L'attività del certificatore (forma elettronica)



Gli artt. 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36 e 37 del Codice dell'amministrazione digitale (D. Lgs. 7 marzo 2005, n. 82) si occupano della figura del certificatore, vale a dire di quel soggetto la cui attività consiste nel rilascio e nella gestione dei certificati di firma elettronica qualificata (dunque anche di firma digitale, che ne costituisce una specie).
L'art. 26 del Codice prevede che l'attività dei certificatori stabiliti in Italia (o in altri Paesi membri dell'Unione europea) sia libera e non sottoposta ad alcuna preventiva autorizzazione. Grande rilevanza deve essere annessa ai compiti demandati agli enti che esercitano attività di certificazione, i cui legali rappresentanti (o i cui amministratori) devono possedere i requisiti di onorabilità richiesti "ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche" di cui all'art. 26 del T.U. in materia bancaria e creditizia 385/93. L'art. 27 del Codice contempla i requisiti di cui devono essere in possesso i certificatori qualificati, vale a dire quei certificatori in grado di rilasciare a chi ne faccia richiesta certificati qualificati. Essi, oltre a doversi trovare nelle condizioni di cui all'art. 26 del Codice, devono:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate, e che sia in grado di rispettare le norme del Codice nonchè le regole tecniche di cui all'art. 71 del Codice, ulteriormente specificate, da ultimo, dal DPCM 22/02/2013;
c) applicare procedure e metodi amministrativi e di gestione adeguati e tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'art. 35, comma V , del Codice, norma che, all'esito della novellazione del 2012 (D.L. 18 ottobre 2012, n. 179 convertito, con modificazioni, dalla L. 17 dicembre 2012, n. 221), stabilisce che la valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma sia effettuata dall'Agenzia per l'Italia digitale in conformità ad apposite linee guida da questa emanate, acquisito il parere obbligatorio dell'Organismo di certificazione della sicurezza informatica.;
e) adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi, nei casi in cui il certificatore generi tali chiavi. I certificatori qualificati devono inoltre comunicare, prima dell'inizio dell'attività, anche in via telematica, una dichiarazione di inizio di attività a AgID, attestante l'esistenza dei presupposti e dei requisiti previsti dal Codice. AgID procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, ai controlli del caso.
Il contenuto dei certificati qualificati viene specificato dall'art. 28 del Codice, ai sensi del quale essi devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo Stato nel quale è stabilito;
d) nome, cognome o uno pseudonimo chiaramente identificato come tale e codice fiscale del titolare del certificato;
e) dati per la verifica della firma, cioè i dati peculiari, come codici o chiavi crittografiche pubbliche utilizzate per verificare la firma elettronica corrispondenti ai dati per la creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del certificato;
g) firma elettronica del certificatore che ha rilasciato il certificato.
Il II comma dell'art. 28 del Codice in esame prevede inoltre che, in aggiunta alle informazioni predette, fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all'estero cui non risulti attribuito il codice fiscale, occorra anche indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale.
Infine il III comma dell'art. 28 del Codice assume in considerazione un contenuto del certificato per così dire "facoltativo". Il certificato qualificato può infatti contenere, su domanda del titolare o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
b) limiti d'uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dei poteri di rappresentanza di cui alla lettera a) ai sensi dell'art. 30, III comma;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.
L'art. 29 del Codice tratta dell' accreditamento, vale a dire del riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza. Esso va domandato a AgID.
A seguito dell'accoglimento della domanda, AgID dispone l'iscrizione del richiedente in un apposito elenco pubblico, tenuto da AgID stessa e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.
L'art. 31 del Codice individua in AgID l'organo competente allo svolgimento delle funzioni di vigilanza e controllo sull'attività dei certificatori qualificati e dei gestori di posta elettronica certificata.
Gli obblighi del titolare e del certificatore sono specificati all'art. 32 del Codice. Essi sono genericamente tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri. Il titolare è poi onerato dell'obbligazione di custodia e di utilizzazione personale del dispositivo di firma (si noti come il mero riferimento alla diligenza del buon padre di famiglia, sia stato sostituito dall'obbligo di fruizione personale in esito all'entrata in vigore del D.Lgs. 4 aprile 2006, n.159 ).
Il certificatore che rilascia certificati qualificati, è tenuto inoltre a porre in essere le seguenti condotte:
a) provvedere con certezza ad identificare la persona che fa richiesta della certificazione nota1;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei casi stabiliti dalle regole tecniche di cui all'art. 71 del Codice, nel rispetto del D. Lgs. 196/03 (T.U. in materia di privacy);
c) specificare, nel certificato qualificato su richiesta dell'istante e con il consenso del terzo interessato, i poteri di rappresentanza o gli altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'art. 71 del Codice ;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione;
f) non è più contemplato l'obbligo (soppresso dalla lettera a) del comma 1 dell'art. 22, D.Lgs. 30 dicembre 2010, n. 235) di non rendersi depositario di dati per la creazione della firma del titolare;
g) procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri del titolare medesimo, di perdita del possesso o della compromissione del dispositivo di firma, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni, secondo le regole tecniche di cui all'art. 71 del Codice;
h) garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonchè garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati;
i) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;
j) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
k) non copiare, nè conservare le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione;
l) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie;
dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il certificatore;
m) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.
m-bis) garantire il corretto funzionamento e la continuità del sistema e comunicare immediatamente a AgID e agli utenti eventuali malfunzionamenti che determinano disservizio, sospensione o interruzione del servizio stesso (obbligo introdotto per effetto dell'entrata in vigore del D.Lgs. 235/2010).

Il titolare di un certificato può anche fare uso di uno pseudonimo. Il caso è regolato dall'art. 33 del Codice, ai sensi del quale, in luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l'obbligo di conservare le informazioni relative alla reale identità del titolare per almeno venti anni dopo la scadenza del certificato stesso.
L'art. 34 del Codice prevede norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati.
1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni:
a) possono svolgere direttamente l'attività di rilascio dei certificati qualificati avendo a tale fine l'obbligo di accreditarsi ai sensi dell'art. 29 del Codice; tale attività può
essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonché di categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti con l'Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto; con decreto del Presidente del Consiglio dei Ministri, su proposta dei Ministri per la funzione pubblica e per l'innovazione e le tecnologie e dei Ministri interessati, di concerto con il Ministro dell'economia e delle finanze, sono definite le categorie di terzi e le caratteristiche dei certificati qualificati;
b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa in materia di contratti pubblici.
2. Per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all'art. 71 del Codice.
3. Le regole tecniche concernenti la qualifica di pubblico ufficiale, l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate con decreti di cui all'art. 71 del Codice di concerto con il Ministro per la funzione pubblica, con il Ministro della giustizia e con gli altri Ministri di volta in volta interessati, sulla base dei principi generali stabiliti dai
rispettivi ordinamenti.
4. Nelle more della definizione delle specifiche norme tecniche di cui al III comma, si applicano le norme tecniche vigenti in materia di firme digitali.
L'art. 35 del Codice contempla i requisiti dei dispositivi sicuri per la generazione della firma.

Note

nota1

E' chiaro infatti che la firma digitale "deve essere segno identificativo di un determinato soggetto" (Liserre, L'avvento del documento elettronico, in Riv.dir.civ., 1998, p. 480).
top1

Bibliografia

  • LISERRE, L'avvento del documento elettronico, Riv.dir.civ., 1998

News collegate

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "L'attività del certificatore (forma elettronica)"

Iscriviti alla Newsletter di WikiJus!

Iscriviti