La disciplina della firma digitale

La disciplina dell'attività dei certificatori

Per quanto riguarda l'attività dei certificatori delle firme elettroniche stabiliti in Italia o in un altro Stato membro dell'Unione Europea, l'art. 24 del D.Lgs. n. 82/2005 stabilisce che essa è libera e non necessita di autorizzazione preventiva. L'attività di vigilanza e controllo nel settore è affidata al CNIPA - Centro Nazionale per l'Informatica nella Pubblica Amministrazione (art. 27) (già AIPA - Autorità per l'Informatica nella Pubblica Amministrazione).

I «certificati elettronici» rilasciati dai certificatori possono essere semplici o «qualificati» (art. 2, lettere d) ed e), del D.Lgs. n. 10/2002, ora art. 28 del D.Lgs. n. 82/2005, il cui primo comma elenca il contenuto minimo di informazioni che un certificato qualificato deve contenere), se essi e chi li rilascia rispondono ai requisiti di qualità e sicurezza degli allegati I e II della Direttiva CE n. 93/1999. Solo i certificatori che intendono rilasciare al pubblico certificati qualificati devono dare avviso dell'inizio dell'attività al CNIPA (art. 4 del D.Lgs. n. 10/2002, ora terzo comma dell'art. 27 del D.Lgs. n. 82/2005).

Inoltre, i certificatori che intendono conseguire dal CNIPA il riconoscimento del possesso dei requisiti di qualità e sicurezza del livello più elevato, possono chiedere a questo di essere accreditati ai sensi dell'art. 29 del D.Lgs. n. 82/2005. L'accreditamento è stato introdotto dall'art. 5 del D.Lgs. n. 10/2002: è il c.d. «accreditamento facoltativo»: in forza dell'art. 11, comma 2, dello stesso Decreto divennero automaticamente certificatori accreditati tutti quelli che erano iscritti nell'elenco pubblico tenuto dall'AIPA - Autorità per l'Informatica nella Pubblica Amministrazione (ora CNIPA).

La responsabilità civile del certificatore è disciplinata dall'art. 30, primo comma, D.Lgs. n. 82/2005, che riproduce quasi testualmente l'art. 7, comma 1 del D.Lgs. n. 10/2002, stabilendo che il certificatore che rilascia al pubblico un certificato qualificato o che garantisce l'affidabilità del certificato è responsabile (è una responsabilità extracontrattuale, ai sensi degli artt. 2043 e seguenti del codice civile), se non prova di aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento:

1.	sull'esattezza e sulla completezza delle informazioni necessarie alla verifica della firma in esso contenute alla data del rilascio e sulla loro completezza rispetto ai requisiti fissati per i certificati qualificati dall'art. 28;
2.	sulla garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica di essa riportati o identificati nel certificato (si garantisce in tal modo l'identità del firmatario);
3.	sulla garanzia che i dati per la creazione e la verifica della firma possano essere usati in modo complementare (cioè corrispondano), nei casi in cui il certificatore generi entrambi;
4.	sull'adempimento degli obblighi a suo carico previsti dall'art. 32, che prevede una serie di misure organizzative e tecniche da adottare nella gestione dell'attività di certificazione delle firme elettroniche che garantiscano la sicurezza delle operazioni ed evitino danni alle parti coinvolte nei rapporti giuridici in cui quelle firme sono utilizzate.

Il certificatore che rilascia certificati qualificati è responsabile verso i terzi che hanno fatto affidamento su questi dei danni provocati per effetto della mancata o non tempestiva registrazione (informatica) della revoca o della sospensione del certificato, secondo quanto previsto dalle regole tecniche di cui all'art. 71, a meno che non provi di aver agito senza colpa (secondo comma).

Sempre il certificatore può limitare la sua responsabilità per i certificati qualificati che emette se segnala su di essi in modo riconoscibile dai terzi i limiti d'uso od il valore limite dei negozi giuridici per cui può essere usato il certificato stesso e li evidenzi chiaramente nel processo (informatico) di verifica della firma (terzo comma).

Il c.d. «titolare», cioè la persona fisica cui è attribuita la firma elettronica e che ha accesso ai dispositivi per la creazione della firma elettronica, è, dal canto suo, «tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri e a custodire ed utilizzare il dispositivo di firma (cioè l'hardware ed il software utilizzati per apporre la firma elettronica su un documento informatico) con la diligenza del buon padre di famiglia (art. 32, primo comma, che riprende il principio generale dell'art. 1227 del codice civile).

In luogo del nome del titolare il certificatore può riportare sul certificato elettronico uno pseudonimo, qualificandolo come tale. Se il certificato è qualificato, il certificatore ha l'obbligo di conservare le informazioni sulla reale identità del titolare per almeno dieci anni dalla scadenza del certificato (art. 33).

L'art. 36 del D.Lgs. n. 82/2005 stabilisce che il certificatore deve revocare il certificato qualificato emesso in caso di cessazione dell'attività, mentre deve revocarlo o sospenderlo:

1.	in esecuzione di un provvedimento dell'Autorità (Amministrativa o Giudiziaria);
2.	a seguito di richiesta del titolare o del terzo dal quale derivano i poteri del titolare;
3.	in presenza di cause limitative della capacità (di agire) del titolare o di abusi o falsificazioni;
4.	nei casi previsti dalle regola tecniche di cui all'art. 71, che disciplinano anche le modalità della revoca o della sospensione.

La revoca o la sospensione del certificato qualificato ha effetto dal momento della pubblicazione della lista (informatica) che lo contiene. Il momento della pubblicazione deve essere attestato mediante adeguato riferimento temporale (informatico).

Il certificatore accreditato o qualificato che intende cessare l'attività deve darne avviso al CNIPA ed ai titolari dei certificati da lui emessi almeno sessanta giorni prima della data di cessazione e, contestualmente, deve comunicare la rilevazione della documentazione (informatica) da parte di un altro certificatore o l'annullamento (cioè la revoca) della stessa. Il certificatore cessante deve anche indicare un altro depositario del registro dei certificati e della relativa documentazione informatica (art. 37).

Autore: Gianfranco Visconti - Consulente di Direzione aziendale - Lecce
Fonte: Pmi - Ipsoa Editore, n. 6, Giugno 2009

TAG:

Se hai trovato questi contenuti interessanti, abbonati alla newsletter PMI. È una mail gratuita che tutte le settimane ti informa sulle novità, sugli articoli, le scadenze e gli eventi più importanti. Ci trovi anche su Facebook e Twitter.

Inizio pagina

3 - 6

In questo articolo

•	Home Speciale
•	Natura e fonti
•	La disciplina dell'attività dei certificatori
•	Il valore giuridico della firma digitale e del documento informatico
•	La disciplina delle copie informatiche degli atti giuridici
•	La documentazione informatica per la tenuta delle scritture contabili