gioved́, 22 aprile 2021

Regolamento recante norme di attuazione del sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto d'identità

Ministero dell'Economia e delle Finanze, Decreto 19.5.2014 n. 95

 

MINISTERO DELL'ECONOMIA E DELLE FINANZE 

DECRETO 19 maggio 2014, n. 95 

Regolamento recante norme di attuazione del sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto d'identita'. (14G00107)

(GU n.150 del 1-7-2014)

Vigente al: 16-7-2014


IL MINISTRO  DELL'ECONOMIA E DELLE FINANZE

Visto l'articolo 17, comma 3-bis, del decreto legislativo 26 febbraio 1999, n. 46;  Visto il decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, recante codice in materia di protezione dei dati personali;  Vista la legge 17 agosto 2005, n. 166, e il relativo regolamento di attuazione, adottato con decreto del Ministro dell'economia e delle finanze 30 aprile 2007, n. 112;  Visto il decreto legislativo 13 agosto 2010, n. 141, recante attuazione della direttiva 2008/48/CE relativa ai contratti di credito ai consumatori, nonche' modifiche del titolo VI del testo unico bancario, decreto legislativo n. 385 del 1993, in merito alla disciplina dei soggetti operanti nel settore finanziario, degli agenti in attivita' finanziaria e dei mediatori creditizi;  Visto il decreto legislativo 11 aprile 2011, n. 64, recante ulteriori modifiche ed integrazioni al decreto legislativo 13 agosto 2010, n. 141, per l'istituzione di un sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto d'identita' ed in particolare l'articolo 30-octies, comma 1, che prevede di darvi attuazione con apposito decreto del Ministro dell'economia e delle finanze, entro sei mesi dalla sua data di entrata in vigore;  Visto il decreto legislativo 19 settembre 2012, n. 169, recante ulteriori modifiche ed integrazioni al decreto legislativo 13 agosto 2010, n. 141;  Sentito il Garante per la protezione dei dati personali;  Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 6 febbraio 2014;  Vista la nota del 28 marzo 2014, con la quale, ai sensi dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400, lo schema di regolamento e' stato comunicato al Presidente del Consiglio dei Ministri e il conseguente nulla osta pervenuto dalla Presidenza del Consiglio dei Ministri con nota prot. n. 3470 del 3 aprile 2014;

Adotta 

il seguente regolamento:

Art. 1

Definizioni

1. Ai sensi del presente regolamento si intendono per:  a) «aderenti diretti»: i soggetti di cui all'articolo 30-ter, comma 5, lettere a), b), c) e c-bis) del decreto legislativo 13 agosto 2010, n. 141;  b) «aderenti indiretti»: i soggetti di cui all'articolo 30-ter, comma 5, lettera d), del decreto legislativo 13 agosto 2010, n. 141, che partecipano al sistema di prevenzione in base ad apposita convenzione con il Ministero dell'economia e delle finanze;  c) «decreto legislativo»: il decreto legislativo 13 agosto 2010, n. 141, e successive modificazioni e integrazioni;  d) «documenti di identita'»: i documenti di identita' e di riconoscimento, comunque denominati o equipollenti, ancorche' smarriti o rubati, di cui all'articolo 30-quinquies, comma 1, lettera a), del decreto legislativo;  e) «ente gestore»: la Concessionaria servizi assicurativi pubblici S.p.a. (Consap);  f) «frodi subite»: le operazioni disconosciute dai soggetti di cui sono stati indebitamente utilizzati i dati relativi all'identita' e al reddito e dagli stessi denunciate all'autorita' giudiziaria;  g) «gruppo di lavoro»: il gruppo di cui all'articolo 30-ter, comma 9, del decreto legislativo;  h) «INAIL»: l'Istituto nazionale per l'assicurazione contro gli infortuni sul lavoro;  i) «INPS»: l'Istituto nazionale della previdenza sociale;  l) «operazione»: la concessione di una dilazione o un differimento di pagamento, un finanziamento o altra analoga facilitazione finanziaria, un servizio a pagamento differito, una prestazione di carattere assicurativo, anche quando associata ad un rapporto o altra operazione bancaria o finanziaria;  m) «titolare dell'archivio»: il Ministero dell'economia e delle finanze.  2. Al presente regolamento e' allegato l'elenco di cui al d.P.C.M. 14 novembre 2012, n. 252, che ne forma parte integrante.

Art. 2

Oggetto, finalita' e ambito di applicazione

1. Il presente regolamento detta la disciplina esecutiva ed attuativa del sistema di prevenzione delle frodi di cui all'articolo 30-ter del decreto legislativo. In particolare sono disciplinate la struttura del sistema di prevenzione, le tipologie di dati trattati, le modalita' di collegamento dell'archivio informatizzato con le banche dati pubbliche, le fasi che caratterizzano la procedura di riscontro, nonche' la misura della contribuzione a carico degli aderenti diretti, i criteri di determinazione e le relative modalita' di riscossione della medesima.  2. Il sistema di prevenzione e' istituito, nell'ambito del Ministero dell'economia e delle finanze, al fine di permettere la verifica dell'autenticita' dei dati contenuti nella documentazione fornita dalle persone fisiche nei casi in cui ricorra una delle fattispecie previste dall'articolo 30-ter, commi 7 e 7-bis, del decreto legislativo.  3. Il presente regolamento si applica nei confronti degli aderenti diretti e indiretti.

Art. 3

Disposizioni in materia di trattamento dei dati personali

1. Il trattamento dei dati personali, da parte del titolare dell'archivio, dell'ente gestore e degli aderenti diretti e indiretti e' autorizzato esclusivamente per le finalita' inerenti alla prevenzione del furto d'identita' nei settori del credito al consumo, dei pagamenti dilazionati e differiti, dei servizi di comunicazione elettronica e interattivi, nonche' nel settore assicurativo.  2. Gli aderenti diretti partecipano al sistema di prevenzione esclusivamente in relazione ai dati personali, pertinenti e non eccedenti, necessari al perseguimento delle specifiche finalita' inerenti al settore commerciale di appartenenza.  3. Gli aderenti indiretti partecipano al sistema di prevenzione esclusivamente in relazione ai dati personali, pertinenti e non eccedenti, necessari al perseguimento delle specifiche finalita' di cui all'articolo 4, comma 3.  4. Il titolare dell'archivio, l'ente gestore, e gli aderenti diretti e indiretti adottano, ai sensi del decreto legislativo 30 giugno 2003, n. 196, tutte le misure necessarie ad assicurare un elevato livello di protezione dei dati personali oggetto di trattamento.  5. Il titolare dell'archivio sovrintende al rispetto degli obblighi, da parte dell'ente gestore e degli aderenti diretti e indiretti, relativi all'adozione delle misure di sicurezza di cui al comma 4.

Art. 4

Individuazione degli aderenti diretti  e degli aderenti indiretti

1. Entro trenta giorni dalla data di entrata in vigore del presente regolamento, gli aderenti diretti sono tenuti a trasmettere al Ministero dell'economia e delle finanze il formulario di cui all'allegato 1, che costituisce parte integrante del presente regolamento.  2. Il titolare dell'archivio, entro sessanta giorni dalla data di entrata in vigore del presente regolamento, istituisce, anche sulla base delle indicazioni pervenute tramite i formulari, la lista nominativa degli aderenti diretti. I medesimi aderenti sono tenuti a comunicare con lo stesso mezzo, entro trenta giorni, le successive variazioni. Gli aderenti diretti sono tenuti, altresi', a stipulare una apposita convenzione con l'ente gestore, sulla base di uno schema-tipo da adottarsi su parere conforme del Garante per la protezione dei dati personali, nonche' a versare un contributo nella misura indicata al successivo articolo 5, comma 3.  3. Gli aderenti indiretti sono individuati tramite apposita convenzione con il Ministero dell'economia e delle finanze, da stipularsi ai sensi dell'articolo 30-ter, comma 5, lettera d), del decreto legislativo e partecipano al sistema di prevenzione, previo conferimento di apposito incarico o delega da parte degli aderenti diretti, allo scopo di offrire ai medesimi servizi riguardanti l'invio all'ente gestore di richieste di verifica dell'autenticita' dei dati oggetto di riscontro di cui all'articolo 9, di seguito denominati «Dati». Nella medesima convenzione, da adottarsi previo parere conforme del Garante per la protezione dei dati personali, sono stabilite le modalita' di partecipazione al sistema di prevenzione da parte degli aderenti indiretti nonche' le modalita' di trattamento dei dati personali.  4. Successivamente alla pubblicazione del presente regolamento sulla Gazzetta Ufficiale, la convenzione di cui al comma 3 viene resa nota agli aderenti diretti mediante pubblicazione sul sito Internet del Ministero dell'economia e delle finanze. Gli aderenti diretti possono avvalersi dei servizi svolti dagli aderenti indiretti a decorrere dalla data di pubblicazione della medesima convenzione.

Art. 5

Richiesta di verifica e pagamento del contributo

1. Gli aderenti diretti inviano all'ente gestore richieste di verifica dell'autenticita' dei Dati, secondo le modalita' e i termini stabiliti nel presente regolamento.  2. L'adesione al sistema e ciascuna richiesta di verifica, riferita ad un singolo nominativo, comportano da parte degli aderenti diretti il pagamento di un contributo all'ente gestore, previa stipula della convenzione di cui all'articolo 4, comma 2, articolato in modo tale da garantire sia le spese di progettazione e di realizzazione dell'archivio centrale informatizzato istituito ai sensi dell'articolo 30-ter, comma 2, del decreto legislativo, di seguito denominato «Archivio», sia il costo pieno del servizio svolto dall'ente gestore stesso.  3. La misura delle componenti del contributo e' stabilita nel modo seguente:  a) per l'adesione al sistema, gli aderenti diretti sono assoggettati al pagamento pro quota, in parti uguali, di un contributo, al netto dell'IVA, di complessivi 3.919.443,80 euro. Fermo restando tale importo complessivo, per gli aderenti diretti il cui valore dell'attivo dello stato patrimoniale, risultante dall'ultimo bilancio approvato alla data di entrata in vigore del presente regolamento, e' superiore a euro 5.000.000.000,00, l'importo del contributo puo' essere incrementato fino al doppio di quello stabilito;  b) per ciascuna richiesta di verifica, il singolo aderente diretto e' assoggettato al pagamento di un contributo, al netto dell'IVA, di 0,30 euro.  4. Le somme complessivamente versate dagli aderenti diretti affluiscono all'ente gestore, con modalita' stabilite nella convenzione di cui all'articolo 4, comma 2. Ai sensi dell'articolo 30-septies, comma 1, del decreto legislativo, l'ente gestore deve tenere contabilita' separata e fornire al Ministero dell'economia e delle finanze apposita rendicontazione in ordine alle somme introitate ed ai costi sostenuti in relazione al servizio svolto, secondo quanto stabilito nella convenzione di cui all'articolo 30-ter, comma 3, del decreto legislativo.  5. Gli aderenti diretti versano la componente del contributo di cui al comma 3, lettera a), all'atto della stipula della convenzione di cui all'articolo 4, comma 2, da sottoscrivere entro centoventi giorni dalla data di entrata in vigore del presente regolamento.  6. A decorrere dalla data di avvio del sistema di prevenzione, gli aderenti diretti non sono assoggettati al pagamento del contributo di cui al comma 3, lettera b), fino alla concorrenza dell'importo versato dagli stessi aderenti diretti ai sensi del medesimo comma 3, lettera a).  7. Eventuali crediti nei confronti degli aderenti diretti in relazione al mancato versamento del contributo sono riscossi mediante procedura di iscrizione a ruolo ai sensi dell'articolo 17, commi 3-bis e 3-ter, del decreto legislativo 26 febbraio 1999, n 46.  8. Le disposizioni di cui al presente articolo si applicano sia ai soggetti di nuova costituzione che rientrano nella categoria degli aderenti diretti, sia alle nuove categorie di soggetti individuate ai sensi dell'articolo 30-ter, comma 6, del decreto legislativo.

Art. 6

Comunicazione delle informazioni

1. Gli aderenti diretti sono tenuti a comunicare al titolare dell'archivio le informazioni di cui all'articolo 11, secondo le modalita' e i termini stabiliti nel presente regolamento.

Art. 7

Accesso e alimentazione dell'Archivio da parte  degli aderenti diretti

1. Gli aderenti diretti accedono all'Archivio per la verifica dei Dati di cui all'articolo 9 e per l'immissione delle informazioni di cui all'articolo 11, secondo quanto previsto dall'articolo 14.  2. Gli stessi aderenti diretti accedono altresi' all'Archivio per la consultazione delle informazioni, secondo quanto previsto dall'articolo 15.  3. Le modalita' relative al collegamento informatico dell'Archivio con le banche dati detenute dagli enti e amministrazioni pubbliche di cui all'articolo 10 sono contenute nel documento tecnico di cui all'allegato 2, che costituisce parte integrante del presente regolamento.  4. Le istruzioni tecniche per il funzionamento dell'Archivio, comprendenti i livelli di fornitura del servizio, sono contenute in un manuale operativo redatto dal Ministero dell'economia e delle finanze. Successivamente alla pubblicazione del presente regolamento sulla Gazzetta Ufficiale, il manuale operativo viene reso noto agli aderenti diretti e indiretti mediante pubblicazione sul sito Internet del Ministero dell'economia e delle finanze, nell'ambito delle ordinarie risorse di bilancio, senza nuovi o maggiori oneri per il bilancio dello Stato.

Art. 8

Struttura dell'Archivio

1. L'Archivio e' strutturato in sei livelli:  a) il primo livello contiene le liste nominative degli aderenti diretti, la normativa di riferimento ed ogni altro elemento di carattere divulgativo. Il contenuto del primo livello e' pubblicato sull'apposito sito Internet del Ministero dell'economia e delle finanze;  b) il secondo livello contiene l'elaborazione dei dati statistici, in forma aggregata e anonima, concernenti i casi il cui riscontro ha evidenziato la non autenticita' di una o piu' categorie di Dati presenti nelle richieste di verifica ed e' accessibile agli aderenti diretti. L'accesso al secondo livello puo' essere altresi' consentito agli aderenti indiretti e ad altri enti interessati, previa autorizzazione del titolare dell'archivio;  c) il terzo livello contiene l'interfaccia informatica che consente agli aderenti diretti di inviare richieste di verifica dell'autenticita' dei Dati in loro possesso al fine di operare, tramite l'interconnessione di rete, il riscontro con quelli detenuti nelle banche dati degli enti e amministrazioni pubbliche. Il terzo livello e' accessibile agli aderenti diretti e indiretti;  d) il quarto livello contiene le informazioni relative alle frodi subite da parte degli aderenti diretti di cui all'articolo 11, comma 1, e le segnalazioni relative ai soggetti che hanno subito frodi di cui all'articolo 19. Il quarto livello e' accessibile agli aderenti diretti, secondo quanto previsto dall'articolo 15 e dall'articolo 19.  e) il quinto livello contiene le informazioni relative al rischio di frodi di cui all'articolo 11, comma 2. Il quinto livello e' accessibile agli aderenti diretti, secondo quanto previsto dall'articolo 15;  f) il sesto livello contiene le segnalazioni di specifiche allerta preventive trasmesse dal titolare dell'archivio agli aderenti diretti, nonche' i risultati di specifico interesse.  2. Gli aderenti indiretti non possono accedere oltre il terzo livello dell'Archivio.

Art. 9

Dati oggetto di riscontro

1. I Dati oggetto di riscontro contenuti nelle richieste di verifica di cui all'articolo 5, comma 1, relativi ai documenti di identita', sono composti da:  a) elementi identificativi del soggetto che richiede di effettuare l'operazione:  1) nome e cognome;  2) data e luogo di nascita;  3) sesso;  4) cittadinanza;  5) domicilio fiscale;  6) provincia;  7) codice avviamento postale;  8) riscontro dell'esistenza in vita.  b) elementi identificativi dei documenti di identita':  1) tipologia di documento;  2) numero del documento;  3) data di rilascio del documento;  4) data di scadenza del documento;  5) ente che ha rilasciato il documento;  6) provincia del comune che ha rilasciato il documento;  7) numero di serie del supporto plastico;  8) riscontro della presenza del documento nell'archivio dei documenti smarriti o rubati.  2. I Dati oggetto di riscontro contenuti nelle richieste di verifica, relativi alle tessere sanitarie, ai codici fiscali, alle partite IVA e ai documenti che attestano il reddito, riferibili alle persone fisiche, sono composti da:  a) numero della tessera sanitaria;  b) data di rilascio della tessera sanitaria;  c) data di scadenza della tessera sanitaria;  d) numero del codice fiscale;  e) numero della partita IVA;  f) data di attribuzione della partita IVA;  g) anno dell'ultima presentazione della dichiarazione dei redditi;  h) riscontro della fascia di reddito entro la quale la persona fisica e' collocata.  3. I Dati oggetto di riscontro contenuti nelle richieste di verifica, relativi alle posizioni contributive previdenziali ed assistenziali, sono composti da:  a) data di inizio del rapporto di lavoro;  b) tipologia del rapporto di lavoro;  c) qualifica;  d) periodo di competenza del prospetto di paga;  e) imponibile previdenziale del prospetto di paga;  f) numero posizione contributiva previdenziale del datore di lavoro;  g) numero posizione assicurativa del datore di lavoro;  h) nominativo del datore di lavoro o del rappresentante legale;  i) numero del codice fiscale del datore di lavoro;  l) numero della partita IVA del datore di lavoro.

Art. 10

Procedura di riscontro dell'autenticita' dei Dati

1. I Dati di cui all'articolo 9 sono assoggettati a riscontro, mediante procedure telematiche compatibili, con quelli detenuti nelle banche dati degli enti e amministrazioni pubbliche nel modo seguente:  a) gli elementi identificativi di cui all'articolo 9, comma 1, lettera a), sono assoggettati a riscontro con quelli detenuti nelle banche dati dell'Agenzia delle entrate e del Ministero dell'interno;  b) gli elementi identificativi di cui all'articolo 9, comma 1, lettera b), sono assoggettati a riscontro con quelli detenuti nelle banche dati del Ministero dell'interno e del Ministero delle infrastrutture e dei trasporti;  c) gli elementi identificativi di cui all'articolo 9, comma 2, sono assoggettati a riscontro con quelli detenuti nelle banche dati del Ministero dell'economia e delle finanze e dell'Agenzia delle entrate;  d) gli elementi identificativi di cui all'articolo 9, comma 3, sono assoggettati a riscontro con quelli detenuti nelle banche dati degli istituti INPS e INAIL.  2. L'ente gestore autorizza di volta in volta la procedura di collegamento dell'Archivio alle banche dati degli enti e amministrazioni pubbliche.

Art. 11

Informazioni

1. Le informazioni relative alle frodi subite sono composte da:  a) elementi identificativi dell'aderente diretto e data della segnalazione;  b) elementi identificativi del soggetto che ha disconosciuto l'operazione:  1) nome e cognome;  2) data e luogo di nascita;  3) sesso;  4) cittadinanza;  5) codice fiscale;  c) elementi identificativi del documento di identita' e del documento che attesta il reddito utilizzati per l'operazione disconosciuta:  1) tipologia di documento di identita';  2) numero del documento di identita';  3) data di rilascio del documento di identita';  4) data di scadenza del documento di identita';  5) ente che ha rilasciato il documento di identita';  6) documento di identita' smarrito o rubato;  7) tipologia di documento di reddito utilizzato;  d) elementi identificativi dell'operazione disconosciuta:  1) data dell'operazione;  2) tipologia dell'operazione;  3) importo dell'operazione;  4) modalita' di rimborso dell'operazione;  5) finalita' dell'operazione;  6) data in cui e' stata disconosciuta l'operazione;  7) motivo del disconoscimento;  8) estremi della denuncia presentata all'Autorita' giudiziaria dal soggetto che ha disconosciuto l'operazione;  e) elementi identificativi dell'esercizio commerciale dove e' stata effettuata l'operazione disconosciuta:  1) ragione o denominazione sociale;  2) indirizzo;  3) provincia;  4) codice avviamento postale;  5) partita IVA.  2. Le informazioni relative al rischio di frodi sono composte da:  a) elementi identificativi dell'aderente diretto e data della segnalazione;  b) elementi identificativi del soggetto che richiede di effettuare l'operazione:  1) nome e cognome;  2) data e luogo di nascita;  3) sesso;  4) cittadinanza;  5) codice fiscale;  c) elementi identificativi del documento di identita' e del documento che attesta il reddito presentati dal soggetto:  1) tipologia di documento di identita';  2) numero del documento di identita';  3) tipologia di documento di reddito presentato;  d) elementi identificativi dell'operazione:  1) data della richiesta relativa all'operazione;  2) tipologia dell'operazione;  3) importo dell'operazione;  4) modalita' di rimborso dell'operazione;  5) finalita' dell'operazione;  6) operazione autorizzata o negata;  e) elementi identificativi dell'esercizio commerciale dove e' stata presentata la richiesta di effettuare l'operazione;  1) ragione o denominazione sociale;  2) indirizzo;  3) provincia;  4) codice avviamento postale;  5) partita IVA;  f) causale della comunicazione:  1) raggiungimento del parametro di cui all'articolo 12, comma 1.

Art. 12

Rischio di frodi

1. Si configura il rischio di frodi che comporta la comunicazione delle informazioni di cui all'articolo 11, comma 2, quando viene raggiunto il seguente parametro: tre o piu' incongruenze rilevate in sede di riscontro dell'autenticita' dei Dati forniti dal soggetto che richiede di effettuare l'operazione.  2. Con decreto del Ministro dell'economia e delle finanze e' individuato, previo parere del gruppo di lavoro e sentito il Garante per la protezione dei dati personali, ogni altro parametro di rischio di frodi idoneo al perseguimento delle finalita' del decreto legislativo.

Art. 13

Periodo di monitoraggio delle informazioni  sul rischio di frodi

1. L'aderente diretto comunica al titolare dell'archivio, mediante l'invio delle informazioni di cui all'articolo 11, comma 2, l'apertura del periodo di monitoraggio. Tale periodo, necessario ai predetti aderenti diretti ad accertare l'effettiva sussistenza del rischio di frode, non puo' superare i quindici giorni.  2. Nel caso di operazione autorizzata di cui all'articolo 11, comma 2, lettera d), n. 6), l'aderente diretto comunica all'ente gestore l'esito del periodo di monitoraggio di cui al comma 1 in termini di «accertamento della frode subita» o di «conclusione del monitoraggio senza ulteriori provvedimenti». Sulla base di tale comunicazione, l'ente gestore riqualifica come informazioni ai sensi dell'articolo 11, comma 1, le informazioni relative al rischio di frodi, ovvero provvede alla loro cancellazione.  3. Nel caso di operazione non autorizzata dall'aderente diretto o di mancata segnalazione circa la conclusione del monitoraggio, decorsi i termini di cui al comma 1, l'ente gestore provvede d'ufficio alla cancellazione delle informazioni di cui all'articolo 11, comma 2.

Art. 14

 Modalita' e termini di verifica dei Dati e di immissione delle  informazioni nell'Archivio

1. Gli aderenti diretti assicurano l'esattezza e la completezza dei Dati e delle informazioni.  2. Le richieste di verifica dell'autenticita' dei Dati sono inviate, per via telematica, nel momento in cui il singolo aderente diretto riceve una richiesta di effettuare l'operazione.  3. Le informazioni di cui all'articolo 11, comma 1, sono immesse, per via telematica, nell'Archivio non appena disponibili e comunque non oltre il secondo giorno lavorativo successivo a quello della loro acquisizione da parte dell'aderente diretto.  4. Le informazioni di cui all'articolo 11, comma 2, sono immesse, per via telematica, nell'Archivio non appena disponibili e comunque non oltre il primo giorno lavorativo successivo a quello della loro acquisizione da parte dell'aderente diretto.  5. I provvedimenti del Garante per la protezione dei dati personali che dispongono il blocco del trattamento dei dati personali, la rettifica o la cancellazione dei medesimi sono eseguiti dall'ente gestore dell'Archivio.  6. L'ente gestore verifica la completezza dei Dati trasmessi e delle informazioni immesse e, in caso di riscontro positivo, provvede alla loro convalida.

Art. 15

Consultazione delle informazioni da parte  degli aderenti diretti

1. La consultazione delle informazioni di cui all'articolo 11, comma 1, da parte degli aderenti diretti non richiede la preventiva autorizzazione da parte del titolare dell'archivio.  2. La consultazione delle informazioni di cui all'articolo 11, comma 2, da parte degli aderenti diretti richiede la preventiva autorizzazione da parte del titolare dell'archivio. Tale autorizzazione e' rilasciata di volta in volta agli aderenti diretti che risultano aver comunicato, con regolarita' e completezza, le informazioni di cui all'articolo 11, comma 2.

Art. 16

Controllo sul corretto funzionamento dell'Archivio  1. Il titolare dell'archivio sovrintende al corretto funzionamento dell'Archivio e all'osservanza delle disposizioni che regolano le modalita' di trasmissione dei Dati e di immissione delle informazioni.

Art. 17

 Permanenza dell'iscrizione delle informazioni relative alle frodi  subite

1. Le informazioni di cui all'articolo 11, comma 1, restano iscritte nell'Archivio per tre anni dalla data di ricevimento.

Art. 18

Gruppo di lavoro

1. Il gruppo di lavoro si riunisce, di norma, quattro volte l'anno.  2. Le riunioni del gruppo di lavoro sono presiedute dal componente designato dal Ministero dell'economia e delle finanze. La segreteria del gruppo di lavoro e' assicurata dall'ente gestore.  3. Per la partecipazione ai lavori del gruppo di lavoro non e' dovuto alcun compenso ne' rimborso spese a qualsiasi titolo spettante.  4. Il Consiglio nazionale dei consumatori e degli utenti puo' richiedere, in qualsiasi momento, di essere ascoltato dal gruppo di lavoro.

Art. 19

Servizio telefonico e telematico

1. Il servizio gratuito, telefonico e telematico e' deputato, ai sensi dell'articolo 30-ter, comma 8, del decreto legislativo, a ricevere le segnalazioni dei soggetti che hanno subito o temono di aver subito frodi configuranti ipotesi di furto di identita'.  2. Le segnalazioni relative ai soggetti che hanno subito frodi sono composte da:  a) data della segnalazione;  b) elementi identificativi del soggetto segnalante:  1) nome e cognome;  2) data e luogo di nascita;  3) sesso;  4) cittadinanza;  5) codice fiscale;  6) copia del documento di identita';  c) descrizione della tipologia di frode subita;  d) copia della denuncia rilasciata dall'Autorita' giudiziaria.  3. L'ente gestore verifica la completezza delle segnalazioni di cui al comma 2 e, in caso di riscontro positivo, provvede ad immetterle nell'Archivio.  4. Le segnalazioni di cui al comma 2 restano iscritte nell'Archivio per tre anni dalla data di ricevimento.  5. La consultazione delle segnalazioni di cui al comma 2 da parte degli aderenti diretti non richiede la preventiva autorizzazione del titolare dell'Archivio.  6. Le segnalazioni relative ai soggetti che temono di aver subito frodi non sono iscritte nell'Archivio. L'ente gestore fornisce un'informativa al soggetto interessato relativamente alle amministrazioni pubbliche e agli enti, pubblici e privati presso i quali rivolgersi, al fine di prevenire il configurarsi della fattispecie di cui al comma 2.

Art. 20

Accesso ai Dati ed alle informazioni da parte del Dipartimento della  pubblica sicurezza del Ministero dell'interno e delle Forze di  polizia

1. Le Forze di polizia e il Dipartimento della pubblica sicurezza di cui all'articolo 30-quater, commi 2 e 3, del decreto legislativo accedono alle informazioni contenute nell'Archivio, attraverso un collegamento tra il predetto Archivio ed il Centro elaborazione dati del Ministero dell'interno, di cui all'articolo 8 della legge 1° aprile 1981, n. 121. Il collegamento deve rispondere a procedure telematiche compatibili con le caratteristiche tecniche del predetto Centro e dello stesso Archivio e nel rispetto degli standard previsti dal Sistema pubblico di connettivita', secondo le intese fra il Dipartimento del Tesoro e il Dipartimento di pubblica sicurezza, e deve essere realizzato nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.  2. Eventuali risultati di specifico interesse di cui all'articolo 30-quater, comma 3, del decreto legislativo, diversi dalle informazioni di cui al comma precedente, derivanti dalla gestione dell'Archivio, utili ai fini dell'analisi dei fenomeni criminali e di cooperazione, anche internazionale, di polizia sono comunicati dal titolare dell'archivio, anche d'iniziativa, ovvero su richiesta del gruppo di lavoro al Dipartimento della pubblica sicurezza - Direzione centrale della polizia criminale -, secondo modalita' da stabilirsi previe intese tra il Dipartimento del Tesoro e la predetta Direzione centrale.

Art. 21

 Scambio di dati con l'Unita' di informazione finanziaria della Banca  d'Italia

1. I risultati di specifico interesse di cui all'articolo 30-quater, comma 3, del decreto legislativo, ove rilevanti, sono comunicati dal titolare dell'archivio, anche d'iniziativa, ovvero su richiesta del Gruppo di lavoro all'Unita' di informazione finanziaria della Banca d'Italia, secondo modalita' da stabilirsi previe intese tra il Dipartimento del tesoro e l'Unita' di informazione finanziaria della Banca d'Italia.

Art. 22

 Scambio di dati con il Nucleo speciale di polizia valutaria della  Guardia di finanza

1. I risultati di specifico interesse di cui all'articolo 30-quater, comma 3, del decreto legislativo, ove rilevanti, sono comunicati dal titolare dell'archivio, anche d'iniziativa, ovvero su richiesta del gruppo di lavoro al Nucleo speciale di polizia valutaria della Guardia di finanza, secondo modalita' da stabilirsi previe intese tra il Dipartimento del tesoro e il medesimo Nucleo.  2. In aderenza a quanto previsto dall'articolo 30-quater, comma 4, del decreto legislativo, il titolare dell'archivio puo' avvalersi, in presenza di significativi riscontri, della collaborazione del Nucleo speciale di polizia valutaria, anche ai fini dell'approfondimento delle segnalazioni di cui all'articolo 30-ter, comma 7, ultimo periodo, del decreto legislativo. Il Dipartimento del tesoro ed il Nucleo speciale di polizia valutaria stabiliscono periodicamente le modalita', i termini ed i contenuti della collaborazione, ivi compresi gli indici di anomalia di cui il titolare dell'archivio tiene conto ai fini della richiesta di collaborazione del suddetto Nucleo.  3. Nel rispetto delle finalita' stabilite dal decreto legislativo, il Nucleo speciale di polizia valutaria puo' avvalersi della collaborazione degli altri reparti della Guardia di finanza.

Art. 23

Disposizioni transitorie e finali

1. Le disposizioni riguardanti le informazioni si applicano decorsi diciotto mesi dalla data di entrata in vigore del presente regolamento.  2. Le disposizioni riguardanti gli aderenti diretti di cui all'articolo 30-ter, comma 5, lettera c-bis), del decreto legislativo si applicano decorsi dodici mesi dalla data di entrata in vigore del presente regolamento.  3. Dall'attuazione del presente regolamento non derivano nuovi o maggiori oneri per il bilancio dello Stato.  Il presente regolamento, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Roma, 19 maggio 2014

Il Ministro: Padoan

 Visto, il Guardasigilli: Orlando

 Registrato alla Corte dei conti il 23 giugno 2014 Ufficio controllo atti Ministero economia e finanze, registrazione prev. n. 1993

Allegato 1  (articolo 4, comma 1, del regolamento di attuazione)

   Il sottoscritto aderente diretto garantisce che il trattamento dei dati personali viene espletato nel rispetto delle disposizioni previste dal decreto legislativo 30 giugno 2003, n. 196, per le finalita' previste dal decreto legislativo 13 agosto 2010, n. 141, e successive modificazioni e integrazioni, e secondo quanto stabilito dal relativo regolamento di attuazione e dal manuale operativo per l'utilizzo dell'archivio, ed assicura inoltre:

A) di adottare misure tecniche ed organizzative idonee a rendere sicura la protezione dei dati personali;  B) di fornire un'adeguata informativa agli interessati ai sensi dell'articolo 13 del decreto legislativo 30 giugno 2003, n. 196, circa gli obblighi di comunicazione dei dati personali stabiliti dal regolamento di attuazione.

Il sottoscritto aderente diretto partecipa al sistema di prevenzione esclusivamente in relazione ai dati personali, pertinenti e non eccedenti, necessari al perseguimento delle specifiche finalita' inerenti al settore commerciale di appartenenza.  Il sottoscritto aderente diretto, ai sensi dell'articolo 4, comma 1, del regolamento di attuazione, fornisce al Ministero dell'economia e delle finanze i seguenti dati identificativi:  Parte di provvedimento in formato grafico

ISTRUZIONI PER LA COMPILAZIONE DEL FORMULARIO:

Il presente formulario deve essere compilato dagli aderenti diretti ai sensi dell'articolo 4, commi 1 e 2, del regolamento di attuazione. Gli aderenti diretti sono responsabili dell'integrita', l'esattezza e la riservatezza dei Dati e delle informazioni di cui agli articoli 9 e 11 del regolamento di attuazione.  Il presente formulario deve essere debitamente sottoscritto dall'aderente diretto con firma digitale e marca temporale, e successivamente, entro i termini stabiliti dall'articolo 4, commi 1 e 2, del regolamento, inviato elettronicamente (unitamente ad eventuali allegati) al Ministero dell'Economia e delle Finanze, Dipartimento del Tesoro, Direzione V - Prevenzione dell'utilizzo del sistema finanziario per fini illegali, tramite apposita procedura informatizzata predisposta dall'ente gestore.  La procedura informatizzata e' resa disponibile, in via esclusiva, sul sito del Dipartimento del Tesoro del Ministero dell'Economia e delle Finanze e consente, al momento della ricezione del formulario firmato digitalmente, l'invio automatico di una apposita ricevuta all'indirizzo di posta elettronica certificata indicato dall'aderente diretto nel formulario stesso.

 (Marca temporale elettronica) (Firma digitale autorizzata)

                                         Allegato 2  (articolo 7, comma 3, del regolamento di attuazione)

               Allegato tecnico al regolamento attuativo

Indice dei contenuti

1 INTRODUZIONE  2 L'ARCHITETTURA GENERALE DEL SISTEMA  3 DESCRIZIONE DEI PROCESSI OPERATIVI DI RIFERIMENTO  4 MODALITA' DI COLLEGAMENTO INFORMATICO DEL SISTEMA  5 PRODUZIONE, DISTRIBUZIONE E GESTIONE DELLE CREDENZIALI DI ACCESSO AL SISTEMA  6 TRACCIAMENTO DELLE OPERAZIONI  7 PROFILI DI AUTORIZZAZIONE

   1 Introduzione

Questo documento descrive in particolare:  - le modalita' di collegamento informatico del sistema alle banche dati degli organismi pubblici;  - le modalita' di collegamento informatico al sistema da parte degli aderenti diretti e indiretti;  - le procedure di gestione del servizio telefonico e telematico di cui all'art. 30 ter, comma 8 del D.lgs. 141/2010;  - i processi di gestione delle credenziali di accesso al sistema;  - il tracciamento delle operazioni eseguite con il sistema;  - i profili di autorizzazione al riscontro delle diverse tipologie di dati da parte delle diverse tipologie di aderente.  Lo schema dell'architettura generale dell'archivio e' mostrato nella figura seguente:

Parte di provvedimento in formato grafico  In particolare e' previsto che l'Archivio sia costituito da tre moduli funzionali:  · il modulo Interconnessione di rete, che ricevera' le richieste di verifica provenienti dagli aderenti, le tradurra' in richieste di accesso alle banche dati pubbliche ospitanti i dati autentici da riscontrare e restituira' l'esito, positivo o negativo, della verifica effettuata;  · il modulo Informatico di allerta, che raccogliera' le segnalazioni di frodi subite o di rischio di frode provenienti dagli aderenti e le segnalazioni di allerta preventive generate dal sistema;  · il modulo Informatico centralizzato, che memorizza, in modo aggregato e anonimo, i casi il cui riscontro ha evidenziato la non autenticita' di una o piu' categorie di dati presenti nelle richieste di verifica inviate dagli aderenti e permette al gruppo di lavoro lo studio del fenomeno delle frodi.  Le modalita' d'uso del servizio di riscontro da parte degli aderenti sono diversificate, in quanto si prevede sia uno scenario d'uso allo sportello con il cliente di fronte all'operatore, sia uno scenario d'uso di back office, sia uno scenario d'uso che prevede elaborazioni massive di tipo batch.

2 L'architettura generale del sistema

La figura seguente mostra l'architettura generale prevista del sistema.

Parte di provvedimento in formato grafico

Si prevede la costituzione presso il CED del Ministero dell'economia e delle finanze di un sistema informatico altamente scalabile e pienamente ridondato destinato a erogare il servizio operativo di riscontro di dati personali richiesto dai soggetti aderenti interfacciando una molteplicita' di banche dati istituzionali (Agenzia delle Entrate, Ministero dell'Interno, Ministero delle Infrastrutture e dei Trasporti, INPS e INAIL).  Il sistema permettera' inoltre il ricevimento e la registrazione delle segnalazioni dei soggetti che hanno subito frodi configuranti ipotesi di furto di identita'.  Il sistema dialoghera' con il sistema informatico Consap, presso la quale sara' svolta la gestione amministrativa delle convenzioni con gli aderenti, la gestione delle utenze e la gestione del ciclo di calcolo dei consumi, di rendicontazione e di pagamento associato all'attuazione delle convenzioni stesse.

3 Descrizione dei processi operativi di riferimento

Nei paragrafi che seguono sono illustrati i processi operativi per i quali e' previsto il supporto da parte del software del sistema di riscontro.

3.1 Riscontro dei dati

Si evidenzia che la procedura di riscontro, operata secondo le tre modalita' descritte nei paragrafi seguenti, e' strutturata in maniera tale da non richiedere la registrazione dei dati personali nell'archivio, ma soltanto la loro veicolazione informatica al fine di verificarne l'autenticita'.

3.1.1 Riscontro dei dati in modalita' interattiva

Parte di provvedimento in formato grafico

· L'utente abilitato del soggetto aderente entra nel sistema usando le proprie credenziali, seleziona l'aderente delegante (che puo' coincidere con l'aderente di riferimento dell'utente) per il quale effettuare l'interrogazione, fornisce i dati da riscontrare su maschera on line, ne verifica l'esattezza e attiva il servizio di riscontro;  · il sistema, in base alla richiesta ricevuta, attiva i servizi di riscontro messi a disposizione dalle banche dati istituzionali collegate trasmettendo ad esse, ognuna per la propria competenza, i dati forniti dall'utente, raccoglie gli esiti di riscontro - di natura essenzialmente semaforica - ricevuti dalle banche dati e li restituisce all'utente;  · il sistema di riscontro registra i dati identificativi dell'interrogazione effettuata (identificativo dell'utente e dell'organizzazione interrogante, momento dell'interrogazione, tipi di campi oggetto del riscontro, esiti semaforici sul riscontro restituiti dalle banche dati interrogate), a fini amministrativi e di tracciamento;  · nei soli casi in cui il riscontro dei dati abbia dato esito negativo, infine, il sistema registra i dati della richiesta di riscontro e gli esiti semaforici corrispondenti nell'archivio delle richieste di riscontro con esito negativo.

3.1.2 Riscontro dei dati in modalita' application to application - A2A

Parte di provvedimento in formato grafico

· Il sistema informatico abilitato del soggetto aderente invoca il servizio di riscontro usando le proprie credenziali macchina;  · il sistema verifica la correttezza sintattica della richiesta e dei riferimenti forniti nella richiesta all'aderente diretto e all'aderente indiretto, in base alle deleghe registrate come attive nel sistema stesso. Se la verifica sintattica ha esito positivo, attiva i servizi di riscontro messi a disposizione dalle banche dati istituzionali collegate trasmettendo ad esse, ognuna per la propria competenza, i dati forniti dal sistema chiamante, raccoglie gli esiti di riscontro - di natura essenzialmente semaforica - ricevuti dalle banche dati, li integra e li restituisce al sistema informatico chiamante; se la verifica sintattica ha invece esito negativo, restituisce al sistema informatico chiamante l'esito negativo con la motivazione;  · il sistema registra i dati identificativi dell'interrogazione effettuata (identificativo dell'utente associato alle credenziali macchina del sistema chiamante e dell'organizzazione interrogante, momento dell'interrogazione, tipi di campi oggetto del riscontro, esiti semaforici sul riscontro restituiti dalle banche dati interrogate), a fini amministrativi e di tracciamento;  · nei soli casi in cui il riscontro dei dati ha dato esito negativo, infine, il sistema registra i dati della richiesta di riscontro e gli esiti semaforici corrispondenti nell'archivio delle richieste di riscontro con esito negativo.

3.1.3 Riscontro dei dati in modalita' batch

Parte di provvedimento in formato grafico

Il processo previsto differisce da quello precedente in quanto permette l'elaborazione massiva di piu' richieste di riscontro provenienti dal sistema informatico di un soggetto aderente. Il processo e' il seguente:  · il sistema informatico abilitato del soggetto aderente prepara la lista delle richieste di riscontro e invoca il servizio di riscontro massivo usando le proprie credenziali macchina;  · il sistema verifica la correttezza sintattica della lista di richieste ricevute e dei riferimenti forniti nella richiesta all'aderente diretto e all'aderente indiretto, in base alle deleghe registrate come attive nel sistema al momento in cui la richiesta e' stata inoltrata dall'aderente. Per ogni richiesta sintatticamente corretta, attiva i servizi di riscontro messi a disposizione dalle banche dati istituzionali collegate trasmettendo ad esse, ognuna per la propria competenza, i dati forniti dal sistema chiamante, raccoglie gli esiti di riscontro - di natura essenzialmente semaforica - ricevuti dalle banche dati, li integra, confeziona la risposta finale da restituire al sistema informatico chiamante; per ogni richiesta sintatticamente non corretta, confeziona un esito negativo con la motivazione;  · il sistema di riscontro restituisce al sistema informatico chiamante la lista degli esiti delle verifiche effettuate;  · il sistema di riscontro registra i dati identificativi dell'interrogazione effettuata (identificativo dell'utente associato alle credenziali macchina del sistema chiamante e dell'organizzazione interrogante, momento dell'interrogazione, tipi di campi oggetto del riscontro, esiti semaforici sul riscontro restituiti dalle banche dati interrogate), a fini amministrativi e di tracciamento;  · nei soli casi in cui il riscontro dei dati ha dato esito negativo, infine, il sistema registra i dati della richiesta e gli esiti semaforici corrispondenti nell'archivio delle richieste di riscontro con esito negativo.

3.2 Servizi telefonici e telematici

3.2.1 Servizio telefonico

Parte di provvedimento in formato grafico

· Il soggetto segnalante chiama il call center telefonico dedicato al servizio di ricevimento di segnalazioni di cui all'art. 30 ter, comma 8, del D.Lgs. 141/2010;  · Il servizio di call center, interagendo con il soggetto segnalante, individua se trattasi di frode subita o di rischio di frode;  · Nel caso di segnalazione di frode subita, il servizio di call center raccoglie le generalita' del segnalante e i dati relativi alla frode subita, chiedendo di inviare copia dei documenti previsti dall'art. 19, comma 2, del regolamento di attuazione per la successiva registrazione nell'archivio;  · Nel caso di segnalazione di rischio di frode, la stessa non viene registrata nell'archivio.

3.2.2 Servizio telematico

Parte di provvedimento in formato grafico

· Il soggetto segnalante accede a un apposito servizio sulla home page pubblica del sito web;  · Nel caso di segnalazione di frode subita, il soggetto segnalante compila una scheda di segnalazione fornendo le proprie generalita' e i dati relativi alla frode subita, che vengono registrati nell'archivio delle segnalazioni pervenute dai soggetti segnalanti; invia inoltre al call center copia dei documenti previsti dall'art. 19, comma 2, del regolamento di attuazione per la successiva registrazione nell'archivio;  · Nel caso di segnalazione di rischio di frode, il sito web invece non prevede alcuna registrazione di dati.

4 Modalita' di collegamento informatico del sistema

Dal punto di vista fisico, il sistema operera' in un apposito CED dedicato del MEF. Tale impianto sara' quindi separato dal resto della piattaforma tecnologica MEF e sara' possibile il suo accesso, la sua gestione e la sua manutenzione al solo personale Consap e MEF autorizzato a tale attivita'.  Il sistema di riscontro comunichera' con i diversi interlocutori e sistemi cooperanti mediante meccanismi atti ad assicurare la riservatezza, l'integrita' e l'autenticita' delle comunicazioni. Le specifiche modalita' tecniche adottate per il collegamento informatico del sistema con altri sistemi sono descritte nel Manuale operativo.

5 Produzione, distribuzione e gestione delle credenziali di accesso al sistema

La figura seguente illustra il processo di gestione delle credenziali per l'accesso al sistema.

Parte di provvedimento in formato grafico

In particolare, e' prevista la generazione e la gestione di tre tipi di credenziali di accesso ai servizi del sistema:  · credenziali di amministratore, generate da Consap con il proprio sistema di gestione amministrativa delle convenzioni e consegnate agli utenti amministratori di ogni soggetto aderente che ne faccia domanda. Con tali credenziali, il soggetto aderente ha la possibilita' di generare e di gestire credenziali utente per i propri utenti interni che saranno abilitati all'uso del sistema di riscontro;  · credenziali utente, generate da Consap o, per i propri utenti interni, dagli utenti amministratore dei soggetti aderenti. Queste credenziali permettono ai titolari di usare i servizi utente del sistema di riscontro;  · credenziali macchina, generate da Consap con il proprio sistema di gestione amministrativa delle convenzioni per permettere a sistemi informatici dei soggetti aderenti di accreditarsi per ottenere servizi dal sistema informatico in modalita' A2A - Application to Application.  L'utenza del sistema accedera' al portale web su rete internet del sistema di riscontro mediante credenziali applicative nominative (credenziali utente) costituite da una login, una prima password (password1) e una seconda password (password2). Le credenziali avranno le seguenti caratteristiche:  - le credenziali saranno generate mediante il sistema di gestione amministrativa delle convenzioni dall'amministratore di sistema Consap o, per gli utenti dei soggetti aderenti, dagli utenti con ruolo di amministratore dei soggetti aderenti stessi;  - la login individuera' univocamente l'utente;  - le due password saranno generate automaticamente dal sistema e saranno costituite da almeno otto caratteri alfanumerici;  - la prima password sara' fornita automaticamente al solo utente titolare, mediante messaggio di posta elettronica mandato alla casella di posta elettronica del titolare;  - la seconda password sara' fornita automaticamente all'organizzazione di appartenenza dell'utente titolare, mediante messaggio di posta elettronica mandato alla casella di posta elettronica certificata dell'organizzazione di appartenenza dell'utente titolare, che la dovra' inoltrare all'utente stesso;  - all'atto del primo ingresso, il sistema chiedera' all'utente di cambiare la prima password;  - all'atto dell'ingresso, il sistema chiedera' all'utente di cambiare la prima password se saranno trascorsi piu' di sei mesi dalla sua ultima modifica;  - l'amministratore di sistema Consap o, per gli utenti dei soggetti aderenti, gli utenti con ruolo di amministratore dei soggetti aderenti stessi, potranno abilitare/disabilitare gli utenti all'uso del servizio e potranno cambiarne il ruolo (cioe' l'insieme delle funzioni applicative ad essi abilitate), in modo da riflettere nel sistema i cambiamenti organizzativi avvenuti;  - l'amministratore di sistema Consap, con la collaborazione degli utenti amministratori dei soggetti aderenti, verifichera' inoltre con cadenza annuale l'elenco degli utenti registrati, in modo da disabilitare le utenze nei fatti non piu' attive.  L'amministratore di sistema Consap potra' inoltre creare e gestire credenziali macchina, mediante il sistema di gestione amministrativa delle convenzioni.  Le credenziali macchina avranno le seguenti caratteristiche: - avranno una componente applicativa (login + password1 + password2), associata ad un apposito nominativo indicato dal soggetto aderente e saranno distribuite con le medesime modalita' previste per le credenziali utente;  - avranno un'ulteriore componente infrastrutturale, costituita da un certificato conforme allo standard X.509 e fornito a Consap dal soggetto aderente.  All'atto della richiesta di accesso, da parte del sistema informatico del soggetto aderente ai servizi application to application del sistema di riscontro, avverranno pertanto due tipi di verifica:  - corretto instaurarsi della comunicazione criptata con protocollo https e con mutuo riconoscimento, lato client e lato server;  - riconoscimento delle credenziali applicative presentate, in sede di invocazione del servizio, dal sistema chiamante, che dovranno corrispondere all'utente del soggetto aderente abilitato a questo tipo di servizi.

6 Tracciamento delle operazioni

Tutte le operazioni di accesso (lato client) ai servizi del sistema di riscontro - comprese quelle per l'accesso e l'utilizzo delle informazioni presenti nell'archivio delle frodi subite - e tutte le richieste di servizio del sistema di riscontro alle banche dati istituzionali (lato server) saranno registrate in log applicativi, nei quali sara' associata ad ogni operazione l'identificativo dell'utente richiedente l'operazione. Piu' in particolare:  - per ogni operazione eseguita con il sistema di riscontro, il sistema stesso registrera' l'utente che ha eseguito l'operazione, il momento e il tipo di operazione eseguita;  - per ogni richiesta di riscontro e per ogni richiesta di accesso all'archivio delle frodi subite saranno registrate nella base di dati di sistema l'identificativo dell'utente richiedente, l'identificativo dell'aderente di appartenenza e dell'eventuale aderente delegante, l'identificativo univoco della richiesta, la data e ora (timestamp) della richiesta pervenuta dall'aderente e la data e ora (timestamp) della risposta fornita all'aderente, l'elenco dei campi oggetto di riscontro/accesso all'archivio delle frodi subite e il codice fiscale della persona fisica oggetto di riscontro: questa ultima informazione sara' memorizzata - in forma criptata - in modo che possa essere verificata, attraverso una specifica funzione applicativa messa a disposizione del solo personale Consap appositamente incaricato, nell'ambito di possibili controlli sulla liceita' dell'uso del sistema da parte dell'utenza in specifici casi. Nel caso di richieste di riscontro, saranno inoltre registrati nella base di dati di sistema l'elenco degli esiti semaforici restituiti dalle banche dati a fronte di ognuno dei campi oggetto di riscontro, l'elenco delle banche dati interpellate e l'esito tecnico complessivo dell'esecuzione della richiesta (in termini di esecuzione terminata correttamente oppure no);  - per ogni richiesta di riscontro attivata dal sistema di riscontro nei confronti di ogni banca dati, saranno registrate inoltre nella base di dati di sistema l'identificativo univoco della richiesta dell'aderente originante tale attivazione di servizio, l'identificativo della banca dati chiamata e del servizio invocato, la data e ora (timestamp) della richiesta effettuata dal sistema di riscontro e la data e ora (timestamp) della risposta fornita dalla banca dati, l'elenco dei campi (ma non i corrispondenti valori) oggetto di riscontro, l'elenco dei corrispondenti esiti semaforici restituiti dalla banca dati e l'esito tecnico complessivo dell'invocazione del servizio fornito dalla banca dati (in termini di esecuzione terminata correttamente oppure no).

7 Profili di autorizzazione

Il sistema consentira' all'utenza di riscontrare insiemi diversi di dati in funzione della singola tipologia di aderente.  La tabella seguente mostra i profili di autorizzazione previsti per le singole tipologie di aderenti, in rapporto ai riscontri sui diversi tipi di dati previsti dall'art. 9 del regolamento attuativo.


Allegato 3  (articolo 1, comma 2, del regolamento di attuazione)

Elenco degli oneri informativi introdotti  predisposto ai sensi dell'art. 7 della L. 180/2011

Parte di provvedimento in formato grafico
Allegato: decreto 95 del 2014.pdf
Invia per email

LaPrevidenza.it, 03/07/2014

PAOLO SANTELLA
mini sito

Galleria G. Marconi N. 1, 40122, Bologna (BO)

Telefono:

0514845918

Cellulare:

3287438262

Professione:

Avvocato

Aree di attività:

Diritto delle nuove tecnologie e informatica giuridica (diploma di specializzazione di master presso Alma Mater Uni...

ALESSANDRO BARONE
mini sito

Vill.prealpino Via Prima 24, 25136, Brescia (BS)

Telefono:

0302001574

Cellulare:

3479194117

Servizi:

consulenza del lavoro consulenza previdenziale