Testo dell'articoloVigente
Art. 28 D.Lgs. 82/2005 CAD — Certificati di firma elettronica qualificata
In vigore dal 01/01/2006
1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .
2. In aggiunta alle informazioni previste nel Regolamento eIDAS ((…)) nel certificato di firma elettronica qualificata può essere inserito il codice fiscale. Per i titolari residenti all'estero cui non risulti attribuito il codice fiscale, si può indicare il codice fiscale rilasciato dall'autorità fiscale del Paese di residenza o, in mancanza, un analogo codice identificativo univoco ((…)) .
3. Il certificato di firma elettronica qualificata può contenere, ove richiesto dal titolare ((di firma elettronica)) o dal terzo interessato, le seguenti informazioni, se pertinenti e non eccedenti rispetto allo scopo per il quale il certificato è richiesto: a) le qualifiche specifiche del titolare ((di firma elettronica)) , quali l'appartenenza ad ordini o collegi professionali, la qualifica di pubblico ufficiale, l'iscrizione ad albi o il possesso di altre abilitazioni professionali, nonché poteri di rappresentanza; b) i limiti d'uso del certificato, inclusi quelli derivanti dalla titolarità delle qualifiche e dai poteri di rappresentanza di cui alla lettera a) ai sensi dell'articolo 30, comma
3. c) limiti del valore degli atti unilaterali e dei contratti per i quali il certificato può essere usato, ove applicabili. (( c-bis) uno pseudonimo, qualificato come tale. ))
3-bis. ((Le informazioni di cui al comma 3 sono riconoscibili da parte dei terzi e chiaramente evidenziati nel certificato.)) Le informazioni di cui al comma 3 possono ((anche)) essere contenute in un separato certificato elettronico e possono essere rese disponibili anche in rete. ((Con le Linee guida)) sono definite le modalità di attuazione del presente comma, anche in riferimento alle pubbliche amministrazioni e agli ordini professionali.
4. Il titolare ((di firma elettronica)) , ovvero il terzo interessato se richiedente ai sensi del comma 3, comunicano tempestivamente al certificatore il modificarsi o venir meno delle circostanze oggetto delle informazioni di cui al presente articolo. ((4-bis. Il certificatore ha l'obbligo di conservare le informazioni di cui ai commi 3 e 4 per almeno venti anni decorrenti dalla scadenza del certificato di firma.))
Stesso numero, altri codici
- Art. 28 D.Lgs. 504/1995 — Depositi fiscali di alcole e bevande alcoliche
- Articolo 28 L. 184/1983: Riservatezza sull'adozione e accesso alle origini
- Art. 28 Reg. (UE) 2024/1689 — Autorità di notifica
- Art. 28 Cod. Amb. — Monitoraggio
- Art. 28 D.Lgs. 148/2015 — Fondo di solidarietà residuale
- Art. 28 D.Lgs. 159/2011 — Revocazione della confisca
Commento
L'articolo 28 CAD si colloca all'intersezione tra il diritto europeo dei servizi fiduciari e le specificità dell'ordinamento italiano. Il comma 1 è stato abrogato dal D.Lgs. 179/2016, ma i commi 2 e seguenti rimangono in vigore come norme nazionali di integrazione del Regolamento eIDAS. Quest'ultimo, all'allegato I, elenca le informazioni obbligatorie nei certificati qualificati; l'articolo 28 CAD aggiunge elementi peculiari dell'ordinamento italiano, in primis il codice fiscale.
Il riferimento al GDPR nel comma 3 riflette il principio di minimizzazione dei dati: le informazioni facoltative inserite nel certificato devono essere «pertinenti e non eccedenti» rispetto allo scopo della certificazione. Questo raccordo tra eIDAS e GDPR è fondamentale in pratica: un prestatore di servizi fiduciari che inserisce nel certificato dati non necessari viola non solo il CAD ma anche il Regolamento 2016/679, con possibile irrogazione delle sanzioni previste dall'articolo 83 GDPR. Il Garante per la protezione dei dati personali ha competenza a intervenire anche su tali fattispecie.
La previsione dello pseudonimo (comma 3, lett. c-bis) risponde a un'esigenza di tutela dell'identità in contesti in cui l'identificazione completa non è necessaria. Il titolare può chiedere che nel certificato compaia solo uno pseudonimo, purché questo sia qualificato come tale in modo inequivocabile. Le Linee guida AgID definiscono le modalità tecniche di attuazione, raccordandosi con le specifiche europee ETSI per i certificati qualificati.
Prassi e linee guida
· 2024
AgID
Leggi il documento su www.agid.gov.itCasi pratici
Caso 1: Firma di atti notarili con certificato che indica qualifica professionale
Caso 2: Uso di pseudonimo in un certificato qualificato per comunicazioni riservate
Domande frequenti
Il codice fiscale è sempre presente nel certificato di firma elettronica qualificata?
No. Il comma 2 dell'articolo 28 CAD prevede che il codice fiscale «può essere inserito», non che sia obbligatorio. Per i residenti all'estero privi di codice fiscale italiano è possibile indicare il codice fiscale estero o un analogo identificativo univoco. Le informazioni obbligatorie sono invece quelle elencate all'allegato I del Regolamento eIDAS.
Cosa sono i limiti d'uso e i limiti di valore inseribili nel certificato?
Il comma 3, lett. b) e c), consente di indicare nel certificato restrizioni all'utilizzo (es. solo per determinati tipi di atti) e soglie di valore degli atti sottoscrivibili. Questi limiti sono opponibili ai terzi solo se chiaramente evidenziati nel certificato secondo le modalità del comma 3-bis. Il prestatore non risponde dei danni derivanti dall'utilizzo del certificato oltre tali limiti, ai sensi dell'articolo 30 CAD.
Come si tutela la privacy del titolare del certificato di firma qualificata?
Le informazioni facoltative ex art. 28, comma 3, possono essere inserite solo se «pertinenti e non eccedenti» rispetto allo scopo del certificato, in raccordo con il principio di minimizzazione del GDPR (art. 5, par. 1, lett. c). In alternativa, possono essere contenute in un certificato separato o rese disponibili in rete, limitando così l'esposizione dei dati personali nel certificato principale.
Vedi anche