← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L'articolo 30 CAD regola la responsabilità civile dei prestatori di servizi fiduciari qualificati, dei gestori di PEC, dei gestori dell'identità digitale e dei conservatori di documenti informatici. Il regime adottato è quello della responsabilità per inversione dell'onere della prova: il prestatore che cagiona danno a terzi è tenuto al risarcimento, salvo che dimostri di aver adottato tutte le misure idonee a evitare il danno. Questa impostazione riprende il modello dell'articolo 13 del Regolamento eIDAS per i prestatori di servizi fiduciari qualificati e lo estende ai soggetti nazionali — gestori PEC, gestori dell'identità digitale, conservatori — non direttamente contemplati da eIDAS. Il comma 3 precisa che il prestatore non risponde dei danni derivanti dall'uso di un certificato oltre i limiti indicati nel certificato stesso, purché tali limiti siano chiaramente riconoscibili.

Testo dell'articoloVigente

Art. 30 D.Lgs. 82/2005 CAD — Responsabilità dei prestatori di servizi fiduciari qualificati, dei gestori di posta elettronica certificata, dei gestori dell’identità digitale e dei conservatori

In vigore dal 01/01/2006

1. ((I prestatori di servizi fiduciari qualificati e i gestori di posta elettronica certificata, iscritti nell'elenco di cui all'articolo 29, comma 6, nonché i gestori dell'identità digitale e i conservatori di documenti informatici)) , che cagionano danno ad altri nello svolgimento della loro attività, sono tenuti al risarcimento, se non provano di avere adottato tutte le misure idonee a evitare il danno.

2. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .

3. PERIODO SOPPRESSO DAL D.LGS. 13 DICEMBRE 2017, N. 217 . Il prestatore di servizi di firma digitale o di altra firma elettronica qualificata non è responsabile dei danni derivanti dall'uso di un certificato qualificato che ecceda i limiti eventualmente posti dallo stesso ai sensi dell'articolo 28, comma 3, a condizione che limiti d'uso e di valore siano chiaramente riconoscibili secondo quanto previsto dall'articolo 28, comma 3-bis.

Commento

L'articolo 30 CAD introduce un regime di responsabilità aggravata a carico dei prestatori di servizi fiduciari qualificati e degli altri soggetti elencati, in linea con l'impostazione del Regolamento eIDAS. La ratio è quella di incentivare l'adozione di elevati standard di sicurezza: il prestatore che vuole liberarsi dalla responsabilità deve dimostrare non già l'assenza di colpa in astratto, ma la concreta adozione di «tutte le misure idonee» a prevenire il danno. Questo standard è più rigoroso della diligenza ordinaria ex articolo 1176 cod. civ. e si avvicina alla responsabilità oggettiva.

Il raccordo con il GDPR è significativo: molti dei danni potenzialmente cagionati dai prestatori di servizi fiduciari riguardano il trattamento di dati personali (certificati contenenti dati identificativi, log di autenticazione, dati relativi all'uso delle firme). In questi casi la responsabilità del prestatore può essere invocata sia ai sensi dell'articolo 30 CAD sia ai sensi degli articoli 82 e 83 del GDPR, generando una potenziale duplicazione di rimedi. La giurisprudenza dovrà chiarire il rapporto tra le due fonti, anche alla luce dell'articolo 13 eIDAS che, per i prestatori qualificati, costituisce la norma europea prevalente.

Il comma 3 dell'articolo 30, relativo ai limiti d'uso del certificato, introduce una causa di esclusione della responsabilità che richiede due condizioni cumulative: i limiti devono essere stati inseriti nel certificato secondo le modalità dell'articolo 28, comma 3, e devono essere «chiaramente riconoscibili» ai sensi dell'articolo 28, comma 3-bis. L'opponibilità dei limiti ai terzi è quindi condizionata alla loro evidenza formale, evitando che clausole oscure o tecnicamente inaccessibili possano essere usate per esonerare il prestatore dalla responsabilità.

Casi pratici

Caso 1: Malfunzionamento di un servizio PEC: responsabilità del gestore

Caso 2: Uso di un certificato di firma oltre il limite di valore indicato

Domande frequenti

Chi ha l'onere della prova in caso di danno causato da un prestatore di servizi fiduciari qualificati?

Ai sensi dell'articolo 30, comma 1, CAD è il prestatore a dover dimostrare di aver adottato tutte le misure idonee a evitare il danno. L'utente danneggiato deve solo provare il danno e il nesso causale con l'attività del prestatore. Questa inversione dell'onere probatorio si raccorda con l'articolo 13 del Regolamento eIDAS per i prestatori qualificati.

Il prestatore risponde se il certificato viene usato oltre i limiti indicati?

No, ai sensi del comma 3 dell'articolo 30 CAD. Se il certificato indica limiti d'uso o di valore e questi sono chiaramente evidenziati nel certificato secondo le modalità dell'articolo 28, comma 3-bis, il prestatore è esonerato dai danni derivanti dall'uso del certificato oltre tali limiti. È responsabilità dell'utente verificare i limiti del certificato prima di utilizzarlo.

La responsabilità dell'articolo 30 CAD si applica anche ai gestori di identità digitale SPID?

Sì. I gestori dell'identità digitale — tra cui i provider SPID accreditati da AgID — rientrano espressamente nel campo di applicazione dell'articolo 30, comma 1, che li cita accanto ai gestori PEC e ai conservatori di documenti informatici. Anche per essi vale l'inversione dell'onere della prova.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.