DECRETO DEL PRESIDENTE DELLA REPUBBLICA 7 aprile 2003, n. 137

(G.U. n. 138 del 17.6.2003 - testo in vigore dal 2.7.2003)

Ricordiamo che l'unico testo definitivo è quello pubblicato sulla Gazzetta Ufficiale a mezzo stampa, che prevale in casi di discordanza. Il presente testo proviene dal Sito web della Gazzetta Ufficiale (www.gazzettaufficiale.it) non ha carattere di autenticità.

 

DECRETO DEL PRESIDENTE DELLA REPUBBLICA 7 aprile 2003, n. 137

Regolamento recante disposizioni di coordinamento in materia di firme elettroniche   a   norma  dell'articolo 13  del  decreto  legislativo 23 gennaio 2002, n. 10.

 

IL PRESIDENTE DELLA REPUBBLICA

Visto l'articolo 87, quinto comma, della Costituzione;

Visto l'articolo 17, comma 2, della legge 23 agosto 1988, n. 400;

Visto l'articolo 4, comma 5, della legge 9 marzo 1989, n. 86;

Visto l'articolo 7 della legge 8 marzo 1999, n. 50, come modificato

dall'articolo 1,  comma 6,  lettera e), della legge 24 novembre 2000,

n. 340;

Vista la legge 29 dicembre 2000, n. 422;

Visto  il decreto del Presidente della Repubblica 28 dicembre 2000,

n.   445,  recante  testo  unico  delle  disposizioni  legislative  e

regolamentari in materia di documentazione amministrativa (testo A);

Vista   la  direttiva  1999/93/CE  del  Parlamento  europeo  e  del

Consiglio,  del  13 dicembre 1999, relativa, ad un quadro comunitario per le firme elettroniche;

Visto  il  decreto  legislativo  23 gennaio  2002,  n.  10, recante

attuazione  della  citata  direttiva  1999/93/CE,  ed  in particolare

l'articolo 13;

Vista  la  preliminare  deliberazione  del  Consiglio dei Ministri,

adottata nella riunione del 2 agosto 2002;

Esperita  la  procedura di notifica alla Commissione europea di cui

alla  direttiva  98/34/CE del Parlamento europeo e del Consiglio, del

22 giugno  1998,  modificata  dalla direttiva 98/48/CE del Parlamento

europeo  e  del  Consiglio,  del  20 luglio 1998, attuata con decreto

legislativo 23 novembre 2000, n. 427;

Sentito il Garante per la protezione dei dati personali;

Udito  il  parere  del  Consiglio  di Stato, espresso dalla Sezione

consultiva  per  gli atti normativi nelle adunanze del 30 settembre e

del 14 ottobre 2002;

Vista  la  deliberazione del Consiglio del Ministri, adottata nella

riunione del 31 gennaio 2003;

Sulla  proposta  del  Ministro  per  le politiche comunitarie e del

Ministro  per  l'innovazione  e  le  tecnologie,  di  concerto con il

Ministro   degli   affari   esteri,  dell'interno,  della  giustizia,

dell'economia  e delle finanze, delle comunicazioni e per la funzione

pubblica;

Emana

il seguente regolamento:

 

Art. 1.

Modifiche all'articolo 1 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 1  del  testo  unico delle disposizioni legislativo e regolamentari  in materia di documentazione amministrativa, approvato con  il  decreto del Presidente della Repubblica 28 dicembre 2000, n. 445,   di  seguito  denominato:  «testo  unico»,  e'  sostituito  dal seguente:

«Art.  1(R) (Definizioni). - 1. Ai fini del presente testo unico si intende per:

a) DOCUMENTO   AMMINISTRATIVO   ogni  rappresentazione,  comunque formata,  del  contenuto  di  atti,  anche  interni,  delle pubbliche amministrazioni   o,  comunque,  utilizzati  ai  fini  dell'attivita' amministrativa.  Le  relative  modalita'  di trasmissione sono quelle indicate al capo II, sezione III, del presente testo unico;

b) DOCUMENTO INFORMATICO la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;

c) DOCUMENTO   DI   RICONOSCIMENTO   ogni   documento  munito  di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o  informatico,  da  una pubblica amministrazione italiana o di altri Stati, che consenta l'identificazione personale del titolare;

d) DOCUMENTO  D'IDENTITA'  la  carta  d'identita'  ed  ogni altro documento munito di fotografia del titolare e rilasciato, su supporto cartaceo,  magnetico  o  informatico, da una pubblica amministrazione competente  dello  Stato  italiano o di altri Stati, con la finalita' prevalente di dimostrare l'identita' personale del suo titolare;

e) DOCUMENTO  D'IDENTITA'  ELETTRONICO  il documento analogo alla carta   d'identita'   elettronica   rilasciato  dal  comune  fino  al compimento del quindicesimo anno di eta';

f) CERTIFICATO  il  documento  rilasciato  da una amministrazione pubblica    avente   funzione   di   ricognizione,   riproduzione   o partecipazione a terzi di stati, qualita' personali e fatti contenuti

in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche;

g) DICHIARAZIONE  SOSTITUTIVA  DI  CERTIFICAZIONE  il  documento, sottoscritto   dall'interessato,   prodotto   in   sostituzione   del certificato di cui alla lettera f);

h) DICHIARAZIONE  SOSTITUTIVA  DI ATTO DI NOTORIETA' il documento sottoscritto  dall'interessato, concernente stati, qualita' personali e  fatti,  che siano a diretta conoscenza di questi, resa nelle forme previste dal presente testo unico;

i) AUTENTICAZIONE  DI SOTTOSCRIZIONE, l'attestazione, da parte di un  pubblico ufficiale, che la sottoscrizione e' stata apposta in sua presenza,   previo  accertamento  dell'identita'  della  persona  che sottoscrive;

l) LEGALIZZAZIONE  DI FIRMA l'attestazione ufficiale della legale qualita'  di chi ha apposto la propria firma sopra atti, certificati, copie ed estratti, nonche' dell'autenticita' della firma stessa;

m) LEGALIZZAZIONE  DI  FOTOGRAFIA l'attestazione, da parte di una pubblica amministrazione  competente,  che  un'immagine  fotografica corrisponde alla persona dell'interessato;

n) FIRMA  DIGITALE  e'  un  particolare tipo di firma elettronica qualificata basata su un sistema di chiavi asimmetriche a coppia, una pubblica  e  una  privata, che consente al titolare tramite la chiave privata    e    al   destinatario   tramite   la   chiave   pubblica, rispettivamente,  di rendere manifesta e di verificare la provenienza e  l'integrita'  di  un  documento  informatico  o  di  un insieme di documenti informatici;

o) AMMINISTRAZIONI  PROCEDENTI le amministrazioni e, nei rapporti con   l'utenza,  i  gestori  di  pubblici  servizi  che  ricevono  le dichiarazioni  sostitutive  di  cui  alle  lettere  g)  e  h)  ovvero provvedono agli accertamenti d'ufficio ai sensi dell'articolo 43;

p) AMMINISTRAZIONI CERTIFICANTI le amministrazioni e i gestori di pubblici servizi che detengono nei propri archivi le informazioni e i dati   contenuti   nelle   dichiarazioni   sostitutive,  o  richiesti direttamente   dalle   amministrazioni   procedenti  ai  sensi  degli articoli 43 e 71;

q) GESTIONE  DEI  DOCUMENTI l'insieme delle attivita' finalizzate alla    registrazione   di   protocollo   e   alla   classificazione, organizzazione,    assegnazione    e    reperimento   dei   documenti amministrativi formati o acquisiti dalle amministrazioni, nell'ambito del   sistema   di   classificazione  d'archivio  adottato;  essa  e' effettuata mediante sistemi informativi autorizzati;

r) SISTEMA  DI GESTIONE INFORMATICA DEI DOCUMENTI l'insieme delle risorse  di  calcolo,  degli  apparati, delle reti di comunicazione e delle  procedure informatiche utilizzati dalle amministrazioni per la gestione dei documenti;

s) SEGNATURA   DI   PROTOCOLLO  l'apposizione  o  l'associazione, all'originale  del  documento, in forma permanente e non modificabile delle informazioni riguardanti il documento stesso;

t) CERTIFICATI  ELETTRONICI  ai  sensi  dell'articolo 2, comma 1, lettera d),  del  decreto  legislativo  23 gennaio  2002,  n. 10, gli attestati  elettronici che collegano i dati utilizzati per verificare le  firme  elettroniche  ai  titolari  e  confermano  l'identita' dei titolari stessi;

u) CERTIFICATORE  ai  sensi dell'articolo 2, comma 1, lettera b), del  decreto  legislativo  23 gennaio  2002,  n.  10, il soggetto che presta  servizi  di  certificazione  delle  firme  elettroniche o che fornisco altri servizi connessi con queste ultime;

v) CERTIFICATORE  QUALIFICATO  il  certificatore  che rilascia al pubblico  certificati  elettronici conformi ai requisiti indicati nel presente  testo  unico e nelle regole tecniche di cui all'articolo 8,  comma 2;

z) CERTIFICATORE  ACCREDITATO  ai sensi dell'articolo 2, comma 1, lettera c),  del  decreto  legislativo  23 gennaio  2002,  n.  10, il certificatore  accreditato  in  Italia  ovvero  in altri Stati membri dell'Unione  europea  ai  sensi  dell'articolo 3,  paragrafo 2, della direttiva n. 1999/93/CE, nonche' ai sensi del presente testo unico;

aa)  CERTIFICATI  QUALIFICATI  ai sensi dell'articolo 2, comma 1, lettera e),  del  decreto  legislativo  23 gennaio  2002,  n.  10,  i certificati  elettronici  conformi ai requisiti di cui all'allegato I  della  direttiva  n.  1999/93/CE,  rilasciati  da  certificatori  che rispondono   ai  requisiti  di  cui  all'allegato II  della  medesima direttiva;

bb) CARTA  NAZIONALE  DEI  SERVIZI  il  documento  rilasciato  su supporto  informatico  per consentire l'accesso per via telematica ai servizi erogati dalla pubblica amministrazione;

cc) FIRMA   ELETTRONICA   ai   sensi   dell'articolo 2,  comma 1, lettera a), del decreto legislativo 23 gennaio 2002, n. 10, l'insieme dei  dati  in  forma  elettronica,  allegati  oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autentificazione informatica;

dd) FIRMA ELETTRONICA AVANZATA ai sensi dell'articolo 2, comma 1, lettera g),  del decreto legislativo 23 gennaio 2002, n. 10, la firma elettronica   ottenuta   attraverso  una  procedura  informatica  che garantisce  la  connessione  univoca  al  firmatario e la sua univoca identificazione,  creata  con  mezzi  sui  quali  il  firmatario puo' conservare  un  controllo  esclusivo  e collegata ai dati ai quali si riferisce  in  modo  da consentire di rilevare se i dati stessi siano stati successivamente modificati;

ee) FIRMA  ELETTRONICA  QUALIFICATA la firma elettronica avanzata che  sia  basata  su  un certificato qualificato e creata mediante un dispositivo sicuro per la creazione della firma;

ff) TITOLARE  la  persona  fisica  cui  e'  attribuita  la  firma elettronica  e  che  ha accesso al dispositivo per la creazione della firma elettronica;

gg) DATI  PER  LA  CREAZIONE  DI UNA FIRMA i dati peculiari, come codici  o  chiavi crittografiche private, utilizzati dal titolare per creare la firma elettronica;

hh) DISPOSITIVO   PER  LA  CREAZIONE  DELLA  FIRMA  il  programma informatico   adeguatamente   configurato   (software)  o  l'apparato strumentale   (hardware)   usati   per   la   creazione  della  firma elettronica;

ii) DISPOSITIVO  SICURO  PER  LA  CREAZIONE  DELLA FIRMA ai sensi dell'articolo 2,   comma 1,   lettera f),   del  decreto  legislativo 23 gennaio 2002, n. 10, l'apparato strumentale usato per la creazione della   firma   elettronica,   rispondente   ai   requisiti   di  cui all'articolo 10  del  citato  decreto  n.  10  del  2002, nonche' del presente testo unico;

ll) DATI  PER  LA  VERIFICA  DELLA  FIRMA  i dati peculiari, come codici  o  chiavi crittografiche pubbliche, utilizzati per verificare la firma elettronica;

mm) DISPOSITIVO  DI VERIFICA DELLA FIRMA il programma informatico (software)   adeguatamente   configurato   o  l'apparato  strumentale (hardware) usati per effettuare la verifica della firma elettronica;

nn) ACCREDITAMENTO FACOLTATIVO ai sensi dell'articolo 2, comma 1, lettera h),  del  decreto  legislativo  23 gennaio  2002,  n.  10, il riconoscimento  del  possesso,  da  parte  del  certificatore  che la richieda,  dei  requisiti  del  livello  piu'  elevato, in termini di qualita' e di sicurezza;

oo) PRODOTTI   DI   FIRMA  ELETTRONICA  i  programmi  informatici (software),  gli  apparati  strumentali  (hardware) e i componenti di tali  sistemi  informatici,  destinati  ad  essere  utilizzati per la creazione  e  la verifica di firme elettroniche o da un certificatore per altri servizi di firma elettronica.».

 

Art. 2.

Modifiche all'articolo 8 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Al  comma 2  dell'articolo 8 del testo unico le parole: «sentiti l'Autorita'  per  l'informatica nella pubblica amministrazione», sono sostituite  dalle  seguenti:  «,  o,  per sua delega del Ministro per

l'innovazione  e  le  tecnologie, sentiti il Ministro per la funzione pubblica».

 

Art. 3.

Modifiche all'articolo 9 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1.  Il  comma 4  dell'articolo 9  del testo unico e' sostituito dal seguente:   «4. Le   regole  tecniche  in  materia  di  formazione  e conservazione    di    documenti    informatici    delle    pubbliche

amministrazioni  sono  definite  dalla  Presidenza  del Consiglio dei Ministri  -  Dipartimento per l'innovazione e le tecnologie, d'intesa con  il  Dipartimento  della  funzione pubblica ed il Ministero per i beni  e  le attivita' culturali, sentito il Garante per la protezione dei  dati  personali e, per il materiale classificato d'intesa con le Amministrazioni  della  difesa,  dell'interno e dell'economia e delle finanze, rispettivamente competenti.».

 

Art. 4.

Modifiche all'articolo 11 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Al comma 1 dell'articolo 11 del testo unico le parole: «mediante l'uso della firma digitale» sono sostituite dalle seguenti: «mediante l'uso della firma elettronica qualificata».

 

Art. 5.

Modifiche all'articolo 12 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 12 del testo unico e' sostituito dal seguente:

«Art.  12 (R) (Pagamenti informatici). - 1. Il trasferimento in via telematica  di  fondi  tra  privati,  pubbliche amministrazioni e tra queste  e  soggetti  privati e' effettuato secondo regole fissate con

decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del  Ministro  per  l'innovazione  e le tecnologie, di concerto con i Ministri  per la funzione pubblica, della giustizia e dell'economia e

delle  finanze,  sentiti  il  Garante  per  la  protezione  dei  dati personali e la Banca d'Italia.».

 

Art. 6.

Modifiche all'articolo 20 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Al comma 2 dell'articolo 20 del testo unico le parole: «la firma digitale di colui che li spedisce o rilascia, secondo le disposizioni del  presente  testo  unico.»,  sono sostituite dalle seguenti: «, da

parte  di  colui  che  li  spedisce o rilascia, una firma elettronica qualificata.».

 

Art. 7.

Modifiche alla rubrica della sezione V del capo II del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1.  La  rubrica della sezione V del capo II del testo unico: «Firma digitale» e' sostituita dalla seguente: «Firme elettroniche».

 

Art. 8.

Modifiche all'articolo 22 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Al  comma 1  dell'articolo 22  del testo unico sono apportate le seguenti modificazioni:

a) le lettere b), c) e d), sono sostituite dalle seguenti:

«b)    per   chiavi   asimmetriche,   la   coppia   di   chiavi crittografiche,  una  privata  ed  una  pubblica, correlate tra loro, utilizzate  nell'ambito  dei  sistemi  di  validazione  di  documenti

informatici;

c) per  chiave  privata,  l'elemento  della  coppia  di  chiavi asimmetriche,  destinato  ad  essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento

informatico;

d)  per  chiave  pubblica,  l'elemento  della  coppia di chiavi asimmetriche  destinato  ad  essere  reso  pubblico,  con il quale si verifica  la  firma  digitale  apposta  sul documento informatico dal

titolare delle chiavi asimmetriche;»;

b) la lettera f) e' abrogata;

c) la lettera i) e' abrogata;

d) le lettere l), m) ed n), sono sostituite dalle seguenti:

«l) per revoca del certificato elettronico, l'operazione con cui il certificatore  annulla  la  validita'  del  certificato  da  un  dato momento, non retroattivo, in poi;

m) per  sospensione  del  certificato elettronico, l'operazione con cui il certificatore sospende la validita' del certificato per un determinato periodo di tempo;

n) per  validita'  del  certificato  elettronico, l'efficacia e l'opponibilita' al titolare dei dati in esso contenuti.»;

e) la lettera o) e' abrogata.

 

Art. 9.

Modifiche all'articolo 23 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 23 del testo unico e' sostituito dal seguente:

«Art.  23  (R)  (Firma  digitale).  -  1.  La  firma  digitale deve riferirsi  in  maniera  univoca ad un solo soggetto ed al documento o all'insieme di documenti cui e' apposta o associata.

2. Per  la  generazione  della  firma  digitale deve adoperarsi una chiave  privata  la  cui  corrispondente  chiave  pubblica  sia stata oggetto  dell'emissione di un certificato qualificato che, al momento della  sottoscrizione,  non  risulti  scaduto di validita' ovvero non risulti revocato o sospeso.

3. L'apposizione   ad   un   documento  informatico  di  una  firma elettronica  basata su un certificato elettronico revocato, scaduto o sospeso   equivale   a   mancata   sottoscrizione.  La  revoca  o  la sospensione,  comunque  motivate,  hanno  effetto  dal  momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non  dimostri  che  essa  era  gia'  a conoscenza  di tutte le parti interessate.

4. L'apposizione  di  firma digitale integra e sostituisce, ad ogni fine  previsto  dalla  normativa  vigente,  l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere.

5. Attraverso   il  certificato  elettronico  si  devono  rilevare, secondo  le  regole  tecniche  di  cui  all'articolo 8,  comma 2,  la validita'  del  certificato  elettronico stesso, nonche' gli elementi

identificativi del titolare e del certificatore.».

 

Art. 10.

Modifiche all'articolo 26 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 26 del testo unico e' sostituito dal seguente:

«Art.  26  (R)  (Certificatori). - 1. L'attivita' dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea e' libera  e  non  necessita  di  autorizzazione  preventiva,  ai  sensi

dell'articolo 3 del decreto legislativo 23 gennaio 2002, n. 10. Detti certificatori  o, se persone giuridiche, i loro legali rappresentanti ed  i soggetti preposti all'amministrazione, devono inoltre possedere i  requisiti  di  onorabilita'  richiesti  ai  soggetti  che svolgono funzioni  di amministrazione, direzione e controllo presso le banche di  cui  all'articolo 26  del  testo  unico delle  leggi  in materia bancaria e creditizia, approvato con decreto legislativo 1° settembre 1993, n. 385.

2.  L'accertamento  successivo  dell'assenza  o  del venir meno dei requisiti  di  cui  al  comma 1  comporta  il divieto di prosecuzione dell'attivita' intrapresa.

3.  Ai certificatori qualificati e ai certificatori accreditati che hanno  sede  stabile in altri Stati membri dell'Unione europea non si applicano  le norme del presente decreto e le relative norme tecniche di cui all'articolo 8, comma 2, e si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.».

 

Art. 11.

Modifiche all'articolo 27 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 27 del testo unico e' sostituito dal seguente:

«Art.  27 (R) (Certificatori qualificati). - 1. I certificatori che rilasciano  al pubblico certificati qualificati devono trovarsi nelle condizioni previste dall'articolo 26.

2. I certificatori di cui al comma 1 devono inoltre:

a)    dimostrare   l'affidabilita'   organizzativa,   tecnica   e finanziaria necessaria per svolgere attivita' di certificazione;

b)   impiegare  personale  dotato  delle  conoscenze  specifiche, dell'esperienza  e delle competenze necessarie per i servizi forniti, in   particolare   della   competenza  a  livello  gestionale,  della

conoscenza   specifica  nel  settore  della  tecnologia  delle  firme elettroniche   e  della  dimestichezza  con  procedure  di  sicurezza appropriate,  e  che sia in grado di rispettare le norme del presente testo unico e le regole tecniche di cui all'articolo 8, comma 2;

c) applicare  procedure  e  metodi  amministrativi  e di gestione adeguati e tecniche consolidate;

d) utilizzare  sistemi affidabili e prodotti di firma protetti da alterazioni  e  che garantiscano la sicurezza tecnica e crittografica dei  procedimenti, in conformita' a criteri di sicurezza riconosciuti

in  ambito  europeo  e  internazionale  e  certificati ai sensi dello schema   nazionale  di  cui  all'articolo 10,  comma 1,  del  decreto legislativo 23 gennaio 2002, n. 10;

e) adottare   adeguate   misure   contro  la  contraffazione  dei certificati, idonee anche a garantire la riservatezza, l'integrita' e la  sicurezza  nella  generazione  delle  chiavi,  nei casi in cui il

certificatore generi tali chiavi.

3.  I  certificatori  di  cui  al  comma 1 devono comunicare, prima dell'inizio    dell'attivita',   anche   in   via   telematica,   una dichiarazione di inizio di attivita' al Dipartimento dell'innovazione

e   le  tecnologie  della  Presidenza  del  Consiglio  dei  Ministri, attestante  l'esistenza  dei presupposti e dei requisiti previsti dal presente  testo unico, ai sensi dell'articolo 4, comma 1, del decreto legislativo 23 gennaio 2002, n. 10.

4. Il Dipartimento procede, d'ufficio o su segnalazione motivata di soggetti  pubblici  o  privati,  a  controlli  volti  ad accertare la sussistenza  dei  presupposti  e  dei requisiti previsti dal presente

testo  unico  e  dispone,  se del caso, con provvedimento motivato da notificare all'interessato, il divieto di prosecuzione dell'attivita' e  la  rimozione dei suoi effetti, salvo che, ove cio' sia possibile,

l'interessato  provveda  a  conformare  alla  normativa vigente detta attivita'   ed   i   suoi  effetti  entro  il  termine  prefissatogli dall'amministrazione stessa.».

 

Art. 12.

Modifiche al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Dopo l'articolo 27 del testo unico e' inserito il seguente:

«Art.  27-bis  (R)  (Certificati  qualificati).  - 1. I certificati qualificati devono contenere almeno le seguenti informazioni:

a) indicazione  che  il  certificato elettronico rilasciato e' un certificato qualificato;

b) numero di serie o altro codice identificativo del certificato;

c) nome,  ragione  o denominazione sociale del certificatore e lo Stato nel quale e' stabilito;

d) nome,  cognome e codice fiscale del titolare del certificato o uno pseudonimo chiaramente identificato come tale;

e) dati per la verifica della firma corrispondenti ai dati per la creazione della stessa in possesso del titolare;

f) indicazione  del  termine  iniziale  e  finale  del periodo di validita' del certificato;

g) firma elettronica avanzata del certificatore che ha rilasciato il certificato.

2.  In aggiunta alle informazioni di cui al comma 1, fatta salva la possibilita'  di  utilizzare uno pseudonimo, per i titolari residenti all'estero  cui  non  risulti  attribuito  il codice fiscale, si deve

indicare  il  codice  fiscale  rilasciato  dall'autorita' fiscale del Paese  di residenza o, in mancanza, un analogo codice identificativo, quale  ad  esempio  un  codice  di  sicurezza  sociale  o  un  codice

identificativo generale.

3.  Il  certificato  qualificato puo' inoltre contenere, su domanda del  titolare  o  del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato e' richiesto:

a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonche' poteri di rappresentanza;

b) limiti  d'uso  del certificato, ai sensi dell'articolo 28-bis, comma 3;

c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato puo' essere usato, ove applicabili.».

 

Art. 13.

Modifiche all'articolo 28 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 28 del testo unico e' sostituito dal seguente:

«Art.  28  (R)  (Accreditamento). - 1. Ai sensi dell'articolo 5 del decreto  legislativo  23 gennaio  2002,  n.  10,  i certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello  piu' elevato, in termini di qualita' e di sicurezza, possono chiedere di essere accreditati presso la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, che a tali fini puo' avvalersi delle strutture pubbliche di cui all'articolo 29.

2. Il   richiedente   deve   rispondere   ai   requisiti   di   cui all'articolo 27 ed allegare alla domanda il profilo professionale del personale  responsabile della generazione dei dati per la creazione e

per  la verifica della firma, della emissione dei certificati e della gestione  del  registro dei certificati nonche' l'impegno al rispetto delle regole di tecniche.

3. Il  richiedente,  se  soggetto  privato,  in  aggiunta  a quanto previsto dal comma 2, deve inoltre:

a) avere  natura  giuridica di societa' di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla  attivita'  bancaria  ai  sensi dell'articolo 14 del testo unico

delle  leggi  in materia bancaria e creditizia, approvato con decreto legislativo 1° settembre 1993, n. 385;

b) garantire  il  possesso, oltre che da parte dei rappresentanti legali,  anche  da parte dei soggetti preposti alla amministrazione e dei  componenti  il collegio sindacale, dei requisiti di onorabilita'

richiesti  ai  soggetti  che  svolgono  funzioni  di amministrazione, direzione  e controllo presso banche ai sensi dell'articolo 26 citato del decreto legislativo 1° settembre 1993, n. 385.

4.  La  domanda  di accreditamento si considera accolta qualora non venga  comunicato  all'interessato  il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.

5.  Il  termine  di  cui al comma 4 puo' essere interrotto una sola volta  entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o

completino  la  documentazione  presentata e che non siano gia' nella disponibilita'  del  Dipartimento per l'innovazione e le tecnologie o che questo non possa acquisire autonomamente. In tal caso, il termine riprende  a  decorrere  dalla  data di ricezione della documentazione

integrativa.

6.  A  seguito dell'accoglimento della domanda, il Dipartimento per l'innovazione e le tecnologie dispone l'iscrizione del richiedente in un  apposito  elenco  pubblico,  tenuto  dal  Dipartimento  stesso  e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione.

7.  Il  certificatore  accreditato  puo' qualificarsi come tale nei rapporti commerciali e con le ubbliche amministrazioni.».

 

Art. 14.

Modifiche all'articolo 29 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 29 del testo unico e' sostituito dal seguente:

«Art.  29 (R) (Vigilanza sull'attivita' di certificazione). - 1. La Presidenza   del   Consiglio   dei   Ministri   -   Dipartimento  per l'innovazione  e  le  tecnologie,  svolge  funzioni  di  vigilanza  e

controllo sull'attivita' di certificazione, ai sensi dell'articolo 3, comma  2,  del  decreto  legislativo  23 gennaio  2002,  n. 10, anche attraverso   le   strutture   di   cui  si  avvale  il  Ministro  per

l'innovazione e le tecnologie.

2.  Fatto  salvo  quanto  previsto dal comma 1, il Dipartimento per l'innovazione  e  le  tecnologie  provvede al controllo periodico dei certificatori accreditati.».

 

Art. 15.

Modifiche al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Dopo l'articolo 29 del testo unico sono inseriti i seguenti:

«Art.  29-bis (R) (Obblighi del titolare e del certificatore). - 1. Il  titolare  ed  il  certificatore  sono tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.

2.  Il  certificatore  che  rilascia,  ai  sensi  dell'articolo 27, certificati qualificati e' tenuto inoltre a:

a) identificare  con  certezza  la persona che fa richiesta della certificazione;

b)  rilasciare  e rendere pubblico il certificato elettronico nei modi  e  nei casi stabiliti dalle regole tecniche di cui all'articolo 8,  comma  2,  nel  rispetto  della legge 31 dicembre 1996, n. 675, e

successive modificazioni;

c)    specificare,   nel  certificato  qualificato  su  richiesta dell'istante,  e  con  il consenso del terzo interessato, i poteri di rappresentanza o di altri titoli relativi all'attivita' professionale

o  a  cariche  rivestite,  previa  verifica  della  sussistenza degli stessi;

d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;

e) informare  i  richiedenti  in  modo  compiuto  e chiaro, sulla procedura  di  certificazione  e  sui necessari requisiti tecnici per accedervi  e  sulle  caratteristiche  e sulle limitazioni d'uso delle

firme emesse sulla base del servizio di certificazione;

f)  adottare  le  misure di sicurezza per il trattamento dei dati personali,   ai   sensi   dell'articolo  15,  comma  2,  della  legge 31 dicembre 1996, n. 675;

g) non  rendersi depositario di dati per la creazione della firma del titolare;

h) procedere  alla pubblicazione della revoca e della sospensione del  certificato  elettronico  in  caso  di  richiesta  da  parte del titolare  o del terzo dal quale derivino i poteri di quest'ultimo, di

perdita  del  possesso della chiave, di provvedimento dell'autorita',  di  acquisizione della conoscenza di cause limitative della capacita' del titolare, di sospetti abusi o falsificazioni;

i) garantire  il  funzionamento efficiente, puntuale e sicuro dei  servizi  di  elencazione,  nonche'  garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo;

l)  assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;

m) tenere   registrazione,   anche   elettronica,   di  tutte  le informazioni  relative  al  certificato qualificato per dieci anni in particolare   al  fine  di  fornire  prova  della  certificazione  in

eventuali procedimenti giudiziari;

n) non  copiare,  ne'  conservare  le chiavi private di firma del soggetto   cui   il   certificatore   ha   fornito   il  servizio  di certificazione;

o)  predisporre  su  mezzi  di  comunicazione  durevoli  tutte le informazioni   utili  ai  soggetti  che  richiedono  il  servizio  di certificazione,   tra   cui  in  particolare  gli  esatti  termini  e condizioni   relative   all'uso   del   certificato,   compresa  ogni limitazione  dell'uso,  l'esistenza  di  un sistema di accreditamento facoltativo  e  le  procedure  di  reclamo  e  di  risoluzione  delle

controversie;   dette  informazioni,  che  possono  essere  trasmesse elettronicamente,  devono  essere  scritte  in  linguaggio  chiaro ed essere  fornite  prima dell'accordo tra il richiedente il servizio ed il certificatore;

p) utilizzare sistemi affidabili per la gestione del registro dei certificati  con  modalita' tali da garantire che soltanto le persone autorizzate   possano   effettuare   inserimenti   e  modifiche,  che

l'autenticita' delle informazioni sia verificabile, che i certificati siano  accessibili  alla consultazione del pubblico soltanto nei casi consentiti  dal  titolare  del  certificato  e  che l'operatore possa

rendersi  conto  di  qualsiasi  evento che comprometta i requisiti di sicurezza.  Su  richiesta,  elementi  pertinenti  delle  informazioni possono  essere resi accessibili a terzi che facciano affidamento sul certificato.

3.  Il certificatore che rilascia certificati al pubblico raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo  suo esplicito consenso, e soltanto nella misura necessaria al

rilascio  e  al  mantenimento del certificato, fornendo l'informativa prevista  dalla  disciplina  in materia di dati personali. I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono.

Art.  29-ter  (R)  (Uso  di pseudonimi). - 1. In luogo del nome del titolare  il certificatore puo' riportare sul certificato elettronico uno  pseudonimo,  qualificandolo  come  tale.  Se  il  certificato e' qualificato,   il   certificatore   ha  l'obbligo  di  conservare  le informazioni  relative  alla  reale identita' del titolare per almeno dieci anni dopo la scadenza del certificato stesso.

Art. 29-quater (R) (Efficacia dei certificati qualificati). - 1. La firma  elettronica,  basata  su  un  certificato qualificato scaduto, revocato o sospeso non costituisce valida sottoscrizione.

Art.   29-quinquies   (R)   (Norme  particolari  per  le  pubbliche amministrazioni e per altri soggetti qualificati). - 1. Ai fini della sottoscrizione,  ove  prevista, di documenti informatici di rilevanza

esterna, le pubbliche amministrazioni:

a)  possono  svolgere  direttamente  l'attivita'  di rilascio dei certificati  qualificati avendo a tale fine l'obbligo di accreditarsi ai   sensi  dell'articolo  28;  tale  attivita'  puo'  essere  svolta  esclusivamente  nei confronti dei propri organi ed uffici, nonche' di categorie  di  terzi,  pubblici  o privati. I certificati qualificati rilasciati  in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti con l'Amministrazione certificante, al di fuori dei  quali sono privi di ogni effetto; con decreto del Presidente del Consiglio  dei  Ministri,  su  proposta  dei Ministri per la funzione pubblica   e  per  l'innovazione  e  le  tecnologie  e  dei  Ministri interessati,  di  concerto  con  il  Ministro  dell'economia  e delle finanze, sono definite le categorie di terzi e le caratteristiche dei

certificati qualificati;

b)  possono  rivolgersi  a  certificatori accreditati, secondo la vigente normativa in materia di contratti pubblici.

2.  Per  la  formazione,  gestione  e  sottoscrizione  di documenti informatici   aventi   rilevanza   esclusivamente   interna  ciascuna amministrazione puo' adottare, nella propria autonomia  organizzativa, regole  diverse  da  quelle  contenute  nelle  regole tecniche di cui all'articolo 8, comma 2.

3.   Le  regole  tecniche  concernenti  la  qualifica  di  pubblico ufficiale,   l'appartenenza   ad   ordini  o  collegi  professionali, l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate

con  decreti  del  Ministro  per  l'innovazione  e  le tecnologie, di concerto  con  il  Ministro per la funzione pubblica, con il Ministro della   giustizia  e  con  gli  altri  Ministri  di  volta  in  volta

interessati,   sulla   base   dei  principi  generali  stabiliti  dai rispettivi ordinamenti.

4.  Nelle more della definizione delle specifiche norme tecniche di cui al comma 3, si applicano le norme tecniche di cui all'articolo 8, comma 2.

Art.   29-sexies   (R)  (Dispositivi  sicuri  e  procedure  per  la generazione  della  firma).  - 1. I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti

di sicurezza tali da garantire che la chiave privata:

a) sia riservata;

b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;

c) possa  essere  sufficientemente protetta dal titolare dall'uso da parte di terzi.

2.  I  dispositivi  sicuri  di  cui  al  comma  1  devono garantire l'integrita' dei dati elettronici a cui la firma si riferisce. I dati devono  essere  presentati  al titolare, prima dell'apposizione della firma,  chiaramente e senza ambiguita', e si deve richiedere conferma della volonta' di generare la firma.

3. Il secondo periodo del comma 2 non si applica alle firme apposte con  procedura  automatica, purche' l'attivazione della procedura sia chiaramente riconducibile alla volonta' del titolare.

4. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione  di  sicurezza  ai sensi dello schema nazionale per la valutazione   e   certificazione   di  sicurezza  nel  settore  della

tecnologia  dell'informazione  di  cui  all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10.

Art.   29-septies   (R)   (Revoca  e  sospensione  dei  certificati qualificati).  - 1. Il certificato qualificato deve essere a cura del certificatore:

a) revocato    in   caso   di   cessazione   dell'attivita'   del certificatore;

b)   revocato   o  sospeso  in  esecuzione  di  un  provvedimento dell'autorita';

c)  revocato  o sospeso a seguito di richiesta del titolare o del terzo  dal quale derivano i poteri del titolare, secondo le modalita' previste nel presente decreto;

d) revocato  o  sospeso  in  presenza  di  cause limitative della capacita' del titolare o di abusi o falsificazioni.

2.  Il  certificato  qualificato  puo',  inoltre, essere revocato o sospeso  nei  casi previsti dalle regole tecniche di cui all'articolo 8, comma 2.

3.   La  revoca  o  la  sospensione  del  certificato  qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della  lista  che  lo  contiene.  Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.

4.  Le modalita' di revoca o sospensione sono previste nelle regole tecniche di cui all'articolo 8, omma 2.

Art.   29-octies   (R)   (Cessazione   dell'attivita).   -   1.  Il certificatore   qualificato   o   accreditato   che  intende  cessare l'attivita'   deve,  almeno  sessanta  giorni  prima  della  data  di cessazione,  darne  avviso  al  Dipartimento  per  l'innovazione e le tecnologie,  informando  senza  indugio i  titolari dei certificati da lui  emessi  specificando  che  tutti  i  certificati  non scaduti al momento della cessazione saranno revocati.

2.  Il  certificatore di cui al comma 1 comunica contestualmente la rilevazione  della  documentazione  da parte di altro certificatore o l'annullamento   della  stessa.  L'indicazione  di  un  certificatore sostitutivo  non  impone la revoca di tutti i certificati non scaduti al momento della cessazione.

3.  Il  certificatore  di  cui  al  comma  1  deve  indicare  altro depositario   del   registro   dei   certificati   e  della  relativa documentazione.

4.  Il Dipartimento rende nota la data di cessazione dell'attivita' del  certificatore  accreditato  tramite l'elenco di cui all'articolo 28, comma 6.».

 

Art. 16.

Disposizioni transitorie

1. I certificati emessi alla data di entrata in vigore del presente decreto  dai soggetti che risultano iscritti nell'elenco pubblico dei certificatori  tenuto dall'Autorita' per l'informatica nella pubblica

amministrazione sono considerati certificati qualificati.

2.  Fino alla completa operativita' dell'elenco di cui all'articolo 28, comma 6, del testo unico coloro che intendono accreditarsi presso la   Presidenza   del  Consiglio  dei  Ministri  -  Dipartimento  per

l'innovazione  e  le  tecnologie, effettuano gli adempimenti previsti dagli  articoli 27  e  28 del medesimo testo unico presso l'Autorita' per l'informatica nella pubblica amministrazione.

 

Art. 17.

Disposizioni finali

1. Le modifiche di cui al presente regolamento apportate al decreto del  Presidente  della Repubblica 28 dicembre 2000, n. 445 (Testo A), si   intendono   riferite  anche  al  decreto  del  Presidente  della Repubblica 28 dicembre 2000, n. 444 (Testo C).

Il presente decreto, munito del sigillo dello Stato, sara' inserito nella  Raccolta  ufficiale  degli  atti  normativi  della  Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo

osservare.

 

Dato a Roma, addi' 7 aprile 2003

CIAMPI

Berlusconi,  Presidente  del  Consiglio

dei Ministri

Buttiglione,  Ministro per le politiche

comunitarie

Stanca, Ministro per l'innovazione e le

tecnologie

Frattini, Ministro degli affari esteri

Pisanu, Ministro dell'interno

Castelli, Ministro della giustizia

Tremonti,   Ministro   dell'economia  e

delle finanze

Gasparri, Ministro delle comunicazioni

Mazzella,   Ministro  per  la  funzione

pubblica

Visto, Il Guardasigilli: Castelli

Registrato alla Corte dei conti il 4 giugno 2003 Ministeri istituzionali, registro n. 5, foglio n. 347

 

 

 

--------------------------------------------------------------------------------

Fonte: www.gazzettaufficiale.it - Istituto Poligrafico e Zecca dello Stato

--------------------------------------------------------------------------------
 

 

Home page           Articoli - Normativa             Contattaci