Home

Decreto legislativo - 7/03/2005 - n. 82 art. 35 - Dispositivi sicuri e procedure per la generazione della firma qualificata 1

Michele Iaselli

Dispositivi sicuri e procedure per la generazione della firma qualificata 1

Art. 35.

1. I dispositivi sicuri e le procedure utilizzate per la generazione delle firme devono presentare requisiti di sicurezza tali da garantire che la chiave privata:

a) sia riservata;

b) non possa essere derivata e che la relativa firma sia protetta da contraffazioni;

c) possa essere sufficientemente protetta dal titolare dall'uso da parte di terzi.

1-bis) Fermo restando quanto previsto dal comma 1, i dispositivi per la creazione di una firma elettronica qualificata o di un sigillo elettronico soddisfano i requisiti di cui all'Allegato II del Regolamento eIDAS 2.

2. I dispositivi sicuri e le procedure di cui al comma 1 devono garantire l'integrità dei documenti informatici a cui la firma si riferisce. I documenti informatici devono essere presentati al titolare di firma elettronica, prima dell'apposizione della firma, chiaramente e senza ambiguità, e si deve richiedere conferma della volontà di generare la firma secondo quanto previsto dalle Linee guida 34.

3. Il secondo periodo del comma 2 non si applica alle firme apposte con procedura automatica. La firma con procedura automatica e' valida se apposta previo consenso del titolare all'adozione della procedura medesima 5.

4. I dispositivi sicuri di firma devono essere dotati di certificazione di sicurezza ai sensi dello schema nazionale di cui al comma 56.

5. La conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma elettronica qualificata di un sigillo elettronico prescritti dall'Allegato II del regolamento eIDAS è accertata, in Italia, dall'Organismo di certificazione della sicurezza informatica in base allo schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, fissato con decreto del Presidente del Consiglio dei Ministri, o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con i Ministri delle comunicazioni, delle attività produttive e dell'economia e delle finanze. L'attuazione dello schema nazionale non deve determinare nuovi o maggiori oneri per il bilancio dello Stato. Lo schema nazionale può prevedere altresì la valutazione e la certificazione relativamente ad ulteriori criteri europei ed internazionali, anche riguardanti altri sistemi e prodotti afferenti al settore suddetto. La valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma è effettuata dall’Agenzia per l’Italia digitale in conformità ad apposite linee guida da questa emanate, acquisito il parere obbligatorio dell’Organismo di certificazione della sicurezza informatica7.

6. La conformita' di cui al comma 5 e' inoltre riconosciuta se accertata da un organismo all'uopo designato da un altro Stato membro e notificato ai sensi dell'articolo 30, comma 2, del Regolamento eIDAS. Ove previsto dall'organismo di cui al periodo precedente, la valutazione della conformita' del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma e' effettuata dall'AgID in conformita' alle linee guida di cui al comma 5 8.

 

[1] Rubrica sostituita dall'articolo 30, comma 1, lettera a), del D.Lgs. 26 agosto 2016, n. 179.

[2] Comma aggiunto dall'articolo 30, comma 1, lettera b), del D.Lgs. 26 agosto 2016, n. 179.

[3] Per le regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali di cui al presente comma, vedi il D.P.C.M. 22 febbraio 2013.

[4] Comma modificato  dagli articoli 33, comma 1,  e 66, comma 1,  del D.Lgs. 13 dicembre 2017, n. 217.

[5] Comma sostituito dall'articolo 24, comma 1, lettera a), del D.Lgs. 30 dicembre 2010, n. 235.

[6] Comma sostituito dall'articolo 24, comma 1, lettera a), del D.Lgs. 30 dicembre 2010, n. 235.

[7] Comma modificato dall'articolo 24, comma 1, lettera b), del D.Lgs. 30 dicembre 2010, n. 235 e successivamente dall’ articolo 15, comma 5-ter, del D.L. 18 ottobre 2012 n.179 e dall'articolo 30, comma 1, lettera c), del D.Lgs. 26 agosto 2016, n. 179.

[8] Comma sostituito dall'articolo 24, comma 1, lettera c), del D.Lgs. 30 dicembre 2010, n. 235 e dall'articolo 30, comma 1, lettera d), del D.Lgs. 26 agosto 2016, n. 179 .

Inquadramento

La firma digitale non è più definita come una firma elettronica avanzata bensì come un particolare tipo di firma elettronica qualificata (art. 1, comma 1, lettera s e art. 24, comma 4-bis). Le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata contenute nel CAD sono state tutte soppresse, ma restano comunque contenute nel Regolamento eIDAS cui si fa rinvio nell'art. 1, comma 1-bis.

L'art. 24 è stato ampliato aggiungendo il comma 4-bis nel quale si precisa che equivale a mancata sottoscrizione di un documento informatico, l'apposizione ad esso di una firma digitale o di un altro tipo di firma elettronica qualificata che si basa su un certificato elettronico revocato, scaduto o sospeso. (Questo comma riproduce il contenuto del comma 3 dell'art. 21 ora abrogato).

È stato inserito anche un comma 4-ter, il quale stabilisce che le previsioni dell'art. 24 si applichino (ricorrendo alcune condizioni) anche alle firme elettroniche basate su certificati rilasciati da certificatori di uno Stato che non fa parte dell'Unione europea. (Questo comma riproduce il contenuto del comma 4 dell'art. 21 ora abrogato).

Con riferimento alla firma elettronica qualificata, è stata modificata la rubrica dell'art. 28 in “Certificati di firma elettronica qualificata” (prima della riforma era “Certificati qualificati”). È stato inoltre abrogato il comma 1, nel quale erano indicate le informazioni che i certificati qualificati (ora rinominati «certificati di firma elettronica qualificata») dovevano contenere. Tale abrogazione consegue al fatto che si deve fare riferimento a quanto indicato dal Regolamento eIDAS n. 910/2014 (suo art. 28 e Allegato I). Viene inoltre previsto (con la modifica del comma 2) che nel certificato di firma elettronica qualificata possa essere inserito il codice fiscale o, per i residenti all'estero, un analogo codice identificativo.

L'art. 35 è stato modificato con l'aggiunta del comma 1-bis, in base al quale i dispositivi per la creazione di una firma elettronica qualificata devono soddisfare i requisiti di cui all'Allegato II del Regolamento eIDAS; inoltre è stato sostituito il comma 6 il quale prevede che la conformità dei requisiti di sicurezza dei dispositivi per la creazione di una firma qualificata (prescritti dal Regolamento eIDAS) sia riconosciuta se accertata da un organismo designato da un altro Stato membro e notificato secondo la procedura prevista dalla direttiva stessa. Infine si dispone che la valutazione della conformità del sistema e degli strumenti di autenticazione utilizzati dal titolare delle chiavi di firma sia effettuata dall'Agid.

Bibliografia

Manca, Le firme elettroniche. Normative, standard, scenari e modalità di utilizzo, Roma, 2021.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Bibliografia