Certificatori qualificati

Questi certificatori che emettono certificati qualificati devono anche:

1. dimostrare l’affidabilit`a organizzativa, tecnica, e finanziaria per svolge- re l’attivit`a;

2. impiegare personale dotato delle conoscenze specifiche, esperienza e competenze necessarie;

3. applicare procedure e metodi amministrativi e di gestione adeguati a tecniche consolidate;

4. utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica;

5. adottare adeguate misure contro la contraffazione dei certificati, per garantire riservatezza, integrit`a e sicurezza nella gestione delle chiavi (art. 27, 2◦ comma lett. d) del DPR 445/2000, modificato dal DPR 137/2003).

Quindi i certificatori qualificati devono dimostrare la loro affidabilit`a, con riferimento al profilo organizzativo- gestionale e con riferimento alla sicurezza tecnica.

2.3 Certificatori 69

In particolare, il 2◦ comma, lett. d) del nuovo art. 27 del DPR 445/2000, modificato dal DPR 137/2003, rinvia a un decreto del Presidente del Consi- glio dei Ministri o del Ministro per l’innovazione e le tecnologie avente come oggetto l’accertamento della conformit`a dei dispositivi sicuri per la creazione di una firma ai requisiti prescritti dall’allegato 3 della direttiva 1999/1993, in base a uno schema nazionale di valutazione e certificazione di sicurezza nel settore della tecnologia dell’informazione.

Risulta che, i certificatori qualificati prima dell’inizio dell’attivit`a, devono dare notizia al Dipartimento dell’innovazione e le tecnologie della Presidenza del Consiglio dei Ministri, che svolge funzioni di controllo dei requisiti dei certificatori qualificati.

Il Dipartimento procede, d’ufficio o su segnalazione motivata di soggetti pubblici e privati, a controlli volti ad accertare la sussistenza dei presupposti e dei requisiti previsti dal presente testo unico e dispone, se del caso, con provvedimento motivato da notificare all’interessato, il divieto di prosecu- zione dell’attivit`a e la rimozione dei suoi effetti. Ci`o, salvo che l’interessato provveda a conformare alla normativa vigente l’attivit`a e i suoi effetti entro il termine fissato dall’amministrazione stessa.

Poi, secondo il nuovo art. 29-bis, lett. m) del DPR 445/2000, modificato dal DPR 137/2003, il certificatore qualificato deve tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato per dieci anni, allo scopo di fornire prova della certificazione in eventuali procedimenti giudiziari.

Certificatori accreditati

Questi certificatori devono presentare domanda per accreditarsi al Dipar- timento per l’innovazione e le tecnologie, presso la Presidenza del Consiglio dei Ministri ed essere iscritti in un apposito elenco (art. 28, comma 1, del DPR 445/2000, modificato dal DPR 137/2003).

catore, dei requisiti del livello pi`u elevato, che si possono impiegare sia nei rapporti con privati, sia con la PA.

Il richiedente deve allegare alla domanda il profilo professionale del perso- nale responsabile della generazione dei dati per la creazione e la verifica della firma, dell’emissione dei certificati e della gestione del registro dei certificati, nonch´e l’impiego al rispetto delle regole tecniche (art. 28, comma 2, del DPR 445/2000, modificato dal DPR 137/2003) .

La domanda si considera accolta quando non venga comunicato all’inte- ressato il provvedimento di diniego entro 90 giorni dalla data di presentazione (art. 28, comma 4, del DPR 445/2000, modificato dal DPR 137/2003).

A seguito dell’accoglimento della richiesta, il Dipartimento dispone l’iscri- zione del richiedente in un apposito elenco pubblico, tenuto dal Dipartimento stesso (art. 28, comma 6, del DPR 445/2000, modificato dal DPR 137/2003). I requisiti stabiliti per le tre categorie di certificatori hanno l’intento di garantire una certa stabilit`a e permanenza nel tempo della struttura che deve possedere le autorit`a di certificazione per il delicatissimo ruolo da esse svolto, nonch´e per la responsabilit`a che `e a esse attribuita.

Gli obblighi specifici del certificatore che sono esposti nell’art. 29-bis, 2◦ comma, possono essere ricondotti a funzioni diverse.

Secondo una classificazione universalmente accettata, le funzioni sono raggruppate in

• identificazione (registration service)

• certificazione (certification service), comprende la pubblicazione delle chiavi pubbliche e dei certificati

• altre funzioni, come la validazione temporale, volta a conferire a un documento informatico una data certa.

Il certificatore ha precisi obblighi di informazione nei confronti dei ri- chiedenti e deve: “predisporre sui mezzi di comunicazione durevoli tutte le informazioni utili ai soggetti che richiedono il servizio di certificazione , tra

2.3 Certificatori 71

cui in particolare gli esatti termini e condizioni relative all’uso del certificato, compresa ogni limitazione dell’uso, l’esistenza di un sistema di accreditamen- to facoltativo e le procedure di reclamo e di risoluzione delle controversie; dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte in un linguaggio chiaro ed essere fornite prima dell’accordo tra il richiedente il servizio e il certificatore”28_.

Inoltre, come da lettera n) del suddetto decreto, `e fatto divieto al certi- ficatore di copiare o conservare le chiavi private del soggetto cui ha fornito servizi, poich´e si troverebbe nella posizione di poter apporre la firma al posto del titolare.

Tra i vari obblighi di carattere generale che sono richiesti da regolamento, occorre ricordare quelli relativi al trattamento dei dati personali. La norma- tiva sul trattamento dei dati personali `e richiamata anche dal 3◦ comma dell’art. 29-bis del DPR 445/2000 come modificato dal DPR 137/2003, dove `e esposto che: “il certificatore che rilascia certificati al pubblico raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mante- nimento del certificato , fornendo l’informativa prevista dalla disciplina in materia di dati personali. I dati non possono essere raccolti o elaborati per fini diversi senza l’espresso consenso della persona cui si riferiscono”.

L’art. 28-bis disciplina la responsabilit`a del certificatore, recependo le di- sposizioni della direttiva europea (art.6). Innanzitutto, secondo quest’ultima, egli `e responsabile nei confronti di terzi, dell’esattezza di tutte le informazioni contenute nel certificato. E pu`o liberarsi da questo vincolo solo se dimostra di aver agito senza colpa.

Occorre sottolineare che la responsabilit`a del certificatore `e molto forte: in sostanza si `e in presenza della speciale responsabilit`a per attivit`a pericolo- sa, di cui all’art. 2050 C.C. Il certificatore pu`o indicare nel certificato i limiti d’uso e non rispondere dei danni derivanti dall’uso indebito. Analogamente

28_{Art. 29-bis, 2}◦ _{comma, lettera o) del DPR 445/2000 come modificato dal DPR} 137/2003

pu`o indicare nel certificato un valore limite e non rispondere dei danni su- periori a condizione che i limiti d’uso e il valore limite siano riconoscibili a terzi.

Inoltre, il certificatore `e pienamente responsabile della piena osservan- za dei requisiti previsti dalla direttiva riguardo al rilascio del certificato qualificato.

L’art. 28-bis disciplina i rapporti tra certificatore e terzi che abbiano fatto ragionevole affidamento sul certificato.

In particolare:

• sull’esattezza delle informazioni alla data del rilascio e sulla loro com- pletezza rispetto ai requisiti fissati;

• sulla garanzia che al momento del rilascio, il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato;

• sulla garanzia che i dati per la creazione e per la verifica della firma pos- sano essere usati in modo complementare, nei casi in cui in certificatore generi entrambi.

Inoltre, la responsabilit`a del certificatore va riferita ai danni cagionati a chi faccia ragionevole affidamento sul certificato, all’esattezza delle infor- mazioni contenute nel certificato, alla garanzia che al momento del rilascio detenesse i dati per la creazione della firma corrispondenti a quelli di verifi- ca della firma, alla garanzia che i dati di creazione e di verifica della firma possano essere utilizzati in modo complementare.

Poi, riguardo ai danni cagionati a terzi che facciano ragionevole affida- mento sul certificato stesso per la mancata registrazione della revoca o della sospensione del certificato, il certificatore risponde se non prova di aver agito senza colpa29.

2.3 Certificatori 73

Infine, spostiamo l’attenzione sulle firme elettroniche e la Pubblica Am- ministrazione.

Questa materia che, dopo la pubblicazione del DPCM 8 febbraio 1999, era stata oggetto di numerose discussioni, ha avuto una sua sistemazione nel febbraio 2001 con la circolare Aipa n.27 che ha fornito un inattesa soluzione chiara e organica.

Innanzitutto, viene fatta una distinzione tra documenti informatici con rilevanza esterna e quelli con rilevanza solo interna:

1. nel primo caso, ai fini della sottoscrizione ove prevista, le amministra- zioni possono svolgere in proprio l’attivit`a di certificazione, ma limita- tamente ai propri organi ed uffici ed hanno l’obbligo di iscriversi nel- l’elenco pubblico dei certificatori, attenendosi alle regole tecniche del DPCM, oppure rilasciare certificati di firma digitale relativi ai propri organi ed uffici, avvalendosi dei servizi offerti dal Centro Tecnico della Presidenza del Consiglio dei ministri o dai certificatori iscritti nell’elen- co di cui sopra, acquisiti nel rispetto della vigente normativa in materia di contratti pubblici; in questo caso non vi `e obbligo di iscrizione nel citato elenco pubblico.

2. per la sottoscrizione di documenti informatici di rilevanza interna le amministrazioni possono rilasciare ai propri organi ed uffici firme elet- troniche certificate secondo le regole tecniche diverse da quelle fissate dal DPCM.

A questo riguardo la circolare spiega: “la sottoscrizione prevista dal punto b) `e finalizzata a soddisfare esigenze di semplificazione del processo di for- mazione dei documenti amministrativi, per quegli adempimenti di rilevanza esclusivamente interna, ritenendosi che l’impiego della firma digitale, come era prevista dal DPR 513/97, e ora regolata dalla normativa vigente pri- ma esposta e dalle relative regole tecniche, contenute nel DPCM 8 febbraio 1999, determinerebbe un notevole appesantimento del processo documentale stesso.

Ogni amministrazione pubblica potr`a prescindere dal formale processo di certificazione della chiave pubblica previsto dal DPR 513/97 e ora regolata dalla normativa vigente come sopra esposta e dal DPCM 8 febbraio 1999 e ricorrere a regole tecniche dalla stessa autonomamente definite, sia per la ge- nerazione e conservazione delle chiavi pubbliche che per la loro certificazione, limitatamente alla sottoscrizione dei documenti informatici d’uso interno e con riferimento al proprio ordinamento.

Per tali adempimenti, la deroga alle regole tecniche di cui al DPCM del 8 febbraio 1999 `e motivata dalla circostanza che la verifica dell’autenticit`a ed integrit`a del documento informatico pu`o avvenire attraverso il solo ri- scontro interno, grazie al processo di certificazione operato da ogni singola amministrazione”.

Bisogna precisare che inizialmente la firma digitale pareva dover esse- re utilizzata sia dai pubblici che dai privati, ogni volta si procedesse alla sottoscrizione di documenti informatici.

In seguito, uno studio pi`u attento della norma ha reso chiaro che l’ap- plicazione della firma “forte” poteva essere limitata nei soli casi in cui il documento era destinato ad avere valore legale esterno. Ne consegue che, nelle applicazioni interne, non era necessario ricorrere alla firma forte.

I concetti di rilevanza esterna e rilevanza interna sono stati rielaborati nelle norme successive. Infatti nel T.U. all’articolo 29-quinquies, commi 1 e 2, si legge “

1. ai fini della sottoscrizione, ove prevista, di documenti informatici di rilevanza esterna, le pubbliche amministrazioni:

• possono svolgere direttamente l’attivit`a di rilascio di certificati qualificati, avendo a tal fine l’obbligo di accreditarsi ai fini del- l’articolo 28; tale attivit`a pu`o essere svolta esclusivamente nei confronti dei propri organi ed uffici, nonch´e di categorie di ter- zi, pubblici e privati. I certificati qualificati rilasciati in favore di categorie di terzi possono essere utilizzati soltanto nei rapporti