|
Prima versione
|
Nuovo testo
|
|
Articolo 28 (R) - Obblighi dell'utente e del
certificatore
|
Art. 28 (R) - Accreditamento |
| 1. Chiunque
intenda utilizzare un sistema di chiavi asimmetriche o della firma
digitale, è tenuto ad adottare tutte le misure organizzative e tecniche
idonee ad evitare danno ad altri. |
1. Ai sensi dell'articolo 5 del
decreto legislativo 23 gennaio 2002, n. 10, i certificatori che intendono
conseguire il riconoscimento del possesso dei requisiti del livello più
elevato, in termini di qualità e di sicurezza, possono chiedere di essere
accreditati presso la Presidenza del Consiglio dei Ministri - Dipartimento
per l'innovazione e le tecnologie, che a tali fini può avvalersi delle
strutture pubbliche di cui all'articolo 29. |
|
2. Il certificatore è tenuto a:
a) identificare con certezza la persona che fa richiesta della
certificazione;
b) rilasciare e rendere pubblico il certificato avente le caratteristiche
fissate con il decreto di cui all’articolo 8;
c) specificare, su richiesta dell'istante, e con il consenso del terzo
interessato, la sussistenza dei poteri di rappresentanza o di altri titoli
relativi all'attività professionale o a cariche rivestite;
d) attenersi alle regole tecniche di cui all’articolo 8;
e) informare i richiedenti, in modo compiuto e chiaro, sulla procedura di
certificazione e sui necessari requisiti tecnici per accedervi;
f) attenersi alle misure minime di sicurezza per il trattamento dei dati
personali,emanate ai sensi dell’articolo 12, comma 2 della legge 31
dicembre 1996, n. 675;
g) non rendersi depositario di chiavi private;
h) procedere tempestivamente alla revoca od alla sospensione del
certificato in caso di richiesta da parte del titolare o del terzo dal
quale derivino i poteri di quest'ultimo, di perdita del possesso della
chiave, di provvedimento dell'autorità, di acquisizione della conoscenza
di cause limitative della capacità del titolare, di sospetti abusi o
falsificazioni;
i) dare immediata pubblicazione della revoca e della sospensione della
coppia di chiavi asimmetriche;
l) dare immediata comunicazione all'Autorità per l'informatica nella
pubblica amministrazione ed agli utenti, con un preavviso di almeno sei
mesi, della cessazione dell'attività e della conseguente rilevazione
della documentazione da parte di altro certificatore o del suo
annullamento.
|
2. Il richiedente deve rispondere
ai requisiti di cui all'articolo 27 ed allegare alla domanda il profilo
professionale del personale responsabile della generazione dei dati per la
creazione e per la verifica della firma, della emissione dei certificati e
della gestione del registro dei certificati nonché l'impegno al rispetto
delle regole di tecniche. |
| |
3. Il richiedente, se soggetto
privato, in aggiunta a quanto previsto dal comma 2, deve inoltre:
a) avere natura giuridica di società di capitali e un capitale sociale
non inferiore a quello necessario ai fini dell'autorizzazione alla attività
bancaria ai sensi dell'articolo 14 del testo unico delle leggi in materia
bancaria e creditizia, approvato con decreto legislativo 1° settembre
1993, n. 385;
b) garantire il possesso, oltre che da parte dei rappresentanti legali,
anche da parte dei soggetti preposti alla amministrazione e dei componenti
il collegio sindacale, dei requisiti di onorabilità richiesti ai soggetti
che svolgono funzioni di amministrazione, direzione e controllo presso
banche ai sensi dell'articolo 26 citato del decreto legislativo 1°
settembre 1993, n. 385. |
| |
4. La domanda di accreditamento si
considera accolta qualora non venga comunicato all'interessato il
provvedimento di diniego entro novanta giorni dalla data di presentazione
della stessa. |
| |
5. Il termine di cui al comma 4 può
essere interrotto una sola volta entro trenta giorni dalla data di
presentazione della domanda, esclusivamente per la motivata richiesta di
documenti che integrino o completino la documentazione presentata e che
non siano già nella disponibilità del Dipartimento per l'innovazione e
le tecnologie o che questo non possa acquisire autonomamente. In tal caso,
il termine riprende a decorrere dalla data di ricezione della
documentazione integrativa. |
| |
6. A seguito dell'accoglimento
della domanda, il Dipartimento per l'innovazione e le tecnologie dispone
l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal
Dipartimento stesso e consultabile anche in via telematica, ai fini
dell'applicazione della disciplina in questione. |
| |
7. Il certificatore accreditato può
qualificarsi come tale nei rapporti commerciali e con le pubbliche
amministrazioni. |
| |
Art. 28-bis
(L) Responsabilità del certificatore |
| |
1. Il
certificatore che rilascia al pubblico un certificato qualificato o che
garantisce al pubblico l'affidabilità del certificato è responsabile, se
non prova d'aver agito senza colpa, del danno cagionato a chi abbia fatto
ragionevole affidamento:
a) sull'esattezza delle informazioni in esso contenute alla data del
rilascio e sulla loro completezza rispetto ai requisiti fissati per i
certificati qualificati;
b) sulla garanzia che al momento del rilascio del certificato il
firmatario detenesse i dati per la creazione della firma corrispondenti ai
dati per la verifica della firma riportati o identificati nel certificato;
c) sulla garanzia che i dati per la creazione e per la verifica della
firma possano essere usati in modo complementare, nei casi in cui il
certificatore generi entrambi. |
| |
2. Il
certificatore che rilascia al pubblico un certificato qualificato è
responsabile, nei confronti dei terzi che facciano ragionevole affidamento
sul certificato stesso, dei danni provocati per effetto della mancata
registrazione della revoca o sospensione del certificato, salvo che provi
d'aver agito senza colpa. |
| |
3. Il
certificatore può indicare, in un certificato qualificato, i limiti d'uso
di detto certificato ovvero un valore limite per i negozi per i quali può
essere usato il certificato stesso, purché i limiti d'uso o il valore
limite siano riconoscibili da parte dei terzi. Il certificatore non è
responsabile dei danni derivanti dall'uso di un certificato qualificato
che ecceda i limiti posti dallo stesso o derivanti dal superamento del
valore limite. |
