← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L'articolo 32-bis CAD attribuisce ad AgID il potere di irrogare sanzioni amministrative pecuniarie ai prestatori di servizi fiduciari qualificati, ai gestori PEC, ai gestori dell'identità digitale e ai conservatori che violino gli obblighi del Regolamento eIDAS o del CAD. Le sanzioni ordinarie variano da 40.000 a 400.000 euro; per i soggetti di cui all'articolo 34, comma 1-bis, lett. b) (pubbliche amministrazioni che svolgono attività di certificazione), il range è ridotto da 4.000 a 40.000 euro. In presenza di violazioni gravi — che espongano a rischio i diritti di una pluralità di utenti o rivelino carenze infrastrutturali significative — AgID dispone anche la cancellazione dall'elenco dei qualificati e il divieto di riqualificazione fino a due anni. Si applica in via suppletiva la L. 689/1981 sul procedimento sanzionatorio. Il comma 2 disciplina la responsabilità per malfunzionamenti del servizio.

Testo dell'articoloVigente

Art. 32 bis D.Lgs. 82/2005 CAD — Sanzioni per i prestatori di servizi fiduciari qualificati, per i gestori di posta elettronica certificata, per i gestori dell’identità digitale e per i conservatori

In vigore dal 01/01/2006

1. L'AgID può irrogare ai prestatori di servizi fiduciari qualificati, ai gestori di posta elettronica certificata, ai gestori dell'identità digitale e ai soggetti di cui all'articolo 34, comma 1-bis, lettera b) , che abbiano violato gli obblighi del Regolamento eIDAS o del presente Codice relative alla prestazione dei predetti servizi, sanzioni amministrative in relazione alla gravità della violazione accertata e all'entità del danno provocato all'utenza, per importi da un minimo di euro 40.000,00 a un massimo di euro 400.000,00, fermo restando il diritto al risarcimento del maggior danno. Le sanzioni per le violazioni commesse dai soggetti di cui all'articolo 34, comma 1-bis, lettera b), sono fissate nel minimo in euro 4.000,00 e nel massimo in euro 40.000,00. Le violazioni del presente Codice idonee a esporre a rischio i diritti e gli interessi di una pluralità di utenti o relative a significative carenze infrastrutturali o di processo del fornitore di servizio si considerano gravi. AgID, laddove accerti tali gravi violazioni, dispone altresì la cancellazione del fornitore del servizio dall'elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione per un periodo fino ad un massimo di due anni. Le sanzioni vengono irrogate dal direttore generale dell'AgID ((…)) . Si applica, in quanto compatibile, la disciplina della legge 24 novembre 1981, n. 689 .

1-bis. L'AgID irroga la sanzione amministrativa di cui al comma 1 e diffida i soggetti a conformare la propria condotta agli obblighi previsti dalla disciplina vigente.

2. Fatti salvi i casi di forza maggiore o di caso fortuito, qualora si verifichi un malfunzionamento nei servizi forniti dai soggetti di cui al comma 1 che determini l'interruzione del servizio, ovvero in caso di mancata o intempestiva comunicazione dello stesso disservizio a AgID o agli utenti, ai sensi dell'articolo 32, comma 3, lettera m-bis), AgID, ferma restando l'irrogazione delle sanzioni amministrative, diffida altresì i soggetti di cui al comma 1 a ripristinare la regolarità del servizio o ad effettuare le comunicazioni previste. Se l'interruzione del servizio ovvero la mancata o intempestiva comunicazione sono reiterati nel corso di un biennio, successivamente alla prima diffida si applica la sanzione della cancellazione dall'elenco pubblico.

3. Nei casi di cui ai commi 1, 1-bis; e 2 può essere applicata la sanzione amministrativa accessoria della pubblicazione dei provvedimenti di diffida o di cancellazione secondo la legislazione vigente in materia di pubblicità legale.

4. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179 .

Commento

L'articolo 32-bis CAD introduce un apparato sanzionatorio specifico per i soggetti operanti nel sistema fiduciario digitale, raccordandosi con il sistema di vigilanza del Regolamento eIDAS. La norma risponde all'esigenza di dotare AgID di strumenti coercitivi adeguati per garantire il rispetto degli standard di sicurezza e affidabilità che caratterizzano i servizi fiduciari qualificati. Senza un'adeguata minaccia sanzionatoria, gli obblighi di qualificazione e gli standard tecnici rischiano di rimanere lettera morta.

La distinzione tra violazioni ordinarie e violazioni gravi è cruciale. Le seconde — caratterizzate dall'esposizione a rischio di «una pluralità di utenti» o da «significative carenze infrastrutturali o di processo» — determinano non solo la sanzione pecuniaria massima ma anche la misura accessoria della cancellazione dall'elenco dei qualificati. Questa sanzione è potenzialmente devastante per il prestatore, poiché ne preclude l'attività fino alla nuova qualificazione, e il divieto può protrarsi per un biennio. Il livello di enforcement è pertanto nettamente superiore a quello di una semplice sanzione pecuniaria.

Il rinvio alla L. 689/1981 in quanto compatibile incorpora nel procedimento sanzionatorio AgID le garanzie del procedimento sanzionatorio amministrativo generale: contestazione dell'illecito, diritto di audizione, possibilità di pagamento in misura ridotta, opposizione davanti al giudice ordinario. Il raccordo con il GDPR è rilevante quando le violazioni abbiano anche riflessi sul trattamento dei dati personali degli utenti: in tal caso AgID e il Garante Privacy possono entrambi intervenire, con possibile applicazione cumulativa di sanzioni in base ai rispettivi sistemi normativi.

Casi pratici

Caso 1: Sanzione per carenze nei sistemi di sicurezza di un gestore PEC

Caso 2: Interruzione del servizio di firma remota e obblighi di comunicazione

Domande frequenti

Quale organo irroga le sanzioni previste dall'articolo 32-bis CAD?

Le sanzioni sono irrogate dal direttore generale di AgID. Il procedimento segue le regole della L. 689/1981 in quanto compatibili: prevede la contestazione dell'illecito, il diritto del soggetto sanzionato di presentare memorie difensive e di essere sentito, e la possibilità di opporsi alla sanzione davanti al giudice ordinario.

Quando scatta la cancellazione dall'elenco dei prestatori qualificati?

AgID dispone la cancellazione in aggiunta alla sanzione pecuniaria quando accerta violazioni gravi: quelle che espongono a rischio i diritti e gli interessi di una pluralità di utenti o che rivelano significative carenze infrastrutturali o di processo. Il divieto di riqualificazione può protrarsi fino a due anni. La cancellazione determina l'impossibilità di continuare a operare come prestatore qualificato fino alla nuova qualificazione.

Il malfunzionamento del servizio comporta sempre una sanzione?

Ai sensi del comma 2 dell'articolo 32-bis, il malfunzionamento che determina interruzione del servizio comporta sanzioni salvo forza maggiore o caso fortuito. Rientrano nelle ipotesi sanzionabili anche la mancata o intempestiva comunicazione del disservizio ad AgID o agli utenti. La tempestività della comunicazione è quindi un elemento rilevante per la valutazione della condotta del prestatore.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.