D.P.C.M. 02/11/2005

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE Decreto 2 novembre 2005

Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata.

Capo I

PRINCIPI GENERALI

Il Ministro per l'innovazione e le tecnologie

-Visto l'art. 17 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, concernente Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'art. 27 della legge 16 gennaio 2003, n. 3;

-Visti gli articoli 8, comma 2, e 14, comma 2, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante testo unico sulla documentazione amministrativa, e successive modificazioni;

-Visto il decreto del Presidente del Consiglio dei Ministri 6 maggio 2005, concernente delega di funzioni del Presidente del Consiglio dei Ministri in materia di innovazione e tecnologie al Ministro senza portafoglio, dott. Lucio Stanca;

- Espletata la procedura di notifica alla Commissione europea, di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio del 20 luglio 1998, recepita nell'ordinamento italiano con il decreto legislativo 23 novembre 2000, n. 427;

-Sentito il Ministro per la funzione pubblica;

Decreta:

Art. 1. Definizioni

1. Ai fini del presente decreto si applicano le definizioni contenute nell'art. 1 del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, citato nelle premesse. Si intende, inoltre, per:

a) punto di accesso: il sistema che fornisce i servizi di accesso per l'invio e la lettura di messaggi di posta elettronica certificata, nonchè i servizi di identificazione ed accesso dell'utente, di verifica della presenza di virus informatici all'interno del messaggio, di emissione della ricevuta di accettazione e di imbustamento del messaggio originale nella busta di trasporto;

b) punto di ricezione: il sistema che riceve il messaggio all'interno di un dominio di posta ettronica certificata, effettua i controlli sulla provenienza e sulla correttezza del messaggio ed emette la ricevuta di presa in carico, imbusta i messaggi errati in una busta di anomalia e verifica la presenza di virus informatici all'interno dei messaggi di posta ordinaria e delle buste di trasporto;

c) punto di consegna: il sistema che compie la consegna del messaggio nella casella di posta elettronica certificata del titolare destinatario, verifica la provenienza e la correttezza del messaggio ed emette, a seconda dei casi, la ricevuta di avvenuta consegna o l'avviso di mancata consegna;

d) firma del gestore di posta elettronica certificata: la firma elettronica avanzata, basata su un sistema di chiavi asimmetriche, che consente di rendere manifesta la provenienza e di assicurare l'integrità e l'autenticità dei messaggi del sistema di posta elettronica certificata, generata attraverso una procedura informatica che garantisce la connessione univoca al gestore e la sua univoca identificazione, creata automaticamente con mezzi che garantiscano il controllo esclusivo da parte del gestore;

e) ricevuta di accettazione: la ricevuta, sottoscritta con la firma del gestore di posta elettronica certificata del mittente, contenente i dati di certificazione, rilasciata al mittente dal punto di accesso a fronte dell'invio di un messaggio di posta elettronica certificata;

f) avviso di non accettazione: l'avviso, sottoscritto con la firma del gestore di posta elettronica certificata del mittente, che viene emesso quando il gestore mittente è impossibilitato ad accettare il messaggio in ingresso, recante la motivazione per cui non è possibile accettare il messaggio e l'esplicitazione che il messaggio non potrà essere consegnato al destinatario;

g) ricevuta di presa in carico: la ricevuta, sottoscritta con la firma del gestore di posta elettronica certificata del destinatario, emessa dal punto di ricezione nei confronti del gestore di posta elettronica certificata mittente per attestare l'avvenuta presa in carico del messaggio da parte del sistema di posta elettronica certificata di destinazione, recante i dati di certificazione per consentirne l'associazione con il messaggio a cui si riferisce;

h) ricevuta di avvenuta consegna: la ricevuta, sottoscritta con la firma del gestore di posta elettronica certificata del destinatario, emessa dal punto di consegna al mittente nel momento in cui il messaggio è inserito nella casella di posta elettronica certificata del destinatario;

i) ricevuta completa di avvenuta consegna: la ricevuta nella quale sono contenuti i dati di certificazione ed il messaggio originale;

l) ricevuta breve di avvenuta consegna: la ricevuta nella quale sono contenuti i dati di certificazione ed un estratto del messaggio originale;

m) ricevuta sintetica di avvenuta consegna: la ricevuta che contiene i dati di certificazione;

n) avviso di mancata consegna: l'avviso, emesso dal sistema, per indicare l'anomalia al mittente del messaggio originale nel caso in cui il gestore di posta elettronica certificata sia impossibilitato a consegnare il messaggio nella casella di posta elettronica certificata del destinatario;

o) messaggio originale: il messaggio inviato da un utente di posta elettronica certificata prima del suo arrivo al punto di accesso e consegnato al titolare destinatario per mezzo di una busta di trasporto che lo contiene;

p) busta di trasporto: la busta creata dal punto di accesso e sottoscritta con la firma del gestore di posta elettronica certificata mittente, all'interno della quale sono inseriti il messaggio originale inviato dall'utente di posta elettronica certificata ed i relativi dati di certificazione;

q) busta di anomalia: la busta, sottoscritta con la firma del gestore di posta elettronica certificata del destinatario, nella quale è inserito un messaggio errato ovvero non di posta elettronica certificata e consegnata ad un titolare, per evidenziare al destinatario detta anomalia

r) dati di certificazione: i dati, quali ad esempio data ed ora di invio, mittente, destinatario, oggetto, identificativo del messaggio, che descrivono l'invio del messaggio originale e sono certificati dal gestore di posta elettronica certificata del mittente; tali dati sono inseriti nelle ricevute e sono trasferiti al titolare destinatario insieme al messaggio originale per mezzo di una busta di trasporto

s) gestore di posta elettronica certificata: il soggetto che gestisce uno o più domini di posta elettronica certificata con i relativi punti di accesso, di ricezione e di consegna, titolare della chiave usata per la firma delle ricevute e delle buste e che si interfaccia con altri gestori di posta elettronica certificata per l'interoperabilità con altri titolari;

t) titolare: il soggetto a cui è assegnata una casella di posta elettronica certificata; u) dominio di posta elettronica certificata: dominio di posta elettronica certificata che contiene unicamente caselle di posta elettronica certificata;

v) indice dei gestori di posta elettronica certificata: il sistema, che contiene l'elenco dei domini e dei gestori di posta elettronica certificata, con i relativi certificati corrispondenti alle chiavi usate per la firma delle ricevute, degli avvisi e delle buste, realizzato per mezzo di un server Lightweight Directory Access Protocol, di seguito denominato LDAP, posizionato in un'area raggiungibile dai vari gestori di posta elettronica certificata e che costituisce, inoltre, la struttura tecnica relativa all'elenco pubblico dei gestori di posta elettronica certificata.

z) casella di posta elettronica certificata: la casella di posta elettronica posta all'interno di un dominio di posta elettronica certificata ed alla quale è associata una funzione che rilascia ricevute di avvenuta consegna al ricevimento di messaggi di posta elettronica certificata; aa) marca temporale: un'evidenza informatica con cui si attribuisce, ad uno o più documenti informatici, un riferimento temporale opponibile ai terzi secondo quanto previsto dal decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e dal decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004, pubblicato nella Gazzetta Ufficiale n. 98 del 27 aprile 2004.

Art. 2. Obiettivi e finalità

1. Il presente decreto definisce le regole tecniche relative alle modalità di realizzazione e funzionamento della posta elettronica certificata di cui al decreto del Presidente della Repubblica n. 68 del 2005.

Art. 3. Norme tecniche di riferimento

1. Sono di seguito elencati gli standard di riferimento delle norme tecniche, le cui specifiche di dettaglio vengono riportate in allegato al presente decreto

a) RFC 1847 (Security Multiparts for MIME: Multipart/Signed and Multipart/ Encrypted)

b) RFC 1891 (SMTP Service Extension for Delivery Status Notifications)

c) RFC 1912 (Common DNS Operational and Configuration Errors)

d) RFC 2252 (Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions)

e) RFC 2315 (PKCS \ 7: Cryptographic Message Syntax Version 1.5)

f) RFC 2633 (S/MIME Version 3 Message Specification)

g) RFC 2660 (The Secure HyperText Transfer Protocol)

h) RFC 2821 (Simple Mail Transfer Protocol)

i) RFC 2822 (Internet Message Format)

l) RFC 2849 (The LDAP Data Interchange Format (LDIF) - Technical Specification)

m) RFC 3174 (US Secure Hash Algorithm 1 - SHA1)

n) RFC 3207 (SMTP Service Extension for Secure SMTP over Transport Layer Security)

o) RFC 3280 (Internet X.509 Public Key Infrastructure Certificate and Cer tificate Revocation List - CRL Profile).

Art. 4. Compatibilità operativa degli standard

1. Il Centro nazionale per l'informatica nella pubblica amministrazione, di seguito denominato CNIPA, verifica, in funzione dell'evoluzione tecnologica, la coerenza operativa degli standard così come adottati nelle specifiche tecniche, dando tempestiva informazione delle eventuali variazioni nel proprio sito istituzionale. Capo II DISPOSIZIONI PER I TITOLARI E PER I GESTORI DI POSTA ELETTRONICA CERTIFICATA

Art. 5. Comunicazione e variazione della disponibilità all'utilizzo della posta elettronica certificata

1. La dichiarazione di cui all'art. 4, comma 4, del decreto del Presidente della Repubblica n. 68 del 2005, può essere resa mediante l'utilizzo di strumenti informatici, nel qual caso la dichiarazione deve essere sottoscritta con la firma digitale di cui all'art. 1, comma 1, lettera n) del decreto del Presidente della Repubblica n. 445 del 2000.

2. La dichiarazione di cui al comma 1 è resa anche nei casi di variazione dell'indirizzo di posta elettronica certificata o di cessazione della volontà di avvalersi della posta elettronica certificata medesima.

Art. 6. Caratteristiche dei messaggi gestiti dai sistemi di posta elettronica certificata

1. I sistemi di posta elettronica certificata generano messaggi conformi allo standard internazionale S/MIME, così come descritto dallo standard RFC 2633.

2. I messaggi di cui al comma 1 si dividono in tre categorie:

a) ricevute;

b) avvisi;

c) buste.

3. La differenziazione dei messaggi, come indicato nel comma 2, è realizzata dai sistemi di posta elettronica certificata utilizzando la struttura header, prevista dallo standard S/MIME, da impostare per ogni tipologia di messaggio in conformità a quanto previsto dalle specifiche tecniche di cui all'allegato.

4. I sistemi di posta elettronica certificata in relazione alla tipologia di messaggio da gestire realizzano funzionalità distinte e specifiche.

5. L'elaborazione dei messaggi di posta elettronica certificata avviene anche nel caso in cui il mittente ed il destinatario appartengano allo stesso dominio di posta elettronica certificata.

6. Le ricevute generate dai sistemi di posta elettronica certificata sono le seguenti:

a) ricevuta di accettazione

b) ricevuta di presa in carico

c) ricevuta di avvenuta consegna completa, breve, sintetica.

7. La ricevuta di avvenuta consegna è rilasciata per ogni destinatario al quale il messaggio è consegnato.