Regolamento recante disposizioni concernenti le modalita' di funzionamento, accesso, consultazione e collegamento con il CED, di cui all'articolo 8 della legge 1° aprile 1981, n. 121

Dettagli

Categoria: Leggi, Decreti, Gazzette Ufficiali e Circolari

Creato Giovedì, 08 Gennaio 2015 02:35

Visite: 1214

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 ottobre 2014, n. 193 
Regolamento  recante  disposizioni  concernenti   le   modalita'   di
funzionamento, accesso, consultazione e collegamento con il  CED,  di
cui all'articolo 8 della legge 1° aprile 1981, n.  121,  della  Banca
dati nazionale unica della  documentazione  antimafia,  istituita  ai
sensi dell'articolo 96 del decreto legislativo 6 settembre  2011,  n.
159. (15G00001)

(GU n.4 del 7-1-2015)
 
 Vigente al: 22-1-2015  
 

Capo I

DISPOSIZIONI GENERALI

 
                            IL PRESIDENTE
                     DEL CONSIGLIO DEI MINISTRI
 
  Visto il decreto legislativo 6 settembre 2011, n. 159 e  successive
modificazioni, recante: "Codice delle leggi antimafia e delle  misure
di  prevenzione,   nonche'   nuove   disposizioni   in   materia   di
documentazione antimafia, a norma degli articoli 1 e 2 della legge 13
agosto 2010, n. 136" ed in particolare, l'articolo 99, comma  1,  del
predetto  decreto  legislativo  n.  159   del   2011,   che   rimette
all'adozione di uno o piu' regolamenti la disciplina delle  modalita'
di funzionamento e di organizzazione della Banca dati nazionale unica
della documentazione  antimafia,  anche  per  cio'  che  concerne  le
procedure di  accesso,  registrazione  e  consultazione,  nonche'  le
modalita' di collegamento ad altre banche dati;
  Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400;
  Acquisito il parere del Ministero dell'economia e delle finanze;
  Sentito il Garante per la protezione dei dati personali;
  Udito il parere del Consiglio  di  Stato,  espresso  dalla  Sezione
consultiva per gli atti normativi nell'adunanza del 6 marzo 2014;
  Sulla proposta del Ministro dell'interno di concerto con i Ministri
per  la   semplificazione  e  la  pubblica   amministrazione,   della
giustizia, dello  sviluppo  economico,  delle  infrastrutture  e  dei
trasporti;
 
                               Adotta
 
 
                      il seguente regolamento:
 
                               Art. 1
 
 
                               Oggetto
 
  1. Il presente regolamento disciplina le modalita' di funzionamento
della Banca dati nazionale unica della documentazione  antimafia,  di
cui al Libro II, Capo V del decreto legislativo 6 settembre 2011,  n.
159, ai fini del rilascio della documentazione antimafia.
  2.  A  tal  fine   esso   individua   inoltre   le   modalita'   di
autenticazione, autorizzazione e di  registrazione  degli  accessi  e
delle  operazioni,  effettuate  sulla   predetta   Banca   dati,   di
consultazione  e  accesso  da   parte   dei   soggetti   individuati,
rispettivamente, dagli articoli 97, comma 1, e 99, comma  1,  lettere
c) e d), del citato decreto legislativo n. 159 del 2011.
  3. Il presente regolamento stabilisce, altresi',  le  modalita'  di
collegamento della Banca dati nazionale  unica  della  documentazione
antimafia con il Centro elaborazione dati di cui all'articolo 8 della
legge 1° aprile 1981, n. 121, nonche' con altre banche dati  detenute
da soggetti pubblici contenenti dati necessari per il rilascio  della
documentazione antimafia.

                               Art. 2
 
 
                             Definizioni
 
  1. Ai fini del presente regolamento, si intende per:
    a) "Banca dati nazionale", la Banca dati  nazionale  unica  della
documentazione antimafia;
    b) "Camera di commercio",  la  Camera  di  commercio,  industria,
artigianato e agricoltura;
    c) "CED", il Centro elaborazione dati di cui all'articolo 8 della
legge 1° aprile 1981, n. 121;
    d) "Codice antimafia", il decreto legislativo 6  settembre  2011,
n. 159;
    e) "DIA", la  Direzione  Investigativa  antimafia,  istituita  ai
sensi dell'articolo 108 del Codice antimafia;
    f) "DNA", la Direzione Nazionale Antimafia,  istituita  ai  sensi
dell'articolo 103 del Codice antimafia;
    g)    "Dipartimento    per    le    politiche    del    personale
dell'Amministrazione civile", il Dipartimento per  le  politiche  del
personale dell'amministrazione civile, per le risorse  strumentali  e
finanziarie del Ministero dell'interno;
    h) "Prefettura-UTG", la Prefettura  -  Ufficio  Territoriale  del
Governo;
    i)  "Prefettura-UTG  competente",   la   Prefettura   -   Ufficio
Territoriale del Governo competente territorialmente per il luogo  di
residenza o  di  sede  legale  della  persona  fisica,  dell'impresa,
dell'associazione o di altro soggetto  giuridico  nei  cui  confronti
viene richiesto il rilascio della documentazione antimafia;
    l)  "Prefettura-UTG   designata",   la   Prefettura   -   Ufficio
Territoriale del Governo che, in base a disposizioni di legge o altri
provvedimenti attuativi  di  esse  e'  designata  al  rilascio  della
documentazione antimafia, in deroga alle  disposizioni  di  cui  agli
articoli 87, commi 1 e 2, e 90, commi 1 e 2, del Codice antimafia;
    m) "DIS", il Dipartimento delle informazioni per la sicurezza;
    n) "AISE", l'Agenzia informazioni e sicurezza esterna;
    o) "AISI", l'Agenzia informazioni e sicurezza interna.
  2. Ai fini del presente regolamento, si intende, inoltre, per:
    a)  "accesso",  l'operazione  di  trattamento   elettronico   che
consente di acquisire conoscenza dei dati conservati nella Banca dati
nazionale o in altre banche dati e di  estrarne  copia  su  qualunque
tipo di supporto;
    b) "consultazione", l'operazione di trattamento  elettronico  che
consente ai soggetti di cui all'articolo 83, commi 1 e 2, del  Codice
antimafia, attraverso il collegamento alla Banca dati  nazionale,  di
richiedere  e,  se  del  caso,  ottenere  il  rilascio  immediato  ed
automatico della documentazione antimafia,  senza  avere  visibilita'
del dettaglio dei dati in essa contenuti;
    c) "immissione",  l'operazione  di  trattamento  elettronico  che
consente l'inserimento di dati nella Banca  dati  nazionale,  per  le
finalita' per cui essa e' istituita, nel  rispetto  dei  principi  di
esattezza, pertinenza, completezza  e  non  eccedenza  stabiliti  dal
decreto legislativo 30 giugno 2003, n. 196;
    d) "aggiornamento", l'operazione di trattamento  elettronico  che
consente di modificare o di cancellare, con modalita' sicure, i  dati
gia' contenuti nella Banca dati nazionale, nel rispetto dei  principi
di esattezza, pertinenza, completezza e non eccedenza  stabiliti  dal
decreto legislativo 30 giugno 2003, n. 196;
    e) "interrogazione", l'operazione di collegamento telematico  con
la  Banca  dati  nazionale  al  fine  di  effettuare  l'accesso,   la
consultazione, l'immissione e l'aggiornamento, o  l'accesso  ai  dati
conservati nella medesima Banca dati;
    f) "impresa", la persona fisica in quanto eserciti  attivita'  di
impresa, l'impresa individuale o  organizzata  in  forma  societaria,
l'associazione o altro soggetto giuridico nei cui confronti e'  stata
richiesta o rilasciata la documentazione antimafia;
    g) "operatore", la persona fisica  alle  dipendenze  di  uno  dei
soggetti  di  cui  all'articolo  97  del  Codice  antimafia,   ovvero
appartenente all'Amministrazione civile dell'interno, alle  Forze  di
polizia, alla DNA ed alla DIA nei cui confronti sono state rilasciate
le credenziali  di  autenticazione  che  consentono  l'accesso  o  la
consultazione della Banca dati nazionale.
  3. Ai fini del presente regolamento si intendono, altresi', per:
    a) "autenticazione", l'insieme degli strumenti elettronici  delle
procedure per la verifica dell'identita' dell'operatore;
    b) "autenticazione forte", metodo di autenticazione che  si  basa
sull'utilizzo congiunto di due metodi di autenticazione individuale;
    c) "casella di posta elettronica  corporate",  casella  di  posta
elettronica       istituzionale       rilasciata        all'operatore
dall'amministrazione o ente di appartenenza;
    d) "censita", l'impresa nei cui confronti risulta,  agli  archivi
informativi della Banca dati nazionale, essere stata gia'  rilasciata
la documentazione antimafia, liberatoria  o  interdittiva,  ancorche'
non piu' in corso di validita';
    e) "client", postazione  di  lavoro  informatica  che  accede  ai
servizi o alle risorse di un'altra componente servente;
    f) "credenziali di autenticazione", i dati  e  i  dispositivi  in
possesso dell'operatore, da questi conosciuti e ad esso  univocamente
correlati, necessari per l'autenticazione;
    g) "identita' federata", meccanismo per lo  scambio  di  dati  di
autenticazione e autorizzazione tra domini di sicurezza distinti,  in
modo che gli operatori possano eseguire l'autenticazione  sui  propri
sistemi ottenendo cosi' l'accesso alle  applicazioni  e  servizi  che
appartengono ad un'altra organizzazione;
    h) "login", la procedura di autenticazione per l'effettuazione di
operazioni di trattamento all'interno della Banca dati nazionale;
    i) "OTP", la one time password, cioe' password  valida  solo  per
una singola  sessione  di  trattamento  dei  dati  della  Banca  dati
nazionale utilizzata dagli operatori cui  sono  state  rilasciate  le
credenziali di autenticazione;
    l) "password", sequenza di caratteri alfanumerici utilizzata  per
accedere in modo esclusivo a una risorsa informatica;
    m) "pin", Personal Identification  Number,  codice  numerico  che
consente l'uso  di  dispositivi  elettronici  solo  a  chi  ne  e'  a
conoscenza;
    n) "profilo  di  autorizzazione",  l'insieme  delle  informazioni
univocamente associate ad un operatore che consente di individuare  a
quali dati della Banca  dati  nazionale  l'operatore  puo'  accedere,
nonche' i trattamenti a questo consentiti;
    o) "SDI", il "Sistema di Indagine" informativo gestito dal CED;
    p) "sistema di autorizzazione", l'insieme degli strumenti e delle
procedure che abilitano il trattamento  dei  dati  della  Banca  dati
nazionale in funzione  del  profilo  di  autorizzazione  riconosciuto
all'operatore  a  seconda  della  categoria  di  soggetti  cui   esso
appartiene o da cui dipende;
    q) "URL", l'Uniform Resource Locator, sequenza di  caratteri  che
identifica univocamente l'indirizzo della rete internet  della  Banca
dati nazionale;
    r) "username", nome con il quale l'utente viene  riconosciuto  da
un computer o da un programma informatico;
    s) "VPN", Virtual  Private  Network,  rete  di  telecomunicazione
privata virtuale utilizzata dai soggetti legittimati  per  collegarsi
alla Banca dati nazionale;
    t)  "web  service",  sistema  software  basato  su  tecnologie  e
protocolli internet che permette l'integrazione e l'interoperabilita'
tra diversi sistemi e applicazioni appartenenti alla stessa rete.

Capo II

DATI CONTENUTI NELLA BANCA DATI NAZIONALE E FINALITA' DEL LORO
TRATTAMENTO

                               Art. 3
 
 
                      Finalita' dei trattamenti
 
  1. I dati contenuti nella Banca dati  nazionale  sono  trattati  ai
fini del rilascio della documentazione antimafia.
  2. I dati di cui al comma 1 possono  essere  trattati,  nell'ambito
delle rispettive attribuzioni, anche per  finalita'  di  applicazione
della normativa antimafia ovvero per scopi statistici, da:
    a) la DIA, nonche' la Direzione centrale della polizia  criminale
e la Direzione  centrale  anticrimine  della  Polizia  di  Stato  del
Dipartimento della pubblica sicurezza del Ministero dell'interno;
    b) le Prefetture;
    c) gli uffici e i comandi delle Forze di polizia;
    d) la struttura tecnica del Comitato di coordinamento per  l'alta
sorveglianza delle grandi opere, istituito ai sensi dell'articolo 180
del decreto legislativo 12 aprile 2006, n. 163.
  3. La DNA tratta i dati contenuti nella Banca dati nazionale per le
finalita' di cui all'articolo 371-bis del codice di procedura penale.
  4. Al fine di verificare la correttezza dei trattamenti effettuati,
la   Banca   dati   nazionale   conserva   la   registrazione   delle
interrogazioni eseguite, garantendo l'identificazione  dell'operatore
che le ha compiute.

                               Art. 4
 
 
                Contenuto della Banca dati nazionale
 
  1. La Banca dati nazionale contiene i seguenti dati riguardanti  le
informazioni   e   le   comunicazioni   antimafia,   liberatorie    e
interdittive, rilasciate:
    a) il numero di codice fiscale  e  di  partita  IVA,  la  ragione
sociale e la sede legale di  ciascuna  impresa  interessata.  Qualora
siano intervenute modificazioni  della  partita  IVA,  della  ragione
sociale e della sede legale, i relativi dati devono essere aggiornati
dal personale di cui all'articolo 15, comma 1, lettera a), numeri 1 e
2;
    b)  la  data  di  rilascio  di   ciascun   provvedimento   e   la
Prefettura-UTG competente o designata che lo ha rilasciato;
    c)  l'indicazione  della   tipologia   e   della   natura   della
documentazione antimafia rilasciata;
    d) per le informazioni antimafia interdittive,  l'indicazione  se
il provvedimento e' stato adottato  ai  sensi  dell'articolo  67  del
Codice antimafia ovvero a seguito dell'accertamento di  tentativi  di
infiltrazione mafiosa ai sensi degli articoli  84,  comma  4,  e  91,
comma 6, del Codice antimafia. In  quest'ultimo  caso,  l'indicazione
specifica se l'informazione antimafia interdittiva e' stata  adottata
esclusivamente  a  seguito  dell'accertamento  dell'esistenza   delle
situazioni di cui al predetto articolo 84, comma 4, lettere a), b)  e
c) ovvero di precedente provvedimento di diniego di iscrizione  o  di
cancellazione dall'elenco dei fornitori,  prestatori  di  servizi  ed
esecutori di lavori non soggetti a tentativo di infiltrazione mafiosa
di cui all'articolo 1, comma 52, della legge 6 novembre 2012, n.  190
che abbia comportato informazione antimafia interdittiva.
  2. Ai fini del presente  regolamento,  si  considerano  equivalenti
alle informazioni antimafia interdittive i provvedimenti  di  diniego
di  iscrizione  e  di  cancellazione  dagli  elenchi  di   fornitori,
prestatori di servizi ed esecutori di lavori non soggetti a tentativi
di infiltrazione mafiosa, istituiti presso  le  Prefetture  ai  sensi
delle disposizioni vigenti.
  3. La Banca dati nazionale contiene, oltre ai dati di cui al  comma
1, anche i seguenti:
    a) l'indicazione della sussistenza di  comunicazioni  emesse  nei
confronti  dell'impresa  ai   sensi   dell'articolo   1-septies   del
decreto-legge   6   settembre   1982,   n.   629,   convertito,   con
modificazioni, dalla legge 12 ottobre 1982, n. 726;
    b) l'indicazione della sussistenza di  comunicazioni  indirizzate
dall'Autorita' giudiziaria alle Prefetture concernenti le  situazioni
di cui all'articolo 84, comma 4, lettera c), del Codice antimafia;
    c) l'indicazione della sussistenza di violazioni  degli  obblighi
di tracciabilita' dei flussi finanziari di cui all'articolo  3  della
legge 13 agosto 2010,  n.  136,  commesse  con  la  condizione  della
reiterazione prevista dall'articolo 8-bis  della  legge  24  novembre
1981, n. 689;
    d) l'indicazione della sussistenza di violazioni, accertate dalle
Prefetture,   del   divieto   di   intestazione   fiduciaria    posto
dall'articolo 17 della legge 19 marzo 1990, n. 55;
    e) l'indicazione  degli  accertamenti  in  corso  disposti  dalle
Prefetture ai sensi dell'articolo 84, comma  4,  lettere  d)  ed  e),
ovvero dell'articolo 91, comma 6, del Codice antimafia.
  4. La Banca dati nazionale conserva il registro  informatico  delle
date degli  accertamenti  disposti  dai  Prefetti  nei  confronti  di
ciascuna impresa censita ai sensi degli articoli 84, comma 4, lettere
d), e) ed f), e 93 del Codice antimafia, ancorche' i  relativi  esiti
non abbiano evidenziato l'esistenza delle cause di divieto, decadenza
e sospensione  di  cui  all'articolo  67  del  Codice  antimafia,  di
tentativi di infiltrazione mafiosa di cui agli articoli 84, comma  4,
e 91, comma 6, del Codice antimafia, nonche'  delle  comunicazioni  e
delle altre situazioni di cui al comma 3.
  5. I  dati  presenti  negli  archivi  magnetici  della  Banca  dati
nazionale sono soggetti a cifratura.

                               Art. 5
 
 
                  Periodo di conservazione dei dati
                contenuti nella Banca dati nazionale
 
  1. I periodi di tempo di conservazione dei dati di cui all'articolo
4, sono stabiliti come segue:
    a) per i dati relativi alla documentazione antimafia liberatoria,
cinque  anni.  Qualora  nei  confronti  dell'impresa  non  sia  stato
richiesto, negli ultimi cinque anni, il rilascio della documentazione
antimafia, sono conservati nella Banca dati nazionale i dati relativi
al piu' recente rilascio della comunicazione  antimafia  liberatoria,
nonche' dell'informazione antimafia liberatoria;
    b)  per   i   dati   relativi   alla   documentazione   antimafia
interdittiva, quindici anni;
    c) per i casi indicati all'articolo 4, comma 3, cinque anni;
    d) per l'indicazione dell'esistenza  di  accertamenti  ancora  in
corso  nel  momento  in  cui  viene  richiesto  il   rilascio   della
documentazione antimafia, fino alla data di  adozione  da  parte  del
Prefetto del provvedimento conseguente all'esito conclusivo  di  tali
accertamenti;
    e) per le registrazioni dei trattamenti eseguiti dagli operatori,
dieci anni.
  2. Decorso il relativo periodo di conservazione, i dati di  cui  al
comma 1 sono cancellati con  modalita'  sicure  dalla  Prefettura-UTG
competente.  Per  i  dati  di  cui  al  comma  1,  lettera   c),   la
cancellazione e' effettuata dalla Prefettura-UTG  competente,  previa
verifica che le circostanze o situazioni cui essi si riferiscono  non
sono piu' attuali.

                               Art. 6
 
 
                 Dati contenuti in altre banche dati
 
  1. La Banca dati nazionale, attraverso  l'attivazione  di  appositi
collegamenti telematici,  si  connette,  nei  termini  stabiliti  dal
presente regolamento, alle seguenti banche dati:
    a) il CED,  limitatamente  ai  dati  necessari  all'accertamento,
secondo le modalita' stabilite dagli articoli 24 e 25, nei  confronti
dell'impresa dei  requisiti  per  il  rilascio  della  documentazione
antimafia prescritti dagli articoli 67, 84, comma 4, e 91, commi 5  e
6, del Codice antimafia;
    b) il sistema informatico  costituito  presso  la  DIA  ai  sensi
dell'articolo 5, comma 4, del decreto del  Ministro  dell'interno  14
marzo 2003, pubblicato nella Gazzetta Ufficiale del 5 marzo 2004,  n.
54, relativamente ai dati acquisiti nel corso degli accessi  e  degli
accertamenti nei cantieri delle imprese interessate all'esecuzione di
lavori pubblici, disposti dal Prefetto ai sensi dell'articolo 93  del
Codice antimafia.
  2. Per le finalita' di cui all'articolo 3, comma 1,  sono  attivati
collegamenti telematici tra la Banca  dati  nazionale  e  i  seguenti
altri sistemi informativi:
    a) l'osservatorio  dei  contratti  pubblici  relativi  a  lavori,
servizi e forniture, di cui all'articolo 7 del decreto legislativo 12
aprile 2006, n. 163, anche ai fini dell'accesso  ai  dati  conservati
nel casellario informatico istituito presso lo stesso osservatorio ai
sensi del medesimo articolo  7,  comma  10,  nonche'  la  banca  dati
nazionale dei contratti  pubblici  di  cui  all'articolo  62-bis  del
decreto legislativo 7 marzo 2005, n. 82;
    b) i sistemi informativi delle Camere di Commercio, per l'accesso
ai dati, anche di natura storica, sottoposti a regime di pubblicita',
relativi alle imprese.
  3. Per le finalita'  di  cui  all'articolo  3,  comma  1,  possono,
altresi', essere attivati collegamenti telematici tra la  Banca  dati
nazionale e i seguenti sistemi informativi:
    a) i  sistemi  informativi  del  Ministero  della  giustizia  che
gestiscono i servizi certificativi di cui al Titolo VII  del  decreto
del Presidente della Repubblica 14 novembre 2002, n. 313;
    b)  l'Anagrafe  nazionale  della  popolazione  residente  di  cui
all'articolo  62  del  decreto  legislativo  7  marzo  2005,  n.  82,
limitatamente al riscontro e all'accertamento delle  generalita'  dei
familiari conviventi,  residenti  nel  territorio  dello  Stato,  dei
soggetti di cui all'articolo 85 del  Codice  antimafia  ai  fini  del
rilascio dell'informazione antimafia.

Capo III

ORGANIZZAZIONE E STRUTTURA DELLA BANCA DATI NAZIONALE

                               Art. 7
 
 
             Titolare del trattamento dei dati contenuti
                     nella Banca dati nazionale
 
  1. La Banca dati nazionale e' istituita presso il Dipartimento  per
le  politiche  del  personale  dell'Amministrazione  civile  che   ne
garantisce la gestione tecnica e informatica, ivi compreso il profilo
della sicurezza; a tal fine il predetto Dipartimento e'  il  titolare
del  trattamento  dei  dati,  secondo  quanto  previsto  dal  decreto
legislativo 30 giugno 2003, n. 196.

                               Art. 8
 
 
                Organizzazione per la gestione della
               Banca dati nazionale e Sezione centrale
 
  1.   Il   Dipartimento   per    le    politiche    del    personale
dell'Amministrazione  civile   assicura   la   gestione   tecnica   e
informatica della Banca dati nazionale attraverso la sezione centrale
e le sezioni provinciali.
  2. La  sezione  centrale  e'  istituita,  senza  configurare  nuove
posizioni dirigenziali, presso il Dipartimento per le  politiche  del
personale dell'Amministrazione civile,  nell'ambito  dell'ufficio  di
livello dirigenziale non generale individuato, con provvedimento  del
Capo dello stesso Dipartimento,  tra  quelli  gia'  esistenti,  ferme
restando le riduzioni previste  dall'articolo  2,  comma  2,  secondo
periodo, del decreto-legge 6 luglio  2012,  n.  95,  convertito,  con
modificazioni, dalla legge 7 agosto 2012, n. 135.
  3. La sezione centrale:
    a) garantisce la gestione tecnica ed informatica della Banca dati
nazionale; a tal fine puo' richiedere  alle  sezioni  provinciali  lo
svolgimento di attivita' tecniche sulle postazioni  di  lavoro  quali
terminali attivati presso le  Prefetture,  nonche'  di  attivita'  di
formazione a favore dei soggetti autorizzati, a  norma  del  presente
regolamento, ad eseguire operazioni di  trattamento  elettronico  dei
dati conservati nella Banca dati nazionale;
    b) rilascia le credenziali di autenticazione  nei  casi  previsti
dagli articoli 19 e 20, nonche' nei confronti del proprio personale e
di quello delle sezioni provinciali;
    c) dispone la disattivazione delle credenziali di  autenticazione
da essa rilasciate nei casi previsti dall'articolo 22;
    d) assicura la continuita' operativa della Banca dati nazionale -
ferme restando in ogni caso le caratteristiche e  il  rilascio  delle
credenziali di autenticazione, di cui agli articoli da 18 a 22  -  in
conformita' alle previsioni recate dall'articolo 50-bis  del  decreto
legislativo 7 marzo 2005, n. 82.
  4. Il dirigente dell'ufficio nell'ambito del quale e' istituita  la
sezione centrale  e',  limitatamente  allo  svolgimento  dei  compiti
indicati dal comma 3, responsabile del trattamento dei  dati  secondo
quanto previsto dal decreto legislativo 30 giugno 2003, n. 196.

                               Art. 9
 
 
           Sezioni provinciali della Banca dati nazionale
 
  1. Per lo svolgimento dei suoi  compiti,  la  sezione  centrale  si
avvale  di  sezioni  provinciali,   istituite,   sulla   base   delle
disposizioni  impartite  dal  Dipartimento  per  le   politiche   del
personale dell'Amministrazione civile,  presso  ogni  Prefettura-UTG,
senza configurare nuove posizioni dirigenziali e, in ogni  caso,  tra
le strutture gia' esistenti.
  2. Le sezioni provinciali:
    a) svolgono le attivita' tecniche e di formazione richieste dalla
sezione centrale;
    b) rilasciano, su delega della sezione centrale,  le  credenziali
di autenticazione nei casi previsti dagli articoli 19 e 20;
    c) svolgono l'attivita' di verifica sul corretto  utilizzo  delle
credenziali  di  autenticazione  da  parte   degli   operatori   alle
dipendenze  dei  concessionari  di  opere  pubbliche,   nonche'   dei
contraenti generali;
    d)   dispongono   la   disattivazione   delle   credenziali    di
autenticazione da esse rilasciate nei casi  previsti  dagli  articoli
20, comma 7, e 22.

                               Art. 10
 
 
                  Struttura del sistema informativo
                     della Banca dati nazionale
 
  1. La Banca dati nazionale e' composta dai seguenti archivi:
    a) l'archivio della documentazione antimafia, contenente  i  dati
di cui all'articolo 4, commi 1, 2 e 3, lettere a), b), c) e d);
    b) l'archivio  degli  accertamenti,  contenente  i  dati  di  cui
all'articolo 4, commi 3, lettera e) e 4.
  2. Presso le prefetture e gli altri soggetti di cui  agli  articoli
15 e 17  sono  attivate  postazioni  di  lavoro  quali  terminali  di
collegamento alla Banca dati nazionale.
  3.  Tutte  le  operazioni  di  trattamento  elettronico  dei   dati
contenuti nella  Banca  dati  nazionale  sono  effettuate  unicamente
attraverso i predetti collegamenti.

                               Art. 11
 
 
           Collegamenti della Banca dati nazionale al CED
 
  1. Il collegamento telematico con il CED, per le finalita'  di  cui
all'articolo  96,  comma  2,  del  Codice  antimafia,  e'  realizzato
attraverso l'utilizzo di appositi web services resi  disponibili  dal
CED.

                               Art. 12
 
 
               Collegamenti della Banca dati nazionale
                    con altri sistemi informativi
 
  1. Il collegamento della Banca dati nazionale al sistema costituito
presso la DIA ai sensi dell'articolo 5,  comma  4,  del  decreto  del
Ministro  dell'interno  14  marzo  2003,  pubblicato  nella  Gazzetta
Ufficiale del 5 marzo 2004, n. 54, e'  realizzato  con  le  modalita'
stabilite  nell'Allegato  1  che  costituisce  parte  integrante  del
presente regolamento.
  2.  I  collegamenti  della  Banca  dati  nazionale  con  i  sistemi
informativi di cui all'articolo 6, commi  2  e  3,  sono  realizzati,
previa  stipula  di  un'apposita  convenzione  non  onerosa,  con  il
soggetto pubblico presso cui sono istituiti. La convenzione, adottata
in conformita' al parere del  Garante  per  la  protezione  dei  dati
personali,  anche  su  schema-tipo,  definisce  anche  le  misure  di
sicurezza da osservarsi per la realizzazione  e  il  mantenimento  in
esercizio di tali collegamenti in coerenza con quanto stabilito dagli
articoli da 31 a 36 e dall'Allegato  B  del  decreto  legislativo  30
giugno 2003, n. 196.

                               Art. 13
 
Collegamenti con i soggetti  legittimati  a  svolgere  operazioni  di
  accesso, immissione e aggiornamento, nonche' di consultazione
 
  1. Al fine di effettuare operazioni di consultazione dei dati della
Banca dati nazionale, i soggetti di cui  all'articolo  17  richiedono
l'attivazione del collegamento alla Banca dati nazionale:
    a) alla sezione centrale, se i soggetti richiedenti  sono  uffici
centrali delle pubbliche amministrazioni;
    b) alla sezione provinciale della Prefettura-UTG  competente  per
territorio, per tutti gli altri soggetti di cui al citato articolo 97
del Codice antimafia.
  2. La sezione centrale  e  le  sezioni  provinciali  provvedono  ad
attivare il collegamento  di  cui  al  comma  1  con  la  Banca  dati
nazionale secondo le procedure e le modalita' tecniche  di  cui  agli
Allegati 2 e 3.
  3. Al fine di effettuare operazioni di accesso ovvero di immissione
e aggiornamento di  dati  della  Banca  dati  nazionale,  i  soggetti
indicati  dagli  articoli  15  e  16  richiedono  l'attivazione   del
collegamento alla stessa Banca dati nazionale:
    a) alla sezione centrale, se  i  soggetti  richiedenti  sono  gli
uffici del Dipartimento della Pubblica Sicurezza, le Prefetture,  gli
uffici dei Comandi generali, o equiparati, delle  Forze  di  polizia,
nonche' la DNA;
    b) alle sezioni provinciali negli altri casi.


Sezione I

Soggetti legittimati all'accesso,
consultazione, immissione e aggiornamento

                               Art. 14
 
 
              Interrogazioni della Banca dati nazionale
 
  1. Le interrogazioni della  Banca  dati  nazionale  possono  essere
effettuate per finalita'  di  accesso,  di  consultazione  ovvero  di
immissione e  aggiornamento  dei  dati  contenuti  nella  Banca  dati
stessa; a ciascuna delle predette finalita' corrisponde uno specifico
profilo di autorizzazione.
  2. Le interrogazioni sono effettuate dai soggetti individuati dagli
articoli 15,16 e 17, ai quali siano state preventivamente  rilasciate
le necessarie credenziali di autenticazione.

                               Art. 15
 
 
                  Soggetti legittimati all'accesso
                      alla Banca dati nazionale
 
  1. I soggetti che possono accedere ai dati conservati  nella  Banca
dati nazionale sono:
    a)   i   seguenti   appartenenti    all'Amministrazione    civile
dell'interno:
      1) prefetti e viceprefetti vicari delle Prefetture;
      2) personale, anche delle carriere  non  dirigenziali,  addetto
agli  uffici  delle   Prefetture   competenti   al   rilascio   della
documentazione antimafia, autorizzato dal prefetto o, su sua  delega,
dal viceprefetto vicario;
      3) gli amministratori della Banca dati nazionale e il personale
addetto  alla   sezione   centrale   e   alle   sezioni   provinciali
esclusivamente per l'esecuzione di attivita' relative  alla  gestione
tecnologica, di sicurezza, tenuta e conservazione dei dati;
      4) personale, anche delle carriere  non  dirigenziali,  addetto
alla DIA, nonche' alla Direzione centrale della polizia  criminale  e
alla Direzione  centrale  anticrimine  della  Polizia  di  Stato  del
Dipartimento della Pubblica Sicurezza;
      5) personale, anche delle carriere non dirigenziali, che svolge
attivita' di supporto tecnico al Comitato di coordinamento per l'alta
sorveglianza   delle   grandi   opere,   autorizzato   dal   prefetto
coordinatore dello stesso Comitato;
    b) i seguenti appartenenti alla Polizia di  Stato,  all'Arma  dei
Carabinieri, alla Guardia di Finanza, al Corpo Forestale dello Stato,
al Corpo della Polizia Penitenziaria, alla DIA:
      1) i funzionari preposti alla direzione degli uffici centrali e
provinciali di pubblica  sicurezza;  i  funzionari  e  gli  ufficiali
preposti ai comandi che svolgono servizio di istituto  dell'Arma  dei
Carabinieri, della Guardia di  Finanza,  del  Corpo  Forestale  dello
Stato, il Direttore, il Capo del I Reparto  e  i  responsabili  delle
articolazioni periferiche della DIA;
      2) i funzionari appartenenti ai ruoli della  Polizia  di  Stato
preposti alla direzione degli uffici periferici di  cui  all'articolo
2, comma 1, lettera a),  n.  5,  del  decreto  del  Presidente  della
Repubblica 22 marzo 2001, n. 208;
      3)  il  personale  della  Polizia  di  Stato,   dell'Arma   dei
Carabinieri, della Guardia di  Finanza,  del  Corpo  Forestale  dello
Stato e della DIA che riveste la qualifica di  ufficiale  di  polizia
giudiziaria ovvero di ufficiale di  pubblica  sicurezza,  autorizzato
dai capi dei rispettivi uffici e comandi;
      4) il personale della DIA in  forza  all'Osservatorio  centrale
sugli appalti pubblici, autorizzato dal Capo del I Reparto della DIA;
    c) i magistrati applicati alla DNA, nonche' il  personale,  anche
del Ministero della giustizia, che presta servizio presso  la  stessa
DNA autorizzato dal Procuratore nazionale antimafia.
  2. L'accesso da parte del personale delle Forze di polizia, di  cui
al comma 1, lettera b), attraverso il collegamento telematico con  il
CED, e' consentito esclusivamente dalle postazioni  di  lavoro  delle
Forze di polizia, con tecniche  di  identita'  federata,  secondo  le
modalita' stabilite dall'Allegato 4 che costituisce parte  integrante
del presente regolamento.
  3. Resta fermo quanto stabilito dall'articolo 13,  comma  2,  della
legge 3 agosto 2007, n. 124 e dal relativo regolamento di  attuazione
concernente l'accesso del DIS, dell'AISE  e  dell'AISI  agli  archivi
magnetici delle pubbliche amministrazioni.

                               Art. 16
 
 
Soggetti  legittimati  all'immisione  e  all'aggiornamento  dei  dati
                contenuti nella Banca dati nazionale
 
  1. L'immissione di dati nella  Banca  dati  nazionale  ed  il  loro
aggiornamento  e'  eseguito  esclusivamente  dai  soggetti   di   cui
all'articolo  15,  comma  1,  lettera  a),  n.   2,   preventivamente
autorizzati dal prefetto o, su sua delega, dal viceprefetto vicario.
  2. Al predetto personale possono essere rilasciate  credenziali  di
autenticazione che consentono sia l'immissione e l'aggiornamento, sia
l'accesso alla Banca dati nazionale.  In  ogni  caso  le  credenziali
devono consentire la registrazione delle singole operazioni  eseguite
secondo le modalita' stabilite dal presente regolamento.

                               Art. 17
 
 
               Soggetti legittimati alla consultazione
                     della Banca dati nazionale
 
  1. I soggetti che possono consultare la Banca  dati  nazionale  per
ottenere il rilascio della documentazione antimafia nei casi previsti
dagli articoli 83, commi 1 e 2,  e  91,  commi  1  e  7,  del  Codice
antimafia, sono:
    a) i  dipendenti  delle  pubbliche  amministrazioni,  degli  enti
pubblici, anche costituiti in stazioni uniche appaltanti, individuati
dai capi degli  uffici  competenti  alla  stipula,  all'approvazione,
all'autorizzazione  di  contratti   e   subcontratti,   ovvero   alla
concessione o al rilascio delle erogazioni e dei provvedimenti di cui
all'articolo 67 del Codice antimafia;
    b) i dipendenti degli enti e delle aziende vigilati dallo Stato o
da  altro  ente  pubblico  e  delle  societa'  o   imprese   comunque
controllate dallo Stato o da altro  ente  pubblico,  individuati  dal
legale rappresentante delle imprese o societa';
    c) i dipendenti  dei  concessionari  di  opere  pubbliche  e  dei
contraenti generali di cui all'articolo 176 del  decreto  legislativo
12  aprile  2006,  n.  163,   individuati   dai   rispettivi   legali
rappresentanti;
    d) i  dipendenti  delle  camere  di  commercio,  individuati  dai
rispettivi presidenti;
    e) i  dipendenti  degli  ordini  professionali,  individuati  dai
rispettivi presidenti.

Sezione II

Caratteristiche e rilascio
delle credenziali di autenticazione

                               Art. 18
 
 
         Caratteristiche delle credenziali di autenticazione
 
  1. Per l'effettuazione di operazioni di accesso,  di  immissione  e
aggiornamento, e di consultazione dei  dati  i  soggetti  legittimati
devono preventivamente munirsi delle credenziali di autenticazione  e
del certificato abilitante l'attivazione del  collegamento  alla  VPN
per connettersi in sicurezza alla Banca  dati  nazionale  secondo  le
modalita' previste dall'Allegato 2 che costituisce  parte  integrante
del presente regolamento.
  2. Le credenziali di autenticazione e i certificati  abilitanti  di
cui al comma 1 consistono di  certificati  digitali  protetti  da  un
meccanismo di autenticazione forte.
  3. Le credenziali di autenticazione sono assegnate  individualmente
all'operatore; ad esse e'  associato  il  profilo  di  autorizzazione
della categoria di soggetti legittimati, indicati nella sezione I del
presente Capo, cui l'operatore appartiene.
  4. Le credenziali di autenticazione non possono  essere  utilizzate
per l'esecuzione di operazioni diverse da quelle previste dal profilo
di autorizzazione per cui sono rilasciate.
  5. Le credenziali di autenticazione rilasciate al  personale  della
sezione  centrale  e  delle  sezioni   provinciali   possono   essere
utilizzate solo per le attivita' indicate all'articolo 15,  comma  1,
lettera a), n. 3.
  6. Per i soggetti di cui all'articolo 15, comma 1, lettera  b),  le
credenziali di autenticazione sono costituite dagli  appositi  codici
identificativi personali rilasciati, per l'accesso al CED, secondo le
modalita' stabilite dall'Allegato 4.

                               Art. 19
 
Assegnazione delle credenziali di  autenticazione  per  finalita'  di
  accesso o di immissione e aggiornamento dei dati
 
  1. Ai fini dell'assegnazione delle  credenziali  di  autenticazione
per finalita' di accesso o di immissione e aggiornamento dei dati, il
prefetto, o su sua delega il viceprefetto vicario  e  il  Procuratore
nazionale antimafia, comunicano, per  via  telematica,  alla  sezione
centrale gli elenchi dei propri dipendenti autorizzati  a  collegarsi
alla Banca dati nazionale per effettuare le  predette  operazioni  di
trattamento. Per ciascun operatore devono essere riportati i seguenti
dati:
    a) nome e cognome;
    b) data e luogo di nascita;
    c) luogo di residenza;
    d) codice fiscale;
    e) qualifica o grado;
    f) numero dell'utenza di telefonia mobile;
    g) casella di posta elettronica corporate.
  2. La sezione centrale genera, attraverso la procedura  informatica
descritta nell'Allegato 2, le  credenziali  di  autenticazione  e  le
assegna individualmente a ciascuno  degli  operatori  indicati  negli
elenchi di cui al comma 1, nonche' il supporto informatico contenente
il software che deve essere utilizzato in occasione del  collegamento
con la Banca dati nazionale.
  3. La sezione  centrale  puo'  delegare  alla  sezione  provinciale
competente  lo   svolgimento   delle   operazioni   di   generazione,
assegnazione e comunicazione delle  credenziali,  previo  svolgimento
della procedura informatica di cui all'Allegato 2.

                               Art. 20
 
 
                  Assegnazione delle credenziali di
            autenticazione per finalita' di consultazione
 
  1.  Ai fini dell'assegnazione delle credenziali  di  autenticazione
per finalita' di consultazione, i soggetti  di  cui  all'articolo  17
comunicano  l'elenco  dei  dipendenti,  completo  dei  dati  di   cui
all'articolo 19, comma 1 ad eccezione di quanto previsto all'articolo
19, comma 1, lettera e):
    a) alla sezione  centrale,  relativamente  agli  uffici  centrali
delle pubbliche amministrazioni;
    b) alla sezione provinciale della Prefettura-UTG  competente  per
territorio, in tutti gli altri casi contemplati dal medesimo articolo
17.
  2. La sezione centrale e le sezioni provinciali, ciascuna  per  gli
ambiti di rispettiva competenza, provvedono a:
    a) verificare che il soggetto che ha comunicato l'elenco  rientri
tra i soggetti giuridici legittimati, ai sensi del Codice  antimafia,
a consultare la Banca dati nazionale;
    b)  generare,  attraverso  la  procedura  informatica   descritta
nell'Allegato  2,  e  assegnare  individualmente  a  ciascuno   degli
operatori indicati negli elenchi, la username e la password  iniziale
che deve essere utilizzata in occasione del primo collegamento con la
Banca dati nazionale. La username e' comunicata a ciascun  operatore,
secondo le modalita' previste nell'Allegato 2.
  3. Le credenziali di autenticazione  sono  assegnate  all'operatore
secondo le modalita' stabilite dall'Allegato 2.
  4. Oltre a quanto previsto dal comma 1, i  concessionari  di  opere
pubbliche e i contraenti generali specificano l'appalto o gli appalti
di lavori per i quali i rispettivi dipendenti sono stati  individuati
per eseguire operazioni di consultazione della Banca dati nazionale.
  5. Ciascun dipendente dei concessionari di opere  pubbliche  o  dei
contraenti generali puo' effettuare consultazioni  della  Banca  dati
nazionale limitatamente  alle  imprese  affidatarie  e  alle  imprese
sub-affidatarie impegnate nell'esecuzione degli  appalti  di  lavori,
per  i  quali  viene  richiesto  il  rilascio  delle  credenziali  di
autenticazione.
  6.  Le  sezioni  provinciali  verificano  il  rispetto  di   quanto
stabilito dal comma 5, sulla base di un  elenco  riepilogativo  delle
imprese impegnate nei  cantieri  nel  mese  precedente,  formato  dai
concessionari di opere pubbliche e dai  contraenti  generali  che  lo
trasmettono, anche per via telematica, entro  il  quinto  giorno  del
mese successivo. Qualora tale elenco non venga trasmesso o non  venga
trasmesso  tempestivamente,  il  prefetto  procede  ad  acquisire  le
notizie necessarie allo svolgimento  dei  controlli  avvalendosi  dei
poteri di accertamento delegati dal Ministro  dell'interno  ai  sensi
del  decreto-legge  6  settembre  1982,  n.  629,   convertito,   con
modificazioni, dalla legge 12 ottobre 1982, n. 726.
  7.  Salvo  quanto  in  ogni  caso  previsto  dall'articolo  22   ed
eventualmente da altre disposizioni di legge, la sezione  provinciale
dispone  il  ritiro  e  la  disattivazione   delle   credenziali   di
autenticazione rilasciate al dipendente del concessionario  di  opere
pubbliche o del  contraente  generale  che  risulti  aver  effettuato
operazioni di consultazione della Banca dati nazionale nei  confronti
di imprese diverse da quelle  impegnate  nell'esecuzione  di  appalti
pubblici di lavori per i quali  sono  state  rilasciate  le  medesime
credenziali di autenticazione.

                               Art. 21
 
 
            Validita' delle credenziali di autenticazione
 
  1. Le credenziali di autenticazione sono valide per un  periodo  di
dodici mesi a decorrere dal giorno in cui esse vengono attivate dagli
operatori. Decorso tale periodo ne deve essere richiesto  il  rinnovo
secondo la procedura stabilita dagli articoli 18, 19 e 20.
  2. Nel caso di trasferimento ad altro incarico o  di  cessazione  e
sospensione  del  rapporto  di  dipendenza,   i   soggetti   di   cui
all'articolo   97   del   Codice   antimafia   provvedono   a   darne
comunicazione, immediatamente, alla sezione centrale e  alla  sezione
provinciale, che provvedono, ciascuna per gli  ambiti  di  rispettiva
competenza, a  disattivare  le  credenziali  di  autenticazione.  Dal
momento in cui il trasferimento ad altro incarico o la  cessazione  e
sospensione del rapporto acquistano efficacia, l'operatore  non  puo'
effettuare  accessi,  immissioni  e   aggiornamenti   dei   dati,   o
consultazioni della Banca dati nazionale.
  3. Le credenziali di autenticazione non utilizzate  da  almeno  sei
mesi sono disattivate automaticamente,  salvo  quelle  rilasciate  al
personale della sezione centrale e delle sezioni provinciali per fini
di gestione tecnica della Banca dati nazionale.

                               Art. 22
 
 
                       Regole di comportamento
 
  1. L'attivazione delle credenziali di autenticazione rilasciate  ai
sensi degli articoli 19 e 20  deve  essere  effettuata  personalmente
dall'operatore che ne e' titolare entro quindici giorni  a  decorrere
dal momento della loro comunicazione da parte delle sezioni  centrale
o provinciali.
  2. Le credenziali  di  autenticazione  sono  personali  e  il  loro
utilizzo  e'  consentito  esclusivamente  all'operatore  che  ne   e'
titolare e per le finalita' di cui al presente regolamento.
  3. L'operatore e' tenuto:
    a) anche al di fuori delle sessioni di  lavoro,  a  custodire  le
credenziali di autenticazione in modo da evitare che  terzi  soggetti
possano appropriarsene o farne utilizzo;
    b)  a  comunicare  immediatamente  alla   sezione   centrale   lo
smarrimento o il furto delle credenziali di autenticazione.
  4. La sezione centrale e le sezioni provinciali,  negli  ambiti  di
rispettiva competenza, dispongono  il  ritiro  delle  credenziali  di
autenticazione  rilasciate  all'operatore  che   abbia   violato   le
disposizioni dell'articolo 21 o del  presente  articolo;  provvedono,
inoltre,   a   disattivare   immediatamente   le    credenziali    di
autenticazione di cui sia stato comunicato lo smarrimento o il furto.

Capo V

RILASCIO DELLA DOCUMENTAZIONE ANTIMAFIA ATTRAVERSO LA BANCA DATI
NAZIONALE

                               Art. 23
 
 
                       Adempimenti preliminari
 
  1. Ai fini del  conseguimento  della  documentazione  antimafia,  i
soggetti di cui all'articolo 97  del  Codice  antimafia  acquisiscono
dall'impresa le dichiarazioni  sostitutive  di  certificazione  e  le
dichiarazioni  sostitutive  dell'atto  di  notorieta'  di  cui   agli
articoli 46 e 47 del  decreto  del  Presidente  della  Repubblica  28
dicembre 2000, n. 445, e successive modificazioni, attestanti i  dati
previsti dall'articolo 85 del medesimo Codice antimafia,  nonche'  il
numero del codice fiscale e della partita IVA dell'impresa stessa.
  2. L'operatore, dopo essersi collegato con la Banca dati  nazionale
ed  aver  positivamente  superato  la  procedura  di  verifica  delle
credenziali di autenticazione, immette nella stessa Banca dati i dati
di cui al comma 1, l'indicazione della  tipologia  di  documentazione
antimafia richiesta nonche', ove previsto da disposizioni di legge  o
altri provvedimenti attuativi di esse, la Prefettura-UTG designata.Le
modalita'  per  lo  svolgimento  di  tale  operazione  sono  indicate
nell'Allegato  3  che  costituisce  parte  integrante  del   presente
regolamento.
  3. Qualora i dati siano incompleti o errati il sistema  informativo
della Banca dati nazionale sospende la procedura  di  rilascio  della
documentazione   antimafia   e   notifica,   per   via    telematica,
all'operatore un messaggio recante la dicitura "inserimento dei  dati
erroneo o incompleto, procedura di rilascio  sospesa".  La  procedura
sospesa e' riavviata dall'operatore secondo  le  modalita'  stabilite
nel citato Allegato 3.
  4.  Qualora  la  procedura  di  controllo  delle   credenziali   di
autenticazione  non  venga  superata  positivamente,  la  Banca  dati
nazionale notifica  un  messaggio  di  "procedura  di  autenticazione
fallita" alla sezione provinciale della Prefettura-UTG competente  ai
sensi degli articoli 87 e 90 del Codice antimafia,  che  provvede  ad
effettuare  le  opportune  verifiche,  richiedendo,  se   necessario,
elementi di informazione, anche di natura tecnica, al  soggetto  alle
cui dipendenze opera l'operatore che ha effettuato  il  tentativo  di
consultazione.

                               Art. 24
 
 
               Rilascio della comunicazione antimafia
 
  1. Sulla base dei  dati  immessi  dall'operatore  che  effettua  la
consultazione, il sistema informativo della Banca dati nazionale,  se
l'impresa e' censita, verifica i dati esistenti negli  archivi  della
stessa Banca dati, nonche' nelle altre banche dati collegate. Se  non
risultano a carico degli interessati le cause di divieto, sospensione
e decadenza di cui all'articolo 67 del  Codice  antimafia,  la  Banca
dati  nazionale  rilascia  immediatamente,  per  via  telematica,  al
soggetto richiedente la comunicazione antimafia liberatoria. In  tale
caso  la  documentazione  antimafia   reca   la   seguente   dicitura
"comunicazione   antimafia   liberatoria   rilasciata,    ai    sensi
dell'articolo 88, comma 1, del D. Lgs.  6  settembre  2011,  n.  159,
utilizzando il collegamento alla Banca  dati  nazionale  unica  della
documentazione antimafia.".
  2. Se dalla verifica dei dati esistenti nella Banca dati  nazionale
o in altre banche dati ad essa  collegate  emerge  l'esistenza  delle
cause di divieto, sospensione o decadenza di cui al  citato  articolo
67 del  Codice  antimafia  ovvero  di  una  documentazione  antimafia
interdittiva in corso di validita' a carico  dell'impresa,  la  Banca
dati nazionale  notifica,  contestualmente  per  via  telematica,  al
soggetto richiedente ed alla Prefettura-UTG competente che, ai  sensi
dell'articolo 88, comma 2, del  Codice  antimafia  non  e'  possibile
rilasciare immediatamente la comunicazione antimafia liberatoria.
  3. Nei casi in cui le disposizioni  sulla  competenza  al  rilascio
della comunicazione antimafia sono derogate da disposizioni di  legge
ovvero da altri provvedimenti  attuativi  di  esse,  la  notifica  e'
effettuata alla Prefettura-UTG designata da questi ultimi.
  4. La Prefettura-UTG competente ovvero la Prefettura-UTG  designata
effettua, d'ufficio,  gli  accertamenti  previsti  dall'articolo  88,
comma 2, del Codice antimafia e, sulla base di essi adotta  nel  piu'
breve tempo possibile entro i termini di cui all'articolo  88,  comma
4, il provvedimento finale, notificandolo  al  soggetto  richiedente;
provvede, inoltre, ad aggiornare i dati contenuti negli archivi della
Banca dati nazionale e a  segnalare,  per  i  conseguenti  interventi
correttivi, alle banche dati collegate con la Banca dati nazionale  i
dati risultati eventualmente inesatti o non piu' attuali.
  5. Se dalla verifica dei dati esistenti nella Banca dati emerge che
l'impresa  non  e'  censita,  la  Banca  dati   nazionale   notifica,
contestualmente e per via telematica, al soggetto richiedente e  alla
Prefettura-UTG competente ovvero alla Prefettura-UTG  designata  che,
ai sensi dell'articolo 88, comma 3-bis, del Codice antimafia, non  e'
possibile  rilasciare  la  comunicazione  antimafia  liberatoria.  La
Prefettura-UTG procede secondo le modalita' previste dal comma 4.
  6. La Prefettura-UTG  competente  ovvero  quella  designata  appone
sulle comunicazioni antimafia liberatorie  rilasciate  ai  sensi  dei
commi 2, 3 e  4  la  dicitura  "comunicazione  antimafia  liberatoria
rilasciata, ai sensi  dell'articolo  88,  comma  3,  del  D.  Lgs.  6
settembre 2011, n. 159, utilizzando il collegamento alla  Banca  dati
nazionale unica della documentazione antimafia.".

                               Art. 25
 
 
                Rilascio dell'informazione antimafia
 
  1. Sulla base dei  dati  immessi  dall'operatore  che  effettua  la
consultazione, il sistema informativo della Banca dati nazionale,  se
l'impresa e' censita, verifica  i  pertinenti  dati  esistenti  negli
archivi della stessa Banca dati,  nonche'  nelle  altre  banche  dati
collegate. La Banca dati nazionale rilascia immediatamente,  per  via
telematica,  al   soggetto   richiedente   l'informazione   antimafia
liberatoria se dalle verifiche svolte non risultano:
    a)  le  cause  di  divieto,  sospensione  e  decadenza   di   cui
all'articolo 67 del Codice antimafia;
    b) una o piu' delle situazioni di cui all'articolo 84,  comma  4,
lettere a) e b) del Codice antimafia risultanti al CED;
    c) l'indicazione della sussistenza di una o piu' delle situazioni
di cui all'articolo 4, comma 3, lettere a), b), c) e d).
  2. L'informazione antimafia liberatoria, rilasciata  ai  sensi  del
comma  1,  reca  la  seguente   dicitura:   "informazione   antimafia
liberatoria rilasciata, ai sensi dell'articolo 92, comma  1,  del  D.
Lgs. 6 settembre 2011, n. 159, utilizzando il collegamento alla Banca
dati nazionale unica della documentazione antimafia.".
  3. Qualora dalla verifica  dei  dati  esistenti  nella  Banca  dati
nazionale emerge l'esistenza di una o piu' delle circostanze  di  cui
al comma 1, lettere a), b), c), la  Banca  dati  nazionale  notifica,
contestualmente per via telematica, al soggetto richiedente  ed  alla
Prefettura-UTG competente che, ai sensi dell'articolo  92,  comma  2,
del Codice  antimafia  non  e'  possibile  rilasciare  immediatamente
l'informazione antimafia liberatoria.
  4. Nei casi in cui le disposizioni  sulla  competenza  al  rilascio
dell'informazione antimafia sono derogate da  disposizioni  di  legge
ovvero da altri provvedimenti  attuativi  di  esse,  la  notifica  e'
effettuata alla Prefettura-UTG designata da questi ultimi.
  5. La Prefettura-UTG competente ovvero la Prefettura-UTG  designata
effettua d'ufficio gli accertamenti previsti dall'articolo 92,  comma
2, del Codice antimafia e, sulla base di essi adotta nel  piu'  breve
tempo possibile entro i termini di cui all'articolo 92, comma  2,  il
provvedimento  finale,   notificandolo   al   soggetto   richiedente;
provvede, inoltre, ad aggiornare i dati contenuti negli archivi della
Banca dati nazionale e a  segnalare,  per  i  conseguenti  interventi
correttivi, alle banche dati collegate con la Banca dati nazionale  i
dati risultati eventualmente inesatti o non piu' attuali.
  6. Qualora dalla verifica  dei  dati  esistenti  nella  Banca  dati
nazionale  emerge  che  l'impresa  non  e'  censita,  la  Banca  dati
nazionale notifica, contestualmente e per via telematica, al soggetto
richiedente   e   alla   Prefettura-UTG   competente   ovvero    alla
Prefettura-UTG designata che, ai sensi dell'articolo 92, comma 2, del
Codice  antimafia,  non  e'   possibile   rilasciare   l'informazione
antimafia liberatoria. La Prefettura-UTG procede secondo le modalita'
previste dal comma 5.
  7. La Prefettura-UTG competente ovvero la Prefettura-UTG  designata
appone sulle informazioni antimafia liberatorie rilasciate  ai  sensi
dei commi 3, 4 e 5 la dicitura  "informazione  antimafia  liberatoria
rilasciata, ai sensi  dell'articolo  92,  comma  2,  del  D.  Lgs.  6
settembre 2011, n. 159, utilizzando il collegamento alla  Banca  dati
nazionale unica della documentazione antimafia.".
  8. La Prefettura-UTG competente ovvero la Prefettura-UTG  designata
si avvale delle funzionalita'  della  Banca  dati  nazionale  per  la
trasmissione,  per  via  telematica,  delle  informazioni   antimafia
interdittive ai soggetti di cui all'articolo  91,  comma  7-bis,  del
Codice antimafia.

                               Art. 26
 
 
              Aggiornamento della Banca dati nazionale
 
  1.  La  Banca  dati  nazionale  comunica,   per   via   telematica,
giornalmente alle Prefetture competenti:
    a) il riepilogo complessivo delle  comunicazioni  e  informazioni
antimafia liberatorie rilasciate automaticamente;
    b) l'elenco delle imprese nei cui confronti gli  accertamenti  di
cui all'articolo 4, comma 4, sono stati effettuati da piu' di  dodici
mesi  dalla  data  di  rilascio   automatico   della   documentazione
antimafia.
  2. La Prefettura-UTG competente provvede,  d'ufficio,  a  rinnovare
gli accertamenti informativi nei  confronti  delle  imprese  indicate
nell'elenco di cui al comma 1, lettera b). Qualora dagli accertamenti
svolti emergano le cause di divieto, sospensione e decadenza  di  cui
all'articolo  67  del   Codice   antimafia,   ovvero   tentativi   di
infiltrazione   mafiosa,   la   Prefettura-UTG   competente    adotta
un'informazione interdittiva antimafia  ai  sensi  dell'articolo  92,
comma 4, dello stesso Codice  antimafia,  notificandola  al  soggetto
richiedente  per  i  conseguenti  provvedimenti   e   procedendo   ad
effettuare  le   prescritte   comunicazioni   agli   altri   soggetti
istituzionali.
  3.  Anche  al  di  fuori  dell'ipotesi  di  cui  al  comma  2,   la
Prefettura-UTG competente provvede, inoltre,  ad  aggiornare  i  dati
della Banca dati nazionale relativamente alla data degli accertamenti
svolti nei confronti dell'impresa.

                               Art. 27
 
 
        Controllo sulle operazioni di accesso e di immissione
             e aggiornamento della Banca dati nazionale
 
  1. I responsabili degli Uffici e Comandi di  cui  all'articolo  15,
comma 1, lettere a), numeri 4 e 5, e b) verificano periodicamente che
le operazioni di accesso alla Banca dati nazionale  siano  effettuate
per le  finalita'  previste  dal  Codice  antimafia  e  dal  presente
regolamento, nonche' per lo  svolgimento  di  compiti  legittimamente
affidati dai rispettivi dirigenti.
  2. Nei confronti del personale delle Prefetture il controllo  sulle
operazioni di accesso e di immissione e aggiornamento  e'  esercitato
dai viceprefetti vicari per il tramite delle sezioni provinciali.
  3. Per  lo  svolgimento  dei  controlli  di  cui  al  comma  1,  il
Procuratore nazionale antimafia designa uno dei magistrati  applicati
alla DNA.
  4. Anche al di fuori dei casi contemplati all'articolo 20, comma 6,
la sezione  centrale  e  le  sezioni  provinciali,  negli  ambiti  di
rispettiva competenza, possono richiedere informazioni ai soggetti di
cui all'articolo 97 del Codice antimafia, al  fine  di  accertare  la
correttezza delle operazioni  di  consultazione  effettuate.  A  tale
scopo, la sezione centrale e le sezioni provinciali utilizzano i dati
contenuti nei riepiloghi giornalieri della  documentazione  antimafia
rilasciata di cui all'articolo 26, comma 1, lettera a).

                               Art. 28
 
 
              Aggiornamento della Banca dati nazionale
                 a seguito di richiesta dell'impresa
 
  1. L'impresa alla quale si riferiscono i dati  puo'  chiedere  alla
Sezione  centrale  la  conferma  dell'esistenza  di   dati   che   la
riguardano, la loro comunicazione in forma intellegibile e, se i dati
risultano trattati in violazione di vigenti disposizioni di  legge  o
di regolamento, la loro cancellazione con modalita' sicure.
  2. Ai  soli  fini  dell'esame  delle  richieste  di  aggiornamento,
nell'ambito  delle   risorse   umane,   finanziarie   e   strumentali
disponibili a legislazione vigente e senza costituire nuove posizioni
dirigenziali, e' istituita presso  la  Sezione  centrale  un'apposita
commissione, nominata dal Ministro dell'interno  e  composta  da  due
dirigenti  della  carriera  prefettizia  di  cui  almeno  uno   della
qualifica di Viceprefetto, designati dal Capo del Dipartimento per le
politiche  del  personale  dell'amministrazione  civile,  e   da   un
dirigente del Dipartimento della  Pubblica  Sicurezza  designato  dal
Capo della Polizia - Direttore  generale  della  pubblica  sicurezza;
possono  essere  designati  anche  componenti   supplenti.   Per   lo
svolgimento dei suoi compiti, la commissione si avvale delle  risorse
umane e strumentali della Sezione  centrale  che  assicura  anche  le
attivita' di segreteria. L'incarico di presidente e componente  della
commissione  non  costituisce  autonoma  posizione  dirigenziale.  Ai
componenti della commissione non spettano compensi ne' rimborsi spese
a qualunque titolo dovuti.
  3. Esperiti i necessari accertamenti, la  commissione  comunica  al
richiedente,  non  oltre  sessanta   giorni   dalla   richiesta,   le
determinazioni adottate. La commissione puo' omettere  di  provvedere
sulla richiesta se cio' puo'  pregiudicare  azioni  od  operazioni  a
tutela dell'ordine e della sicurezza  pubblica  o  di  prevenzione  e
repressione della  criminalita',  dandone  informazione  motivata  al
Garante per la protezione dei dati personali.

Capo VI

NORME FINALI E TRANSITORIE

                               Art. 29
 
 
                   Immissione preliminare di dati
                     nella Banca dati nazionale
 
  1. Al fine di consentire la piena funzionalita'  della  Banca  dati
nazionale  sin  dal  momento  della  sua  attivazione,  il  Ministero
dell'interno acquisisce  dalle  Prefetture,  prima  del  decorso  del
termine di cui all'articolo 99, comma 2-bis, del Codice antimafia,  i
dati di cui all'articolo 4, commi 1, 2, 3, riguardanti:
    a) la documentazione antimafia liberatoria rilasciata almeno  nei
dodici mesi antecedenti alla data di entrata in vigore  del  presente
regolamento;
    b)  le  informazioni  antimafia  non  direttamente   interdittive
adottate nei trentasei mesi antecedenti  all'entrata  in  vigore  del
presente regolamento, ai sensi del combinato  disposto  dell'articolo
1-septies del decreto-legge 6 settembre 1982, n. 629, convertito, con
modificazioni, dalla legge 12 ottobre 1982, n. 726,  e  dell'articolo
10, comma 9, dell'abrogato decreto del Presidente della Repubblica  3
giugno  1998,  n.  252,  relativamente  al  periodo  di  vigenza   di
quest'ultimo;
    c) i dati relativi  alla  documentazione  antimafia  interdittiva
adottata nei trentasei mesi antecedenti  all'entrata  in  vigore  del
presente regolamento.
  2. I predetti  dati  sono  immessi  dalle  Prefetture  nel  sistema
informatico della  Banca  dati  nazionale  del  Dipartimento  per  le
politiche del personale dell'Amministrazione civile.

                               Art. 30
 
 
                    Oneri informativi introdotti
 
  1. Gli oneri informativi introdotti dal  presente  regolamento,  ai
sensi dell'articolo 7 della legge 11  novembre  2011,  n.  180,  sono
indicati  nell'allegato  5,  che  costituisce  parte  integrante  del
presente regolamento.

                               Art. 31
 
 
                 Clausola di invarianza finanziaria
 
  1. Dall'attuazione del presente  regolamento  non  devono  derivare
nuovi o maggiori oneri a carico dello Stato. Il Dipartimento  per  le
politiche  del   personale   dell'Amministrazione   civile   provvede
all'espletamento dei compiti  attribuiti  al  medesimo  dal  presente
regolamento  con  le  risorse  umane,   strumentali   e   finanziarie
disponibili a legislazione vigente.
  Il presente decreto sara' trasmesso alla Corte  dei  conti  per  la
registrazione.
  Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella  Raccolta  ufficiale  degli  atti  normativi  della  Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
    Roma, 30 ottobre 2014
 
                            Il Presidente
                     del Consiglio dei ministri
                                Renzi
 
 
                      Il Ministro dell'interno
                               Alfano
 
 
                 Il Ministro per la semplificazione
                    e la pubblica amministrazione
                                Madia
 
 
                     Il Ministro della giustizia
                               Orlando
 
 
                             Il Ministro
                      dello sviluppo economico
                                Guidi
 
 
                  Il Ministro delle infrastrutture
                           e dei trasporti
                                Lupi
 
 
 
Visto, il Guardasigilli: Orlando

Registrato alla Corte dei conti il 18 dicembre 2014
Ufficio controllo atti P.C.M. Ministeri giustizia  e  affari  esteri,
Reg.ne - Prev. n. 3259


 
                                                           Allegato 1
                                                        (articolo 12)
Modalita' di collegamento della Banca dati nazionale con  il  sistema
  costituito presso la DIA ai sensi dell'articolo  5,  comma  4,  del
  decreto del Ministro dell'interno 14 marzo 2003
    1. La Banca dati della DIA di cui all'articolo 5,  comma  4,  del
decreto del Ministro dell'interno 14  marzo  2003,  pubblicato  nella
Gazzetta Ufficiale del 5 marzo 2004, n. 54,  e'  fruibile  attraverso
un'applicazione web-based accessibile attraverso  un  comune  browser
per la navigazione in internet.
    2. La DIA rende disponibile il collegamento alla  predetta  Banca
dati, utilizzando la tecnologia della federazione dei domini - basata
sullo standard informatico security assertion markup language (SAML),
per lo scambio di dati di autenticazione e autorizzazione tra  domini
di  sicurezza  distinti  -  che  permette  la   comunicazione   delle
credenziali di autenticazione tra la predetta Banca dati della DIA  e
la Banca dati nazionale.
    3. La Banca dati nazionale svolge il  compito  di  autenticare  e
autorizzare gli utenti al fine di  consentire  loro  di  accedere  ai
servizi della predetta Banca dati della  DIA,  esposti  in  modalita'
autenticata, secondo un  sistema  di  Single  Sign  On  (SSO)  tra  i
rispettivi siti.
    4. L'utente si autentica nella Banca dati nazionale,  che  svolge
il ruolo di identity provider, e richiede di usufruire  del  servizio
esterno, assicurato dalla DIA relativamente alla propria  Banca  dati
che, a tal fine, svolge il ruolo di service provider.
    5. L'identity provider predispone una richiesta di autorizzazione
di  accesso,  inserendo  in  essa  tutte   le   informazioni   e   le
caratteristiche necessarie all'autenticazione dell'utente, secondo le
modalita' stabilite dagli articoli dal 18 al 22. Il web browser invia
la richiesta  al  service  provider  che  la  verifica  ed  eroga  il
servizio.
    6.  Il  canale  di  comunicazione   e'   stabilito   nella   rete
multimediale del Ministero dell'interno che permette  di  raggiungere
l'URL dell'applicativo della Banca dati  della  DIA  in  un  ambiente
sicuro.

 
                                                           Allegato 2
                                  (articoli 13, comma 2, 18, 19 e 20)
 
             Procedura per la generazione e assegnazione
                 delle credenziali di autenticazione
 
    1.  La  registrazione  al  sistema  informatico   e'   effettuata
personalmente da ciascun  operatore  attraverso  una  procedura  che,
mediante l'utilizzo di diverse  tecnologie  disaccoppiate  tra  loro,
comunica direttamente con l'operatore a favore  del  quale  e'  stato
richiesto il rilascio delle credenziali di autenticazione.
    2. La sezione centrale  o  provinciale  riceve  la  richiesta  di
rilascio delle credenziali di autenticazione di cui agli articoli 19,
comma 1, e 20, comma 1. La richiesta di  rilascio  contiene  l'elenco
degli operatori  autorizzati  alla  consultazione  della  Banca  dati
nazionale ed  e'  corredata  per  ogni  operatore  dei  dati  di  cui
all'articolo 19, comma 1, lettere da  a)  a  g),  di  una  copia  del
documento di  identificazione  dell'operatore  (carta  di  identita',
patente di  guida  o  passaporto)  e  delle  liberatorie  debitamente
firmate   dall'operatore   stesso.   La   richiesta   viene   inviata
all'indirizzo di posta elettronica certificata della sezione centrale
o provinciale pubblicata su Indice P.A.
    3. La sezione centrale o provinciale invita ciascun  operatore  a
presentarsi   personalmente    presso    i    propri    uffici    per
l'identificazione dello stesso a mezzo del documento di identita'  in
corso di validita' la cui copia e'  stata  trasmessa  precedentemente
(vedi punto 2) e per la  creazione  delle  relative  credenziali.  Si
evidenzia che per il  rilascio  di  queste  ultime  l'operatore  deve
fornire obbligatoriamente un numero  di  telefonia  mobile  intestato
all'operatore stesso.
    4. Al termine delle operazioni  di  identificazione,  la  sezione
centrale o provinciale completa la fase di  registrazione  a  sistema
dell'operatore e consegna le istruzioni necessarie ad  effettuare  il
primo accesso alla Banca dati nazionale. In particolare le istruzioni
riportano l'indicazione della username dell'operatore e della  URL  a
cui   collegarsi   per   il   completamento    della    registrazione
(http://certbdna.interno.it). La password  iniziale  e'  generata  in
modo automatico all'atto della registrazione dell'utenza e  trasmessa
alla casella di posta di tipo corporate dell'operatore (articolo  19,
comma 1, lettera g).
    5. Le istruzioni consegnate consentono  a  ciascun  operatore  di
completare la fase di accesso alla Banca dati  nazionale  utilizzando
tecnologie   di   "autenticazione   forte".    L'operatore    procede
preliminarmente con l'identificazione  della  propria  postazione  di
lavoro che restera' la medesima per tutte le operazioni di accesso  e
consultazione della Banca dati nazionale. Tale procedura  prevede  il
collegamento alla  URL  http://certbdna.interno.it.  Nella  schermata
visualizzata l'operatore digita le credenziali di accesso, ovvero  la
username  consegnata  dalla  sezione  provinciale  o  centrale  e  la
password ricevuta nella sua casella di posta elettronica corporate. A
seguito  dell'inserimento  di  tali  campi,  il  sistema  richiedera'
all'operatore di effettuare il cambio password secondo le  regole  di
sicurezza previste dal sistema; la password deve contenere almeno  un
numero, un carattere speciale, una maiuscola  per  un  minimo  di  10
caratteri  complessivi.  Terminato  con  successo  il  cambio   della
password, l'operatore visualizzera' una pagina per la  creazione  del
proprio certificato digitale. L'avvio della  procedura  di  creazione
del certificato digitale si perfeziona attraverso la ricezione di  un
SMS sul numero di telefonia mobile  dell'interessato  contenente  una
sequenza numerica casuale (OTP) che va inserito nell'apposito  campo.
Il sistema procede alla creazione del certificato digitale pubblico e
richiede l'inserimento di una password legata al certificato digitale
(PIN di protezione) creata  sulla  base  delle  regole  di  sicurezza
previste.  Essa  deve  contenere  almeno  un  numero,  un   carattere
speciale, una maiuscola per un minimo di  10  caratteri  complessivi.
Effettuata con successo la creazione del PIN, e' possibile  procedere
al download e alla relativa installazione  del  certificato  digitale
sulla postazione di lavoro.
    6. La  procedura  descritta  consente  di  identificare  in  modo
univoco la postazione di lavoro dell'operatore, il quale in  fase  di
accesso alla Banca dati nazionale  dovra'  sbloccare  il  certificato
digitale pubblico attraverso il PIN di protezione inserito in fase di
creazione dello stesso.
    7. L'accesso  alla  Banca  dati  nazionale  avviene  mediante  un
software dedicato atto a garantire l'identificazione della postazione
dalla quale vengono eseguite le interrogazioni dei dati e un  sistema
di autenticazione  forte  abilitante  all'identificazione  univoca  e
tracciamento   dell'operatore   che   effettua   le   operazioni   di
collegamento e trattamento dei dati.
    8. Il sistema  prevede  quindi  un  doppio  livello  di  verifica
dell'identita':
      a) l'accesso in VPN.  Esso  consente  di  identificare  sia  la
postazione mediante l'uso di certificati pubblici sia l'operatore  in
possesso del PIN di sblocco del certificato per raggiungere  la  rete
dove e' esposto il servizio applicativo;
      b) la autenticazione applicativa mediante  l'uso  di  username,
password e OTP per la consultazione della Banca dati nazionale.

 
                                                           Allegato 3
                            (articoli 13, comma 2, e 23, commi 2 e 3)
 
       Procedura di interrogazione della Banca dati nazionale
 
    1.  L'applicativo  informatico  della  Banca  dati  nazionale  e'
protetto da un sistema di gestione degli accessi  che  identifica  in
maniera univoca  l'utente  attraverso  le  credenziali  rilasciategli
nella fase di prima registrazione e utilizzazione,  in  occasione  di
ogni collegamento, di credenziali su due distinti canali  trasmissivi
(web e telefono cellulare).
    2. L'accesso agli archivi della Banca dati nazionale e'  protetto
mediante  un  doppio   sistema   di   autenticazione   basato   sulla
disponibilita'  di  un  telefono  cellulare  di  ciascun  utente   ed
articolato nelle seguenti fasi:
      a) l'operatore attiva il collegamento VPN usando il certificato
digitale  pubblico  che  identifica  la  postazione;  all'atto  della
connessione, il  client  VPN  richiede  la  digitazione  del  PIN  di
protezione per rendere disponibile il certificato digitale sul  quale
e' basata l'autenticazione;
      b) l'operatore, effettuato l'accesso alla VPN,  digita  la  Url
http://bdna.interno.it e accede cosi' alla pagina di login  inserendo
le proprie credenziali di autenticazione. Se il login e' stato svolto
correttamente l'applicativo informatico della  Banca  dati  nazionale
visualizzera', in  un'apposita  schermata,  il  numero  di  un'utenza
telefonica gratuita ed un codice numerico casuale (OTP);
      c) l'operatore contatta il numero  dell'utenza  visualizzata  e
digita il codice numerico (OTP);
      d) se l'operazione viene  eseguita  con  successo,  l'operatore
accede alla funzionalita' della  banca  dati  nazionale  in  base  al
profilo di autorizzazione applicativo associato all'operatore.

 
                                                           Allegato 4
                                 (articoli 15, comma 2 e 18, comma 6)
Procedura di accesso alla Banca dati nazionale da parte del personale
  delle Forze di polizia, di cui all'art. 15, comma  1,  lettera  b),
  attraverso il collegamento telematico con il CED
    1. Gli utenti del CED utilizzano il collegamento  telematico  con
la Banca dati nazionale per l'accesso ai dati ivi  presenti  mediante
tecniche di identita' federata.
    2. Per identita'  federata  s'intende  la  relazione  di  fiducia
nell'ambito della sicurezza tra patrimoni  informativi  automatizzati
diversi per l'identificazione e l'autorizzazione degli utenti di  uno
di essi ad accedere  alle  risorse  gestite  dall'altro,  comprensiva
della  definizione  di  precise  responsabilita'  nell'ambito   della
cooperazione applicativa.
    3. Ai fini dell'accesso da parte del  personale  delle  Forze  di
polizia, la Banca dati nazionale svolge i compiti di Service Provider
(SP),  garantendo  la  possibilita'  di  eseguire  le  operazioni  di
accesso, mentre il CED svolge i compiti di  Identity  Provider  (IP),
assicurando l'identificazione degli utenti del  servizio  stesso  con
modalita' ritenute affidabili dal  soggetto  erogatore  del  servizio
(SP).
    4.  L'accesso   alla   Banca   dati   nazionale   e'   consentito
esclusivamente dalle postazioni di lavoro  delle  Forze  di  polizia,
attraverso codici identificativi  personali  rilasciati  dal  CED  ai
propri utenti.
    5. Gli utenti del CED autorizzati  all'accesso  alla  Banca  dati
nazionale sono quelli a cui e' stato attribuito  dal  CED  stesso  un
apposito  profilo  di  abilitazione.  Gli  stessi,  in  qualita'   di
incaricati del trattamento dei dati, sono istruiti  sulle  specifiche
funzionalita' dell'applicativo, nonche' informati delle attivita'  di
tracciamento e di controllo delle  operazioni  di  accesso  poste  in
essere dalla sezione centrale e dal CED.
    6. Il CED adotta procedure di registrazione dei propri utenti per
il riconoscimento diretto e l'identificazione certa  dell'utente.  In
particolare, le credenziali  di  autenticazione  rilasciate  dal  CED
identificano in modo univoco la persona fisica.  Inoltre,  esse  sono
emesse e distribuite agli utenti in maniera sicura secondo  procedure
operative stabilite dal CED stesso.
    7.  Il  CED  comunica  tempestivamente  alla   sezione   centrale
eventuali  incidenti  informatici  occorsi  al  proprio  sistema   di
autenticazione che coinvolgano l'accesso alla Banca dati nazionale.
    8. Il CED comunica  senza  indugio  alla  sezione  centrale  ogni
modifica tecnica e/o organizzativa del proprio ambito tecnologico che
comporti l'impossibilita' di garantire l'applicazione delle regole di
identita' federata ovvero  la  loro  perdita,  anche  temporanea,  di
efficacia.
    9. Il CED non duplica, neanche con  sistemi  automatici,  i  dati
resi disponibili e non li  utilizza  per  la  creazione  di  autonome
banche dati.
    10. Al fine di garantire l'effettiva  sussistenza  dei  requisiti
degli utenti che accedono alla Banca dati nazionale, il CED verifica,
ogni sessanta giorni, le abilitazioni assegnate sul  proprio  sistema
informativo e provvede, se  necessario,  alla  disabilitazione  delle
utenze con le modalita' di cui al punto 3.

                                                           Allegato 5
                                                        (articolo 30)
 
              Parte di provvedimento in formato grafico