Testo dell'articoloVigente
Art. 32 D.Lgs. 82/2005 CAD — Obblighi del titolare di firma elettronica qualificata e del prestatore di servizi di firma elettronica qualificata
In vigore dal 01/01/2006
1. Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma o degli strumenti di autenticazione informatica per l'utilizzo del dispositivo di firma da remoto, e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma.
2. Il prestatore di servizi di firma elettronica qualificata è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi.
3. Il prestatore di servizi di firma elettronica qualificata che rilascia ((…)) certificati qualificati deve comunque: a) provvedere con certezza alla identificazione della persona che fa richiesta della certificazione; b) rilasciare e rendere pubblico il certificato elettronico nei modi o nei casi stabiliti dalle ((Linee guida)) , nel rispetto del decreto legislativo 30 giugno 2003, n. 196 , e successive modificazioni; c) specificare, nel certificato qualificato su richiesta dell'istante, e con il consenso del terzo interessato, i poteri di rappresentanza o altri titoli relativi all'attività professionale o a cariche rivestite, previa verifica della documentazione presentata dal richiedente che attesta la sussistenza degli stessi; d) attenersi alle ((Linee guida)) ; e) informare i richiedenti in modo compiuto e chiaro, sulla procedura di certificazione e sui necessari requisiti tecnici per accedervi e sulle caratteristiche e sulle limitazioni d'uso delle firme emesse sulla base del servizio di certificazione; f) LETTERA SOPPRESSA DAL D.LGS. 30 DICEMBRE 2010, N. 235 ; g) procedere alla tempestiva pubblicazione della revoca e della sospensione del certificato elettronico in caso di richiesta da parte del titolare ((di firma elettronica qualificata)) o del terzo dal quale derivino i poteri del titolare ((di firma elettronica qualificata)) medesimo, di perdita del possesso o della compromissione del dispositivo di firma o degli strumenti di autenticazione informatica per l'utilizzo del dispositivo di firma, di provvedimento dell'autorità, di acquisizione della conoscenza di cause limitative della capacità del titolare ((di firma elettronica qualificata)) , di sospetti abusi o falsificazioni, secondo quanto previsto dalle ((Linee guida)) ; h) garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo nonché garantire il funzionamento efficiente, puntuale e sicuro degli elenchi dei certificati di firma emessi, sospesi e revocati; i) assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici; j) tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari; k) non copiare, né conservare, le chiavi private di firma del soggetto cui il prestatore di servizi di firma elettronica qualificata ha fornito il servizio di certificazione; l) predisporre su mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione, tra cui in particolare gli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in linguaggio chiaro ed essere fornite prima dell'accordo tra il richiedente il servizio ed il prestatore di servizi di firma elettronica qualificata; m) utilizzare sistemi affidabili per la gestione del registro dei certificati con modalità tali da garantire che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, che l'autenticità delle informazioni sia verificabile, che i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato e che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato. m-bis) garantire il corretto funzionamento e la continuità del sistema e comunicare immediatamente a AgID e agli utenti eventuali malfunzionamenti che determinano disservizio, sospensione o interruzione del servizio stesso.
4. Il prestatore di servizi di firma elettronica qualificata è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi.
5. Il prestatore di servizi di firma elettronica qualificata raccoglie i dati personali direttamente dalla persona cui si riferiscono o, previo suo esplicito consenso, tramite il terzo, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l'informativa prevista dall' articolo 13 del decreto legislativo 30 giugno 2003, n. 196 . I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono.
Commento
L'articolo 32 CAD delinea un doppio sistema di obblighi complementari: quelli del titolare del certificato e quelli del prestatore. Gli obblighi del titolare — comma 1 — riflettono la natura personale della firma qualificata: l'utilizzo del dispositivo da parte di un soggetto diverso dal titolare rompe la catena di imputazione della firma e può configurare falsità documentale. La custodia del dispositivo è quindi un obbligo giuridico con rilevanza non solo contrattuale ma anche penale.
Gli obblighi del prestatore — comma 3 — integrano e specificano a livello nazionale quanto previsto dall'articolo 24 del Regolamento eIDAS in materia di requisiti dei prestatori qualificati. Tra questi, particolarmente rilevante è l'obbligo di identificazione certa del richiedente (lett. a), che può avvenire di persona, mediante videoidentificazione o tramite sistemi di identificazione elettronica notificati. Le Linee guida AgID specificano le modalità accettabili, in coordinamento con le specifiche tecniche ETSI EN 319 401.
Il riferimento al D.Lgs. 196/2003 (Codice Privacy) nella lett. b) deve oggi leggersi in coordinamento con il GDPR, che ha parzialmente modificato il Codice Privacy tramite il D.Lgs. 101/2018. La pubblicazione dei certificati deve rispettare sia il principio di minimizzazione dei dati ex articolo 5 GDPR, sia il diritto alla cancellazione ex articolo 17 GDPR, per quanto compatibile con le esigenze di sicurezza del sistema di firma. Il Garante per la protezione dei dati personali ha elaborato orientamenti specifici in materia.
Prassi e linee guida
· 22/11/2018
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Utilizzo del dispositivo di firma da parte di un sostituto non autorizzato
Caso 2: Pubblicazione di un certificato qualificato e tutela dei dati personali
Domande frequenti
Il titolare di un certificato di firma qualificata può delegare l'uso del dispositivo a un collaboratore?
No. L'articolo 32, comma 1, CAD impone che il titolare utilizzi «personalmente» il dispositivo di firma. La delega a terzi viola questo obbligo e comporta l'imputazione della firma al titolare del certificato, con possibili profili di responsabilità civile e penale per l'uso improprio. Per firme da apporre da parte di persone giuridiche o strutture organizzative è prevista la firma con indicazione dei poteri di rappresentanza.
Quali sono le modalità di identificazione del richiedente un certificato qualificato?
Il prestatore deve provvedere «con certezza» all'identificazione (art. 32, comma 3, lett. a). Le modalità accettabili sono definite nelle Linee guida AgID in raccordo con le specifiche ETSI: identificazione di persona presso uno sportello abilitato, videoidentificazione con operatore, firma con certificato qualificato preesistente, o sistemi di identità digitale notificati alla Commissione Europea (es. CIE, SPID livello 3).
Cosa deve fare il prestatore in caso di richiesta di revoca del certificato?
Ai sensi dell'articolo 32, comma 3, lett. g), il prestatore deve procedere alla «tempestiva pubblicazione della revoca» su richiesta del titolare o del terzo da cui derivano i poteri del titolare. La tempestività è un requisito sostanziale: un ritardo nella revoca che causi danni a terzi (es. firme apposte con un certificato che avrebbe dovuto essere già revocato) comporta la responsabilità del prestatore ai sensi dell'articolo 30 CAD.
Vedi anche