Home

Decreto legislativo - 7/03/2005 - n. 82 art. 32 - Obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata 1

Michele Iaselli

Obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata 1

Art. 32.

1. Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma o degli strumenti di autenticazione informatica per l'utilizzo del dispositivo di firma da remoto, e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma2.

2. Il prestatore di servizi di firma elettronica qualificata è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi 3.

3. Il prestatore di servizi di firma elettronica qualificata che rilascia [, ai sensi dell'articolo 19, ] certificati qualificati deve comunque 4:

a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione;

b) rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi stabiliti dalle Linee guida, nel rispetto del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni 56;

c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi;

d) attenersi alle Linee guida 7;

e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione;

[f) non rendersi depositario di dati per la creazione della firma del titolare;] 8

g) procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare di firma elettronica qualificata o del terzo dal quale derivino i poteri del titolare di firma elettronica qualificata medesimo, di perdita del possesso o della compromissione del dispositivo di firma, o degli strumenti di autenticazione informatica per l'utilizzo del dispositivo di firma, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare di firma elettronica qualificata, di sospetti abusi o falsificazioni, secondo quanto previsto dalle Linee guida 9;

h) garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonché garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati;

i) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;

j) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari 10;

k) non copiare, nè conservare, le chiavi private di firma del soggetto cui il prestatore di servizi di firma elettronica qualificata ha fornito il servizio di certificazione;

l) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il prestatore di servizi di firma elettronica qualificata;

m) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.

m-bis) garantire il corretto funzionamento e la continuita' del sistema e comunicare immediatamente a AgID e agli utenti eventuali malfunzionamenti che determinano disservizio, sospensione o interruzione del servizio stesso 11.

4. Il prestatore di servizi di firma elettronica qualificata è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.

5. Il prestatore di servizi di firma elettronica qualificata raccoglie i dati personali direttamente dalla persona cui si riferiscono o, previo suo esplicito consenso, tramite il terzo, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l'informativa prevista dall'articolo 13 del decreto legislativo 30 giugno 2003, n. 196. I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono 12.

 

[1] Rubrica sostituita dall'articolo 27, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179 e successivamente modificata dall'articolo 30, comma 1, lettera a), del D.Lgs. 13 dicembre 2017, n. 217.

[2] Comma modificato dall'articolo 14 del D.Lgs. 4 aprile 2006, n. 159 e dall'articolo 27, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179.

[3] Comma modificato dall'articolo 14 del D.Lgs. 4 aprile 2006, n. 159.

[4] Alinea modificato dall'articolo 27, comma 1, lettera d), del D.Lgs. 26 agosto 2016, n. 179 e successivamente  dall'articolo 30, comma 1, lettera b), numero 1),  del D.Lgs. 13 dicembre 2017, n. 217.

[5] Per le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali di cui alla presente lettera, vedi il D.P.C.M. 22 febbraio 2013.

[6] Lettera modificata dall'articolo 66, comma 1,  del D.Lgs. 13 dicembre 2017, n. 217.

[7] Lettera modificata dall'articolo 66, comma 1,  del D.Lgs. 13 dicembre 2017, n. 217.

[8] Lettera soppressa dall'articolo 22, comma 1, lettera a), del D.Lgs. 30 dicembre 2010, n. 235.

[9] Lettera modificata dall'articolo 27, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179 e successivamente   dagli articoli 30, comma 1, lettera b), numero 2),  e 66, comma 1, del D.Lgs. 13 dicembre 2017, n. 217.

[10] Lettera modificata dall'articolo 14 del D.Lgs. 4 aprile 2006, n. 159.

[11] Lettera inserita dall'articolo 22, comma 1, lettera e), del D.Lgs. 30 dicembre 2010, n. 235 e successivamente modificata dall'articolo 61, comma 2, lettera b), del D.Lgs. 26 agosto 2016, n. 179.

[12] Comma modificato dall'articolo 27, comma 1, lettera f), del D.Lgs. 26 agosto 2016, n. 179.

Inquadramento

L'art. 32 del CAD, adeguato alla nuova normativa comunitaria dalle riforme del 2016 e del 2017, disciplina gli obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata.

Obblighi del titolare di FEQ

Per quanto riguarda il titolare di FEQ, gli obblighi sono diversamente modulati a seconda della tipologia di firma elettronica qualificata utilizzata dal titolare. Nel caso di firma locale, generata dunque da uno strumento in possesso del titolare, come ad esempio la smartcard o il token, il titolare ha l'obbligo di custodire tale dispositivo e di utilizzarlo personalmente. Al contrario, nel caso di firma remota, dal momento che per la generazione di essa è necessario utilizzare un sistema di autenticazione, essendo il dispositivo in possesso del prestatore del servizio, il titolare è tenuto alla custodia dei propri strumenti di autenticazione. In ogni caso, sia il titolare, sia il prestatore sono obbligati ad adottare tutte le misure organizzative e tecniche idonee ad evitare un danno a terzi.

Obblighi del prestatore di servizi

Per quanto concerne invece gli obblighi del prestatore di servizi di FEQ, questi sono elencati al comma 3 dell'art. 32. Tali obblighi attengono sostanzialmente all'attività di:

- Identificazione, che consiste nell'accertamento dell'identità di colui che richiede la certificazione. L'identificazione riveste un ruolo fondamentale per il corretto funzionamento del sistema, in quanto presupposto del meccanismo di fiducia alla base dell'utilizzo della firma qualificata nello svolgimento dei negozi giuridici.

- Certificazione, come ad esempio il rilascio e la pubblicazione del certificato qualificato, che deve avvenire nel rispetto della privacy del richiedente, oppure l'obbligo di pubblicare tempestivamente la revoca o la sospensione di quest'ultimo, nel caso di perdita del possesso o compromissione del dispositivo di firma o degli strumenti di autenticazione informatica

- Correttezza e continuità nello svolgimento del rapporto, come ad esempio l'obbligo di utilizzare sistemi affidabili per la gestione del registro dei certificati, garantendo l'autenticità delle informazioni e che l'operatore possa rendersi conto di qualsiasi evento che ne comprometta la sicurezza, ovvero l'obbligo di comunicare ad AgID ed agli utenti gli eventuali malfunzionamenti che compromettono la continuità del sistema o il servizio stesso, presidiato anche dalle sanzioni di cui all'art. 32-bis CAD.

Bibliografia

Iaselli, Codice dell'amministrazione digitale annotato, Milano, 2019.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Obblighi del titolare di FEQ
Obblighi del prestatore di servizi
Bibliografia