Art. 27
Modifiche all'articolo 32
del decreto legislativo n. 82 del 2005
1. All'articolo 32 del decreto legislativo n. 82 del 2005 sono
apportate le seguenti modificazioni:
a) la rubrica e' sostituita dalla seguente: «Obblighi del
titolare e del prestatore di servizi di firma elettronica
qualificata»;
b) al comma 1, dopo le parole: «custodia del dispositivo di
firma», sono inserite le seguenti: «o degli strumenti di
autenticazione informatica per l'utilizzo del dispositivo di firma da
remoto,»;
c) la parola: «certificatore» e' sostituita, ovunque ricorra,
dalle seguenti: «prestatore di servizi di firma elettronica
qualificata»;
d) al comma 3, alinea, la parola: «inoltre» e' sostituita dalla
seguente: «comunque»;
e) al comma 3, lettera g), dopo le parole: «compromissione del
dispositivo di firma», sono inserite le seguenti: «o degli strumenti
di autenticazione informatica per l'utilizzo del dispositivo di
firma,»;
f) al comma 5, le parole: «raccoglie i dati personali solo
direttamente dalla persona cui si riferiscono o previo suo esplicito
consenso,» sono sostituite dalle seguenti: «raccoglie i dati
personali direttamente dalla persona cui si riferiscono o, previo suo
esplicito consenso, tramite il terzo,».
Note all'art. 27:
- Si riporta il testo dell'articolo 32 del citato
decreto legislativo n. 82 del 2005, come modificato dal
presente decreto:
« Art. 32. Obblighi del titolare e del prestatore di
servizi di firma elettronica qualificata
1. Il titolare del certificato di firma e' tenuto ad
assicurare la custodia del dispositivo di firma o degli
strumenti di autenticazione informatica per l'utilizzo del
dispositivo di firma da remoto, e ad adottare tutte le
misure organizzative e tecniche idonee ad evitare danno ad
altri; e' altresi' tenuto ad utilizzare personalmente il
dispositivo di firma.
2. Il prestatore di servizi di firma elettronica
qualificata e' tenuto ad adottare tutte le misure
organizzative e tecniche idonee ad evitare danno a terzi.
3. Il prestatore di servizi di firma elettronica
qualificata che rilascia, ai sensi dell'articolo 19,
certificati qualificati deve comunque:
a) provvedere con certezza alla identificazione della
persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato
elettronico nei modi o nei casi stabiliti dalle regole
tecniche di cui all'articolo 71, nel rispetto del decreto
legislativo 30 giugno 2003, n. 196, e successive
modificazioni;
c) specificare, nel certificato qualificato su
richiesta dell'istante, e con il consenso del terzo
interessato, i poteri di rappresentanza o altri titoli
relativi all'attivita' professionale o a cariche rivestite,
previa verifica della documentazione presentata dal
richiedente che attesta la sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo
71;
e) informare i richiedenti in modo compiuto e chiaro,
sulla procedura di certificazione e sui necessari requisiti
tecnici per accedervi e sulle caratteristiche e sulle
limitazioni d'uso delle firme emesse sulla base del
servizio di certificazione;
f) (soppressa)
g) procedere alla tempestiva pubblicazione della revoca
e della sospensione del certificato elettronico in caso di
richiesta da parte del titolare o del terzo dal quale
derivino i poteri del titolare medesimo, di perdita del
possesso o della compromissione del dispositivo di firma o
degli strumenti di autenticazione informatica per
l'utilizzo del dispositivo di firma, di provvedimento
dell'autorita', di acquisizione della conoscenza di cause
limitative della capacita' del titolare, di sospetti abusi
o falsificazioni, secondo quanto previsto dalle regole
tecniche di cui all'articolo 71;
h) garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo nonche'
garantire il funzionamento efficiente, puntuale e sicuro
degli elenchi dei certificati di firma emessi, sospesi e
revocati;
i) assicurare la precisa determinazione della data e
dell'ora di rilascio, di revoca e di sospensione dei
certificati elettronici;
j) tenere registrazione, anche elettronica, di tutte le
informazioni relative al certificato qualificato dal
momento della sua emissione almeno per venti anni anche al
fine di fornire prova della certificazione in eventuali
procedimenti giudiziari;
k) non copiare, ne' conservare, le chiavi private di
firma del soggetto cui il prestatore di servizi di firma
elettronica qualificata ha fornito il servizio di
certificazione;
l) predisporre su mezzi di comunicazione durevoli tutte
le informazioni utili ai soggetti che richiedono il
servizio di certificazione, tra cui in particolare gli
esatti termini e condizioni relative all'uso del
certificato, compresa ogni limitazione dell'uso,
l'esistenza di un sistema di accreditamento facoltativo e
le procedure di reclamo e di risoluzione delle
controversie; dette informazioni, che possono essere
trasmesse elettronicamente, devono essere scritte in
linguaggio chiaro ed essere fornite prima dell'accordo tra
il richiedente il servizio ed il prestatore di servizi di
firma elettronica qualificata;
m) utilizzare sistemi affidabili per la gestione del
registro dei certificati con modalita' tali da garantire
che soltanto le persone autorizzate possano effettuare
inserimenti e modifiche, che l'autenticita' delle
informazioni sia verificabile, che i certificati siano
accessibili alla consultazione del pubblico soltanto nei
casi consentiti dal titolare del certificato e che
l'operatore possa rendersi conto di qualsiasi evento che
comprometta i requisiti di sicurezza. Su richiesta,
elementi pertinenti delle informazioni possono essere resi
accessibili a terzi che facciano affidamento sul
certificato;
m-bis) garantire il corretto funzionamento e la
continuita' del sistema e comunicare immediatamente a
DigitPA e agli utenti eventuali malfunzionamenti che
determinano disservizio, sospensione o interruzione del
servizio stesso.
4. Il prestatore di servizi di firma elettronica
qualificata e' responsabile dell'identificazione del
soggetto che richiede il certificato qualificato di firma
anche se tale attivita' e' delegata a terzi.
5. Il prestatore di servizi di firma elettronica
qualificata raccoglie i dati personali direttamente dalla
persona cui si riferiscono o, previo suo esplicito
consenso, tramite il terzo, e soltanto nella misura
necessaria al rilascio e al mantenimento del certificato,
fornendo l'informativa prevista dall'articolo 13 del
decreto legislativo 30 giugno 2003, n. 196. I dati non
possono essere raccolti o elaborati per fini diversi senza
l'espresso consenso della persona cui si riferiscono.»