Avcp pass, prorogato il regime transitorio

Roma, 24 gennaio 2014 - Prorogato di 6 mesi il termine del regime transitorio relativo all'obbligatorietà della PEC personale.

Con un recente comunicato l’AVCP ha reso noto che il Consiglio dell'Autorità, viste le difficoltà segnalate dalle Stazioni Appaltanti, ha disposto la proroga di 6 mesi del regime transitorio relativo all'obbligatorietà della PEC personale di cui all'art.9, co.4 della Deliberazione n. 111 del 20/12/2012 e successive modificazioni intervenute a seguito delle decisioni assunte nelle adunanze dell’8 maggio e del 5 giugno 2013.

La Stazione Appaltante che nel periodo transitorio ricorra all’utilizzo di caselle di posta elettronica ordinaria è comunque tenuta a:

a. garantire che le caselle di posta elettronica ordinaria utilizzate siano esclusivamente individuali, rilasciate nell’ambito del dominio istituzionale dell’Amministrazione e ad accesso esclusivo del soggetto intestatario;

b. fornire al personale operante in qualità di incaricato del trattamento dei dati le necessarie istruzioni circa il corretto utilizzo delle credenziali di accesso, fermo restando quanto disposto dall’art. 8 della Deliberazione di che trattasi nell’ambito delle misure di sicurezza obbligatorie previste dal D.Lgs. n. 196/2003.

Le disposizioni di riferimento

Deliberazione n. 111 del 20/12/2012

(Omissis)

 Articolo 3 Termini e regole tecniche di accesso al servizio

1. Il sistema AVCPASS è utilizzabile per le procedure di affidamento il cui CIG è richiesto a partire dal 1 gennaio 2013.

2. Coerentemente con quanto previsto dall’art. 77, comma 5, del Codice e dalla Circolare della Presidenza del Consiglio dei Ministri n. 1/2010, tutte le comunicazioni svolte nell’ambito del sistema AVCPASS sono effettuate tramite PEC. Pertanto, è necessario che ciascuno dei seguenti soggetti possieda un indirizzo PEC:

a. stazione appaltante/ente aggiudicatore (PEC relativa all’Area Organizzativa Omogenea di Protocollo di appartenenza);

b. Responsabile del Procedimento (casella PEC personale);

c. almeno un amministratore/legale rappresentante di ogni operatore economico (casella PEC personale dell’amministratore e casella PEC dell’operatore economico); nel caso di operatore economico persona fisica casella PEC personale;

d. eventuale delegato dall’operatore economico (casella PEC personale del delegato e casella PEC dell’operatore economico); e. Presidente di Commissione, Commissari di gara ovvero altri soggetti abilitati alla verifica dei requisiti per il tramite del sistema AVCPASS (casella PEC personale).

(omissis)

Articolo 9 Norme transitorie

(Omissis)

4. In relazione a quanto previsto all’art. 3, comma 2, qualora a causa di esigenze organizzative le Stazioni Appaltanti siano temporaneamente impossibilitate a dotare di caselle PEC personali i soggetti di cui alle lettere b) ed e) del medesimo comma, ferma restando l’opportunità dell’uso di tali strumenti e vista la data di entrata in vigore del regime di obbligatorietà di cui al comma 1, lettera c) del presente articolo è possibile, in via transitoria fino al 31 dicembre 2013, il ricorso a caselle di posta elettronica ordinaria. In questo caso, con le modalità che saranno rese note sul portale istituzionale dell’Autorità, la Stazione Appaltante è tenuta a:

a. garantire che le caselle di mail ordinaria utilizzate in via transitoria siano esclusivamente individuali, rilasciate nell’ambito del dominio istituzionale dell’Amministrazione e ad accesso esclusivo del soggetto intestatario;

b. fornire al personale operante in qualità di incaricato del trattamento dei dati le necessarie istruzioni circa il corretto utilizzo delle credenziali di accesso, fermo restando quanto disposto dall’art. 8 della presente Deliberazione nell’ambito delle misure di sicurezza obbligatorie previste dal D.Lgs. n. 196/2003. La relazione, la tabella e l'elenco codici tributo allegati alla presente delibera ne costituiscono parte integrante.

La documentazione di cui agli artt. 5 e 6 della presente delibera e della relativa tabella allegata può essere oggetto di modifica mediante nuova deliberazione. Le parti modificate della delibera sono sottoposte, per i profili di competenza, al parere dell’Autorità Garante per la protezione dei dati personali.

(omissis)

Articolo 8 Protezione dei dati personali e misure di sicurezza

1. L’Autorità tratta i dati acquisiti nell’ambito del sistema AVCPASS per le finalità di cui all’art. 6-bis del decreto legislativo 12 aprile 2006, n. 163 e nel rispetto dei criteri di pertinenza e non eccedenza. L’Autorità agisce in qualità di Titolare autonomo ai sensi dell’art. 28 del D. Lgs. 196/03 e adempie ai relativi obblighi ivi comprese la nomina degli incaricati del trattamento e l’adozione delle misure di sicurezza.

2. La stazione appaltante/ente aggiudicatore, nell’accedere al sistema AVCPASS, tratta i dati per le finalità cui all’art. 6-bis, comma 3, del Codice e nel rispetto dei criteri di pertinenza e non eccedenza.La stazione appaltante/ente aggiudicatore è Titolare autonomo ai sensi dell’art. 28 del D. Lgs. 196/03 dei trattamenti e adempie ai relativi obblighi, ivi comprese la nomina degli incaricati del trattamento e l’adozione delle misure di sicurezza.

3. L’operatore economico è tenuto a inserire sul sistema AVCPASS esclusivamente la documentazione pertinente alle finalità di cui all’oggetto della seguente delibera. L’operatore economico assume la piena responsabilità della natura e della qualità della documentazione prodotta e solleva l’Autorità da ogni responsabilità relativamente ai dati inseriti ed alla documentazione caricata.

4. Il sistema AVCPASS è stato progettato nel rispetto delle vigenti norme in materia di protezione dei dati personali, compresi gli obblighi di sicurezza di cui all’art. 31 del D. Lgs. 196/03.

Sono state disposte, in particolare, le seguenti misure:

a) il sistema garantisce l'identificazione, l'autenticazione e l'autorizzazione dell’utenza secondo i profili assegnati.

b) Il sistema è dotato di una procedura per la verifica delle identità e dei relativi ruoli dichiarati a sistema.

c) L’accesso ai servizi AVCPASS avviene solo a seguito del superamento di una procedura di autenticazione che verifica le credenziali di autenticazione composte dall’identificativo utente e dalla relativa parola chiave e sono adottati idonei criteri di robustezza per la costruzione della password.

d) Le credenziali di autenticazione sono assegnate individualmente ad ogni incaricato e nelle istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata delle credenziali.

e) Il sistema AVCPASS espone i dati ai soggetti autorizzati per il tempo strettamente necessario al trattamento degli stessi nell’ambito delle procedure di cui al comma 1; al termine di dette procedure i dati non sono più residenti sul sistema.

f) Il sistema dispone di misure di sicurezza informatica finalizzate a ridurre al minimo il rischio di violazioni dell’integrità della riservatezza e della disponibilità dei dati trattati. In particolare sono disposte idonee procedure di audit sugli accessi, i cui esiti sono documentati. Tali procedure prevedono attività di audit basate sul monitoraggio statistico degli accessi e su meccanismi di alert che individuino comportamenti anomali o a rischio dal punto di vista della sicurezza informatica.

g) AVCPASS adotta modalità sicure per l’interazione con gli Enti Certificanti; dispone di un sistema di autenticazione degli accessi a fini di sicurezza ed è in grado di fornire su richiesta agli Enti Certificanti evidenza dell’utenza che attraverso il sistema ha generato la singola richiesta di documentazione.

h) È fatto obbligo agli Operatori Economici e alle stazioni appaltanti/enti aggiudicatori di segnalare tempestivamente all’Autorità ogni variazione dei ruoli dei soggetti che sono stati preventivamente autorizzati ad operare secondo i profili dichiarati a sistema, nonché di eventuali utilizzi impropri ed irregolari del sistema.

i) L’operatore economico, la stazione appaltante/ente aggiudicatore si impegnano a comunicare tempestivamente incidenti sulla sicurezza qualora tali incidenti abbiano impatto direttamente o indirettamente sul sistema AVCpass, nonché ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni).

j) L’Autorità informa l’utenza del corretto utilizzo del sistema. k. AVCPASS è implementata con protocolli di sicurezza provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale.

l) Le regole di gestione delle credenziali di autenticazione prevedono, in ogni caso, la loro attribuzione univoca a una persona fisica.

m) L’autenticazione deve essere basata su dispositivi o credenziali; queste ultime sono composte dall’identificativo dell’utente e dalla relativa componente riservata (parola d’ordine o password) per la cui costruzione sono adottati idonei criteri di robustezza. Laddove vengano utilizzati dispositivi di autenticazione, deve esserne assicurata la diligente custodia.

n) La password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione, deve essere modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni 90 giorni e le ultime tre password non possono essere riutilizzate.

o) Le password devono rispondere a idonei requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi).

p) Le credenziali sono bloccate a fronte di reiterati tentativi falliti di autenticazione.

q) Nella prima schermata successiva al collegamento con la banca dati, sono visualizzabili le informazioni relative all’ultima sessione effettuata con le stesse credenziali (indicazione della data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione).

r) Il tempo di conservazione dei dati relativi agli accessi e alle operazioni compiute nel sistema è fissato nel termine di sei mesi.

(Omissis)