Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Fonti normative e documenti

Autorità per l'informatica nella pubblica amministrazione

Deliberazione 19/95 del 9 novembre 1995
Regole tecniche per il mandato informatico
(Art. 2, comma 2 del DPR 20 aprile 1994, n° 367)

L'AUTORITA'

VISTO l'articolo 2, comma 2, del decreto del Presidente della Repubblica 20 aprile 1994, n.367, che prevede che l'Autorità definisca "le regole tecniche ....affinchè le evidenze informatiche possano essere validamente impiegate a fini probatori, amministrativi e contabili";

PRECISATO che per evidenza informatica si intende un messaggio elettronico, composto da dati utente e da codici universali, che viene validamente impiegato a fini probatori, amministrativi e contabili;

VISTA la proposta all'uopo predisposta dagli uffici;

DELIBERA

di dettare, a norma dell'articolo 2, comma 2, del decreto del Presidente della Repubblica 20 aprile 1994, n° 367, le regole tecniche per il mandato informatico di seguito riportate.

REGOLE TECNICHE PER IL MANDATO INFORMATICO

1. PROTOCOLLO DI TRASMISSIONE

I dati vengono trasmessi, di regola, attraverso linee di telecomunicazione: il protocollo di trasmissione adottato è quello riportato nella norma CCITT X.25 e successive evoluzioni.

2. REGOLE SINTATTICHE

Le regole sintattiche di trattamento delle evidenze informatiche devono conformarsi allo standard UN/EDIFACT mantenuto da UN/ECE, emesso da ISO e ripubblicato da CEN per l'Europa, e pertanto la norma di riferimento è la EN 29735:1992 (ISO 9735) e successive evoluzioni, incluso ISO 9735 Amendment 1:1992 (estensione del repertorio caratteri).

3. DIRECTORY UN/EDIFACT

I messaggi da utilizzare dovranno essere conformi alle specifiche definite nelle directory UNTDID e scelti tra:

  • i messaggi allo status 2 (messaggi standard) dell'ultima directory pubblicata, altrimenti tra
  • i messaggi allo status 2 di directory precedenti all'ultima pubblicata ma non oltre la UNTDID Version S.93.A inclusa, altrimenti tra
  • i messaggi allo status 1 dell'ultima directory o di directory precedenti all'ultima pubblicata, ma non oltre la UNTDID Version D.93.A inclusa.

Qualora si renda necessario definire nuovi messaggi si fa riferimento a quanto specificato nel documento "UN/EDIFACT Message Design Guidelines"; le strutture di dati dovranno conformarsi, ove possibile, a quelle definite nelle directory UN/EDIFACT di "segmenti dati" e "data element". Tali messaggi dovranno essere sottoposti all'Autorità per una verifica e per un'eventuale, successiva, istruttoria per la standardizzazione.

4. SICUREZZA DELL'INTERSCAMBIO

4.1 SERVIZI

Per quanto attiene la sicurezza dell'interscambio dovranno essere realizzati i seguenti servizi:

  • AUTENTICAZIONE DELL'ORIGINE
  • NON RIPUDIO (INVIO E RICEZIONE)
  • INTEGRITA' DEL CONTENUTO
  • INTEGRITA' DELLA SEQUENZA DEI MESSAGGI

I suddetti servizi dovranno essere realizzati in conformità al DRAFT UN/ECE R.1026 Addendum 1-4 emesso dalle Nazioni Unite nell'aprile 1994, che rappresenta attualmente il documento di riferimento per la realizzazione della sicurezza in UN/EDIFACT.

Qualora le amministrazioni interessate ritengano necessario realizzare anche il servizio di "CONFIDENZIALITA' DEL CONTENUTO" (RISERVATEZZA), per il quale non è disponibile alla data alcuno standard UN/EDIFACT di riferimento, la sua realizzazione dovrà avvenire secondo la seguente modalità:

  • Realizzazione del servizio per la RISERVATEZZA, contestualmente agli altri servizi di sicurezza, nell'ambito dello stesso messaggio.

I dati oggetto del servizio per la riservatezza sono quelli contenuti in tutti i segmenti del messaggio (Tecnica Header - Trailer). Gli elementi di sicurezza necessari alla decrittazione dei segmenti utente sono inseriti in appositi segmenti posti all'inizio del messaggio e prima della parte crittografata.

Per particolari condizioni, e previa autorizzazione dell'Autorità, è possibile adottare la seguente modalità alternativa:

  • Realizzazione del servizio per la RISERVATEZZA mediante interscambio EDIFACT.

Il messaggio contenente i dati applicativi viene inviato crittografato e l'interscambio avviene utilizzando uno dei meccanismi di comunicazione descritti al punto 5 (Meccanismo di comunicazione). Le informazioni per la decifratura del messaggio interscambiato sono inviate, tramite messaggio AUTACK, assieme alle altre informazioni necessarie a realizzare i servizi di sicurezza indicati in precedenza.

4.2 GESTIONE DELLE CHIAVI

Per la gestione delle chiavi sarà necessario individuare i cinque distinti ruoli appresso riportati:

  • UTENTE;
  • AUTORITA' DI CERTIFICAZIONE;
  • DIRECTORY;
  • GENERATORE DELLA CHIAVE;
  • AUTORITA' DI REGISTRAZIONE.

Per quanto riguarda sia le modalità di gestione delle chiavi sia le competenze da attribuire ai singoli ruoli, saranno specificate appropriate regole tecniche da parte dell'Autorità.

Nel caso di interscambio tra un numero limitato di entità, e in attesa delle relative regole tecniche, è consentito l'uso di un meccanismo bilaterale concordato tra le parti. A tal fine, le modalità di gestione delle chiavi possono essere distinte per:

CHIAVI ASIMMETRICHE:

  • GENERAZIONE: avviene a cura di ciascuna entità;
  • DISTRIBUZIONE: ciascuna entità invia la chiave pubblica soddisfacendo i requisiti di autenticità, integrità e non ripudio dell'origine e della destinazione.

CHIAVI SIMMETRICHE:

  • GENERAZIONE: avviene a cura di una delle entità, o dalle entità in concorso, rispettando le procedure concordate e sottoscritte;
  • DISTRIBUZIONE: avviene come per le chiavi asimmetriche realizzando, in aggiunta, il soddisfacimento del requisito della confidenzialità.

Le chiavi dovranno essere rinnovate periodicamente e con un intervallo di tempo concordato tra le amministrazioni interessate rispettando i requisiti sopra esposti.

5. MECCANISMO DI COMUNICAZIONE

Il meccanismo di comunicazione che dovrà essere utilizzato per lo scambio delle evidenze informatiche dovrà essere conforme alla norma CCITT X.400 versione 88 (ISO/IEC 10021-1-7:1988) e successive evoluzioni. L'interchange EDIFACT dovrà essere trasferito con approccio P2.

Alternativamente potrà essere utilizzato il protocollo riportato nella norma CCITT X.435 (ISO/IEC 10021-8,9) conosciuto anche con la denominazione Pedi.

6. MODELLI DI ACCORDO (CONTRATTO EDI)

Per gli accordi bilaterali si dovrà fare riferimento alla RACCOMANDAZIONE della COMMISSIONE DELLA COMUNITA' EUROPEA del 19 ottobre 1994, che specifica lo schema contrattuale per la regolamentazione degli aspetti tecnici e legali dell'interscambio tra le parti.

Quando saranno disponibili altre norme che soddisfino le esigenze relative al mandato informatico l'Autorità provvederà ad emanare le relative regole tecniche.

Decreto del Presidente della Repubblica 20 aprile 1994, n. 367
Regolamento recante semplificazione e accelerazione delle procedure di spesa e contabili
(G.U. 13/6/1994, n.136, suppl.ord.)

(ESTRATTO)

Art. 2. - Documentazione

1. Gli atti dai quali deriva un impegno a carico del bilancio dello Stato e la relativa documentazione, gli elenchi, epiloghi, riassunti, note descrittive, prospetti ed altri analoghi documenti contabili comunque denominati, i titoli di spesa e, in genere, gli atti e i documenti previsti dalla legge e dal regolamento sull'amministrazione del patrimonio e sulla contabilità generale dello Stato, approvati rispettivamente con regi decreti 18 novembre 1923, n. 2440 e 23 maggio 1924, n. 827, e successive modificazioni ed integrazioni, possono essere sostituiti a tutti gli effetti, anche ai fini della resa di conti amministrativi o giudiziali, da evidenze informatiche o da analoghi strumenti di rappresentazione e di trasmissione, compresi i supporti ottici. Si applica l'articolo 2, comma 15, della legge 24 dicembre 1993, n. 537.

2. L'Autorità per l'informatica nella pubblica amministrazione di cui al decreto legislativo 12 febbraio 1993, n. 39, definisce, entro il termine previsto dall'articolo 2, comma 7, della legge 24 dicembre 1993, n. 537 per l'entrata in vigore del presente regolamento, le regole tecniche e gli standard delle procedure da utilizzare affinché, le evidenze informatiche possano essere validamente impiegate a fini probatori, amministrativi e contabili.

3. La documentazione originale rimane in custodia delle amministrazioni e degli organi emittenti secondo quanto previsto dall'articolo 653 aggiunto al regio decreto 23 maggio 1924, n. 827 con l'articolo 17 del presente regolamento.

4. Allo scopo di definire i casi, le modalità e le procedure per l'utilizzazione a regime, nei procedimenti amministrativi e contabili, delle evidenze informatiche di cui al comma 1, l'Autorità per l'informatica promuove protocolli d'intesa fra le amministrazioni dello Stato e gli altri organismi interessati.

OMISSIS

Art. 6. - Mandato informatico

1. Le amministrazioni provvedono mediante mandati informatici ai pagamenti di cui all'articolo 16 del presente regolamento.

2. I mandati informatici sono individuali e sono pagabili dalle tesorerie in essi indicate. per il trasferimento di fondi erariali agli enti locali, possono essere emessi mandati informatici collettivi da estinguere mediante quietanza di entrata di tesoreria, ovvero mediante accreditamento ai conti correnti intestati agli enti medesimi

3. Il mandato informatico e' costituito dai dati della clausola di ordinazione della di cui al comma 2 dell'articolo 4, convalidati definitivamente dalla competente ragioneria e integrati dalle informazioni relative all'ordine di pagare previsto dal precedente articolo 5.

4. Il mandato informatico non puo' avere corso se non reca la firma del dirigente responsabile della spesa, il visto della competente ragioneria e, ove previsto, quello della Corte dei conti. Si applica l'articolo 3, comma 2, del decreto legislativo 12 febbraio 1993, n. 39.

5. Le transazioni a sistema relative al mandato informatico sono effettuate dalla competente ragioneria, ferma restando la responsabilita' del dirigente competente alla spesa, con modalita' atte ad assicurare la provenienza, l'intangibilità e la sicurezza dei dati.

6. Le disposizioni del presente regolamento, relative al mandato informatico di pagamento, possono applicarsi anche alle amministrazioni disciplinate da particolari regolamenti in materia di amministrazione e contabilità.
Per le operazioni connesse all'esercizio del servizio di tesoreria si applica la legge 28 marzo 1991, n. 104.

OMISSIS

Art. 19. - Adeguamento all'evoluzione dei sistemi informatici

1. Con decreto del Ministro del tesoro, sentiti l'Autorità per l'informatica e la Banca d'Italia per quanto attiene agli adempimenti del servizio di tesoreria, possono essere emanate istruzioni per adeguare l'attuazione del presente regolamento alle esigenze derivanti dalla evoluzione dei sistemi informatici.

OMISSIS