Art. 15.
Modifiche al decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Dopo l'articolo 29 del testo unico sono inseriti i seguenti:
«Art. 29-bis (R) (Obblighi del titolare e del certificatore). - 1.
Il titolare ed il certificatore sono tenuti ad adottare tutte le
misure organizzative e tecniche idonee ad evitare danno ad altri.
2. Il certificatore che rilascia, ai sensi dell'articolo 27,
certificati qualificati e' tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della
certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei
modi e nei casi stabiliti dalle regole tecniche di cui all'articolo
8, comma 2, nel rispetto della legge 31 dicembre 1996, n. 675, e
successive modificazioni;
c) specificare, nel certificato qualificato su richiesta
dell'istante, e con il consenso del terzo interessato, i poteri di
rappresentanza o di altri titoli relativi all'attivita' professionale
o a cariche rivestite, previa verifica della sussistenza degli
stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla
procedura di certificazione e sui necessari requisiti tecnici per
accedervi e sulle caratteristiche e sulle limitazioni d'uso delle
firme emesse sulla base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati
personali, ai sensi dell'articolo 15, comma 2, della legge
31 dicembre 1996, n. 675;
g) non rendersi depositario di dati per la creazione della firma
del titolare;
h) procedere alla pubblicazione della revoca e della sospensione
del certificato elettronico in caso di richiesta da parte del
titolare o del terzo dal quale derivino i poteri di quest'ultimo, di
perdita del possesso della chiave, di provvedimento dell'autorita',
di acquisizione della conoscenza di cause limitative della capacita'
del titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei
servizi di elencazione, nonche' garantire un servizio di revoca e
sospensione dei certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di
rilascio, di revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le
informazioni relative al certificato qualificato per dieci anni in
particolare al fine di fornire prova della certificazione in
eventuali procedimenti giudiziari;
n) non copiare, ne' conservare le chiavi private di firma del
soggetto cui il certificatore ha fornito il servizio di
certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le
informazioni utili ai soggetti che richiedono il servizio di
certificazione, tra cui in particolare gli esatti termini e
condizioni relative all'uso del certificato, compresa ogni
limitazione dell'uso, l'esistenza di un sistema di accreditamento
facoltativo e le procedure di reclamo e di risoluzione delle
controversie; dette informazioni, che possono essere trasmesse
elettronicamente, devono essere scritte in linguaggio chiaro ed
essere fornite prima dell'accordo tra il richiedente il servizio ed
il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei
certificati con modalita' tali da garantire che soltanto le persone
autorizzate possano effettuare inserimenti e modifiche, che
l'autenticita' delle informazioni sia verificabile, che i certificati
siano accessibili alla consultazione del pubblico soltanto nei casi
consentiti dal titolare del certificato e che l'operatore possa
rendersi conto di qualsiasi evento che comprometta i requisiti di
sicurezza. Su richiesta, elementi pertinenti delle informazioni
possono essere resi accessibili a terzi che facciano affidamento sul
certificato.
3. Il certificatore che rilascia certificati al pubblico raccoglie
i dati personali solo direttamente dalla persona cui si riferiscono o
previo suo esplicito consenso, e soltanto nella misura necessaria al
rilascio e al mantenimento del certificato, fornendo l'informativa
prevista dalla disciplina in materia di dati personali. I dati non
possono essere raccolti o elaborati per fini diversi senza l'espresso
consenso della persona cui si riferiscono.
Art. 29-ter (R) (Uso di pseudonimi). - 1. In luogo del nome del
titolare il certificatore puo' riportare sul certificato elettronico
uno pseudonimo, qualificandolo come tale. Se il certificato e'
qualificato, il certificatore ha l'obbligo di conservare le
informazioni relative alla reale identita' del titolare per almeno
dieci anni dopo la scadenza del certificato stesso.
Art. 29-quater (R) (Efficacia dei certificati qualificati). - 1. La
firma elettronica, basata su un certificato qualificato scaduto,
revocato o sospeso non costituisce valida sottoscrizione.
Art. 29-quinquies (R) (Norme particolari per le pubbliche
amministrazioni e per altri soggetti qualificati). - 1. Ai fini della
sottoscrizione, ove prevista, di documenti informatici di rilevanza
esterna, le pubbliche amministrazioni:
a) possono svolgere direttamente l'attivita' di rilascio dei
certificati qualificati avendo a tale fine l'obbligo di accreditarsi
ai sensi dell'articolo 28; tale attivita' puo' essere svolta
esclusivamente nei confronti dei propri organi ed uffici, nonche' di
categorie di terzi, pubblici o privati. I certificati qualificati
rilasciati in favore di categorie di terzi possono essere utilizzati
soltanto nei rapporti con l'Amministrazione certificante, al di fuori
dei quali sono privi di ogni effetto; con decreto del Presidente del
Consiglio dei Ministri, su proposta dei Ministri per la funzione
pubblica e per l'innovazione e le tecnologie e dei Ministri
interessati, di concerto con il Ministro dell'economia e delle
finanze, sono definite le categorie di terzi e le caratteristiche dei
certificati qualificati;
b) possono rivolgersi a certificatori accreditati, secondo la
vigente normativa in materia di contratti pubblici.
2. Per la formazione, gestione e sottoscrizione di documenti
informatici aventi rilevanza esclusivamente interna ciascuna
amministrazione puo' adottare, nella propria autonomia organizzativa,
regole diverse da quelle contenute nelle regole tecniche di cui
all'articolo 8, comma 2.
3. Le regole tecniche concernenti la qualifica di pubblico
ufficiale, l'appartenenza ad ordini o collegi professionali,
l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate
con decreti del Ministro per l'innovazione e le tecnologie, di
concerto con il Ministro per la funzione pubblica, con il Ministro
della giustizia e con gli altri Ministri di volta in volta
interessati, sulla base dei principi generali stabiliti dai
rispettivi ordinamenti.
4. Nelle more della definizione delle specifiche norme tecniche di
cui al comma 3, si applicano le norme tecniche di cui all'articolo 8,
comma 2.
Art. 29-sexies (R) (Dispositivi sicuri e procedure per la
generazione della firma). - 1. I dispositivi sicuri e le procedure
utilizzate per la generazione delle firme devono presentare requisiti
di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta
da contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso
da parte di terzi.
2. I dispositivi sicuri di cui al comma 1 devono garantire
l'integrita' dei dati elettronici a cui la firma si riferisce. I dati
devono essere presentati al titolare, prima dell'apposizione della
firma, chiaramente e senza ambiguita', e si deve richiedere conferma
della volonta' di generare la firma.
3. Il secondo periodo del comma 2 non si applica alle firme apposte
con procedura automatica, purche' l'attivazione della procedura sia
chiaramente riconducibile alla volonta' del titolare.
4. I dispositivi sicuri di firma sono sottoposti alla valutazione e
certificazione di sicurezza ai sensi dello schema nazionale per la
valutazione e certificazione di sicurezza nel settore della
tecnologia dell'informazione di cui all'articolo 10, comma 1, del
decreto legislativo 23 gennaio 2002, n. 10.
Art. 29-septies (R) (Revoca e sospensione dei certificati
qualificati). - 1. Il certificato qualificato deve essere a cura del
certificatore:
a) revocato in caso di cessazione dell'attivita' del
certificatore;
b) revocato o sospeso in esecuzione di un provvedimento
dell'autorita';
c) revocato o sospeso a seguito di richiesta del titolare o del
terzo dal quale derivano i poteri del titolare, secondo le modalita'
previste nel presente decreto;
d) revocato o sospeso in presenza di cause limitative della
capacita' del titolare o di abusi o falsificazioni.
2. Il certificato qualificato puo', inoltre, essere revocato o
sospeso nei casi previsti dalle regole tecniche di cui all'articolo
8, comma 2.
3. La revoca o la sospensione del certificato qualificato,
qualunque ne sia la causa, ha effetto dal momento della pubblicazione
della lista che lo contiene. Il momento della pubblicazione deve
essere attestato mediante adeguato riferimento temporale.
4. Le modalita' di revoca o sospensione sono previste nelle regole
tecniche di cui all'articolo 8, comma 2.
Art. 29-octies (R) (Cessazione dell'attivita). - 1. Il
certificatore qualificato o accreditato che intende cessare
l'attivita' deve, almeno sessanta giorni prima della data di
cessazione, darne avviso al Dipartimento per l'innovazione e le
tecnologie, informando senza indugio i titolari dei certificati da
lui emessi specificando che tutti i certificati non scaduti al
momento della cessazione saranno revocati.
2. Il certificatore di cui al comma 1 comunica contestualmente la
rilevazione della documentazione da parte di altro certificatore o
l'annullamento della stessa. L'indicazione di un certificatore
sostitutivo non impone la revoca di tutti i certificati non scaduti
al momento della cessazione.
3. Il certificatore di cui al comma 1 deve indicare altro
depositario del registro dei certificati e della relativa
documentazione.
4. Il Dipartimento rende nota la data di cessazione dell'attivita'
del certificatore accreditato tramite l'elenco di cui all'articolo
28, comma 6.».
Note all'art. 15:
- Per quanto concerne il testo dell'art. 8, comma 2,
del decreto del Presidente della Repubblica 28 dicembre
2000, n. 445 (testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa),
si vedano le note riportate all'art. 2.
- Il testo dell'art. 15, comma 2, della legge
31 dicembre 1996, n. 675 (Tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali)
pubblicata nella Gazzetta Ufficiale dell'8 gennaio 1997, n.
5, S.O., e' il seguente:
«2. Le misure minime di sicurezza da adottare in via
preventiva sono individuate con regolamento emanato con
decreto del Presidente della Repubblica, ai sensi dell'art.
17, comma 1, lettera a), della legge 23 agosto 1988, n.
400, entro centottanta giorni dalla data di entrata in
vigore della presente legge, su proposta del Ministro di
grazia e giustizia, sentiti l'Autorita' per l'informatica
nella pubblica amministrazione e il Garante.».
- Per quanto concerne il testo dell'art. 10, comma 1,
del decreto legislativo 23 gennaio 2002, n. 10 (Attuazione
della direttiva 1999/93/CE relativa ad un quadro
comunitario per le firme elettroniche), si vedano le note
riportate all'art. 11.