Modalità di visualizzazione della Patente a Crediti – ISPETTORATO NAZIONALE DEL LAVORO – Decreto n. 43 del 25 giugno 2025

Modalità di visualizzazione della Patente a Crediti

Art. 1

(Oggetto e finalità)

1. Il presente provvedimento individua le modalità di ostensione delle informazioni concernenti la patente a crediti ai sensi dell’articolo 2, comma 2, del decreto del Ministro del lavoro e delle politiche sociali 18 settembre 2024, n. 132, rese disponibili ai soggetti indicati dalla medesima disposizione in ragione delle specifiche finalità individuate all’articolo 5 e in conformità a quanto previsto dall’articolo 27 del decreto legislativo 9 aprile 2008, n. 81, come modificato dall’articolo 29, comma 19, del decreto-legge 2 marzo 2024, n. 19, convertito con modificazioni dalla legge 29 aprile 2024, n. 56, nel rispetto del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Art. 2

(Ruoli dei soggetti coinvolti nel trattamento dei dati personali)

1. L’Ispettorato nazionale del lavoro è titolare autonomo del trattamento dei dati personali finalizzati alla gestione del servizio denominato Patente a Crediti (PAC) erogato attraverso il Portale dei servizi gestito dal medesimo Ispettorato nazionale del lavoro. Per la gestione del Portale dei servizi, l’Ispettorato nazionale del lavoro può fare ricorso a soggetti terzi, previamente nominati Responsabili del trattamento, ai sensi dell’articolo 28 del GDPR.

Art. 3

(Sezioni del Portale relative alle informazioni)

1. Le informazioni concernenti la patente a crediti sono ripartite nelle seguenti sezioni:

a) Riepilogo impresa/lavoratore autonomo: Ragione Sociale/Nome Cognome lavoratore autonomo; Codice Fiscale; Paese;

b) Richiedente la patente: Nome e Cognome; Codice Fiscale; Ruolo (Legale Rappresentante/Delegato);

c) Riepilogo Patente: Numero Patente; Data di Rilascio; Stato Patente (attiva/sospesa);

d) Punteggio Patente: Punteggio iniziale; Punteggio attuale;

e) Data fine sospensione della patente (informazione disponibile solo laddove risulti una patente “sospesa”);

f) Provvedimenti definitivi: numero crediti decurtati in relazione a ciascuna violazione e data decurtazione.

Art. 4

(Soggetti abilitati a visualizzare le informazioni relative alla patente)

1. Sono abilitati a visualizzare le informazioni relative alla patente, nel rispetto del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 e nei limiti di cui all’articolo 6, i soggetti di cui all’articolo 2, comma 2, del decreto del Ministero del lavoro e delle politiche sociali 18 settembre 2024, n. 132 di seguito individuati:

a) titolari della patente o loro delegati;

b) pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165;

c) rappresentanti dei lavoratori per la sicurezza e rappresentanti dei lavoratori per la sicurezza territoriale;

d) organismi paritetici iscritti nel Repertorio nazionale di cui all’articolo 51, comma 1-bis, del decreto legislativo 9 aprile 2008, n. 81;

e) responsabile dei lavori;

f) coordinatori per la sicurezza in fase di progettazione e di esecuzione dei lavori;

g) soggetti che intendono affidare lavori o servizi ad imprese o lavoratori autonomi che operano nei cantieri temporanei o mobili di cui all’articolo 89, comma 1, lett. a), del decreto legislativo 9 aprile 2008, n. 81.

Art. 5

(Modalità di accesso)

1. I soggetti abilitati a visualizzare le informazioni relative alla patente di cui all’articolo 3 possono accedere alla relativa piattaforma informatica (Portale dei Servizi) a mezzo SPID, non inferiore a livello di sicurezza 2, CIE o strumenti di autenticazione equivalenti notificati ai sensi dell’articolo 9 del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, attraverso interrogazione puntuale inserendo il codice fiscale del titolare della patente. In relazione all’articolo 4, comma 1, lett. a), la visualizzazione viene consentita ai soli soggetti titolari di patente che risultano legali rappresentanti pro-tempore, lavoratori autonomi o loro delegati, sui sistemi dell’Ispettorato nazionale del lavoro. I soggetti di cui all’articolo 4, comma 1, lett. b), c), d), e), f) e g) dichiarano, sotto propria responsabilità, ai sensi del D.P.R. n. 445/2000, il titolo abilitante alla visualizzazione.

2. Gli organi di vigilanza di cui all’articolo 13 del decreto legislativo 9 aprile 2008, n. 81 accedono alle informazioni di cui all’articolo 3 nonché alle ulteriori informazioni utili in rapporto alle specifiche finalità istituzionali perseguite, in qualità di titolare autonomo del trattamento, secondo modalità disciplinate da specifico atto convenzionale.

Art. 6

(Visualizzazione dei dati da parte dei soggetti abilitati)

1. I dati relativi alla patente sono visualizzabili da parte dei soggetti di cui all’articolo 4 nei limiti indicati dal presente articolo attraverso accesso alla piattaforma informatica secondo le modalità di cui all’articolo 5.

2. I titolari della patente o loro delegati accedono alle informazioni di cui all’articolo 3, comma 1, lett. a), b), c), d), e), f).

3. Le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 accedono alle informazioni di cui all’articolo 3, comma 1, lett. a), c), d) al fine esclusivo di verificare il possesso ed il mantenimento del titolo abilitante nell’ambito delle procedure di appalto.

4. I rappresentanti dei lavoratori per la sicurezza e i rappresentanti dei lavoratori per la sicurezza territoriale accedono alle informazioni di cui all’articolo 3, comma 1, lett. a), c) e d) ai fini dello svolgimento della propria attività di controllo nonché al fine di verificare, a fronte di un provvedimento di sospensione la possibilità, da parte del titolare della patente, di poter comunque completare le attività oggetto di appalto o subappalto in corso di esecuzione ai sensi dell’articolo 27, comma 10, del decreto legislativo 9 aprile 2008, n. 81.

5. Gli organismi paritetici iscritti nel Repertorio nazionale di cui all’articolo 51, comma 1-bis, del decreto legislativo 9 aprile 2008, n. 81 accedono alle informazioni di cui all’articolo 3, comma 1, lett. a) e c), ai fini delle proprie attività di controllo sulla efficacia del titolo abilitante.

6. I soggetti che intendono affidare lavori o servizi ad imprese o lavoratori autonomi che operano nei cantieri temporanei o mobili nonché il responsabile dei lavori accedono alle informazioni di cui all’articolo 3, comma 1, lett. a), c) e d) ai fini della verifica del possesso del titolo abilitativo ai sensi dell’articolo 90, comma 9, lett. b-bis), del decreto legislativo 9 aprile 2008, n. 81 nonché al fine di verificare, a fronte di un eventuale provvedimento di sospensione la possibilità, da parte del titolare della patente, di poter comunque completare le attività oggetto di appalto o subappalto in corso di esecuzione ai sensi dell’articolo 27, comma 10, del decreto legislativo 9 aprile 2008, n. 81.

7. I coordinatori per la sicurezza in fase di progettazione e di esecuzione dei lavori accedono alle informazioni di cui all’articolo 3, comma 1, lett. a) e c) ai fini dello svolgimento della propria attività di coordinamento.

8. L’accesso alle informazioni relative alla patente è ammesso solo a fronte della sussistenza ed attualità delle esigenze indicate nel presente articolo per ciascuna categoria di soggetti abilitati alla visualizzazione.

Art. 7

(Conservazione dei dati)

1. Le informazioni di cui all’articolo 3 sono consultabili sulla piattaforma per il tempo di vigenza della patente e comunque, limitatamente alle informazioni di cui all’articolo 3, comma 1, lett. e) e f, per un tempo non superiore a cinque anni dall’iscrizione delle medesime informazioni sulla piattaforma informatica.

Art. 8

(Misure tecniche di sicurezza)

1. Trovano applicazione le misure tecniche di sicurezza indicate nell’allegato A al presente provvedimento che ne costituisce parte integrante.

Art. 9

(Aggiornamenti)

1. Il presente provvedimento potrà essere oggetto di modifiche e integrazioni sulla base di esigenze emerse successivamente alla sua applicazione, previo esperimento della procedura di consultazione del Garante per la protezione dei dati personali ai sensi dell’articolo 2 del decreto del Ministero del lavoro e delle politiche sociali 18 settembre 2024, n. 132.

Allegato

MISURE DI SICUREZZA TECNICHE E OPERATIVE IMPLEMENTATE SUI SISTEMI INFORMATICI INL

MISURE DI SICUREZZA RELATIVE AL SISTEMA DI GESTIONE DELLE IDENTITÀ

– Impiego del Tier model;

– Segregazione delle utenze con privilegi amministrativi;

– Utilizzo di sistemi di Privileged Identity Management (PIM) per le utenze amministrative per elevazione dei privilegi in modalità Just In Time (JIT), con processo di approvazione delle richieste;

– Criteri di robustezza minima delle password;

– Cifratura dei volumi contenenti i database delle password mediante funzioni crittografiche che offrono un livello di sicurezza adeguato, sulla base delle misure adottabili allo stato dell’arte (artt. 5, par. 1, lett. f), 25 e 32 del Regolamento (UE) 2016/679 (GDPR));

– Utilizzo di sistemi di analisi automatica dei profili di rischio associati alle utenze e identificazione automatica di pattern anomali;

– Sistemi di strong authentication (MFA) per l’accesso online di tutti i ruoli con privilegi amministrativi e per l’accesso a tutti i portali di amministrazione dei servizi;

– Sistemi di strong authentication (MFA) per l’accesso da rete esterna a tutti i sistemi e servizi INL da parte di tutti gli utenti INL;

MISURE DI SICUREZZA A LIVELLO NETWORK

– Sistemi di sicurezza perimetrale a protezione della rete e dei sistemi in Cloud;

– Implementazione web filtering profiles a protezione della navigazione web;

– Monitoraggio continuo della rete;

MISURE DI SICUREZZA PER LE POSTAZIONI DI LAVORO E PER L’ACCESSO AI SERVIZI:

– Protezione delle postazioni di lavoro tramite sistemi antivirus/antimalware;

– Installazione automatica periodica e tempestiva per gli aggiornamenti e patch di sicurezza;

– Utilizzo di sistemi XDR integrati in tutte le postazioni di lavoro:

 – Protezione avanzata contro le minacce informatiche agli endpoint in tempo reale

 – Individuazione tempestiva di eventuali minacce avanzate e violazioni della sicurezza

 – Integrazione con sistema SIEM;

 – Reportistica dettagliata sulle potenziali attività malevole sulle postazioni di lavoro degli utenti e sulle minacce informatiche

– Protezione del sistema di posta elettronica:

 – Sistema antispam/antiphishing

 – Sistema safe-link;

 – Sistema sand-box per analisi degli allegati;

 – Monitoraggio minacce;

– Utilizzo di sistemi integrati per la sicurezza dei servizi SaaS di business productivity in Cloud;

– Protezione da perdita di dati per guasto della postazione di lavoro: mediante l’impiego di sistemi di storage in cloud;

– Segregazione tra “area di lavoro” e “area personale” sui device mobili in uso al personale, con possibilità di cancellazione da remoto in caso di furto o smarrimento;

– Sistema di gestione dei device aziendali per garantire la distribuzione di aggiornamenti e patch di sicurezza e la conformità alle policy di sicurezza predefinite;

– Sistemi di strong authentication, conditional access e risk based access policy:

 – Autenticazione a due fattori (MFA) per tutti i ruoli amministrativi, nonché per l’accesso a tutti i portali di amministrazione dei sistemi;

 – Autenticazione a due fattori (MFA) per gli accessi dall’esterno della rete INL per tutti gli utenti su tutti i sistemi e servizi online dell’Amministrazione;

 – Blocco degli accessi da IP esteri, per prevenire attacchi da aree geografiche a rischio; in caso di motivata richiesta, specifici utenti possono essere abilitati all’accesso da IP esteri limitatamente al tempo strettamente necessario;

 – Analisi dei login a rischio (risky login): sulla base di analisi automatiche, il sistema forza un nuovo login con richiesta di MFA nel caso in cui il pattern utente venga classificato a rischio medio/alto;

 – Analisi degli utenti a rischio (risky users): sulla base di analisi automatiche, il sistema forza cambio password e relogin con MFA nel caso in cui un utente venga classificato come a rischio medio/alto di compromissione;

MISURE DI SICUREZZA PER L’INFRASTRUTTURA DI CLOUD COMPUTING

– Utilizzo di sistemi SIEM per il monitoraggio continuo dei sistemi;

– Impiego di sistemi API gateway a protezione di specifici servizi;

– Servizio di Threat intelligence;

– Servizio SOC/NOC;

– Cifratura delle connessioni e cifratura dei dati “at rest”;

– Log degli accessi e delle operazioni;

– Utilizzo del sistema Privileged Identity Managment per accesso just-in-time per le utenze con ruoli amministrativi in cloud;

– accesso con MFA per tutti i ruoli amministrativi in cloud e per l’accesso a tutti i portali amministrativi;

– Utilizzo di utenze cloud only non sincronizzate on premise per i ruoli amministrativi in cloud (configurate per uso di PIM JIT e MFA);

– Protezione da attacchi esterni mediante sistemi di DDOS Protection ed External Attack Surface Management (EASM);

– Protezione delle risorse, sistemi e servizi in cloud tramite sistemi integrati di rilevamento automatico e protezione;

– Protezione della BRAND Reputation mediante monitoraggio dei report DKIM e DMARC per identificare eventuali tentativi di uso improprio del dominio di posta elettronica dell’Amministrazione;

– Sistema automatico di backup dei dati e dei sistemi;

– Ridondanza dei sistemi e delle risorse per alta affidabilità dei servizi;

MISURE ORGANIZZATIVE:

– Processo di gestione del ciclo di vita delle utenze;

– Processo di ricognizione periodica delle utenze in uso a fornitori esterni;

– Processo di gestione degli alert di sicurezza ed incident management tramite SOC;

– Formazione periodica e awareness del personale in ambito protezione dati e sicurezza informatica;

– Esecuzione periodica di assessment di sicurezza e implementazione remediation sui sistemi dell’Amministrazione;

– Adozione dei framework “security by design” e “privacy by design”;

MISURE SPECIFICHE RELATIVE AL SISTEMA PAC

Infrastruttura

Il sistema PaC è ospitato sull’infrastruttura Cloud di INL residente su Polo Strategico Nazionale (PSN), soddisfacendo, pertanto, i requisiti di sicurezza ivi previsti, e adotta, inoltre, le misure di sicurezza sopra descritte.

Modalità di accesso alle applicazioni di visualizzazione della Patente a Crediti

– Sistema di strong authentication per gli utenti che accedono al portale dei servizi mediante SPID/eIDAS livello 2 e CIE livello 2 o superiore e CNS,

Dal sistema SPID/eIDAS, CIE e CNS vengono acquisiti i seguenti dati:

– Codice Fiscale, nome e cognome con SPID/CIE/CNS;

– Codice Fiscale impresa e ragione sociale con SPID professionale;

– Codice eIDAS, nome e cognome con eIDAS.

Di questi dati vengono memorizzati esclusivamente i Codici Fiscali (personale o impresa) e il codice eIDAS.

Coni di visibilità della Patente a Crediti

L’accesso alla visualizzazione gestito da due differenti applicazioni distinte per tipologia di ruolo.

Visualizzazione per Legali Rappresentanti/Titolari della Patente e Delegati

I soggetti che risultano essere attestati nei sistemi informativi dell’Ispettorato Nazionale del Lavoro come titolari o delegati possono visualizzare tutti i dati indicati dall’art. 2 del D.M. 18 settembre 2024, n. 132.

Questa applicazione di visualizzazione verifica che il Codice Fiscale fornito dai sistemi di autenticazione (SPID, SPID Professionale, CIE, CNS, eIDAS) corrisponda al possesso del ruolo di legale rappresentante o delegato rispetto a quanto presente nei sistemi INL.

Visualizzazione Patente a Crediti in Autodichiarazione

Gli ulteriori soggetti menzionati all’articolo 2 del D.M. 18 settembre 2024, n. 132 possono visualizzare le informazioni della Patente a Crediti tramite autodichiarazione del proprio ruolo. Le sezioni informative visualizzate in questa modalità dipendono dal ruolo dichiarato dall’utente. La corrispondenza tra i ruoli e le sezioni informative è gestita dinamicamente tramite database, mentre il contenuto di ciascuna sezione è predefinito e non modificabile tramite database.

Per questa applicazione le sezioni informative disponibili sono:

– DATI AZIENDA: codice fiscale azienda, ragione sociale, codice ISO paese.

– RICHIEDENTE: nome, cognome, codice fiscale del richiedente della patente, ruolo con il quale si opera (delegato, rappresentante legale/titolare di impresa individuale).

– PATENTE: numero patente, data rilascio, stato patente.

– PUNTEGGIO: punti attuali, punti al rilascio.

– SOSPENSIONE: identificativo del provvedimento di sospensione, data inizio, data fine, data di eventuale annullamento della sospensione (ove applicabile).

I ruoli utente disponibili per l’autodichiarazione sono:

– Pubblica Amministrazione di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165;

– Rappresentante dei lavoratori per la sicurezza (RLS);

– Rappresentante dei lavoratori per la sicurezza territoriale (RLST);

– Organismo paritetico iscritto nel Repertorio nazionale di cui all’articolo 51, comma 1 bis, del decreto legislativo 9 aprile 2008, n. 81;

– Responsabile dei lavori;

– Coordinatore per la sicurezza in fase di progettazione ed esecuzione dei lavori;

– Soggetto che intende affidare lavori o servizi ad imprese o lavoratori autonomi che operano nei cantieri temporanei o mobili di cui all’articolo 89, comma 1, lettera a, del decreto legislativo 9 aprile 2008, n. 81.

Con questa applicazione di visualizzazione l’associazione tra le sezioni informative e i differenti ruoli avviene tramite configurazione.

Sono previste verifiche a campione, in occasione di accessi ispettivi, relative all’effettivo possesso del titolo autodichiarato per la visualizzazione delle patenti.

Tracciatura degli eventi

Il sistema traccia gli eventi di visualizzazione al fine di monitorare e documentare le operazioni svolte a tutela degli interessati. Per assicurare l’immodificabilità e l’integrità di tale tracciatura (log), il registro su cui vengono memorizzate le informazioni è configurato in modalità append‑only: sia le operazioni automatiche del sistema che quelle attivate dei ruoli applicativi sono limitate al solo inserimento e consultazione. Le operazioni in parola possono solo aggiungere informazioni senza possibilità di cancellare e/o sovrascrivere quelle già registrate.

Il registro tiene traccia di ogni operazione di visualizzazione, includendo le seguenti informazioni:

– Codice fiscale dell’utente che ha richiesto la visualizzazione;

– Codice fiscale dell’impresa (persona giuridica o ditta individuale) oggetto dell’operazione di visualizzazione;

– Il ruolo autodichiarato per la visualizzazione (in relazione all’applicazione “Visualizzazione Patente a Crediti in Autodichiarazione”);

– Il ruolo impostato in riferimento ai soggetti che risultano essere attestati nei sistemi informativi dell’Ispettorato Nazionale del Lavoro come titolari o delegati (in relazione all’applicazione “Visualizzazione per Legali Rappresentanti/Titolari della Patente e Delegati”);

– Le informazioni sulla data e ora in cui l’operazione è stata effettuata.

Se l’utente si è autenticato con SPID professionale le informazioni registrate sono le stesse. L’unica eccezione riguarda il codice fiscale dell’utente che ha richiesto la visualizzazione che in tal caso è quello del soggetto giuridico associato allo SPID professionale. Non viene salvato alcun dato relativo alla persona fisica effettivamente operante.

Tempi di conservazione dei log

I log di tracciatura degli eventi non sono sottoposti ad analisi automatizzate e non sono previsti sistemi di alert automatico; gli stessi vengono conservati per cinque anni.