GAZZETTA UFFICIALE SERIE GENERALE N. 138 DEL 17/6/2003
DECRETO DEL PRESIDENTE DELLA REPUBBLICA 7 aprile 2003, n. 137
Regolamento recante disposizioni di coordinamento in materia di firme
elettroniche a norma dell'articolo 13 del decreto legislativo
23 gennaio 2002, n. 10.
IL PRESIDENTE DELLA REPUBBLICA
Visto l'articolo 87, quinto comma, della Costituzione;
Visto l'articolo 17, comma 2, della legge 23 agosto 1988, n. 400;
Visto l'articolo 4, comma 5, della legge 9 marzo 1989, n. 86;
Visto l'articolo 7 della legge 8 marzo 1999, n. 50, come modificato
dall'articolo 1, comma 6, lettera e), della legge 24 novembre 2000,
n. 340;
Vista la legge 29 dicembre 2000, n. 422;
Visto il decreto del Presidente della Repubblica 28 dicembre 2000,
n. 445, recante testo unico delle disposizioni legislative e
regolamentari in materia di documentazione amministrativa (testo A);
Vista la direttiva 1999/93/CE del Parlamento europeo e del
Consiglio, del 13 dicembre 1999, relativa, ad un quadro comunitario
per le firme elettroniche;
Visto il decreto legislativo 23 gennaio 2002, n. 10, recante
attuazione della citata direttiva 1999/93/CE, ed in particolare
l'articolo 13;
Vista la preliminare deliberazione del Consiglio dei Ministri,
adottata nella riunione del 2 agosto 2002;
Esperita la procedura di notifica alla Commissione europea di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del
22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento
europeo e del Consiglio, del 20 luglio 1998, attuata con decreto
legislativo 23 novembre 2000, n. 427;
Sentito il Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla Sezione
consultiva per gli atti normativi nelle adunanze del 30 settembre e
del 14 ottobre 2002;
Vista la deliberazione del Consiglio del Ministri, adottata nella
riunione del 31 gennaio 2003;
Sulla proposta del Ministro per le politiche comunitarie e del
Ministro per l'innovazione e le tecnologie, di concerto con il
Ministro degli affari esteri, dell'interno, della giustizia,
dell'economia e delle finanze, delle comunicazioni e per la funzione
pubblica;
Emana
il seguente regolamento:
Art. 1.
Modifiche all'articolo 1 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 1 del testo unico delle disposizioni legislativo e
regolamentari in materia di documentazione amministrativa, approvato
con il decreto del Presidente della Repubblica 28 dicembre 2000, n.
445, di seguito denominato: "testo unico", e' sostituito dal
seguente:
"Art. 1(R) (Definizioni). - 1. Ai fini del presente testo unico si
intende per:
a) DOCUMENTO AMMINISTRATIVO ogni rappresentazione, comunque
formata, del contenuto di atti, anche interni, delle pubbliche
amministrazioni o, comunque, utilizzati ai fini dell'attivita'
amministrativa. Le relative modalita' di trasmissione sono quelle
indicate al capo II, sezione III, del presente testo unico;
b) DOCUMENTO INFORMATICO la rappresentazione informatica di atti,
fatti o dati giuridicamente rilevanti;
c) DOCUMENTO DI RICONOSCIMENTO ogni documento munito di
fotografia del titolare e rilasciato, su supporto cartaceo, magnetico
o informatico, da una pubblica amministrazione italiana o di altri
Stati, che consenta l'identificazione personale del titolare;
d) DOCUMENTO D'IDENTITA' la carta d'identita' ed ogni altro
documento munito di fotografia del titolare e rilasciato, su supporto
cartaceo, magnetico o informatico, da una pubblica amministrazione
competente dello Stato italiano o di altri Stati, con la finalita'
prevalente di dimostrare l'identita' personale del suo titolare;
e) DOCUMENTO D'IDENTITA' ELETTRONICO il documento analogo alla
carta d'identita' elettronica rilasciato dal comune fino al
compimento del quindicesimo anno di eta';
f) CERTIFICATO il documento rilasciato da una amministrazione
pubblica avente funzione di ricognizione, riproduzione o
partecipazione a terzi di stati, qualita' personali e fatti contenuti
in albi, elenchi o registri pubblici o comunque accertati da soggetti
titolari di funzioni pubbliche;
g) DICHIARAZIONE SOSTITUTIVA DI CERTIFICAZIONE il documento,
sottoscritto dall'interessato, prodotto in sostituzione del
certificato di cui alla lettera f);
h) DICHIARAZIONE SOSTITUTIVA DI ATTO DI NOTORIETA' il documento
sottoscritto dall'interessato, concernente stati, qualita' personali
e fatti, che siano a diretta conoscenza di questi, resa nelle forme
previste dal presente testo unico;
i) AUTENTICAZIONE DI SOTTOSCRIZIONE, l'attestazione, da parte di
un pubblico ufficiale, che la sottoscrizione e' stata apposta in sua
presenza, previo accertamento dell'identita' della persona che
sottoscrive;
l) LEGALIZZAZIONE DI FIRMA l'attestazione ufficiale della legale
qualita' di chi ha apposto la propria firma sopra atti, certificati,
copie ed estratti, nonche' dell'autenticita' della firma stessa;
m) LEGALIZZAZIONE DI FOTOGRAFIA l'attestazione, da parte di una
pubblica amministrazione competente, che un'immagine fotografica
corrisponde alla persona dell'interessato;
n) FIRMA DIGITALE e' un particolare tipo di firma elettronica
qualificata basata su un sistema di chiavi asimmetriche a coppia, una
pubblica e una privata, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica,
rispettivamente, di rendere manifesta e di verificare la provenienza
e l'integrita' di un documento informatico o di un insieme di
documenti informatici;
o) AMMINISTRAZIONI PROCEDENTI le amministrazioni e, nei rapporti
con l'utenza, i gestori di pubblici servizi che ricevono le
dichiarazioni sostitutive di cui alle lettere g) e h) ovvero
provvedono agli accertamenti d'ufficio ai sensi dell'articolo 43;
p) AMMINISTRAZIONI CERTIFICANTI le amministrazioni e i gestori di
pubblici servizi che detengono nei propri archivi le informazioni e i
dati contenuti nelle dichiarazioni sostitutive, o richiesti
direttamente dalle amministrazioni procedenti ai sensi degli
articoli 43 e 71;
q) GESTIONE DEI DOCUMENTI l'insieme delle attivita' finalizzate
alla registrazione di protocollo e alla classificazione,
organizzazione, assegnazione e reperimento dei documenti
amministrativi formati o acquisiti dalle amministrazioni, nell'ambito
del sistema di classificazione d'archivio adottato; essa e'
effettuata mediante sistemi informativi autorizzati;
r) SISTEMA DI GESTIONE INFORMATICA DEI DOCUMENTI l'insieme delle
risorse di calcolo, degli apparati, delle reti di comunicazione e
delle procedure informatiche utilizzati dalle amministrazioni per la
gestione dei documenti;
s) SEGNATURA DI PROTOCOLLO l'apposizione o l'associazione,
all'originale del documento, in forma permanente e non modificabile
delle informazioni riguardanti il documento stesso;
t) CERTIFICATI ELETTRONICI ai sensi dell'articolo 2, comma 1,
lettera d), del decreto legislativo 23 gennaio 2002, n. 10, gli
attestati elettronici che collegano i dati utilizzati per verificare
le firme elettroniche ai titolari e confermano l'identita' dei
titolari stessi;
u) CERTIFICATORE ai sensi dell'articolo 2, comma 1, lettera b),
del decreto legislativo 23 gennaio 2002, n. 10, il soggetto che
presta servizi di certificazione delle firme elettroniche o che
fornisco altri servizi connessi con queste ultime;
v) CERTIFICATORE QUALIFICATO il certificatore che rilascia al
pubblico certificati elettronici conformi ai requisiti indicati nel
presente testo unico e nelle regole tecniche di cui all'articolo 8,
comma 2;
z) CERTIFICATORE ACCREDITATO ai sensi dell'articolo 2, comma 1,
lettera c), del decreto legislativo 23 gennaio 2002, n. 10, il
certificatore accreditato in Italia ovvero in altri Stati membri
dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della
direttiva n. 1999/93/CE, nonche' ai sensi del presente testo unico;
aa) CERTIFICATI QUALIFICATI ai sensi dell'articolo 2, comma 1,
lettera e), del decreto legislativo 23 gennaio 2002, n. 10, i
certificati elettronici conformi ai requisiti di cui all'allegato I
della direttiva n. 1999/93/CE, rilasciati da certificatori che
rispondono ai requisiti di cui all'allegato II della medesima
direttiva;
bb) CARTA NAZIONALE DEI SERVIZI il documento rilasciato su
supporto informatico per consentire l'accesso per via telematica ai
servizi erogati dalla pubblica amministrazione;
cc) FIRMA ELETTRONICA ai sensi dell'articolo 2, comma 1,
lettera a), del decreto legislativo 23 gennaio 2002, n. 10, l'insieme
dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo
di autentificazione informatica;
dd) FIRMA ELETTRONICA AVANZATA ai sensi dell'articolo 2, comma 1,
lettera g), del decreto legislativo 23 gennaio 2002, n. 10, la firma
elettronica ottenuta attraverso una procedura informatica che
garantisce la connessione univoca al firmatario e la sua univoca
identificazione, creata con mezzi sui quali il firmatario puo'
conservare un controllo esclusivo e collegata ai dati ai quali si
riferisce in modo da consentire di rilevare se i dati stessi siano
stati successivamente modificati;
ee) FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata
che sia basata su un certificato qualificato e creata mediante un
dispositivo sicuro per la creazione della firma;
ff) TITOLARE la persona fisica cui e' attribuita la firma
elettronica e che ha accesso al dispositivo per la creazione della
firma elettronica;
gg) DATI PER LA CREAZIONE DI UNA FIRMA i dati peculiari, come
codici o chiavi crittografiche private, utilizzati dal titolare per
creare la firma elettronica;
hh) DISPOSITIVO PER LA CREAZIONE DELLA FIRMA il programma
informatico adeguatamente configurato (software) o l'apparato
strumentale (hardware) usati per la creazione della firma
elettronica;
ii) DISPOSITIVO SICURO PER LA CREAZIONE DELLA FIRMA ai sensi
dell'articolo 2, comma 1, lettera f), del decreto legislativo
23 gennaio 2002, n. 10, l'apparato strumentale usato per la creazione
della firma elettronica, rispondente ai requisiti di cui
all'articolo 10 del citato decreto n. 10 del 2002, nonche' del
presente testo unico;
ll) DATI PER LA VERIFICA DELLA FIRMA i dati peculiari, come
codici o chiavi crittografiche pubbliche, utilizzati per verificare
la firma elettronica;
mm) DISPOSITIVO DI VERIFICA DELLA FIRMA il programma informatico
(software) adeguatamente configurato o l'apparato strumentale
(hardware) usati per effettuare la verifica della firma elettronica;
nn) ACCREDITAMENTO FACOLTATIVO ai sensi dell'articolo 2, comma 1,
lettera h), del decreto legislativo 23 gennaio 2002, n. 10, il
riconoscimento del possesso, da parte del certificatore che la
richieda, dei requisiti del livello piu' elevato, in termini di
qualita' e di sicurezza;
oo) PRODOTTI DI FIRMA ELETTRONICA i programmi informatici
(software), gli apparati strumentali (hardware) e i componenti di
tali sistemi informatici, destinati ad essere utilizzati per la
creazione e la verifica di firme elettroniche o da un certificatore
per altri servizi di firma elettronica.".
Art. 2.
Modifiche all'articolo 8 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Al comma 2 dell'articolo 8 del testo unico le parole: "sentiti
l'Autorita' per l'informatica nella pubblica amministrazione", sono
sostituite dalle seguenti: ", o, per sua delega del Ministro per
l'innovazione e le tecnologie, sentiti il Ministro per la funzione
pubblica".
Art. 3.
Modifiche all'articolo 9 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Il comma 4 dell'articolo 9 del testo unico e' sostituito dal
seguente: "4. Le regole tecniche in materia di formazione e
conservazione di documenti informatici delle pubbliche
amministrazioni sono definite dalla Presidenza del Consiglio dei
Ministri - Dipartimento per l'innovazione e le tecnologie, d'intesa
con il Dipartimento della funzione pubblica ed il Ministero per i
beni e le attivita' culturali, sentito il Garante per la protezione
dei dati personali e, per il materiale classificato d'intesa con le
Amministrazioni della difesa, dell'interno e dell'economia e delle
finanze, rispettivamente competenti.".
Art. 4.
Modifiche all'articolo 11 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Al comma 1 dell'articolo 11 del testo unico le parole: "mediante
l'uso della firma digitale" sono sostituite dalle seguenti: "mediante
l'uso della firma elettronica qualificata".
Art. 5.
Modifiche all'articolo 12 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 12 del testo unico e' sostituito dal seguente:
"Art. 12 (R) (Pagamenti informatici). - 1. Il trasferimento in via
telematica di fondi tra privati, pubbliche amministrazioni e tra
queste e soggetti privati e' effettuato secondo regole fissate con
decreto del Presidente del Consiglio dei Ministri, o, per sua delega,
del Ministro per l'innovazione e le tecnologie, di concerto con i
Ministri per la funzione pubblica, della giustizia e dell'economia e
delle finanze, sentiti il Garante per la protezione dei dati
personali e la Banca d'Italia.".
Art. 6.
Modifiche all'articolo 20 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Al comma 2 dell'articolo 20 del testo unico le parole: "la firma
digitale di colui che li spedisce o rilascia, secondo le disposizioni
del presente testo unico.", sono sostituite dalle seguenti: ", da
parte di colui che li spedisce o rilascia, una firma elettronica
qualificata.".
Art. 7.
Modifiche alla rubrica della sezione V del capo II del
decreto del Presidente della Repubblica 28 dicembre 2000, n. 445
1. La rubrica della sezione V del capo II del testo unico: "Firma
digitale" e' sostituita dalla seguente: "Firme elettroniche".
Art. 8.
Modifiche all'articolo 22 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Al comma 1 dell'articolo 22 del testo unico sono apportate le
seguenti modificazioni:
a) le lettere b), c) e d), sono sostituite dalle seguenti:
"b) per chiavi asimmetriche, la coppia di chiavi
crittografiche, una privata ed una pubblica, correlate tra loro,
utilizzate nell'ambito dei sistemi di validazione di documenti
informatici;
c) per chiave privata, l'elemento della coppia di chiavi
asimmetriche, destinato ad essere conosciuto soltanto dal soggetto
titolare, mediante il quale si appone la firma digitale sul documento
informatico;
d) per chiave pubblica, l'elemento della coppia di chiavi
asimmetriche destinato ad essere reso pubblico, con il quale si
verifica la firma digitale apposta sul documento informatico dal
titolare delle chiavi asimmetriche;";
b) la lettera f) e' abrogata;
c) la lettera i) e' abrogata;
d) le lettere l), m) ed n), sono sostituite dalle seguenti:
"l) per revoca del certificato elettronico, l'operazione con cui il
certificatore annulla la validita' del certificato da un dato
momento, non retroattivo, in poi;
m) per sospensione del certificato elettronico, l'operazione
con cui il certificatore sospende la validita' del certificato per un
determinato periodo di tempo;
n) per validita' del certificato elettronico, l'efficacia e
l'opponibilita' al titolare dei dati in esso contenuti.";
e) la lettera o) e' abrogata.
Art. 9.
Modifiche all'articolo 23 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 23 del testo unico e' sostituito dal seguente:
"Art. 23 (R) (Firma digitale). - 1. La firma digitale deve
riferirsi in maniera univoca ad un solo soggetto ed al documento o
all'insieme di documenti cui e' apposta o associata.
2. Per la generazione della firma digitale deve adoperarsi una
chiave privata la cui corrispondente chiave pubblica sia stata
oggetto dell'emissione di un certificato qualificato che, al momento
della sottoscrizione, non risulti scaduto di validita' ovvero non
risulti revocato o sospeso.
3. L'apposizione ad un documento informatico di una firma
elettronica basata su un certificato elettronico revocato, scaduto o
sospeso equivale a mancata sottoscrizione. La revoca o la
sospensione, comunque motivate, hanno effetto dal momento della
pubblicazione, salvo che il revocante, o chi richiede la sospensione,
non dimostri che essa era gia' a conoscenza di tutte le parti
interessate.
4. L'apposizione di firma digitale integra e sostituisce, ad ogni
fine previsto dalla normativa vigente, l'apposizione di sigilli,
punzoni, timbri, contrassegni e marchi di qualsiasi genere.
5. Attraverso il certificato elettronico si devono rilevare,
secondo le regole tecniche di cui all'articolo 8, comma 2, la
validita' del certificato elettronico stesso, nonche' gli elementi
identificativi del titolare e del certificatore.".
Art. 10.
Modifiche all'articolo 26 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 26 del testo unico e' sostituito dal seguente:
"Art. 26 (R) (Certificatori). - 1. L'attivita' dei certificatori
stabiliti in Italia o in un altro Stato membro dell'Unione europea e'
libera e non necessita di autorizzazione preventiva, ai sensi
dell'articolo 3 del decreto legislativo 23 gennaio 2002, n. 10. Detti
certificatori o, se persone giuridiche, i loro legali rappresentanti
ed i soggetti preposti all'amministrazione, devono inoltre possedere
i requisiti di onorabilita' richiesti ai soggetti che svolgono
funzioni di amministrazione, direzione e controllo presso le banche
di cui all'articolo 26 del testo unico delle leggi in materia
bancaria e creditizia, approvato con decreto legislativo 1° settembre
1993, n. 385.
2. L'accertamento successivo dell'assenza o del venir meno dei
requisiti di cui al comma 1 comporta il divieto di prosecuzione
dell'attivita' intrapresa.
3. Ai certificatori qualificati e ai certificatori accreditati che
hanno sede stabile in altri Stati membri dell'Unione europea non si
applicano le norme del presente decreto e le relative norme tecniche
di cui all'articolo 8, comma 2, e si applicano le rispettive norme di
recepimento della direttiva 1999/93/CE.".
Art. 11.
Modifiche all'articolo 27 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 27 del testo unico e' sostituito dal seguente:
"Art. 27 (R) (Certificatori qualificati). - 1. I certificatori che
rilasciano al pubblico certificati qualificati devono trovarsi nelle
condizioni previste dall'articolo 26.
2. I certificatori di cui al comma 1 devono inoltre:
a) dimostrare l'affidabilita' organizzativa, tecnica e
finanziaria necessaria per svolgere attivita' di certificazione;
b) impiegare personale dotato delle conoscenze specifiche,
dell'esperienza e delle competenze necessarie per i servizi forniti,
in particolare della competenza a livello gestionale, della
conoscenza specifica nel settore della tecnologia delle firme
elettroniche e della dimestichezza con procedure di sicurezza
appropriate, e che sia in grado di rispettare le norme del presente
testo unico e le regole tecniche di cui all'articolo 8, comma 2;
c) applicare procedure e metodi amministrativi e di gestione
adeguati e tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da
alterazioni e che garantiscano la sicurezza tecnica e crittografica
dei procedimenti, in conformita' a criteri di sicurezza riconosciuti
in ambito europeo e internazionale e certificati ai sensi dello
schema nazionale di cui all'articolo 10, comma 1, del decreto
legislativo 23 gennaio 2002, n. 10;
e) adottare adeguate misure contro la contraffazione dei
certificati, idonee anche a garantire la riservatezza, l'integrita' e
la sicurezza nella generazione delle chiavi, nei casi in cui il
certificatore generi tali chiavi.
3. I certificatori di cui al comma 1 devono comunicare, prima
dell'inizio dell'attivita', anche in via telematica, una
dichiarazione di inizio di attivita' al Dipartimento dell'innovazione
e le tecnologie della Presidenza del Consiglio dei Ministri,
attestante l'esistenza dei presupposti e dei requisiti previsti dal
presente testo unico, ai sensi dell'articolo 4, comma 1, del decreto
legislativo 23 gennaio 2002, n. 10.
4. Il Dipartimento procede, d'ufficio o su segnalazione motivata di
soggetti pubblici o privati, a controlli volti ad accertare la
sussistenza dei presupposti e dei requisiti previsti dal presente
testo unico e dispone, se del caso, con provvedimento motivato da
notificare all'interessato, il divieto di prosecuzione dell'attivita'
e la rimozione dei suoi effetti, salvo che, ove cio' sia possibile,
l'interessato provveda a conformare alla normativa vigente detta
attivita' ed i suoi effetti entro il termine prefissatogli
dall'amministrazione stessa.".
Art. 12.
Modifiche al decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445
1. Dopo l'articolo 27 del testo unico e' inserito il seguente:
"Art. 27-bis (R) (Certificati qualificati). - 1. I certificati
qualificati devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato e' un
certificato qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo
Stato nel quale e' stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o
uno pseudonimo chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la
creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di
validita' del certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato
il certificato.
2. In aggiunta alle informazioni di cui al comma 1, fatta salva la
possibilita' di utilizzare uno pseudonimo, per i titolari residenti
all'estero cui non risulti attribuito il codice fiscale, si deve
indicare il codice fiscale rilasciato dall'autorita' fiscale del
Paese di residenza o, in mancanza, un analogo codice identificativo,
quale ad esempio un codice di sicurezza sociale o un codice
identificativo generale.
3. Il certificato qualificato puo' inoltre contenere, su domanda
del titolare o del terzo interessato, le seguenti informazioni, se
pertinenti allo scopo per il quale il certificato e' richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad
ordini o collegi professionali, l'iscrizione ad albi o il possesso di
altre abilitazioni professionali, nonche' poteri di rappresentanza;
b) limiti d'uso del certificato, ai sensi dell'articolo 28-bis,
comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i
quali il certificato puo' essere usato, ove applicabili.".
Art. 13.
Modifiche all'articolo 28 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 28 del testo unico e' sostituito dal seguente:
"Art. 28 (R) (Accreditamento). - 1. Ai sensi dell'articolo 5 del
decreto legislativo 23 gennaio 2002, n. 10, i certificatori che
intendono conseguire il riconoscimento del possesso dei requisiti del
livello piu' elevato, in termini di qualita' e di sicurezza, possono
chiedere di essere accreditati presso la Presidenza del Consiglio dei
Ministri - Dipartimento per l'innovazione e le tecnologie, che a tali
fini puo' avvalersi delle strutture pubbliche di cui all'articolo 29.
2. Il richiedente deve rispondere ai requisiti di cui
all'articolo 27 ed allegare alla domanda il profilo professionale del
personale responsabile della generazione dei dati per la creazione e
per la verifica della firma, della emissione dei certificati e della
gestione del registro dei certificati nonche' l'impegno al rispetto
delle regole di tecniche.
3. Il richiedente, se soggetto privato, in aggiunta a quanto
previsto dal comma 2, deve inoltre:
a) avere natura giuridica di societa' di capitali e un capitale
sociale non inferiore a quello necessario ai fini dell'autorizzazione
alla attivita' bancaria ai sensi dell'articolo 14 del testo unico
delle leggi in materia bancaria e creditizia, approvato con decreto
legislativo 1° settembre 1993, n. 385;
b) garantire il possesso, oltre che da parte dei rappresentanti
legali, anche da parte dei soggetti preposti alla amministrazione e
dei componenti il collegio sindacale, dei requisiti di onorabilita'
richiesti ai soggetti che svolgono funzioni di amministrazione,
direzione e controllo presso banche ai sensi dell'articolo 26 citato
del decreto legislativo 1° settembre 1993, n. 385.
4. La domanda di accreditamento si considera accolta qualora non
venga comunicato all'interessato il provvedimento di diniego entro
novanta giorni dalla data di presentazione della stessa.
5. Il termine di cui al comma 4 puo' essere interrotto una sola
volta entro trenta giorni dalla data di presentazione della domanda,
esclusivamente per la motivata richiesta di documenti che integrino o
completino la documentazione presentata e che non siano gia' nella
disponibilita' del Dipartimento per l'innovazione e le tecnologie o
che questo non possa acquisire autonomamente. In tal caso, il termine
riprende a decorrere dalla data di ricezione della documentazione
integrativa.
6. A seguito dell'accoglimento della domanda, il Dipartimento per
l'innovazione e le tecnologie dispone l'iscrizione del richiedente in
un apposito elenco pubblico, tenuto dal Dipartimento stesso e
consultabile anche in via telematica, ai fini dell'applicazione della
disciplina in questione.
7. Il certificatore accreditato puo' qualificarsi come tale nei
rapporti commerciali e con le pubbliche amministrazioni.".
Art. 14.
Modifiche all'articolo 29 del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. L'articolo 29 del testo unico e' sostituito dal seguente:
"Art. 29 (R) (Vigilanza sull'attivita' di certificazione). - 1. La
Presidenza del Consiglio dei Ministri - Dipartimento per
l'innovazione e le tecnologie, svolge funzioni di vigilanza e
controllo sull'attivita' di certificazione, ai sensi dell'articolo 3,
comma 2, del decreto legislativo 23 gennaio 2002, n. 10, anche
attraverso le strutture di cui si avvale il Ministro per
l'innovazione e le tecnologie.
2. Fatto salvo quanto previsto dal comma 1, il Dipartimento per
l'innovazione e le tecnologie provvede al controllo periodico dei
certificatori accreditati.".
Art. 15.
Modifiche al decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. Dopo l'articolo 29 del testo unico sono inseriti i seguenti:
"Art. 29-bis (R) (Obblighi del titolare e del certificatore). - 1.
Il titolare ed il certificatore sono tenuti ad adottare tutte le
misure organizzative e tecniche idonee ad evitare danno ad altri.
2. Il certificatore che rilascia, ai sensi dell'articolo 27,
certificati qualificati e' tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della
certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei
modi e nei casi stabiliti dalle regole tecniche di cui all'articolo
8, comma 2, nel rispetto della legge 31 dicembre 1996, n. 675, e
successive modificazioni;
c) specificare, nel certificato qualificato su richiesta
dell'istante, e con il consenso del terzo interessato, i poteri di
rappresentanza o di altri titoli relativi all'attivita' professionale
o a cariche rivestite, previa verifica della sussistenza degli
stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla
procedura di certificazione e sui necessari requisiti tecnici per
accedervi e sulle caratteristiche e sulle limitazioni d'uso delle
firme emesse sulla base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati
personali, ai sensi dell'articolo 15, comma 2, della legge
31 dicembre 1996, n. 675;
g) non rendersi depositario di dati per la creazione della firma
del titolare;
h) procedere alla pubblicazione della revoca e della sospensione
del certificato elettronico in caso di richiesta da parte del
titolare o del terzo dal quale derivino i poteri di quest'ultimo, di
perdita del possesso della chiave, di provvedimento dell'autorita',
di acquisizione della conoscenza di cause limitative della capacita'
del titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei
servizi di elencazione, nonche' garantire un servizio di revoca e
sospensione dei certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di
rilascio, di revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le
informazioni relative al certificato qualificato per dieci anni in
particolare al fine di fornire prova della certificazione in
eventuali procedimenti giudiziari;
n) non copiare, ne' conservare le chiavi private di firma del
soggetto cui il certificatore ha fornito il servizio di
certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le
informazioni utili ai soggetti che richiedono il servizio di
certificazione, tra cui in particolare gli esatti termini e
condizioni relative all'uso del certificato, compresa ogni
limitazione dell'uso, l'esistenza di un sistema di accreditamento
facoltativo e le procedure di reclamo e di risoluzione delle
controversie; dette informazioni, che possono essere trasmesse
elettronicamente, devono essere scritte in linguaggio chiaro ed
essere fornite prima dell'accordo tra il richiedente il servizio ed
il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei
certificati con modalita' tali da garantire che soltanto le persone
autorizzate possano effettuare inserimenti e modifiche, che
l'autenticita' delle informazioni sia verificabile, che i certificati
siano accessibili alla consultazione del pubblico soltanto nei casi
consentiti dal titolare del certificato e che l'operatore possa
rendersi conto di qualsiasi evento che comprometta i requisiti di
sicurezza. Su richiesta, elementi pertinenti delle informazioni
possono essere resi accessibili a terzi che facciano affidamento sul
certificato.
3. Il certificatore che rilascia certificati al pubblico raccoglie
i dati personali solo direttamente dalla persona cui si riferiscono o
previo suo esplicito consenso, e soltanto nella misura necessaria al
rilascio e al mantenimento del certificato, fornendo l'informativa
prevista dalla disciplina in materia di dati personali. I dati non
possono essere raccolti o elaborati per fini diversi senza l'espresso
consenso della persona cui si riferiscono.
Art. 29-ter (R) (Uso di pseudonimi). - 1. In luogo del nome del
titolare il certificatore puo' riportare sul certificato elettronico
uno pseudonimo, qualificandolo come tale. Se il certificato e'
qualificato, il certificatore ha l'obbligo di conservare le
informazioni relative alla reale identita' del titolare per almeno
dieci anni dopo la scadenza del certificato stesso.
Art. 29-quater (R) (Efficacia dei certificati qualificati). - 1. La
firma elettronica, basata su un certificato qualificato scaduto,
revocato o sospeso non costituisce valida sottoscrizione.
Art. 29-quinquies (R) (Norme particolari per le pubbliche
amministrazioni e per altri soggetti qualificati). - 1. Ai fini della
sottoscrizione, ove prevista, di documenti informatici di rilevanza
esterna, le pubbliche amministrazioni:
a) possono svolgere direttamente l'attivita' di rilascio dei
certificati qualificati avendo a tale fine l'obbligo di accreditarsi
ai sensi dell'articolo 28; tale attivita' puo' essere svolta
esclusivamente nei confronti dei propri organi ed uffici, nonche' di
categorie di terzi, pubblici o privati. I certificati qualificati
rilasciati in favore di categorie di terzi possono essere utilizzati
soltanto nei rapporti con l'Amministrazione certificante, al di fuori
dei quali sono privi di ogni effetto; con decreto del Presidente del
Consiglio dei Ministri, su proposta dei Ministri per la funzione
pubblica e per l'innovazione e le tecnologie e dei Ministri
interessati, di concerto con il Ministro dell'economia e delle
finanze, sono definite le categorie di terzi e le caratteristiche dei
certificati qualificati;
b) possono rivolgersi a certificatori accreditati, secondo la
vigente normativa in materia di contratti pubblici.
2. Per la formazione, gestione e sottoscrizione di documenti
informatici aventi rilevanza esclusivamente interna ciascuna
amministrazione puo' adottare, nella propria autonomia organizzativa,
regole diverse da quelle contenute nelle regole tecniche di cui
all'articolo 8, comma 2.
3. Le regole tecniche concernenti la qualifica di pubblico
ufficiale, l'appartenenza ad ordini o collegi professionali,
l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate
con decreti del Ministro per l'innovazione e le tecnologie, di
concerto con il Ministro per la funzione pubblica, con il Ministro
della giustizia e con gli altri Ministri di volta in volta
interessati, sulla base dei principi generali stabiliti dai
rispettivi ordinamenti.
4. Nelle more della definizione delle specifiche norme tecniche di
cui al comma 3, si applicano le norme tecniche di cui all'articolo 8,
comma 2.
Art. 29-sexies (R) (Dispositivi sicuri e procedure per la
generazione della firma). - 1. I dispositivi sicuri e le procedure
utilizzate per la generazione delle firme devono presentare requisiti
di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta
da contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso
da parte di terzi.
2. I dispositivi sicuri di cui al comma 1 devono garantire
l'integrita' dei dati elettronici a cui la firma si riferisce. I dati
devono essere presentati al titolare, prima dell'apposizione della
firma, chiaramente e senza ambiguita', e si deve richiedere conferma
della volonta' di generare la firma.
3. Il secondo periodo del comma 2 non si applica alle firme apposte
con procedura automatica, purche' l'attivazione della procedura sia
chiaramente riconducibile alla volonta' del titolare.
4. I dispositivi sicuri di firma sono sottoposti alla valutazione e
certificazione di sicurezza ai sensi dello schema nazionale per la
valutazione e certificazione di sicurezza nel settore della
tecnologia dell'informazione di cui all'articolo 10, comma 1, del
decreto legislativo 23 gennaio 2002, n. 10.
Art. 29-septies (R) (Revoca e sospensione dei certificati
qualificati). - 1. Il certificato qualificato deve essere a cura del
certificatore:
a) revocato in caso di cessazione dell'attivita' del
certificatore;
b) revocato o sospeso in esecuzione di un provvedimento
dell'autorita';
c) revocato o sospeso a seguito di richiesta del titolare o del
terzo dal quale derivano i poteri del titolare, secondo le modalita'
previste nel presente decreto;
d) revocato o sospeso in presenza di cause limitative della
capacita' del titolare o di abusi o falsificazioni.
2. Il certificato qualificato puo', inoltre, essere revocato o
sospeso nei casi previsti dalle regole tecniche di cui all'articolo
8, comma 2.
3. La revoca o la sospensione del certificato qualificato,
qualunque ne sia la causa, ha effetto dal momento della pubblicazione
della lista che lo contiene. Il momento della pubblicazione deve
essere attestato mediante adeguato riferimento temporale.
4. Le modalita' di revoca o sospensione sono previste nelle regole
tecniche di cui all'articolo 8, comma 2.
Art. 29-octies (R) (Cessazione dell'attivita). - 1. Il
certificatore qualificato o accreditato che intende cessare
l'attivita' deve, almeno sessanta giorni prima della data di
cessazione, darne avviso al Dipartimento per l'innovazione e le
tecnologie, informando senza indugio i titolari dei certificati da
lui emessi specificando che tutti i certificati non scaduti al
momento della cessazione saranno revocati.
2. Il certificatore di cui al comma 1 comunica contestualmente la
rilevazione della documentazione da parte di altro certificatore o
l'annullamento della stessa. L'indicazione di un certificatore
sostitutivo non impone la revoca di tutti i certificati non scaduti
al momento della cessazione.
3. Il certificatore di cui al comma 1 deve indicare altro
depositario del registro dei certificati e della relativa
documentazione.
4. Il Dipartimento rende nota la data di cessazione dell'attivita'
del certificatore accreditato tramite l'elenco di cui all'articolo
28, comma 6.".
Art. 16.
Disposizioni transitorie
1. I certificati emessi alla data di entrata in vigore del presente
decreto dai soggetti che risultano iscritti nell'elenco pubblico dei
certificatori tenuto dall'Autorita' per l'informatica nella pubblica
amministrazione sono considerati certificati qualificati.
2. Fino alla completa operativita' dell'elenco di cui all'articolo
28, comma 6, del testo unico coloro che intendono accreditarsi presso
la Presidenza del Consiglio dei Ministri - Dipartimento per
l'innovazione e le tecnologie, effettuano gli adempimenti previsti
dagli articoli 27 e 28 del medesimo testo unico presso l'Autorita'
per l'informatica nella pubblica amministrazione.
Art. 17.
Disposizioni finali
1. Le modifiche di cui al presente regolamento apportate al decreto
del Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A),
si intendono riferite anche al decreto del Presidente della
Repubblica 28 dicembre 2000, n. 444 (Testo C).
Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Dato a Roma, addi' 7 aprile 2003
CIAMPI
Berlusconi, Presidente del Consiglio
dei Ministri
Buttiglione, Ministro per le politiche
comunitarie
Stanca, Ministro per l'innovazione e le
tecnologie
Frattini, Ministro degli affari esteri
Pisanu, Ministro dell'interno
Castelli, Ministro della giustizia
Tremonti, Ministro dell'economia e
delle finanze
Gasparri, Ministro delle comunicazioni
Mazzella, Ministro per la funzione
pubblica
Visto, Il Guardasigilli: Castelli
Registrato alla Corte dei conti il 4 giugno 2003
Ministeri istituzionali, registro n. 5, foglio n. 347
