|
I CERTIFICATORI
Nell'ambito
dell'impianto normativo dedicato alle firme elettroniche,
notevole rilevanza assumono i c.d. "certificatori".
Con il decreto legislativo 23 gennaio 2002, n.10,
la figura del certificatore ha subito rilevanti modifiche
quanto a ruolo e modalità operative. Detto
decreto, infatti, ha recepito la Direttiva 93/1999
relativa ad un quadro comunitario per le firme “elettroniche”.
Obiettivo dell’Unione Europea era, ed è,
quello di diffondere i sistemi di firma elettronica,
liberalizzando i servizi di certificazione. Nei “considerando”
della direttiva si legge infatti “il mercato
interno consente ai prestatori di servizi di certificazione
di sviluppare le proprie attività transfrontaliere
ai fini di accrescere la competitività e, pertanto,
di offrire ai consumatori e alle imprese nuove opportunità
di scambiare informazioni e di effettuare negozi per
via elettronica in modo sicuro; al fine di stimolare
la prestazione su scala comunitaria di servizi di
certificazione sulle reti aperte, i prestatori di
servizi di certificazione dovrebbero essere liberi
di fornire i rispettivi servizi senza preventiva autorizzazione”.
La direttiva, ammette sistemi di accreditamento facoltativo
intesi a migliorare il livello di servizio; tali sistemi
dovrebbero incoraggiare lo sviluppo di prassi ottimali
tra i prestatori di servizi di certificazione; questi
ultimi dovrebbero essere liberi di aderire a tali
sistemi di accreditamento e di trarne vantaggio. L’obiettivo
è quindi quello di creare un “mercato”
delle firme elettroniche e dei certificatori.
Certificatori
tout court e certificatori qualificati
In ossequio a detta normativa sono state create due
distinte categorie di certificatori: i certificatori
tout court ed i certificatori “qualificati”
che possono anche accreditarsi presso la Presidenza
del Consiglio dei Ministri - Dipartimento per l'innovazione
e le tecnologie (di seguito Dipartimento).
I meri certificatori prestano servizi di certificazione
delle firme elettroniche o forniscono altri servizi
connessi alle firme elettroniche. In virtù
dell’art. 3 del D.lgs. 10/2002 e dell’art.
26 dpr 445/2000, l'attività dei certificatori
stabiliti in Italia o in un altro Stato membro dell'Unione
europea e' libera e non necessita di autorizzazione
preventiva. Detti certificatori o, se persone giuridiche,
i loro legali rappresentanti ed i soggetti preposti
all'amministrazione, devono inoltre possedere i requisiti
di onorabilità richiesti ai soggetti che svolgono
funzioni di amministrazione, direzione e controllo
presso le banche
I certificatori (qualificati) stabiliti in Italia
che intendono rilasciare al pubblico certificati qualificati
devono darne avviso, anche in via telematica, prima
dell'inizio dell'attività, al Dipartimento
e devono possedere i seguenti requisiti:
1) dimostrare l'affidabilità organizzativa,
tecnica e finanziaria necessaria per svolgere attività
di certificazione;
2) impiegare personale dotato delle conoscenze specifiche,
dell'esperienza e delle competenze necessarie per
i servizi forniti, in particolare della competenza
a livello gestionale, della conoscenza specifica nel
settore della tecnologia delle firme elettroniche
e della dimestichezza con procedure di sicurezza appropriate;
3) applicare procedure e metodi amministrativi e di
gestione adeguati e tecniche consolidate;
4) utilizzare sistemi affidabili e prodotti di firma
protetti da alterazioni e che garantiscano la sicurezza
tecnica e crittografica dei procedimenti, in conformità
a criteri di sicurezza riconosciuti in ambito europeo
e internazionale e certificati ai sensi dello schema
nazionale di cui all'articolo 10, comma 1, del decreto
legislativo 23 gennaio 2002, n. 10;
5) adottare adeguate misure contro la contraffazione
dei certificati, idonee anche a garantire la riservatezza,
l'integrità e la sicurezza nella generazione
delle chiavi, nei casi in cui il certificatore generi
tali chiavi.
Il Dipartimento procede, d'ufficio o su segnalazione
motivata di soggetti pubblici o privati, a controlli
volti ad accertare la sussistenza dei presupposti
e dei requisiti suindicati e dispone, se del caso,
con provvedimento motivato da notificare all'interessato,
il divieto di prosecuzione dell'attività e
la rimozione dei suoi effetti, salvo che, ove ciò
sia possibile, l'interessato provveda a conformare
alla normativa vigente detta attività ed i
suoi effetti entro il termine prefissatogli dall'amministrazione
stessa.
I certificatori (qualificati) che intendono conseguire
dal Dipartimento il riconoscimento del possesso dei
requisiti del livello più elevato, in termini
di qualità e di sicurezza, possono chiedere
di essere “accreditati”. Oltre a possedere
tutti i requisiti previsti per il certificatore qualificato,
il certificatore “accreditato” deve:
- allegare alla domanda il profilo professionale del
personale responsabile della generazione dei dati
per la creazione e per la verifica della firma, della
emissione dei certificati e della gestione del registro
dei certificati nonché l'impegno al rispetto
delle regole di tecniche;
- avere natura giuridica di società di capitali
e un capitale sociale non inferiore a quello necessario
ai fini dell'autorizzazione alla attività bancaria
ai sensi dell'articolo 14 del testo unico delle leggi
in materia bancaria e creditizia, approvato con decreto
legislativo 1° settembre 1993, n. 385;
- garantire il possesso, oltre che da parte dei rappresentanti
legali, anche da parte dei soggetti preposti alla
amministrazione e dei componenti il collegio sindacale,
dei requisiti di onorabilità richiesti ai soggetti
che svolgono funzioni di amministrazione, direzione
e controllo presso banche
La domanda di accreditamento si considera accolta
qualora non venga comunicato all'interessato il provvedimento
di diniego entro novanta giorni dalla data di presentazione
della stessa Quando accoglie la domanda, il Dipartimento
dispone l'iscrizione del richiedente in un apposito
elenco pubblico, consultabile anche in via telematica,
tenuto dal Dipartimento stesso.
Obblighi
del certificatore “qualificato”
Il certificatore che rilascia, certificati qualificati
deve:
a) identificare con certezza la persona che fa richiesta
della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico
nei modi e nei casi stabiliti dalle regole tecniche,
nel rispetto della legge sulla privacy (L. 675/96);
c) specificare, nel certificato qualificato su richiesta
dell'istante, e con il consenso del terzo interessato,
i poteri di rappresentanza o di altri titoli relativi
all'attività professionale o a cariche rivestite,
previa verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche;
e) informare i richiedenti in modo compiuto e chiaro,
sulla procedura di certificazione e sui necessari
requisiti tecnici per accedervi e sulle caratteristiche
e sulle limitazioni d'uso delle firme emesse sulla
base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento
dei dati personali, previste dalla legge sulla privacy
(l. 675/96);
g) non rendersi depositario di dati per la creazione
della firma del titolare;
h) procedere alla pubblicazione della revoca e della
sospensione del certificato elettronico in caso di
richiesta da parte del titolare o del terzo dal quale
derivino i poteri di quest'ultimo, di perdita del
possesso della chiave, di provvedimento dell'autorità,
di acquisizione della conoscenza di cause limitative
della capacità del titolare, di sospetti abusi
o falsificazioni;
i) garantire il funzionamento efficiente, puntuale
e sicuro dei servizi di elencazione, nonché
garantire un servizio di revoca e sospensione dei
certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data
e dell'ora di rilascio, di revoca e di sospensione
dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte
le informazioni relative al certificato qualificato
per dieci anni in particolare al fine di fornire prova
della certificazione in eventuali procedimenti giudiziari;
n) non copiare, ne’ conservare le chiavi private
di firma del soggetto cui il certificatore ha fornito
il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli
tutte le informazioni utili ai soggetti che richiedono
il servizio di certificazione, tra cui in particolare
gli esatti termini e condizioni relative all'uso del
certificato, compresa ogni limitazione dell'uso, l'esistenza
di un sistema di accreditamento facoltativo e le procedure
di reclamo e di risoluzione delle controversie; dette
informazioni, che possono essere trasmesse elettronicamente,
devono essere scritte in linguaggio chiaro ed essere
fornite prima dell'accordo tra il richiedente il servizio
ed il certificatore;
p) utilizzare sistemi affidabili per la gestione del
registro dei certificati con modalità tali
da garantire che soltanto le persone autorizzate possano
effettuare inserimenti e modifiche, che l'autenticità
delle informazioni sia verificabile, che i certificati
siano accessibili alla consultazione del pubblico
soltanto nei casi consentiti dal titolare del certificato
e che l'operatore possa rendersi conto di qualsiasi
evento che comprometta i requisiti di sicurezza. Su
richiesta, elementi pertinenti delle informazioni
possono essere resi accessibili a terzi che facciano
affidamento sul certificato.
La
responsabilità di titolare e certificatore
L'art. 29 - bis, primo comma del dpr 445/00 precisa
che "il titolare ed il certificatore sono tenuti
ad adottare tutte le misure organizzative e tecniche
idonee ad evitare danno ad altri ". Non pochi
sono i commentatori che hanno ritenuto che detta disposizione
sia assimilabile all'art. 2050 c.c. introducendo anche
nell'ambito dell'utilizzo della firma digitale quella
connotazione di "attività pericolosa"
già esaminata in sede di trattamento di dati
personali. E' chiaro, tuttavia, che se chi utilizza
il sistema della firma digitale è un soggetto
qualsiasi, il livello delle misure organizzative e
tecniche sarà ben differente da colui (certificatore)
che utilizza detti sistemi in ambito professionale.
Le regole che dovranno essere seguite dall'utente
sono specificate dall'art. 8, comma 4 del Regolamento
tecnico (NOTA 1) e appare inverosimile caricare il
singolo titolare di firma elettronica di ulteriori
oneri per sfuggire al suindicato obbligo. In merito
all'attività del certificatore, oltre agli
obblighi descritti nel paragrafo precedente, si rileva
che il regolamento fissa regole molto stringenti in
relazione alla tecnologia che dovrà essere
adottata per la generazione, il rilascio e la conservazione
dei certificati; inoltre l’art. 28-bis del dpr
445/00, stabilisce che il certificatore qualificato
e' responsabile, se non prova d'aver agito senza colpa,
del danno cagionato a chi abbia fatto ragionevole
affidamento:
- sull'esattezza delle informazioni in esso contenute
alla data del rilascio e sulla loro completezza rispetto
ai requisiti fissati per i certificati qualificati;
- sulla garanzia che al momento del rilascio del certificato
il firmatario detenesse i dati per la creazione della
firma corrispondenti ai dati per la verifica della
firma riportati o identificati nel certificato;
- sulla garanzia che i dati per la creazione e per
la verifica della firma possano essere usati in modo
complementare, nei casi in cui il certificatore generi
entrambi
- sul certificato stesso, dei danni provocati per
effetto della mancata registrazione della revoca o
sospensione del certificato.
Il certificato elettronico
Secondo la definizione della T.U. sulla documentazione
amministrativa, il certificato elettronico è
un attestato rilasciato da un certificatore che collega
i dati utilizzati per verificare le firme elettroniche
ai titolari e conferma l'identità dei titolari
stessi.
I certificati qualificati devono contenere almeno
le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato
è un certificato qualificato;
b) numero di serie o altro codice identificativo del
certificato;
c) nome, ragione o denominazione sociale del certificatore
e lo Stato nel quale è stabilito;
d) nome, cognome e codice fiscale del titolare del
certificato o uno pseudonimo chiaramente identificato
come tale;
e) dati per la verifica della firma corrispondenti
ai dati per la creazione della stessa in possesso
del titolare;
f) indicazione del termine iniziale e finale del periodo
di validità del certificato;
g) firma elettronica avanzata del certificatore che
ha rilasciato il certificato.
In aggiunta alle informazioni indicate in precedenza,
fatta salva la possibilità di utilizzare uno
pseudonimo, per i titolari residenti all'estero cui
non risulti attribuito il codice fiscale, si deve
indicare il codice fiscale rilasciato dall'autorità
fiscale del Paese di residenza o, in mancanza, un
analogo codice identificativo, quale ad esempio un
codice di sicurezza sociale o un codice identificativo
generale.
Il certificato qualificato può inoltre contenere,
su domanda del titolare o del terzo interessato, le
seguenti informazioni, se pertinenti allo scopo per
il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza
ad ordini o collegi professionali, l'iscrizione ad
albi o il possesso di altre abilitazioni professionali,
nonché poteri di rappresentanza;
b) limiti d'uso del certificato ovvero un valore limite
per i negozi per i quali può essere usato il
certificato stesso, purché i limiti d'uso o
il valore limite siano riconoscibili da parte dei
terzi;
c) limiti del valore degli atti unilaterali e dei
contratti per i quali il certificato può essere
usato, ove applicabili.
In ambito di firma digitale il titolare della coppia
di chiavi, prima di utilizzare un sistema di chiavi
asimmetriche per sottoscrivere documenti digitali,
deve munirsi di una idonea coppia di chiavi e renderne
pubblica una di esse mediante la procedura di certificazione
che generi un certificato qualificato.
NOTA
1
Art. 8, comma 4 Regolamento tecnico
"Il titolare delle chiavi deve:
a. conservare con la massima diligenza la chiave privata
e il dispositivo che la contiene al fine di garantirne
l'integrità e la masima riservaezza;
b. conservare le informazioni di abilitazione all'uso
della chiave privata in luogo diverso dal dispositivo
contenente la chiave;
c. richiedere immediatamente la revoca delle certificazioni
relative alle chiavi contenute in dispositivi di firma
di cui abbia perduto il possesso o difettosi.
|
|