33 minuti

MODALITA’ DI IMPIEGO DELLA CARTA DI IDENTITA’ ELETTRONICA.

MINISTERO DELL’INTERNO

DECRETO 8 settembre 2022

Modalita' di impiego della carta di identita' elettronica. (22A05639) 

(GU n.233 del 5-10-2022)

 

 
                      IL MINISTRO DELL'INTERNO, 
 
                             IL MINISTRO 
                    PER L'INNOVAZIONE TECNOLOGICA 
                      E LA TRANSIZIONE DIGITALE 
 
                                  e 
 
                      IL MINISTRO DELL'ECONOMIA 
                           E DELLE FINANZE 
 
  Visto l'art. 3 del regio decreto 18  giugno  1931,  n.  773,  testo
unico delle leggi di pubblica sicurezza,  di  seguito  TULPS,  ed  il
relativo regolamento di esecuzione del 6 maggio 1940, n. 635; 
  Vista la legge 13 luglio 1966, n. 559 e in  particolare  l'art.  2,
comma 8; 
  Visto il decreto-legge  31  gennaio  2005,  n.  7,  convertito  con
modificazioni in legge 31 marzo 2005, n. 43; 
  Visto il decreto legislativo 7 marzo  2005,  n.  82,  e  successive
modificazioni, recante «Codice dell'amministrazione digitale»  e,  in
particolare, l'art. 66, comma 6 e l'art. 64, comma 2-quater; 
  Visto  il  decreto  del  Ministro  dell'interno  23  aprile   2002,
istitutivo del Centro nazionale per i servizi demografici  presso  il
Dipartimento per  gli  affari  interni  e  territoriali  -  Direzione
centrale per i servizi demografici; 
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  10
novembre  2014,  n.  194,  recante  «modalita'  di  attuazione  e  di
funzionamento dell'Anagrafe  nazionale  della  popolazione  residente
(ANPR) e di definizione del piano per il graduale subentro  dell'ANPR
alle anagrafi della popolazione residente»; 
  Visto l'art. 7-vicies ter del decreto-legge 31 gennaio 2005, n.  7,
convertito con modificazioni dalla legge 31 marzo  2005,  n.  43  che
prevede  che  l'emissione  della  carta  d'identita'  elettronica  e'
riservata al Ministero dell'interno  che  vi  provvede  nel  rispetto
delle norme di sicurezza in materia di carte valori, di documenti  di
sicurezza  della  Repubblica  e  degli  standard  internazionali   di
sicurezza; 
  Visto l'art. 10,  comma  6,  del  decreto-legge  n.  78  del  2015,
convertito con modificazioni, dalla legge del 6 agosto 2015,  n.  125
che ha previsto lo stanziamento dei fondi  a  copertura  degli  oneri
derivanti dall'attuazione della carta di identita' elettronica; 
  Vista la direttiva (UE) 2015/1535  del  Parlamento  europeo  e  del
Consiglio, del 9 settembre 2015, attuata dal decreto  legislativo  15
dicembre 2017, n.  223,  recante  una  procedura  d'informazione  nel
settore delle regolamentazioni tecniche e delle  regole  relative  ai
servizi della societa' dell'informazione; 
  Vista la legge 1° aprile 1999,  n.  91,  recante  «Disposizioni  in
materia di prelievi e di trapianti di organi e di tessuti»; 
  Visto il decreto del Ministro della  sanita'  dell'8  aprile  2000,
recante «Disposizioni in materia di prelievi e di trapianti di organi
e  di   tessuti,   attuativo   delle   prescrizioni   relative   alla
dichiarazione di volonta' dei cittadini sulla donazione di  organi  a
scopo di trapianto», come modificato dal decreto del  Ministro  della
salute dell'11 marzo 2008; 
  Visto il decreto del Ministero della salute 20 agosto 2019, n. 130,
recante «disciplina degli obiettivi, delle funzioni e della struttura
del Sistema informativo trapianti (SIT) e del Registro nazionale  dei
donatori di cellule riproduttive a scopi di procreazione medicalmente
assistita di tipo eterologo»; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(regolamento generale sulla protezione dei dati); 
  Visto il decreto  legislativo  30  giugno  2003,  n.  196,  recante
«Codice per la protezione dei dati personali»,  come  modificato  dal
decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per
l'adeguamento  della  normativa  nazionale  alle   disposizioni   del
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle  persone  fisiche  con
riguardo al trattamento  dei  dati  personali,  nonche'  alla  libera
circolazione  di  tali  dati  e  che  abroga  la  direttiva  95/46/CE
(regolamento generale sulla protezione dei dati)»; 
  Visto il decreto del Ministero dell'economia  e  delle  finanze  23
dicembre 2013 recante «Individuazione delle  carte  valori  ai  sensi
dell'art. 2, comma 10-bis, lettere a) e  b)  della  legge  13  luglio
1966, n. 559 e successive modificazioni e integrazioni»; 
  Visto il decreto del Presidente del Consiglio dei ministri  del  22
febbraio 2013 recante «Regole tecniche  in  materia  di  generazione,
apposizione e verifica delle firme elettroniche avanzate, qualificate
e digitali, ai sensi degli articoli 20, comma 3,  24,  comma  4,  28,
comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71»; 
  Visto in particolare l'art. 61, comma 2 del decreto del  Presidente
del Consiglio  dei  ministri  22  febbraio  2013  che  prescrive  che
«l'utilizzo   della   Carta   d'identita'   elettronica,    [omissis]
sostituisce, nei confronti della pubblica amministrazione,  la  firma
elettronica avanzata ai sensi delle presenti regole  tecniche  per  i
servizi e le attivita' di cui agli articoli 64 e 65 del CAD»; 
  Visto il decreto-legge  16  luglio  2020,  n.  76  recante  «Misure
urgenti per la semplificazione  e  l'innovazione  digitali»  (decreto
semplificazioni) convertito con modificazioni in legge  11  settembre
2020, n. 120 e in particolare l'art. 24; 
  Visto  il  decreto  legislativo  7  marzo  2005,  n.   82   «Codice
dell'amministrazione digitale» e in  particolare  l'art.  64  laddove
prevede che l'accesso ai servizi  in  rete  erogati  dalle  pubbliche
amministrazioni che richiedono  identificazione  informatica  avviene
tramite  la  carta  di  identita'   elettronica   e   che   ai   fini
dell'erogazione dei propri servizi in rete e'  altresi'  riconosciuta
ai soggetti privati la facolta' di avvalersi della carta di identita'
elettronica; 
  Visto l'art. 66, comma 6 del citato  decreto  legislativo  7  marzo
2005, n. 82 che stabilisce che con decreto del Ministro dell'interno,
del Ministro  per  l'innovazione  e  le  tecnologie  e  del  Ministro
dell'economia e delle finanze, sentito il Garante per  la  protezione
dei dati personali e d'intesa con  la  Conferenza  unificata  di  cui
all'art. 8 del decreto legislativo  28  agosto  1997,  n.  281,  sono
dettate le regole tecniche e di sicurezza relative alle tecnologie  e
ai materiali utilizzati per la produzione della  carta  di  identita'
elettronica, del documento di identita'  elettronico  e  della  carta
nazionale dei servizi, nonche' le modalita' di impiego; 
  Visto il  decreto  del  Ministero  dell'interno  23  dicembre  2015
recante «Modalita' tecniche  di  emissione  della  Carta  d'identita'
elettronica»; 
  Acquisita  l'approvazione   della   Commissione   interministeriale
permanente  della  CIE  di  cui  all'art.  9,  comma  2  del  decreto
ministeriale 23 dicembre 2015; 
  Sentito il Centro nazionale trapianti  dell'Istituto  superiore  di
sanita'; 
  Sentito il Garante per la protezione dei dati personali che  si  e'
espresso con parere n. 247 del 7 luglio 2022; 
  Sentita la Conferenza unificata  di  cui  all'art.  8  del  decreto
legislativo 28 agosto 1997, n. 281 in data 3 agosto 2022; 
 
                              Decreta: 
 
                               Art. 1 
 
                             Definizioni 
 
  1. Ai sensi del presente decreto si intende per: 
    a) «Aggregato»: soggetto pubblico o privato che rende disponibile
l'accesso a propri servizi tramite un soggetto aggregatore; 
    b)  «Aggregatore»:  soggetto  pubblico  o   privato   che   rende
disponibile l'infrastruttura  necessaria  a  consentire  ai  soggetti
aggregati l'erogazione dei loro servizi online tramite la CIE; 
    c) «ANPR»: l'Anagrafe nazionale della popolazione  residente,  di
cui all'art. 62 del CAD; 
    d) «Attributi identificativi»: gli attributi  personali  previsti
dal presente decreto che consentono la piena fruizione dei servizi in
rete; 
    e) «Autenticazione  informatica»:  un  processo  elettronico  che
consente di confermare l'identificazione elettronica di  una  persona
fisica o giuridica tramite la CIEId, ai sensi dell'art. 64  del  CAD,
finalizzata all'accesso ai  servizi  erogati  in  rete  dai  soggetti
pubblici e dai soggetti privati, sia in ambito nazionale che europeo,
in conformita' alle prescrizioni del regolamento UE n. 910/2014; 
    f) «CAD»: il  Codice  dell'amministrazione  digitale  di  cui  al
decreto legislativo 7 marzo 2005, n. 82, e successive modifiche; 
    g) «CIE»:  il  documento  d'identita'  personale  rilasciato  dal
Ministero dell'interno denominato «Carta d'identita' elettronica»; 
    h)  «CIEId»:  l'identita'  digitale  rilasciata  al  cittadino  e
associata alla CIE; 
    i) «credenziali»: gli strumenti utilizzati  per  l'autenticazione
ai  servizi  in  rete  che,  in  conformita'  al  regolamento  eIDAS,
determinano il livello basso (livello 1), significativo  (livello  2)
ed elevato (livello 3) delle identita' digitali; 
    j) «domicilio digitale»: il domicilio digitale definito  all'art.
1, comma 1, lettera n-ter) del CAD; 
    k) «Firma elettronica avanzata»: la  firma  elettronica  avanzata
conforme al regolamento UE 910/2014 e al decreto del  Presidente  del
Consiglio dei ministri sulle firme; 
    l) «Fornitori di servizi» (FdS): ai fini  del  presente  decreto,
sono i soggetti pubblici e privati, gli aggregatori e  i  gestori  di
servizi  pubblici  che  consentono  direttamente   o   indirettamente
l'accesso ai servizi online tramite la  CIEId  a  persone  fisiche  o
giuridiche; 
    m) «Gestore  dell'identita'  digitale»:  il  soggetto  che  rende
disponibile e gestisce l'identita' digitale CIEId; 
    n)  «Gestori  di  servizi  pubblici»:  le  societa'  quotate,  in
relazione ai servizi di pubblico interesse (art. 2, comma 2,  lettera
b) del CAD) e le societa' a controllo  pubblico,  come  definite  nel
decreto legislativo 19 agosto 2016, n. 175 (art. 2, comma 2,  lettera
c)  del  CAD)  che  richiedono  il  riconoscimento  dello  status  di
aggregatore per l'esercizio dei servizi di  pubblico  interesse  alle
stesse affidati; 
    o) «IdANPR»: l'identificativo univoco del cittadino  assegnatogli
dalla ANPR; 
    p) «Identita' digitale»: la  rappresentazione  informatica  della
corrispondenza  biunivoca  tra  un  utente   e   i   suoi   attributi
identificativi, verificata attraverso l'insieme dei dati  raccolti  e
registrati in forma digitale secondo le modalita' di cui al  presente
decreto; 
    q) «IPZS» o «Poligrafico»: il Poligrafico  e  Zecca  dello  Stato
S.p.a.; 
    r) «Ministero»: il Ministero dell'interno; 
    s)  «NIS»:  il  numero  univoco  casuale  associato  alla  carta,
memorizzato nel chip e leggibile liberamente; 
    t) «Numero unico nazionale»: numero di serie del documento avente
il seguente formato: due lettere - cinque numeri - due  lettere  (es.
CA00000AA); 
    u)  «PIN»:  il  codice  segreto   personale,   modificabile   dal
cittadino,  necessario  per  fruire  dei   servizi   che   richiedono
l'autenticazione  in  rete  o  per   l'apposizione   di   una   firma
elettronica; 
    v)   «Portale   dell'identita'   del   cittadino»:    piattaforma
informatica che consente  al  cittadino  la  gestione  della  propria
identita' digitale CIEId; 
    w) «Portale di federazione»: piattaforma informatica che consente
a un FdS di  aderire  allo  schema  di  autenticazione  CIE  mediante
procedura  automatizzata  e  agli  aggregatori  di   inserire   nella
federazione i soggetti aggregati; 
    x) «Portale»: il sito web istituzionale e informativo della CIE; 
    y)  «PUK»:  il  codice  personale  non  modificabile  di  sblocco
necessario alla riattivazione del PIN a seguito di relativo blocco; 
    z) «Regolamento eIDAS»:  il  regolamento  (UE)  n.  910/2014  del
Parlamento europeo e del Consiglio del 23 luglio 2014; 
    aa) «Soggetto privato»: persona giuridica  non  rientrante  nella
definizione di «soggetto pubblico» che utilizza l'identita'  digitale
CIEId; 
    bb) «Soggetto pubblico»:  le  pubbliche  amministrazioni  di  cui
all'art. 1, comma 2, del decreto legislativo 30 marzo 2001,  n.  165,
nel rispetto del riparto di competenza  di  cui  all'art.  117  della
Costituzione, ivi comprese le autorita' di sistema portuale,  nonche'
le autorita' amministrative indipendenti  di  garanzia,  vigilanza  e
regolazione» (art. 2, comma 2, lettera a) del CAD), e  i  gestori  di
servizi pubblici; 
    cc) «Sistema informativo  dei  trapianti»  o  «SIT»,  il  sistema
istituito nell'ambito del Sistema informativo sanitario nazionale  in
base all'art. 7 della legge 1° aprile 1999, n. 91,  che  consente  la
raccolta, in un'unica banca dati, delle manifestazioni di volonta' in
tema di donazione degli organi e tessuti espresse dai cittadini; 
    dd) servizio in rete o on-line: qualsiasi servizio della societa'
dell'informazione definiti dall'art. 2,  comma  1,  lettera  a),  del
decreto  legislativo  9  aprile  2003,  n.  70,  o  dei  servizi   di
un'amministrazione  o  di  un  ente  pubblico  erogati  agli   utenti
attraverso sistemi informativi accessibili in rete. 
                               Art. 2 
 
                               Oggetto 
 
  1. Il presente decreto definisce  le  modalita'  di  impiego  e  di
gestione dell'identita' digitale rilasciata al cittadino e  associata
alla CIE quale strumento di accesso ai servizi erogati in rete  dalle
pubbliche amministrazioni e dai privati  che  integra  un  regime  di
identificazione  elettronica  ai  sensi  del  regolamento  eIDAS.  Il
decreto definisce, inoltre, i dati personali, di contatto o  comunque
strumentali  alla  fruizione  dei  servizi  in  rete  da  parte   dei
cittadini. 
                               Art. 3 
 
                  L'identita' digitale CIE (CIEId) 
 
  1. L'identita' digitale CIE (CIEId)  consente  la  rappresentazione
informatica della corrispondenza tra un utente  e  i  suoi  attributi
identificativi, ai sensi del CAD, verificata attraverso l'insieme dei
dati raccolti e registrati in forma digitale al momento del  rilascio
della CIE o tramite il suo utilizzo, secondo  le  modalita'  previste
nel presente decreto. La CIEId e' comprovata dal cittadino attraverso
l'uso della CIE o delle credenziali rilasciate dal Ministero ai sensi
dell'art. 7, comma 1, lettera l) ed e' costituita da tali strumenti e
dai dati di cui all'art. 6 del presente decreto. 
                               Art. 4 
 
             Le credenziali della identita' digitale CIE 
 
  1. La CIEId prevede l'utilizzo di tre diversi livelli di  sicurezza
di autenticazione informatica  per  l'accesso  ai  servizi  in  rete,
rispettivamente di livello 1, 2 e 3, corrispondenti ai livelli basso,
significativo ed elevato del regolamento eIDAS. 
  2. Le credenziali di livello 1 sono basate su un singolo fattore di
autenticazione basato su conoscenza, possesso, o inerenza. 
  3. Le credenziali di livello 2 sono basate su un doppio fattore  di
autenticazione scelti fra conoscenza, possesso, inerenza. 
  4. Le credenziali di livello  3,  sono  basate  sull'uso  materiale
della CIE (possesso) e un fattore di autenticazione fra conoscenza  e
inerenza. 
  5. Le caratteristiche e le funzionalita' delle credenziali  di  cui
ai commi 2, 3, 4 sono descritte in un manuale pubblicato sul  portale
ove e' pubblicata anche una guida utente. 
  6. Il Ministero effettua una valutazione d'impatto sulla protezione
dei dati ai sensi dell'art. 35  del  regolamento  (UE)  2016/679,  da
sottoporre  alla  consultazione  preventiva  del   Garante   per   la
protezione dei dati personali, nella quale sono individuate le misure
adeguate a rispettare il regolamento e il codice  per  la  protezione
dei dati personali. 
                               Art. 5 
 
                 Fornitori di servizi e aggregatori 
 
  1.  Possono  integrare  l'accesso  ai  servizi  con   CIEId,   alle
condizioni e con le modalita' rese note dal Ministero sul portale,  i
FdS di cui all'art. 1, comma 1, lettera l). 
  2. Non possono aderire alla federazione i soggetti privati  il  cui
rappresentante legale o i soggetti preposti all'amministrazione  o  i
componenti dell'organo preposto al controllo della societa' risultino
condannati con sentenza passata in giudicato  per  reati  commessi  a
mezzo di sistemi informatici. 
  3. La verifica della sussistenza delle predette cause  ostative  e'
svolta dal Ministero nel  corso  di  una  specifica  istruttoria,  al
termine della quale, in assenza di  cause  ostative,  il  Poligrafico
provvedera' alla verifica dei requisiti tecnici necessari. 
  4. Nel caso in cui i FdS privati siano  gia'  stati  ammessi  dalla
Agenzia per l'Italia digitale alla federazione SPID, le verifiche  di
cui al comma 3 sono limitate ai requisiti tecnici. 
                               Art. 6 
 
            Acquisizione dei dati personali del cittadino 
 
  1. L'attivazione delle credenziali di livello 1, 2 e 3 puo'  essere
effettuata con le modalita' descritte nel manuale di cui all'art.  4,
comma 5. In tale fase sono raccolte le seguenti informazioni, oggetto
di trattamento necessario da parte del gestore per  l'esecuzione  del
compito di interesse pubblico, del richiedente la CIEId e alla stessa
associate: 
    a. Nome; 
    b. Cognome; 
    c. Codice fiscale; 
    d. Data di nascita; 
    e. Luogo di nascita; 
    f. Sesso; 
    g. Estremi della carta d'identita'; 
    h. IdANPR (prelevato da ANPR se disponibile); 
    i. Numero di telefonia mobile; 
    j. Indirizzo di posta elettronica; 
    k. Residenza anagrafica; 
    l. Domicilio digitale (facoltativo); 
    m. Numero di telefonia fissa (facoltativo). 
  Il domicilio digitale, se disponibile su ANPR,  viene  proposto  al
cittadino, che puo' accettarlo o richiedere  che  non  sia  associato
alla propria identita'. Se  il  cittadino  accetta  di  associare  il
domicilio  digitale  alla  propria  identita',  questo  e'  mantenuto
allineato con il dato presente sulla ANPR. 
  Qualora il dato di cui alla lettera k) sia prelevabile dalla  ANPR,
non e' richiesto al cittadino. 
  2. Il sistema provvede a verificare l'effettiva disponibilita'  del
numero di telefonia mobile e dell'indirizzo di posta  elettronica  da
parte del richiedente nei modi descritti nel manuale di cui  all'art.
4, comma 5. Tali dati possono essere usati anche per l'invio da parte
del Ministero di informazioni istituzionali  afferenti  all'identita'
del cittadino, alla sua gestione  e  per  informare  il  titolare  in
merito a nuove funzionalita', salvo che il cittadino abbia  richiesto
di non riceverle tramite il portale dell'identita' del cittadino. 
  3. Gli attributi identificativi richiesti dal FdS,  fra  quelli  di
cui al comma 1, sono forniti  al  FdS  che  li  richiede  durante  il
processo di autenticazione con la CIEId. 
  4. I FdS e i soggetti aggregatori, nel rispetto  del  principio  di
privacy by design e di minimizzazione dei dati,  devono  limitare  la
richiesta di dati  al  set  minimo  necessario  per  l'erogazione  di
ciascun servizio. 
                               Art. 7 
 
                 Funzioni del Ministero dell'interno 
 
  1. Il Ministero, Dipartimento per gli affari interni e territoriali
- Direzione centrale per i servizi demografici, assicura il  supporto
necessario  ai  comuni  e  agli  uffici  consolari  per  il  corretto
espletamento delle attivita'  connesse  all'attuazione  del  presente
decreto.  Il  Ministero  mette  a   disposizione,   avvalendosi   del
Poligrafico, quanto segue: 
    a) l'identita' digitale CIEId; 
    b) le funzioni di autenticazione con la CIEId; 
    c) il portale di federazione per i FdS; 
    d) il portale dell'identita' del  cittadino  CIEId,  per  la  sua
gestione da parte del cittadino; 
    e) il sistema di gestione del NIS per l'utilizzo della CIE; 
    f) i servizi per il recupero del PUK della CIE; 
    g) un software per generare la firma elettronica avanzata con  la
CIE e la sua verifica; 
    h) un servizio di help desk per il cittadino e per i FdS; 
    i)  un  registro  contenente  lo  storico  delle  transazioni  di
utilizzo della propria  CIEId  e  delle  funzionalita'  di  cui  alle
lettere a), b), d), f) ed l); 
    l) le credenziali di autenticazione di livello basso (livello  1)
e  significativo  (livello  2)  conformi  a   quanto   previsto   dal
regolamento di esecuzione (UE)  2015/1502  della  Commissione  dell'8
settembre 2015; 
    m) un servizio di assistenza tecnica  ai  comuni  e  agli  uffici
consolari per l'espletamento delle attivita' di cui  all'art.  8  del
presente decreto. 
                               Art. 8 
 
            Funzioni dei comuni e degli uffici consolari 
 
  1. I comuni e gli uffici consolari informano i richiedenti  la  CIE
che si recano presso  i  loro  uffici  in  merito  alla  facolta'  di
attivare le credenziali di autenticazione di cui al comma 1,  lettera
l) dell'art. 7 e raccolgono i dati personali di cui  all'art.  6  del
presente decreto. 
                               Art. 9 
 
                          Funzioni di IPZS 
 
  1. Considerata la natura di carta valori della carta di  identita',
Il Ministero si avvale di IPZS per adempiere  alle  funzioni  di  cui
all'art. 7 e all'art. 11. 
  2. IPZS provvede alla realizzazione e all'esercizio delle soluzioni
individuate  dal  Ministero  ed  approvate  in  sede  di  Commissione
interministeriale permanente della CIE di cui all'art. 9, comma 2 del
decreto ministeriale  23  dicembre  2015,  per  estendere  servizi  e
funzionalita' di cui all'art. 7 e all'art. 11. 
  3. Per lo svolgimento delle attivita' connesse  all'attuazione  del
presente decreto, IPZS fornisce alla Direzione centrale per i servizi
demografici  ed  al  personale  addetto,   adeguata   documentazione,
formazione del relativo personale e supporto tecnico. 
                               Art. 10 
 
                 L'uso della CIEId da parte dei FdS 
 
  1. L'accesso per il tramite della CIEId ai servizi erogati in  rete
dai FdS e' possibile  mediante  un  sistema  informatico,  denominato
«CieID Server», reso disponibile in rete dal Ministero dell'interno. 
  2. Al fine di  rendere  accessibili  i  propri  servizi  online,  i
soggetti pubblici e privati implementano quanto disposto nei  manuali
operativi per le  pubbliche  amministrazioni  e  i  soggetti  privati
pubblicati a cura del Ministero dell'interno sul portale  Federazione
erogatori servizi (interno.gov.it) e su Docs Italia. 
  3. Il Ministero dell'interno ha facolta' di interdire ai FdS  e  ai
soggetti  aggregatori  l'accesso  al  «CieID  Server»  in   caso   di
violazione del presente decreto o  delle  regole  tecniche  da  parte
dell'aderente, per sopravvenute cause ostative  di  cui  all'art.  5,
comma 2, a causa di comportamenti che costituiscono una minaccia alla
protezione dei dati personali o alla sicurezza informatica. 
  4. «CieID Server» riceve con  la  richiesta  di  autenticazione  da
parte del FdS l'elenco degli attributi identificativi  necessari  per
l'accesso al servizio. Effettuata l'autenticazione, fornisce  al  FdS
gli attributi identificativi richiesti ai sensi dell'art. 6. 
                               Art. 11 
 
              L'uso della CIEId da parte dei minorenni 
 
  1. L'accesso ai servizi in rete da parte dei minorenni  e'  gestito
dal CieID Server  in  modo  da  agevolare  il  controllo  genitoriale
finalizzato a verificare il corretto utilizzo dei servizi in rete  da
parte dei minorenni sotto la propria tutela. A tal fine, con apposito
provvedimento,  sentito  il  Garante  per  la  protezione  dei   dati
personali, il Ministero individua le funzionalita'  necessarie  e  le
misure  a  tutela  degli  interessati  e  ne  affida  lo  sviluppo  e
l'esercizio a IPZS. 
                               Art. 12 
 
                      Integrazione con la ANPR 
 
  1.  Il  sistema  e'  connesso  alla  ANPR  al  fine   di   ricevere
giornalmente i dati afferenti ai soggetti  deceduti  e  procedere  al
blocco tempestivo della CIEId. Tali dati sono conservati per il tempo
strettamente necessario a eseguire la revoca delle CIEId intestate  a
tali soggetti. 
  2. La ANPR e' connessa al  sistema  anche  al  fine  di  assicurare
l'aggiornamento   delle   informazioni   relative   alla    residenza
anagrafica, all'identificativo univoco del cittadino  (IdANPR)  e  al
domicilio digitale del cittadino ove presente. 
                               Art. 13 
 
                      Il registro degli accessi 
 
  1. Al fine di consentire ai cittadini di  avere  evidenza  dell'uso
della propria CIEId, di tutelarli dall'uso illecito da parte di terzi
della  propria  identita'  digitale.   Il   Ministero   conserva   le
registrazioni degli accessi relativi all'utilizzo della  CIEId  negli
ultimi ventiquattro mesi e, per il medesimo periodo, le  evidenze  in
merito alla gestione della CIEId da parte del  cittadino,  attraverso
il portale dell'identita' del cittadino.  Il  registro  contiene  per
ogni processo di autenticazione a servizi in  rete  la  richiesta  di
autenticazione e la relativa risposta. 
  2. I  dati  contenuti  nel  registro,  compresi  quelli  personali,
possono essere estratti  dal  registro  esclusivamente  su  richiesta
della autorita' giudiziaria, delle autorita' vigilanti e dei titolari
della CIEId, tramite personale espressamente incaricato appositamente
dotato  di  credenziali  di  accesso  personali.  L'accesso  a   tali
informazioni e' registrato in appositi log. 
  3. Al fine  di  monitorare  e  migliorare  i  servizi,  IPZS  invia
periodicamente  al  Ministero  una  relazione  contenente,  in  forma
aggregata,  in  modo  che  non  sia  possibile  identificare,   anche
indirettamente,    l'interessato,    informazioni    relative    agli
interessati, eventualmente anche suddivisi per FdS  acceduto,  fascia
giornaliera  di  accesso,  tipologia   di   credenziali   utilizzate,
provincia (residenza), fascia di eta' e sesso. Le misure di  garanzia
adottate sono individuate nella valutazione d'impatto di cui all'art.
4, comma 6 in cui sono  indicate  le  soglie  minime  per  rispettare
l'anonimato. Per i medesimi fini, tali dati potranno  essere  forniti
in forma aggregata ai soggetti interessati su richiesta degli  stessi
al Ministero. Alcuni dati in forma  aggregata  potranno  essere  resi
pubblici. 
  4. Al fine di imputare le operazioni effettuate sui propri  sistemi
tramite la CIEId alle singole identita' digitali, i FdS conservano il
registro degli accessi avvenuti negli ultimi ventiquattro mesi. 
  5. Le registrazioni di cui ai commi  1  e  4  sono  conservate  nel
rispetto della normativa vigente in materia di  protezione  dei  dati
personali. 
  6. Salvo quanto disposto al comma 3, l'accesso  ai  dati  personali
tracciati e'  consentito  esclusivamente  a  personale  espressamente
incaricato  per  le  finalita'  sopra  elencate.  Gli  accessi   sono
rilevati, collocati temporalmente e salvati al fine di consentire  di
accertare quando e  quali  soggetti  hanno  acceduto  alla  specifica
informazione e la causale dell'accesso. 
  7. Nel caso in cui il Ministero sia fornitore di servizi  in  rete,
mantiene separati i registri di tracciatura delle  transazioni  cosi'
come le banche dati relative alla gestione delle identita'  digitali.
Tale vincolo di separazione deve essere applicato anche nei confronti
degli accessi degli operatori  di  help  desk  e  nella  gestione  di
cruscotti di self-caring. 
  8. Il Poligrafico predispone un processo di conservazione  dei  log
atto a garantire l'integrita',  la  disponibilita'  e  la  protezione
delle informazioni conservate. 
                               Art. 14 
 
                Portale dell'identita' del cittadino 
 
  1. Il portale dell'identita' del cittadino,  realizzato  e  gestito
dal Poligrafico su indicazioni del Ministero,  previa  autenticazione
con la propria CIEId, consente: 
    a. di  visualizzare  e  stampare  la  lista  delle  richieste  di
autenticazione   all'Identity   Provider   CIE   -   servite    negli
ultimi ventiquattro mesi  -  effettuate  dal  cittadino  mediante  la
propria identita' CIEId  con  l'evidenza  dei  dettagli  di  ciascuna
transazione; 
    b. di inserire e aggiornare i seguenti dati  personali  associati
alla propria CIEId: 
      i. numero di telefonia mobile; 
      ii. numero di telefonia fissa; 
      iii. indirizzo di posta elettronica; 
    c. di richiedere l'invio di una e-mail a fronte di ogni  processo
di autenticazione a servizi online; 
    d. di gestire la propria CIEId; 
    e. di visualizzare, esprimere o revocare la propria  volonta'  in
merito alla donazione di organi e tessuti. 
  2.  Il  Ministero  individua,  in  base  alla  criticita'  di  ogni
operazione effettuabile sul portale e nell'ambito  della  valutazione
d'impatto di cui  all'art.  4,  comma  5,  il  livello  minimo  delle
credenziali di autenticazione necessarie. 
                               Art. 15 
 
                          Recupero del PUK 
 
  1. Il cittadino in  possesso  della  CIE,  che  ha  associato  alla
propria identita' digitale un indirizzo di  posta  elettronica  o  un
numero di telefonia mobile, puo' recuperare online il PUK della CIE. 
  2.  Sul  portale  di  cui  all'art.   14,   senza   necessita'   di
autenticazione, sono accessibili  le  istruzioni  necessarie  per  il
recupero del PUK. 
                               Art. 16 
 
                     Firma elettronica avanzata 
 
  1. Al fine di creare le condizioni necessarie per  semplificare  la
verifica delle firme elettroniche avanzate generate tramite  la  CIE,
il Ministero dell'interno fornisce all'Agenzia per l'Italia  digitale
i  certificati  delle  autorita'  di  certificazione   che   emettono
certificati utili alla generazione delle firme elettroniche  avanzate
tramite la CIE, al  fine  della  loro  pubblicazione  nell'elenco  di
fiducia di cui all'art. 22, paragrafo 5, del regolamento eIDAS. 
  2. Il Ministero, avvalendosi del Poligrafico, rende disponibile  un
applicativo per la verifica e la generazione delle firme elettroniche
avanzate tramite la CIE. 
                               Art. 17 
 
                      Servizi correlati al NIS 
 
  1. La CIE e' dotata di  un  Numero  identificativo  servizi  (NIS),
numero casuale e univoco di sedici cifre associato ad ogni  carta  di
identita' elettronica, leggibile liberamente dal chip. 
  2.  Le  caratteristiche  di  sicurezza  del  chip   consentono   di
verificare l'autenticita' del NIS. 
  3. Il NIS non consente di risalire ai dati personali  del  titolare
della CIE mediante semplice lettura. 
  4. Il Ministero, sentito il Garante  per  la  protezione  dei  dati
personali, disciplina con separato atto le modalita' e i requisiti di
accesso al servizio di cui all'art.  7,  comma  1,  lettera  e),  nel
rispetto  dei  principi  di  liceita',  correttezza  e   trasparenza,
limitazione della  finalita'  e  minimizzazione  dei  dati  che  puo'
consentire: 
    a) inviando il NIS e leggendo il  chip  della  CIE,  di  ottenere
conferma della autenticita' e originalita' della CIE; 
    b)  inviando  il  NIS,   di   ottenere   lo   stato   della   CIE
(valida/scaduta/revocata e l'eventuale data di invalidita'); 
    c) inviando il NIS e il numero seriale della CIE  corrispondente,
di   ottenere   il   codice   fiscale   e   lo   stato   della    CIE
(valida/scaduta/revocata e l'eventuale data di invalidita'; 
    d) inviando il codice fiscale  e  il  numero  seriale  della  CIE
corrispondente,  di  ottenere  il  NIS   e   lo   stato   della   CIE
(valida/scaduta/revocata e l'eventuale data di invalidita'). 
                               Art. 18 
 
Monitoraggio  del  Ministero  sulle  attivita'  del   Poligrafico   e
                    collaborazione con il Garante 
 
  1. Il Ministero svolge funzioni di monitoraggio, anche  sulla  base
delle segnalazioni fatte dai cittadini,  allo  scopo  di  valutare  e
garantire la disponibilita' dell'identita' digitale  CieID.  Ai  fini
dell'attivita' di monitoraggio, il Poligrafico rende  tempestivamente
disponibili al Ministero: 
    a) gli incidenti di sicurezza e privacy rilevati; 
    b) le informazioni relative a disservizi. 
  2. Nell'ambito dell'attivita'  di  monitoraggio  il  Ministero  ove
riscontri casi in cui sussistano elementi per ritenere  sia  avvenuta
una violazione dei dati personali, provvede alla notifica al Garante,
con le modalita' e i contenuti di cui  all'art.  33  del  regolamento
(UE) 2016/679, fermi restando gli obblighi previsti dall'art. 34  del
medesimo regolamento. 
                               Art. 19 
 
                    Donazione di organi e tessuti 
 
  1. Fermo restando quanto previsto dal decreto del 23 dicembre  2015
recante «Modalita' tecniche  di  emissione  della  Carta  d'identita'
elettronica» pubblicato  nella  Gazzetta  Ufficiale  n.  302  del  30
dicembre 2015 e successive modificazioni, il cittadino maggiorenne ha
la facolta' di indicare il proprio  consenso,  ovvero  diniego,  alla
donazione di organi e tessuti in caso di morte  anche  attraverso  il
portale dell'identita' del cittadino reso disponibile  dal  Ministero
dell'interno che, in tal caso, provvede all'invio del  dato  relativo
alla donazione  di  organi  e  tessuti  al  SIT  nel  rispetto  delle
disposizioni del decreto del Ministero  della  salute,  di  cui  alla
legge 24 dicembre 2012, n. 228, art. 1, comma 340, senza conservarlo. 
  2. Tale dato e' criptato in modo da essere accessibile solo al  SIT
per l'aggiornamento della banca dati dei donatori. 
  3. Il portale dell'identita' del cittadino, interagendo con il SIT,
consente al cittadino di visualizzare,  cancellare  e  modificare  la
propria volonta'. 
  4. La funzionalita' che consente l'espressione o la modifica  della
propria volonta' in merito alla donazione  di  organi  e  tessuti  e'
disponibile esclusivamente previo accesso sul portale con credenziali
di livello 3.  La  visualizzazione  della  propria  volonta',  previa
autenticazione con credenziali di livello 2 o 3. 
  5. Nei log del  portale  dell'identita'  del  cittadino  non  viene
registrata la scelta del cittadino,  ma  solamente  l'utilizzo  delle
funzionalita' di  visualizzazione,  cancellazione  e  modifica  della
volonta'. 
  6. Al fine di consentire ai  cittadini  di  effettuare  una  scelta
consapevole in ordine alla donazione  di  organi  e  di  tessuti  del
proprio corpo successivamente alla morte, l'esercizio della  facolta'
di cui  al  comma  1  del  presente  articolo  e'  consentito  previo
accertamento della  presa  visione  del  materiale  informativo  reso
disponibile dal Centro nazionale trapianti. 
  7. Prima di  rendere  disponibili  le  funzionalita'  previste  dal
presente articolo, il Ministero  condivide  con  il  Ministero  della
salute le modalita' di trattamento al fine  di  assicurare  il  pieno
coordinamento con la specifica normativa in materia di prelievi e  di
trapianti di organi e tessuti, dandone comunicazione al  Garante  per
la protezione dei dati personali. 
                               Art. 20 
 
                        Trattamento dei dati 
 
  1. Ai fini del rilascio  della  CIEId  e  della  sua  gestione,  il
trattamento dei dati  personali  e'  effettuato  nel  rispetto  delle
disposizioni del regolamento UE 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati, che abroga  la  direttiva  95/46/CE
(regolamento generale sulla protezione  dei  dati),  e  nel  rispetto
delle disposizioni del decreto legislativo 30 giugno  2003,  n.  196,
recante  «Codice  per  la  protezione  dei  dati   personali»,   come
modificato dal decreto legislativo 10 agosto 2018,  n.  101,  recante
«Disposizioni  per  l'adeguamento  della  normativa  nazionale   alle
disposizioni del regolamento (UE) 2016/679». 
  2. Il Ministero dell'interno e' titolare del trattamento  dei  dati
di cui all'art. 6, per l'emissione dell'identita'  digitale  CieId  e
l'esercizio delle funzioni di cui all'art. 7 che si avvale dei comuni
e del Ministero degli affari esteri nominati, ai sensi  dell'art.  28
del regolamento UE 2016/679,  responsabili  del  trattamento  per  la
raccolta dei dati di cui all'art. 6  per  l'emissione  dell'identita'
digitale CieId. 
  3. Il Centro nazionale trapianti (CNT) e' titolare del  trattamento
dei dati effettuato nell'ambito  del  Sistema  informativo  trapianti
(SIT) relativi alla volonta' della donazione di organi e tessuti.  Il
CNT si avvale del Ministero dell'interno nominato, ai sensi dell'art.
28 del regolamento UE 2016/679, Responsabile del trattamento  per  la
gestione dell'espressione della volonta' alla donazione di  organi  e
tessuti. 
  4. Sono individuati meccanismi di informazione tempestiva reciproca
in caso di violazioni  di  sicurezza  o  di  qualsiasi  minaccia  che
comportino un rischio per la sicurezza e per i diritti e le  liberta'
degli interessati, anche al fine  di  agevolare  l'adempimento  degli
obblighi di cui agli articoli 33 e 34 del regolamento. 
  5. Il Poligrafico e Zecca dello Stato  e'  nominato  dal  Ministero
dell'interno, ai sensi dell'art.  28  del  regolamento  UE  2016/679,
Responsabile per il trattamento dei dati personali necessari  per  lo
svolgimento delle funzioni di cui al presente decreto. 
                               Art. 21 
 
                 Clausola di invarianza finanziaria 
 
  1. Le attivita' del presente decreto sono realizzate con le risorse
umane, strumentali e finanziarie disponibili a legislazione  vigente,
senza nuovi o maggiori oneri a carico della finanza pubblica. 
  2. Il presente decreto, che sara' trasmesso ai competenti organi di
controllo, entra  in  vigore  il  giorno  della  pubblicazione  nella
Gazzetta Ufficiale della Repubblica italiana. 
    Roma, 8 settembre 2022 
 
                      Il Ministro dell'interno 
                              Lamorgese 
 
                             Il Ministro 
                    per l'innovazione tecnologica 
                      e la transizione digitale 
                                Colao 
 
                      Il Ministro dell'economia 
                           e delle finanze 
                               Franco 
 

Registrato alla Corte dei conti il 23 settembre 2022 
Ufficio di controllo sugli atti  del  Ministero  dell'interno  e  del
Ministero della difesa, n. 2433