DIRETTIVA 1999/93/CE
del
Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un
quadro comunitario per le firme elettroniche G.U. delle Comunità
europee L. 13 del 13 dicembre 1999)
IL PARLAMENTO
EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato che istituisce la Comunità europea, in particolare
gli articoli 47, paragrafo 2, 55 e 95,
vista la proposta della Commissione (1),
visto il parere del Comitato economico e sociale (2),
visto il parere del Comitato delle regioni (3),
deliberando secondo la procedura di cui all'art. 251 del trattato (4),
considerando quanto segue:
(1) il 16 aprile 1997 la Commissione ha presentato al Parlamento europeo,
al Consiglio, al Comitato economico e sociale e al Comitato delle regioni
una comunicazione relativa ad un'iniziativa europea in materia di commercio
elettronico;
(2) l'8 ottobre 1997 la Commissione ha presentato al Parlamento europeo,
al Consiglio, al Comitato economico e sociale e al Comitato delle regioni
una comunicazione intitolata"Garantire la sicurezza e l'affidabilità
nelle comunicazioni elettroniche - Verso la definizione di un quadro europeo
in materia di firme digitali e di cifratura";
(3) il 1. dicembre 1997 il Consiglio ha invitato la Commissione a presentare
quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio
relativa alle firme digitali;
(4) le comunicazioni elettroniche e il commercio elettronico necessitano
di firme elettroniche e dei servizi ad esse relativi, atti a consentire
l'autenticazione dei dati; la divergenza delle norme in materia di riconoscimento
giuridico delle firme elettroniche e di accreditamento dei prestatori
di servizi di certificazione negli Stati membri può costituire
un grave ostacolo all'uso delle comunicazioni elettroniche e del commercio
elettronico; invece, un quadro comunitario chiaro relativo alle condizioni
che si applicano alle firme elettroniche rafforzerà la fiducia
nelle nuove tecnologie e la loro accettazione generale; la normativa negli
Stati membri non dovrebbe essere di ostacolo alla libera circolazione
di beni e i servizi nel mercato interno;
(5) occorrerebbe promuovere l'interoperabilità dei prodotti di
firma elettronica; a norma dell'art. 14 del trattato, il mercato interno
comporta uno spazio senza frontiere interne, nel quale è assicurata
la libera circolazione delle merci; per garantire la libera circolazione
nell'ambito del mercato interno e infondere fiducia nelle firme elettroniche,
è necessaria la conformità ai requisiti essenziali specifici
relativi ai prodotti di firma elettronica, fatti salvi il regolamento
(CE) n. 3381/94 del Consiglio, del 19 dicembre 1994, che istituisce un
regime comunitario di controllo delle esportazioni di beni a duplice uso
(5) , ela decisione 94/942/PESC del Consiglio del 19 dicembre 1994, relativa
all'azione comune adottata dal Consiglio riguardante il controllo delle
esportazioni di beni a duplice uso (6) ;
(6) la presente direttiva non armonizza la fornitura di servizi rispetto
al carattere riservato dell'informazione quando sono oggetto di disposizioni
nazionali inerenti all'ordine pubblico o alla pubblica sicurezza;
(7) il mercato interno consente anche la libera circolazione delle persone
la quale si traduce in una maggiore necessità, per i cittadini
dell'Unione europea e per le persone che vi risiedono, di trattare con
le autorità di Stati membri diversi da quello in cui risiedono;
la disponibilità di comunicazioni elettroniche potrebbe essere
di grande aiuto a questo riguardo;
(8) la rapida evoluzione tecnologica e il carattere globale di Internet
rendono necessario un approccio aperto alle varie tecnologie e servizi
che consentono di autenticare i dati in modo elettronico;
(9) le firme elettroniche verranno usate in svariate circostanze ed applicazioni,
che comporteranno un'ampia gamma di nuovi servizi e prodotti facenti uso
di firme elettroniche o a esse collegati; la definizione di tali prodotti
e servizi non dovrebbe essere limitata al rilascio e alla gestione di
certificati, ma comprenderebbe anche ogni altro servizio e prodotto facente
uso di firme elettroniche, o a esse ausiliario, quali servizi di immatricolazione,
servizi di apposizione del giorno e dell'ora, servizi di repertorizzazione,
servizi informatici o di consulenza relativi alle firme elettroniche;
(10) il mercato interno consente ai prestatori di servizi di certificazione
di sviluppare le proprie attività transfrontaliere ai fini di accrescere
la competitività e, pertanto, di offrire ai consumatori e alle
imprese nuove opportunità di scambiare informazioni e i effettuare
negozi per via elettronica in modo sicuro, indipendentemente dalle frontiere;
al fine di stimolare la prestazione su scala comunitaria di servizi di
certificazione sulle reti aperte, i prestatori di servizi di certificazione
dovrebbero essere liberi di fornire i rispettivi servizi senza preventiva
autorizzazione; per autorizzazione preventiva non si intende soltanto
qualsiasi permesso che il prestatore di servizi interessato deve ottenere
dalle autorità nazionali prima di poter fornire i propri servizi
di certificazione, ma anche ogni altra misura avente effetto equivalente;
(11) i sistemi di accreditamento facoltativo intesi a migliorare il livello
di servizio fornito possono offrire ai prestatori di servizi di certificazione
il quadro appropriato per l'ulteriore sviluppo dei loro servizi verso
i livelli di fiducia, sicurezza e qualità richiesti dall'evoluzione
del mercato; tali sistemi dovrebbero incoraggiare lo sviluppo di prassi
ottimali tra i prestatori di servizi di certificazione; questi ultimi
dovrebbero essere liberi di aderire a tali sistemi di accreditamento e
i trarne vantaggio;
(12) i servizi di certificazione possono essere forniti o da un'entità
pubblica ovvero da una persona giuridica o fisica quando è costituita
secondo il diritto nazionale; gli Stati membri non dovrebbero vietare
ai prestatori di servizi di certificazione di operare al di fuori dei
sistemi di accreditamento facoltativo; si dovrebbe garantire che tali
sistemi di accreditamento non riducano la concorrenza nel settore dei
servizi di certificazione;
(13) gli Stati membri possono decidere come garantire il controllo del
rispetto delle disposizioni contenute nella presente direttiva; quest'ultima
non esclude l'istituzione di sistemi di controllo basati sul settore privato;
la presente direttiva non obbliga i prestatori di servizi di certificazione
a chiedere il controllo in base a un qualsiasi sistema d'accreditamento
applicabile;
(14) è importante raggiungere l'equilibrio tra le esigenze dei
consumatori e le esigenze delle imprese;
(15) considerando che l'allegato III prevede requisiti relativi a dispositivi
per la creazione di una firma sicura al fine di assicurare la funzionalità
delle firme elettroniche avanzate; esso non contempla la globalità
dell'ambiente del sistema in cui tali dispositivi operano; il funzionamento
del mercato interno impone alla Commissione e agli Stati membri un'azione
rapida al fine di permettere la designazione degli organismi preposti
alla valutazione della conformità dei dispositivi di firma sicura
rispetto all'allegato III; per rispondere alle esigenze del mercato, la
valutazione della conformità deve essere tempestiva ed efficiente;
(16) la presente direttiva contribuisce all'uso e al riconoscimento giuridico
delle firme elettroniche nell'ambito della Comunità; le firme elettroniche
usate esclusivamente all'interno di sistemi basati su accordi volontari
di diritto privato fra un numero determinato di partecipanti non esigono
una disciplina legislativa comune; nella misura consentita dal diritto
nazionale, andrebbe rispettata la libertà delle parti di accordarsi
sulle condizioni di accettazione dei dati firmati in modo elettronico;
alle firme elettroniche utilizzate in tali sistemi non dovrebbero essere
negate l'efficacia giuridica e l'ammissibilità come mezzo probatorio
nei procedimenti giudiziari;
(17) la presente direttiva non è diretta ad armonizzare le normative
nazionali sui contratti, in particolare in materia di conclusione ed esecuzione
dei contratti, od altre formalità di natura extracontrattuale concernenti
l'apposizione di firme; per tale motivo, le disposizioni sugli effetti
giuridici delle firme elettroniche non dovrebbero pregiudicare i requisiti
formali previsti dal diritto nazionale sulla conclusione dei contratti
o le regole di determinazione del luogo della conclusione del contratto;
(18) la registrazione e la copia di dati per la creazione di una firma
potrebbero costituire una minaccia per la validità giuridica delle
firme elettroniche;
(19) le firme elettroniche saranno utilizzate nel settore pubblico nell'ambito
delle amministrazioni nazionali e comunitarie e nelle comunicazioni tra
tali amministrazioni nonché con i cittadini e gli operatori economici,
ad esempio nei settori degli appalti pubblici, della fiscalità,
della previdenza sociale, della sanità e dell'amministrazione della
giustizia;
(20) criteri armonizzati relativi agli effetti giuridici delle firme elettroniche
manterranno un quadro giuridico coerente in tutta la Comunità;
il diritto nazionale stabilisce differenti requisiti per la validità
giuridica delle firme autografe; i certificati possono essere usati per
confermare l'identità di una persona che ricorre alla firma elettronica;
le firme elettroniche avanzate basate su un certificato qualificato mirano
ad un più alto livello di sicurezza; le firme elettroniche avanzate
basate su un certificato qualificato e create mediante un dispositivo
per la creazione di una firma sicura possono essere considerate giuridicamente
equivalenti alle firme autografe solo se sono rispettati i requisiti per
le firme autografe;
(21) al fine di contribuire all'accettazione generale dei metodi di autenticazione
elettronici, è necessario garantire che le firme elettroniche possano
essere utilizzate come prove nei procedimenti giudiziari in tutti gli
Stati membri; il riconoscimento giuridico delle firme elettroniche dovrebbe
basarsi su criteri oggettivi e non essere connesso ad un'autorizzazione
rilasciata al prestatore di servizi di certificazione interessato; il
diritto nazionale disciplina la definizione dei campi giuridici in cui
possono essere impiegati documenti elettronici e firme elettroniche; la
presente direttiva lascia impregiudicata la facoltà degli organi
giurisdizionali nazionali di deliberare in merito alla conformità
rispetto ai requisiti della presente direttiva e non lede le norme nazionali
in materia di libero uso delle prove in giudizio;
(22) la responsabilità dei prestatori di servizi di certificazione
che forniscono tali servizi al pubblico è disciplinata dal diritto
nazionale;
(23) lo sviluppo del commercio elettronico internazionale rende necessarie
soluzioni transfrontaliere che coinvolgano i paesi terzi; al fine di assicurare
l'interoperabilità a livello globale, potrebbero essere utili accordi
su regole multilaterali con paesi terzi concernenti il riconoscimento
reciproco dei servizi di certificazione;
(24) al fine di accrescere la fiducia da parte degli utenti nelle comunicazioni
elettroniche e nel commercio elettronico, i prestatori di servizi di certificazione
devono osservare la legislazione in materia di protezione dei dati e la
vita privata degli individui;
(25) le disposizioni sull'uso degli pseudonimi nei certificati non dovrebbe
impedire agli Stati membri di chiedere l'identificazione delle persone
in base alla normativa comunitaria o alla legislazione nazionale;
(26) le misure necessarie per l'attuazione della presente direttiva devono
essere adottate ai sensi dell'art. 2 della decisione 1999/468/CE del Consiglio,
del 28 giugno 1999, recante modalità per l'esercizio delle competenze
di esecuzione conferite alla Commissione (7);
(27) due anni dopo la sua attuazione la Commissione presenterà
una relazione su questa direttiva al fine di garantire tra l'altro che
il progresso tecnologico o il mutamento del quadro giuridico non abbiano
creato ostacoli al raggiungimento degli obiettivi sanciti nella stessa;
la Commissione dovrebbe esaminare le implicazioni dei settori tecnici
connessi e presentare una relazione al riguardo al Parlamento europeo
e al Consiglio;
(28) secondo i principi di sussidiarietà e proporzionalità
di cui all'art. 5 del trattato, l'obiettivo della creazione di un quadro
giuridico armonizzato per la fornitura di firme elettroniche e dei servizi
relativi non può essere sufficientemente realizzato dagli Stati
membri e può dunque essere realizzato meglio a livello comunitario;
la presente direttiva non va al di là di quanto necessario per
il raggiungimento degli obiettivi del trattato,
HANNO
ADOTTATO LA PRESENTE DIRETTIVA:
Art. 1 - Ambito di applicazione
La presente direttiva è volta ad agevolare l'uso delle firme elettroniche
e a contribuire al loro riconoscimento giuridico. Essa istituisce un quadro
giuridico per le firme elettroniche e taluni servizi di certificazione
al fine di garantire il corretto funzionamento del mercato interno.
Essa non disciplina aspetti relativi alla conclusione e alla validità
dei contratti o altri obblighi giuridici quando esistono requisiti relativi
alla forma prescritti dal diritto nazionale o comunitario, né pregiudica
le norme e i limiti che disciplinano l'uso dei documenti contenuti nel
diritto nazionale o comunitario.
Art.
2 - Definizioni
Ai fini della presente direttiva, valgono le seguenti definizioni:
1) "firma elettronica", dati in forma elettronica, allegati
oppure connessi tramite associazione logica ad altri dati elettronici
ed utilizzata come metodo di autenticazione;
2)"firma elettronica avanzata", una firma elettronica che soddisfi
i seguenti requisiti:
essere connessa in maniera unica al firmatario;
essere idonea ad identificare il firmatario;
essere creata con mezzi sui quali il firmatario può conservare
il proprio controllo esclusivo;
essere collegata ai dati cui si riferisce in modo da consentire l'identificazione
di ogni successiva modifica di detti dati;
3) "firmatario", una persona che detiene un dispositivo per
la creazione di una firma e agisce per conto proprio o per conto della
persona fisica o giuridica o dell'entità che rappresenta;
4) "dati per la creazione di una firma", dati peculiari, come
codici o chiavi crittografiche private, utilizzati dal firmatario per
creare una firma elettronica;
5) "dispositivo per la creazione di una firma", un software
configurato o un hardware usato per applicare i dati per la creazione
di una firma;
6) "dispositivo per la creazione di una firma sicura", un dispositivo
per la creazione di una firma che soddisfa i requisiti di cui all'allegato
III;
7) "dati per la verifica della firma", dati, come codici o chiavi
crittografiche pubbliche, utilizzati per verificare una firma elettronica;
8) "dispositivo di verifica della firma", un software configurato
o un hardware usato per applicare i dati di verifica della firma;
9) "certificato", un attestato elettronico che collega i dati
di verifica della firma ad una persona e conferma l'identità di
tale persona;
10) "certificato qualificato", un certificato conforme ai requisiti
di cui all'allegato I e fornito da un prestatore di servizi di certificazione
che soddisfa i requisiti di cui all'allegato II;
11) "prestatore di servizi di certificazione", un'entità
o una persona fisica o giuridica che rilascia certificati o fornisce altri
servizi connessi alle firme elettroniche;
12) "prodotto di firma elettronica", hardware o software, oppure
i componenti pertinenti dei medesimi, destinati ad essere utilizzati da
un prestatore di servizi di certificazione per la prestazione di servizi
di firma elettronica oppure per la creazione o la verifica di firme elettroniche;
13) "accreditamento facoltativo", qualsiasi permesso che stabilisca
diritti ed obblighi specifici della fornitura di servizi di certificazione,
il quale sia concesso, su richiesta del prestatore di servizi di certificazione
interessato, dall'organismo pubblico o privato preposto all'elaborazione
e alla sorveglianza del rispetto di tali diritti ed obblighi, fermo restando
che il prestatore di servizi di certificazione non è autorizzato
ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto
la decisione da parte dell'organismo.
Art.
3 - Accesso al mercato
1.Gli Stati membri non subordinano ad autorizzazione preventiva la prestazione
di servizi di certificazione.
2. Fatto salvo il paragrafo 1, gli Stati membri possono introdurre o conservare
sistemi di accreditamento facoltativi volti a fornire servizi di certificazione
di livello più elevato. Tutte le condizioni relative a tali sistemi
devono essere obiettive, trasparenti, proporzionate e non discriminatorie.
Gli Stati membri non possono limitare il numero di prestatori di servizi
di certificazione accreditati per motivi che rientrano nell'ambito di
applicazione della presente direttiva.
3. Ciascuno Stato membro provvede affinché venga istituito un sistema
appropriato che consenta la supervisione dei prestatori di servizi di
certificazione stabiliti nel loro territorio e rilasci al pubblico certificati
qualificati.
4. La conformità dei dispositivi per la creazione di una firma
sicura ai requisiti di cui all'allegato III è determinata dai pertinenti
organismi pubblici o privati designati dagli Stati membri. Secondo la
procedura di cui all'art. 9 la Commissione fissa i criteri in base ai
quali gli Stati membri stabiliscono se un organismo può essere
designato.
La conformità ai requisiti di cui all'allegato III accertata dagli
organismi di cui al primo comma è riconosciuta da tutti gli Stati
membri.
5. Secondo la procedura di cui all'art. 9 la Commissione può determinare
e pubblicare nella Gazzetta ufficiale delle Comunità europee i
numeri di riferimento di norme generalmente riconosciute relative a prodotti
di firma elettronica. Un prodotto di firma elettronica conforme a tali
norme viene considerato dagli Stati membri conforme ai requisiti di cui
all'allegato II, lettera f) e all'allegato III.
6. Gli Stati membri e la Commissione cooperano per promuovere lo sviluppo
e l'uso dei dispositivi di verifica della firma, alla luce delle raccomandazioni
per la verifica della firma sicura di cui all'allegato IV e nell'interesse
dei consumatori.
7. Gli Stati membri possono assoggettare l'uso delle firme elettroniche
nel settore pubblico ad eventuali requisiti supplementari. Tali requisiti
debbono essere obiettivi, trasparenti, proporzionati e non discriminatori
e riguardare unicamente le caratteristiche specifiche dell'uso di cui
trattasi. Tali requisiti non possono rappresentare un ostacolo ai servizi
transfrontalieri per i cittadini.
Art.
4 - Principi del mercato interno
1. Ciascuno Stato membro applica le disposizioni nazionali da esso adottate
in base alla presente direttiva ai prestatori di servizi di certificazione
stabiliti nel suo territorio e ai servizi da essi forniti. Gli Stati membri
non possono limitare la prestazione di servizi di certificazione originati
in un altro Stato membro nella materia disciplinata dalla presente direttiva.
2. Gli Stati membri consentono ai prodotti di firma elettronica conformi
alla presente direttiva di circolare liberamente nel mercato interno.
Art.
5 - Effetti giuridici delle firme elettroniche
1. Gli Stati membri provvedono a che le firme elettroniche avanzate basate
su un certificato qualificato e create mediante un dispositivo per la
creazione di una firma sicura:
posseggano i requisiti legali di una firma in relazione ai dati in forma
elettronica così come una firma autografa li possiede per dati
cartacei; e
siano ammesse come prova in giudizio.
2. Gli Stati membri provvedono affinché una firma elettronica non
sia considerata legalmente inefficace e inammissibile come prova in giudizio
unicamente a causa del fatto che è
- in forma elettronica, o
- non basata su un certificato qualificato, o
- non basata su un certificato qualificato rilasciato da un prestatore
di servizi di certificazione accreditato, ovvero
- non creata da un dispositivo per la creazione di una firma sicura.
Art.
6 - Responsabilità
1. Gli Stati membri provvedono almeno a che il prestatore di servizi di
certificazione che rilascia al pubblico un certificato come certificato
qualificato o che garantisce al pubblico tale certificato, sia responsabile
per danni provocati a entità o persone fisiche o giuridiche che
facciano ragionevole affidamento su detto certificato:
per quanto riguarda l'esattezza di tutte le informazioni contenute nel
certificato qualificato a partire dalla data di rilascio e il fatto che
esso contenga tutti i dati prescritti per un certificato qualificato,
per la garanzia che, al momento del rilascio del certificato, il firmatario
identificato nel certificato qualificato detenesse i dati per la creazione
della firma corrispondenti ai dati per la verifica della firma riportati
o identificati nel certificato,
la garanzia che i dati per la creazione della firma e i dati per la verifica
della firma possano essere usati in modo complementare, nei casi in cui
il fornitore di servizi di certificazione generi entrambi,
a meno che il prestatore di servizi di certificazione provi di aver agito
senza negligenza.
2. Gli Stati membri provvedono almeno a che il prestatore di servizi di
certificazione che rilascia al pubblico un certificato come certificato
qualificato sia responsabile, nei confronti di entità o i persone
fisiche o giuridiche che facciano ragionevole affidamento sul certificato,
dei danni provocati, per la mancata registrazione della revoca del certificato,
a meno che provi di aver agito senza negligenza.
3. Gli Stati membri provvedono a che un prestatore di servizi di certificazione
possa indicare, in un certificato qualificato, i limiti d'uso di detto
certificato, purché tali limiti siano riconoscibili da parte dei
terzi. Il prestatore di servizi di certificazione deve essere esentato
dalla responsabilità per i danni derivanti dall'uso di un certificato
qualificato che ecceda i limiti posti nello stesso.
4. Gli Stati membri provvedono affinché un prestatore di servizi
di certificazione abbia la facoltà di indicare nel certificato
qualificato un valore limite per i negozi per i quali può essere
usato il certificato, purché tali limiti siano riconoscibili da
parte dei terzi. Il prestatore di servizi di certificazione non è
responsabile dei danni risultanti dal superamento di detto limite massimo.
5. I paragrafi da 1 a 4 lasciano impregiudicata la direttiva 93/13/CEE
del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei
contratti stipulati con i consumatori (8) .
Art.
7 - Aspetti internazionali
1. Gli Stati membri provvedono a che i certificati rilasciati al pubblico
come certificati qualificati da un prestatore di servizi di certificazione
stabilito in un paese terzo siano riconosciuti giuridicamente equivalenti
ai certificati rilasciati da un prestatore di servizi di certificazione
stabilito nella Comunità, in presenza di una delle seguenti condizioni:
il prestatore di servizi di certificazione possiede i requisiti di cui
alla presente direttiva e sia stato accreditato in virtù di un
sistema di accreditamento facoltativo stabilito in uno Stato membro, oppure
il certificato è garantito da un prestatore di servizi di certificazione
stabilito nella Comunità, in possesso dei requisiti di cui alla
presente direttiva, oppure
il certificato o il prestatore di servizi di certificazione è riconosciuto
in forza di un accordo bilaterale o multilaterale tra la Comunità
e paesi terzi o organizzazioni internazionali.
2. Al fine di agevolare servizi di certificazione transfrontalieri con
paesi terzi e il riconoscimento giuridico delle firme elettroniche avanzate
che hanno origine in paesi terzi, la Commissione presenta, se del caso,
proposte miranti all'effettiva attuazione di norme e i accordi internazionali
applicabili ai servizi di certificazione. In particolare, ove necessario,
essa presenta al Consiglio proposte relative a mandati per la negoziazione
di accordi bilaterali e multilaterali con paesi terzi e organizzazioni
internazionali. Il Consiglio decide a maggioranza qualificata.
3. Ogniqualvolta la Commissione è informata di difficoltà
che le imprese comunitarie incontrano riguardo all'accesso al mercato
di paesi terzi, essa può, se necessario, presentare al Consiglio
proposte in merito a un appropriato mandato di negoziato per ottenere
diritti paragonabili per le imprese comunitarie in tali paesi terzi. Il
Consiglio decide a maggioranza qualificata.
Le misure adottate a norma di questo paragrafo lasciano impregiudicati
gli obblighi della Comunità e degli Stati membri derivanti da accordi
internazionali in materia.
Art.
8 - Protezione dei dati
1. Gli Stati membri provvedono a che i prestatori di servizi di certificazione
e gli organismi nazionali responsabili dell'accreditamento o della supervisione
si conformino alla direttiva 95/46/CE del Parlamento europeo e del Consiglio,
del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo
al trattamento dei dati personali, nonché alla libera circolazione
di tali dati (9) .
2. Gli Stati membri consentono a un prestatore di servizi di certificazione
che rilascia certificati al pubblico di raccogliere dati personali solo
direttamente dalla persona cui si riferiscono o previo suo esplicito consenso,
e soltanto nella misura necessaria al rilascio e al mantenimento del certificato.
I dati non possono essere raccolti o elaborati per fini diversi senza
l'espresso consenso della persona cui si riferiscono.
3. Fatti salvi gli effetti giuridici che la legislazione nazionale attribuisce
agli pseudonimi, gli Stati membri non vietano al prestatore di servizi
di certificazione di riportare sul certificato uno pseudonimo in luogo
del nome del firmatario.
Art.
9 - Comitato
1. La Commissione è assistita da un "comitato per la firma
elettronica", in prosieguo denominato "il comitato".
2. Nei casi in cui si fa riferimento al presente paragrafo, si applicano
gli articoli 4 e 7 della decisione 1999/468/CE, tenuto conto dell'art.
8 della stessa. Il periodo di cui all'art. 4, paragrafo 3 della decisione
1999/468/CE è fissato a tre mesi.
3. Il comitato adotta il proprio regolamento interno.
Art.
10 - Compiti del comitato
Il comitato precisa i requisiti di cui agli allegati della presente direttiva,
i criteri di cui all'art. 3, paragrafo 4 e le norme generalmente riconosciute
per i prodotti di firma elettronica istituite e pubblicate a norma dell'art.
3, paragrafo 5, secondo la procedura di cui all'art. 9, paragrafo 2. (9)
Art.
11 - Notificazione
1. Gli Stati membri comunicano alla Commissione e agli altri Stati membri
le seguenti informazioni:
sistemi di accreditamento facoltativi nazionali ed ogni requisito supplementare
a norma dell'art. 3, paragrafo 7;
nomi e indirizzi degli organismi nazionali responsabili dell'accreditamento
e della supervisione nonché degli organismi di cui all'art. 3,
paragrafo 4;
i nomi e gli indirizzi di tutti i prestatori di servizi di certificazione
nazionali accreditati.
2. Le informazioni di cui al paragrafo 1 e le loro eventuali variazioni
sono notificate agli Stati membri al più presto.
Art.
12 - Riesame
1. Entro il 19 luglio 2003 la Commissione riesamina l'applicazione della
presente direttiva e presenta una relazione in merito al Parlamento europeo
e al Consiglio.
2. Nel riesame si valuta, tra l'altro, se l'ambito di applicazione della
presente direttiva debba essere modificato per tener conto dei progressi
tecnologici, dell'evoluzione del mercato e degli sviluppi giuridici. La
relazione include in particolare una valutazione, sulla base dell'esperienza
acquisita, degli aspetti relativi all'armonizzazione. La relazione è
corredata, se del caso, di proposte legislative.
Art.
13 - Attuazione
1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari
e amministrative necessarie per conformarsi alla presente direttiva anteriormente
al 19 luglio 2001. Essi ne informano immediatamente la Commissione.
Quando gli Stati membri adottano tali disposizioni, queste contengono
un riferimento alla presente direttiva o sono corredate di un siffatto
riferimento all'atto della pubblicazione ufficiale. Le modalità
del riferimento sono decise dagli Stati membri.
2. Gli Stati membri comunicano alla Commissione il testo delle principali
disposizioni di diritto interno che adottano nella materia disciplinata
dalla presente direttiva.
Art.
14 - Entrata in vigore
La presente direttiva entra in vigore il giorno della pubblicazione nella
Gazzetta ufficiale delle Comunità europee .
Art.
15 - Destinatari
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Bruxelles, addì 13 dicembre 1999.
Per il Parlamento europeo La Presidente N. FONTAINE
Per il Consiglio Il Presidente S. HASSI
ALLEGATO
I
Requisiti relativi ai certificati qualificati
I certificati qualificati devono includere:
l'indicazione che il certificato rilasciato è un certificato qualificato;
l'identificazione e lo Stato nel quale è stabilito il prestatore
di servizi di certificazione;
il nome del firmatario del certificato o uno pseudonimo identificato come
tale;
l'indicazione di un attributo specifico del firmatario, da includere se
pertinente, a seconda dello scopo per cui il certificato è richiesto;
i dati per la verifica della firma corrispondenti ai dati per la creazione
della firma sotto il controllo del firmatario;
un'indicazione dell'inizio e del termine del periodo di validità
del certificato;
il codice d'identificazione del certificato;
la firma elettronica avanzata del prestatore di servizi di certificazione
che ha rilasciato il certificato;
i limiti d'uso del certificato, ove applicabili; e
i limiti del valore dei negozi per i quali il certificato può essere
usato, ove applicabili.
ALLEGATO
II
Requisiti relativi ai prestatori di servizi di certificazione che rilasciano
certificati qualificati
I prestatori di servizi di certificazione devono:
dimostrare l'affidabilità necessaria per fornire servizi di certificazione;
assicurare il funzionamento di un servizio di repertorizzazione puntuale
e sicuro e garantire un servizio di revoca sicuro e immediato;
assicurare che la data e l'ora di rilascio o i revoca di un certificato
possano essere determinate con precisione;
verificare con mezzi appropriati, secondo la legislazione nazionale l'identità
e, eventualmente, le specifiche caratteristiche della persona cui è
rilasciato un certificato qualificato;
impiegare personale dotato delle conoscenze specifiche, dell'esperienza
e delle qualifiche necessarie per i servizi forniti, in particolare la
competenza a livello gestionale, la conoscenza specifica nel settore della
tecnologia delle firme elettroniche e la dimestichezza con procedure di
sicurezza appropriate; essi devono inoltre applicare procedure e metodi
amministrativi e i gestione adeguati e corrispondenti a norme riconosciute;
utilizzare sistemi affidabili e prodotti protetti da alterazioni e che
garantiscano la sicurezza tecnica e crittografica dei procedimenti di
cui sono oggetto;
adottare misure contro la contraffazione dei certificati e, nei casi in
cui il prestatore di servizi di certificazione generi dati per la creazione
di una firma, garantire la riservatezza nel corso della generazione di
tali dati;
disporre di risorse finanziarie sufficienti ad operare secondo i requisiti
previsti dalla direttiva, in particolare per sostenere il rischio di responsabilità
per danni, ad esempio stipulando un'apposita assicurazione;
tenere una registrazione di tutte le informazioni pertinenti relative
ad un certificato qualificato per un adeguato periodo di tempo, in particolare
al fine di fornire la prova della certificazione in eventuali procedimenti
giudiziari. Tali registrazioni possono essere elettroniche;
non conservare né copiare i dati per la creazione della firma della
persona cui il prestatore di servizi di certificazione ha fornito i servizi
di gestione della chiave;
prima di avviare una relazione contrattuale con una persona che richieda
un certificato a sostegno della sua firma elettronica, informarla con
un mezzo di comunicazione durevole, degli esatti termini e condizioni
relative all'uso del certificato, compresa ogni limitazione dell'uso,
l'esistenza di un sistema di accreditamento facoltativo e le procedure
di reclamo e i risoluzione delle controversie. Dette informazioni, che
possono essere trasmesse elettronicamente, devono essere scritte e utilizzare
un linguaggio comprensibile. Su richiesta, elementi pertinenti delle informazioni
possono essere resi accessibili a terzi che facciano affidamento sul certificato;
utilizzare sistemi affidabili per memorizzare i certificati in modo verificabile
e far sì che:
- soltanto le persone autorizzate possano effettuare inserimenti e modifiche;
- l'autenticità delle informazioni sia verificabile,
- i certificati siano accessibili alla consultazione del pubblico soltanto
nei casi consentiti dal titolare del certificato,
- l'operatore possa rendersi conto di qualsiasi modifica tecnica che comprometta
i requisiti di sicurezza.
ALLEGATO
III
Requisiti relativi ai dispositivi per la creazione di una firma sicura
1. I dispositivi per la creazione di una firma sicura, mediante mezzi
tecnici e procedurali appropriati, devono garantire almeno che:
i dati per la creazione della firma utilizzati nella generazione della
stessa possono comparire in pratica solo una volta e che è ragionevolmente
garantita la loro riservatezza;
i dati per la creazione della firma utilizzati nella generazione della
stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati
e la firma è protetta da contraffazioni compiute con l'impiego
di tecnologia attualmente disponibile;
i dati per la creazione della firma utilizzati nella generazione della
stessa sono sufficientemente protetti dal firmatario legittimo contro
l'uso da parte di terzi.
2. I dispositivi per la creazione di una firma sicura non devono alterare
i dati da firmare né impediscono che tali dati siano presentati
al firmatario prima dell'operazione di firma.
ALLEGATO
IV
Raccomandazioni per la verifica della firma sicura
Durante il processo relativo alla verifica della firma occorre garantire,
entro limiti ragionevoli di certezza, che:
i dati utilizzati per la verifica della firma corrispondono ai dati comunicati
al verificatore;
la firma è verificata in modo affidabile e i risultati della verifica
correttamente comunicati;
il verificatore può, all'occorrenza, stabilire in modo attendibile
i contenuti dei dati firmati;
l'autenticità e la validità del certificato necessario al
momento della verifica della firma sono verificate in modo attendibile;
i risultati della verifica e dell'identità del firmatario sono
comunicati correttamente;
l'uso di uno pseudonimo è chiaramente indicato;
qualsiasi modifica che incida sulla sicurezza può essere individuata.
-----------
(1) GU C 325 del 23. 10. 1998, pag. 5.
(2) GU C 40 del 15. 2. 1999, pag. 29.
(3) GU C 93 del 6. 4. 1999, pag. 33.
(4) Parere del Parlamento europeo del 13 gennaio 1999 (GU C 104 del 14.
4. 1999, pag. 49) , posizione comune del Consiglio del 28 giugno 1999
(GU C 243 del 27. 8. 1999, pag. 33) e decisione del Parlamento europeo
del 27 ottobre 1999 (non ancora pubblicata nella Gazzetta ufficiale) .
Decisione del Consiglio del 30 novembre 1999.
(5) GU L 367 del 31. 12. 1994, pag. 1. Regolamento modificato dal regolamento
(CE) n. 837/95 (GU L 90 del 21. 4. 1995, pag. 1).
(6) GU L 367 del 31. 12. 1994, pag. 8. Decisione modificata da ultimo
dalla decisione 1999/193/PESC (GU L 73 del 19. 3. 1999, pag. 1) .
(7) GU L 184 del 17. 7. 1999, pag. 23.
(8) GU L 95 del 21. 4. 1993, pag. 29.
(9) GU L 281 del 23. 11. 1995, pag. 31
|