Art. 11
Dispositivi sicuri e procedure per la generazione
della firma
1. I dispositivi sicuri e le procedure utilizzate per la
generazione delle firme devono presentare requisiti di sicurezza tali
da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta
da contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso
da parte di terzi.
2. I documenti informatici di cui all'art. 2 devono essere
presentati al titolare, prima dell'apposizione della firma,
chiaramente e senza ambiguita', e si deve richiedere conferma della
volonta' di generare la firma secondo quanto previsto nel
Disciplinare Tecnico di cui all'art. 33.
3. Il comma 2 non si applica alle firme apposte con procedura
automatica. La firma con procedura automatica e' valida se apposta
previo consenso del titolare all'adozione della procedura medesima.
Il titolare che appone la sua firma mediante una procedura automatica
deve utilizzare un certificato diverso da tutti gli altri in suo
possesso.
4. La generazione della firma avviene all'interno di un dispositivo
sicuro per la generazione delle firme ovvero su un sistema
informatico che realizza un dispositivo sicuro per la generazione
delle firme secondo le modalita' stabilite dal Disciplinare Tecnico
di cui all'art. 33, cosi' che non sia possibile l'intercettazione
della chiave privata utilizzata.
5. Il dispositivo sicuro per la generazione delle firme deve poter
essere attivato esclusivamente dal titolare mediante codici personali
prima di procedere alla generazione della firma.
6. La personalizzazione del dispositivo sicuro di firma garantisce:
a) l'acquisizione da parte della CA dei dati identificativi del
dispositivo sicuro utilizzato e della loro associazione al titolare;
b) la registrazione nel dispositivo sicuro del certificato
relativo alle chiavi di sottoscrizione del titolare.
7. Nel dispositivo sicuro di firma e' ammessa la memorizzazione di
altri certificati oltre quello di firma digitale e altri oggetti atti
ad assicurare ulteriori funzionalita' di sicurezza, secondo le
modalita' riportate nel Disciplinare Tecnico di cui all'art. 33.
8. La personalizzazione del dispositivo sicuro per la generazione
delle firme puo' prevedere, per l'utilizzo nelle procedure di firma,
la registrazione nel medesimo dispositivo del certificato elettronico
relativo alla chiave pubblica della CA, la cui corrispondente privata
e' stata utilizzata per sottoscrivere il certificato relativo alle
chiavi di sottoscrizione del titolare.
9. La personalizzazione del dispositivo sicuro per la generazione
delle firme e' registrata nel giornale di controllo di cui all'art.
26.
10. La CA di cui all'art. 15, avvalendosi delle LRA di cui all'art.
16, adotta, nel processo di personalizzazione del dispositivo sicuro
per la generazione delle firme, procedure atte ad identificare il
titolare di un dispositivo sicuro per la generazione delle firme e
dei certificati in esso contenuti.
11. Le modalita' di personalizzazione del dispositivo sicuro per la
generazione delle firme sono indicate nel Manuale Operativo di cui
all'art. 32.
12. La procedura di firma deve generare, come risultato, un file il
cui formato rientri tra quelli elencati nel Disciplinare Tecnico di
cui all'art. 33.
13. Le modalita' per l'apposizione di firme multiple sono indicate
nel Disciplinare Tecnico di cui all'art. 33.