Lexipedia

AS 2007 5281

Ordinanza del DFI sugli standard minimi delle misure tecniche e organizzative per l'utilizzazione sistematica del numero d'assicurato AVS al di fuori dell'AVS

Ordinanza del DFI sugli standard minimi delle misure tecniche e organizzative per l’utilizzazione sistematica del numero d’assicurato AVS al di fuori dell’AVS

del 7 novembre 2007

Il Dipartimento federale dell’interno visto l’articolo 50g capoverso 3 della legge federale del 20 dicembre 19461 su l’assicurazione per la vecchiaia e per i superstiti (LAVS); d’intesa con il Dipartimento federale delle finanze, ordina:

Sezione 1: Disposizioni generali

Art. 1 Scopo La presente ordinanza ha lo scopo di assicurare che i servizi e le istituzioni che utilizzano sistematicamente il numero d’assicurato adottino misure tecniche ed organizzative sufficienti per: a. garantire l’utilizzazione del numero d’assicurato corretto; e b. impedire l’utilizzazione abusiva del numero d’assicurato.

Art. 2 Campo d’applicazione 1 La presente ordinanza si applica a tutti i servizi e le istituzioni che utilizzano sistematicamente il numero d’assicurato conformemente agli articoli 50d e 50e LAVS. 2 Per l’utilizzazione sistematica in collezioni di dati all’interno delle quali non sono apportate modifiche in relazione con i numeri d’assicurato, sono applicabili soltanto le disposizioni degli articoli 6–8.

Sezione 2: Misure per garantire l’utilizzazione del numero d’assicurato corretto

Art. 3 Requisiti per i sistemi elettronici I sistemi informatici devono essere concepiti in modo tale da permettere di associare senza possibilità d’equivoco il numero d’assicurato valido ad una determinata persona.

RS 831.101.4 1 RS 831.10; RU 2007 5261

2007-1554 5281

Standard minimi delle misure tecniche e organizzative per l’utilizzazione RU 2007

Art. 4 Registrazione manuale del numero d’assicurato

1 La

registrazione manuale del numero d’assicurato in una collezione di dati è ammessa unicamente se è effettuata una verifica della chiave di controllo confor- memente all’Allegato 1. 2 La scansione del numero d’assicurato mediante un codice a barre è equiparata alla registrazione manuale.

Art. 5 Registrazione sulla base di fonti sicure 1 Il numero d’assicurato può essere registrato in collezioni di dati elettroniche unica- mente se la sua correttezza è sufficientemente sicura. 2 La sicurezza è ritenuta sufficiente, se il numero d’assicurato è stato comunicato mediante una delle procedure di cui all’articolo 134quater capoversi 2–4 dell’ordinan- za del 31 ottobre 19472 sull’assicurazione per la vecchiaia e per i superstiti (OAVS). 3 La sicurezza è presunta essere sufficiente, se non ci sono dubbi sull’identità della persona cui appartiene il numero d’assicurato registrato e se per la determinazione del numero è utilizzata una delle fonti seguenti: a. il certificato d’assicurazione dell’AVS giusta l’articolo 135bis OAVS; b. la tessera d’assicurato, valida al momento della registrazione, giusta l’arti- colo 42a della legge federale del 18 marzo 19943 sull’assicurazione malattie; c. la comunicazione scritta o elettronica dei dati, attuale al momento della regi- strazione, emessa da un organo dell’AVS; d. la comunicazione scritta o elettronica di dati, attuale al momento della regi- strazione, emessa da servizi o istituzioni sufficientemente sicuri secondo l’Ufficio centrale di compensazione (UCC). 4 L’UCC pubblica su Internet un elenco dei servizi e delle istituzioni considerati come fonti di dati sufficientemente sicure.

Sezione 3: Misure per prevenire l’utilizzazione abusiva del numero d’assicurato

Art. 6 Principi 1 L’accesso a collezioni di dati contenenti il numero d’assicurato va concesso unica- mente alle persone che necessitano del numero per lo svolgimento dei propri compi- ti. A tal fine, nelle collezioni di dati elettroniche i diritti di lettura e scrittura vanno limitati adeguatamente.

2 RS 831.101; RU 2007 5273 3 RS 832.10

Requisiti minimi delle misure tecniche e organizzative per l’utilizzazione RU 2007

2 Se il numero d’assicurato è utilizzato sistematicamente in sistemi complessi, devo- no essere adottate le misure di protezione necessarie sulla base di un’analisi detta- gliata dei rischi. L’analisi deve tenere conto soprattutto del rischio di un’illecita unione di più collezioni di dati. 3 Nell’impiegare mezzi informatici e supporti di memoria vanno rispettate le pre- scrizioni minime di sicurezza di cui all’Allegato 2.

Art. 7 Trasmissione di dati attraverso reti pubbliche Se si trasmettono attraverso una rete pubblica collezioni di dati contenenti il numero d’assicurato, questi vanno cifrati in modo conforme allo stato della tecnica.

Art. 8 Utilizzazione e comunicazione I servizi e le istituzioni che utilizzano il numero d’assicurato devono informare il proprio personale, nell’ambito della formazione e del perfezionamento, che il nume- ro può essere utilizzato unicamente per lo svolgimento dei compiti ed essere comu- nicato soltanto secondo le prescrizioni legali.

Art. 9 Entrata in vigore 1 Fatti salvi i capoversi 2 e 3, la presente ordinanza entra in vigore il 1° dicembre 2007.

2 L’articolo 5 capoverso 3 lettera a entra in vigore il 1° luglio 2008.

3 L’articolo 5 capoverso 3 lettera b entra in vigore il 1° gennaio 2009.

7 novembre 2007 Dipartimento federale dell’interno: Pascal Couchepin

Standard minimi delle misure tecniche e organizzative per l’utilizzazione RU 2007

Allegato 1 (art. 4)

Verifica della chiave di controllo A. Struttura del numero d’assicurato

xn-12 xn-11 xn-10 xn-9 xn-8 xn-7 xn-6 xn-5 xn-4 xn-3 xn-2 xn-1 xn . . .

Codice nazionale Numero a 9 cifre Chiave di controllo 7 5 6 1 2 3 4 5 6 7 8 9 7

B. Determinazione della chiave di controllo L’ultima cifra (xn) è una chiave di controllo. Essa è determinata nel modo seguente: – le cifre del numero d’assicurato sono dapprima moltiplicate alternativamente per 3 e per 1, procedendo da destra verso sinistra, a partire dalla penultima (xn-1). In seguito si sommano tutti i prodotti: – Alla somma intermedia è infine aggiunta la cifra mancante al raggiungimen- to del successivo multiplo di 10: questa cifra è la chiave di controllo xn. Osservazione: Se la somma intermedia corrisponde ad un multiplo di 10, la chiave di controllo è 0.

C. Esempio

Numero d’assicurato 7 5 6 1 2 3 4 5 6 7 8 9 ?

Moltiplicatore 1 3 1 3 1 3 1 3 1 3 1 3

Risultato 7 15 6 3 2 9 4 15 6 21 8 27  Somma intermedia:

Cifra mancante al 130 è il multiplo di 10 successivo alla somma raggiungimento del intermedia (123). La cifra mancante successivo multiplo al raggiungimento del successivo multiplo di 10 di 10 è dunque 7 ?=7

Requisiti minimi delle misure tecniche e organizzative per l’utilizzazione RU 2007

Allegato 2 (art. 6 cpv. 3)

Prescrizioni minime di sicurezza per l’impiego di mezzi informatici e supporti di memoria nell’utilizzazione sistematica del numero d’assicurato

1. L’accesso ai mezzi informatici e ai supporti di memoria deve essere protetto

fisicamente. Se sono impiegati mezzi informatici e supporti di memoria por- tatili si deve garantire, mediante procedure di cifratura conformi allo stato della tecnica, che le persone non autorizzate non possano accedere ai dati ed utilizzarli.

2. L’accesso ai mezzi informatici e ai supporti di memoria deve essere protetto

mediante adeguate misure di sicurezza informatiche conformi allo stato della tecnica e al livello di rischio. Queste misure devono comprendere come minimo l’impiego di programmi usuali nel commercio, tenuti costantemente aggiornati, in grado di individuare ed eliminare programmi maligni (pro- grammi antivirus) e di un sistema firewall (centrale o locale).

3. Gli utenti che accedono a mezzi informatici e supporti di memoria devono

autenticarsi. Se per l’autenticazione è utilizzata una parola d’ordine, questa deve essere tenuta segreta e non va comunicata a terzi. Se si sospetta che persone non autorizzate ne siano a conoscenza, la parola d’ordine deve essere modificata immediatamente.

4. Nei mezzi informatici vanno installati il più rapidamente possibile i più

recenti update di correzione (patch) del sistema operativo e delle applica- zioni.

5. I sistemi informatici devono tenere traccia di importanti attività ed eventi,

che vanno analizzati periodicamente.

6. In caso di riparazione, smaltimento o distruzione di mezzi informatici e

supporti di memoria, si deve garantire che questi non contengano più numeri d’assicurato e che sia impossibile ricostruirli.

Standard minimi delle misure tecniche e organizzative per l’utilizzazione RU 2007

Ordinanza del DFI sugli standard minimi delle misure tecniche e organizzative per l'utilizzazione sistematica del numero d'assicurato AVS al di fuori dell'AVS | Lexipedia | Lexipedia