Art. 22
Modifiche all'articolo 32 del decreto legislativo
7 marzo 2005, n. 82
1. All'articolo 32, comma 3, del decreto legislativo 7 marzo 2005,
n. 82, sono apportate le seguenti modificazioni:
a) la lettera f) e' soppressa;
b) dopo la lettera m), e' inserita la seguente:
«m-bis) garantire il corretto funzionamento e la continuita' del
sistema e comunicare immediatamente a DigitPA e agli utenti eventuali
malfunzionamenti che determinano disservizio, sospensione o
interruzione del servizio stesso.».
2. Dopo l'articolo 32 del decreto legislativo 7 marzo 2005, n. 82,
e' inserito il seguente:
«Art. 32-bis (Sanzioni per i certificatori qualificati e per i
gestori di posta elettronica certificata). - 1. Qualora si verifichi,
salvi i casi di forza maggiore o caso fortuito, un malfunzionamento
nel sistema che determini un disservizio, ovvero la mancata o
intempestiva comunicazione dello stesso disservizio a DigitPA o agli
utenti, ai sensi dell'articolo 32, comma 3, lettera m-bis), DigitPA
diffida il certificatore qualificato o il gestore di posta
elettronica certificata a ripristinare la regolarita' del servizio o
ad effettuare le comunicazioni ivi previste. Se il disservizio ovvero
la mancata o intempestiva comunicazione sono reiterati per due volte
nel corso di un biennio, successivamente alla seconda diffida si
applica la sanzione della cancellazione dall'elenco pubblico.
2. Qualora si verifichi, fatti salvi i casi di forza maggiore o di
caso fortuito, un malfunzionamento nel sistema che determini
l'interruzione del servizio, ovvero la mancata o intempestiva
comunicazione dello stesso disservizio a DigitPA o agli utenti, ai
sensi dell'articolo 32, comma 3, lettera m-bis), DigitPA diffida il
certificatore qualificato o il gestore di posta elettronica
certificata a ripristinare la regolarita' del servizio o ad
effettuare le comunicazioni ivi previste. Se l'interruzione del
servizio ovvero la mancata o intempestiva comunicazione sono
reiterati nel corso di un biennio, successivamente alla prima diffida
si applica la sanzione della cancellazione dall'elenco pubblico.
3. Nei casi di cui ai commi 1 e 2 puo' essere applicata la sanzione
amministrativa accessoria della pubblicazione dei provvedimenti di
diffida o di cancellazione secondo la legislazione vigente in materia
di pubblicita' legale.
4. Qualora un certificatore qualificato o un gestore di posta
elettronica certificata non ottemperi, nei tempi previsti, a quanto
prescritto da DigitPA nell'esercizio delle attivita' di vigilanza di
cui all'articolo 31 si applica la disposizione di cui al comma 2.».
Note all'art. 22:
- Si riporta il testo dell'art. 32 del decreto
legislativo 7 marzo 2005, n. 82, cosi' come modificato dal
presente decreto:
«Art. 32 (Obblighi del titolare e del certificatore). -
1. Il titolare del certificato di firma e' tenuto ad
assicurare la custodia del dispositivo di forma e ad
adottare tutte le misure organizzative e tecniche idonee ad
evitare danno ad altri; e' altresi' tenuto ad utilizzare
personalmente il dispositivo di firma.
2. Il certificatore e' tenuto ad adottare tutte le
misure organizzative e tecniche idonee ad evitare danno a
terzi.
3. Il certificatore che rilascia, ai sensi dell'art.
19, certificati qualificati deve inoltre:
a) provvedere con certezza alla identificazione della
persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato
elettronico nei modi o nei casi stabiliti dalle regole
tecniche di cui all'art. 71, nel rispetto del decreto
legislativo 30 giugno 2003, n. 196, e successive
modificazioni;
c) specificare, nel certificato qualificato su
richiesta dell'istante, e con il consenso del terzo
interessato, i poteri di rappresentanza o altri titoli
relativi all'attivita' professionale o a cariche rivestite,
previa verifica della documentazione presentata dal
richiedente che attesta la sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'art. 71;
e) informare i richiedenti in modo compiuto e chiaro,
sulla procedura di certificazione e sui necessari requisiti
tecnici per accedervi e sulle caratteristiche e sulle
limitazioni d'uso delle firme emesse sulla base del
servizio di certificazione;
f) (soppressa);
g) procedere alla tempestiva pubblicazione della
revoca e della sospensione del certificato elettronico in
caso di richiesta da parte del titolare o del terzo dal
quale derivino i poteri del titolare medesimo, di perdita
del possesso o della compromissione del dispositivo di
firma, di provvedimento dell'autorita', di acquisizione
della conoscenza di cause limitative della capacita' del
titolare, di sospetti abusi o falsificazioni, secondo
quanto previsto dalle regole tecniche di cui all'art. 71;
h) garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo nonche'
garantire il funzionamento efficiente, puntuale e sicuro
degli elenchi dei certificati di firma emessi, sospesi e
revocati;
i) assicurare la precisa determinazione della data e
dell'ora di rilascio, di revoca e di sospensione dei
certificati elettronici;
j) tenere registrazione, anche elettronica, di tutte
le informazioni relative al certificato qualificato dal
momento della sua emissione almeno per venti anni anche al
fine di fornire prova della certificazione in eventuali
procedimenti giudiziari;
k) non copiare, ne' conservare, le chiavi private di
firma del soggetto cui il certificatore ha fornito il
servizio di certificazione;
l) predisporre su mezzi di comunicazione durevoli
tutte le informazioni utili ai soggetti che richiedono il
servizio di certificazione, tra cui in particolare gli
esatti termini e condizioni relative all'uso del
certificato, compresa ogni limitazione dell'uso,
l'esistenza di un sistema di accreditamento facoltativo e
le procedure di reclamo e di risoluzione delle
controversie; dette informazioni, che possono essere
trasmesse elettronicamente, devono essere scritte in
linguaggio chiaro ed essere fornite prima dell'accordo tra
il richiedente il servizio ed il certificatore;
m) utilizzare sistemi affidabili per la gestione del
registro dei certificati con modalita' tali da garantire
che soltanto le persone autorizzate possano effettuare
inserimenti e modifiche, che l'autenticita' delle
informazioni sia verificabile, che i certificati siano
accessibili alla consultazione del pubblico soltanto nei
casi consentiti dal titolare del certificato e che
l'operatore possa rendersi conto di qualsiasi evento che
comprometta i requisiti di sicurezza. Su richiesta,
elementi pertinenti delle informazioni possono essere resi
accessibili a terzi che facciano affidamento sul
certificato;
m-bis) garantire il corretto funzionamento e la
continuita' del sistema e comunicare immediatamente a
DigitPA e agli utenti eventuali malfunzionamenti che
determinano disservizio, sospensione o interruzione del
servizio stesso.
4. Il certificatore e' responsabile
dell'identificazione del soggetto che richiede il
certificato qualificato di firma anche se tale attivita' e'
delegata a terzi.
5. Il certificatore raccoglie i dati personali solo
direttamente dalla persona cui si riferiscono o previo suo
esplicito consenso, e soltanto nella misura necessaria al
rilascio e al mantenimento del certificato, fornendo
l'informativa prevista dall'art. 13 del decreto legislativo
30 giugno 2003, n. 196. I dati non possono essere raccolti
o elaborati per fini diversi senza l'espresso consenso
della persona cui si riferiscono.».