|
Decreto legislativo 23 gennaio 2002, n. 10
Attuazione della direttiva 1999/93/CE relativa ad un quadro
comunitario per le firme elettroniche
(G.U. n. 39 del 15 febbraio 2002)
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Vista la direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13
dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche;
Vista la legge 29 dicembre 2000, n. 422, recante disposizioni per l'adempimento
di obblighi derivanti dall'appartenenza dell'Italia alla Comunità europea -
legge comunitaria 2000, che ha delegato il Governo a recepire la citata
direttiva 1999/93/CE, ricompresa nell'elenco di cui all'allegato A della legge
stessa;
Visto l'articolo 15, comma 2, della legge 15 marzo 1997, n. 59, recante delega
al Governo per il conferimento di funzioni e compiti alle regioni ed enti
locali, per la riforma della pubblica amministrazione e per la semplificazione
amministrativa;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445,
recante testo unico delle disposizioni legislative e regolamentari in materia di
documentazione amministrativa;
Visto l'articolo 7, comma 6, della legge 8 marzo 1999, n. 50, recante
delegificazione e testi unici concernenti procedimenti amministrativi - legge di
semplificazione 1998;
Visto il decreto legislativo 12 febbraio 1993, n. 39, recante norme in materia
di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma
dell'articolo 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421;
Vista la legge 31 dicembre 1996, n. 675, recante tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali;
Visto l'articolo 146 del decreto legislativo 1° settembre 1993, n. 385, recante
testo unico delle leggi in materia bancaria e creditizia;
Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attività di
Governo e ordinamento della Presidenza del Consiglio dei Ministri;
Visto il decreto del Presidente del Consiglio dei Ministri in data 9 agosto
2001, pubblicato nella Gazzetta Ufficiale n. 198 del 27 agosto 2001 recante
delega di funzioni del Presidente del Consiglio dei Ministri in materia di
innovazione e tecnologie al Ministro senza portafoglio dott. Lucio Stanca;
Visto il decreto del Presidente del Consiglio dei Ministri del 27 settembre
2001, pubblicato nella Gazzetta Ufficiale n. 242 del 17 ottobre 2001 recante
istituzione del Dipartimento per l'innovazione e le tecnologie;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del
21 dicembre 2001;
Sulla proposta del Ministro per le politiche comunitarie e del Ministro per
l'innovazione e le tecnologie, di concerto con i Ministri per la funzione
pubblica, della giustizia, dell'economia e delle finanze, dell'interno, delle
attività produttive e delle comunicazioni;
Emana
il seguente decreto legislativo:
Art. 1
1. Il presente decreto reca le disposizioni legislative per il recepimento
della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13
dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche.
Art. 2
1. Ai fini del presente decreto si intende per:
a) "firma elettronica" l'insieme dei dati in forma elettronica,
allegati oppure connessi tramite associazione logica ad altri dati elettronici,
utilizzati come metodo di autenticazione informatica;
b) "certificatori" coloro che prestano servizi di certificazione delle
firme elettroniche o che forniscono altri servizi connessi alle firme
elettroniche;
c) "certificatori accreditati" i certificatori accreditati in Italia
ovvero in altri Stati membri dell'Unione europea, ai sensi dell'articolo 3,
paragrafo 2, della direttiva 1999/93/CE;
d) "certificati elettronici" gli attestati elettronici che collegano i
dati utilizzati per verificare le firme elettroniche ai titolari e confermano
l'identità dei titolari stessi;
e) "certificati qualificati" i certificati elettronici conformi ai
requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da
certificatori che rispondono ai requisiti fissati dall'allegato II della
medesima direttiva;
f) "dispositivo per la creazione di una firma sicura" l'apparato
strumentale, usato per la creazione di una firma elettronica, rispondente ai
requisiti di cui all'articolo 10;
g) "firma elettronica avanzata" la firma elettronica ottenuta
attraverso una procedura informatica che garantisce la connessione univoca al
firmatario e la sua univoca identificazione, creata con mezzi sui quali il
firmatario può conservare un controllo esclusivo e collegata ai dati ai quali
si riferisce in modo da consentire di rilevare se i dati stessi siano stati
successivamente modificati;
h) "accreditamento facoltativo" il riconoscimento del possesso, da
parte del certificatore che lo richieda, dei requisiti del livello più elevato,
in termini di qualità e di sicurezza.
Art. 3
1. L'attività dei certificatori stabiliti in Italia o in un altro Stato
membro dell'Unione europea è libera e non necessita di autorizzazione
preventiva.
2. La Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione
e le tecnologie, di seguito denominato: "Dipartimento", svolge
funzioni di vigilanza e controllo nel settore, anche avvalendosi dell'Autorità
per l'informatica nella pubblica amministrazione e di altre strutture pubbliche
individuate con decreto del Presidente del Consiglio dei Ministri, o, per sua
delega, del Ministro per l'innovazione e le tecnologie, di concerto con i
Ministri interessati.
Art. 4
1. I certificatori stabiliti in Italia che intendono rilasciare al pubblico
certificati qualificati devono darne avviso, anche in via telematica, prima
dell'inizio dell'attività, al Dipartimento.
2. I controlli volti ad accertare se il certificatore che emette al pubblico
certificati qualificati soddisfa i requisiti tecnici ed organizzativi previsti
dal regolamento di cui all'articolo 13 sono demandati al Dipartimento, che
all'uopo può avvalersi degli organismi indicati nell'articolo 3, comma 2.
3. I controlli di cui al comma 2 sono effettuati d'ufficio ovvero su
segnalazione motivata di soggetti pubblici o privati.
Art. 5
1. I certificatori che intendono conseguire dal Dipartimento il
riconoscimento del possesso dei requisiti del livello più elevato, in termini
di qualità e di sicurezza, possono chiedere di essere accreditati.
2. Il richiedente deve essere dotato di ulteriori requisiti, sul piano
tecnico, nonché in ordine alla solidità finanziaria ed alla onorabilità,
rispetto a quelli richiesti per gli altri certificatori ai sensi del regolamento
di cui all'articolo 13.
3. Il Dipartimento, per il vaglio delle domande presentate ai sensi del comma
1, può avvalersi degli organismi indicati nell'articolo 3, comma 2.
4. Quando accoglie la domanda, il Dipartimento dispone l'iscrizione del
richiedente in un apposito elenco pubblico, consultabile anche in via
telematica, tenuto dal Dipartimento stesso.
Art. 6
1. L'articolo 10 del testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa, approvato con decreto
del Presidente della Repubblica 28 dicembre 2000, n. 445, è sostituito dal
seguente:
"Art. 10 (L). (Forma ed efficacia del documento informatico). -
1. Il documento informatico ha l'efficacia probatoria prevista dall'articolo
2712 del codice civile, riguardo ai fatti ed alle cose rappresentate.
2. Il documento informatico, sottoscritto con firma elettronica, soddisfa il
requisito legale della forma scritta. Sul piano probatorio il documento stesso
è liberamente valutabile, tenuto conto delle sue caratteristiche oggettive di
qualità e sicurezza. Esso inoltre soddisfa l'obbligo previsto dagli articoli
2214 e seguenti del codice civile e da ogni altra analoga disposizione
legislativa o regolamentare.
3. Il documento informatico, quando è sottoscritto con firma digitale o con un
altro tipo di firma elettronica avanzata, e la firma è basata su di un
certificato qualificato ed è generata mediante un dispositivo per la creazione
di una firma sicura, fa inoltre piena prova, fino a querela di falso, della
provenienza delle dichiarazioni da chi l'ha sottoscritto.
4. Al documento informatico, sottoscritto con firma elettronica, in ogni caso
non può essere negata rilevanza giuridica né ammissibilità come mezzo di
prova unicamente a causa del fatto che è sottoscritto in forma elettronica
ovvero in quanto la firma non è basata su di un certificato qualificato oppure
non è basata su di un certificato qualificato rilasciato da un certificatore
accreditato o, infine, perché la firma non è stata apposta avvalendosi di un
dispositivo per la creazione di una firma sicura.
5. Le disposizioni del presente articolo si applicano anche se la firma
elettronica è basata su di un certificato qualificato rilasciato da un
certificatore stabilito in uno Stato non facente parte dell'Unione europea,
quando ricorre una delle seguenti condizioni:
a) il certificatore possiede i requisiti di cui alla direttiva 1999/93/CE del
Parlamento europeo e del Consiglio, del 13 dicembre 1999, ed è accreditato in
uno Stato membro;
b) il certificato qualificato è garantito da un certificatore stabilito nella
Comunità europea, in possesso dei requisiti di cui alla medesima direttiva;
c) il certificato qualificato, o il certificatore, è riconosciuto in forza di
un accordo bilaterale o multilaterale tra la Comunità e Paesi terzi o
organizzazioni internazionali.
6. Gli obblighi fiscali relativi ai documenti informatici ed alla loro
riproduzione su diversi tipi di supporto sono assolti secondo le modalità
definite con decreto del Ministro dell'economia e delle finanze.".
Art. 7
1. Dopo l'articolo 28 del testo unico emanato con il decreto del Presidente
della Repubblica n. 445 del 2000 è aggiunto il seguente:
"Art. 28-bis (L). (Responsabilità del certificatore). -
1. Il certificatore che rilascia al pubblico un certificato qualificato o che
garantisce al pubblico l'affidabilità del certificato è responsabile, se non
prova d'aver agito senza colpa, del danno cagionato a chi abbia fatto
ragionevole affidamento:
a) sull'esattezza delle informazioni in esso contenute alla data del rilascio e
sulla loro completezza rispetto ai requisiti fissati per i certificati
qualificati;
b) sulla garanzia che al momento del rilascio del certificato il firmatario
detenesse i dati per la creazione della firma corrispondenti ai dati per la
verifica della firma riportati o identificati nel certificato;
c) sulla garanzia che i dati per la creazione e per la verifica della firma
possano essere usati in modo complementare, nei casi in cui il certificatore
generi entrambi.
2. Il certificatore che rilascia al pubblico un certificato qualificato è
responsabile, nei confronti dei terzi che facciano ragionevole affidamento sul
certificato stesso, dei danni provocati per effetto della mancata registrazione
della revoca o sospensione del certificato, salvo che provi d'aver agito senza
colpa.
3. Il certificatore può indicare, in un certificato qualificato, i limiti d'uso
di detto certificato ovvero un valore limite per i negozi per i quali può
essere usato il certificato stesso, purché i limiti d'uso o il valore limite
siano riconoscibili da parte dei terzi. Il certificatore non è responsabile dei
danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti
dallo stesso o derivanti dal superamento del valore limite.".
Art. 8
1. All'articolo 36 del testo unico emanato con il decreto del Presidente
della Repubblica n. 445 del 2000 il comma 1 è sostituito dal seguente:
"1. Le caratteristiche e le modalità per il rilascio della carta
d'identità elettronica, del documento d'identità elettronico e della carta
nazionale dei servizi sono definite con decreto del Presidente del Consiglio dei
Ministri, adottato su proposta del Ministro dell'interno, di concerto con il
Ministro per la funzione pubblica, con il Ministro per l'innovazione e le
tecnologie e con il Ministro dell'economia e delle finanze, sentito il Garante
per la protezione dei dati personali.".
2. All'articolo 36 del testo unico emanato con il decreto del Presidente
della Repubblica n. 445 del 2000, al comma 3 la lettera e) è sostituita dalla
seguente:
"e) le procedure informatiche e le informazioni che possono o debbono
essere conosciute dalla pubblica amministrazione e da altri soggetti, occorrenti
per la firma elettronica.".
3. All'articolo 36 del testo unico emanato con il decreto del Presidente
della Repubblica n. 445 del 2000 i commi 4 e 5 sono sostituiti dai seguenti:
"4. La carta d'identità elettronica e la carta nazionale dei servizi
possono essere utilizzate ai fini dei pagamenti tra soggetti privati e pubbliche
amministrazioni, secondo le modalità stabilite con decreto del Presidente del
Consiglio dei Ministri o, per sua delega, del Ministro per l'innovazione e le
tecnologie, di concerto con il Ministro dell'economia e delle finanze, sentita
la Banca d'Italia.
5. Con decreto del Ministro dell'interno, del Ministro per l'innovazione e le
tecnologie e del Ministro dell'economia e delle finanze, sentiti il Garante per
la protezione dei dati personali e la Conferenza Stato-città ed autonomie
locali, sono dettate le regole tecniche e di sicurezza relative alle tecnologie
e ai materiali utilizzati per la produzione della carta di identità
elettronica, del documento di identità elettronico e della carta nazionale dei
servizi.".
Art. 9
1. All'articolo 38 del testo unico emanato con il decreto del Presidente
della Repubblica n. 445 del 2000, il comma 2 è sostituito dal seguente:
"2. Le istanze e le dichiarazioni inviate per via telematica sono valide:
a) se sottoscritte mediante la firma digitale, basata su di un certificato
qualificato, rilasciato da un certificatore accreditato, e generata mediante un
dispositivo per la creazione di una firma sicura;
b) ovvero quando l'autore è identificato dal sistema informatico con l'uso
della carta d'identità elettronica o della carta nazionale dei servizi
(L).".
Art. 10
1. La conformità dei dispositivi per la creazione di una firma sicura ai
requisiti prescritti dall'allegato III della direttiva 1999/93/CE è accertata,
in Italia, in base allo schema nazionale per la valutazione e certificazione di
sicurezza nel settore della tecnologia dell'informazione, fissato con decreto
del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per
l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni,
delle attività produttive e dell'economia e delle finanze. Lo schema nazionale
non reca oneri aggiuntivi per il bilancio dello Stato ed individua l'organismo
pubblico incaricato di accreditare i centri di valutazione e di certificare le
valutazioni di sicurezza. Lo schema nazionale può prevedere altresì la
valutazione e la certificazione relativamente ad ulteriori criteri europei ed
internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore
suddetto.
2. Il decreto di cui al comma 1 fissa la data sino alla quale per
l'accertamento di cui al comma stesso si procede in base al regime transitorio
previsto dall'articolo 63 delle regole tecniche per la formazione, la
trasmissione, la conservazione, la duplicazione, la riproduzione e la
validazione, anche temporale, dei documenti informatici stabilite, ai sensi
dell'articolo 3, comma 1, del decreto del Presidente della Repubblica 10
novembre 1997, n. 513, dal decreto del Presidente del Consiglio dei Ministri 8
febbraio 1999, pubblicato nella Gazzetta Ufficiale n. 87 del 15 aprile 1999, e
prorogato, da ultimo, con il decreto del Presidente del Consiglio dei Ministri 3
ottobre 2001, pubblicato nella Gazzetta Ufficiale n. 233 del 6 ottobre 2001.
3. La conformità dei dispositivi per la creazione di una firma sicura ai
requisiti prescritti dall'allegato III della direttiva 1999/93/CE è inoltre
riconosciuta se certificata da un organismo all'uopo designato da un altro Stato
membro e notificato ai sensi dell'articolo 11, paragrafo 1, lettera b), della
direttiva stessa.
Art. 11
1. I documenti sottoscritti con firma digitale basata su certificati
rilasciati da certificatori iscritti nell'elenco pubblico tenuto dall'Autorità
per l'informatica nella pubblica amministrazione ai sensi dell'articolo 27,
comma 3, del testo unico approvato con il decreto del Presidente della
Repubblica n. 445 del 2000, producono gli effetti previsti dagli articoli 6,
capoversi 1°, 2° e 3°, e 9 del presente decreto.
2. I certificatori che, alla data di entrata in vigore del regolamento di cui
all'articolo 13, risultano iscritti nell'elenco pubblico previsto dall'articolo
27, comma 3, del testo unico approvato con il decreto del Presidente della
Repubblica n. 445 del 2000, sono iscritti d'ufficio nell'elenco pubblico
previsto dall'articolo 5 del presente decreto, ed hanno facoltà di proseguire
l'attività già svolta o di iniziarne l'esercizio, se non precedentemente
avviato, con gli effetti di cui al comma 1 del presente articolo.
3. Sino alla data di entrata in vigore del regolamento di cui all'articolo
13, i certificatori di cui all'articolo 4 sono tenuti all'osservanza delle
disposizioni dell'articolo 28, comma 2, lettere a), c), e), f), g), h) ed i),
del testo unico approvato con il decreto del Presidente della Repubblica n. 445
del 2000. In caso di cessazione dell'attività, devono darne preventivo avviso
al Dipartimento, comunicando contestualmente la conseguente rilevazione della
documentazione da parte di altro certificatore o l'annullamento della stessa.
Art. 12
1. Le disposizioni vigenti alla data di entrata in vigore del presente
decreto che consentono di presentare per via telematica istanze o dichiarazioni
alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi
secondo procedure diverse da quelle indicate nell'articolo 9 continuano ad avere
applicazione fino alla data fissata, con riferimento ai singoli settori, con
decreto del Presidente del Consiglio dei Ministri, da adottarsi, di concerto con
i Ministri interessati, entro il 30 novembre 2002. La suddetta data non può
comunque essere posteriore al 31 dicembre 2005.
Art. 13
1. Entro trenta giorni dalla data di entrata in vigore del presente decreto
è emanato un regolamento ai sensi dell'articolo 17, comma 2, della legge 23
agosto 1988, n. 400, anche ai fini del coordinamento delle disposizioni del
testo unico emanato con il decreto del Presidente della Repubblica 28 dicembre
2000, n. 445, con quelle recate dal presente decreto e dalla direttiva
1999/93/CE, nonché della fissazione dei requisiti necessari per lo svolgimento
dell'attività dei certificatori.
2. Il regolamento è emanato su proposta e con il concerto dei Ministri
indicati nell'articolo 1, comma 2, della legge 29 dicembre 2000, n. 422.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella
Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto
obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì 23 gennaio 2002
CIAMPI
Berlusconi, Presidente del Consiglio dei Ministri
Buttiglione, Ministro per le politiche comunitarie
Stanca, Ministro per l'innovazione e le tecnologie
Frattini, Ministro per la funzione pubblica
Castelli, Ministro della giustizia
Tremonti, Ministro dell'economia e delle finanze
Scajola, Ministro dell'interno
Marzano, Ministro delle attività produttive
Gasparri, Ministro delle comunicazioni
Visto, il Guardasigilli: Castelli |
Pagina stampabile
