MINISTERO DELL'ECONOMIA E DELLE FINANZE
DECRETO 30 dicembre 2020
G.U.R.I. 15 gennaio 2021, n. 11
Dematerializzazione delle ricette mediche per la prescrizione di farmaci non a carico del Servizio sanitario nazionale e modalità di rilascio del promemoria della ricetta elettronica attraverso ulteriori canali, sia a regime che nel corso della fase emergenziale da COVID-19.
TESTO COORDINATO (al D.M. Economia e Finanze 8 giugno 2023 e con annotazioni alla data 3 marzo 2022)
IL RAGIONIERE GENERALE DELLO STATO DEL MINISTERO DELL'ECONOMIA E DELLE FINANZE DI CONCERTO CON IL SEGRETARIO GENERALE DEL MINISTERO DELLA SALUTE
Visto l'art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, e successive modificazioni ed integrazioni (Sistema tessera sanitaria);
Visto il decreto del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute del 2 novembre 2011, pubblicato nella Gazzetta Ufficiale 12 novembre 2011, n. 264, e successive modificazioni ed integrazioni, concernente la dematerializzazione delle ricette mediche, tramite il Sistema di accoglienza centrale (SAC), anche tramite Sistemi di accoglienza regionali o provinciali (SAR);
Visto l'art. 13 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, il quale prevede, in particolare:
al comma 1, la sostituzione delle prescrizioni mediche di farmaceutica e di specialistica a carico del Servizio sanitario nazionale in formato cartaceo con le prescrizioni in formato elettronico di cui al citato decreto 2 novembre 2011;
al comma 2, che le prescrizioni farmaceutiche generate in formato elettronico sono valide su tutto il territorio nazionale nel rispetto delle disposizioni che regolano i rapporti economici tra le regioni e province autonome, le ASL e le strutture convenzionate che erogano prestazioni sanitarie, fatto salvo l'obbligo di compensazione tra regioni e province autonome del rimborso di prescrizioni farmaceutiche relative a cittadini di regioni e province autonome diverse da quelle di residenza;
Visto l'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e successive modificazioni, concernente il Fascicolo sanitario elettronico (FSE);
Visto l'art. 87, comma 1 del decreto legislativo 24 aprile 2006, n. 219 e successive modificazioni che classifica i medicinali ai fini della fornitura e, in particolare, le lettere a), b), c) e d) punto 1);
Visto l'art. 88, commi 2 e 3 del decreto legislativo 24 aprile 2006, n. 219 e successive modificazioni che identifica i medicinali soggetti a prescrizione medica per i quali è definita la durata della validità della prescrizione e consentita la ripetibilità della vendita;
Visto l'art. 89 del decreto legislativo 24 aprile 2006, n. 219 e successive modificazioni che identifica i medicinali soggetti a prescrizione medica da rinnovare volta per volta;
Visto il decreto del Ministero della salute del 7 agosto 2006, concernente «Disposizioni sulla vendita dei medicinali di cui alla tabella II, sezione E, del decreto del Presidente della Repubblica 9 ottobre 1990, n. 309» che limita la ripetibilità della vendita dei medicinali di cui alla tabella II, sezione E, del decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, a non più di tre volte;
Visto l'art. 93 del decreto legislativo 24 aprile 2006, n. 219 e successive modificazioni che identifica i medicinali vendibili al pubblico su prescrizione di centri ospedalieri o di specialisti;
Visto decreto legislativo 4 marzo 2014, n. 38 recante «Attuazione della direttiva n. 2011/24/UE concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera, nonchè della direttiva n. 2012/52/UE, comportante misure destinate ad agevolare il riconoscimento delle ricette mediche emesse in un altro Stato membro»;
Considerato di prevedere la dematerializzazione delle ricette non a carico del SSN, ai fini della semplificazione per l'assistito, secondo le medesime modalità di cui al citato decreto 2 novembre 2011;
Visto l'art. 3-bis del citato decreto 2 novembre 2011, il quale prevede che con successivo decreto sono definite le modalità a regime di comunicazione del promemoria della ricetta elettronica;
Vista l'ordinanza della protezione civile n. 651 del 19 marzo 2020, pubblicata nella Gazzetta Ufficiale n. 74 del 21 marzo 2020, la quale prevede, tra l'altro, all'art. 1, il rilascio del promemoria dematerializzato ovvero l'acquisizione del numero di ricetta elettronica, attraverso le seguenti modalità indicate di seguito:
al comma 1, lettera a), trasmissione del promemoria in allegato al messaggio di posta elettronica, laddove l'assistito indichi al medico prescrittore la casella di posta elettronica; al comma 1, lettera b) e al comma 3, comunicazione del numero di ricetta elettronica con sms o con applicazione per telefonia mobile che consente lo scambio di messaggi e immagini, laddove l'assistito indichi al medico prescrittore il numero di telefono mobile; in tal caso il medico prescrittore invia all'assistito un messaggio sms contenente esclusivamente il numero di ricetta elettronica prescritta, ovvero il numero di ricetta elettronica o l'immagine del codice a barre dello stesso numero di ricetta elettronica, utilizzando un'applicazione per la telefonia mobile, alla quale risultano registrati sia il medico prescrittore sia l'assistito, che consente lo scambio di messaggi e immagini;
al comma 1, lettera c), comunicazione telefonica da parte del medico prescrittore del numero di ricetta elettronica laddove l'assistito indichi al medesimo medico il numero telefonico;
al comma 5, laddove l'assistito abbia attivato il Fascicolo sanitario elettronico (FSE), la ricetta elettronica, quale strumento alternativo al promemoria cartaceo, è inserita nel FSE medesimo;
al comma 6 si prevede che, per l'erogazione della ricetta elettronica, la struttura di erogazione acquisisce il numero di ricetta elettronica unitamente al codice fiscale riportato sulla tessera sanitaria dell'assistito a cui la ricetta stessa è intestata;
Considerato che le disposizioni di cui al citato decreto 2 novembre 2011, nonchè quanto previsto dal presente decreto si applicano a tutte le regioni e alle province autonome;
Visto il decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, concernente il codice dell'amministrazione digitale;
Visto il regolamento n. 2016/679/UE del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (regolamento generale sulla protezione dei dati);
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, concernente il codice in materia di protezione dei dati personali, come modificato dal decreto legislativo 10 agosto 2018, n. 101, concernente «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (regolamento generale sulla protezione dei dati)»;
Acquisito il parere favorevole del Garante per la protezione dei dati personali espresso con i provvedimenti n. 66 del 2 aprile 2020, e n. 218 del 12 novembre 2020, ai sensi dell'art. 36, paragrafo 4, del regolamento (UE) n. 2016/679;
Decreta:
Definizioni
(integrato dall'art. 1, comma 1, lett. a), del D.M. Economia e Finanze 1 dicembre 2022)
1. Ai fini del presente decreto si intende per:
a) «Decreto 2 novembre 2011», il decreto del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute del 2 novembre 2011, pubblicato nella Gazzetta Ufficiale del 12 novembre 2011, n. 264 e successive modificazioni ed integrazioni;
b) «ricetta elettronica»: documento provvisto di una numerazione univoca redatto in modalità informatica da un medico prescrittore e inviato ad un sistema di accoglienza, il quale lo rende disponibile alle strutture di erogazione per la consultazione e, se sussistono le condizioni, per la sua chiusura in modalità informatica;
c) «NRE»: Numero di ricetta elettronica, che costituisce l'identificativo univoco a livello nazionale di una ricetta elettronica;
d) «NRBE»: Numero della ricetta bianca (non a carico del SSN) ripetibile e non ripetibile elettronico che costituisce l'identificativo univoco al livello nazionale generato dal SAC;
e) «promemoria dematerializzato»: documento in formato non cartaceo prodotto al termine di una prescrizione di ricetta elettronica, contenente i dati delle prestazioni ivi presenti;
f) «www.sistemats.it»: indirizzo portale internet del Sistema tessera sanitaria;
g) «FSE»: il Fascicolo sanitario elettronico di cui all'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e successive modificazioni;
h) «consenso al FSE»: il consenso all'alimentazione del FSE di cui al comma 3-bis dell'art. 12 del decreto-legge n. 179/2012;
i) «Ordinanza PC 651/2020»: l'ordinanza della protezione civile n. 651 del 19 marzo 2020, pubblicata nella Gazzetta Ufficiale n. 74 del 21 marzo 2020;
j) "parafarmacia": esercizio commerciale di cui all'art. 4, comma 1, lettere d), e) e f), del decreto legislativo 31 marzo 1998, n. 114, che effettua attività di vendita al pubblico dei farmaci da banco o di automedicazione, di cui all'art. 9-bis del decreto-legge 18 settembre 2001, n. 347, convertito, con modificazioni, dalla legge 16 novembre 2001, n. 405.
Dematerializzazione ricetta per prescrizioni di farmaci non a carico del SSN (1)
(integrato e modificato dall'art. 1, comma 1, lett. b) e c), del D.M. Economia e Finanze 1 dicembre 2022)
1. Il medico prescrittore procede alla generazione in formato elettronico delle prescrizioni di farmaci non a carico del SSN, secondo le medesime modalità di cui al decreto 2 novembre 2011, riportando almeno i dati relativi al codice fiscale del paziente, la prestazione e la data della prescrizione, nonchè le informazioni necessarie per la verifica della ripetibilità e non ripetibilità dell'erogazione dei farmaci prescritti.
2. La ricetta elettronica di cui al comma 1 è individuata univocamente dal Numero di ricetta bianca elettronico (NRBE), assegnato dal SAC in fase di compilazione della ricetta da parte del medico prescrittore, secondo le medesime modalità di cui al decreto 2 novembre 2011, eventualmente anche tramite SAR.
3. A fronte dell'esito positivo dell'invio telematico dei dati di cui al comma 1, il medico rilascia all'assistito il promemoria cartaceo, secondo il modello pubblicato sul portale del SAC (www.sistemats.it). Su richiesta dell'assistito, tale promemoria può essere trasmesso tramite i canali alternativi di cui all'art. 3-bis del decreto 2 novembre 2011.
4. A fronte dell'utilizzo da parte dell'assistito della ricetta di cui al presente articolo, la farmacia invia i dati della prestazione erogata con le medesime modalità di cui al decreto 2 novembre 2011. Il SAC, anche tramite SAR, verifica le condizioni di ripetibilità della vendita del farmaco, sulla base di quanto previsto dal medico e della normativa di riferimento.
4-bis. A fronte dell'utilizzo presso una parafarmacia da parte dell'assistito della ricetta di cui al presente articolo recante esclusivamente farmaci non soggetti a obbligo di prescrizione medica, il SAC rende disponibile alla medesima parafarmacia le funzionalità per l'invio dei dati della prestazione erogata con le medesime modalità di cui al decreto 2 novembre 2011, anche tramite servizi web.
5. Per le finalità di cui al presente articolo, il SAC rende disponibili ai medici e alle farmacie anche servizi web.
6. Il Ministero dell'economia e delle finanze rende disponibili alle ASL di competenza i dati di cui ai commi 4 e 4-bis e, con forme di pseudonimizzazione, all'AIFA, nonchè al Ministero della salute e alle regioni e province autonome i medesimi dati, secondo modalità da stabilirsi, previo parere del Garante per la protezione dei dati personali.
Si veda in tema, la C.M. Salute 3 marzo 2022.
Promemoria della ricetta elettronica. Modalità a regime della disponibilità attraverso altri canali
(integrato dall'art. 1, comma 1, lett. d), del D.M. Economia e Finanze 1 dicembre 2022)
1. Ai sensi dell'art. 3-bis, comma 2, lettera a) del decreto 2 novembre 2011, l'assistito può accedere al SAC, anche tramite SAR, con Spid o CNS, ad una apposita area del portale www.sistemats.it, al fine di:
a) consultare e scaricare le proprie ricette elettroniche generate dai medici prescrittori e i relativi promemoria dematerializzati;
b) richiedere l'utilizzo del promemoria dematerializzato recante prescrizioni di farmaci, selezionando la farmacia presso la quale spendere il medesimo promemoria;
c) il cittadino qualora non fosse dotato di Spid o CNS, può accedere ad un'area libera del portale del Sistema TS inserendo il NRE, il suo codice fiscale e la data di scadenza della tessera sanitaria. In tale contesto il cittadino potrà accedere alla sola ricetta inserita, e svolgere le stesse attività di cui alle lettere a) e b).
2. Per le finalità di cui al comma 1, lettere b) e c):
a) il SAC, anche tramite SAR, a fronte della richiesta da parte del cittadino di cui al punto 1, lettera a), invia una notifica alla farmacia prescelta dall'assistito;
b) nel caso in cui i farmaci siano disponibili ed erogabili, la farmacia accetta la richiesta dell'assistito e provvede alla «presa in carico» e alla successiva erogazione dei farmaci;
c) il SAC provvede a darne immediata notifica all'assistito che provvede al ritiro presso la farmacia.
2-bis. Limitatamente alle ricette di cui all'art. 2, comma 4-bis del presente decreto, il SAC estende anche alle parafarmacie le funzionalità di cui al comma 2 del presente articolo.
3. Resta ferma la disponibilità del promemoria nel FSE.
Promemoria della ricetta elettronica. Modalità di utilizzo presso le farmacie nella fase emergenziale
1. Fino al perdurare dello stato di emergenza epidemiologica da COVID-19, l'assistito che ha ricevuto la ricetta elettronica farmaceutica da parte del medico prescrittore con le modalità di cui all'art. 1 dell'ordinanza PC n. 651/2020 può inoltrare gli estremi della ricetta alla farmacia prescelta.
2. Per le finalità di cui al comma 1, oltre alle modalità previste all'art. 3 del presente decreto, l'assistito individua la farmacia e le comunica i dati della ricetta elettronica unitamente al codice fiscale riportato sulla tessera sanitaria dell'assistito a cui la ricetta stessa è intestata, secondo le seguenti modalità:
a) via posta elettronica, inviando in allegato il promemoria, ricevuto dal medico tramite e-mail oppure estratto dal proprio fascicolo sanitario elettronico, ovvero, inviando il numero di ricetta elettronica unitamente al codice fiscale riportato sulla tessera sanitaria dell'assistito a cui la ricetta stessa è intestata;
b) via sms o con applicazione per telefonia mobile che consente lo scambio di messaggi e immagini, inoltrando il messaggio ricevuto dal medico di cui all'art. 1, comma 1, lettera b) dell'ordinanza PC n. 651/2020;
c) laddove abbia ricevuto telefonicamente dal medico il numero di ricetta elettronica, lo comunica alla farmacia con il codice fiscale a cui è intestata la ricetta elettronica.
3. Oltre alle modalità di cui al comma 2, restano ferme le iniziative per le persone più fragili tramite i servizi telefonici:
a) del Ministero della salute;
b) di ciascuna regione e provincia autonoma, eventualmente attivate.
4. Nei casi di cui ai commi 2 e 3, la farmacia individuata per l'erogazione del farmaco, imposta la corrispondente ricetta elettronica nello stato di «presa in carico» nel SAC, anche tramite SAR, e provvede alla erogazione dei farmaci dandone informativa all'assistito per il ritiro presso la farmacia. Laddove possibile, la farmacia provvede a recapitare i farmaci all'indirizzo indicato dall'assistito in fase di richiesta telematica di erogazione farmaci.
Il presente decreto sarà pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 30 dicembre 2020
Il Ragioniere generale dello Stato
MAZZOTTA
Il Segretario generale
RUOCCO
Trattamento dei dati e modalità tecniche attuative
(introdotto dall'art. 1, comma 1, lett. e), del D.M. Economia e Finanze 1 dicembre 2022 e integrato dall'art. 1, comma 1, del D.M. Economia e Finanze 8 giugno 2023)
1. Le modalità tecniche per l'attuazione di quanto previsto dal presente decreto sono riportate nell'allegato disciplinare tecnico, allegato 1, che costituisce parte integrante del presente decreto.
2. Le specifiche tecniche dei servizi e le informazioni a supporto dello sviluppo degli stessi sono pubblicati nel portale del Sistema TS (www.sistemats.it). Gli aggiornamenti alle specifiche tecniche relative alle funzioni e ai servizi di cui al presente decreto, che non incidano sui tipi di dati trattati e sulle operazioni eseguibili, sono pubblicati nel portale del Sistema TS.
2-bis. Le modalità per l'accesso al Sistema TS mediante l'autenticazione a due o più fattori prevista dal capitolo 3 dell'allegato 1, sono contenute nel disciplinare tecnico, allegato 2, che costituisce parte integrante del presente decreto.
Allegato implicitamente introdotto dall'art. 1, comma 1, lett. e), del D.M. Economia e Finanze 1 dicembre 2022.
ALLEGATO 2
(implicitamente introdotto dall'art. 1, comma 1, del D.M. Economia e Finanze 8 giugno 2023)
DISCIPLINARE TECNICO
Sistema TS: servizi telematici
Ricetta bianca elettronica
Autenticazione forte
Indice
1. Introduzione
2. Servizi per la comunicazione dei dati delle ricette bianche elettroniche
2.1. Accesso ai servizi in autenticazione forte
3. Modalità di autenticazione
4. Misure di sicurezza
4.1. Infrastruttura fisica
4.2. Registrazione degli utenti ed assegnazione degli strumenti di sicurezza
4.3. Canali di comunicazione
4.4. Sistema di monitoraggio del servizio
4.5. Protezione da attacchi informatici
4.6. Sistemi e servizi di backup e disaster recovery
4.7. Sistema di log analysis applicativo
4.8. Accesso ai sistemi
1. Introduzione.
Il presente documento descrive le modalità tecniche di evoluzione verso un'autenticazione forte, tra cui è compresa anche l'autenticazione a 2 o più fattori, necessaria per le seguenti operazioni:
la trasmissione al Sistema TS da parte dei medici dei dati relativi alle prescrizioni su ricetta bianca elettronica;
la trasmissione al Sistema TS da parte delle farmacie e parafarmacie dei dati relativi alle erogazioni di farmaci prescritti su ricetta bianca elettronica.
Le specifiche tecniche dei servizi e le informazioni a supporto dello sviluppo degli stessi, per entrambi gli argomenti trattati, sono pubblicati nel portale del Sistema TS www.sistemats.it - nel caso dovessero insorgere necessità informatiche che prevedono la modifica sia della definizione dei campi dei tracciati tecnici sia dei valori da trasmettere ma che non cambiano la logica del trattamento descritto in questo documento, verranno apportate modifiche unicamente alle specifiche tecniche pubblicate nel portale del Sistema TS.
2. Servizi per la comunicazione dei dati delle ricette bianche elettroniche.
2.1. Accesso ai servizi in autenticazione forte.
Le possibilità di accesso ai servizi da parte degli attori coinvolti nel processo sono riassunte nella seguente tabella:
| ID | Utente | Modalità | Autenticazione | Note |
| 1 | Medico | Web | Autenticazione di base (ID utente e password ) con codice PIN come fattore di autenticazione. Autenticazione forte con SPID/SPID professionale/CIE/TS-CNS | Il medico utilizza una applicazione web del Sistema TS. Le credenziali di autenticazione sono rilasciate dal Sistema TS. Nel caso di SPID, le credenziali sono distribuite dagli Identity Provider previsti. Nel caso di CIE, l" Identity Provider è il Ministero dell'interno. |
| 2 | Medico | Web service | TS-CNS oppure CNS oppure autenticazione di base (ID utente e password ) con codice PIN come fattore di autenticazione. Autenticazione forte (2 o più fattori, certificato client in mutua autenticazione) | Il medico invoca il servizio tramite software gestionale. Credenziali di autenticazione rilasciate dal Sistema TS. |
| 3 | Farmacia, parafarmacia | Web | Autenticazione di base (ID utente e password ) con codice PIN come fattore di autenticazione. Autenticazione forte con SPID/SPID professionale/CIE/TS-CNS | L'operatore della farmacia o della parafarmacia utilizza una applicazione web del Sistema TS. Le credenziali di autenticazione sono rilasciate dal Sistema TS. Nel caso di SPID, le credenziali sono distribuite dagli Identity Provider previsti. Nel caso di CIE, l'Identity Provider è il Ministero dell'interno. |
| 4 | Farmacia, parafarmacia | Web service | Autenticazione di base (ID utente e password ) con codice PIN come fattore di autenticazione. Autenticazione forte (2 o più fattori, certificato client in mutua autenticazione) | L'operatore della farmacia o della parafarmacia invoca il servizio tramite software gestionale o sistema regionale. Le credenziali di autenticazione sono rilasciate dal Sistema TS. |
.
La trasmissione dei dati da parte degli utenti 1, 2, 3 e 4 di cui sopra sono da intendersi come collegamento diretto al Sistema TS (c.d. Sistema di accoglienza centrale - SAC).
Le regioni e le Province autonome di Trento e Bolzano che intendono utilizzare il loro Sistema di accoglienza regionale (SAR) per assolvere agli obblighi di trasmissione dati da parte degli utenti 1 e/o 2 e/o 3 e/o 4 si pongono come intermediari nel colloquio con il Sistema TS (SAC). Gli utenti 1 e/o 2 e/o 3 e/o 4 si autenticano al SAR con credenziali e modalità stabilite dalla regione e provincia autonoma; a sua volta la regione o provincia autonoma si autentica e coopera con il Sistema TS attraverso i servizi descritti nel presente documento. Il colloquio tra sistema regionale e Sistema TS avviene in mutua autenticazione con certificato client. Il sistema regionale deve garantire i requisiti minimi di sicurezza adottati dal Sistema TS in termini di autenticazione forte. Le regioni e province autonome possono autenticarsi al SAC sia in basic authentication con codice PIN come fattore di autenticazione che in mutua autenticazione con certificato client.
E' prevista l'evoluzione della basic authentication con pincode verso un'autenticazione forte (2 o più fattori, SPID/SPID professionale/CIE/TSCNS, certificato client mutua autenticazione etc).
3. Modalità di autenticazione.
Per l'accesso al Sistema TS, i medici, le farmacie e le parafarmacie devono essere stati preventivamente abilitati secondo procedure standard. Le credenziali di autenticazione, prodotte dal Sistema TS e contenenti utente, password da cambiare al primo accesso e pin code, vengono distribuite da un amministratore di sistema (profilo amministratore). Tali credenziali permettono al Sistema TS di riconoscere l'utente con procedure di basic authentication.
E' prevista l'evoluzione della basic authentication con pincode verso un'autenticazione forte (2 o più fattori, SPID/SPID professionale/CIE/TS-CNS, certificato client mutua autenticazione etc).
Nel caso specifico dell'evoluzione dell'autenticazione per le funzionalità fruite tramite web application del Sistema TS è possibile accedere nel seguente modo: autenticazione SPID/SPID professionale/CIE/TS-CNS tramite cui l'utente sarà indirizzato in base al codice fiscale al profilo riconosciuto e abilitato da Sistema TS.
Per quanto riguarda farmacie e parafarmacie, la soluzione prevede che una farmacia/parafarmacia esegua l'accesso utilizzando lo SPID professionale ovvero nelle more della definizione del quadro di garanzie e regole delle identità SPID ad uso professionale anche ai sensi dell'art. 64, comma 2-duodecies, del CAD, è ammesso l'utilizzo di identità SPID ad uso personale escludendo l'uso di dati personali attinenti alla sfera privata del soggetto (quali, ad esempio, e-mail personali, numeri di cellulare personali, domicilio privato, etc.) forniti dai gestori dell'identità digitale (Identity Provider).
L'identità digitale del titolare, può essere utilizzata allo stesso modo in cui attualmente l'utenza della farmacia/parafarmacia è legata al codice fiscale del titolare. Pertanto, il titolare deve provvedere all'accesso per tutte le farmacie a lui associate. E' possibile richiedere l'accesso «delegato» attraverso cui i dipendenti di una farmacia/parafarmacia sono incaricati dal titolare ad eseguire l'accesso per conto della farmacia stessa, ma utilizzando la propria identità digitale.
Nel caso specifico dell'evoluzione dell'autenticazione dei web services è previsto un periodo transitorio in cui sarà comunque ancora supportata l'autenticazione di base con pincode contemporaneamente alla nuova soluzione. La durata del transitorio dipende dalla velocità di adeguamento dei software degli utenti e dell'acquisizione dei dati di contatto dagli utenti.
Nel caso di sistema regionale che agisce come intermediario tra l'utente e il SAC, il sistema regionale si autentica al SAC in mutua autenticazione con certificato client. Il sistema regionale deve utilizzare un SAML profile su WS-Security che contiene gli attributi qualificanti del soggetto che si è autenticato al sistema regionale: codice identificativo del soggetto e livello di autenticazione. Tale profilo è inviato nelle transazioni che il sistema regionale effettua verso il SAC. Il sistema regionale può richiedere in alternativa l'adozione del modello di interoperabilità ModiPA.
Nel caso di utente che si connette direttamente al SAC utilizzando i web services tramite client applicativo (senza intermediazione del sistema regionale), è necessario prevedere preliminarmente l'acquisizione dei dati di contatto dagli utenti: indirizzo e-mail in quanto attualmente non presenti nel SAC. L'acquisizione può avvenire nei seguenti modi:
attraverso una apposita applicazione web del Sistema TS, che prevede la possibilità di inserire l'e-mail in autonomia per l'utente, dopo una autenticazione con SPID - SPID professionale o CIE o TS-CNS;
tramite forniture massive da parte del soggetto/ente che consegna le credenziali all'utente (la ASL di riferimento o comunque il soggetto di riferimento).
L'autenticazione a due fattori viene realizzata nel seguente modo:
è requisito preliminare che l'utente abbia certificato il canale utilizzato per l'autenticazione forte (e-mail o app), come indicato nel precedente capoverso;
l'utente si autentica attraverso l'invocazione di un apposito servizio del SAC che genera un identificativo univoco della sessione di lavoro (session id) e lo invia attraverso il canale utilizzato per l'autenticazione forte tramite e-mail o app; in alternativa l'identificativo univoco può essere ottenuto attraverso una apposita funzionalità web del Sistema TS;
l'utente utilizza l'identificativo ricevuto al punto precedente come token autorizzativo della transazione per le chiamate ai servizi interessati; quindi si autentica ai servizi esattamente nello stesso modo utilizzato finora (basic authentication + pincode), aggiungendo in pi l'identificativo della transazione che è stato ottenuto tramite il secondo fattore;
l'identificativo della transazione è utilizzabile per un determinato periodo temporale, scelto in modo da bilanciare le esigenze di sicurezza e l'operatività degli utenti (una durata per esempio di una giornata lavorativa).
Attraverso tali modalità sono soddisfatti i requisiti di sicurezza richiesti considerando il contesto di riferimento, che richiede di:
velocizzare le tempistiche di attuazione;
minimizzare gli impatti sull'attuale sistema considerando anche la numerosità della platea di utenti coinvolti e del numero di transazioni giornaliere;
limitare le modifiche necessarie ai software gestionali attualmente utilizzati.
In aggiunta viene resa disponibile per l'autenticazione per i singoli utenti che si connettono direttamente al SAC utilizzando i web services tramite client applicativo, una mutua autenticazione con certificato client che identifica l'utenza che esegue le operazioni.
In questo caso, vista la numerosità degli utenti, la soluzione presuppone la progettazione e implementazione di un processo di accreditamento e approvvigionamento (provisioning) dei certificati accessibile tramite autenticazione forte. In tal senso, il provisioning dei certificati avviene tramite una apposita funzionalità del Sistema TS.
Tutte le chiamate ai web service avvengono tramite protocollo HTTPS (almeno TLS 1.2).
4. Misure di sicurezza.
4.1. Infrastruttura fisica.
L'infrastruttura fisica è realizzata dal Ministero dell'economia e delle finanze attraverso l'utilizzo dell'infrastruttura del Sistema tessera sanitaria in attuazione di quanto disposto dall'ordinanza di cui al titolo del presente documento.
I locali sono sottoposti a videosorveglianza continua e sono protetti da qualsiasi intervento di personale esterno, ad esclusione degli accessi di personale preventivamente autorizzato necessari alle attività di manutenzione e gestione tecnica dei sistemi e degli apparati.
L'accesso ai locali avviene secondo una documentata procedura, prestabilita dal titolare del trattamento, che prevede l'identificazione delle persone che accedono e la registrazione degli orari di ingresso ed uscita di tali persone.
4.2. Registrazione degli utenti ed assegnazione degli strumenti di sicurezza.
E' presente una infrastruttura di Identity e Access Management che censisce direttamente le utenze, accogliendo flussi di autenticazione e di autorizzazione, per l'assegnazione dei certificati client di autenticazione, delle credenziali di autenticazione e delle risorse autorizzative.
L'autenticazione dei medici, delle farmacie e delle parafarmacie avviene attraverso le credenziali rilasciate dal Sistema TS; le regioni e le province autonome possono accedere attraverso le credenziali rilasciate dal Sistema TS oppure tramite certificato client.
In particolare, per le parafarmacie il rilascio delle credenziali del Sistema TS avviene secondo le modalità di cui al decreto del Ministero dell'economia e delle finanze del 19 ottobre 2020 e successive modificazioni, concernente la trasmissione dei dati delle spese sanitarie a carico dei cittadini.
4.3. Canali di comunicazione.
Le comunicazioni sono scambiate in modalità sicura su rete internet, mediante protocollo TLS in versione minima 1.2, al fine di garantire la riservatezza dei dati. I protocolli di comunicazione TLS, gli algoritmi e gli altri elementi che determinano la sicurezza del canale di trasmissione protetto sono continuamente adeguati in relazione allo stato dell'arte dell'evoluzione tecnologica, in particolare per il TLS non sono negoziati gli algoritmi crittografici pi datati (es. MD5).
4.4. Sistema di monitoraggio del servizio.
Per il monitoraggio dei servizi, il Ministero dell'economia e delle finanze si avvale di uno specifico sistema di reportistica. Il sistema di reportistica offre funzioni per visualizzare i dati aggregati come il numero di transazioni effettuate e i relativi esiti. L'aggregazione può essere fatta per regione o per tipologia di utente che effettua la transazione. La finalità è di fornire il monitoraggio dell'andamento del progetto sia nella fase di avvio che nella fase a regime.
4.5. Protezione da attacchi informatici.
Per proteggere i sistemi dagli attacchi informatici al fine di eliminare le vulnerabilità, si utilizzano le seguenti tecnologie o procedure:
a) aggiornamenti periodici dei sistemi operativi e dei software di sistema, hardening delle macchine;
b) adozione di una infrastruttura di sistemi firewall e sistemi IPS (Intrusion Prevention System) che consentono la rilevazione dell'esecuzione di codice non previsto e l'esecuzione di azioni in tempo reale quali il blocco del traffico proveniente da un indirizzo IP attaccante;
c) esecuzione di WAPT (Web Application Penetration Test), per la verifica della presenza di eventuali vulnerabilità sul codice sorgente.
4.6. Sistemi e servizi di backup e disaster recovery.
E' previsto il backup dei sistemi.
E' previsto il disaster recovery dei sistemi, che comprende anche il disaster recovery dei dati.
4.7. Sistema di log analysis applicativo.
Non è previsto un sistema di log analysis applicativo, non è prevista la registrazione dei dati applicativi.
4.8. Accesso ai sistemi.
L'infrastruttura dispone di sistemi di tracciamento degli accessi ai sistemi informatici di supporto come base dati, server web e infrastrutture a supporto del servizio.
L'accesso alla base dati avviene tramite utenze nominali o riconducibili ad una persona fisica (escluse le utenze di servizio).
Il sistema di tracciamento registra (su appositi log) le seguenti informazioni: identificativo univoco dell'utenza che accede, data e ora di login, logout e login falliti, postazione di lavoro utilizzata per l'accesso (IP client), tipo di operazione eseguita sui dati (ad esclusione delle risposte alle query).
Per ogni accesso ai sistemi operativi, ai sistemi di rete, al software di base e ai sistemi complessi, il sistema di tracciamento registra (su appositi log) le seguenti informazioni: identificativo univoco dell'utenza che accede, data e ora di login, logout e login falliti, postazione di lavoro utilizzata per l'accesso (IP client).
I log prodotti dai sistemi di tracciamento infrastrutturali sono soggetti a monitoraggio costante allo scopo di individuare eventuali anomalie inerenti alla sicurezza (accessi anomali, operazioni anomale, ecc.) e di valutare l'efficacia delle misure implementate.
I log di accesso degli amministratori di sistema e degli incaricati sono protetti da eventuali tentativi di alterazione e dispongono di un sistema di verifica della loro integrità.
I log relativi agli accessi e alle operazioni effettuate sui sistemi operativi, sulla rete, sul software di base e sui sistemi complessi sono conservati per dodici mesi.