modalità di visualizzazione Patente a crediti sulla piattaforma

L’Ispettorato Nazionale del Lavoro ha adottato il Decreto Direttoriale n. 43 del 25 giugno 2025, che definisce le nuove modalità di visualizzazione della Patente a Crediti, lo strumento previsto dal D.M. 132/2024 per qualificare imprese e lavoratori autonomi nei cantieri, in base al rispetto delle norme su salute e sicurezza.

IL DIRETTORE DELL’ISPETTORATO NAZIONALE DEL LAVORO

Richiamati:

• il decreto legislativo 8 aprile 2008, n. 81 (attuazione della legge 3 agosto 2007, n. 123, in materia di salute e sicurezza nei luoghi di lavoro);

• il decreto legislativo 14 settembre 2015, n. 149 (semplificazione e razionalizzazione dell’attività ispettiva in materia di lavoro);

• l’articolo 2, comma 2, lett. a) del d.lgs. n. 149/2015, che attribuisce all’Ispettorato la vigilanza su lavoro, contribuzione, assicurazione e sicurezza;

• il decreto-legge 2 marzo 2024, n. 19, convertito con legge 29 aprile 2024, n. 56 (misure urgenti per il PNRR e contrasto al lavoro irregolare);

• l’articolo 29, comma 19 del predetto d.l. n. 19/2024, che modifica l’art. 27 del d.lgs. n. 81/2008 sul sistema di qualificazione tramite crediti;

• il comma 3 dell’art. 27 del d.lgs. n. 81/2008, concernente le modalità di domanda e i contenuti della patente a crediti;

• il secondo periodo del comma 5 dell’art. 27 del d.lgs. n. 81/2008, sui criteri di attribuzione e recupero dei crediti;

• il decreto del Ministro del lavoro 18 settembre 2024, n. 132 (regolamento di presentazione domanda per conseguimento patente a crediti);

• in particolare l’art. 2, commi 1 e 2, del d.m. n. 132/2024, relativo ai dati resi disponibili sul portale e alle modalità di accesso;

• il Regolamento (UE) 2016/679 (GDPR) e il Codice privacy (d.lgs. n. 196/2003 e modifiche d.lgs. n. 101/2018);

• il parere del Garante per la protezione dei dati personali, prot. n. 78719 del 31 maggio 2025.

DETERMINA:

Art. 1 – OggettoIl presente provvedimento stabilisce le modalità con cui l’Ispettorato nazionale del lavoro rende accessibili le informazioni relative alla "Patente a Crediti" (PAC), ai soggetti indicati dal d.m. 18 settembre 2024, n. 132, art. 2, comma 2, conformemente all’art. 27 del d.lgs. n. 81/2008, come modificato dal d.l. n. 19/2024, e nel rispetto del GDPR.

Art. 2 – Titolari e responsabili del trattamento

1. L’Ispettorato nazionale del lavoro è titolare autonomo del trattamento dei dati personali per la gestione del servizio PAC sul proprio portale.

2. Eventuali soggetti terzi incaricati della gestione del portale sono nominati responsabili del trattamento secondo art. 28 GDPR.

Art. 3 – Sezioni informativeLe informazioni disponibili si articolano in:a) scheda impresa/lavoratore autonomo (ragione sociale, nome, codice fiscale, Paese);b) dati del richiedente (nome, cognome, codice fiscale, ruolo);c) dettagli della patente (numero, data rilascio, stato);d) punteggio iniziale e aggiornato;e) data di fine sospensione (se presente);f) elenco provvedimenti definitivi con crediti decurtati e relative date.

Art. 4 – Soggetti abilitatiI soggetti autorizzati all’accesso sono:a) titolari della patente o delegati;b) pubbliche amministrazioni (d.lgs. n. 165/2001, art. 1, c. 2);c) RLS e RLST;d) organismi paritetici iscritti al repertorio nazionale;e) responsabili dei lavori;f) coordinatori per la sicurezza in progettazione ed esecuzione;g) soggetti affidatari di lavori o servizi (cantiere art. 89, c. 1, lett. a).

Art. 5 – Modalità di accesso

1. L’accesso al portale avviene tramite SPID (livello 2), CIE o sistemi equivalenti (eIDAS, CNS), inserendo il codice fiscale del titolare.

2. I titolari/delegati sono riconosciuti dai sistemi interni INL. Gli altri soggetti autocertificano il titolo ai sensi del D.P.R. n. 445/2000.

3. Gli organi di vigilanza di cui all’art. 13 del d.lgs. n. 81/2008 accedono secondo convenzione specifica.

Art. 6 – Ambito di visualizzazione

1. Le informazioni sono visibili nei limiti stabiliti per ogni categoria di soggetti:

   • titolari/delegati: sezioni a)–f);

   • pubbliche amministrazioni: a), c), d) (verifica appalti);

   • RLS/RLST: a), c), d) (controllo e verifica sospensioni);

   • organismi paritetici: a), c) (monitoraggio efficacia titoli);

   • affidatari e responsabili lavori: a), c), d) (verifica possesso titolo e sospensioni);

   • coordinatori: a), c) (coordinamento sicurezza).

2. L’accesso è subordinato alla necessità e attualità delle finalità.

Art. 7 – Conservazione dei datiLe informazioni restano consultabili per tutta la durata di validità della patente e, per le sospensioni e decurtazioni, fino a cinque anni dall’iscrizione sul portale.

Art. 8 – Misure tecniche di sicurezzaSi applicano le misure tecniche e organizzative illustrate nell’allegato A, relative a identità, rete, endpoint, posta elettronica, cloud, backup, log, autenticazione, crittografia e gestione degli incidenti, in conformità al GDPR.

Art. 9 – AggiornamentiEventuali modifiche al presente provvedimento saranno adottate previa consultazione del Garante dei dati personali, come previsto dal d.m. n. 132/2024.

Allegato A(Descrizione dettagliata delle misure tecniche e operative sui sistemi INL.)

Allegato A – Misure tecniche e operative sui sistemi informatici INL

1. Gestione delle identità e degli accessi

   • Adozione di un sistema di Identity and Access Management (IAM) centralizzato integrato con SPID, CIE e CNS.

   • Autenticazione a due fattori (2FA) per tutti gli utenti con accesso amministrativo.

   • Controllo basato sui ruoli (RBAC) per limitare i permessi in base alle responsabilità.

   • Revisione trimestrale delle autorizzazioni e disattivazione automatica degli account inattivi dopo 90 giorni.

2. Sicurezza di rete

   • Segmentazione delle reti interne in zone a trust differenziato con firewall di nuova generazione (NGFW).

   • Implementazione di VPN con crittografia IPsec per connessioni remote degli utenti autorizzati.

   • Sistemi di Intrusion Detection/Prevention (IDS/IPS) per il monitoraggio continuo e il blocco di traffico sospetto.

   • Protezione contro attacchi DDoS mediante soluzioni di mitigazione in cloud.

3. Protezione degli endpoint

   • Installazione di antivirus e Endpoint Detection and Response (EDR) su tutti i dispositivi aziendali.

   • Applicazione di politiche di cifratura del disco (Full Disk Encryption) sui portatili e dispositivi mobili.

   • Configurazione di aggiornamenti automatici per sistemi operativi e software critici.

   • Uso di strumenti di Mobile Device Management (MDM) per il controllo dei dispositivi mobili.

4. Sicurezza della posta elettronica

   • Filtri anti-phishing e anti-malware a livello di gateway e-mail.

   • Crittografia end-to-end (S/MIME) per le comunicazioni sensibili.

   • Scansione automatica degli allegati e blocco di formati pericolosi.

   • Formazione periodica degli utenti sulla sicurezza e-mail e simulazioni di phishing.

5. Sicurezza del cloud e dei servizi gestiti

   • Verifica di conformità dei fornitori cloud (ISO 27001, GDPR) e stipula di accordi sul trattamento dei dati.

   • Implementazione di Cloud Access Security Broker (CASB) per il controllo delle applicazioni SaaS.

   • Crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256) sui servizi di storage.

6. Gestione dei backup e della continuità operativa

   • Politica di backup incrementale giornaliero e completo settimanale su infrastrutture separate.

   • Verifica mensile del ripristino dei backup per garantire l’integrità dei dati.

   • Piani di Disaster Recovery (DR) con RTO (Recovery Time Objective) < 4 ore e RPO (Recovery Point Objective) < 1 ora.

7. Monitoraggio e gestione dei log

   • Raccolta centralizzata dei log tramite SIEM (Security Information and Event Management).

   • Conservazione dei log di sicurezza per almeno 12 mesi, con crittografia e integrità garantita.

   • Analisi automatica e generazione di alert per anomalie e comportamenti sospetti.

8. Autenticazione e cifratura dei dati

   • Implementazione di OAuth 2.0 e OpenID Connect per l’autorizzazione delle API.

   • Utilizzo di chiavi gestite da Hardware Security Module (HSM) per la gestione di certificati e crittografia.

   • Cifratura end-to-end dei dati sensibili nei database relazionali (field-level encryption).

9. Gestione degli incidenti e risposta agli attacchi

   • Procedura di Incident Response documentata e aggiornata annualmente in base alle Linee Guida AgID.

   • Team di Security Operations Center (SOC) operativo 24/7 per identificare e rispondere agli incidenti.

   • Simulazioni di pen-test e Red Teaming semestrali per valutare l’efficacia delle contromisure.

   • Comunicazione obbligatoria al Garante Privacy entro 72 ore in caso di violazione dei dati personali.

10. Formazione e consapevolezza

    • Programma di formazione obbligatoria sulla sicurezza informatica per tutti i dipendenti, almeno 8 ore l’anno.

    • Corsi specifici per amministratori di sistema e sviluppatori su best practice di sicurezza (secure coding, patch management).

    • Report annuale di conformità e avanzamento delle misure di sicurezza presentato al Direttore.

Tutte le misure sopra indicate sono implementate in conformità al GDPR e alle disposizioni vigenti in materia di sicurezza delle informazioni.

Decreto Direttoriale n. 43 del 25 giugno 2025

ACCEDI AL PORTALE INL PATENTE A CREDITI

Gli operatori economici che chiedono il rilascio della patente a decorrere dal 10 luglio 2025, devono necessariamente attestarsi prima sui sistemi INL tramite l’applicazione “Attestazione Legale Rappresentante/Titolare” e successivamente, qualora vogliano designare un delegato, provvedervi tramite l’applicazione “Gestione Deleghe”.  

Tale procedura non trova applicazione per gli operatori economici esteri UE ed extraUE.