|
Schema di decreto del Presidente della Repubblica
Regolamento recante modifiche ed integrazioni al testo unico
delle disposizioni in materia di documentazione amministrativa, in attuazione
del decreto legislativo 23 gennaio 2002, n. 10
(Consiglio dei ministri del 2 agosto 2002)
Art. 1 - Modifiche all'articolo 1 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 1 del Testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa, emanato con il
decreto del presidente della repubblica 28 dicembre 2000, n. 445, è sostituito
dal seguente:
"Art. 1 (R)
Definizioni
1. Ai fini del presente Testo unico si intende per:
a) documento amministrativo: ogni rappresentazione, comunque formata, del
contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque,
utilizzati ai fini dell'attività amministrativa. Le relative modalità di
trasmissione sono quelle indicate al capo II, sezione III, del presente Testo
unico;
b) documento informatico: la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti;
c) documento di riconoscimento: ogni documento munito di fotografia del titolare
e rilasciato, su supporto cartaceo, magnetico o informatico, da una pubblica
amministrazione italiana o di altri stati, che consenta l'identificazione
personale del titolare;
d) documento d"identità: la carta d"identità e ogni altro documento
munito di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico
o informatico, da una pubblica amministrazione competente dello stato italiano o
di altri stati, con la finalità prevalente di dimostrare l'identità personale
del suo titolare;
e) documento d"identità elettronico: il documento analogo alla carta
d"identità elettronica rilasciato dal comune fino al compimento del
quindicesimo anno di età;
f) certificato: il documento rilasciato da una amministrazione pubblica avente
funzione di ricognizione, riproduzione e partecipazione a terzi di stati,
qualità personali e fatti contenuti in albi, elenchi o registri pubblici o
comunque accertati da soggetti titolari di funzioni pubbliche;
g) dichiarazione sostitutiva di certificazione: il documento, sottoscritto
dall'interessato, prodotto in sostituzione del certificato di cui alla lettera
f);
h) dichiarazione sostitutiva di atto di notorietà: il documento, sottoscritto
dall'interessato, concernente stati, qualità personali e fatti, che siano a
diretta conoscenza di questi, resa nelle forme previste dal presente Testo
unico;
i) autenticazione di sottoscrizione: l'attestazione, da parte di un pubblico
ufficiale, che la sottoscrizione è stata apposta in sua presenza, previo
accertamento dell'identità della persona che sottoscrive;
l) legalizzazione di firma: l'attestazione ufficiale della legale qualità di
chi ha apposto la propria firma sopra atti, certificati, copie ed estratti,
nonché dell'autenticità della firma stessa;
m) legalizzazione di fotografia: l'attestazione, da parte di una pubblica
amministrazione competente, che un"immagine fotografica corrisponde alla
persona dell'interessato;
n) firma digitale: la firma elettronica qualificata basata su un sistema di
chiavi asimmetriche a coppia, una pubblica e una privata, che consente al
titolare tramite la chiave privata e al destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la provenienza e
l'integrità di un documento informatico o di un insieme di documenti
informatici;
o) amministrazioni procedenti: le amministrazioni e, nei rapporti con l'utenza,
i gestori di pubblici servizi che ricevono le dichiarazioni sostitutive di cui
alle lettere g) e h) ovvero provvedono agli accertamenti d"ufficio ai sensi
dell'articolo 43;
p) amministrazioni certificanti: le amministrazioni e i gestori di pubblici
servizi che detengono nei propri archivi le informazioni e i dati contenuti
nelle dichiarazioni sostitutive, o richiesti direttamente dalle amministrazioni
procedenti ai sensi degli articoli 43 e 71;
q) gestione dei documenti: l'insieme delle attività finalizzate alla
registrazione di protocollo e alla classificazione, organizzazione, assegnazione
e reperimento dei documenti amministrativi formati o acquisiti dalle
amministrazioni, nell'ambito del sistema di classificazione d"archivio
adottato; essa è effettuata mediante sistemi informativi automatizzati;
r) sistema di gestione informatica dei documenti: l'insieme delle risorse di
calcolo, degli apparati, delle reti di comunicazione e delle procedure
informatiche utilizzati dalle amministrazioni per la gestione dei documenti;
s) segnatura di protocollo: l'apposizione o l'associazione, all'originale del
documento, in forma permanente e non modificabile delle informazioni riguardanti
il documento stesso;
t) certificati elettronici: ai sensi dell'articolo 2, comma 1, lettera d), del
decreto legislativo 23 gennaio 2002, n. 10, gli attestati elettronici che
collegano i dati utilizzati per verificare la firme elettroniche ai titolari e
confermano l'identità dei titolari stessi;
u) certificatore: il soggetto che presta che presta servizi di certificazione
per le firme elettroniche;
v) certificatore qualificato: il certificatore che rilascia al pubblico
certificati elettronici conformi ai requisiti indicati nel presente Testo unico
e nelle regole tecniche di cui all'articolo 8, comma 2;
z) certificatore accreditato: secondo quanto disposto dall'articolo 2, comma 1,
lettera e), del decreto legislativo 23 gennaio 2002, n. 10, il certificatore
qualificato accreditato in Italia ovvero in altri stati membri dell'Unione
europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/Ce;
aa) certificati qualificati: ai sensi dell'articolo 2, comma 1, lettera d), del
decreto legislativo 23 gennaio 2002, n. 10, i certificati elettronici conformi
ai requisiti di cui all'allegato II della medesima direttiva;
bb) carta nazionale dei servizi: il documento rilasciato su supporto informatico
per consentire l'accesso per via telematica ai servizi erogati dalla pubblica
amministrazione;
cc) firma elettronica: ai sensi dell'articolo 2, comma 1, lettera d), del
decreto legislativo 23 gennaio 2002, n. 10, l'insieme dei dati in forma
elettronica, allegati oppure connessi tramite associazione logica ad altri dati
elettronici, utilizzati come metodo di autenticazione informatica;
dd) firma elettronica avanzata: ai sensi dell'articolo 2, comma 1, lettera g),
del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta
attraverso una procedura informatica che garantisce la connessione univoca al
firmatario e la sua univoca identificazione, creata con mezzi sui quali il
firmatario può conservare un controllo esclusivo e collegata ai dati ai quali
si riferisce in modo da consentire di rilevare se i dati stessi siano stati
successivamente modificati;
ee) firma elettronica qualificata: la firma elettronica avanzata che sia basata
su un certificato qualificato e creata mediante un dispositivo sicuro per la
creazione della firma.
ff) titolare: la persona fisica cui è attribuita la firma elettronica e che ha
accesso al dispositivo per la creazione della firma elettronica;
gg) dati per la creazione di una firma: i dati peculiari, come codici o chiavi
crittografiche private, utilizzati dal titolare per creare la firma elettronica;
hh) dispositivo per la creazione della firma: il programma informatico
adeguatamente configurato (software) o l'apparato strumentale (hardware) usati
per la creazione della firma elettronica;
ii) dispositivo sicuro per la creazione della firma: l'apparato strumentale
usato per la creazione della firma elettronica, rispondente ai requisiti di cui
all'articolo 10 del decreto ;
ll) dati per la verifica della firma: i dati peculiari, come codici o chiavi
crittografiche pubbliche, utilizzati per verificare la firma elettronica;
mm) dispositivo di verifica della firma: il programma informatico (software)
adeguatamente configurato o l'apparato strumentale (hardware) usati per
effettuare la verifica della firma elettronica;
nn) accreditamento facoltativo: ai sensi dell'articolo 2, comma 1, lettera h),
del decreto legislativo 23 gennaio 2002, n. 10, il riconoscimento del possesso,
da parte del certificatore che lo richieda, dei requisiti del livello più
elevato, in termini di qualità e di sicurezza;
oo) prodotti di firma elettronica: i programmi informatici (software), gli
apparati strumentali (hardware) e i componenti di tali sistemi informatici,
destinati a essere utilizzati per la creazione e la verifica di firme
elettroniche o da un certificatore per altri servizi di firma elettronica".
Art. 2 - Modifiche all'articolo 8 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. All'articolo 8, comma 2 del Testo unico emanato con il decreto del
presidente della repubblica 28 dicembre 2000, n. 445, le parole: "sentiti
l'Autorità per l'informatica nella pubblica amministrazione e", sono
sostituite dalle parole: ", o, per sua delega del ministro per
l'innovazione e le tecnologie, sentiti il ministro per la funzione
pubblica".
Art. 3 - Modifiche all'articolo 9 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. All'articolo 9, comma 4 del Testo unico emanato con il decreto del
presidente della repubblica 28 dicembre 2000, n. 445, le parole:
"dall'Autorità per l'informatica nella pubblica amministrazione
d"intesa con", sono sostituite dalle parole: "dalla presidenza
del consiglio dei ministri - Dipartimento per l'innovazione e le tecnologie
d"intesa con il dipartimento della funzione pubblica,".
Art. 4 - Modifiche all'articolo 11 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. All'articolo 11, comma 1 del Testo unico emanato con il decreto del
presidente della repubblica 28 dicembre 2000, n. 445, le parole "mediante
l'uso della firma digitale" sono soppresse.
Art. 5 -Modifiche all'articolo 12 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 12 del Testo unico emanato con decreto del presidente della
repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Art. 12 (R)
Pagamenti informatici
1. Il trasferimento in via telematica di fondi tra pubbliche amministrazioni
e tra queste e soggetti privati è effettuato secondo regole fissate con decreto
del presidente del consiglio dei ministri, o, per sua delega, del ministro per
l'innovazione e le tecnologie, di concerto con i ministri per la funzione
pubblica, della giustizia e per l'economia e le finanze, sentiti il Garante per
la protezione dei dati personali e la Banca d'Italia.".
Art. 6 - Modifiche all'articolo 20 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. All'articolo 20, comma 2 del Testo unico emanato con il decreto del
presidente della repubblica 28 dicembre 2000, n. 445, le parole: "la firma
digitale di colui che li spedisce o rilascia, secondo le disposizioni del
presente Testo unico", sono sostituite dalle seguenti: ", da parte di
colui che li spedisce o rilascia, una firma elettronica qualificata.".
Art. 7 - Modifiche alla sezione V del capo II del decreto del presidente
della repubblica 28 dicembre 2000, n. 445
1. La rubrica della sezione V del capo II del Testo unico emanato con il
decreto del presidente della repubblica 28 dicembre 2000, n. 445 è sostituita
dalla seguente: "Firme elettroniche".
Art. 8 - Modifiche all'articolo 22 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 22 del Testo unico emanato con il decreto del presidente della
repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Art. 22 (R)
Definizioni
1. Ai fini del presente Testo unico si intende:
a) per sistema di validazione, il sistema informatico e crittografico in grado
di generare e apporre la firma digitale o di verificarne la validità;
b) per chiavi asimmetriche, la coppia di chiavi crittografiche, una privata e
una pubblica, correlate tra loro, utilizzate nell'ambito dei sistemi di
validazione di documenti informatici;
c) per chiave privata, l'elemento della coppia di chiavi asimmetriche, destinato
a essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone
la firma digitale sul documento informatico;
d) per chiave pubblica, l'elemento della coppia di chiavi asimmetriche destinato
a essere reso pubblico, con il quale si verifica la firma digitale apposta sul
documento informatico dal titolare delle chiavi asimmetriche;
e) per chiave biometrica, la sequenza di codici informatici utilizzati
nell'ambito di meccanismi di sicurezza che impiegano metodi di verifica
dell'identità personale basati su specifiche caratteristiche fisiche
dell'utente;
f) per validazione temporale, il risultato della procedura informatica, con cui
si attribuiscono, a uno o più documenti informatici, una data e un orario
opponibili ai terzi;
g) per indirizzo elettronico, l'identificatore di una risorsa fisica o logica in
grado di ricevere e registrare documenti informatici;
h) per revoca del certificato elettronico, l'operazione con cui il certificatore
annulla la validità del certificato da un dato momento, non retroattivo, in
poi;
i) per sospensione del certificato elettronico, l'operazione con cui il
certificatore sospende la validità del certificato per un determinato periodo
di tempo;
l) per validità del certificato elettronico, l'efficacia, e l'opponibilità al
titolare, dei dati in esso contenuti.
Art. 9 - Modifiche all'articolo 23 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 23 del Testo unico emanato con il decreto del presidente della
repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Articolo 23 (R)
Firma digitale
1. La firma digitale deve riferirsi in maniera univoca a un solo soggetto e
al documento o all'insieme di documenti cui è apposta o associata.
2. Per la generazione della firma digitale deve adoperarsi una chiave privata
la cui corrispondente chiave pubblica sia stata oggetto dell'emissione di un
certificato qualificato che, al momento della sottoscrizione, non risulti
scaduto di validità ovvero non risulti revocato o sospeso.
3. l'apposizione a un documento informatico di una firma elettronica basata
su un certificato elettronico revocato, scaduto o sospeso equivale a mancata
sottoscrizione.
La revoca o la sospensione, comunque motivate, hanno effetto dal momento
della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non
dimostri che essa era già a conoscenza di tutte le parti interessate.
4. l'apposizione di firma digitale integra e sostituisce, a ogni fine
previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri,
contrassegni e marchi di qualsiasi genere.
5. Attraverso il certificato elettronico devono potersi verificare, secondo
le regole tecniche, di cui all'articolo 8, comma 2, la validità del certificato
elettronico, nonché gli elementi identificativi del titolare e del
certificatore.".
Art. 10 - Modifiche all'articolo 26 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 26 del Testo unico emanato con il decreto del presidente della
repubblica 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Art. 26 (R)
Certificatori
1. l'attività dei certificatori stabiliti in Italia o in un altro stato
membro dell'Unione europea è libera e non necessita di autorizzazione
preventiva, ai sensi dell'articolo 3 del decreto legislativo 23 gennaio 2002, n.
10.
Detta attività non può essere svolta da coloro che non siano in possesso
dei normali requisiti di onorabilità.
Il dipartimento può dichiarare in ogni tempo il difetto dei requisiti
soggettivi di buona condotta e adeguata moralità, dando adeguata pubblicità a
tale dichiarazione.
2. Se il certificatore è una persona giuridica, il requisito indicato nel
comma 1 deve sussistere per i legali rappresentanti e per i soggetti preposti
all'amministrazione della persona stessa.".
Art. 11 - Modifiche all'articolo 27 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 27 del Testo unico emanato con il decreto del presidente della
repubblica del 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Art. 27 (R)
Certificatori qualificati
1. I certificatori che rilasciano al pubblico certificati qualificati devono
trovarsi nelle condizioni previste dall'articolo 26. Detti certificatori o, se
persone giuridiche, i loro legali rappresentanti e i soggetti preposti
all'amministrazione, devono inoltre possedere gli ulteriori requisiti di
onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione,
direzione controllo presso istituti di credito di cui all'articolo 26 del
decreto legislativo 1 settembre 1993, n. 385.
2. I certificatori di cui al comma 1 devono inoltre:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria
per svolgere attività di certificazione;
b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e
delle competenze necessarie per i servizi forniti, in particolare della
competenza a livello gestionale, della conoscenza specifica nel settore della
tecnologia delle firme elettroniche e della dimestichezza con procedure di
sicurezza appropriate, e che sia in grado di rispettare le norme del presente
Testo unico e le regole tecniche di cui all'articolo 8, comma 2;
c) applicare procedure e metodi amministrativi e di gestione adeguati e conformi
a norme riconosciute;
d) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e
che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in
conformità a criteri di sicurezza riconosciuti in ambito europeo e
internazionale e certificati ai sensi dello schema nazionale di cui all'articolo
10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10;
e) adottare adeguate misure contro la contraffazione dei certificati, idonee
anche a garantire la riservatezza nella generazione delle chiavi, nei casi in
cui il certificatore generi tali chiavi.
3. I certificatori di cui al comma 1 devono comunicare, prima dell'inizio
dell'attività, anche in via telematica, una dichiarazione di inizio di
attività al dipartimento dell'innovazione e le tecnologie della presidenza del
consiglio dei ministri, attestante l'esistenza dei presupposti e dei requisiti
previsti dal presente Testo unico, ai sensi dell'articolo 4, comma 1, del
decreto legislativo 23 gennaio 2002, n. 10.
4. Il dipartimento procede, d"ufficio o su segnalazione motivata di
soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei
presupposti e dei requisiti previsti dal presente Testo unico e dispone, se del
caso, con provvedimento motivato da notificare all'interessato il divieto di
prosecuzione dell'attività e la rimozione dei suoi effetti, salvo che, ove ciò
sia possibile, l'interessato provveda a conformare alla normativa vigente detta
attività e i suoi effetti entro il termine prefissatogli dall'amministrazione
stessa".
Art. 12 - Modifiche al decreto del presidente della repubblica 28 dicembre
2000, n. 445
"Art. 27-bis (R)
Certificati qualificati
1. I certificati qualificati devono contenere almeno le seguenti
informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato
qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo stato nel quale
è stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o uno pseudonimo
chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la creazione
della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del
certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato il
certificato.
2. In aggiunta alle informazioni di cui al comma 1, fatta salva la
possibilità di utilizzare uno pseudonimo, per i titolari residenti all'estero
cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale
rilasciato dall'autorità fiscale del paese di residenza o, in mancanza, un
analogo codice identificativo, quale per esempio un codice di sicurezza sociale
o un codice identificativo generale.
3. Il certificato qualificato può inoltre contenere, su domanda del titolare
o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per
il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza a ordini o
collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni
professionali, nonché poteri di rappresentanza;
b) limiti d"uso del certificato, ai sensi dell'art. 28-bis, comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il
certificato può essere usato, ove applicabili.".
Art. 13 - Modifiche all'articolo 28 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 28 del Testo unico emanato con il decreto del presidente della
repubblica del 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Art. 28 (R)
Accreditamento
1. I certificatori che intendono conseguire il riconoscimento del possesso
dei requisiti del livello più elevato, in termini di qualità e di sicurezza,
possono chiedere di essere accreditati alla presidenza del consiglio dei
ministri - dipartimento per l'innovazione e le tecnologie, che a tali fini può
avvalersi delle strutture pubbliche di cui all'articolo 29.
2. Il richiedente deve rispondere ai requisiti di cui all'articolo 27 e
allegare alla domanda il profilo professionale del personale responsabile della
generazione dei dati per la creazione e per la verifica della firma, della
emissione dei certificati e della gestione del registro dei certificati nonché
l'impegno al rispetto delle regole di tecniche.
3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal
comma 2, deve inoltre:
a) avere natura giuridica di società di capitali e un capitale sociale non
inferiore a quello necessario ai fini dell'autorizzazione alla attività
bancaria ai sensi dell'articolo 14 del decreto legislativo 1 settembre 1993, n.
385;
b) garantire il possesso, oltre che da parte dei rappresentanti legali, anche da
parte dei soggetti preposti alla amministrazione e dei componenti il collegio
sindacale, dei requisiti di onorabilità richiesti ai soggetti che svolgono
funzioni di amministrazione, direzione e controllo presso istituti di credito ai
sensi dell'articolo 26 del decreto legislativo 1 settembre 1993, n. 385.
4. La domanda di accreditamento si considera accolta qualora non venga
comunicato all'interessato il provvedimento di diniego entro 90 giorni dalla
data di presentazione della stessa.
5. Il termine di cui al comma 4 può essere interrotto una sola volta entro
30 giorni dalla data di presentazione della domanda, esclusivamente per la
motivata richiesta di documenti che integrino o completino la documentazione
presentata e che non siano già nella disponibilità del dipartimento o che
questo non possa acquisire autonomamente. In tal caso, il termine riprende a
decorrere dalla data di ricezione della documentazione integrativa.
6. A seguito dell'accoglimento della domanda, il dipartimento dispone
l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal
dipartimento stesso e consultabile anche in via telematica.
7. Il certificatore accreditato può qualificarsi come tale nei rapporti
commerciali e con le pubbliche amministrazioni.".
Art. 14 - Modifiche all'articolo 29 del decreto del presidente della
repubblica 28 dicembre 2000, n. 445
1. l'articolo 29 del Testo unico emanato con il decreto del presidente della
repubblica del 28 dicembre 2000, n. 445, è sostituito dal seguente:
"Art. 29 (R)
Vigilanza sull'attività di certificazione
1. La presidenza del consiglio dei ministri - dipartimento per l'innovazione
e le tecnologie svolge funzioni di vigilanza e controllo sull'attività di
certificazione, ai sensi dell'articolo 3, comma 2, del decreto legislativo 23
gennaio 2002, n. 10.
2. Fatto salvo quanto previsto dal comma 1, il dipartimento provvede al
controllo periodico dei certificatori accreditati.".
Art. 15 - Modifiche al decreto del presidente della repubblica 28 dicembre
2000, n. 445
1. Dopo l'articolo 29 del Testo unico emanato con il decreto del presidente
della repubblica del 28 dicembre 2000, n. 445, sono aggiunti i seguenti:
Art. 29-bis (R)
Obblighi del titolare e del certificatore
1. Il titolare e il certificatore sono tenuti ad adottare tutte le misure
organizzative e tecniche idonee a evitare danno ad altri.
2. Il certificatore che rilascia, ai sensi dell'articolo 27, certificati
qualificati è tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei casi
stabiliti dalle regole tecniche di cui all'articolo 8, comma 2, nel rispetto
della legge 31 dicembre 1996, n. 675;
c) specificare, nel certificato qualificato, su richiesta dell'istante, e con il
consenso del terzo interessato, i poteri di rappresentanza o di altri titoli
relativi all'attività professionale o a cariche rivestite, previa verifica
della sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di
certificazione e sui necessari requisiti tecnici per accedervi e sulle
caratteristiche e sulle limitazioni d"uso delle firme emesse sulla base del
servizio di certificazione;
f) attenersi alle misure minime di sicurezza per il trattamento dei dati
personali, ai sensi dell'articolo 15, comma 2 della legge 31 dicembre 1996, n.
675;
g) non rendersi depositario di dati per la creazione della firma del titolare;
h) procedere alla pubblicazione della revoca e della sospensione del certificato
elettronico in caso di richiesta da parte del titolare o del terzo dal quale
derivino i poteri di quest"ultimo, di perdita del possesso della chiave, di
provvedimento dell'autorità, di acquisizione della conoscenza di cause
limitative della capacità del titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di
elencazione, nonché garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di rilascio, di
revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le informazioni relative al
certificato qualificato per un adeguato periodo di tempo, in particolare al fine
di fornire prova della certificazione in eventuali procedimenti giudiziari;
n) non copiare, né conservare le chiavi private di firma del soggetto cui il
certificatore ha fornito il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai
soggetti che richiedono il servizio di certificazione, tra cui in particolare
gli esatti termini e condizioni relative all'uso del certificato, compresa ogni
limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e
le procedure di reclamo e di risoluzione delle controversie; dette informazioni,
che possono essere trasmesse elettronicamente, devono essere scritte in
linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il
servizio e il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei certificati
con modalità tali da garantire che soltanto le persone autorizzate possano
effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia
verificabile, che i certificati siano accessibili alla consultazione del
pubblico soltanto nei casi consentiti dal titolare del certificato e che
l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti
di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono
essere resi accessibili a terzi che facciano affidamento sul certificato.
3. Il certificatore che rilascia certificati al pubblico raccoglie i dati
personali solo direttamente dalla persona cui si riferiscono o previo suo
esplicito consenso, e soltanto nella misura necessaria al rilascio e al
mantenimento del certificato. I dati non possono essere raccolti o elaborati per
fini diversi senza l'espresso consenso della persona cui si riferiscono.
29-ter (R) - Uso di pseudonimi
1. In luogo del nome del titolare il certificatore può riportare sul
certificato elettronico uno pseudonimo, qualificandolo come tale. Se il
certificato è qualificato, il certificatore ha l'obbligo di conservare le
informazioni relative alla reale identità del titolare per almeno dieci anni
dopo la scadenza del certificato stesso.
Art. 29-quater (R)
Efficacia dei certificati qualificati
1. La firma elettronica, basata su un certificato qualificato scaduto,
revocato o sospeso non costituisce valida sottoscrizione.
Art. 29-quinquies (R)
Norme particolari per le pubbliche amministrazioni e per altri soggetti
qualificati
1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di
rilevanza esterna, le pubbliche amministrazioni:
a) possono svolgere direttamente l'attività di certificazione solo per i
propri organi e uffici; a tal fine hanno l'obbligo di accreditarsi secondo
quanto previsto dall'articolo 28;
b) possono rivolgersi a certificatori accreditati, secondo la vigente
normativa in materia di contratti pubblici.
2. Per la formazione, gestione e sottoscrizione di documenti informatici
aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare,
nella propria autonomia organizzativa, regole diverse da quelle contenute nelle
regole tecniche di cui all'articolo 8, comma 2.
3. Le regole tecniche concernenti la qualifica di pubblico ufficiale,
l'appartenenza a ordini o collegi professionali, l'iscrizione ad albi o il
possesso di altre abilitazioni sono emanate con decreti del ministro per
l'innovazione e le tecnologie, di concerto con il ministro per la funzione
pubblica, con il ministro della giustizia e con gli altri ministri di volta in
volta interessati, sulla base dei principi generali stabiliti dai rispettivi
ordinamenti.
4. Nelle more della definizione delle specifiche norme tecniche di cui al
comma 3, si applicano le norme tecniche di cui all'articolo 8, comma 2.".
Art. 29-sexies (R)
Dispositivi sicuri e procedure per la generazione della firma
1. I dispositivi sicuri e le procedure utilizzate per la generazione delle
firme devono presentare requisiti di sicurezza tali da garantire che la chiave
privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta da
contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso da parte di
terzi.
2. I dispositivi sicuri di cui al comma 1 devono garantire l'integrità dei
dati elettronici a cui la firma si riferisce. I dati devono essere presentati al
titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità, e
si deve richiedere conferma della volontà di generare la firma.
3. Il secondo periodo del comma 2 non si applica alle firme apposte con
procedura automatica, purché l'attivazione della procedura sia chiaramente
riconducibile alla volontà del titolare.
4. I dispositivi sicuri di firma sono sottoposti alla valutazione e
certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e
certificazione di sicurezza nel settore della tecnologia dell'informazione di
cui all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10.
Art. 29-septies (R)
Revoca e sospensione dei certificati qualificati
1. Il certificato qualificato deve essere a cura del certificatore:
a) revocato in caso di cessazione dell'attività del certificatore;
b) revocato o sospeso in esecuzione di un provvedimento dell'autorità;
c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal
quale derivano i poteri del titolare, secondo le modalità previste nel presente
decreto;
d) revocato o sospeso in presenza di cause limitative della capacità del
titolare o di abusi o falsificazioni;
2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei
casi previsti dalle regole tecniche di cui all'articolo 8, comma 2.
3. La revoca o la sospensione del certificato qualificato, qualunque ne sia
la causa, ha effetto dal momento della pubblicazione della lista che lo
contiene. Il momento della pubblicazione deve essere attestato mediante adeguato
riferimento temporale.
4. Le modalità di revoca o sospensione sono previste nelle regole tecniche
di cui all'articolo 8, comma 2.
Art. 29-octies (R)
Cessazione dell'attività
1. Il certificatore qualificato o accreditato che intende cessare l'attività
deve, almeno 60 giorni prima della data di cessazione, darne avviso al
dipartimento, informando senza indugio i titolari dei certificati da lui emessi
specificando che tutti i certificati non scaduti al momento della cessazione
saranno revocati.
2. Il certificatore di cui al comma 1 comunica contestualmente la rilevazione
della documentazione da parte di altro certificatore o l'annullamento della
stessa. l'indicazione di un certificatore sostitutivo non impone la revoca di
tutti i certificati non scaduti al momento della cessazione.
3. Il certificatore di cui al comma 1 deve indicare altro depositario del
registro dei certificati e della relativa documentazione.
4. Il dipartimento rende nota la data di cessazione dell'attività del
certificatore accreditato tramite l'elenco di cui all'articolo 28, comma
6.".
Art. 16 - Disposizioni transitorie
1. I certificati emessi alla data di entrata in vigore del presente decreto
dai soggetti che risultano iscritti nell'elenco pubblico dei certificatori
tenuto dall'Autorità per l'informatica nella pubblica amministrazione sono
considerati certificati qualificati.
2. Fino alla completa operatività dell'elenco di cui all'articolo 28, comma
6 del decreto del presidente della repubblica 28 dicembre 2000, n.445, coloro
che intendono accreditarsi presso la presidenza del consiglio dei ministri -
dipartimento dell'innovazione e le tecnologie, effettuano gli adempimenti
previsti dagli articoli 27 e 28 presso l'Autorità per l'informatica nella
pubblica amministrazione.
|
Pagina stampabile
