Decreto del Presidente della Repubblica 7 aprile
2003, n.137
Regolamento recante disposizioni di coordinamento in materia di firme
elettroniche a norma dell'articolo 13 del decreto legislativo 23 gennaio 2002,
n. 10.
(GU n. 138 del 17-6-2003)
Testo in vigore dal: 2-7-2003
IL PRESIDENTE DELLA REPUBBLICA
- Visto l'articolo 87, quinto comma, della Costituzione;
- Visto l'articolo 17, comma 2, della legge 23 agosto 1988, n. 400;
- Visto l'articolo 4, comma 5, della legge 9 marzo 1989, n. 86;
- Visto l'articolo 7 della legge 8 marzo 1999, n. 50, come modificato
dall'articolo 1, comma 6, lettera e), della legge 24 novembre 2000,n. 340;
- Vista la legge 29 dicembre 2000, n. 422;
- Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445,
recante testo unico delle disposizioni legislative e regolamentari in materia
di documentazione amministrativa (testo A);
- Vista la direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13
dicembre 1999, relativa, ad un quadro comunitario per le firme elettroniche;
- Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione
della citata direttiva 1999/93/CE, ed in particolare l'articolo 13;
- Vista la preliminare deliberazione del Consiglio dei Ministri, adottata
nella riunione del 2 agosto 2002;
- Esperita la procedura di notifica alla Commissione europea di cui alla
direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998,
modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio,
del 20 luglio 1998, attuata con decreto legislativo 23 novembre 2000, n. 427;
- Sentito il Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla Sezione
consultiva per gli atti normativi nelle adunanze del 30 settembre e del 14
ottobre 2002;
- Vista la deliberazione del Consiglio del Ministri, adottata nella riunione
del 31 gennaio 2003;
- Sulla proposta del Ministro per le politiche comunitarie e del Ministro per
l'innovazione e le tecnologie, di concerto con il Ministro degli affari
esteri, dell'interno, della giustizia, dell'economia e delle finanze, delle
comunicazioni e per la funzione pubblica;
Emana il seguente regolamento:
Art. 1.
Modifiche all'articolo 1 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 1 del testo unico delle disposizioni legislativo e regolamentari
in materia di documentazione amministrativa, approvato con il decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445, di seguito denominato:
«testo unico», è sostituito dal seguente:
«Art. 1(R) (Definizioni). - 1. Ai fini del presente testo unico si intende
per:
a) DOCUMENTO AMMINISTRATIVO ogni rappresentazione, comunque formata, del
contenuto di atti, anche interni, delle pubbliche amministrazioni o, comunque,
utilizzati ai fini dell'attività
amministrativa. Le relative modalità di trasmissione sono quelle indicate al
capo II, sezione III, del presente testo unico;
b) DOCUMENTO INFORMATICO la rappresentazione informatica di atti, fatti o dati
giuridicamente rilevanti;
c) DOCUMENTO DI RICONOSCIMENTO ogni documento munito di fotografia del
titolare e rilasciato, su supporto cartaceo, magnetico o informatico, da una
pubblica amministrazione italiana o di altri Stati, che consenta
l'identificazione personale del titolare;
d) DOCUMENTO D'IDENTITA' la carta d'identità ed ogni altro documento munito
di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o
informatico, da una pubblica amministrazione competente dello Stato italiano o
di altri Stati, con la finalità prevalente di dimostrare l'identità
personale del suo titolare;
e) DOCUMENTO D'IDENTITA' ELETTRONICO il documento analogo alla carta d'identità
elettronica rilasciato dal comune fino al compimento del quindicesimo anno di
età;
f) CERTIFICATO il documento rilasciato da una amministrazione pubblica avente
funzione di ricognizione, riproduzione o partecipazione a terzi di stati,
qualità personali e fatti contenuti in albi, elenchi o registri pubblici o
comunque accertati da soggetti titolari di funzioni pubbliche;
g) DICHIARAZIONE SOSTITUTIVA DI CERTIFICAZIONE il documento, sottoscritto
dall'interessato, prodotto in sostituzione del certificato di cui alla lettera
f);
h) DICHIARAZIONE SOSTITUTIVA DI ATTO DI NOTORIETA' il documento sottoscritto
dall'interessato, concernente stati, qualità personali e fatti, che siano a
diretta conoscenza di questi, resa nelle forme previste dal presente testo
unico;
i) AUTENTICAZIONE DI SOTTOSCRIZIONE, l'attestazione, da parte di un pubblico
ufficiale, che la sottoscrizione è stata apposta in sua presenza, previo
accertamento dell'identità della persona che sottoscrive;
l) LEGALIZZAZIONE DI FIRMA l'attestazione ufficiale della legale qualità di
chi ha apposto la propria firma sopra atti, certificati, copie ed estratti,
nonchè dell'autenticità della firma stessa;
m) LEGALIZZAZIONE DI FOTOGRAFIA l'attestazione, da parte di una pubblica
amministrazione competente, che un'immagine fotografica corrisponde alla
persona dell'interessato;
n) FIRMA DIGITALE è un particolare tipo di firma elettronica qualificata
basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una
privata, che consente al titolare tramite la chiave
privata e al destinatario tramite la chiave pubblica, rispettivamente, di
rendere manifesta e di verificare la provenienza e l'integrità di un
documento informatico o di un insieme di
documenti informatici;
o) AMMINISTRAZIONI PROCEDENTI le amministrazioni e, nei rapporti con l'utenza,
i gestori di pubblici servizi che ricevono le dichiarazioni sostitutive di cui
alle lettere g) e h) ovvero
provvedono agli accertamenti d'ufficio ai sensi dell'articolo 43;
p) AMMINISTRAZIONI CERTIFICANTI le amministrazioni e i gestori di pubblici
servizi che detengono nei propri archivi le informazioni e i dati contenuti
nelle dichiarazioni sostitutive, o richiesti direttamente dalle
amministrazioni procedenti ai sensi degli articoli 43 e 71;
q) GESTIONE DEI DOCUMENTI l'insieme delle attività finalizzate alla
registrazione di protocollo e alla classificazione, organizzazione,
assegnazione e reperimento dei documenti
amministrativi formati o acquisiti dalle amministrazioni, nell'ambito del
sistema di classificazione d'archivio adottato; essa è effettuata mediante
sistemi informativi autorizzati;
r) SISTEMA DI GESTIONE INFORMATICA DEI DOCUMENTI l'insieme delle risorse di
calcolo, degli apparati, delle reti di comunicazione e delle procedure
informatiche utilizzati dalle amministrazioni per la gestione dei documenti;
s) SEGNATURA DI PROTOCOLLO l'apposizione o l'associazione, all'originale del
documento, in forma permanente e non modificabile delle informazioni
riguardanti il documento stesso;
t) CERTIFICATI ELETTRONICI ai sensi dell'articolo 2, comma 1, lettera d), del
decreto legislativo 23 gennaio 2002, n. 10, gli attestati elettronici che
collegano i dati utilizzati per verificare le firme elettroniche ai titolari e
confermano l'identità dei titolari stessi;
u) CERTIFICATORE ai sensi dell'articolo 2, comma 1, lettera b), del decreto
legislativo 23 gennaio 2002, n. 10, il soggetto che presta servizi di
certificazione delle firme elettroniche o che
fornisco altri servizi connessi con queste ultime;
v) CERTIFICATORE QUALIFICATO il certificatore che rilascia al pubblico
certificati elettronici conformi ai requisiti indicati nel presente testo
unico e nelle regole tecniche di cui all'articolo 8,
comma 2;
z) CERTIFICATORE ACCREDITATO ai sensi dell'articolo 2, comma 1, lettera c),
del decreto legislativo 23 gennaio 2002, n. 10, il certificatore accreditato
in Italia ovvero in altri Stati membri dell'Unione europea ai sensi
dell'articolo 3, paragrafo 2, della direttiva n. 1999/93/CE, nonchè ai sensi
del presente testo unico;
aa) CERTIFICATI QUALIFICATI ai sensi dell'articolo 2, comma 1, lettera e), del
decreto legislativo 23 gennaio 2002, n. 10, i certificati elettronici conformi
ai requisiti di cui all'allegato I
della direttiva n. 1999/93/CE, rilasciati da certificatori che rispondono ai
requisiti di cui all'allegato II della medesima direttiva;
bb) CARTA NAZIONALE DEI SERVIZI il documento rilasciato su supporto
informatico per consentire l'accesso per via telematica ai servizi erogati
dalla pubblica amministrazione;
cc) FIRMA ELETTRONICA ai sensi dell'articolo 2, comma 1, lettera a), del
decreto legislativo 23 gennaio 2002, n. 10, l'insieme dei dati in forma
elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di
autentificazione informatica;
dd) FIRMA ELETTRONICA AVANZATA ai sensi dell'articolo 2, comma 1, lettera g),
del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica ottenuta
attraverso una procedura informatica che garantisce la connessione univoca al
firmatario e la sua univoca
identificazione, creata con mezzi sui quali il firmatario può conservare un
controllo esclusivo e collegata ai dati ai quali si riferisce in modo da
consentire di rilevare se i dati stessi siano stati successivamente
modificati;
ee) FIRMA ELETTRONICA QUALIFICATA la firma elettronica avanzata che sia basata
su un certificato qualificato e creata mediante un dispositivo sicuro per la
creazione della firma;
ff) TITOLARE la persona fisica cui è attribuita la firma elettronica e che ha
accesso al dispositivo per la creazione della firma elettronica;
gg) DATI PER LA CREAZIONE DI UNA FIRMA i dati peculiari, come codici o chiavi
crittografiche private, utilizzati dal titolare per creare la firma
elettronica;
hh) DISPOSITIVO PER LA CREAZIONE DELLA FIRMA il programma informatico
adeguatamente configurato (software) o l'apparato strumentale (hardware) usati
per la creazione della firma elettronica;
ii) DISPOSITIVO SICURO PER LA CREAZIONE DELLA FIRMA ai sensi
dell'articolo 2, comma 1, lettera f), del decreto legislativo 23 gennaio 2002,
n. 10, l'apparato strumentale usato per la creazione della firma elettronica,
rispondente ai requisiti di cui all'articolo 10 del citato decreto n. 10 del
2002, nonchè del presente testo unico;
ll) DATI PER LA VERIFICA DELLA FIRMA i dati peculiari, come codici o chiavi
crittografiche pubbliche, utilizzati per verificare la firma elettronica;
mm) DISPOSITIVO DI VERIFICA DELLA FIRMA il programma informatico (software)
adeguatamente configurato o l'apparato strumentale (hardware) usati per
effettuare la verifica della firma elettronica;
nn) ACCREDITAMENTO FACOLTATIVO ai sensi dell'articolo 2, comma 1, lettera h),
del decreto legislativo 23 gennaio 2002, n. 10, il riconoscimento del
possesso, da parte del certificatore che la richieda, dei requisiti del
livello più elevato, in termini di qualità e di sicurezza;
oo) PRODOTTI DI FIRMA ELETTRONICA i programmi informatici (software), gli
apparati strumentali (hardware) e i componenti di tali sistemi informatici,
destinati ad essere utilizzati per la creazione e la verifica di firme
elettroniche o da un certificatore per altri servizi di firma elettronica.».
Art. 2.
Modifiche all'articolo 8 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. Al comma 2 dell'articolo 8 del testo unico le parole: «sentiti l'Autorità
per l'informatica nella pubblica amministrazione», sono sostituite dalle
seguenti: «, o, per sua delega del Ministro per
l'innovazione e le tecnologie, sentiti il Ministro per la funzione pubblica».
Art. 3.
Modifiche all'articolo 9 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. Il comma 4 dell'articolo 9 del testo unico è sostituito dal seguente: «4.
Le regole tecniche in materia di formazione e conservazione di documenti
informatici delle pubbliche
amministrazioni sono definite dalla Presidenza del Consiglio dei Ministri -
Dipartimento per l'innovazione e le tecnologie, d'intesa con il Dipartimento
della funzione pubblica ed il Ministero per i
beni e le attività culturali, sentito il Garante per la protezione dei dati
personali e, per il materiale classificato d'intesa con le Amministrazioni
della difesa, dell'interno e dell'economia e delle
finanze, rispettivamente competenti.».
Art. 4.
Modifiche all'articolo 11 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. Al comma 1 dell'articolo 11 del testo unico le parole: «mediante l'uso
della firma digitale» sono sostituite dalle seguenti: «mediante l'uso della
firma elettronica qualificata».
Art. 5.
Modifiche all'articolo 12 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 12 del testo unico è sostituito dal seguente:
«Art. 12 (R) (Pagamenti informatici). - 1. Il trasferimento in via telematica
di fondi tra privati, pubbliche amministrazioni e tra queste e soggetti
privati è effettuato secondo regole fissate con
decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del
Ministro per l'innovazione e le tecnologie, di concerto con i Ministri per la
funzione pubblica, della giustizia e dell'economia e
delle finanze, sentiti il Garante per la protezione dei dati personali e la
Banca d'Italia.».
Art. 6.
Modifiche all'articolo 20 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. Al comma 2 dell'articolo 20 del testo unico le parole: «la firma digitale
di colui che li spedisce o rilascia, secondo le disposizioni del presente
testo unico.», sono sostituite dalle seguenti: «, da
parte di colui che li spedisce o rilascia, una firma elettronica qualificata.».
Art. 7.
Modifiche alla rubrica della sezione V del capo II del decreto del Presidente
della Repubblica 28 dicembre 2000, n. 445
1. La rubrica della sezione V del capo II del testo unico: «Firma digitale»
e' sostituita dalla seguente: «Firme elettroniche».
Art. 8.
Modifiche all'articolo 22 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. Al comma 1 dell'articolo 22 del testo unico sono apportate leseguenti
modificazioni:
a) le lettere b), c) e d), sono sostituite dalle seguenti:
«b) per chiavi asimmetriche, la coppia di chiavi crittografiche, una privata
ed una pubblica, correlate tra loro, utilizzate nell'ambito dei sistemi di
validazione di documenti
informatici;
c) per chiave privata, l'elemento della coppia di chiavi asimmetriche,
destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il
quale si appone la firma digitale sul documento
informatico;
d) per chiave pubblica, l'elemento della coppia di chiavi asimmetriche
destinato ad essere reso pubblico, con il quale si verifica la firma digitale
apposta sul documento informatico dal
titolare delle chiavi asimmetriche;»;
b) la lettera f) è abrogata;
c) la lettera i) è abrogata;
d) le lettere l), m) ed n), sono sostituite dalle seguenti:
«l) per revoca del certificato elettronico, l'operazione con cui il
certificatore annulla la validità del certificato da un dato momento, non
retroattivo, in poi;
m) per sospensione del certificato elettronico, l'operazione con cui il
certificatore sospende la validità del certificato per un determinato periodo
di tempo;
n) per validità del certificato elettronico, l'efficacia e l'opponibilità al
titolare dei dati in esso contenuti.»;
e) la lettera o) è abrogata.
Art. 9.
Modifiche all'articolo 23 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 23 del testo unico è sostituito dal seguente:
«Art. 23 (R) (Firma digitale). - 1. La firma digitale deve riferirsi in
maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti
cui è apposta o associata.
2. Per la generazione della firma digitale deve adoperarsi una chiave privata
la cui corrispondente chiave pubblica sia stata oggetto dell'emissione di un
certificato qualificato che, al momento della sottoscrizione, non risulti
scaduto di validità ovvero non risulti revocato o sospeso.
3. L'apposizione ad un documento informatico di una firma elettronica basata
su un certificato elettronico revocato, scaduto o sospeso equivale a mancata
sottoscrizione. La revoca o la
sospensione, comunque motivate, hanno effetto dal momento della pubblicazione,
salvo che il revocante, o chi richiede la sospensione, non dimostri che essa
era già a conoscenza di tutte le parti interessate.
4. L'apposizione di firma digitale integra e sostituisce, ad ogni fine
previsto dalla normativa vigente, l'apposizione di sigilli, punzoni, timbri,
contrassegni e marchi di qualsiasi genere.
5. Attraverso il certificato elettronico si devono rilevare, secondo le regole
tecniche di cui all'articolo 8, comma 2, la validità del certificato
elettronico stesso, nonchè gli elementi
identificativi del titolare e del certificatore.».
Art. 10.
Modifiche all'articolo 26 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 26 del testo unico è sostituito dal seguente:
«Art. 26 (R) (Certificatori). - 1. L'attività dei certificatori stabiliti in
Italia o in un altro Stato membro dell'Unione europea è libera e non
necessita di autorizzazione preventiva, ai sensi
dell'articolo 3 del decreto legislativo 23 gennaio 2002, n. 10. Detti
certificatori o, se persone giuridiche, i loro legali rappresentanti ed i
soggetti preposti all'amministrazione, devono inoltre possedere i requisiti di
onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione,
direzione e controllo presso le banche di cui all'articolo 26 del testo unico
delle leggi in materia
bancaria e creditizia, approvato con decreto legislativo 1° settembre1993, n.
385.
2. L'accertamento successivo dell'assenza o del venir meno dei requisiti di
cui al comma 1 comporta il divieto di prosecuzione dell'attività intrapresa.
3. Ai certificatori qualificati e ai certificatori accreditati che hanno sede
stabile in altri Stati membri dell'Unione europea non si applicano le norme
del presente decreto e le relative norme tecniche di cui all'articolo 8, comma
2, e si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.».
Art. 11.
Modifiche all'articolo 27 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 27 del testo unico e' sostituito dal seguente:
«Art. 27 (R) (Certificatori qualificati). - 1. I certificatori che rilasciano
al pubblico certificati qualificati devono trovarsi nelle condizioni previste
dall'articolo 26.
2. I certificatori di cui al comma 1 devono inoltre:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria
per svolgere attività di certificazione;
b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e
delle competenze necessarie per i servizi forniti, in particolare della
competenza a livello gestionale, della
conoscenza specifica nel settore della tecnologia delle firme elettroniche e
della dimestichezza con procedure di sicurezza appropriate, e che sia in grado
di rispettare le norme del presente testo unico e le regole tecniche di cui
all'articolo 8, comma 2;
c) applicare procedure e metodi amministrativi e di gestione adeguati e
tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e
che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in
conformità a criteri di sicurezza riconosciuti in ambito europeo e
internazionale e certificati ai sensi dello schema nazionale di cui
all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10;
e) adottare adeguate misure contro la contraffazione dei certificati, idonee
anche a garantire la riservatezza, l'integrità e la sicurezza nella
generazione delle chiavi, nei casi in cui il
certificatore generi tali chiavi.
3. I certificatori di cui al comma 1 devono comunicare, prima dell'inizio
dell'attività, anche in via telematica, una dichiarazione di inizio di
attività al Dipartimento dell'innovazione e le tecnologie della Presidenza
del Consiglio dei Ministri, attestante l'esistenza dei presupposti e dei
requisiti previsti dal presente testo unico, ai sensi dell'articolo 4, comma
1, del decreto legislativo 23 gennaio 2002, n. 10.
4. Il Dipartimento procede, d'ufficio o su segnalazione motivata di soggetti
pubblici o privati, a controlli volti ad accertare la sussistenza dei
presupposti e dei requisiti previsti dal presente
testo unico e dispone, se del caso, con provvedimento motivato da notificare
all'interessato, il divieto di prosecuzione dell'attività e la rimozione dei
suoi effetti, salvo che, ove ciò sia possibile,
l'interessato provveda a conformare alla normativa vigente detta attività ed
i suoi effetti entro il termine prefissatogli dall'amministrazione stessa.».
Art. 12.
Modifiche al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445
1. Dopo l'articolo 27 del testo unico è inserito il seguente:
«Art. 27-bis (R) (Certificati qualificati). - 1. I certificati qualificati
devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato
qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo Stato nel
quale è stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o uno
pseudonimo chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la creazione
della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del
certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato il
certificato.
2. In aggiunta alle informazioni di cui al comma 1, fatta salva la possibilità
di utilizzare uno pseudonimo, per i titolari residenti all'estero cui non
risulti attribuito il codice fiscale, si deve
indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di
residenza o, in mancanza, un analogo codice identificativo, quale ad esempio
un codice di sicurezza sociale o un codice
identificativo generale.
3. Il certificato qualificato può inoltre contenere, su domanda del titolare
o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo
per il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o
collegi professionali, l'iscrizione ad albi o il possesso di altre
abilitazioni professionali, nonchè poteri di rappresentanza;
b) limiti d'uso del certificato, ai sensi dell'articolo 28-bis, comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il
certificato può essere usato, ove applicabili.».
Art. 13.
Modifiche all'articolo 28 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 28 del testo unico è sostituito dal seguente:
«Art. 28 (R) (Accreditamento). - 1. Ai sensi dell'articolo 5 del decreto
legislativo 23 gennaio 2002, n. 10, i certificatori che intendono conseguire
il riconoscimento del possesso dei requisiti del
livello più elevato, in termini di qualità e di sicurezza, possono chiedere
di essere accreditati presso la Presidenza del Consiglio dei Ministri -
Dipartimento per l'innovazione e le tecnologie, che a tali
fini può avvalersi delle strutture pubbliche di cui all'articolo 29.
2. Il richiedente deve rispondere ai requisiti di cui all'articolo 27 ed
allegare alla domanda il profilo professionale del personale responsabile
della generazione dei dati per la creazione e
per la verifica della firma, della emissione dei certificati e della gestione
del registro dei certificati nonche' l'impegno al rispetto delle regole di
tecniche.
3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal
comma 2, deve inoltre:
a) avere natura giuridica di società di capitali e un capitale sociale non
inferiore a quello necessario ai fini dell'autorizzazione alla attività
bancaria ai sensi dell'articolo 14 del testo unico
delle leggi in materia bancaria e creditizia, approvato con decreto
legislativo 1° settembre 1993, n. 385;
b) garantire il possesso, oltre che da parte dei rappresentanti legali, anche
da parte dei soggetti preposti alla amministrazione e dei componenti il
collegio sindacale, dei requisiti di onorabilità richiesti ai soggetti che
svolgono funzioni di amministrazione, direzione e controllo presso banche ai
sensi dell'articolo 26 citato del decreto legislativo 1° settembre 1993, n.
385.
4. La domanda di accreditamento si considera accolta qualora non venga
comunicato all'interessato il provvedimento di diniego entro novanta giorni
dalla data di presentazione della stessa.
5. Il termine di cui al comma 4 può essere interrotto una sola volta entro
trenta giorni dalla data di presentazione della domanda, esclusivamente per la
motivata richiesta di documenti che integrino o completino la documentazione
presentata e che non siano già nella disponibilità del Dipartimento per
l'innovazione e le tecnologie o che questo non possa acquisire autonomamente.
In tal caso, il termine riprende a decorrere dalla data di ricezione della
documentazione integrativa.
6. A seguito dell'accoglimento della domanda, il Dipartimento per
l'innovazione e le tecnologie dispone l'iscrizione del richiedente in un
apposito elenco pubblico, tenuto dal Dipartimento stesso e consultabile anche
in via telematica, ai fini dell'applicazione della disciplina in questione.
7. Il certificatore accreditato può qualificarsi come tale nei rapporti
commerciali e con le pubbliche amministrazioni.».
Art. 14.
Modifiche all'articolo 29 del decreto del Presidente della Repubblica 28
dicembre 2000, n. 445
1. L'articolo 29 del testo unico è sostituito dal seguente:
«Art. 29 (R) (Vigilanza sull'attivita' di certificazione). - 1. La Presidenza
del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie,
svolge funzioni di vigilanza e
controllo sull'attività di certificazione, ai sensi dell'articolo 3, comma 2,
del decreto legislativo 23 gennaio 2002, n. 10, anche attraverso le strutture
di cui si avvale il Ministro per l'innovazione e le tecnologie.
2. Fatto salvo quanto previsto dal comma 1, il Dipartimento per l'innovazione
e le tecnologie provvede al controllo periodico dei certificatori accreditati.».
Art. 15.
Modifiche al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445
1. Dopo l'articolo 29 del testo unico sono inseriti i seguenti:
«Art. 29-bis (R) (Obblighi del titolare e del certificatore). - 1. Il
titolare ed il certificatore sono tenuti ad adottare tutte le misure
organizzative e tecniche idonee ad evitare danno ad altri.
2. Il certificatore che rilascia, ai sensi dell'articolo 27, certificati
qualificati è tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei
casi stabiliti dalle regole tecniche di cui all'articolo 8, comma 2, nel
rispetto della legge 31 dicembre 1996, n. 675, e
successive modificazioni;
c) specificare, nel certificato qualificato su richiesta dell'istante, e con
il consenso del terzo interessato, i poteri di rappresentanza o di altri
titoli relativi all'attività professionale o a cariche rivestite, previa
verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di
certificazione e sui necessari requisiti tecnici per accedervi e sulle
caratteristiche e sulle limitazioni d'uso delle
firme emesse sulla base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati personali, ai
sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675;
g) non rendersi depositario di dati per la creazione della firma del titolare;
h) procedere alla pubblicazione della revoca e della sospensione del
certificato elettronico in caso di richiesta da parte del titolare o del terzo
dal quale derivino i poteri di quest'ultimo, di
perdita del possesso della chiave, di provvedimento dell'autorità, di
acquisizione della conoscenza di cause limitative della capacità del
titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di
elencazione, nonchè garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di rilascio, di
revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le informazioni relative
al certificato qualificato per dieci anni in particolare al fine di fornire
prova della certificazione in eventuali procedimenti giudiziari;
n) non copiare, nè conservare le chiavi private di firma del soggetto cui il
certificatore ha fornito il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili
ai soggetti che richiedono il servizio di certificazione, tra cui in
particolare gli esatti termini e condizioni relative all'uso del certificato,
compresa ogni limitazione dell'uso, l'esistenza di un sistema di
accreditamento facoltativo e le procedure di reclamo e di risoluzione delle
controversie; dette informazioni, che possono essere trasmesse
elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite
prima dell'accordo tra il richiedente il servizio ed il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei certificati
con modalità tali da garantire che soltanto le persone autorizzate possano
effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia
verificabile, che i certificati siano accessibili alla consultazione del
pubblico soltanto nei casi consentiti dal titolare del certificato e che
l'operatore possa rendersi conto di qualsiasi evento che comprometta i
requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni
possono essere resi accessibili a terzi che facciano affidamento sul
certificato.
3. Il certificatore che rilascia certificati al pubblico raccoglie i dati
personali solo direttamente dalla persona cui si riferiscono o previo suo
esplicito consenso, e soltanto nella misura necessaria al
rilascio e al mantenimento del certificato, fornendo l'informativa prevista
dalla disciplina in materia di dati personali. I dati non possono essere
raccolti o elaborati per fini diversi senza l'espresso consenso della persona
cui si riferiscono.
Art. 29-ter (R) (Uso di pseudonimi). - 1. In luogo del nome del titolare il
certificatore può riportare sul certificato elettronico uno pseudonimo,
qualificandolo come tale. Se il certificato è ualificato, il certificatore ha
l'obbligo di conservare le informazioni relative alla reale identità del
titolare per almeno dieci anni dopo la scadenza del certificato stesso.
Art. 29-quater (R) (Efficacia dei certificati qualificati). - 1. La firma
elettronica, basata su un certificato qualificato scaduto, revocato o sospeso
non costituisce valida sottoscrizione.
Art. 29-quinquies (R) (Norme particolari per le pubbliche amministrazioni e
per altri soggetti qualificati). - 1. Ai fini della sottoscrizione, ove
prevista, di documenti informatici di rilevanza esterna, le pubbliche
amministrazioni:
a) possono svolgere direttamente l'attività di rilascio dei certificati
qualificati avendo a tale fine l'obbligo di accreditarsi ai sensi
dell'articolo 28; tale attività può essere svolta esclusivamente nei
confronti dei propri organi ed uffici, nonchè di categorie di terzi, pubblici
o privati. I certificati qualificati rilasciati in favore di categorie di
terzi possono essere utilizzati soltanto nei rapporti con l'Amministrazione
certificante, al di fuori dei quali sono privi di ogni effetto; con decreto
del Presidente del Consiglio dei Ministri, su proposta dei Ministri per la
funzione pubblica e per l'innovazione e le tecnologie e dei Ministri
interessati, di concerto con il Ministro dell'economia e delle finanze, sono
definite le categorie di terzi e le caratteristiche dei certificati
qualificati;
b) possono rivolgersi a certificatori accreditati, secondo la vigente
normativa in materia di contratti pubblici.
2. Per la formazione, gestione e sottoscrizione di documenti informatici
aventi rilevanza esclusivamente interna ciascuna amministrazione può
adottare, nella propria autonomia organizzativa, regole diverse da quelle
contenute nelle regole tecniche di cui all'articolo 8, comma 2.
3. Le regole tecniche concernenti la qualifica di pubblico ufficiale,
l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il
possesso di altre abilitazioni sono emanate con decreti del Ministro per
l'innovazione e le tecnologie, di concerto con il Ministro per la funzione
pubblica, con il Ministro della giustizia e con gli altri Ministri di volta in
volta interessati, sulla base dei principi generali stabiliti dai rispettivi
ordinamenti.
4. Nelle more della definizione delle specifiche norme tecniche di cui al
comma 3, si applicano le norme tecniche di cui all'articolo 8, comma 2.
Art. 29-sexies (R) (Dispositivi sicuri e procedure per la generazione della
firma). - 1. I dispositivi sicuri e le procedure utilizzate per la generazione
delle firme devono presentare requisiti
di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta da
contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso da parte di
terzi.
2. I dispositivi sicuri di cui al comma 1 devono garantire l'integrità dei
dati elettronici a cui la firma si riferisce. I dati devono essere presentati
al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità,
e si deve richiedere conferma della volontà di generare la firma.
3. Il secondo periodo del comma 2 non si applica alle firme apposte con
procedura automatica, purchè l'attivazione della procedura sia chiaramente
riconducibile alla volontà del titolare.
4. I dispositivi sicuri di firma sono sottoposti alla valutazione e
certificazione di sicurezza ai sensi dello schema nazionale per la valutazione
e certificazione di sicurezza nel settore della
tecnologia dell'informazione di cui all'articolo 10, comma 1, del decreto
legislativo 23 gennaio 2002, n. 10.
Art. 29-septies (R) (Revoca e sospensione dei certificati qualificati). - 1.
Il certificato qualificato deve essere a cura del certificatore:
a) revocato in caso di cessazione dell'attività del certificatore;
b) revocato o sospeso in esecuzione di un provvedimento dell'autorità;
c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal
quale derivano i poteri del titolare, secondo le modalità previste nel
presente decreto;
d) revocato o sospeso in presenza di cause limitative della capacità del
titolare o di abusi o falsificazioni.
2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei
casi previsti dalle regole tecniche di cui all'articolo 8, comma 2.
3. La revoca o la sospensione del certificato qualificato, qualunque ne sia la
causa, ha effetto dal momento della pubblicazione della lista che lo contiene.
Il momento della pubblicazione deve essere attestato mediante adeguato
riferimento temporale.
4. Le modalità di revoca o sospensione sono previste nelle regole tecniche di
cui all'articolo 8, comma 2.
Art. 29-octies (R) (Cessazione dell'attivita). - 1. Il certificatore
qualificato o accreditato che intende cessare l'attività deve, almeno
sessanta giorni prima della data di cessazione, darne avviso al Dipartimento
per l'innovazione e le tecnologie, informando senza indugio i titolari dei
certificati da lui emessi specificando che tutti i certificati non scaduti al
momento della cessazione saranno revocati.
2. Il certificatore di cui al comma 1 comunica contestualmente la rilevazione
della documentazione da parte di altro certificatore o l'annullamento della
stessa. L'indicazione di un certificatore sostitutivo non impone la revoca di
tutti i certificati non scaduti al momento della cessazione.
3. Il certificatore di cui al comma 1 deve indicare altro depositario del
registro dei certificati e della relativa documentazione.
4. Il Dipartimento rende nota la data di cessazione dell'attività del
certificatore accreditato tramite l'elenco di cui all'articolo
28, comma 6.».
Art. 16.
Disposizioni transitorie
1. I certificati emessi alla data di entrata in vigore del presente decreto
dai soggetti che risultano iscritti nell'elenco pubblico dei certificatori
tenuto dall'Autorità per l'informatica nella pubblica amministrazione sono
considerati certificati qualificati.
2. Fino alla completa operatività dell'elenco di cui all'articolo 28, comma
6, del testo unico coloro che intendono accreditarsi presso la Presidenza del
Consiglio dei Ministri - Dipartimento per
l'innovazione e le tecnologie, effettuano gli adempimenti previsti dagli
articoli 27 e 28 del medesimo testo unico presso l'Autorità per l'informatica
nella pubblica amministrazione.
Art. 17.
Disposizioni finali
1. Le modifiche di cui al presente regolamento apportate al decreto del
Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A), si intendono
riferite anche al decreto del Presidente della
Repubblica 28 dicembre 2000, n. 444 (Testo C).
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella
Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto
obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Dato a Roma, addì 7 aprile 2003
CIAMPI
Berlusconi, Presidente del Consiglio dei Ministri
Buttiglione, Ministro per le politiche comunitarie
Stanca, Ministro per l'innovazione e le tecnologie
Frattini, Ministro degli affari esteri
Pisanu, Ministro dell'interno
Castelli, Ministro della giustizia
Tremonti, Ministro dell'economia e delle finanze
Gasparri, Ministro delle comunicazioni
Mazzella, Ministro per la funzione pubblica
Visto, Il Guardasigilli: Castelli