                               Art. 11 
 
 
          Dispositivi sicuri e procedure per la generazione 
     delle firme elettroniche qualificate e delle firme digitali 
 
  1. La generazione delle  firme  elettroniche  qualificate  e  delle
firme digitali avviene all'interno di un dispositivo  sicuro  per  la
generazione delle firme,  in  maniera  tale  che  non  sia  possibile
l'intercettazione della chiave privata utilizzata. 
  2. Il dispositivo sicuro per la generazione della firma elettronica
qualificata  o  della  firma  digitale  deve  poter  essere  attivato
esclusivamente  dal  titolare  mediante  sistemi  di   autenticazione
ritenuti adeguati, secondo  le  rispettive  competenze,  dall'OCSI  e
dall'Agenzia, prima di procedere alla generazione della firma. 
  3. L'Agenzia, nell'ambito dell'attivita' di cui agli articoli 29  e
31 del  Codice,  valuta  l'adeguatezza  tecnologica  dei  sistemi  di
autenticazione per quanto concerne l'interazione fra il titolare e il
dispositivo sicuro per la generazione della firma, tenuto  conto  del
traguardo di sicurezza di cui al DPCM 30 ottobre 2003 e del  contesto
di utilizzo. 
  4. La personalizzazione del dispositivo sicuro per  la  generazione
della firma elettronica qualificata o della firma digitale garantisce
almeno: 
  a)   l'acquisizione   da   parte   del   certificatore   dei   dati
identificativi del dispositivo sicuro per la generazione della  firma
elettronica qualificata o della firma digitale utilizzato e  la  loro
associazione al titolare; 
  b) la registrazione nel dispositivo sicuro per la generazione della
firma elettronica qualificata o della firma digitale del  certificato
qualificato, relativo alle chiavi di sottoscrizione del titolare. 
  5. La personalizzazione del dispositivo sicuro per  la  generazione
delle firme elettroniche qualificate o digitali puo'  prevedere,  per
l'utilizzo  nelle  procedure  di   firma,   la   registrazione,   nel
dispositivo  medesimo,  del  certificato  elettronico  relativo  alla
chiave pubblica del certificatore la cui  corrispondente  privata  e'
stata  utilizzata  per  sottoscrivere  il   certificato   qualificato
relativo alle chiavi di sottoscrizione del titolare. 
  6. La personalizzazione del dispositivo sicuro per  la  generazione
delle firme elettroniche qualificate o  digitali  e'  registrata  nel
giornale di controllo di cui all'art. 36. 
  7. Il certificatore adotta, nel processo di  personalizzazione  del
dispositivo  sicuro  per  la  generazione  delle  firme  elettroniche
qualificate e digitali, procedure atte ad  identificare  il  titolare
del dispositivo medesimo e dei certificati in esso contenuti. 
  8.  I  certificatori   che   rilasciano   certificati   qualificati
forniscono almeno un sistema che consenta la generazione delle  firme
elettroniche qualificate e digitali.