45 del 21 maggio 2009, recante «Regole per il riconoscimento e la verifica del documento informatico»;
Visto il decreto legislativo 30 dicembre 2010, n. 235, recante modifiche e integrazioni al decreto legislativo 7 marzo 2005, n. 82;
Rilevato che, per la previsione di cui all'art. 39 del T.U., occorre individuare le modalità tecnico-operative per consentire alle amministrazioni pubbliche ed ai gestori di pubblici servizi la consultazione diretta, in via telematica, del sistema informativo del casellario (SIC), qualora per lo svolgimento dei propri compiti istituzionali abbiano necessità di procedere:
1) alle acquisizioni d'ufficio di informazioni concernenti stati, qualità e fatti, ai sensi dell'art. 43 del decreto del Presidente della Repubblica n. 445/2000, che risultino elencati all'art. 46 del medesimo decreto del Presidente della Repubblica;
2) ai controlli delle dichiarazioni sostitutive di certificazioni, di cui all'art. 71 del citato decreto n. 445/2000;
3) all'acquisizione dei certificati di cui agli articoli 28 e 32 del T.U.;
Ritenuto che la consultazione diretta del SIC costituisce una modalità di accesso ai servizi certificativi previsti dal T.U., che renda fruibili alle amministrazioni pubbliche e ai gestori di pubblici servizi i dati di interesse, attraverso l'uso di tecnologie finalizzate ad escludere il trattamento di dati personali che non siano pertinenti, completi e non eccedenti rispetto ai loro obblighi e compiti istituzionali;
Ritenuto che l'accesso diretto al SIC deve avvenire previa stipula di apposite convenzioni, anche mediante adesione, tra le amministrazioni interessate ed il Ministero della giustizia, redatte su schemi tipo, distinti eventualmente secondo l'ambito territoriale di competenza dell'amministrazione richiedente (nazionale, regionale, comunale) in base alle linee guida della DigitPA e sentito il Garante per la protezione dei dati personali, che siano tali da rispettare le normative in materia di protezione dei dati personali, di accesso ai documenti amministrativi, di tutela del segreto e di divieto di divulgazione;
Considerato che in sede di richiesta di accesso al sistema le amministrazioni interessate devono indicare le norme che ne regolamentano gli specifici procedimenti amministrativi ed, in modo analitico e puntuale, le fattispecie di reato e le condizioni ostative per la definizione positiva di ciascuno di essi e comunque ogni ulteriore indicazione necessaria per la realizzazione di una procedura informatica che garantisca un accesso selettivo;
Ritenuto che per la stipula delle varie convenzioni è necessario adottare criteri di gradualità, eventualmente con differenziazioni territoriali, per tipo di certificato e secondo l'amministrazione o ente richiedente;
Ritenuto che per i fini di cui ai punti 1) e 2) sopra indicati la consultazione diretta del SIC deve avvenire tramite l'acquisizione di apposito certificato rilasciato all'esito di un accesso selettivo alla banca dati del sistema, attuato secondo le regole stabilite nella relativa convenzione;
Ritenuto che le singole amministrazioni, fino a quando non saranno definite le convenzioni che le riguardano e realizzate le procedure informatiche in relazione alle regole tecniche ivi individuate, possono continuare ad acquisire, presso gli uffici locali del casellario, i certificati previsti dal T.U., secondo le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004;
Considerato che la consultazione diretta del sistema di cui all'art. 39 del T.U. consente anche l'acquisizione del certificato del casellario giudiziale di cui all'art. 29 del T.U., richiesto dai comuni per ragioni di elettorato;
Considerato che l'accesso diretto al sistema soddisfa, altresì, l'esigenza delle stazioni appaltanti lavori pubblici di verificare le dichiarazioni di cui all'art. 38, comma 1 e 2 del decreto legislativo 12 aprile 2006, n. 163, relativamente ai candidati o ai concorrenti, finora assolta tramite la richiesta dei certificati di cui all'art. 21 del T.U. oppure delle visure di cui all'art. 33, comma 1, dello stesso T.U., al competente ufficio locale del casellario;
Sentita la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie;
Sentito il Garante per la protezione dei dati personali;
Decreta:
Capo I
Principi generali
Art. 1 Ambito di applicazione e contenuto
1. Il presente decreto stabilisce le modalità tecnico-operative per consentire alle amministrazioni pubbliche ed ai gestori di pubblici servizi la consultazione diretta, per via telematica, del sistema informativo del casellario (SIC), qualora per lo svolgimento dei propri compiti istituzionali abbiano necessità di procedere:
a) alle acquisizioni d'ufficio di informazioni concernenti stati, qualità e fatti, ai sensi dell'art. 43 del decreto del Presidente della Repubblica n. 445/2000, che risultino elencati all'art. 46 del medesimo decreto del Presidente della Repubblica;
b) ai controlli delle dichiarazioni sostitutive di certificazioni, di cui all'art. 71 del citato decreto n. 445/2000;
c) all'acquisizione dei certificati di cui agli articoli 28 e 32 del T.U.;
d) all'acquisizione del certificato di cui all'art. 29 del T.U.;
e) all'acquisizione del certificato di cui all'art. 38, commi 1 e 2 del decreto legislativo 12 aprile 2006, n. 163.
2. La consultazione diretta del sistema avviene nel rispetto dell'obbligo, previsto dagli articoli 11, 21 e 22 del decreto legislativo 30 giugno 2003, n. 196, per i soggetti pubblici, di trattare dati personali, e giudiziari in particolare, che siano pertinenti, completi, non eccedenti ed indispensabili rispetto alle finalità perseguite nei singoli procedimenti amministrativi di loro competenza.
3. La consultazione diretta del sistema è limitata all'acquisizione delle certificazioni del casellario giudiziale, relative a persone di maggiore età salvo quanto disposto all'art. 11, e di quelle relative all'anagrafe delle sanzioni amministrative dipendenti da reato.
4. Le amministrazioni interessate all'accesso al SIC formulano apposita richiesta, secondo i modelli di cui all'allegato tecnico, riportando le norme che ne regolamentano gli specifici procedimenti amministrativi ed, in modo analitico e puntuale, le fattispecie di reato e le condizioni ostative per la definizione positiva di ciascuno di essi e comunque ogni ulteriore indicazione necessaria per la realizzazione di una procedura informatica per un accesso selettivo.
5. Per consentire l'accesso al sistema sono stipulate tra il ministero della giustizia e le amministrazioni interessate apposite convenzioni, anche mediante adesione, finalizzate ad assicurare la fruibilità dei dati nel rispetto delle normative in materia di protezione dei dati personali, di accesso ai documenti amministrativi, di tutela del segreto e di divieto di divulgazione. Le convenzioni sono redatte su schemi tipo, distinti eventualmente secondo l'ambito territoriale di competenza dell'amministrazione richiedente (nazionale, regionale, comunale) in base alle linee guida della DigitPA e sentito il Garante per la protezione dei dati personali. Nelle stesse sono stabiliti, tra l'altro, i termini, le condizioni, i vincoli normativi nonché le regole tecniche necessarie per garantire il rilascio di un certificato che contenga solo dati pertinenti e coerenti con i compiti istituzionali delle amministrazioni interessate.
6. In ciascuna convenzione sono stabilite le modalità con le quali l'amministrazione interessata comunica all'ufficio centrale del casellario eventuali modifiche delle norme che incidano sulle regole tecniche alla base dell'accesso selettivo. Le convenzioni riportano altresì le modalità con le quali l'ufficio centrale del casellario comunica eventuali modifiche a norme del T.U.
7. La consultazione diretta al SIC per le finalità di cui al comma 1, lettere a) e b), si realizza tramite l'acquisizione di apposito certificato (d'ora in poi denominato «certificato selettivo ex art. 39 del T.U.») rilasciato all'esito dell'attivazione del «sistema CERPA» secondo le regole stabilite nella relativa convenzione. Il certificato, riferito ad una determinata persona o ente, riporta le sole iscrizioni corrispondenti a provvedimenti giudiziari che riflettano le condizioni ostative indicate dall'amministrazione richiedente. Il certificato riporta altresì gli estremi della convenzione.
8. Nel rispetto di quanto stabilito dall'art. 11 del decreto legislativo 30 giugno 2003, n. 196, il certificato riporta l'iscrizione completa dei provvedimenti giudiziari selezionati dal sistema. Per iscrizione completa si intende quella conforme all'estratto iscritto nel SIC ai sensi dell'art. 4 del T.U. Resta fermo il divieto di utilizzare eventuali dati personali, e giudiziari in particolare, non indispensabili allo specifico adempimento previsto nell'ambito del procedimento amministrativo cui si riferisce la richiesta.
9. Fino a quando non saranno definite le convenzioni e realizzate le procedure informatiche in relazione alle regole tecniche ivi individuate, le amministrazioni interessate continuano ad acquisire i certificati previsti dal T.U., presso gli uffici locali del casellario, secondo le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004.
10. Qualora si verifichi una delle due ipotesi previste dal comma 6, il «certificato selettivo ex art. 39» è sostituito, fino alla modifica della convenzione e della relativa procedura informatica, con un certificato, denominato «certificato ex art. 39», contenente tutte le iscrizioni presenti sul sistema, munito di apposita avvertenza circa il divieto di utilizzare i dati non indispensabili al procedimento amministrativo cui si riferisce la richiesta di accesso.
11. Fermo restando le capacità operative di elaborazione del SIC e del Sistema pubblico di connettività (SPC), il sistema CERPA è attivato seguendo criteri di gradualità, eventualmente con differenziazioni territoriali, e per tipo di certificato, che tengano conto dell'ordine cronologico di presentazione delle richieste di accesso al SIC e delle esigenze delle amministrazioni interessate, valutate attraverso l'analisi dei dati statistici dei certificati richiesti.
12. La consultazione diretta del sistema per le finalità di cui al comma 1, lettere c) e d), consente, oltre all'acquisizione dei certificati di cui agli articoli 28 e 32 del T.U., anche quello di cui all'art. 29 del T.U. ovvero il certificato del casellario giudiziale richiesto per ragioni di elettorato.
13. La consultazione diretta del sistema per le finalità di cui al comma 1, lettera e), consente di soddisfare l'esigenza delle stazioni appaltanti lavori pubblici di verificare le dichiarazioni di cui all'art. 38, commi 1 e 2 del decreto legislativo 12 aprile 2006, n. 163, relativamente ai candidati o ai concorrenti, finora assolta tramite la richiesta al competente ufficio locale del casellario, dei certificati del casellario giudiziale di cui all'art. 21 del T.U. oppure delle visure di cui all'art. 33, comma 1, dello stesso T.U. La consultazione avviene attraverso il rilascio di apposito certificato denominato «certificato del casellario giudiziale ex art. 21 del T.U. in relazione all'art. 38, decreto legislativo n. 163/2006», nel quale sono riportate le iscrizioni di cui all'art. 21 del T.U., ad eccezione dei provvedimenti indicati al comma 5 dell'art. 25 del decreto dirigenziale del 25 gennaio 2007.
14. La certificazione in materia di casellario dei carichi pendenti e di anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato, in attesa della realizzazione delle funzioni di interconnessione telematica tra il SIC ed i sistemi fonte, continua ad essere assicurata su base locale dagli uffici delle procure della Repubblica presso i tribunali in conformità alle disposizioni del pubblico ministero, secondo le modalità finora osservate.
15. Le disposizioni transitorie di cui al decreto dirigenziale 11 febbraio 2004 che consentono alle amministrazioni interessate l'acquisizione dei certificati ai sensi dell'art. 39 del T.U. per il tramite degli uffici locali rimangono in vigore fino al 30 giugno 2014.
Art. 2 Definizioni
1. Ai fini dell'applicazione del presente decreto le definizioni, se non diversamente ed espressamente indicato:
a) «accordo di servizio»: definisce le prestazioni del servizio e le modalità di erogazione/fruizione, ovvero le funzionalità del servizio, le interfacce di scambio dei messaggi tra erogatore e fruitore, i requisiti di qualità di servizio dell'erogazione/fruizione, ed i requisiti di sicurezza dell'erogazione/fruizione. Inoltre mantiene un riferimento all'ontologia/schema concettuale che definisce la semantica dell'informazione veicolata dal servizio;
b) «amministrazioni interessate» sono le pubbliche amministrazioni e i gestori di pubblici servizi che hanno diritto di ottenere i certificati del casellario giudiziale e dell'anagrafe delle sanzioni amministrative dipendenti da reato, quando tale certificato è necessario per l'esercizio delle loro funzioni;
c) «anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato» è l'insieme dei dati relativi a provvedimenti giudiziari riferiti agli enti con personalità giuridica e alle società e associazioni anche prive di personalità giuridica, cui è stato contestato l'illecito amministrativo dipendente da reato, ai sensi del decreto legislativo 8 giugno 2001, n. 231;
d) «anagrafe delle sanzioni amministrative dipendenti da reato» è l'insieme dei dati relativi a provvedimenti giudiziari definitivi che applicano, agli enti con personalità giuridica e alle società e associazioni anche prive di personalità giuridica, le sanzioni amministrative dipendenti da reato, ai sensi del decreto legislativo 8 giugno 2001, n. 231;
e) «casellario dei carichi pendenti» è l'insieme dei dati relativi a provvedimenti giudiziari riferiti a soggetti determinati che hanno la qualità di imputato;
f) «casellario giudiziale» è l'insieme dei dati relativi a provvedimenti giudiziari e amministrativi definitivi riferiti a soggetti determinati;
g) «Centro nazionale per l'informatica nella pubblica amministrazione, di seguito CNIPA», l'organismo di cui all'art. 4, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, come modificato dall'art. 176, comma 3, del decreto legislativo 30 giugno 2003, n. 196 (già DigitPA, ora Agenzia per l'Italia Digitale);
h) «CERPA - WEB» è il sito web messo a disposizione dall'Ufficio del casellario centrale, per la fruizione dei servizi del sistema CERPA;
i) «certificato ex art. 39 del T.U.» è il certificato rilasciato alle amministrazioni pubbliche e ai gestori di pubblici servizi contenente tutte le iscrizioni presenti nel sistema al nome di una determinata persona;
j) «certificato selettivo ex art. 39 del T.U.» è il certificato rilasciato alle amministrazioni pubbliche e ai gestori di pubblici servizi, contenente le iscrizioni presenti nelle banche dati del casellario giudiziale e dell'anagrafe delle sanzioni amministrative dipendenti da reato al nome di una determinata persona o ente, selezionate dal SIC attraverso una procedura selettiva appositamente realizzata in base a quanto stabilito in apposita convenzione. La certificazione riporta tra l'altro gli estremi della convenzione;
k) «chiave pubblica» è l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche;
l) «codice catastale» è il codice unico identificativo assegnato ad ogni comune italiano che ha lo scopo di rendere possibile l'espressione in forma abbreviata ed univoca delle denominazioni dei comuni d'Italia ad uso catastale;
m) «codice identificativo» è il codice fiscale o il codice individuato ai sensi dell'art. 43 del T.U.;
n) «diacritico» è un segno grafico che, posto sopra, sotto o accanto a una lettera dell'alfabeto o a un simbolo fonetico, ne indica una particolare pronuncia o usato per distinguerne il significato da altre parole simili. Al momento attuale viene eseguita un'operazione di transcodifica dei caratteri speciali in caratteri trattati dal sistema, secondo le modalità di conversione corrispondenti alle normative vigenti. Ad esempio per il soggetto «Müller» è creata una correlazione al soggetto «Mueller»;
o) «firma digitale» è un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici (decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni);
p) «firma elettronica» è l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica;
q) «https» (Hypertext Transfer Protocol over Secure Socket Layer) è il risultato dell'applicazione di un protocollo di crittografia asimmetrica al protocollo di trasferimento di ipertesti HTTP. Viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti che potrebbero essere effettuati tramite la tecnica del man in the middle;
r) «indirizzo IP (Internet Protocol)» è un numero che identifica univocamente un dispositivo collegato a una rete informatica;
s) «Ministero della giustizia» sono gli uffici del Ministero della giustizia e gli uffici giudiziari, nell'esercizio di funzioni amministrative;
t) «PDF» (Portable Document Format) è un formato documentale elettronico definito dallo standard internazionale ISO/IEC 32000;
u) «PEC» (Posta elettronica certificata) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica attestante l'invio e la consegna di documenti informatici, così come disciplinata nel decreto del Presidente della Repubblica 11 febbraio 2005, n. 68;
v) «porta di dominio» è l'elemento che sposa i principi di cooperazione applicativa, emanati dalla pubblica amministrazione, separando la logica delle funzioni interne di un Sistema informativo dalle comunicazioni standard di soggetti eterogenei. Il principio è quello di un adattatore non invasivo, basato su tecnologie web service che implementa un servizio di messaggistica garantendo requisiti di sicurezza e identificabilità delle fonti. Essendo un'interfaccia verso il SPCoop assume pertanto un ruolo indipendente dalla piattaforma su cui opera. Fondamentalmente si occupa dell'imbustamento-sbustamento del messaggio di E-gov instradando richieste/risposte verso il servizio corretto;
w) «RUG» (Rete unitaria della giustizia) è l'infrastruttura telematica che interconnette tra loro i sistemi informatici interni al dominio giustizia;
x) «SIC» o «sistema» è il sistema informativo automatizzato del casellario giudiziale, del casellario dei carichi pendenti, dell'anagrafe delle sanzioni amministrative dipendenti da reato, dell'anagrafe dei carichi pendenti degli illeciti amministrativi dipendenti da reato (art. 3 del decreto dirigenziale 25 gennaio 2007);
y) «sistema CERPA» è l'insieme dei servizi, attivabili tramite una delle modalità indicate nell'art. 4, comma 2, che provvedono alla ricezione delle richieste di consultazione trasmesse con le modalità di cui agli articoli 7 e 8, alla ricerca dei soggetti sulle banche dati del SIC e alla produzione dei certificati con firma digitale. Il sistema provvede inoltre alla verifica di conformità agli standard, definiti nel presente decreto, delle richieste di consultazione e all'attivazione del sistema di autorizzazione;
z) «SOAP» (Simple Object Access Protocol) è un protocollo leggero per lo scambio di informazioni in un ambiente distribuito e decentrato. Tale scambio di informazioni avviene mediante messaggi codificati in un formato XML; si parla, pertanto, di messaggistica XML;
aa) «SPC» (Sistema pubblico di connettività) è l'insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l'integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l'interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l'autonomia del patrimonio informativo di ciascuna pubblica amministrazione;
bb) «SPCoop» è il Sistema pubblico di cooperazione, che costituisce l'infrastruttura abilitante per le comunicazioni applicative tra gli enti pubblici, è un insieme di specifiche gestite da DigitPA che normano le modalità di comunicazione ed organizzative relative alle comunicazioni applicative tra gli enti, quella che comunemente viene chiamata cooperazione applicativa;
cc) «T.U.» è il testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, di cui al decreto del Presidente della Repubblica 14 novembre 2002, n. 313;
dd) «ufficio centrale» o «ufficio centrale del casellario» è l'ufficio presso il Ministero della giustizia, così come definito nell'art. 19 del T.U.;
ee) «ufficio locale» o «ufficio locale del casellario giudiziale» è l'ufficio presso il tribunale e presso il tribunale per i minorenni, così come definito nel T.U. Nella fase transitoria ed in attesa dell'adozione del regolamento di cui all'art. 7, comma 4 del decreto legislativo 25 luglio 2006, n. 240, ufficio locale è l'ufficio costituito nell'ambito delle procure della Repubblica presso i tribunali ordinari, già denominato casellario locale;
ff) «Web service» è un sistema software progettato per supportare l'interoperabilità tra diversi elaboratori su di una medesima rete; caratteristica fondamentale di un Web Service è quella di offrire un'interfaccia software utilizzando la quale altri sistemi possono interagire con il Web Service stesso attivando le operazioni descritte nell'interfaccia tramite appositi «messaggi» inclusi in una «busta» SOAP: tali messaggi sono, solitamente, trasportati tramite il protocollo HTTP e formattati secondo lo standard XML;
gg) «XML» (eXtended Markup Language) linguaggio derivato dall'SGML (Standard Generalized Markup Language) il metalinguaggio, che permette di creare altri linguaggi. Mentre l'HTML è un'istanza specifica dell'SGML, XML costituisce a sua volta un metalinguaggio, più semplice dell'SGML, largamente utilizzato per la descrizione di documenti sul Web. L'XML viene utilizzato per definire le strutture dei dati invece che per descrivere come questi ultimi devono essere presentati. Tali strutture vengono definite utilizzando dei marcatori (markup tags). Diversamente dall'HTML, l'XML consente all'utente di definire marcatori personalizzati, dandogli il controllo completo sulla struttura di un documento. Si possono definire liberamente anche gli attributi dei singoli marcatori.
Capo II
Consultazione diretta del Sistema informativo del casellario (SIC)
Art. 3 Principi e funzioni del sistema CERPA
1. Per l'attuazione delle disposizioni contenute nel presente decreto è reso operante il sistema CERPA, attivabile tramite le modalità indicate nell'art. 4, comma 2. In particolare, detto sistema, al momento della ricezione della richiesta di consultazione, provvede a:
a) attivare il sistema di autorizzazione di cui al comma 3;
b) verificare la conformità della richiesta agli standard definiti nel presente decreto;
c) ricercare i soggetti sulle banche dati del SIC;
d) attivare la procedura di selezione cui al comma 4 dell'art. 1;
e) produrre i certificati con apposizione della firma digitale.
2. Il sistema CERPA, la cui gestione è demandata all'ufficio centrale del casellario, è il supporto alla base delle procedure concernenti la consultazione diretta da parte delle amministrazioni pubbliche e dei gestori di pubblici servizi ai sensi dell'art. 39 del T.U. e si uniforma ai principi e alle funzioni di cui all'art. 3 del decreto dirigenziale del 25 gennaio 2007 e a quelli disposti dal presente articolo.
3. Per il controllo e la verifica degli accessi al SIC è attivato un sistema di autorizzazione che abilita l'accesso ai dati e definisce le modalità di trattamento degli stessi, in funzione del profilo di autorizzazione assegnato all'Amministrazione interessata, registrato sul sistema ai sensi dell'art. 6.
4. In caso di mancato funzionamento del sistema CERPA l'ufficio centrale attiva le procedure di cui all'art. 16 o il polo secondario in caso di «disaster recovery».
5. Per la trasmissione telematica dei dati, la gestione dei messaggi di posta elettronica certificata e la comunicazione con gli enti esterni al dominio giustizia sono utilizzate le infrastrutture tecnologiche messe a disposizione dalla Direzione generale per i sistemi informativi automatizzati del Ministero della giustizia.
6. Titolare del trattamento dei dati è il Ministero della giustizia - Dipartimento per gli affari di giustizia, nel cui ambito è istituito l'ufficio centrale.
Art. 4 Modalità di consultazione del SIC e rilascio dei certificati
1. La consultazione diretta del sistema è finalizzata all'acquisizione dei seguenti certificati:
a) in materia di casellario giudiziale:
certificato generale ex art. 28 in relazione all'art. 24 del T.U.;
certificato penale ex art. 28 in relazione all'art. 25 del T.U.;
certificato civile ex art. 28 in relazione all'art. 26 del T.U.;
certificato selettivo ex art. 39 del T.U.;
certificato ex art. 39 del T.U. (limitatamente alle ipotesi di cui al comma 10 dell'art. 1);
certificato ex art. 21 del T.U. in relazione all'art. 38 del decreto legislativo n. 163/2006;
certificato richiesto per uso elettorale ex art. 29 del T.U.;
b) in materia di anagrafe delle sanzioni amministrative dipendenti da reato:
certificato ex art. 32 in relazione all'art. 31 del T.U.;
certificato selettivo ex art. 39 del T.U.;
certificato ex art. 39 del T.U. (limitatamente alle ipotesi di cui al comma 10 dell'art. 1).
2. La consultazione diretta del SIC di cui al comma precedente, è consentita secondo le seguenti modalità di accesso:
a) servizio in cooperazione applicativa tramite la tecnologia cosiddetta Web Service;
b) servizio di PEC.
3. La consultazione diretta del SIC è consentita solo se i dati contenuti nella richiesta sono conformi a quelli registrati sul SIC e agli standard di cui agli articoli 6, 7, 8 e 9. A tali fini l'ufficio centrale del casellario provvede a registrare in modo analitico gli estremi della convenzione stipulata ai sensi dell'art. 1, commi 5 e 6, le finalità istituzionali dell'amministrazione interessata nonché le tipologie di certificato che la stessa è autorizzata a richiedere, così come risultanti dalla stessa convenzione.
4. I certificati di cui al comma 1 del presente articolo sono prodotti in formato PDF e, al fine di garantirne l'autenticità e l'integrità, sugli stessi è apposta la firma digitale del direttore dell'Ufficio del casellario centrale, nel rispetto delle regole tecniche stabilite ai sensi dell'art. 71 del Codice dell'amministrazione digitale e dal CNIPA, ora Agenzia per l'Italia Digitale.
5. I certificati recano, tra l'altro, gli estremi della convenzione, l'indicazione dell'amministrazione richiedente, il numero progressivo del certificato, l'elenco delle iscrizioni ovvero, nel caso di assenza di iscrizioni, l'attestazione NULLA, la data e l'ora dell'estrazione, la modalità di consultazione utilizzata e la dicitura «Il direttore del casellario centrale», al di sotto della quale sono riportati i riferimenti della firma digitale applicata.
6. Nelle ipotesi di cui ai commi 8 e 10 dell'art. 1 sui certificati è riportata in calce alle iscrizioni menzionate la seguente avvertenza: Resta fermo il divieto di utilizzare eventuali dati personali, e giudiziari in particolare, non indispensabili allo specifico adempimento previsto nell'ambito del procedimento amministrativo cui si riferisce la richiesta, ai sensi del decreto legislativo 30 giugno 2003, n. 196, recante il codice in materia di protezione dei dati personali.
7. Al fine di verificarne l'autenticità, l'integrità e la provenienza nonché la validità della firma digitale, il certificato acquisito tramite il Sistema CERPA può essere sottoposto ad una fase di verifica.
Art. 5 Modalità per la richiesta di accesso al SIC
1. L'accesso al SIC da parte delle amministrazioni interessate è subordinato all'espletamento di una procedura di registrazione sul sistema, nel rispetto delle vigenti norme in materia di sicurezza e secondo le modalità indicate nell'allegato tecnico, che costituisce parte integrante del presento decreto.
2. L'amministrazione in sede di richiesta di accesso al SIC, con le modalità di cui al comma 4 dell'art. 1, deve nominare un referente e, limitatamente al servizio di PEC, un responsabile tecnico (le due funzioni possono essere attribuite ad un'unica persona) i quali assumono la piena responsabilità delle modalità di gestione e utilizzo degli accessi al sistema. L'amministrazione designa altresì il responsabile del trattamento dei dati acquisiti, che può coincidere con la figura del referente.
3. Il referente e il responsabile tecnico sono individuati dalle amministrazioni interessate sulla base del possesso di adeguati requisiti di idoneità soggettiva tra coloro che abbiano un rapporto stabile con le stesse, gli stessi devono essere adeguatamente formati e costituiscono il punto di riferimento unico per le richieste di abilitazione e autorizzazione.
4. L'ufficio del casellario centrale provvede in merito a ciascuna richiesta di accesso anche al fine di attivare le procedure per la definizione della convenzione di cui all'art. 1, commi 5 e 6. In caso di rigetto della domanda ne comunica le motivazioni al Referente indicato sulla domanda stessa.
Art. 6 Ufficio del responsabile centrale dell'accesso al sistema
1. L'ufficio del responsabile centrale dell'accesso al sistema, istituito presso il Ministero della giustizia - Direzione generale degli affari penali - Ufficio del casellario centrale, per ciascuna richiesta di accesso, appena stipulata la relativa convenzione, avrà cura di:
a) registrare i parametri identificativi dell'ente;
b) registrare i dati del referente e del responsabile tecnico;
c) registrare le tipologie di certificato, di cui all'art. 4, comma 1, che l'amministrazione interessata è autorizzata a richiedere;
d) registrare le finalità definite con l'amministrazione interessata nell'ambito della relativa convenzione, riportandone gli estremi;
e) definire i parametri di accesso e tipo di procedura autorizzata;
f) attivare l'utenza sul SIC;
g) trasmettere al referente le istruzioni per l'attivazione del servizio.
2. L'ufficio del responsabile centrale dell'accesso al sistema, nei casi previsti, provvede inoltre a:
a) definire i parametri di accesso per il referente e il responsabile tecnico, in termini di credenziali di autenticazione: nome utente, parola chiave protetta con tecniche di cifratura;
b) trasmettere al referente e al responsabile tecnico, in busta chiusa sigillata, i suddetti parametri di accesso o altro mezzo che ne possa garantire la riservatezza;
c) attivare l'utenza sul sistema a seguito di conferma dell'avvenuta corretta ricezione della busta di cui alla lettera b).
Art. 7 Consultazione del SIC - Servizio in cooperazione applicativa tramite la tecnologia Web Service
1. La consultazione del SIC nella modalità indicata all'art. 4, comma 2, lettera a) avviene tramite un servizio di cooperazione applicativa tra sistemi informativi realizzata per la fruizione di informazioni pubblicate e utilizzabili dalle amministrazioni interessate attraverso la tecnologia Web Service. Il servizio è disponibile, in piena conformità delle regole tecniche e di sicurezza per il funzionamento del SPCoop, attraverso porte di dominio qualificate, l'uso della busta di e-government e servizi di sicurezza standard.
2. A tale fine, il Ministero della giustizia e le amministrazioni interessate, devono realizzare, ognuno per la parte di propria competenza, le necessarie applicazioni di cooperazione, i Web Service e la porta di dominio, che delimita il confine di responsabilità di un ente e che racchiude al suo interno tutte le applicazioni da esso gestite. Le comunicazioni da e verso un dominio devono quindi attraversare la propria porta di dominio.
3. L'amministrazione interessata definisce nell'ambito del proprio sistema informatico, per tutte le utenze autorizzate alla consultazione del SIC, i corrispondenti livelli di visibilità e operatività, sulla base di profili di autorizzazione e di credenziali di autenticazione associate ad un dispositivo di autenticazione forte aventi caratteristiche equivalenti a quelle della carta nazionale dei servizi e carta d'identità elettronica. Le credenziali di autenticazione possono essere associate ad un codice identificativo e ad una parola chiave, in possesso e ad uso esclusivo dell'utente.
4. Il referente, di cui al comma 2 dell'art. 5, assume la piena responsabilità in merito alla gestione e all'utilizzo degli accessi al proprio sistema per conto di tutte le utenze autorizzate alla consultazione, nonché, se del caso, del trattamento dei dati personali acquisiti.
5. L'amministrazione interessata provvede all'adozione di apposite politiche di sicurezza e di controllo, verifica degli accessi e delle operazioni svolte, anche avvalendosi degli strumenti di cui al comma 2 dell'art. 15.
6. La consultazione del SIC di cui al primo comma avviene attraverso la fruizione di due servizi di cooperazione applicativa SPCoop:
a) uno, riservato all'acquisizione dei certificati in materia di casellario giudiziale di cui all'art. 4, comma 1, lettera a);
b) l'altro, riservato ai certificati in materia di anagrafe delle sanzioni amministrative dipendenti da reato di cui all'art. 4, comma 1, lettera b).
7. La modalità di fruizione dei servizi di consultazione è definita nei relativi accordi di servizio, ai sensi del decreto del Presidente del Consiglio dei Ministri 1° aprile 2008. Gli accordi di servizio devono riportare la specifica delle interfacce per l'accesso telematico e la definizione delle politiche di sicurezza che l'amministrazione interessata deve adottare per garantire il corretto trattamento dei dati personali. In particolare, deve essere previsto il tracciamento delle operazioni compiute in cooperazione applicativa, con possibilità di identificazione dell'utente che accede ai dati, il timestamp, l'indirizzo IP del server interconnesso, l'operazione effettuata e i dati trattati.
8. A garanzia dell'autenticità del mittente e dell'integrità delle richieste pervenute e delle risposte inviate ciascuna amministrazione interessata utilizza un certificato di firma elettronica per lo scambio dei dati. Tale dispositivo di riconoscimento è fornito dal Ministero della giustizia che ha adottato gli standard di sicurezza PKI per la firma dei documenti elettronici basato sulla generazione di una coppia di chiavi (pubblica e privata). Le indicazioni per la generazione delle chiavi di firma, riconosciute nel sistema informatico del casellario, sono riportate nell'allegato tecnico che costituisce parte integrante del presente decreto.
9. Il servizio è reso disponibile secondo le regole indicate nel presente decreto e le modalità tecnico-operative riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 8 Consultazione del SIC - Servizio di PEC
1. La consultazione del SIC nella modalità indicata all'art. 4, comma 2, lettera b) avviene tramite il sistema di comunicazione denominato Posta elettronica certificata (PEC) il quale è in grado di attestare l'invio e l'avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi ed è dotato di caratteristiche di sicurezza così come definite nel decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
2. Per la consultazione del SIC tramite il servizio PEC è istituito il registro delle utenze autorizzate dall'amministrazione interessata, gestito direttamente dal referente di cui al comma 2 dell'art. 5. Il referente, in particolare, tramite l'accesso all'applicazione Web per la gestione delle abilitazioni al servizio, effettuato con le credenziali di autenticazione di cui al comma 2 dell'art. 6, provvede a registrare per ciascuna utenza:
a) cognome e nome;
b) data di nascita;
c) luogo di nascita e nazione di nascita;
d) codice fiscale;
e) la tipologia di certificati che il soggetto è autorizzato a richiedere definite nell'ambito della convenzione;
f) la casella PEC;
g) ai sensi del comma 4, la chiave pubblica della firma digitale.
Il referente provvede, inoltre, all'aggiornamento dei dati registrati, comprese le eventuali disabilitazioni.
3. Alle richieste di consultazione del SIC tramite il servizio PEC deve essere applicata la firma digitale dei soggetti autorizzati dall'amministrazione interessata, risultanti dal registro di cui al comma precedente.
4. Al fine di salvaguardare e garantire la riservatezza dei dati contenuti nei certificati trasmessi per il tramite del servizio PEC, gli stessi sono sottoposti a cifratura mediante l'utilizzo della chiave pubblica della firma digitale in possesso dei soggetti autorizzati. A tali fini il referente provvede all'acquisizione della chiave pubblica della firma digitale, che trasmetterà al sistema, secondo le modalità indicate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
5. Per le operazioni di cui ai commi precedenti il referente può delegare un responsabile tecnico. Le operazioni effettuate dal responsabile tecnico sono comunicate all'indirizzo di PEC del referente.
6. L'accesso all'applicazione per la gestione delle abilitazioni al servizio da parte del referente avviene secondo le modalità indicate nell'art. 9 del decreto dirigenziale del 25 gennaio 2007 emanato dal Ministero della giustizia ed esclusivamente tramite l'utilizzo di un protocollo di comunicazione sicura, come quello offerto dal protocollo HTTPS o da altri standard riconosciuti e di provato utilizzo.
7. L'amministrazione interessata provvede all'adozione di apposite politiche di sicurezza e di controllo, verifica degli accessi e delle operazioni svolte, anche avvalendosi degli strumenti di cui al comma 2 dell'art. 15.
8. Il servizio è reso disponibile secondo le regole indicate nel presente decreto e le modalità tecnico-operative riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 9 Consultazione del SIC - modalità di richiesta
1. La richiesta di consultazione del SIC, trasmessa con le modalità di cui agli articoli 7 e 8, deve essere conforme agli standard stabiliti nell'allegato tecnico, in caso contrario è rifiutata con apposito messaggio. La richiesta, in particolare, deve contenere i seguenti dati obbligatori:
a) i parametri identificativi dell'amministrazione interessata;
b) gli estremi della convenzione;
c) tipo di certificato richiesto (art. 4, comma 1);
d) finalità (art. 6, comma 1, lettera d);
e) numero e data protocollo (nel formato GG/MM/AAAA);
f) lingua tedesca (parametro obbligatorio: «N» o «S»). Il SIC provvede al rilascio del certificato in lingua tedesca, ai sensi dell'art. 28 del decreto del Presidente della Repubblica 15 luglio 1988, n. 574. In tali casi il parametro è indicato con «S».
2. La richiesta di consultazione del SIC deve inoltre contenere:
a) per il casellario giudiziale, con riferimento a ciascun soggetto di cui si richiede la certificazione, i seguenti dati anagrafici obbligatori:
cognome e nome;
data di nascita;
luogo e nazione di nascita. Per i nati all'estero, se il luogo non è conosciuto, è possibile indicare solo la nazione di nascita. Il luogo di nascita e la nazione di nascita devono essere espressi indicando il codice catastale;
codice fiscale, obbligatorio per i cittadini italiani e per il cittadino di stato dell'unione europea che abbia il domicilio fiscale in Italia. In attesa dell'emanazione dei decreti dirigenziali di cui all'art. 42, comma 2 del T.U., per il cittadino di stato dell'unione europea che non abbia il codice fiscale e il cittadino di stato non appartenente all'unione europea, non deve essere indicato il codice unico identificativo di cui all'art. 43 del T.U.;
paternità (il dato è opzionale);
b) per l'anagrafe delle sanzioni amministrative dipendenti da reato, con riferimento a ciascun ente, i seguenti dati obbligatori:
denominazione sociale;
la forma giuridica, secondo la tabella riportata nell'allegato tecnico;
indirizzo della sede legale;
il codice fiscale.
3. Nella richiesta trasmessa con il servizio in cooperazione applicativa sono indicati anche il cognome e nome del soggetto che effettua la richiesta o il codice identificativo attribuito allo stesso dall'amministrazione interessata ai sensi del comma 3 dell'art. 7.
4. Per la suddetta modalità di accesso l'amministrazione interessata deve disporre di un modulo software per richiedere i servizi SPCoop di cui al comma 6 dello stesso art. 7. Tale modulo deve essere realizzato secondo quanto specificato nel relativo accordo di servizio ed essere in grado di:
comporre il corpo del messaggio di richiesta del servizio, che costituirà il SOAP body della busta di e-gov, secondo un formato XML che contenga i dati, specificati nei commi precedenti;
apporre allo stesso la firma elettronica come specificato all'art. 7, comma 8;
chiamare, per il tramite della propria porta di dominio, il web service corrispondente al servizio di interesse di cui all'art. 7, comma 6, a sua volta reso disponibile attraverso la porta di dominio del Ministero della giustizia;
verificare sulla busta di risposta la firma di cui all'art. 7, comma 8, controllando la validità del certificato (verifica di integrità e non ripudio);
controllare eventuali segnalazioni di errori presenti nella risposta;
lettura ed utilizzo dei dati.
5. Per la compilazione della richiesta trasmessa con il servizio di PEC è reso disponibile un apposito software che consente di predisporre:
a) un file contenente i dati relativi alla richiesta (comma 1);
b) un file contenente i dati anagrafici dei soggetti (comma 2, lettera a) oppure i dati dell'ente (comma 2, lettera b);
c) un modulo contenente i dati della richiesta, che una volta stampato può essere oggetto di registrazione nel protocollo ovvero conservato agli atti dell'ufficio.
6. Alla richiesta, trasmessa con il servizio di PEC e predisposta secondo le specifiche indicate al comma precedente, deve essere applicata la firma digitale del soggetto registrato sul SIC che sta effettuando la richiesta stessa ai sensi dell'art. 8, comma 3.
7. Le modalità tecnico-operative per l'utilizzo del software di cui al comma 5 sono riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 10 Consultazione del SIC - Modalità di risposta
1. La ricerca effettuata sulle banche dati del SIC può avere, per ciascun soggetto o ente, i seguenti esiti:
produzione di un certificato positivo, se il soggetto è presente con iscrizioni menzionabili nelle banche dati del SIC;
produzione di un certificato «nullo», se non sono presenti iscrizioni oppure se le iscrizioni presenti sono escluse dalla procedura di selezione.
2. I certificati prodotti sono trasmessi alle amministrazioni interessate tramite i servizi in cooperazione operativa o di PEC utilizzati dalle stesse per la richiesta, secondo le modalità tecnico-operative riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
3. Il sistema provvede a segnalare, esclusivamente per la banca dati del casellario giudiziale, l'eventuale presenza di altri soggetti, così denominati:
a) «Omonimi»: soggetti iscritti nel sistema che presentano gli stessi dati anagrafici obbligatori, tranne il codice fiscale, e che pertanto non possono essere distinti solo sulla base di questi;
b) «Sinonimi»: soggetti iscritti nel sistema che presentano, rispetto al soggetto richiesto, piccole differenze sui dati anagrafici o che sono differenti per il codice fiscale o per la paternità;
c) «Alias»: soggetti iscritti nel sistema che risultano condannati con identità diverse;
d) «Anagrafiche di richiamo»: soggetti iscritti nel sistema per i quali, successivamente alla condanna, sono stati cambiati i dati anagrafici a seguito di comunicazione del comune competente;
e) «Richiamo diacritico»: soggetti correlati al soggetto principale iscritto nel SIC, creati a seguito della transcodificazione per la presenza nel cognome o nome di caratteri diacritici.
4. Le segnalazioni relative agli omonimi ed ai sinonimi vengono effettuate fino a quando non saranno emanati i decreti dirigenziali di cui agli articoli 42, comma 2, e 43 del T.U., che consentiranno la sicura riferibilità delle iscrizioni ad un determinato soggetto attraverso l'utilizzo del codice fiscale o di un codice identificativo individuato sulla base del sistema di riconoscimento delle impronte digitali, limitando l'informazione ai soli dati anagrafici degli stessi ed alla generica indicazione dell'esistenza di iscrizioni a loro carico.
5. La presenza di «sinonimi» è segnalata con apposita attestazione allegata al certificato, nella quale è evidenziato, altresì, che l'informativa ha il solo scopo di consentire all'amministrazione interessata il controllo dei dati anagrafici esistenti presso di sè, confrontandoli con quelli riguardanti i sinonimi segnalati.
6. La presenza di «omonimi», evidenziata con apposita segnalazione, determina il blocco della certificazione. In tale caso l'amministrazione interessata richiede il certificato all'ufficio del casellario giudiziale competente per luogo di nascita.
7. Nell'ipotesi di una richiesta di certificazione riferita ad un soggetto iscritto nel sistema come «Alias», o «Anagrafica di richiamo» o «Richiamo diacritico», nel certificato trasmesso all'amministrazione interessata è riportato anche il riferimento al soggetto denominato principale con la dicitura «correlato a».
8. Nel caso di soggetto per il quale risulta comunicata l'avvenuta morte, da parte del comune competente, è prodotta apposita segnalazione. In tale caso l'amministrazione interessata richiede informazioni al comune competente.
9. Nell'ipotesi in cui il certificato non viene rilasciato dal sistema, per motivi tecnici, è prodotta apposita segnalazione. In tale caso l'amministrazione interessata contatta l'ufficio del casellario centrale.
10. Le disposizioni di cui ai commi precedenti si applicano anche per i certificati rilasciati ai sensi dell'art. 16.
11. Le modalità di risposta, di comunicazione delle attestazioni e delle segnalazioni di cui ai commi precedenti sono riportate nell'allegato tecnico, che costituisce parte integrante del presente decreto.
Art. 11 Disposizioni particolari per le richieste di certificazione relative a minorenni
1. Le richieste di certificazione relative a minorenni sono consentite esclusivamente per le esigenze di aggiornamento delle liste elettorali di cui agli articoli 8 e 9 del decreto del Presidente della Repubblica n. 223 del 20 marzo 1967.
2. Le disposizioni contenute nell'art. 5, comma 4 del T.U. sono assicurate dal sistema mediante la simulazione del compimento del diciottesimo anno di età.
Capo III
Consultazione diretta del sistema da parte del Ministero della giustizia
Art. 12 Accesso diretto al SIC da parte degli uffici del Ministero della giustizia connessi alla RUG
1. Gli uffici del Ministero della giustizia connessi alla RUG possono essere ammessi alla consultazione diretta del sistema, ai fini dell'acquisizione dei certificati indicati nell'art. 4, comma 1, ad esclusione di quello di cui all'art. 29 del T.U., secondo le disposizioni del presente decreto e le regole di cui al decreto dirigenziale 25 gennaio 2007.
2. L'acquisizione dei certificati del casellario giudiziale, concernenti categorie o gruppi di persone numerosi, è possibile tramite l'attivazione del sistema CERPA con le stesse modalità di cui all'art. 16.
Art. 13 Modalità di consultazione da parte degli uffici del Ministero della giustizia non connessi alla RUG
1. Gli uffici del Ministero della giustizia non connessi alla RUG possono consultare il SIC per il tramite della posta elettronica certificata (PEC), secondo le regole indicate nel presente decreto e le modalità tecnico-operative riportate nell'allegato tecnico, che ne costituisce parte integrante.
Capo IV
Sicurezza
Art. 14 Politiche di sicurezza del sistema CERPA
1. Per il sistema CERPA restano ferme le politiche di sicurezza adottate sul SIC ai sensi dell'art. 4 del decreto dirigenziale 25 gennaio 2007.
Art. 15 Controllo e verifica degli accessi e delle operazioni svolte sul sistema CERPA
1. L'ufficio del casellario centrale, nel rispetto delle procedure di sicurezza in vigore, cura la registrazione dei dati necessari a garantire:
a) la tracciabilità dei collegamenti telematici attuati tra il sistema ed i sistemi informatici interessati, sia interni che esterni al dominio giustizia;
b) l'individuazione di tutti gli utenti che interagiscono con il sistema, ivi compresi gli utenti tecnici appartenenti a ditte esterne incaricate della conduzione e/o manutenzione del sistema;
c) la ricostruzione di tutte le operazioni effettuate, in modo da poterle ricondurre all'operatore che le ha eseguite, anche in relazione alla data, all'ora di esecuzione e ai dati oggetto dell'accesso.
2. Per consentire all'amministrazione interessata i controlli sulle attività svolte dagli utenti è istituito il registro informatizzato denominato «Registro degli accessi al SIC» e sono attivati particolari sistemi dall'allarme (c.d. alert) per permettere monitoraggi statistici degli accessi. Attraverso tali controlli, effettuati con cadenza trimestrale anche a campione, potrà essere verificata, in particolare, la rispondenza delle richieste dei certificati ai procedimenti amministrativi correlati. Tenuto conto delle capacità operative e di elaborazione del sistema CERPA, la disponibilità per consultare on line il registro può essere limitata all'ultimo trimestre.
3. L'integrità del registro di cui al comma precedente è verificata, con frequenza mensile, dall'ufficio centrale del casellario che può procedere, altresì, alla verifica dei dati trasmessi anche avuto riguardo al contenuto dei certificati inviati.
4. Le registrazioni contenute nei registri previsti dal presente decreto e nei log del sistema sono conservate per un periodo di dieci anni.
Capo V
Disposizioni transitorie
Art. 16 Modalità di consultazione da parte delle amministrazioni pubbliche ed ai gestori di pubblici servizi non ancora collegati al SIC
1. In via transitoria, le amministrazioni interessate che non hanno ancora attivato la procedura di cui all'art. 5, richiedono i certificati secondo quanto disposto nel decreto dirigenziale 11 febbraio 2004 del Ministero della giustizia, con le modalità di seguito indicate.
2. L'acquisizione del certificato avviene previa richiesta all'ufficio locale del casellario giudiziale. La richiesta è formulata secondo i modelli in uso e può essere inoltrata via PEC, qualora riguardi categorie o gruppi di persone numerosi.
3. Per le richieste concernenti un solo soggetto l'ufficio locale del casellario giudiziale provvede all'estrazione del certificato direttamente dal SIC, alla sua stampa, all'apposizione di firma autografa e timbro dell'ufficio e alla successiva consegna all'amministrazione richiedente.
4. Per le richieste concernenti categorie o gruppi di persone numerosi, limitatamente ai certificati in materia di casellario giudiziale, le amministrazioni interessate possono utilizzare il software di cui al comma 5 dell'art. 9. L'ufficio locale del casellario, controlla che la richiesta riporti il numero e la data di protocollo, attiva il sistema CERPA trasmettendo al SIC, attraverso l'apposita funzione disponibile sul sistema, il file contenente i dati anagrafici dei soggetti (art. 9, comma 2, lettera a).
5. IL sistema elabora le informazioni ricevute e consente l'estrazione dei certificati, che potranno essere prodotti:
a) in formato PDF con firma autografa del responsabile del servizio certificativo sostituita, ai sensi dell'art. 3 del decreto legislativo 12 febbraio 1993, n. 39, dall'indicazione a stampa del nominativo dello stesso, nell'ipotesi in cui l'amministrazione interessata abbia optato, nella richiesta, per la consegna dei certificati su carta oppure
b) in formato PDF con firma digitale del direttore dell'ufficio del casellario centrale, qualora l'amministrazione interessata abbia optato per l'invio dei certificati tramite PEC.
6. Se la trasmissione dei certificati avviene tramite PEC il relativo file è protetto da una password appositamente creata dal sistema. Qualora la numerosità dei certificati contenuti nel file non ne consenta la trasmissione via PEC lo stesso, sempre protetto da password, potrà essere consegnato su supporto magnetico.
7. A supporto delle attività previste dal presente articolo è disponibile sul SIC un manuale utente.
8. Le disposizioni di cui al presente articolo rimangono in vigore fino al 30 giugno 2014, fatta salva l'ipotesi di cui all'art. 3, comma 4.
Capo VI
Disposizioni finali
Art. 17 Certificati richiesti da autorità straniere
1. Dopo l'art. 30 del decreto dirigenziale del Ministero della giustizia emanato in data 25 gennaio 2007 è inserito il seguente:
«Art. 30-bis (Certificati richiesti da autorità straniere). - 1. Alle autorità straniere sono rilasciati, ai sensi dell'art. 37 del T.U.:
a) il certificato di cui all'art. 21 del T.U., ad eccezione dei provvedimenti indicati al comma 5 dell'art. 25 del decreto dirigenziale 25 gennaio 2007, denominato “certificato ex art. 37 in relazione all'art. 21 del T.U.”;
b) il certificato di cui all'art. 30 del T.U., ad eccezione dei provvedimenti indicati al comma 5 dell'art. 25 del decreto dirigenziale 25 gennaio 2007, denominato “certificato ex art. 37 del T.U. in relazione all'art. 30 del T.U”.».
2. La competenza al rilascio dei certificati di cui all'art. 37 del T.U. è attribuita, ai sensi dell'art. 35, comma 2 del T.U., all'ufficio centrale limitatamente alle richieste che riceve direttamente dalle autorità straniere.
Art. 18 Norma finale
1. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana, unitamente agli allegati tecnici che ne costituiscono parte integrante.
2. Per la corretta funzionalità del sistema CERPA, ed eventualmente operare interventi di messa a punto dello stesso, è prevista una fase sperimentale, di sei mesi, le cui operazioni avverranno nel rispetto delle politiche di sicurezza e delle modalità di consultazione del sistema fissate nel presente decreto e secondo quanto definito nelle convenzioni appositamente stipulate con le Amministrazioni interessate che vi parteciperanno.
3. Di eventuali modifiche agli allegati tecnici sarà data pubblicità attraverso la Gazzetta Ufficiale della Repubblica italiana.
Allegato A
Regole procedurali di carattere tecnico operativo per l'accesso ai servizi disponibili in cooperazione applicativa tramite la tecnologia web service
Scarica il file
Allegato B
Regole procedurali di carattere tecnico operativo per l'accesso ai servizi disponibili tramite la posta elettronica certificata
Scarica il file
Allegato C
Scheda informativa per l'attivazione della consultazione diretta del sistema informativo del casellario ai sensi dell'art. 39, D.P.R. n. 313/2002
Scarica il file
Per scaricare tutti gli allegati clicca qui
Nessun commento:
Posta un commento