← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 23 Aprile 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L'articolo 36 del CAD regola le ipotesi e le modalità di revoca e sospensione dei certificati qualificati da parte del prestatore di servizi fiduciari. La revoca è obbligatoria in quattro casi tassativi: cessazione dell'attività del certificatore, provvedimento dell'autorità, richiesta del titolare o del terzo da cui derivano i poteri del titolare, cause limitative della capacità del titolare o abusi e falsificazioni. La sospensione segue le stesse causali, eccetto la cessazione del certificatore, per la quale è prevista unicamente la revoca. Il certificato può essere revocato o sospeso anche per violazione delle regole tecniche contenute nelle Linee guida AgID. La norma chiarisce che gli effetti giuridici della revoca o sospensione decorrono dal momento della pubblicazione nella lista di revoca (CRL, Certificate Revocation List) o nella risposta OCSP, con attestazione del momento mediante riferimento temporale adeguato. Le modalità operative di revoca e sospensione sono demandate alle Linee guida AgID, che integrano le prescrizioni tecniche dell'Allegato III e dell'art. 24 del Regolamento eIDAS. La coordinazione con il sistema europeo è essenziale: la revoca di un certificato qualificato da parte di un prestatore italiano deve riflettersi nell'elenco fiduciario nazionale e, per trasparenza, essere accessibile a tutti gli utenti dell'Unione europea.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 36 D.Lgs. 82/2005 CAD — Revoca e sospensione dei certificati qualificati

In vigore dal 01/01/2006

1. Il certificato qualificato deve essere a cura del certificatore: a) revocato in caso di cessazione dell'attività del certificatore salvo quanto previsto dal comma 2 dell'articolo 37; b) revocato o sospeso in esecuzione di un provvedimento dell'autorità; c) revocato o sospeso a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare, secondo le modalità previste nel presente codice; d) revocato o sospeso in presenza di cause limitative della capacità del titolare o di abusi o falsificazioni.

2. Il certificato qualificato può, inoltre, essere revocato o sospeso nei casi previsti dalle ((Linee guida)) ((, per violazione delle regole tecniche ivi contenute)) .

3. La revoca o la sospensione del certificato qualificato, qualunque ne sia la causa, ha effetto dal momento della pubblicazione della lista che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale.

4. Le modalità di revoca o sospensione sono previste nelle ((Linee guida)) .

Stesso numero, altri codici

Commento

L'articolo 36 del CAD traduce in diritto interno gli obblighi di gestione del ciclo di vita dei certificati qualificati imposti dal Regolamento eIDAS (artt. 24 e 25 e Allegato I, lett. i) e j)). Il prestatore di servizi fiduciari qualificato (QTSP) è il soggetto responsabile della tempestiva revoca o sospensione: omettere o ritardare la pubblicazione della CRL o la risposta OCSP espone il QTSP a responsabilità civile verso i terzi che abbiano fatto affidamento su un certificato invalido, oltre che a sanzioni amministrative ex art. 32-bis CAD e all'eventuale cancellazione dall'elenco fiduciario AgID.

La decorrenza degli effetti dalla pubblicazione nella lista di revoca — e non dalla data della causa che l'ha determinata — risponde a un'esigenza di certezza nei rapporti giuridici: i terzi che verificano la validità di una firma possono fare affidamento sulle informazioni pubblicamente accessibili. Questo principio si riflette nel regolamento eIDAS che impone tempi massimi di aggiornamento delle CRL e la disponibilità di servizi OCSP in tempo reale. La lacuna tra insorgenza della causa di revoca e pubblicazione è gestita attraverso l'obbligo di sospensione immediata in attesa della revoca definitiva.

Sul piano del coordinamento con il GDPR, la gestione delle liste di revoca implica trattamento di dati personali (numero di serie del certificato, identità del titolare). Il QTSP deve adottare misure tecniche e organizzative adeguate ex art. 32 GDPR e definire le basi giuridiche del trattamento, che in questo caso poggiano sull'obbligo legale (art. 6, par. 1, lett. c) GDPR) derivante dal CAD e dall'eIDAS.

Casi pratici

Caso 1: Revoca per provvedimento dell'autorità giudiziaria

Caso 2: Sospensione per smarrimento del dispositivo

Domande frequenti

Quando un certificato qualificato deve essere obbligatoriamente revocato?

L'art. 36, co. 1, CAD prevede quattro ipotesi di revoca obbligatoria: cessazione dell'attività del certificatore (salva continuità garantita da altro prestatore), provvedimento dell'autorità competente, richiesta del titolare o del terzo da cui derivano i poteri del titolare, cause limitative della capacità del titolare oppure abusi o falsificazioni. La revoca deve essere pubblicata con tempestività nella lista di revoca, poiché gli effetti decorrono solo dalla pubblicazione.

Qual è la differenza tra revoca e sospensione del certificato qualificato?

La revoca è definitiva: il certificato perde efficacia in modo irreversibile. La sospensione è temporanea e consente di bloccare gli effetti del certificato in attesa di accertamenti, con la possibilità di riattivarlo se la causa cessa. Entrambe hanno effetto dalla pubblicazione nella lista di revoca (CRL) o tramite risposta OCSP, il cui momento deve essere attestato da un riferimento temporale adeguato.

Cosa succede se il prestatore non pubblica tempestivamente la lista di revoca?

Il ritardo nella pubblicazione espone il prestatore di servizi fiduciari qualificato (QTSP) a responsabilità civile verso i terzi che abbiano fatto affidamento su un certificato in realtà invalido. Sono applicabili le sanzioni amministrative previste dall'art. 32-bis CAD e, nei casi più gravi, la cancellazione dall'elenco fiduciario AgID, con conseguente perdita della qualifica di prestatore qualificato a livello europeo.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.