Art. 28 (R) Obblighi dell'utente e del certificatore 1. Chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale, e' tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri. 2. Il certificatore e' tenuto a: a) identificare con certezza la persona che fa richiesta della certificazione; b) rilasciare e rendere pubblico il certificato avente le caratteristiche fissate con il decreto di cui all'articolo 8, comma 2; c) specificare, su richiesta dell'istante, e con il consenso del terzo interessato, la sussistenza dei poteri di rappresentanza o di altri titoli relativi all'attivita' professionale o a cariche rivestite; d) attenersi alle regole tecniche di cui all'articolo 8, comma 2; e) informare richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi; f) attenersi alle misure minime di sicurezza per il trattamento dei dati personali, emanate ai sensi dell'articolo 15, comma 2 della legge 31 dicembre 1996, n. 675; g) non rendersi depositario di chiavi private; h) procedere tempestivamente alla revoca od alla sospensione del certificato in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorita', di acquisizione della conoscenza di cause limitative della capacita' del titolare, di sospetti abusi o falsificazioni; i) dare immediata pubblicazione della revoca e della sospensione della coppia di chiavi asimmetriche; l) dare immediata comunicazione all'Autorita' per l'informatica nella pubblica amministrazione ed agli utenti, con un preavviso di almeno sei mesi, della cessazione dell'attivita' e della conseguente rilevazione della documentazione da parte di altro certificatore o del suo annullamento.
Note all'art. 28: - Si trascrive il testo vigente dell'art. 15, comma 2, della legge 31 dicembre 1996, n. 675 (per l'argomento vedi nelle note all'art. 16): "2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con decreto del Presidente deva Repubblica, ai sensi dell'art. 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400 entro centottanta giorni dalla data di entrata in vigore della presente legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorita' per l'informatica nella pubblica amministrazione e il Garante".