D.P.R. 07/04/2003 n. 137

- Il testo dell'art. 10, comma 1, del Decreto legislativo 23 gennaio 2002, n. 10 (Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche), è il seguente: «1. La conformità dei dispositivi per la creazione di una firma sicura ai requisiti prescritti dall'allegato III della direttiva 1999/93/CE è accertata, in Italia, in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, fissato con Decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell'economia e delle finanze. Lo schema nazionale non reca oneri aggiuntivi per il bilancio dello Stato ed individua l'organismo pubblico incaricato di accreditare i centri di valutazione e di certificare le valutazioni di sicurezza. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto.».

- Si riporta il testo dell'art. 4, comma 1, del Decreto legislativo 23 gennaio 2002, n. 10 (Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche): «1. I certificatori stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell'inizio dell'attività, al Dipartimento.».

Art. 12. Modifiche al Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Dopo l'articolo 27 del testo unico è inserito il seguente: «Art. 27-bis (R) (Certificati qualificati).

1. I certificati qualificati devono contenere almeno le seguenti informazioni

a) indicazione che il certificato elettronico rilasciato è un certificato qualificato

b) numero di serie o altro codice identificativo del certificato

c) nome, ragione o denominazione sociale del certificatore e lo Stato nel quale è stabilito

d) nome, cognome e codice fiscale del titolare del certificato o uno pseudonimo chiaramente identificato come tale

e) dati per la verifica della firma corrispondenti ai dati per la creazione della stessa in possesso del titolare

f) indicazione del termine iniziale e finale del periodo di validità del certificato

g) firma elettronica avanzata del certificatore che ha rilasciato il certificato.

2. In aggiunta alle informazioni di cui al comma 1, fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all'estero cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale.

3. Il certificato qualificato può inoltre contenere, su domanda del titolare o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto

a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilita zioni professionali, nonchè poteri di rappresentanza

b) limiti d'uso del certificato, ai sensi dell'articolo 28-bis, comma 3

c) limiti del valore degli atti unilaterali e dei contratti per i quali il certifi cato può essere usato, ove applicabili.».

Art. 13. Modifiche all'articolo 28 del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 28 del testo unico è sostituito dal seguente: «Art. 28 (R) (Accreditamento). -

1. Ai sensi dell'articolo 5 del Decreto legislativo 23 gennaio 2002, n. 10, i certificatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati presso la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, che a tali fini può avvalersi delle strutture pubbliche di cui all'articolo 29. Il richiedente deve rispondere ai requisiti di cui all'articolo 27 ed allegare alla domanda il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonchè l'impegno al rispetto delle regole di tecniche.

3. Il richiedente, se soggetto privato, in aggiunta a quanto previsto dal comma 2, deve inoltre

a) avere natura giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria ai sensi dell'articolo 14 del testo unico delle leggi in materia bancaria e creditizia, approvato con Decreto legislativo 1° settembre 1993, n. 385

b) garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti il collegio sindacale, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 citato del Decreto legislativo 1° settembre 1993, n. 385.

4. La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa.

5. Il termine di cui al comma 4 può essere interrotto una sola volta entro trenta giorni dalla data di presentazione della domanda, esclusivamente per la motivata richiesta di documenti che integrino o completino la documentazione presentata e che non siano già nella disponibilità del Dipartimento per l'innovazione e le tecnologie o che questo non possa acquisire autonomamente. In tal caso, il termine riprende a decorrere dalla data di ricezione della documentazione integrativa.

6. A seguito dell'accoglimento della domanda, il Dipartimento per l'innovazione e le tecnologie dispone l'iscrizione del richiedente in un apposito elenco pubblico, tenuto dal Dipartimento stesso e consultabile anche in via telematica, ai fini dell'applicazione della disciplina in questione.

7. Il certificatore accreditato può qualificarsi come tale nei rapporti commerciali e con le pubbliche amministrazioni.». Note all'art. 13:

-Il testo dell'art. 5, del Decreto legislativo 23 gennaio 2002, n. 10 (Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche), è il seguente: «Art. 5.

1. I certificatori che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere accreditati.

2. Il richiedente deve essere dotato di ulteriori requisiti, sul piano tecnico, nonchè in ordine alla solidità finanziaria ed alla onorabilità, rispetto a quelli richiesti per gli altri certificatori ai sensi del regolamento di cui all'art. 13.

3. Il Dipartimento, per il vaglio delle domande presentate ai sensi del comma 1, può avvalersi degli organismi indicati nell'art. 3, comma 2.

4. Quando accoglie la domanda, il Dipartimento dispone l'iscrizione del richiedente in un apposito elenco pubblico, consultabile anche in via telematica, tenuto dal Dipartimento stesso.».

-Si riporta il testo dell'art. 14 del Decreto legislativo 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia): «Art. 14 (Autorizzazione all'attività bancaria).

1. La Banca d'Italia autorizza l'attività bancaria quando ricorrano le seguenti condizioni

a) sia adottata la forma di società per azioni e di società cooperativa per azioni a responsabilità limitata; a-bis) la sede legale e la Direzione generale siano situate nel territorio della Repubblica

b) il capitale versato sia di ammontare non inferiore a quello determinato dalla Banca d'Italia

c) venga presentato un programma concernente l'attività iniziale, unitamente all'atto costitutivo e allo statuto

d) i partecipanti al capitale abbiano i requisiti di onorabilità stabiliti dall'art. 25 e sussistano i presupposti per il rilascio dell'autorizzazione prevista dall'art. 19

e) i soggetti che svolgono funzioni di amministrazione, direzione e controllo abbiano i requisiti di professionalità e di onorabilità indicati nell'art. 26

f) non sussistano, tra la banca e i soggetti del gruppo di appartenenza e altri soggetti, stretti legami che ostacolino l'effettivo esercizio delle funzioni di vigilanza.

2. La Banca d'Italia nega l'autorizzazione quando dalla verifica delle condizioni indicate nel comma 1 non risulti garantita la sana e prudente gestione.

3. Non si può dare corso al procedimento per l'iscrizione nel registro delle imprese se non consti l'autorizzazione del comma 1.

4. Lo stabilimento in Italia della prima succursale di una banca extracomunitaria è autorizzato con Decreto del Ministro del tesoro, d'intesa con il Ministro degli affari esteri, sentita la Banca d'Italia. L'autorizzazione è comunque subordinata al rispetto di condizioni corrispondenti a quelle del comma 1, lettere b), c) ed e). L'autorizzazione è rilasciata tenendo anche conto della condizione di reciprocità. ».

- Per quanto concerne il testo dell'art. 26 del Decreto legislativo 1° settembre 1993, n. 385, testo unico delle leggi in materia bancaria e creditizia, si vedano le note riportate all'art. 10.

Art. 14. Modifiche all'articolo 29 del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. L'articolo 29 del testo unico è sostituito dal seguente: «Art. 29 (R) (Vigilanza sull'attività di certificazione). -

1. La Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, svolge funzioni di vigilanza e controllo sull'attività di certificazione, ai sensi dell'articolo 3, comma 2, del Decreto legislativo 23 gennaio 2002, n. 10, anche attraverso le strutture di cui si avvale il Ministro per l'innovazione e le tecnologie.

2. Fatto salvo quanto previsto dal comma 1, il Dipartimento per l'innovazione e le tecnologie provvede al controllo periodico dei certificatori accreditati.». Nota all'art. 14:

-Per quanto concerne il testo dell'art. 3, comma 2, del Decreto legislativo 23 gennaio 2002, n. 10 (Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche), si vedano le note riportate all'art. 10.

Art. 15. Modifiche al Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445

1. Dopo l'articolo 29 del testo unico sono inseriti i seguenti: «Art. 29-bis (R) (Obblighi del titolare e del certificatore).

1. Il titolare ed il certificatore sono tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.

2. Il TNcertificatore che rilascia, ai sensi dell'articolo 27, certificati qualificati è tenuto inoltre a

a) identificare con certezza la persona che fa richiesta della certificazione

b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei casi stabiliti dalle regole tecniche di cui all'articolo 8, comma 2, nel rispetto della Legge 31 dicembre 1996, n. 675, e successive modificazioni

c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della sussistenza degli stessi

d) attenersi alle regole tecniche di cui all'articolo 8, comma 2

e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione

f) adottare le misure di sicurezza per il trattamento dei dati personali, ai sensi dell'articolo 15, comma 2, della Legge 31 dicembre 1996, n. 675

g) non rendersi depositario di dati per la creazione della firma del titolare

h) procedere alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni