D.P.R. 07/04/2003 n. 137

i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione, nonchè garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo

l) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici

m) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per dieci anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari

n) non copiare, nè conservare le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione

p) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.

3. Il certificatore che rilascia certificati al pubblico raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l'informativa prevista dalla disciplina in materia di dati personali. I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono.

Art. 29-ter (R) (Uso di pseudonimi). -

1. In luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l'obbligo di conservare le informazioni relative alla reale identità del titolare per almeno dieci anni dopo la scadenza del certificato stesso.

Art. 29-quater (R) (Efficacia dei certificati qualificati).

1. La firma elettronica, basata su un certificato qualificato scaduto, revocato o sospeso non costituisce valida sottoscrizione.

Art. 29-quinquies (R) (Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati). -

1. Ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni

a) possono svolgere direttamente l'attività di rilascio dei certificati qualificati avendo a tale fine l'obbligo di accreditarsi ai sensi dell'articolo 28; tale attività può essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonchè di categorie di terzi, pubblici o privati. I certificati qualificati rilasciati in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti con l'Amministrazione certificante, al di fuori dei quali sono privi di ogni effetto; con Decreto del Presidente del Consiglio dei Ministri, su proposta dei Ministri per la funzione pubblica e per l'innovazione e le tecnologie e dei Ministri interessati, di concerto con il Ministro dell'economia e delle finanze, sono definite le categorie di terzi e le caratteristiche dei certificati qualificati

b) possono rivolgersi a certificatori accreditati, secondo la vigente normativa in materia di contratti pubblici.

2. Per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all'articolo 8, comma 2.

3. Le regole tecniche concernenti la qualifica di pubblico ufficiale, l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni sono emanate con decreti del Ministro per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica, con il Ministro della giustizia e con gli altri Ministri di volta in volta interessati, sulla base dei principi generali stabiliti dai rispettivi ordinamenti.

4. Nelle more della definizione delle specifiche norme tecniche di cui al comma 3, si applicano le norme tecniche di cui all'articolo 8, comma 2.

Art. 29-sexies (R) (Dispositivi sicuri e procedure per la generazione della firma). -

1. I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata

a) sia riservata

b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni

c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi. I dispositivi sicuri di cui al comma 1 devono garantire l'integrità dei dati elettronici a cui la firma si riferisce. I dati devono essere presentati al titolare, prima dell'apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma.

3. Il secondo periodo del comma 2 non si applica alle firme apposte con procedura automatica, purchè l'attivazione della procedura sia chiaramente riconducibile alla volontà del titolare.

4. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione di cui all'articolo 10, comma 1, del Decreto legislativo 23 gennaio 2002, n. 10.

Art. 29-septies (R) (Revoca e sospensione dei certificati qualificati).

1. Il certificato qualificato deve essere a cura del certificatore

a) revocato in caso di cessazione dell'attività del certificatore

b) revocato o sospeso in esecuzione di un provvedimento dell'autorità

c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare, secondo le modalità previste nel presente Decreto

d) revocato o sospeso in presenza di cause limitative della capacità del titolare o di abusi o falsificazioni.

2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei casi previsti dalle regole tecniche di cui all'articolo 8, comma 2.

3. La revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.

4. Le modalità di revoca o sospensione sono previste nelle regole tecniche di cui all'articolo 8, comma 2.

Art. 29-octies (R) (Cessazione dell'attivita). -

1. Il certificatore qualificato o accreditato che intende cessare l'attività deve, almeno sessanta giorni prima della data di cessazione, darne avviso al Dipartimento per l'innovazione e le tecnologie, informando senza indugio i titolari dei certificati da lui emessi specificando che tutti i certificati non scaduti al momento della cessazione saranno revocati.

2. Il certificatore di cui al comma 1 comunica contestualmente la rilevazione della documentazione da parte di altro certificatore o l'annullamento della stessa. L'indicazione di un certificatore sostitutivo non impone la revoca di tutti i certificati non scaduti al momento della cessazione.

3. Il certificatore di cui al comma 1 deve indicare altro depositario del registro dei certificati e della relativa documentazione.

4. Il Dipartimento rende nota la data di cessazione dell'attività del certificatore accreditato tramite l'elenco di cui all'articolo 28, comma 6.». Note all'art. 15:

- Per quanto concerne il testo dell'art. 8, comma 2, del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa), si vedano le note riportate all'art. 2.

-Il testo dell'art. 15, comma 2, della Legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) pubblicata nella Gazzetta Ufficiale dell'8 gennaio 1997, n. 5, S.O., è il seguente: «2. Le misure minime di sicurezza da adottare in via preventiva sono individuate con regolamento emanato con Decreto del Presidente della Repubblica, ai sensi dell'art. 17, comma 1, lettera a), della Legge 23 agosto 1988, n. 400, entro centottanta giorni dalla data di entrata in vigore della presente Legge, su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per l'informatica nella pubblica amministrazione e il Garante.».

-Per quanto concerne il testo dell'art. 10, comma 1, del Decreto legislativo 23 gennaio 2002, n. 10 (Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche), si vedano le note riportate all'art. 11.

Art. 16. Disposizioni transitorie

1. I certificati emessi alla data di entrata in vigore del presente Decreto dai soggetti che risultano iscritti nell'elenco pubblico dei certificatori tenuto dall'Autorità per l'informatica nella pubblica amministrazione sono considerati certificati qualificati.

2. Fino alla completa operatività dell'elenco di cui all'articolo 28, comma 6, del testo unico coloro che intendono accreditarsi presso la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie, effettuano gli adempimenti previsti dagli articoli 27 e 28 del medesimo testo unico presso l'Autorità per l'informatica nella pubblica amministrazione.

1. Le modifiche di cui al presente regolamento apportate al Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 (Testo A), si intendono riferite anche al Decreto del Presidente della Repubblica 28 dicembre 2000, n. 444 (Testo C). Il presente Decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Dato a Roma, addì 7 aprile 2003 CIAMPI Berlusconi, Presidente del Consiglio dei Ministri Buttiglione, Ministro per le politiche comunitarie Stanca, Ministro per l'innovazione e le tecnologie Frattini, Ministro degli affari esteri Pisanu, Ministro dell'interno Castelli, Ministro della giustizia Tremonti, Ministro dell'economia e delle finanze Gasparri, Ministro delle comunicazioni Mazzella, Ministro per la funzione pubblica Visto, Il Guardasigilli: Castelli Registrato alla Corte dei conti il 4 giugno 2003 Ministeri istituzionali, registro n. 5, foglio n. 347 Nota all'art. 17:

- Il Decreto del Presidente della Repubblica 28 dicembre 2000, n. 444, recante disposizioni regolamentari in materia di documentazione amministrativa, è stato pubblicato nella Gazzetta Ufficiale del 20 febbraio 2001, n. 42, S.O.