|
   
| |
Modifiche introdotte dal DPR 137/03.
|
Prima versione
|
Nuovo testo
|
|
Articolo 27 (R) - Certificazione delle chiavi
|
Art. 27 (R) - Certificatori
qualificati |
|
1. Chiunque intenda utilizzare un sistema di chiavi asimmetriche di
cifratura con gli effetti di cui all'articolo 8, comma 1 deve munirsi di
una idonea coppia di chiavi e rendere pubblica una di esse mediante la
procedura di certificazione.
|
1. I certificatori che rilasciano
al pubblico certificati qualificati devono trovarsi nelle condizioni
previste dall'articolo 26. |
|
2. Le chiavi pubbliche di cifratura sono custodite per un periodo non
inferiore a dieci anni a cura del certificatore e, dal momento iniziale
della loro valultabili in forma telematica.
|
2. I certificatori di cui al comma
1 devono inoltre:
a) dimostrare l'affidabilità organizzativa, tecnica e finanziaria
necessaria per svolgere attività di certificazione;
b) impiegare personale dotato delle conoscenze specifiche, dell'esperienza
e delle competenze necessarie per i servizi forniti, in particolare della
competenza a livello gestionale, della conoscenza specifica nel settore
della tecnologia delle firme elettroniche e della dimestichezza con
procedure di sicurezza appropriate, e che sia in grado di rispettare le
norme del presente testo unico e le regole tecniche di cui all'articolo 8,
comma 2;
c) applicare procedure e metodi amministrativi e di gestione adeguati e
tecniche consolidate;
d) utilizzare sistemi affidabili e prodotti di firma protetti da
alterazioni e che garantiscano la sicurezza tecnica e crittografica dei
procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito
europeo e internazionale e certificati ai sensi dello schema nazionale di
cui all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n.
10;
e) adottare adeguate misure contro la contraffazione dei certificati,
idonee anche a garantire la riservatezza, l'integrità e la sicurezza
nella generazione delle chiavi, nei casi in cui il certificatore generi
tali chiavi. |
|
3. Salvo quanto previsto dall'articolo 29, le attività di
certificazione sono effettuate da certificatori inclusi, sulla base di una
dichiarazione anteriore all'inizio dell'attività, in apposito elenco
pubblico, consultabile in via telematica, predisposto tenuto e aggiornato
a cura dell'Autorità per l'informatica nella pubblica amministrazione, e
dotati dei seguenti requisiti, specificati con il decreto di cui
all’articolo 8:
a) forma di società per azioni e capitale sociale non inferiore a quello
necessario ai fini dell'autorizzazione all'attività bancaria, se soggetti
privati;
b) possesso da parte dei rappresentanti legali e dei soggetti preposti
all'amministrazione, dei requisiti di onorabilità richiesti ai soggetti
che svolgono funzioni di amministrazione, direzione e controllo presso
banche;
c) affidamento che, per competenza ed esperienza, i responsabili tecnici
del certificatore e il personale addetto all'attività di certificazione
siano in grado di rispettare le norme del presente regolamento e le regole
tecniche di cui all’articolo 8;
d) qualità dei processi informatici e dei relativi prodotti, sulla base
di standard riconosciuti a livello internazionale.
|
3. I certificatori di cui al comma
1 devono comunicare, prima dell'inizio dell'attività, anche in via
telematica, una dichiarazione di inizio di attività al Dipartimento
dell'innovazione e le tecnologie della Presidenza del Consiglio dei
Ministri, attestante l'esistenza dei presupposti e dei requisiti previsti
dal presente testo unico, ai sensi dell'articolo 4, comma 1, del decreto
legislativo 23 gennaio 2002, n. 10. |
| 4. La procedura
di certificazione di cui al comma 1 può essere svolta anche da un
certificatore operante sulla base di licenza o autorizzazione rilasciata
da altro Stato membro dell'Unione europea o dello Spazio economico
europeo, sulla base di equivalenti requisiti. |
4. Il Dipartimento procede,
d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a
controlli volti ad accertare la sussistenza dei presupposti e dei
requisiti previsti dal presente testo unico e dispone, se del caso, con
provvedimento motivato da notificare all'interessato, il divieto di
prosecuzione dell'attività e la rimozione dei suoi effetti, salvo che,
ove ciò sia possibile, l'interessato provveda a conformare alla normativa
vigente detta attività ed i suoi effetti entro il termine prefissatogli
dall'amministrazione stessa. |
| |
Art. 27-bis
(R) - Certificati qualificati |
| |
1. I certificati qualificati
devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato
qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo Stato nel
quale è stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o uno
pseudonimo chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la
creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del
certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato il
certificato. |
| |
2. In aggiunta alle informazioni
di cui al comma 1, fatta salva la possibilità di utilizzare uno
pseudonimo, per i titolari residenti all'estero cui non risulti attribuito
il codice fiscale, si deve indicare il codice fiscale rilasciato
dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo
codice identificativo, quale ad esempio un codice di sicurezza sociale o
un codice identificativo generale. |
| |
3. Il certificato qualificato può
inoltre contenere, su domanda del titolare o del terzo interessato, le
seguenti informazioni, se pertinenti allo scopo per il quale il
certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o
collegi professionali, l'iscrizione ad albi o il possesso di altre
abilitazioni professionali, nonché poteri di rappresentanza;
b) limiti d'uso del certificato, ai sensi dell'articolo 28-bis, comma 3;
c) limiti del valore degli atti unilaterali e dei contratti per i quali
il certificato può essere usato, ove applicabili. |
|
