                             Art. 28 (R)
              Obblighi dell'utente e del certificatore

  1.  Chiunque intenda utilizzare un sistema di chiavi asimmetriche o
della   firma  digitale,  e'  tenuto  ad  adottare  tutte  le  misure
organizzative e tecniche idonee ad evitare danno ad altri.
  2. Il certificatore e' tenuto a:
    a)  identificare  con  certezza la persona che fa richiesta della
certificazione;
    b)  rilasciare  e  rendere  pubblico  il  certificato  avente  le
caratteristiche  fissate  con il decreto di cui all'articolo 8, comma
2;
    c)  specificare, su richiesta dell'istante, e con il consenso del
terzo  interessato,  la sussistenza dei poteri di rappresentanza o di
altri   titoli  relativi  all'attivita'  professionale  o  a  cariche
rivestite;
    d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
    e) informare richiedenti, in modo compiuto e chiaro, sulla
procedura  di  certificazione  e  sui necessari requisiti tecnici per
accedervi;
    f)  attenersi  alle misure minime di sicurezza per il trattamento
dei  dati personali, emanate ai sensi dell'articolo 15, comma 2 della
legge 31 dicembre 1996, n. 675;
    g) non rendersi depositario di chiavi private;
    h)  procedere tempestivamente alla revoca od alla sospensione del
certificato  in  caso  di richiesta da parte del titolare o del terzo
dal  quale derivino i poteri di quest'ultimo, di perdita del possesso
della  chiave, di provvedimento dell'autorita', di acquisizione della
conoscenza  di  cause  limitative  della  capacita'  del titolare, di
sospetti abusi o falsificazioni;
    i)  dare immediata pubblicazione della revoca e della sospensione
della coppia di chiavi asimmetriche;
    l)  dare  immediata comunicazione all'Autorita' per l'informatica
nella  pubblica  amministrazione  ed agli utenti, con un preavviso di
almeno  sei mesi, della cessazione dell'attivita' e della conseguente
rilevazione  della  documentazione  da parte di altro certificatore o
del suo annullamento.

          Note all'art. 28:

             -  Si  trascrive il testo vigente dell'art. 15, comma 2,
          della  legge 31 dicembre 1996, n. 675 (per l'argomento vedi
          nelle note all'art. 16):
             "2.  Le  misure  minime  di sicurezza da adottare in via
          preventiva  sono  individuate  con  regolamento emanato con
          decreto  del Presidente deva Repubblica, ai sensi dell'art.
          17, comma 1, lettera a), della legge 23 agosto 1988, n. 400
          entro  centottanta  giorni  dalla data di entrata in vigore
          della  presente legge, su proposta del Ministro di grazia e
          giustizia,  sentiti  l'Autorita'  per  l'informatica  nella
          pubblica amministrazione e il Garante".