|
Prima versione
|
Nuovo testo
|
|
Articolo 29 (R) - Chiavi di cifratura della
pubblica amministrazione
|
Art. 29 (R) - Vigilanza
sull'attività di certificazione |
|
1. Le pubbliche amministrazioni provvedono autonomamente, con
riferimento al proprio ordinamento, alla generazione, alla conservazione,
alla certificazione ed all'utilizzo delle chiavi pubbliche di competenza.
|
1. La Presidenza del Consiglio dei
Ministri - Dipartimento per l'innovazione e le tecnologie, svolge funzioni
di vigilanza e controllo sull'attività di certificazione, ai sensi
dell'articolo 3, comma 2, del decreto legislativo 23 gennaio 2002, n. 10,
anche attraverso le strutture di cui si avvale il Ministro per
l'innovazione e le tecnologie. |
|
2. Con il decreto di cui all'articolo 8 sono disciplinate le modalità
di formazione, di pubblicità, di conservazione, certificazione e di
utilizzo delle chiavi pubbliche delle pubbliche amministrazioni.
|
2. Fatto salvo quanto previsto dal
comma 1, il Dipartimento per l'innovazione e le tecnologie provvede al
controllo periodico dei certificatori accreditati. |
|
3. Le chiavi pubbliche dei pubblici ufficiali non appartenenti alla
pubblica amministrazione sono certificate e pubblicate autonomamente in
conformità alle leggi ed ai regolamenti che definiscono l'uso delle firme
autografe nell'ambito dei rispettivi ordinamenti giuridici.
|
ELIMINATO |
|
4. Le chiavi pubbliche di ordini ed albi professionali legalmente
riconosciuti e dei loro legali rappresentanti sono certificate e
pubblicate a cura del Ministro di grazia e giustizia o suoi delegati.
|
ELIMINATO |
| |
Art. 29-bis (R) - Obblighi
del titolare e del certificatore |
| |
1. Il titolare e il certificatore
sono tenuti ad adottare tutte le misure organizzative e tecniche idonee a
evitare danno ad altri. |
| |
2. Il certificatore che rilascia,
ai sensi dell'articolo 27, certificati qualificati è tenuto inoltre a:
a) identificare con certezza la persona che fa richiesta della
certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei
casi stabiliti dalle regole tecniche di cui all'articolo 8, comma 2, nel
rispetto della legge 31 dicembre 1996, n. 675, e successive modificazioni;
c) specificare, nel certificato qualificato su richiesta dell'istante, e
con il consenso del terzo interessato, i poteri di rappresentanza o di
altri titoli relativi all'attività professionale o a cariche rivestite,
previa verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche di cui all'articolo 8, comma 2;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di
certificazione e sui necessari requisiti tecnici per accedervi e sulle
caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base
del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati personali,
ai sensi dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675;
g) non rendersi depositario di dati per la creazione della firma del
titolare;
h) procedere alla pubblicazione della revoca e della sospensione del
certificato elettronico in caso di richiesta da parte del titolare o del
terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso
della chiave, di provvedimento dell'autorità,
di acquisizione della conoscenza di cause limitative della capacità del
titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di
elencazione, nonché garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di rilascio,
di revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le informazioni
relative al certificato qualificato per dieci anni in particolare al fine
di fornire prova della certificazione in eventuali procedimenti
giudiziari;
n) non copiare, nè conservare le chiavi private di firma del soggetto cui
il certificatore ha fornito il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le informazioni
utili ai soggetti che richiedono il servizio di certificazione, tra cui in
particolare gli esatti termini e condizioni relative all'uso del
certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema
di accreditamento facoltativo e le procedure di reclamo e di risoluzione
delle controversie; dette informazioni, che possono essere trasmesse
elettronicamente, devono essere scritte in linguaggio chiaro ed essere
fornite prima dell'accordo tra il richiedente il servizio ed il
certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei
certificati con modalità tali da garantire che soltanto le persone
autorizzate possano effettuare inserimenti e modifiche, che l'autenticità
delle informazioni sia verificabile, che i certificati siano accessibili
alla consultazione del pubblico soltanto nei casi consentiti dal titolare
del certificato e che l'operatore possa rendersi conto di qualsiasi evento
che comprometta i requisiti di sicurezza. Su richiesta, elementi
pertinenti delle informazioni possono essere resi accessibili a terzi che
facciano affidamento sul certificato. |
| |
3. Il certificatore che rilascia
certificati al pubblico raccoglie i dati personali solo direttamente dalla
persona cui si riferiscono o previo suo esplicito consenso, e soltanto
nella misura necessaria al rilascio e al mantenimento del certificato,
fornendo l'informativa prevista dalla disciplina in materia di dati
personali. I dati non possono essere raccolti o elaborati per fini diversi
senza l'espresso consenso della persona cui si riferiscono. |
| |
Art. 29-ter (R) - Uso di
pseudonimi |
| |
1. In luogo del nome del titolare
il certificatore può riportare sul certificato elettronico uno
pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il
certificatore ha l'obbligo di conservare le informazioni relative alla
reale identità del titolare per almeno dieci anni dopo la scadenza del
certificato stesso. |
| |
Art. 29-quater (R) - Efficacia
dei certificati qualificati |
| |
1. La firma elettronica, basata su
un certificato qualificato scaduto, revocato o sospeso non costituisce
valida sottoscrizione. |
| |
Art. 29-quinquies (R) - Norme
particolari per le pubbliche amministrazioni e per altri soggetti
qualificati |
| |
1. Ai fini della sottoscrizione,
ove prevista, di documenti informatici di rilevanza esterna, le pubbliche
amministrazioni:
a) possono svolgere direttamente l'attività di rilascio dei certificati
qualificati avendo a tale fine l'obbligo di accreditarsi ai sensi
dell'articolo 28; tale attività può essere svolta esclusivamente nei
confronti dei propri organi ed uffici, nonché di categorie di terzi,
pubblici o privati. I certificati qualificati rilasciati in favore di
categorie di terzi possono essere utilizzati soltanto nei rapporti con
l'Amministrazione certificante, al di fuori dei quali sono privi di ogni
effetto; con decreto del Presidente del Consiglio dei Ministri, su
proposta dei Ministri per la funzione pubblica e per l'innovazione e le
tecnologie e dei Ministri interessati, di concerto con il Ministro
dell'economia e delle finanze, sono definite le categorie di terzi e le
caratteristiche dei certificati qualificati;
b) possono rivolgersi a certificatori accreditati, secondo la vigente
normativa in materia di contratti pubblici. |
| |
2. Per la formazione, gestione e
sottoscrizione di documenti informatici aventi rilevanza esclusivamente
interna ciascuna amministrazione può adottare, nella propria autonomia
organizzativa, regole diverse da quelle contenute nelle regole tecniche di
cui all'articolo 8, comma 2. |
| |
3. Le regole tecniche concernenti
la qualifica di pubblico ufficiale, l'appartenenza ad ordini o collegi
professionali, l'iscrizione ad albi o il possesso di altre abilitazioni
sono emanate con decreti del Ministro per l'innovazione e le tecnologie,
di concerto con il Ministro per la funzione pubblica, con il Ministro
della giustizia e con gli altri Ministri di volta in volta interessati,
sulla base dei principi generali stabiliti dai rispettivi ordinamenti. |
| |
4. Nelle more della definizione
delle specifiche norme tecniche di cui al comma 3, si applicano le norme
tecniche di cui all'articolo 8, comma 2. |
| |
Art. 29-sexies (R) - Dispositivi
sicuri e procedure per la generazione della firma |
| |
1. I dispositivi sicuri e le
procedure utilizzate per la generazione delle firme devono presentare
requisiti di sicurezza tali da garantire che la chiave privata:
a) sia riservata;
b) non possa essere derivata e che la relativa firma sia protetta da
contraffazioni;
c) possa essere sufficientemente protetta dal titolare dall'uso da parte
di terzi. |
| |
2. I dispositivi sicuri di cui al
comma 1 devono garantire l'integrità dei dati elettronici a cui la firma
si riferisce. I dati devono essere presentati al titolare, prima
dell'apposizione della firma, chiaramente e senza ambiguità, e si deve
richiedere conferma della volontà di generare la firma. |
| |
3. Il secondo periodo del comma 2
non si applica alle firme apposte con procedura automatica, purché
l'attivazione della procedura sia chiaramente riconducibile alla volontà
del titolare. |
| |
4. I dispositivi sicuri di firma
sono sottoposti alla valutazione e certificazione di sicurezza ai sensi
dello schema nazionale per la valutazione e certificazione di sicurezza
nel settore della tecnologia dell'informazione di cui all'articolo 10,
comma 1, del decreto legislativo 23 gennaio 2002, n. 10. |
| |
Art. 29-septies (R) - Revoca
e sospensione dei certificati qualificati |
| |
1. Il certificato qualificato deve
essere a cura del certificatore:
a) revocato in caso di cessazione dell'attività del certificatore;
b) revocato o sospeso in esecuzione di un provvedimento dell'autorità;
c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal
quale derivano i poteri del titolare, secondo le modalità previste nel
presente decreto;
d) revocato o sospeso in presenza di cause limitative della capacità del
titolare o di abusi o falsificazioni; |
| |
2. Il certificato qualificato può,
inoltre, essere revocato o sospeso nei casi previsti dalle regole tecniche
di cui all'articolo 8, comma 2. |
| |
3. La revoca o la sospensione del
certificato qualificato, qualunque ne sia la causa, ha effetto dal momento
della pubblicazione della lista che lo contiene. Il momento della
pubblicazione deve essere attestato mediante adeguato riferimento
temporale. |
| |
4. Le modalità di revoca o
sospensione sono previste nelle regole tecniche di cui all'articolo 8,
comma 2. |
| |
Art. 29-octies (R) - Cessazione
dell'attività |
| |
1. Il certificatore qualificato o
accreditato che intende cessare l'attività deve, almeno sessanta giorni
prima della data di cessazione, darne avviso al Dipartimento per
l'innovazione e le tecnologie, informando senza indugio i titolari dei
certificati da lui emessi specificando che tutti i certificati non scaduti
al momento della cessazione saranno revocati. |
| |
2. Il certificatore di cui al
comma 1 comunica contestualmente la rilevazione della documentazione da
parte di altro certificatore o l'annullamento della stessa. l'indicazione
di un certificatore sostitutivo non impone la revoca di tutti i
certificati non scaduti al momento della cessazione. |
| |
3. Il certificatore di cui al
comma 1 deve indicare altro depositario del registro dei certificati e
della relativa documentazione. |
| |
4. Il dipartimento rende nota la
data di cessazione dell'attività del certificatore accreditato tramite
l'elenco di cui all'articolo 28, comma 6. |
