Decreto Presidente Consiglio Ministri del 22 febbraio 2013 art. 3

DISPOSIZIONI GENERALI

1. La firma elettronica qualificata è generata esclusivamente con i dispositivi di cui all'art. 1, comma 1, lettere n) e p).
2. La firma digitale è generata con i dispositivi di cui all'art. 1, comma 1, lettere o) e p).
3. Le presenti regole tecniche definiscono le caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale ai fini e per gli effetti di cui all'art. 20, comma 1-bis e 21, comma 2, del Codice.
4. La firma remota di cui all'art. 1, comma 1, lettera q), è generata su un HSM custodito e gestito, sotto la responsabilità, dal certificatore accreditato ovvero dall'organizzazione di appartenenza dei titolari dei certificati che ha richiesto i certificati medesimi ovvero dall'organizzazione che richiede al certificatore di fornire certificati qualificati ad altri soggetti al fine di dematerializzare lo scambio documentale con gli stessi. Il certificatore deve essere in grado, dato un certificato qualificato, di individuare agevolmente il dispositivo afferente la corrispondente chiave privata.
5. Nel caso in cui il dispositivo di cui al comma 4 non sia custodito dal certificatore, egli deve:
a) indicare al soggetto che custodisce il dispositivo le procedure operative, gestionali e le misure di sicurezza fisica e logica che tale soggetto è obbligato ad applicare;
b) effettuare verifiche periodiche sulla corretta applicazione delle indicazioni di cui alla lettera a), che il soggetto che custodisce il dispositivo ha l'obbligo di consentire ed agevolare;
c) redigere i verbali dell'attività di verifica di cui alla lettera b) che potranno essere richiesti in copia dall'Agenzia ai fini dell'attività di cui all'art. 31 del Codice;
d) comunicare all'Agenzia il luogo in cui i medesimi dispositivi sono custoditi;
e) effettuare ulteriori verifiche su richiesta dell'Agenzia consentendo di partecipare anche ad incaricati dello stesso ente;
f) assicurare che il soggetto che custodisce il dispositivo si impegni a consentire le verifiche di cui alle lettere b) ed e).
6. Nel caso in cui il certificatore venga a conoscenza dell'inosservanza di quanto previsto al comma 5, procede alla revoca dei certificati afferenti le chiavi private custodite sui dispositivi oggetto dell'inadempienza.
7. La firma remota di cui all'art. 1, comma 1, lettera q), è realizzata con misure tecniche ed organizzative, esplicitamente approvate, per le rispettive competenze, dall'Agenzia, nell'ambito delle attività di cui agli articoli 29 e 31 del Codice, e da OCSI, per quanto concerne la sicurezza del dispositivo ai sensi dell'art. 35 del Codice, tali da garantire al titolare il controllo esclusivo della chiave privata.