Sezione II - Firme elettroniche e certificatori

Art. 24 - Firma digitale

  1. La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all’insieme di documenti cui è apposta o associata.
  1. L’apposizione di firma digitale integra e sostituisce l’apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente.
  2. Per la generazione della firma digitale deve adoperarsi un certificato qualificato che, al momento della sottoscrizione, non risulti scaduto di validità ovvero non risulti revocato o sospeso.
  3. Attraverso il certificato qualificato si devono rilevare, secondo le regole tecniche stabilite ai sensi dell\’articolo 71, la validità del certificato stesso, nonché gli elementi identificativi del titolare e del certificatore e gli eventuali limiti d’uso.

Art. 25 - Firma autenticata

  1. Si ha per riconosciuta, ai sensi dell’articolo 2703 del codice civile, la firma digitale o altro tipo di firma elettronica qualificata autenticata dal notaio o da altro pubblico ufficiale a ciò autorizzato.
  2. L’autenticazione della firma digitale o di altro tipo di firma elettronica qualificata consiste nell’attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità del certificato elettronico utilizzato e del fatto che il documento sottoscritto non è in contrasto con l’ordinamento giuridico.
  3. L’apposizione della firma digitale o di altro tipo di firma elettronica qualificata da parte del pubblico ufficiale ha l’efficacia di cui all\’articolo 24, comma 2.
  4. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell’originale, secondo le disposizioni dell\’articolo 23, comma 5.

Art. 26 - Certificatori

  1. L’attività dei certificatori stabiliti in Italia o in un altro Stato membro dell’Unione europea è libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all’amministrazione, devono possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche di cui all’articolo 26 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, e successive modificazioni.
  2. L’accertamento successivo dell’assenza o del venir meno dei requisiti di cui al comma 1 comporta il divieto di prosecuzione dell’attivita’ intrapresa.
  3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede stabile in altri Stati membri dell’Unione europea non si applicano le norme del presente codice e le relative norme tecniche di cui all\’articolo 71 e si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.

Art. 27 - Certificatori qualificati

  1. I certificatori che rilasciano al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall\’articolo 26.
  2. I certificatori di cui al comma 1, devono inoltre:
    1. dimostrare l’affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
    2. utilizzare personale dotato delle conoscenze specifiche, dell’esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate e che sia in grado di rispettare le norme del presente codice e le regole tecniche di cui all\’articolo 71;
    3. applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
    4. utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all\’articolo 35, comma 5;
    5. adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l’integrità e la sicurezza nella generazione delle chiavi private nei casi in cui il certificatore generi tali chiavi.
  3. I certificatori di cui al comma 1, devono comunicare, prima dell’inizio dell’attività, anche in via telematica, una dichiarazione di inizio di attività al CNIPA, attestante l’esistenza dei presupposti e dei requisiti previsti dal presente codice.
  4. Il CNIPA procede, d’ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti previsti dal presente codice e dispone, se del caso, con provvedimento motivato da notificare all’interessato, il divieto di prosecuzione dell’attività e la rimozione dei suoi effetti, salvo che, ove ciò sia possibile, l’interessato provveda a conformare alla normativa vigente detta attività ed i suoi effetti entro il termine prefissatogli dall’amministrazione stessa.

Art. 28 - Certificati qualificati

  1. I certificati qualificati devono contenere almeno le seguenti informazioni:
    1. indicazione che il certificato elettronico rilasciato è un certificato qualificato;
    2. numero di serie o altro codice identificativo del certificato;
    3. nome, ragione o denominazione sociale del certificatore che ha rilasciato il certificato e lo Stato nel quale è stabilito;
    4. nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato;
    5. dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare;
    6. indicazione del termine iniziale e finale del periodo di validità del certificato;
    7. firma elettronica del certificatore che ha rilasciato il certificato, realizzata in conformità alle regole tecniche ed idonea a garantire l’integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo.
  2. In aggiunta alle informazioni di cui al comma 1, fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all’estero cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale rilasciato dall’autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale.
  3. Il certificato qualificato può contenere, ove richiesto dal titolare o dal terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto:
    1. le qualifiche specifiche del titolare, quali l’appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l’iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
    2. i limiti d’uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di rappresentanza di cui alla lettera a) ai sensi dell\’articolo 30, comma 3.
    3. limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.
  4. Il titolare, ovvero il terzo interessato se richiedente ai sensi del comma 3, comunicano tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto delle informazioni di cui al presente articolo.

Art. 29 - Accreditamento

  1. I certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono di essere accreditati presso il CNIPA.
  2. Il richiedente deve rispondere ai requisiti di cui all\’articolo 27, ed allegare alla domanda oltre ai documenti indicati nel medesimo articolo il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonché l’impegno al rispetto delle regole tecniche.
  3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre:
    1. avere forma giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell’autorizzazione alla attività bancaria ai sensi dell’articolo 14 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385;
    2. garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell’articolo 26 del decreto legislativo 1° settembre 1993, n. 385.
  4. La domanda di accreditamento si considera accolta qualora non venga comunicato all’interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.
  5. Il termine di cui al comma 4, può essere sospeso una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità del CNIPA o che questo non possa acquisire autonomamente. In tale caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa.
  1. A seguito dell’accoglimento della domanda, il CNIPA dispone l’iscrizione del richiedente in un apposito elenco pubblico, tenuto dal CNIPA stesso e consultabile anche in via telematica, ai fini dell’applicazione della disciplina in questione.
  2. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.
  3. Sono equiparati ai certificatori accreditati ai sensi del presente articolo i certificatori accreditati in altri Stati membri dell’Unione europea ai sensi dell’articolo 3, paragrafo 2, della direttiva 1999/93/CE.
  4. Alle attività previste dal presente articolo si fa fronte nell’ambito delle risorse del CNIPA, senza nuovi o maggiori oneri per la finanza pubblica.

Art. 30 - Responsabilità del certificatore

  1. Il certificatore che rilascia al pubblico un certificato qualificato o che garantisce al pubblico l’affidabilità del certificato è responsabile, se non prova d’aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento:
    1. sull’esattezza e sulla completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;
    2. sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;
    3. sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi;
    4. sull’adempimento degli obblighi a suo carico previsti dall\’articolo 32.
  2. Il certificatore che rilascia al pubblico un certificato qualificato è responsabile, nei confronti dei terzi che facciano affidamento sul certificato stesso, dei danni provocati per effetto della mancata o non tempestiva registrazione della revoca o non tempestiva sospensione del certificato, secondo quanto previsto dalle regole tecniche di cui all\’articolo 71, salvo che provi d’aver agito senza colpa.
  1. Il certificato qualificato può contenere limiti d’uso ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d’uso o il valore limite siano riconoscibili da parte dei terzi e siano chiaramente evidenziati nel certificato secondo quanto previsto dalle regole tecniche di cui all\’articolo 71. Il certificatore non e’ responsabile dei danni derivanti dall’uso di un certificato qualificato che ecceda i limiti posti dallo stesso o derivanti dal superamento del valore limite.

Art. 31 - Vigilanza sull’attività di certificazione

  1. Il CNIPA svolge funzioni di vigilanza e controllo sull’attività dei certificatori qualificati e accreditati.

Art. 32 - Obblighi del titolare e del certificatore

  1. Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma.
  2. Il certificatore è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi.
  3. Il certificatore che rilascia, ai sensi dell\’articolo 19, certificati qualificati deve inoltre:
    1. provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;
    2. rilasciare e rendere pubblico il certificato elettronico nei modi o nei
      casi stabiliti dalle regole tecniche di cui all\’articolo 71, nel rispetto del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;
    3. specificare, nel certificato qualificato su richiesta dell’istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all’attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi;
    4. attenersi alle regole tecniche di cui all\’articolo 71;
    5. informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d’uso delle firme emesse sulla base del servizio di certificazione;
    6. non rendersi depositario di dati per la creazione della firma del titolare;
    7. procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri del titolare medesimo, di perdita del possesso o della compromissione del dispositivo di firma, di provvedimento dell’autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni, secondo quanto previsto dalle regole tecniche di cui all\’articolo 71;
    8. garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonchè garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati;
    9. assicurare la precisa determinazione della data e dell’ora di rilascio, di revoca e di sospensione dei certificati elettronici;
    10. tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
    11. non copiare, nè conservare, le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione;
    12. predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all’uso del certificato, compresa ogni limitazione dell’uso, l’esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell’accordo tra il richiedente il servizio ed il certificatore;
    13. utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l’autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l’operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.
  4. Il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.
  5. Il certificatore raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l’informativa prevista dall’articolo 13 del decreto legislativo 30 giugno 2003, n. 196. I dati non possono essere raccolti o elaborati per fini diversi senza l’espresso consenso della persona cui si riferiscono.

Art. 33 - Uso di pseudonimi

  1. In luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l’obbligo di conservare le informazioni relative alla reale identità del titolare per almeno dieci anni dopo la scadenza del certificato stesso.

Art. 34 - Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati

  1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni:
    1. possono svolgere direttamente l’attività di rilascio dei certificati qualificati avendo a tale fine l’obbligo di accreditarsi ai sensi dell\’articolo 29; tale attività può essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonché di categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti con l’Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto ad esclusione di quelli rilasciati da collegi e ordini professionali e relativi organi agli iscritti nei rispettivi albi e registri; con decreto del Presidente del Consiglio dei Ministri, su proposta dei Ministri per la funzione pubblica e per l’innovazione e le tecnologie e dei Ministri interessati, di concerto con il Ministro dell’economia e delle finanze, sono definite le categorie di terzi e le caratteristiche dei certificati qualificati;
    2. possono rivolgersi a certificatori accreditati, secondo la vigente normativa in materia di contratti pubblici.
  2. Per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all\’articolo 71.
  3. Le regole tecniche concernenti la qualifica di pubblico ufficiale, l’appartenenza ad ordini o collegi professionali, l’iscrizione ad albi o il possesso di altre abilitazioni sono emanate con decreti di cui all\’articolo 71 di concerto con il Ministro per la funzione pubblica, con il Ministro della giustizia e con gli altri Ministri di volta in volta interessati, sulla base dei principi generali stabiliti dai rispettivi ordinamenti.
  4. Nelle more della definizione delle specifiche norme tecniche di cui al comma 3, si applicano le norme tecniche vigenti in materia di firme digitali.
  5. Entro ventiquattro mesi dalla data di entrata in vigore del presente codice le pubbliche amministrazioni devono dotarsi di idonee procedure informatiche e strumenti software per la verifica delle firme digitali secondo quanto previsto dalle regole tecniche di cui all\’articolo 71.

Art. 35 - Dispositivi sicuri e procedure per la generazione della firma

  1. I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata:
    1. sia riservata;
    2. non possa essere derivata e che la relativa firma sia protetta da contraffazioni;
    3. possa essere sufficientemente protetta dal titolare dall’uso da parte di terzi.
  2. I dispositivi sicuri e le procedure di cui al comma 1 devono garantire l’integrità dei documenti informatici a cui la firma si riferisce. I documenti informatici devono essere presentati al titolare, prima dell’apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma secondo quanto previsto dalle regole tecniche di cui all\’articolo 71.
  3. Il secondo periodo del comma 2 non si applica alle firme apposte con procedura automatica. L’apposizione di firme con procedura automatica è valida se l’attivazione della procedura medesima è chiaramente riconducibile alla volontà del titolare e lo stesso renda palese la sua adozione in relazione al singolo documento firmato automaticamente.
  4. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione di cui al comma 5.
  1. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata prescritti dall’allegato III della direttiva 1999/93/CE è accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione, fissato con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l’innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attivita’ produttive e dell’economia e delle finanze. Lo schema nazionale la cui attuazione non deve determinare nuovi o maggiori oneri per il bilancio dello Stato ed individua l’organismo pubblico incaricato di accreditare i centri di valutazione e di certificare le valutazioni di sicurezza. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto.
  2. La conformità ai requisiti di sicurezza dei dispositivi sicuri per la creazione di una firma qualificata a quanto prescritto dall’allegato III della direttiva 1999/93/CE è inoltre riconosciuta se certificata da un organismo all’uopo designato da un altro Stato membro e notificato ai sensi dell’articolo 11, paragrafo 1, lettera b), della direttiva stessa.

Art. 36 - Revoca e sospensione dei certificati qualificati

  1. Il certificato qualificato deve essere a cura del certificatore:
    1. revocato in caso di cessazione dell’attività del certificatore salvo quanto previsto dal comma 2 dell\’articolo 37;
    2. revocato o sospeso in esecuzione di un provvedimento dell’autorità;
    3. revocato o sospeso a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare, secondo le modalità previste nel presente codice;
    4. revocato o sospeso in presenza di cause limitative della capacità del titolare o di abusi o falsificazioni.
  2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei casi previsti dalle regole tecniche di cui all\’articolo 71.
  3. La revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.
  4. Le modalità di revoca o sospensione sono previste nelle regole tecniche di cui all\’articolo 71.

Art. 37 - Cessazione dell’attività

  1. Il certificatore qualificato o accreditato che intende cessare l’attività deve, almeno sessanta giorni prima della data di cessazione, darne avviso al CNIPA e informare senza indugio i titolari dei certificati da lui emessi specificando che tutti i certificati non scaduti al momento della cessazione saranno revocati.
  2. Il certificatore di cui al comma 1 comunica contestualmente la rilevazione della documentazione da parte di altro certificatore o l’annullamento della stessa. L’indicazione di un certificatore sostitutivo evita la revoca di tutti i certificati non scaduti al momento della cessazione.
  3. Il certificatore di cui al comma 1 indica altro depositario del registro dei certificati e della relativa documentazione.
  4. Il CNIPA rende nota la data di cessazione dell’attività del certificatore accreditato tramite l’elenco di cui all\’articolo 29, comma 6.