                               Art. 27 
 
Misure per la semplificazione e la diffusione della firma elettronica
  avanzata e dell'identita' digitale per l'accesso ai servizi bancari 
 
  1. Ferma restando  l'applicazione  delle  regole  tecniche  di  cui
all'articolo 20, comma 3, del decreto legislativo 7  marzo  2005,  n.
82, per il rilascio della firma elettronica  avanzata,  nel  rispetto
della  disciplina  europea,   si   puo'   procedere   alla   verifica
dell'identita' dell'utente anche tramite uno dei seguenti processi: 
    a) processi di identificazione elettronica  e  di  autenticazione
informatica basati su credenziali che assicurano i requisiti previsti
dall'articolo  4  del  Regolamento  Delegato  (UE)   2018/389   della
Commissione del 27 novembre 2017 gia' attribuite,  dal  soggetto  che
eroga la firma elettronica avanzata, al medesimo utente  identificato
ai sensi dell'articolo 19 del decreto legislativo 21  novembre  2007,
n. 231; 
    b) processi di identificazione elettronica  e  di  autenticazione
informatica, a due fattori, basati  su  credenziali  gia'  rilasciate
all'utente  nell'ambito  del  Sistema  Pubblico   per   la   gestione
dell'Identita' Digitale di cittadini e imprese di cui all'articolo 64
del decreto legislativo 7 marzo 2005, n. 82; 
    c) processi di identificazione elettronica  e  di  autenticazione
informatica,   basati    su    credenziali    di    livello    almeno
«significativo»,nell'ambito   di   un   regime   di   identificazione
elettronica  notificato,  oggetto  di  notifica  conclusa  con  esito
positivo, ai sensi dell'articolo 9 del regolamento (UE)  n.  910/2014
di livello almeno «significativo». 
  2. I soggetti che erogano soluzioni di firma  elettronica  avanzata
conservano  per  almeno  venti  anni  le  evidenze  informatiche  del
processo di autenticazione in base al quale e'  stata  attribuita  la
firma elettronica avanzata. 
  3. Al decreto legislativo 21 novembre 2007, n. 231, sono  apportate
le seguenti modificazioni: 
    a) all'articolo 1, comma 2, lettera n), le parole«gli estremi del
documento di identificazione»sono soppresse; 
    b) all'articolo 18, comma1,  lalettera  a)  e'  sostituita  dalla
seguente: «a) l'identificazione del  cliente  ela  verificadella  sua
identitasulla base di documenti, dati o informazioni ottenuti da  una
fonte affidabile e indipendente. Le medesime misure  si  attuano  nei
confronti  dell'esecutore,   anche   in   relazione   alla   verifica
dell'esistenza e dell'ampiezza del potere di rappresentanza in  forza
del quale opera in nome e per conto del cliente;»; 
    c) all'articolo 19, comma 1: 
      1) alla lettera a), il numero 2) e'  sostituito  dal  seguente:
«2) per i clienti in possesso di un'identita' digitale,  con  livello
di garanzia almeno significativo,  nell'ambito  del  Sistema  di  cui
all'articolo 64 del predetto decreto legislativo n. 82  del  2005,  e
della relativa normativa  regolamentare  di  attuazione,  nonche'  di
un'identita' digitale con livello di garanzia  almeno  significativo,
rilasciata nell'ambito di un regime  di  identificazione  elettronica
compreso nell'elenco pubblicato dalla  Commissione  europea  a  norma
dell'articolo 9 del regolamento UE n. 910/2014, o di  un  certificato
per la  generazione  di  firma  elettronica  qualificata  o,  infine,
identificati per mezzo di procedure  di  identificazione  elettronica
sicure e regolamentate ovvero autorizzate o riconosciute dall'Agenzia
per l'Italia digitale;»; 
      2) allalettera a),dopo  ilnumero4)  e'  inserito  il  seguente:
«4-bis) per i clienti che, previa identificazione elettronica  basata
su credenziali che assicurano i requisiti  previsti  dall'articolo  4
del regolamento delegato  (UE)  2018/389  della  Commissione  del  27
novembre 2017, dispongono un bonifico verso  un  conto  di  pagamento
intestato al soggetto tenuto  all'obbligo  di  identificazione.  Tale
modalita' di identificazione e verifica  dell'identita'  puo'  essere
utilizzata solo con  riferimento  a  rapporti  relativi  a  carte  di
pagamento e dispositivi analoghi, nonche' a  strumenti  di  pagamento
basati   su   dispositivi   di    telecomunicazione,    digitali    o
informatici,con esclusione dei casi in cui tali carte, dispositivi  o
strumenti sono utilizzabili per generare l'informazione necessaria  a
effettuare direttamente un bonifico o un addebito diretto verso e  da
un conto di pagamento;»; 
      3) alla lettera b) prima della parola «laddove» e' inserita  la
seguente: «solo». 
  ((3-bis. All'articolo 1, comma  2,  del  decreto-legge  24  gennaio
2015, n. 3, convertito, con modificazioni, dalla legge 24 marzo 2015,
n. 33, la parola: «2020» e' sostituita dalla seguente: «2021».))