Art. 30
Modifiche all'articolo 35
del decreto legislativo n. 82 del 2005
1. All'articolo 35 del decreto legislativo n. 82 del 2005 sono
apportate le seguenti modificazioni:
a) la rubrica e' sostituita dalla seguente: «Dispositivi sicuri e
procedure per la generazione della firma qualificata»;
b) dopo il comma 1 e' inserito il seguente:
«1-bis) Fermo restando quanto previsto dal comma 1, i dispositivi
per la creazione di una firma elettronica qualificata o di un sigillo
elettronico soddisfano i requisiti di cui all'Allegato II del
Regolamento eIDAS.»;
c) al comma 5, primo periodo, dopo le parole «di una firma» e'
inserita la seguente: «elettronica», dopo la parola «qualificata»
sono inserite le seguenti: «o di un sigillo elettronico» e, infine,
le parole: «dall'Allegato III della direttiva 1999/93/CE» sono
sostituite dalle seguenti: «dall'Allegato II del regolamento eIDAS»;
d) il comma 6 e' sostituito dal seguente: «6. La conformita' di
cui al comma 5 e' inoltre riconosciuta se accertata da un organismo
all'uopo designato da un altro Stato membro e notificato ai sensi
dell'articolo 30, comma 2, del Regolamento eIDAS. Ove previsto
dall'organismo di cui al periodo precedente, la valutazione della
conformita' del sistema e degli strumenti di autenticazione
utilizzati dal titolare delle chiavi di firma e' effettuata dall'AgID
in conformita' alle linee guida di cui al comma 5.».
Note all'art. 30:
- Si riporta il testo dell'articolo 35 del citato
decreto legislativo 7 marzo 2005, n. 82, come modificato
dal presente decreto:
«Art. 35. Dispositivi sicuri e procedure per la
generazione della firma qualificata
1. I dispositivi sicuri e le procedure utilizzate per
la generazione delle firme devono presentare requisiti di
sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma
sia protetta da contraffazioni;
c) possa essere sufficientemente protetta dal titolare
dall'uso da parte di terzi.
1-bis. Fermo restando quanto previsto dal comma 1, i
dispositivi per la creazione di una firma elettronica
qualificata o di un sigillo elettronico soddisfano i
requisiti di cui all'Allegato II del Regolamento eIDAS.
2. I dispositivi sicuri e le procedure di cui al comma
1 devono garantire l'integrita' dei documenti informatici a
cui la firma si riferisce. I documenti informatici devono
essere presentati al titolare, prima dell'apposizione della
firma, chiaramente e senza ambiguita', e si deve richiedere
conferma della volonta' di generare la firma secondo quanto
previsto dalle regole tecniche di cui all'articolo 71.
3. Il secondo periodo del comma 2 non si applica alle
firme apposte con procedura automatica. La firma con
procedura automatica e' valida se apposta previo consenso
del titolare all'adozione della procedura medesima.
4. I dispositivi sicuri di firma devono essere dotati
di certificazione di sicurezza ai sensi dello schema
nazionale di cui al comma 5.
5. La conformita' dei requisiti di sicurezza dei
dispositivi per la creazione di una firma elettronica
qualificata o di un sigillo elettronico prescritti
dall'Allegato II del Regolamento eIDAS e' accertata, in
Italia, dall'Organismo di certificazione della sicurezza
informatica in base allo schema nazionale per la
valutazione e certificazione di sicurezza nel settore della
tecnologia dell'informazione, fissato con decreto del
Presidente del Consiglio dei Ministri, o, per sua delega,
del Ministro per l'innovazione e le tecnologie, di concerto
con i Ministri delle comunicazioni, delle attivita'
produttive e dell'economia e delle finanze. L'attuazione
dello schema nazionale non deve determinare nuovi o
maggiori oneri per il bilancio dello Stato. Lo schema
nazionale puo' prevedere altresi' la valutazione e la
certificazione relativamente ad ulteriori criteri europei
ed internazionali, anche riguardanti altri sistemi e
prodotti afferenti al settore suddetto. La valutazione
della conformita' del sistema e degli strumenti di
autenticazione utilizzati dal titolare delle chiavi di
firma e' effettuata dall'Agenzia per l'Italia digitale in
conformita' ad apposite linee guida da questa emanate,
acquisito il parere obbligatorio dell'Organismo di
certificazione della sicurezza informatica.
6. La conformita' di cui al comma 5 e' inoltre
riconosciuta se accertata da un organismo all'uopo
designato da un altro Stato membro e notificato ai sensi
dell'articolo 30, comma 2, del Regolamento eIDAS. Ove
previsto dall'organismo di cui al periodo precedente, la
valutazione della conformita' del sistema e degli strumenti
di autenticazione utilizzati dal titolare delle chiavi di
firma e' effettuata dall'AgID in conformita' alle linee
guida di cui al comma 5.»