L'art.
30 del Codice dell'amministrazione digitale (D. Lgs. 7 marzo 2005, n. 82) prevede
la misura della responsabilità del certificatore. Costui risponde,
se non prova di aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento sull'esattezza e completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio, sulla garanzia che al tempo del rilascio del detto certificato il firmatario detenesse i congruenti dati per la creazione della firma, sulla garanzia che detti dati per la creazione e la verifica della firma possano essere usati in modo complementare (in relazione cioè ad una chiave asimmetrica), ovviamente quando sia il certificatore a generare entrambi tali dati, infine sull'adempimento degli obblighi di cui all'art.
32 del Codice.
Ai sensi del II comma della disposizione in esame
30 il certificatore che rilascia al pubblico un certificato qualificato
è responsabile nei confronti dei terzi che facciano ragionevole affidamento sul certificato stesso, in relazione ai danni provocati per effetto della mancata o intempestiva registrazione della revoca o della non tempestiva sospensione del certificato, salvo che provi di aver agito senza colpa. Ciò equivale a sancire una sostanziale
presunzione di colpa in capo al certificatore, presunzione che parrebbe vincibile soltanto raggiungendo la prova positiva di aver tenuto un comportamento diligente. Il punto è estremamente delicato, dovendo essere ricondotto alla natura stessa della prova liberatoria in relazione al più vasto tema della responsabilità per il soggetto passivo dell'obbligazione nell'ipotesi di mancato raggiungimento del risultato utile programmato (cfr. gli artt.
1176 e
1218 cod. civ.).
Inoltre
è possibile che il certificatore indichi su un certificato qualificato i limiti di utilizzo dello stesso ovvero un valore posto come limite per gli strumenti negoziali che possono essere compiuti con l'ausilio dello stesso. Il tutto a condizione che le dette limitazioni siano riconoscibili da parte dei terzi e siano chiaramente evidenziati nel certificato. In questo caso il certificatore non è responsabile dei danni derivanti dall'uso del certificato qualificato in maniera eccedente i limiti predetti.
Speciali sanzioni per i certificatori qualificati e per i gestori di posta elettronica certificata sono state introdotte dall'art.
32 bis del Codice dell'amministrazione digitale, come introdotto dal D.Lgs.
235/2010.