Articoli e dottrina
 
   
 


I CERTIFICATORI

Nell'ambito dell'impianto normativo dedicato alle firme elettroniche, notevole rilevanza assumono i c.d. "certificatori".
Con il decreto legislativo 23 gennaio 2002, n.10, la figura del certificatore ha subito rilevanti modifiche quanto a ruolo e modalità operative. Detto decreto, infatti, ha recepito la Direttiva 93/1999 relativa ad un quadro comunitario per le firme “elettroniche”. Obiettivo dell’Unione Europea era, ed è, quello di diffondere i sistemi di firma elettronica, liberalizzando i servizi di certificazione. Nei “considerando” della direttiva si legge infatti “il mercato interno consente ai prestatori di servizi di certificazione di sviluppare le proprie attività transfrontaliere ai fini di accrescere la competitività e, pertanto, di offrire ai consumatori e alle imprese nuove opportunità di scambiare informazioni e di effettuare negozi per via elettronica in modo sicuro; al fine di stimolare la prestazione su scala comunitaria di servizi di certificazione sulle reti aperte, i prestatori di servizi di certificazione dovrebbero essere liberi di fornire i rispettivi servizi senza preventiva autorizzazione”. La direttiva, ammette sistemi di accreditamento facoltativo intesi a migliorare il livello di servizio; tali sistemi dovrebbero incoraggiare lo sviluppo di prassi ottimali tra i prestatori di servizi di certificazione; questi ultimi dovrebbero essere liberi di aderire a tali sistemi di accreditamento e di trarne vantaggio. L’obiettivo è quindi quello di creare un “mercato” delle firme elettroniche e dei certificatori.

Certificatori tout court e certificatori qualificati
In ossequio a detta normativa sono state create due distinte categorie di certificatori: i certificatori tout court ed i certificatori “qualificati” che possono anche accreditarsi presso la Presidenza del Consiglio dei Ministri - Dipartimento per l'innovazione e le tecnologie (di seguito Dipartimento).
I meri certificatori prestano servizi di certificazione delle firme elettroniche o forniscono altri servizi connessi alle firme elettroniche. In virtù dell’art. 3 del D.lgs. 10/2002 e dell’art. 26 dpr 445/2000, l'attività dei certificatori stabiliti in Italia o in un altro Stato membro dell'Unione europea e' libera e non necessita di autorizzazione preventiva. Detti certificatori o, se persone giuridiche, i loro legali rappresentanti ed i soggetti preposti all'amministrazione, devono inoltre possedere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso le banche
I certificatori (qualificati) stabiliti in Italia che intendono rilasciare al pubblico certificati qualificati devono darne avviso, anche in via telematica, prima dell'inizio dell'attività, al Dipartimento e devono possedere i seguenti requisiti:
1) dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;
2) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della tecnologia delle firme elettroniche e della dimestichezza con procedure di sicurezza appropriate;
3) applicare procedure e metodi amministrativi e di gestione adeguati e tecniche consolidate;
4) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo e internazionale e certificati ai sensi dello schema nazionale di cui all'articolo 10, comma 1, del decreto legislativo 23 gennaio 2002, n. 10;
5) adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi, nei casi in cui il certificatore generi tali chiavi.
Il Dipartimento procede, d'ufficio o su segnalazione motivata di soggetti pubblici o privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti suindicati e dispone, se del caso, con provvedimento motivato da notificare all'interessato, il divieto di prosecuzione dell'attività e la rimozione dei suoi effetti, salvo che, ove ciò sia possibile, l'interessato provveda a conformare alla normativa vigente detta attività ed i suoi effetti entro il termine prefissatogli dall'amministrazione stessa.
I certificatori (qualificati) che intendono conseguire dal Dipartimento il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, possono chiedere di essere “accreditati”. Oltre a possedere tutti i requisiti previsti per il certificatore qualificato, il certificatore “accreditato” deve:
- allegare alla domanda il profilo professionale del personale responsabile della generazione dei dati per la creazione e per la verifica della firma, della emissione dei certificati e della gestione del registro dei certificati nonché l'impegno al rispetto delle regole di tecniche;
- avere natura giuridica di società di capitali e un capitale sociale non inferiore a quello necessario ai fini dell'autorizzazione alla attività bancaria ai sensi dell'articolo 14 del testo unico delle leggi in materia bancaria e creditizia, approvato con decreto legislativo 1° settembre 1993, n. 385;
- garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e dei componenti il collegio sindacale, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche
La domanda di accreditamento si considera accolta qualora non venga comunicato all'interessato il provvedimento di diniego entro novanta giorni dalla data di presentazione della stessa Quando accoglie la domanda, il Dipartimento dispone l'iscrizione del richiedente in un apposito elenco pubblico, consultabile anche in via telematica, tenuto dal Dipartimento stesso.

Obblighi del certificatore “qualificato”
Il certificatore che rilascia, certificati qualificati deve:
a) identificare con certezza la persona che fa richiesta della certificazione;
b) rilasciare e rendere pubblico il certificato elettronico nei modi e nei casi stabiliti dalle regole tecniche, nel rispetto della legge sulla privacy (L. 675/96);
c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o di altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della sussistenza degli stessi;
d) attenersi alle regole tecniche;
e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione;
f) adottare le misure di sicurezza per il trattamento dei dati personali, previste dalla legge sulla privacy (l. 675/96);
g) non rendersi depositario di dati per la creazione della firma del titolare;
h) procedere alla pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare o del terzo dal quale derivino i poteri di quest'ultimo, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare, di sospetti abusi o falsificazioni;
i) garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione, nonché garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo;
l) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici;
m) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per dieci anni in particolare al fine di fornire prova della certificazione in eventuali procedimenti giudiziari;
n) non copiare, ne’ conservare le chiavi private di firma del soggetto cui il certificatore ha fornito il servizio di certificazione;
o) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il certificatore;
p) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato.

La responsabilità di titolare e certificatore
L'art. 29 - bis, primo comma del dpr 445/00 precisa che "il titolare ed il certificatore sono tenuti ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri ". Non pochi sono i commentatori che hanno ritenuto che detta disposizione sia assimilabile all'art. 2050 c.c. introducendo anche nell'ambito dell'utilizzo della firma digitale quella connotazione di "attività pericolosa" già esaminata in sede di trattamento di dati personali. E' chiaro, tuttavia, che se chi utilizza il sistema della firma digitale è un soggetto qualsiasi, il livello delle misure organizzative e tecniche sarà ben differente da colui (certificatore) che utilizza detti sistemi in ambito professionale. Le regole che dovranno essere seguite dall'utente sono specificate dall'art. 8, comma 4 del Regolamento tecnico (NOTA 1) e appare inverosimile caricare il singolo titolare di firma elettronica di ulteriori oneri per sfuggire al suindicato obbligo. In merito all'attività del certificatore, oltre agli obblighi descritti nel paragrafo precedente, si rileva che il regolamento fissa regole molto stringenti in relazione alla tecnologia che dovrà essere adottata per la generazione, il rilascio e la conservazione dei certificati; inoltre l’art. 28-bis del dpr 445/00, stabilisce che il certificatore qualificato e' responsabile, se non prova d'aver agito senza colpa, del danno cagionato a chi abbia fatto ragionevole affidamento:
- sull'esattezza delle informazioni in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati;
- sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;
- sulla garanzia che i dati per la creazione e per la verifica della firma possano essere usati in modo complementare, nei casi in cui il certificatore generi entrambi
- sul certificato stesso, dei danni provocati per effetto della mancata registrazione della revoca o sospensione del certificato.


Il certificato elettronico
Secondo la definizione della T.U. sulla documentazione amministrativa, il certificato elettronico è un attestato rilasciato da un certificatore che collega i dati utilizzati per verificare le firme elettroniche ai titolari e conferma l'identità dei titolari stessi.
I certificati qualificati devono contenere almeno le seguenti informazioni:
a) indicazione che il certificato elettronico rilasciato è un certificato qualificato;
b) numero di serie o altro codice identificativo del certificato;
c) nome, ragione o denominazione sociale del certificatore e lo Stato nel quale è stabilito;
d) nome, cognome e codice fiscale del titolare del certificato o uno pseudonimo chiaramente identificato come tale;
e) dati per la verifica della firma corrispondenti ai dati per la creazione della stessa in possesso del titolare;
f) indicazione del termine iniziale e finale del periodo di validità del certificato;
g) firma elettronica avanzata del certificatore che ha rilasciato il certificato.
In aggiunta alle informazioni indicate in precedenza, fatta salva la possibilità di utilizzare uno pseudonimo, per i titolari residenti all'estero cui non risulti attribuito il codice fiscale, si deve indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di sicurezza sociale o un codice identificativo generale.
Il certificato qualificato può inoltre contenere, su domanda del titolare o del terzo interessato, le seguenti informazioni, se pertinenti allo scopo per il quale il certificato è richiesto:
a) le qualifiche specifiche del titolare, quali l'appartenenza ad ordini o collegi professionali, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza;
b) limiti d'uso del certificato ovvero un valore limite per i negozi per i quali può essere usato il certificato stesso, purché i limiti d'uso o il valore limite siano riconoscibili da parte dei terzi;
c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili.
In ambito di firma digitale il titolare della coppia di chiavi, prima di utilizzare un sistema di chiavi asimmetriche per sottoscrivere documenti digitali, deve munirsi di una idonea coppia di chiavi e renderne pubblica una di esse mediante la procedura di certificazione che generi un certificato qualificato.

NOTA 1
Art. 8, comma 4 Regolamento tecnico
"Il titolare delle chiavi deve:
a. conservare con la massima diligenza la chiave privata e il dispositivo che la contiene al fine di garantirne l'integrità e la masima riservaezza;
b. conservare le informazioni di abilitazione all'uso della chiave privata in luogo diverso dal dispositivo contenente la chiave;
c. richiedere immediatamente la revoca delle certificazioni relative alle chiavi contenute in dispositivi di firma di cui abbia perduto il possesso o difettosi.