L'art.
35 del Codice dell'amministrazione digitale (D. Lgs. 7 marzo 2005, n. 82, come modificato dal D. Lgs.
235/2010 nonchè ulteriormente variato al V comma per effetto dell'entrata in vigore del provvedimento sulla c.d. "agenda digitale" di cui al D.L. 18 ottobre 2012, n.
179 convertito, con modificazioni, dalla L. 17 dicembre 2012, n. 221) prende in considerazione i dispositivi sicuri e procedure per la generazione della firma elettronica. Si faccia attenzione al fatto che
essi debbono essere custoditi a cura del titolare, il quale li deve utilizzare personalmente (art.
32, I comma del Codice, come modificato dal D.Lgs. 04 aprile 2006,
n. 159).
Tali dispositivi devono presentare requisiti di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi.
A propria volta, ai sensi del II comma della disposizione in esame (art.
35 del D. Lgs. 82/05), i dispositivi sicuri devono garantire l'integrità dei dati elettronici a cui la firma si riferisce. I dati devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità e si deve richiedere conferma della volontà di generare la firma. Quest'ultima regola non si applica alle firme apposte con procedura automatica. In tale caso la firma è valida se è apposta previo consenso del titolare all'adozione della procedura automatica stessa.
I dispositivi sicuri di firma sono infine dotati, ai sensi del IV comma art.
35 del Codice (come novellato dal D.Lgs.
235/2010), di certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione fissato con decreto del Presidente del Consiglio dei Ministri o, su delega di questi, emanato dal Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e delle economia e delle finanze. La valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma è effettuata dall'Agenzia per l'Italia digitale in conformità ad apposite linee guida da questa emanate, acquisito il parere obbligatorio dell'Organismo di certificazione della sicurezza informatica.