§ 31.1.186 - D.P.C.M. 30 ottobre 2014, n. 193.

Regolamento recante disposizioni concernenti le modalità di funzionamento, accesso, consultazione e collegamento con il CED, di cui all'articolo 8 della legge 1° aprile 1981, n. 121, della Banca dati nazionale unica della documentazione antimafia, istituita ai sensi dell'articolo 96 del decreto legislativo 6 settembre 2011, n. 159.

(G.U. 7 gennaio 2015, n. 4)

 

     IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

 

     Visto il decreto legislativo 6 settembre 2011, n. 159 e successive modificazioni, recante: "Codice delle leggi antimafia e delle misure di prevenzione, nonchè nuove disposizioni in materia di documentazione antimafia, a norma degli articoli 1 e 2 della legge 13 agosto 2010, n. 136" ed in particolare, l'articolo 99, comma 1, del predetto decreto legislativo n. 159 del 2011, che rimette all'adozione di uno o più regolamenti la disciplina delle modalità di funzionamento e di organizzazione della Banca dati nazionale unica della documentazione antimafia, anche per ciò che concerne le procedure di accesso, registrazione e consultazione, nonchè le modalità di collegamento ad altre banche dati;

     Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400;

     Acquisito il parere del Ministero dell'economia e delle finanze;

     Sentito il Garante per la protezione dei dati personali;

     Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 6 marzo 2014;

     Sulla proposta del Ministro dell'interno di concerto con i Ministri per la semplificazione e la pubblica amministrazione, della giustizia, dello sviluppo economico, delle infrastrutture e dei trasporti;

 

     Adotta

     il seguente regolamento:

 

Capo I

DISPOSIZIONI GENERALI

 

Art. 1. Oggetto

     1. Il presente regolamento disciplina le modalità di funzionamento della Banca dati nazionale unica della documentazione antimafia, di cui al Libro II, Capo V del decreto legislativo 6 settembre 2011, n. 159, ai fini del rilascio della documentazione antimafia.

     2. A tal fine esso individua inoltre le modalità di autenticazione, autorizzazione e di registrazione degli accessi e delle operazioni, effettuate sulla predetta Banca dati, di consultazione e accesso da parte dei soggetti individuati, rispettivamente, dagli articoli 97, comma 1, e 99, comma 1, lettere c) e d), del citato decreto legislativo n. 159 del 2011.

     3. Il presente regolamento stabilisce, altresì, le modalità di collegamento della Banca dati nazionale unica della documentazione antimafia con il Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121, nonchè con altre banche dati detenute da soggetti pubblici contenenti dati necessari per il rilascio della documentazione antimafia.

 

     Art. 2. Definizioni

     1. Ai fini del presente regolamento, si intende per:

     a) "Banca dati nazionale", la Banca dati nazionale unica della documentazione antimafia;

     b) "Camera di commercio", la Camera di commercio, industria, artigianato e agricoltura;

     c) "CED", il Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121;

     d) "Codice antimafia", il decreto legislativo 6 settembre 2011, n. 159;

     e) "DIA", la Direzione Investigativa antimafia, istituita ai sensi dell'articolo 108 del Codice antimafia;

     f) "DNA", la Direzione Nazionale Antimafia, istituita ai sensi dell'articolo 103 del Codice antimafia;

     g) "Dipartimento per le politiche del personale dell'Amministrazione civile", il Dipartimento per le politiche del personale dell'amministrazione civile, per le risorse strumentali e finanziarie del Ministero dell'interno;

     h) "Prefettura-UTG", la Prefettura - Ufficio Territoriale del Governo;

     i) "Prefettura-UTG competente", la Prefettura - Ufficio Territoriale del Governo competente territorialmente per il luogo di residenza o di sede legale della persona fisica, dell'impresa, dell'associazione o di altro soggetto giuridico nei cui confronti viene richiesto il rilascio della documentazione antimafia;

     l) "Prefettura-UTG designata", la Prefettura - Ufficio Territoriale del Governo che, in base a disposizioni di legge o altri provvedimenti attuativi di esse è designata al rilascio della documentazione antimafia, in deroga alle disposizioni di cui agli articoli 87, commi 1 e 2, e 90, commi 1 e 2, del Codice antimafia;

     m) "DIS", il Dipartimento delle informazioni per la sicurezza;

     n) "AISE", l'Agenzia informazioni e sicurezza esterna;

     o) "AISI", l'Agenzia informazioni e sicurezza interna.

     2. Ai fini del presente regolamento, si intende, inoltre, per:

     a) "accesso", l'operazione di trattamento elettronico che consente di acquisire conoscenza dei dati conservati nella Banca dati nazionale o in altre banche dati e di estrarne copia su qualunque tipo di supporto;

     b) "consultazione", l'operazione di trattamento elettronico che consente ai soggetti di cui all'articolo 83, commi 1 e 2, del Codice antimafia, attraverso il collegamento alla Banca dati nazionale, di richiedere e, se del caso, ottenere il rilascio immediato ed automatico della documentazione antimafia, senza avere visibilità del dettaglio dei dati in essa contenuti;

     c) "immissione", l'operazione di trattamento elettronico che consente l'inserimento di dati nella Banca dati nazionale, per le finalità per cui essa è istituita, nel rispetto dei principi di esattezza, pertinenza, completezza e non eccedenza stabiliti dal decreto legislativo 30 giugno 2003, n. 196;

     d) "aggiornamento", l'operazione di trattamento elettronico che consente di modificare o di cancellare, con modalità sicure, i dati già contenuti nella Banca dati nazionale, nel rispetto dei principi di esattezza, pertinenza, completezza e non eccedenza stabiliti dal decreto legislativo 30 giugno 2003, n. 196;

     e) "interrogazione", l'operazione di collegamento telematico con la Banca dati nazionale al fine di effettuare l'accesso, la consultazione, l'immissione e l'aggiornamento, o l'accesso ai dati conservati nella medesima Banca dati;

     f) "impresa", la persona fisica in quanto eserciti attività di impresa, l'impresa individuale o organizzata in forma societaria, l'associazione o altro soggetto giuridico nei cui confronti è stata richiesta o rilasciata la documentazione antimafia;

     g) "operatore", la persona fisica alle dipendenze di uno dei soggetti di cui all'articolo 97 del Codice antimafia, ovvero appartenente all'Amministrazione civile dell'interno, alle Forze di polizia, alla DNA ed alla DIA nei cui confronti sono state rilasciate le credenziali di autenticazione che consentono l'accesso o la consultazione della Banca dati nazionale.

     3. Ai fini del presente regolamento si intendono, altresì, per:

     a) "autenticazione", l'insieme degli strumenti elettronici delle procedure per la verifica dell'identità dell'operatore;

     b) "autenticazione forte", metodo di autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale;

     c) "casella di posta elettronica corporate", casella di posta elettronica istituzionale rilasciata all'operatore dall'amministrazione o ente di appartenenza;

     d) "censita", l'impresa nei cui confronti risulta, agli archivi informativi della Banca dati nazionale, essere stata già rilasciata la documentazione antimafia, liberatoria o interdittiva, ancorchè non più in corso di validità;

     e) "client", postazione di lavoro informatica che accede ai servizi o alle risorse di un'altra componente servente;

     f) "credenziali di autenticazione", i dati e i dispositivi in possesso dell'operatore, da questi conosciuti e ad esso univocamente correlati, necessari per l'autenticazione;

     g) "identità federata", meccanismo per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza distinti, in modo che gli operatori possano eseguire l'autenticazione sui propri sistemi ottenendo così l'accesso alle applicazioni e servizi che appartengono ad un'altra organizzazione;

     h) "login", la procedura di autenticazione per l'effettuazione di operazioni di trattamento all'interno della Banca dati nazionale;

     i) "OTP", la one time password, cioè password valida solo per una singola sessione di trattamento dei dati della Banca dati nazionale utilizzata dagli operatori cui sono state rilasciate le credenziali di autenticazione;

     l) "password", sequenza di caratteri alfanumerici utilizzata per accedere in modo esclusivo a una risorsa informatica;

     m) "pin", Personal Identification Number, codice numerico che consente l'uso di dispositivi elettronici solo a chi ne è a conoscenza;

     n) "profilo di autorizzazione", l'insieme delle informazioni univocamente associate ad un operatore che consente di individuare a quali dati della Banca dati nazionale l'operatore può accedere, nonchè i trattamenti a questo consentiti;

     o) "SDI", il "Sistema di Indagine" informativo gestito dal CED;

     p) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano il trattamento dei dati della Banca dati nazionale in funzione del profilo di autorizzazione riconosciuto all'operatore a seconda della categoria di soggetti cui esso appartiene o da cui dipende;

     q) "URL", l'Uniform Resource Locator, sequenza di caratteri che identifica univocamente l'indirizzo della rete internet della Banca dati nazionale;

     r) "username", nome con il quale l'utente viene riconosciuto da un computer o da un programma informatico;

     s) "VPN", Virtual Private Network, rete di telecomunicazione privata virtuale utilizzata dai soggetti legittimati per collegarsi alla Banca dati nazionale;

     t) "web service", sistema software basato su tecnologie e protocolli internet che permette l'integrazione e l'interoperabilità tra diversi sistemi e applicazioni appartenenti alla stessa rete.

 

Capo II

DATI CONTENUTI NELLA BANCA DATI NAZIONALE E FINALITÀ DEL LORO TRATTAMENTO

 

     Art. 3. Finalità dei trattamenti

     1. I dati contenuti nella Banca dati nazionale sono trattati ai fini del rilascio della documentazione antimafia.

     2. I dati di cui al comma 1 possono essere trattati, nell'ambito delle rispettive attribuzioni, anche per finalità di applicazione della normativa antimafia ovvero per scopi statistici, da:

     a) la DIA, nonchè la Direzione centrale della polizia criminale e la Direzione centrale anticrimine della Polizia di Stato del Dipartimento della pubblica sicurezza del Ministero dell'interno;

     b) le Prefetture;

     c) gli uffici e i comandi delle Forze di polizia;

     d) la struttura tecnica del Comitato di coordinamento per l'alta sorveglianza delle grandi opere, istituito ai sensi dell'articolo 180 del decreto legislativo 12 aprile 2006, n. 163.

     3. La DNA tratta i dati contenuti nella Banca dati nazionale per le finalità di cui all'articolo 371-bis del codice di procedura penale.

     4. Al fine di verificare la correttezza dei trattamenti effettuati, la Banca dati nazionale conserva la registrazione delle interrogazioni eseguite, garantendo l'identificazione dell'operatore che le ha compiute.

 

     Art. 4. Contenuto della Banca dati nazionale

     1. La Banca dati nazionale contiene i seguenti dati riguardanti le informazioni e le comunicazioni antimafia, liberatorie e interdittive, rilasciate:

     a) il numero di codice fiscale e di partita IVA, la ragione sociale e la sede legale di ciascuna impresa interessata. Qualora siano intervenute modificazioni della partita IVA, della ragione sociale e della sede legale, i relativi dati devono essere aggiornati dal personale di cui all'articolo 15, comma 1, lettera a), numeri 1 e 2;

     b) la data di rilascio di ciascun provvedimento e la Prefettura-UTG competente o designata che lo ha rilasciato;

     c) l'indicazione della tipologia e della natura della documentazione antimafia rilasciata;

     d) per le informazioni antimafia interdittive, l'indicazione se il provvedimento è stato adottato ai sensi dell'articolo 67 del Codice antimafia ovvero a seguito dell'accertamento di tentativi di infiltrazione mafiosa ai sensi degli articoli 84, comma 4, e 91, comma 6, del Codice antimafia. In quest'ultimo caso, l'indicazione specifica se l'informazione antimafia interdittiva è stata adottata esclusivamente a seguito dell'accertamento dell'esistenza delle situazioni di cui al predetto articolo 84, comma 4, lettere a), b) e c) ovvero di precedente provvedimento di diniego di iscrizione o di cancellazione dall'elenco dei fornitori, prestatori di servizi ed esecutori di lavori non soggetti a tentativo di infiltrazione mafiosa di cui all'articolo 1, comma 52, della legge 6 novembre 2012, n. 190 che abbia comportato informazione antimafia interdittiva.

     2. Ai fini del presente regolamento, si considerano equivalenti alle informazioni antimafia interdittive i provvedimenti di diniego di iscrizione e di cancellazione dagli elenchi di fornitori, prestatori di servizi ed esecutori di lavori non soggetti a tentativi di infiltrazione mafiosa, istituiti presso le Prefetture ai sensi delle disposizioni vigenti.

     3. La Banca dati nazionale contiene, oltre ai dati di cui al comma 1, anche i seguenti:

     a) l'indicazione della sussistenza di comunicazioni emesse nei confronti dell'impresa ai sensi dell'articolo 1-septies del decreto-legge 6 settembre 1982, n. 629, convertito, con modificazioni, dalla legge 12 ottobre 1982, n. 726;

     b) l'indicazione della sussistenza di comunicazioni indirizzate dall'Autorità giudiziaria alle Prefetture concernenti le situazioni di cui all'articolo 84, comma 4, lettera c), del Codice antimafia;

     c) l'indicazione della sussistenza di violazioni degli obblighi di tracciabilità dei flussi finanziari di cui all'articolo 3 della legge 13 agosto 2010, n. 136, commesse con la condizione della reiterazione prevista dall'articolo 8-bis della legge 24 novembre 1981, n. 689;

     d) l'indicazione della sussistenza di violazioni, accertate dalle Prefetture, del divieto di intestazione fiduciaria posto dall'articolo 17 della legge 19 marzo 1990, n. 55;

     e) l'indicazione degli accertamenti in corso disposti dalle Prefetture ai sensi dell'articolo 84, comma 4, lettere d) ed e), ovvero dell'articolo 91, comma 6, del Codice antimafia.

     4. La Banca dati nazionale conserva il registro informatico delle date degli accertamenti disposti dai Prefetti nei confronti di ciascuna impresa censita ai sensi degli articoli 84, comma 4, lettere d), e) ed f), e 93 del Codice antimafia, ancorchè i relativi esiti non abbiano evidenziato l'esistenza delle cause di divieto, decadenza e sospensione di cui all'articolo 67 del Codice antimafia, di tentativi di infiltrazione mafiosa di cui agli articoli 84, comma 4, e 91, comma 6, del Codice antimafia, nonchè delle comunicazioni e delle altre situazioni di cui al comma 3.

     5. I dati presenti negli archivi magnetici della Banca dati nazionale sono soggetti a cifratura.

 

     Art. 5. Periodo di conservazione dei dati contenuti nella Banca dati nazionale

     1. I periodi di tempo di conservazione dei dati di cui all'articolo 4, sono stabiliti come segue:

     a) per i dati relativi alla documentazione antimafia liberatoria, cinque anni. Qualora nei confronti dell'impresa non sia stato richiesto, negli ultimi cinque anni, il rilascio della documentazione antimafia, sono conservati nella Banca dati nazionale i dati relativi al più recente rilascio della comunicazione antimafia liberatoria, nonchè dell'informazione antimafia liberatoria;

     b) per i dati relativi alla documentazione antimafia interdittiva, quindici anni;

     c) per i casi indicati all'articolo 4, comma 3, cinque anni;

     d) per l'indicazione dell'esistenza di accertamenti ancora in corso nel momento in cui viene richiesto il rilascio della documentazione antimafia, fino alla data di adozione da parte del Prefetto del provvedimento conseguente all'esito conclusivo di tali accertamenti;

     e) per le registrazioni dei trattamenti eseguiti dagli operatori, dieci anni.

     2. Decorso il relativo periodo di conservazione, i dati di cui al comma 1 sono cancellati con modalità sicure dalla Prefettura-UTG competente. Per i dati di cui al comma 1, lettera c), la cancellazione è effettuata dalla Prefettura-UTG competente, previa verifica che le circostanze o situazioni cui essi si riferiscono non sono più attuali.

 

     Art. 6. Dati contenuti in altre banche dati

     1. La Banca dati nazionale, attraverso l'attivazione di appositi collegamenti telematici, si connette, nei termini stabiliti dal presente regolamento, alle seguenti banche dati:

     a) il CED, limitatamente ai dati necessari all'accertamento, secondo le modalità stabilite dagli articoli 24 e 25, nei confronti dell'impresa dei requisiti per il rilascio della documentazione antimafia prescritti dagli articoli 67, 84, comma 4, e 91, commi 5 e 6, del Codice antimafia;

     b) il sistema informatico costituito presso la DIA ai sensi dell'articolo 5, comma 4, del decreto del Ministro dell'interno 14 marzo 2003, pubblicato nella Gazzetta Ufficiale del 5 marzo 2004, n. 54, relativamente ai dati acquisiti nel corso degli accessi e degli accertamenti nei cantieri delle imprese interessate all'esecuzione di lavori pubblici, disposti dal Prefetto ai sensi dell'articolo 93 del Codice antimafia.

     2. Per le finalità di cui all'articolo 3, comma 1, sono attivati collegamenti telematici tra la Banca dati nazionale e i seguenti altri sistemi informativi:

     a) l'osservatorio dei contratti pubblici relativi a lavori, servizi e forniture, di cui all'articolo 7 del decreto legislativo 12 aprile 2006, n. 163, anche ai fini dell'accesso ai dati conservati nel casellario informatico istituito presso lo stesso osservatorio ai sensi del medesimo articolo 7, comma 10, nonchè la banca dati nazionale dei contratti pubblici di cui all'articolo 62-bis del decreto legislativo 7 marzo 2005, n. 82;

     b) i sistemi informativi delle Camere di Commercio, per l'accesso ai dati, anche di natura storica, sottoposti a regime di pubblicità, relativi alle imprese.

     3. Per le finalità di cui all'articolo 3, comma 1, possono, altresì, essere attivati collegamenti telematici tra la Banca dati nazionale e i seguenti sistemi informativi:

     a) i sistemi informativi del Ministero della giustizia che gestiscono i servizi certificativi di cui al Titolo VII del decreto del Presidente della Repubblica 14 novembre 2002, n. 313;

     b) l'Anagrafe nazionale della popolazione residente di cui all'articolo 62 del decreto legislativo 7 marzo 2005, n. 82, limitatamente al riscontro e all'accertamento delle generalità dei familiari conviventi, residenti nel territorio dello Stato, dei soggetti di cui all'articolo 85 del Codice antimafia ai fini del rilascio dell'informazione antimafia.

 

Capo III

ORGANIZZAZIONE E STRUTTURA DELLA BANCA DATI NAZIONALE

 

     Art. 7. Titolare del trattamento dei dati contenuti nella Banca dati nazionale

     1. La Banca dati nazionale è istituita presso il Dipartimento per le politiche del personale dell'Amministrazione civile che ne garantisce la gestione tecnica e informatica, ivi compreso il profilo della sicurezza; a tal fine il predetto Dipartimento è il titolare del trattamento dei dati, secondo quanto previsto dal decreto legislativo 30 giugno 2003, n. 196.

 

     Art. 8. Organizzazione per la gestione della Banca dati nazionale e Sezione centrale

     1. Il Dipartimento per le politiche del personale dell'Amministrazione civile assicura la gestione tecnica e informatica della Banca dati nazionale attraverso la sezione centrale e le sezioni provinciali.

     2. La sezione centrale è istituita, senza configurare nuove posizioni dirigenziali, presso il Dipartimento per le politiche del personale dell'Amministrazione civile, nell'ambito dell'ufficio di livello dirigenziale non generale individuato, con provvedimento del Capo dello stesso Dipartimento, tra quelli già esistenti, ferme restando le riduzioni previste dall'articolo 2, comma 2, secondo periodo, del decreto-legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135.

     3. La sezione centrale:

     a) garantisce la gestione tecnica ed informatica della Banca dati nazionale; a tal fine può richiedere alle sezioni provinciali lo svolgimento di attività tecniche sulle postazioni di lavoro quali terminali attivati presso le Prefetture, nonchè di attività di formazione a favore dei soggetti autorizzati, a norma del presente regolamento, ad eseguire operazioni di trattamento elettronico dei dati conservati nella Banca dati nazionale;

     b) rilascia le credenziali di autenticazione nei casi previsti dagli articoli 19 e 20, nonchè nei confronti del proprio personale e di quello delle sezioni provinciali;

     c) dispone la disattivazione delle credenziali di autenticazione da essa rilasciate nei casi previsti dall'articolo 22;

     d) assicura la continuità operativa della Banca dati nazionale - ferme restando in ogni caso le caratteristiche e il rilascio delle credenziali di autenticazione, di cui agli articoli da 18 a 22 - in conformità alle previsioni recate dall'articolo 50-bis del decreto legislativo 7 marzo 2005, n. 82.

     4. Il dirigente dell'ufficio nell'ambito del quale è istituita la sezione centrale è, limitatamente allo svolgimento dei compiti indicati dal comma 3, responsabile del trattamento dei dati secondo quanto previsto dal decreto legislativo 30 giugno 2003, n. 196.

 

     Art. 9. Sezioni provinciali della Banca dati nazionale

     1. Per lo svolgimento dei suoi compiti, la sezione centrale si avvale di sezioni provinciali, istituite, sulla base delle disposizioni impartite dal Dipartimento per le politiche del personale dell'Amministrazione civile, presso ogni Prefettura-UTG, senza configurare nuove posizioni dirigenziali e, in ogni caso, tra le strutture già esistenti.

     2. Le sezioni provinciali:

     a) svolgono le attività tecniche e di formazione richieste dalla sezione centrale;

     b) rilasciano, su delega della sezione centrale, le credenziali di autenticazione nei casi previsti dagli articoli 19 e 20;

     c) svolgono l'attività di verifica sul corretto utilizzo delle credenziali di autenticazione da parte degli operatori alle dipendenze dei concessionari di opere pubbliche, nonchè dei contraenti generali;

     d) dispongono la disattivazione delle credenziali di autenticazione da esse rilasciate nei casi previsti dagli articoli 20, comma 7, e 22.

 

     Art. 10. Struttura del sistema informativo della Banca dati nazionale

     1. La Banca dati nazionale è composta dai seguenti archivi:

     a) l'archivio della documentazione antimafia, contenente i dati di cui all'articolo 4, commi 1, 2 e 3, lettere a), b), c) e d);

     b) l'archivio degli accertamenti, contenente i dati di cui all'articolo 4, commi 3, lettera e) e 4.

     2. Presso le prefetture e gli altri soggetti di cui agli articoli 15 e 17 sono attivate postazioni di lavoro quali terminali di collegamento alla Banca dati nazionale.

     3. Tutte le operazioni di trattamento elettronico dei dati contenuti nella Banca dati nazionale sono effettuate unicamente attraverso i predetti collegamenti.

 

     Art. 11. Collegamenti della Banca dati nazionale al CED

     1. Il collegamento telematico con il CED, per le finalità di cui all'articolo 96, comma 2, del Codice antimafia, è realizzato attraverso l'utilizzo di appositi web services resi disponibili dal CED.

 

     Art. 12. Collegamenti della Banca dati nazionale con altri sistemi informativi

     1. Il collegamento della Banca dati nazionale al sistema costituito presso la DIA ai sensi dell'articolo 5, comma 4, del decreto del Ministro dell'interno 14 marzo 2003, pubblicato nella Gazzetta Ufficiale del 5 marzo 2004, n. 54, è realizzato con le modalità stabilite nell'Allegato 1 che costituisce parte integrante del presente regolamento.

     2. I collegamenti della Banca dati nazionale con i sistemi informativi di cui all'articolo 6, commi 2 e 3, sono realizzati, previa stipula di un'apposita convenzione non onerosa, con il soggetto pubblico presso cui sono istituiti. La convenzione, adottata in conformità al parere del Garante per la protezione dei dati personali, anche su schema-tipo, definisce anche le misure di sicurezza da osservarsi per la realizzazione e il mantenimento in esercizio di tali collegamenti in coerenza con quanto stabilito dagli articoli da 31 a 36 e dall'Allegato B del decreto legislativo 30 giugno 2003, n. 196.

 

     Art. 13. Collegamenti con i soggetti legittimati a svolgere operazioni di accesso, immissione e aggiornamento, nonchè di consultazione

     1. Al fine di effettuare operazioni di consultazione dei dati della Banca dati nazionale, i soggetti di cui all'articolo 17 richiedono l'attivazione del collegamento alla Banca dati nazionale:

     a) alla sezione centrale, se i soggetti richiedenti sono uffici centrali delle pubbliche amministrazioni;

     b) alla sezione provinciale della Prefettura-UTG competente per territorio, per tutti gli altri soggetti di cui al citato articolo 97 del Codice antimafia.

     2. La sezione centrale e le sezioni provinciali provvedono ad attivare il collegamento di cui al comma 1 con la Banca dati nazionale secondo le procedure e le modalità tecniche di cui agli Allegati 2 e 3.

     3. Al fine di effettuare operazioni di accesso ovvero di immissione e aggiornamento di dati della Banca dati nazionale, i soggetti indicati dagli articoli 15 e 16 richiedono l'attivazione del collegamento alla stessa Banca dati nazionale:

     a) alla sezione centrale, se i soggetti richiedenti sono gli uffici del Dipartimento della Pubblica Sicurezza, le Prefetture, gli uffici dei Comandi generali, o equiparati, delle Forze di polizia, nonchè la DNA;

     b) alle sezioni provinciali negli altri casi.

 

Sezione I

Soggetti legittimati all'accesso,

consultazione, immissione e aggiornamento

 

     Art. 14. Interrogazioni della Banca dati nazionale

     1. Le interrogazioni della Banca dati nazionale possono essere effettuate per finalità di accesso, di consultazione ovvero di immissione e aggiornamento dei dati contenuti nella Banca dati stessa; a ciascuna delle predette finalità corrisponde uno specifico profilo di autorizzazione.

     2. Le interrogazioni sono effettuate dai soggetti individuati dagli articoli 15,16 e 17, ai quali siano state preventivamente rilasciate le necessarie credenziali di autenticazione.

 

     Art. 15. Soggetti legittimati all'accesso alla Banca dati nazionale

     1. I soggetti che possono accedere ai dati conservati nella Banca dati nazionale sono:

     a) i seguenti appartenenti all'Amministrazione civile dell'interno:

     1) prefetti e viceprefetti vicari delle Prefetture;

     2) personale, anche delle carriere non dirigenziali, addetto agli uffici delle Prefetture competenti al rilascio della documentazione antimafia, autorizzato dal prefetto o, su sua delega, dal viceprefetto vicario;

     3) gli amministratori della Banca dati nazionale e il personale addetto alla sezione centrale e alle sezioni provinciali esclusivamente per l'esecuzione di attività relative alla gestione tecnologica, di sicurezza, tenuta e conservazione dei dati;

     4) personale, anche delle carriere non dirigenziali, addetto alla DIA, nonchè alla Direzione centrale della polizia criminale e alla Direzione centrale anticrimine della Polizia di Stato del Dipartimento della Pubblica Sicurezza;

     5) personale, anche delle carriere non dirigenziali, che svolge attività di supporto tecnico al Comitato di coordinamento per l'alta sorveglianza delle grandi opere, autorizzato dal prefetto coordinatore dello stesso Comitato;

     b) i seguenti appartenenti alla Polizia di Stato, all'Arma dei Carabinieri, alla Guardia di Finanza, al Corpo Forestale dello Stato, al Corpo della Polizia Penitenziaria, alla DIA:

     1) i funzionari preposti alla direzione degli uffici centrali e provinciali di pubblica sicurezza; i funzionari e gli ufficiali preposti ai comandi che svolgono servizio di istituto dell'Arma dei Carabinieri, della Guardia di Finanza, del Corpo Forestale dello Stato, il Direttore, il Capo del I Reparto e i responsabili delle articolazioni periferiche della DIA;

     2) i funzionari appartenenti ai ruoli della Polizia di Stato preposti alla direzione degli uffici periferici di cui all'articolo 2, comma 1, lettera a), n. 5, del decreto del Presidente della Repubblica 22 marzo 2001, n. 208;

     3) il personale della Polizia di Stato, dell'Arma dei Carabinieri, della Guardia di Finanza, del Corpo Forestale dello Stato e della DIA che riveste la qualifica di ufficiale di polizia giudiziaria ovvero di ufficiale di pubblica sicurezza, autorizzato dai capi dei rispettivi uffici e comandi;

     4) il personale della DIA in forza all'Osservatorio centrale sugli appalti pubblici, autorizzato dal Capo del I Reparto della DIA;

     c) i magistrati applicati alla DNA, nonchè il personale, anche del Ministero della giustizia, che presta servizio presso la stessa DNA autorizzato dal Procuratore nazionale antimafia.

     2. L'accesso da parte del personale delle Forze di polizia, di cui al comma 1, lettera b), attraverso il collegamento telematico con il CED, è consentito esclusivamente dalle postazioni di lavoro delle Forze di polizia, con tecniche di identità federata, secondo le modalità stabilite dall'Allegato 4 che costituisce parte integrante del presente regolamento.

     3. Resta fermo quanto stabilito dall'articolo 13, comma 2, della legge 3 agosto 2007, n. 124 e dal relativo regolamento di attuazione concernente l'accesso del DIS, dell'AISE e dell'AISI agli archivi magnetici delle pubbliche amministrazioni.

 

     Art. 16. Soggetti legittimati all'immisione e all'aggiornamento dei dati contenuti nella Banca dati nazionale

     1. L'immissione di dati nella Banca dati nazionale ed il loro aggiornamento è eseguito esclusivamente dai soggetti di cui all'articolo 15, comma 1, lettera a), n. 2, preventivamente autorizzati dal prefetto o, su sua delega, dal viceprefetto vicario.

     2. Al predetto personale possono essere rilasciate credenziali di autenticazione che consentono sia l'immissione e l'aggiornamento, sia l'accesso alla Banca dati nazionale. In ogni caso le credenziali devono consentire la registrazione delle singole operazioni eseguite secondo le modalità stabilite dal presente regolamento.

 

     Art. 17. Soggetti legittimati alla consultazione della Banca dati nazionale

     1. I soggetti che possono consultare la Banca dati nazionale per ottenere il rilascio della documentazione antimafia nei casi previsti dagli articoli 83, commi 1 e 2, e 91, commi 1 e 7, del Codice antimafia, sono:

     a) i dipendenti delle pubbliche amministrazioni, degli enti pubblici, anche costituiti in stazioni uniche appaltanti, individuati dai capi degli uffici competenti alla stipula, all'approvazione, all'autorizzazione di contratti e subcontratti, ovvero alla concessione o al rilascio delle erogazioni e dei provvedimenti di cui all'articolo 67 del Codice antimafia;

     b) i dipendenti degli enti e delle aziende vigilati dallo Stato o da altro ente pubblico e delle società o imprese comunque controllate dallo Stato o da altro ente pubblico, individuati dal legale rappresentante delle imprese o società;

     c) i dipendenti dei concessionari di opere pubbliche e dei contraenti generali di cui all'articolo 176 del decreto legislativo 12 aprile 2006, n. 163, individuati dai rispettivi legali rappresentanti;

     d) i dipendenti delle camere di commercio, individuati dai rispettivi presidenti;

     e) i dipendenti degli ordini professionali, individuati dai rispettivi presidenti.

 

Sezione II

Caratteristiche e rilascio delle credenziali di autenticazione

 

     Art. 18. Caratteristiche delle credenziali di autenticazione

     1. Per l'effettuazione di operazioni di accesso, di immissione e aggiornamento, e di consultazione dei dati i soggetti legittimati devono preventivamente munirsi delle credenziali di autenticazione e del certificato abilitante l'attivazione del collegamento alla VPN per connettersi in sicurezza alla Banca dati nazionale secondo le modalità previste dall'Allegato 2 che costituisce parte integrante del presente regolamento.

     2. Le credenziali di autenticazione e i certificati abilitanti di cui al comma 1 consistono di certificati digitali protetti da un meccanismo di autenticazione forte.

     3. Le credenziali di autenticazione sono assegnate individualmente all'operatore; ad esse è associato il profilo di autorizzazione della categoria di soggetti legittimati, indicati nella sezione I del presente Capo, cui l'operatore appartiene.

     4. Le credenziali di autenticazione non possono essere utilizzate per l'esecuzione di operazioni diverse da quelle previste dal profilo di autorizzazione per cui sono rilasciate.

     5. Le credenziali di autenticazione rilasciate al personale della sezione centrale e delle sezioni provinciali possono essere utilizzate solo per le attività indicate all'articolo 15, comma 1, lettera a), n. 3.

     6. Per i soggetti di cui all'articolo 15, comma 1, lettera b), le credenziali di autenticazione sono costituite dagli appositi codici identificativi personali rilasciati, per l'accesso al CED, secondo le modalità stabilite dall'Allegato 4.

 

     Art. 19. Assegnazione delle credenziali di autenticazione per finalità di accesso o di immissione e aggiornamento dei dati

     1. Ai fini dell'assegnazione delle credenziali di autenticazione per finalità di accesso o di immissione e aggiornamento dei dati, il prefetto, o su sua delega il viceprefetto vicario e il Procuratore nazionale antimafia, comunicano, per via telematica, alla sezione centrale gli elenchi dei propri dipendenti autorizzati a collegarsi alla Banca dati nazionale per effettuare le predette operazioni di trattamento. Per ciascun operatore devono essere riportati i seguenti dati:

     a) nome e cognome;

     b) data e luogo di nascita;

     c) luogo di residenza;

     d) codice fiscale;

     e) qualifica o grado;

     f) numero dell'utenza di telefonia mobile;

     g) casella di posta elettronica corporate.

     2. La sezione centrale genera, attraverso la procedura informatica descritta nell'Allegato 2, le credenziali di autenticazione e le assegna individualmente a ciascuno degli operatori indicati negli elenchi di cui al comma 1, nonchè il supporto informatico contenente il software che deve essere utilizzato in occasione del collegamento con la Banca dati nazionale.

     3. La sezione centrale può delegare alla sezione provinciale competente lo svolgimento delle operazioni di generazione, assegnazione e comunicazione delle credenziali, previo svolgimento della procedura informatica di cui all'Allegato 2.

 

     Art. 20. Assegnazione delle credenziali di autenticazione per finalità di consultazione

     1. Ai fini dell'assegnazione delle credenziali di autenticazione per finalità di consultazione, i soggetti di cui all'articolo 17 comunicano l'elenco dei dipendenti, completo dei dati di cui all'articolo 19, comma 1 ad eccezione di quanto previsto all'articolo 19, comma 1, lettera e):

     a) alla sezione centrale, relativamente agli uffici centrali delle pubbliche amministrazioni;

     b) alla sezione provinciale della Prefettura-UTG competente per territorio, in tutti gli altri casi contemplati dal medesimo articolo 17.

     2. La sezione centrale e le sezioni provinciali, ciascuna per gli ambiti di rispettiva competenza, provvedono a:

     a) verificare che il soggetto che ha comunicato l'elenco rientri tra i soggetti giuridici legittimati, ai sensi del Codice antimafia, a consultare la Banca dati nazionale;

     b) generare, attraverso la procedura informatica descritta nell'Allegato 2, e assegnare individualmente a ciascuno degli operatori indicati negli elenchi, la username e la password iniziale che deve essere utilizzata in occasione del primo collegamento con la Banca dati nazionale. La username è comunicata a ciascun operatore, secondo le modalità previste nell'Allegato 2.

     3. Le credenziali di autenticazione sono assegnate all'operatore secondo le modalità stabilite dall'Allegato 2.

     4. Oltre a quanto previsto dal comma 1, i concessionari di opere pubbliche e i contraenti generali specificano l'appalto o gli appalti di lavori per i quali i rispettivi dipendenti sono stati individuati per eseguire operazioni di consultazione della Banca dati nazionale.

     5. Ciascun dipendente dei concessionari di opere pubbliche o dei contraenti generali può effettuare consultazioni della Banca dati nazionale limitatamente alle imprese affidatarie e alle imprese sub-affidatarie impegnate nell'esecuzione degli appalti di lavori, per i quali viene richiesto il rilascio delle credenziali di autenticazione.

     6. Le sezioni provinciali verificano il rispetto di quanto stabilito dal comma 5, sulla base di un elenco riepilogativo delle imprese impegnate nei cantieri nel mese precedente, formato dai concessionari di opere pubbliche e dai contraenti generali che lo trasmettono, anche per via telematica, entro il quinto giorno del mese successivo. Qualora tale elenco non venga trasmesso o non venga trasmesso tempestivamente, il prefetto procede ad acquisire le notizie necessarie allo svolgimento dei controlli avvalendosi dei poteri di accertamento delegati dal Ministro dell'interno ai sensi del decreto-legge 6 settembre 1982, n. 629, convertito, con modificazioni, dalla legge 12 ottobre 1982, n. 726.

     7. Salvo quanto in ogni caso previsto dall'articolo 22 ed eventualmente da altre disposizioni di legge, la sezione provinciale dispone il ritiro e la disattivazione delle credenziali di autenticazione rilasciate al dipendente del concessionario di opere pubbliche o del contraente generale che risulti aver effettuato operazioni di consultazione della Banca dati nazionale nei confronti di imprese diverse da quelle impegnate nell'esecuzione di appalti pubblici di lavori per i quali sono state rilasciate le medesime credenziali di autenticazione.

 

     Art. 21. Validità delle credenziali di autenticazione

     1. Le credenziali di autenticazione sono valide per un periodo di dodici mesi a decorrere dal giorno in cui esse vengono attivate dagli operatori. Decorso tale periodo ne deve essere richiesto il rinnovo secondo la procedura stabilita dagli articoli 18, 19 e 20.

     2. Nel caso di trasferimento ad altro incarico o di cessazione e sospensione del rapporto di dipendenza, i soggetti di cui all'articolo 97 del Codice antimafia provvedono a darne comunicazione, immediatamente, alla sezione centrale e alla sezione provinciale, che provvedono, ciascuna per gli ambiti di rispettiva competenza, a disattivare le credenziali di autenticazione. Dal momento in cui il trasferimento ad altro incarico o la cessazione e sospensione del rapporto acquistano efficacia, l'operatore non può effettuare accessi, immissioni e aggiornamenti dei dati, o consultazioni della Banca dati nazionale.

     3. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate automaticamente, salvo quelle rilasciate al personale della sezione centrale e delle sezioni provinciali per fini di gestione tecnica della Banca dati nazionale.

 

     Art. 22. Regole di comportamento

     1. L'attivazione delle credenziali di autenticazione rilasciate ai sensi degli articoli 19 e 20 deve essere effettuata personalmente dall'operatore che ne è titolare entro quindici giorni a decorrere dal momento della loro comunicazione da parte delle sezioni centrale o provinciali.

     2. Le credenziali di autenticazione sono personali e il loro utilizzo è consentito esclusivamente all'operatore che ne è titolare e per le finalità di cui al presente regolamento.

     3. L'operatore è tenuto:

     a) anche al di fuori delle sessioni di lavoro, a custodire le credenziali di autenticazione in modo da evitare che terzi soggetti possano appropriarsene o farne utilizzo;

     b) a comunicare immediatamente alla sezione centrale lo smarrimento o il furto delle credenziali di autenticazione.

     4. La sezione centrale e le sezioni provinciali, negli ambiti di rispettiva competenza, dispongono il ritiro delle credenziali di autenticazione rilasciate all'operatore che abbia violato le disposizioni dell'articolo 21 o del presente articolo; provvedono, inoltre, a disattivare immediatamente le credenziali di autenticazione di cui sia stato comunicato lo smarrimento o il furto.

 

Capo V

RILASCIO DELLA DOCUMENTAZIONE ANTIMAFIA ATTRAVERSO LA BANCA DATI NAZIONALE

 

     Art. 23. Adempimenti preliminari

     1. Ai fini del conseguimento della documentazione antimafia, i soggetti di cui all'articolo 97 del Codice antimafia acquisiscono dall'impresa le dichiarazioni sostitutive di certificazione e le dichiarazioni sostitutive dell'atto di notorietà di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni, attestanti i dati previsti dall'articolo 85 del medesimo Codice antimafia, nonchè il numero del codice fiscale e della partita IVA dell'impresa stessa.

     2. L'operatore, dopo essersi collegato con la Banca dati nazionale ed aver positivamente superato la procedura di verifica delle credenziali di autenticazione, immette nella stessa Banca dati i dati di cui al comma 1, l'indicazione della tipologia di documentazione antimafia richiesta nonchè, ove previsto da disposizioni di legge o altri provvedimenti attuativi di esse, la Prefettura-UTG designata.Le modalità per lo svolgimento di tale operazione sono indicate nell'Allegato 3 che costituisce parte integrante del presente regolamento.

     3. Qualora i dati siano incompleti o errati il sistema informativo della Banca dati nazionale sospende la procedura di rilascio della documentazione antimafia e notifica, per via telematica, all'operatore un messaggio recante la dicitura "inserimento dei dati erroneo o incompleto, procedura di rilascio sospesa". La procedura sospesa è riavviata dall'operatore secondo le modalità stabilite nel citato Allegato 3.

     4. Qualora la procedura di controllo delle credenziali di autenticazione non venga superata positivamente, la Banca dati nazionale notifica un messaggio di "procedura di autenticazione fallita" alla sezione provinciale della Prefettura-UTG competente ai sensi degli articoli 87 e 90 del Codice antimafia, che provvede ad effettuare le opportune verifiche, richiedendo, se necessario, elementi di informazione, anche di natura tecnica, al soggetto alle cui dipendenze opera l'operatore che ha effettuato il tentativo di consultazione.

 

     Art. 24. Rilascio della comunicazione antimafia

     1. Sulla base dei dati immessi dall'operatore che effettua la consultazione, il sistema informativo della Banca dati nazionale, se l'impresa è censita, verifica i dati esistenti negli archivi della stessa Banca dati, nonchè nelle altre banche dati collegate. Se non risultano a carico degli interessati le cause di divieto, sospensione e decadenza di cui all'articolo 67 del Codice antimafia, la Banca dati nazionale rilascia immediatamente, per via telematica, al soggetto richiedente la comunicazione antimafia liberatoria. In tale caso la documentazione antimafia reca la seguente dicitura "comunicazione antimafia liberatoria rilasciata, ai sensi dell'articolo 88, comma 1, del D. Lgs. 6 settembre 2011, n. 159, utilizzando il collegamento alla Banca dati nazionale unica della documentazione antimafia.".

     2. Se dalla verifica dei dati esistenti nella Banca dati nazionale o in altre banche dati ad essa collegate emerge l'esistenza delle cause di divieto, sospensione o decadenza di cui al citato articolo 67 del Codice antimafia ovvero di una documentazione antimafia interdittiva in corso di validità a carico dell'impresa, la Banca dati nazionale notifica, contestualmente per via telematica, al soggetto richiedente ed alla Prefettura-UTG competente che, ai sensi dell'articolo 88, comma 2, del Codice antimafia non è possibile rilasciare immediatamente la comunicazione antimafia liberatoria.

     3. Nei casi in cui le disposizioni sulla competenza al rilascio della comunicazione antimafia sono derogate da disposizioni di legge ovvero da altri provvedimenti attuativi di esse, la notifica è effettuata alla Prefettura-UTG designata da questi ultimi.

     4. La Prefettura-UTG competente ovvero la Prefettura-UTG designata effettua, d'ufficio, gli accertamenti previsti dall'articolo 88, comma 2, del Codice antimafia e, sulla base di essi adotta nel più breve tempo possibile entro i termini di cui all'articolo 88, comma 4, il provvedimento finale, notificandolo al soggetto richiedente; provvede, inoltre, ad aggiornare i dati contenuti negli archivi della Banca dati nazionale e a segnalare, per i conseguenti interventi correttivi, alle banche dati collegate con la Banca dati nazionale i dati risultati eventualmente inesatti o non più attuali.

     5. Se dalla verifica dei dati esistenti nella Banca dati emerge che l'impresa non è censita, la Banca dati nazionale notifica, contestualmente e per via telematica, al soggetto richiedente e alla Prefettura-UTG competente ovvero alla Prefettura-UTG designata che, ai sensi dell'articolo 88, comma 3-bis, del Codice antimafia, non è possibile rilasciare la comunicazione antimafia liberatoria. La Prefettura-UTG procede secondo le modalità previste dal comma 4.

     6. La Prefettura-UTG competente ovvero quella designata appone sulle comunicazioni antimafia liberatorie rilasciate ai sensi dei commi 2, 3 e 4 la dicitura "comunicazione antimafia liberatoria rilasciata, ai sensi dell'articolo 88, comma 3, del D. Lgs. 6 settembre 2011, n. 159, utilizzando il collegamento alla Banca dati nazionale unica della documentazione antimafia.".

 

     Art. 25. Rilascio dell'informazione antimafia

     1. Sulla base dei dati immessi dall'operatore che effettua la consultazione, il sistema informativo della Banca dati nazionale, se l'impresa è censita, verifica i pertinenti dati esistenti negli archivi della stessa Banca dati, nonchè nelle altre banche dati collegate. La Banca dati nazionale rilascia immediatamente, per via telematica, al soggetto richiedente l'informazione antimafia liberatoria se dalle verifiche svolte non risultano:

     a) le cause di divieto, sospensione e decadenza di cui all'articolo 67 del Codice antimafia;

     b) una o più delle situazioni di cui all'articolo 84, comma 4, lettere a) e b) del Codice antimafia risultanti al CED;

     c) l'indicazione della sussistenza di una o più delle situazioni di cui all'articolo 4, comma 3, lettere a), b), c) e d).

     2. L'informazione antimafia liberatoria, rilasciata ai sensi del comma 1, reca la seguente dicitura: "informazione antimafia liberatoria rilasciata, ai sensi dell'articolo 92, comma 1, del D. Lgs. 6 settembre 2011, n. 159, utilizzando il collegamento alla Banca dati nazionale unica della documentazione antimafia.".

     3. Qualora dalla verifica dei dati esistenti nella Banca dati nazionale emerge l'esistenza di una o più delle circostanze di cui al comma 1, lettere a), b), c), la Banca dati nazionale notifica, contestualmente per via telematica, al soggetto richiedente ed alla Prefettura-UTG competente che, ai sensi dell'articolo 92, comma 2, del Codice antimafia non è possibile rilasciare immediatamente l'informazione antimafia liberatoria.

     4. Nei casi in cui le disposizioni sulla competenza al rilascio dell'informazione antimafia sono derogate da disposizioni di legge ovvero da altri provvedimenti attuativi di esse, la notifica è effettuata alla Prefettura-UTG designata da questi ultimi.

     5. La Prefettura-UTG competente ovvero la Prefettura-UTG designata effettua d'ufficio gli accertamenti previsti dall'articolo 92, comma 2, del Codice antimafia e, sulla base di essi adotta nel più breve tempo possibile entro i termini di cui all'articolo 92, comma 2, il provvedimento finale, notificandolo al soggetto richiedente; provvede, inoltre, ad aggiornare i dati contenuti negli archivi della Banca dati nazionale e a segnalare, per i conseguenti interventi correttivi, alle banche dati collegate con la Banca dati nazionale i dati risultati eventualmente inesatti o non più attuali.

     6. Qualora dalla verifica dei dati esistenti nella Banca dati nazionale emerge che l'impresa non è censita, la Banca dati nazionale notifica, contestualmente e per via telematica, al soggetto richiedente e alla Prefettura-UTG competente ovvero alla Prefettura-UTG designata che, ai sensi dell'articolo 92, comma 2, del Codice antimafia, non è possibile rilasciare l'informazione antimafia liberatoria. La Prefettura-UTG procede secondo le modalità previste dal comma 5.

     7. La Prefettura-UTG competente ovvero la Prefettura-UTG designata appone sulle informazioni antimafia liberatorie rilasciate ai sensi dei commi 3, 4 e 5 la dicitura "informazione antimafia liberatoria rilasciata, ai sensi dell'articolo 92, comma 2, del D. Lgs. 6 settembre 2011, n. 159, utilizzando il collegamento alla Banca dati nazionale unica della documentazione antimafia.".

     8. La Prefettura-UTG competente ovvero la Prefettura-UTG designata si avvale delle funzionalità della Banca dati nazionale per la trasmissione, per via telematica, delle informazioni antimafia interdittive ai soggetti di cui all'articolo 91, comma 7-bis, del Codice antimafia.

 

     Art. 26. Aggiornamento della Banca dati nazionale

     1. La Banca dati nazionale comunica, per via telematica, giornalmente alle Prefetture competenti:

     a) il riepilogo complessivo delle comunicazioni e informazioni antimafia liberatorie rilasciate automaticamente;

     b) l'elenco delle imprese nei cui confronti gli accertamenti di cui all'articolo 4, comma 4, sono stati effettuati da più di dodici mesi dalla data di rilascio automatico della documentazione antimafia.

     2. La Prefettura-UTG competente provvede, d'ufficio, a rinnovare gli accertamenti informativi nei confronti delle imprese indicate nell'elenco di cui al comma 1, lettera b). Qualora dagli accertamenti svolti emergano le cause di divieto, sospensione e decadenza di cui all'articolo 67 del Codice antimafia, ovvero tentativi di infiltrazione mafiosa, la Prefettura-UTG competente adotta un'informazione interdittiva antimafia ai sensi dell'articolo 92, comma 4, dello stesso Codice antimafia, notificandola al soggetto richiedente per i conseguenti provvedimenti e procedendo ad effettuare le prescritte comunicazioni agli altri soggetti istituzionali.

     3. Anche al di fuori dell'ipotesi di cui al comma 2, la Prefettura-UTG competente provvede, inoltre, ad aggiornare i dati della Banca dati nazionale relativamente alla data degli accertamenti svolti nei confronti dell'impresa.

 

     Art. 27. Controllo sulle operazioni di accesso e di immissione e aggiornamento della Banca dati nazionale

     1. I responsabili degli Uffici e Comandi di cui all'articolo 15, comma 1, lettere a), numeri 4 e 5, e b) verificano periodicamente che le operazioni di accesso alla Banca dati nazionale siano effettuate per le finalità previste dal Codice antimafia e dal presente regolamento, nonchè per lo svolgimento di compiti legittimamente affidati dai rispettivi dirigenti.

     2. Nei confronti del personale delle Prefetture il controllo sulle operazioni di accesso e di immissione e aggiornamento è esercitato dai viceprefetti vicari per il tramite delle sezioni provinciali.

     3. Per lo svolgimento dei controlli di cui al comma 1, il Procuratore nazionale antimafia designa uno dei magistrati applicati alla DNA.

     4. Anche al di fuori dei casi contemplati all'articolo 20, comma 6, la sezione centrale e le sezioni provinciali, negli ambiti di rispettiva competenza, possono richiedere informazioni ai soggetti di cui all'articolo 97 del Codice antimafia, al fine di accertare la correttezza delle operazioni di consultazione effettuate. A tale scopo, la sezione centrale e le sezioni provinciali utilizzano i dati contenuti nei riepiloghi giornalieri della documentazione antimafia rilasciata di cui all'articolo 26, comma 1, lettera a).

 

     Art. 28. Aggiornamento della Banca dati nazionale a seguito di richiesta dell'impresa

     1. L'impresa alla quale si riferiscono i dati può chiedere alla Sezione centrale la conferma dell'esistenza di dati che la riguardano, la loro comunicazione in forma intellegibile e, se i dati risultano trattati in violazione di vigenti disposizioni di legge o di regolamento, la loro cancellazione con modalità sicure.

     2. Ai soli fini dell'esame delle richieste di aggiornamento, nell'ambito delle risorse umane, finanziarie e strumentali disponibili a legislazione vigente e senza costituire nuove posizioni dirigenziali, è istituita presso la Sezione centrale un'apposita commissione, nominata dal Ministro dell'interno e composta da due dirigenti della carriera prefettizia di cui almeno uno della qualifica di Viceprefetto, designati dal Capo del Dipartimento per le politiche del personale dell'amministrazione civile, e da un dirigente del Dipartimento della Pubblica Sicurezza designato dal Capo della Polizia - Direttore generale della pubblica sicurezza; possono essere designati anche componenti supplenti. Per lo svolgimento dei suoi compiti, la commissione si avvale delle risorse umane e strumentali della Sezione centrale che assicura anche le attività di segreteria. L'incarico di presidente e componente della commissione non costituisce autonoma posizione dirigenziale. Ai componenti della commissione non spettano compensi nè rimborsi spese a qualunque titolo dovuti.

     3. Esperiti i necessari accertamenti, la commissione comunica al richiedente, non oltre sessanta giorni dalla richiesta, le determinazioni adottate. La commissione può omettere di provvedere sulla richiesta se ciò può pregiudicare azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della criminalità, dandone informazione motivata al Garante per la protezione dei dati personali.

 

Capo VI

NORME FINALI E TRANSITORIE

 

     Art. 29. Immissione preliminare di dati nella Banca dati nazionale

     1. Al fine di consentire la piena funzionalità della Banca dati nazionale sin dal momento della sua attivazione, il Ministero dell'interno acquisisce dalle Prefetture, prima del decorso del termine di cui all'articolo 99, comma 2-bis, del Codice antimafia, i dati di cui all'articolo 4, commi 1, 2, 3, riguardanti:

     a) la documentazione antimafia liberatoria rilasciata almeno nei dodici mesi antecedenti alla data di entrata in vigore del presente regolamento;

     b) le informazioni antimafia non direttamente interdittive adottate nei trentasei mesi antecedenti all'entrata in vigore del presente regolamento, ai sensi del combinato disposto dell'articolo 1-septies del decreto-legge 6 settembre 1982, n. 629, convertito, con modificazioni, dalla legge 12 ottobre 1982, n. 726, e dell'articolo 10, comma 9, dell'abrogato decreto del Presidente della Repubblica 3 giugno 1998, n. 252, relativamente al periodo di vigenza di quest'ultimo;

     c) i dati relativi alla documentazione antimafia interdittiva adottata nei trentasei mesi antecedenti all'entrata in vigore del presente regolamento.

     2. I predetti dati sono immessi dalle Prefetture nel sistema informatico della Banca dati nazionale del Dipartimento per le politiche del personale dell'Amministrazione civile.

 

     Art. 30. Oneri informativi introdotti

     1. Gli oneri informativi introdotti dal presente regolamento, ai sensi dell'articolo 7 della legge 11 novembre 2011, n. 180, sono indicati nell'allegato 5, che costituisce parte integrante del presente regolamento.

 

     Art. 31. Clausola di invarianza finanziaria

     1. Dall'attuazione del presente regolamento non devono derivare nuovi o maggiori oneri a carico dello Stato. Il Dipartimento per le politiche del personale dell'Amministrazione civile provvede all'espletamento dei compiti attribuiti al medesimo dal presente regolamento con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

     Il presente decreto sarà trasmesso alla Corte dei conti per la registrazione.

 

Registrato alla Corte dei conti il 18 dicembre 2014  Ufficio controllo atti P.C.M. Ministeri giustizia e affari esteri, Reg.ne - Prev. n. 3259

 

     Allegato 1

     (articolo 12)

     Modalità di collegamento della Banca dati nazionale con il sistema costituito presso la DIA ai sensi dell'articolo 5, comma 4, del decreto del Ministro dell'interno 14 marzo 2003

 

     1. La Banca dati della DIA di cui all'articolo 5, comma 4, del decreto del Ministro dell'interno 14 marzo 2003, pubblicato nella Gazzetta Ufficiale del 5 marzo 2004, n. 54, è fruibile attraverso un'applicazione web-based accessibile attraverso un comune browser per la navigazione in internet.

     2. La DIA rende disponibile il collegamento alla predetta Banca dati, utilizzando la tecnologia della federazione dei domini - basata sullo standard informatico security assertion markup language (SAML), per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza distinti - che permette la comunicazione delle credenziali di autenticazione tra la predetta Banca dati della DIA e la Banca dati nazionale.

     3. La Banca dati nazionale svolge il compito di autenticare e autorizzare gli utenti al fine di consentire loro di accedere ai servizi della predetta Banca dati della DIA, esposti in modalità autenticata, secondo un sistema di Single Sign On (SSO) tra i rispettivi siti.

     4. L'utente si autentica nella Banca dati nazionale, che svolge il ruolo di identity provider, e richiede di usufruire del servizio esterno, assicurato dalla DIA relativamente alla propria Banca dati che, a tal fine, svolge il ruolo di service provider.

     5. L'identity provider predispone una richiesta di autorizzazione di accesso, inserendo in essa tutte le informazioni e le caratteristiche necessarie all'autenticazione dell'utente, secondo le modalità stabilite dagli articoli dal 18 al 22. Il web browser invia la richiesta al service provider che la verifica ed eroga il servizio.

     6. Il canale di comunicazione è stabilito nella rete multimediale del Ministero dell'interno che permette di raggiungere l'URL dell'applicativo della Banca dati della DIA in un ambiente sicuro.

 

     Allegato 2

     (articoli 13, comma 2, 18, 19 e 20)

 

     Procedura per la generazione e assegnazione delle credenziali di autenticazione

 

     1. La registrazione al sistema informatico è effettuata personalmente da ciascun operatore attraverso una procedura che, mediante l'utilizzo di diverse tecnologie disaccoppiate tra loro, comunica direttamente con l'operatore a favore del quale è stato richiesto il rilascio delle credenziali di autenticazione.

     2. La sezione centrale o provinciale riceve la richiesta di rilascio delle credenziali di autenticazione di cui agli articoli 19, comma 1, e 20, comma 1. La richiesta di rilascio contiene l'elenco degli operatori autorizzati alla consultazione della Banca dati nazionale ed è corredata per ogni operatore dei dati di cui all'articolo 19, comma 1, lettere da a) a g), di una copia del documento di identificazione dell'operatore (carta di identità, patente di guida o passaporto) e delle liberatorie debitamente firmate dall'operatore stesso. La richiesta viene inviata all'indirizzo di posta elettronica certificata della sezione centrale o provinciale pubblicata su Indice P.A.

     3. La sezione centrale o provinciale invita ciascun operatore a presentarsi personalmente presso i propri uffici per l'identificazione dello stesso a mezzo del documento di identità in corso di validità la cui copia è stata trasmessa precedentemente (vedi punto 2) e per la creazione delle relative credenziali. Si evidenzia che per il rilascio di queste ultime l'operatore deve fornire obbligatoriamente un numero di telefonia mobile intestato all'operatore stesso.

     4. Al termine delle operazioni di identificazione, la sezione centrale o provinciale completa la fase di registrazione a sistema dell'operatore e consegna le istruzioni necessarie ad effettuare il primo accesso alla Banca dati nazionale. In particolare le istruzioni riportano l'indicazione della username dell'operatore e della URL a cui collegarsi per il completamento della registrazione (http://certbdna.interno.it). La password iniziale è generata in modo automatico all'atto della registrazione dell'utenza e trasmessa alla casella di posta di tipo corporate dell'operatore (articolo 19, comma 1, lettera g).

     5. Le istruzioni consegnate consentono a ciascun operatore di completare la fase di accesso alla Banca dati nazionale utilizzando tecnologie di "autenticazione forte". L'operatore procede preliminarmente con l'identificazione della propria postazione di lavoro che resterà la medesima per tutte le operazioni di accesso e consultazione della Banca dati nazionale. Tale procedura prevede il collegamento alla URL http://certbdna.interno.it. Nella schermata visualizzata l'operatore digita le credenziali di accesso, ovvero la username consegnata dalla sezione provinciale o centrale e la password ricevuta nella sua casella di posta elettronica corporate. A seguito dell'inserimento di tali campi, il sistema richiederà all'operatore di effettuare il cambio password secondo le regole di sicurezza previste dal sistema; la password deve contenere almeno un numero, un carattere speciale, una maiuscola per un minimo di 10 caratteri complessivi. Terminato con successo il cambio della password, l'operatore visualizzerà una pagina per la creazione del proprio certificato digitale. L'avvio della procedura di creazione del certificato digitale si perfeziona attraverso la ricezione di un SMS sul numero di telefonia mobile dell'interessato contenente una sequenza numerica casuale (OTP) che va inserito nell'apposito campo. Il sistema procede alla creazione del certificato digitale pubblico e richiede l'inserimento di una password legata al certificato digitale (PIN di protezione) creata sulla base delle regole di sicurezza previste. Essa deve contenere almeno un numero, un carattere speciale, una maiuscola per un minimo di 10 caratteri complessivi. Effettuata con successo la creazione del PIN, è possibile procedere al download e alla relativa installazione del certificato digitale sulla postazione di lavoro.

     6. La procedura descritta consente di identificare in modo univoco la postazione di lavoro dell'operatore, il quale in fase di accesso alla Banca dati nazionale dovrà sbloccare il certificato digitale pubblico attraverso il PIN di protezione inserito in fase di creazione dello stesso.

     7. L'accesso alla Banca dati nazionale avviene mediante un software dedicato atto a garantire l'identificazione della postazione dalla quale vengono eseguite le interrogazioni dei dati e un sistema di autenticazione forte abilitante all'identificazione univoca e tracciamento dell'operatore che effettua le operazioni di collegamento e trattamento dei dati.

     8. Il sistema prevede quindi un doppio livello di verifica dell'identità:

     a) l'accesso in VPN. Esso consente di identificare sia la postazione mediante l'uso di certificati pubblici sia l'operatore in possesso del PIN di sblocco del certificato per raggiungere la rete dove è esposto il servizio applicativo;

     b) la autenticazione applicativa mediante l'uso di username, password e OTP per la consultazione della Banca dati nazionale.

 

     Allegato 3

     (articoli 13, comma 2, e 23, commi 2 e 3)

 

     Procedura di interrogazione della Banca dati nazionale

 

     1. L'applicativo informatico della Banca dati nazionale è protetto da un sistema di gestione degli accessi che identifica in maniera univoca l'utente attraverso le credenziali rilasciategli nella fase di prima registrazione e utilizzazione, in occasione di ogni collegamento, di credenziali su due distinti canali trasmissivi (web e telefono cellulare).

     2. L'accesso agli archivi della Banca dati nazionale è protetto mediante un doppio sistema di autenticazione basato sulla disponibilità di un telefono cellulare di ciascun utente ed articolato nelle seguenti fasi:

     a) l'operatore attiva il collegamento VPN usando il certificato digitale pubblico che identifica la postazione; all'atto della connessione, il client VPN richiede la digitazione del PIN di protezione per rendere disponibile il certificato digitale sul quale è basata l'autenticazione;

     b) l'operatore, effettuato l'accesso alla VPN, digita la Url http://bdna.interno.it e accede così alla pagina di login inserendo le proprie credenziali di autenticazione. Se il login è stato svolto correttamente l'applicativo informatico della Banca dati nazionale visualizzerà, in un'apposita schermata, il numero di un'utenza telefonica gratuita ed un codice numerico casuale (OTP);

     c) l'operatore contatta il numero dell'utenza visualizzata e digita il codice numerico (OTP);

     d) se l'operazione viene eseguita con successo, l'operatore accede alla funzionalità della banca dati nazionale in base al profilo di autorizzazione applicativo associato all'operatore.

 

     Allegato 4

     (articoli 15, comma 2 e 18, comma 6)

     Procedura di accesso alla Banca dati nazionale da parte del personale delle Forze di polizia, di cui all'art. 15, comma 1, lettera b), attraverso il collegamento telematico con il CED

 

     1. Gli utenti del CED utilizzano il collegamento telematico con la Banca dati nazionale per l'accesso ai dati ivi presenti mediante tecniche di identità federata.

     2. Per identità federata s'intende la relazione di fiducia nell'ambito della sicurezza tra patrimoni informativi automatizzati diversi per l'identificazione e l'autorizzazione degli utenti di uno di essi ad accedere alle risorse gestite dall'altro, comprensiva della definizione di precise responsabilità nell'ambito della cooperazione applicativa.

     3. Ai fini dell'accesso da parte del personale delle Forze di polizia, la Banca dati nazionale svolge i compiti di Service Provider (SP), garantendo la possibilità di eseguire le operazioni di accesso, mentre il CED svolge i compiti di Identity Provider (IP), assicurando l'identificazione degli utenti del servizio stesso con modalità ritenute affidabili dal soggetto erogatore del servizio (SP).

     4. L'accesso alla Banca dati nazionale è consentito esclusivamente dalle postazioni di lavoro delle Forze di polizia, attraverso codici identificativi personali rilasciati dal CED ai propri utenti.

     5. Gli utenti del CED autorizzati all'accesso alla Banca dati nazionale sono quelli a cui è stato attribuito dal CED stesso un apposito profilo di abilitazione. Gli stessi, in qualità di incaricati del trattamento dei dati, sono istruiti sulle specifiche funzionalità dell'applicativo, nonchè informati delle attività di tracciamento e di controllo delle operazioni di accesso poste in essere dalla sezione centrale e dal CED.

     6. Il CED adotta procedure di registrazione dei propri utenti per il riconoscimento diretto e l'identificazione certa dell'utente. In particolare, le credenziali di autenticazione rilasciate dal CED identificano in modo univoco la persona fisica. Inoltre, esse sono emesse e distribuite agli utenti in maniera sicura secondo procedure operative stabilite dal CED stesso.

     7. Il CED comunica tempestivamente alla sezione centrale eventuali incidenti informatici occorsi al proprio sistema di autenticazione che coinvolgano l'accesso alla Banca dati nazionale.

     8. Il CED comunica senza indugio alla sezione centrale ogni modifica tecnica e/o organizzativa del proprio ambito tecnologico che comporti l'impossibilità di garantire l'applicazione delle regole di identità federata ovvero la loro perdita, anche temporanea, di efficacia.

     9. Il CED non duplica, neanche con sistemi automatici, i dati resi disponibili e non li utilizza per la creazione di autonome banche dati.

     10. Al fine di garantire l'effettiva sussistenza dei requisiti degli utenti che accedono alla Banca dati nazionale, il CED verifica, ogni sessanta giorni, le abilitazioni assegnate sul proprio sistema informativo e provvede, se necessario, alla disabilitazione delle utenze con le modalità di cui al punto 3.

 

     Allegato 5

     (articolo 30)