DA HTTP://WWW.PRIVACY.IT/COM98-297DEF.HTML

PROPOSTA DI DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

RELATIVA A REGOLE COMUNI SULLE FIRME ELETTRONICHE

(TESTO RILEVANTE AI FINI DEL SEE) IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA, VISTO IL TRATTATO CHE ISTITUISCE LA COMUNITÀ EUROPEA, IN PARTICOLAREL'ARTICOLO 57, PARAGRAFO2, L'ARTICOLO 66 E L'ARTICOLO 100 A, VISTA LA PROPOSTA DELLA COMMISSIONE, VISTO IL PARERE DEL COMITATO ECONOMICO E SOCIALE, VISTO IL PARERE DEL COMITATO DELLE REGIONI, DELIBERANDO IN CONFORMITÀ DELLA PROCEDURA DI CUI ALL'ARTICOLO 189 B DELTRATTATO,

(1) CONSIDERANDO CHE IL 16 APRILE 1997 LA COMMISSIONE HA PRESENTATO ALPARLAMENTOEUROPEO, AL CONSIGLIO, AL COMITATO ECONOMICO E SOCIALE E AL COMITATO DELLEREGIONIUNA COMUNICAZIONE INTITOLATA "UN'INIZIATIVA EUROPEA IN MATERIA DI COMMERCIO ELETTRONICO";

(2) CONSIDERANDO CHE L'8 OTTOBRE 1997 LA COMMISSIONE HA PRESENTATO ALPARLAMENTOEUROPEO, AL CONSIGLIO, AL COMITATO ECONOMICO E SOCIALE E AL COMITATO DELLEREGIONI LA COMUNICAZIONE INTITOLATA "GARANTIRE LA SICUREZZA E L'AFFIDABILITÀ NELLE COMUNICAZIONI ELETTRONICHE - VERSO LA DEFINIZIONE DI UN QUADRO EUROPEO IN MATERIA DI FIRME DIGITALI E DI CIFRATURA";

(3) CONSIDERANDO CHE IL 1^ DICEMBRE 1997 IL CONSIGLIO HA INVITATO LA COMMISSIONE APRESENTARE QUANTO PRIMA UNA PROPOSTA DI DIRETTIVA DEL PARLAMENTO EUROPEO E DELCONSIGLIO RELATIVA ALLE FIRME DIGITALI;

(4) CONSIDERANDO CHE LE COMUNICAZIONI ELETTRONICHE E IL COMMERCIO ELETTRONICONECESSITANO DI FIRME ELETTRONICHE E DEI SERVIZI AD ESSE RELATIVI, ATTI ACONSENTIREL'AUTENTICAZIONE DEI DATI; CHE LA DIVERGENZA DELLE REGOLE IN MATERIA DIRICONOSCIMENTO

GIURIDICO DELLE FIRME ELETTRONICHE E DI ACCREDITAMENTO DEI PRESTATORI DI SERVIZI DI CERTIFICAZIONE NEGLI STATI MEMBRI PUÓ COSTITUIRE UN GRAVE OSTACOLO ALL'USO

DELLE COMUNICAZIONI ELETTRONICHE E DEL COMMERCIO ELETTRONICO E, DI CONSEGUENZA,IMPEDIRE LOSVILUPPO DEL MERCATO INTERNO; CHE LA DIVERGENZA DEGLI INTERVENTI NEGLISTATI MEMBRISOTTOLINEA L'ESIGENZA DI UN'ARMONIZZAZIONE A LIVELLO COMUNITARIO;

(5) CONSIDERANDO CHE OCCORRE PROMUOVERE L'INTEROPERABILITÀ DEI PRODOTTI DI FIRMA

ELETTRONICA; CHE AI SENSI DELL'ARTICOLO 7 A DEL TRATTATO, IL MERCATO INTERNO COMPORTA UNOSPAZIO SENZA FRONTIERE INTERNE, NEL QUALE DEVE ESSERE ASSICURATA LA LIBERACIRCOLAZIONE

DELLE MERCI; CHE PER GARANTIRE LA LIBERA CIRCOLAZIONE NELL'AMBITO DELMERCATO INTERNO EPER INFONDERE FIDUCIA NELLE FIRME ELETTRONICHE È NECESSARIA LA CONFORMITÀ

AI REQUISITIESSENZIALI SPECIFICI RELATIVI AI PRODOTTI DI FIRMA ELETTRONICA UTILIZZATIDAI FORNITORI DI SERVIZI DI CERTIFICAZIONE;

(6) CONSIDERANDO CHE LA RAPIDA EVOLUZIONE TECNOLOGICA E IL CARATTERE GLOBALE DI INTERNETRENDONO NECESSARIO UN APPROCCIO APERTO ALLE VARIE TECNOLOGIE E SERVIZI CHECONSENTONODI AUTENTICARE I DATI IN MODO ELETTRONICO; CHE TUTTAVIA LE FIRME DIGITALIBASATE SULLACRITTOGRAFIA A CHIAVE PUBBLICA COSTITUISCONO ATTUALMENTE LA FORMA PIÙRICONOSCIUTA DI

FIRMA ELETTRONICA;

(7) CONSIDERANDO CHE IL MERCATO INTERNO CONSENTE AI PRESTATORI DI SERVIZI DICERTIFICAZIONE DI SVILUPPARE LE PROPRIE TTIVITÀ TRANSFRONTALIERE AI FINIDI ACCRESCERE LACOMPETITIVITÀ, E PERTANTO DI OFFRIRE AI CONSUMATORI E ALLE IMPRESE NUOVEOPPORTUNITÀ DISCAMBIARE INFORMAZIONI E DI EFFETTUARE NEGOZI PER VIA ELETTRONICA IN MODOSICURO,

INDIPENDENTEMENTE DALLE FRONTIERE; CHE AL FINE DI STIMOLARE LA PRESTAZIONESU SCALACOMUNITARIA DI SERVIZI DI CERTIFICAZIONE SULLE RETI APERTE, I PRESTATORI DISERVIZI DICERTIFICAZIONE DEBBONO ESSERE GENERALMENTE LIBERI DI OFFRIRE I RISPETTIVISERVIZI SENZA

PREVENTIVA AUTORIZZAZIONE; CHE NON VI È IMMEDIATA NECESSITÀ DI GARANTIRE LALIBERACIRCOLAZIONE DEI SERVIZI DI CERTIFICAZIONE ARMONIZZANDO LE DISPOSIZIONINAZIONALI CHE

IMPONGONO RESTRIZIONI GIUSTIFICATE E PROPORZIONATE ALLA PRESTAZIONE DI TALISERVIZI;

(8) CONSIDERANDO CHE I SISTEMI DI ACCREDITAMENTO FACOLTATIVO INTESI AMIGLIORARE IL LIVELLODI SERVIZIO FORNITO POSSONO OFFRIRE AI PRESTATORI DI SERVIZI DICERTIFICAZIONE IL CONTESTOAPPROPRIATO PER L'ULTERIORE SVILUPPO DEI LORO SERVIZI VERSO I LIVELLI DIFIDUCIA, SICUREZZA EQUALITÀ RICHIESTI DALL'EVOLUZIONE DEL MERCATO; CHE TALI SISTEMI DEBBONOINCORAGGIARE LOSVILUPPO DI PRASSI OTTIMALI TRA I PRESTATORI DI SERVIZI DI CERTIFICAZIONE;

CHE QUESTI ULTIMIDEBBONO ESSERE LIBERI DI ADERIRE A TALI SISTEMI DI ACCREDITAMENTO E DITRARNE VANTAGGIO;CHE GLI STATI MEMBRI NON DEBBONO VIETARE AI PRESTATORI DI SERVIZI DICERTIFICAZIONE DI

OPERARE AL DI FUORI DI TALI SISTEMI DI ACCREDITAMENTO; CHE SI DEVE

GARANTIRE CHE I SISTEMIDI ACCREDITAMENTO NON RIDUCANO LA CONCORRENZA NEL SETTORE DEI SERVIZI DICERTIFICAZIONE;CHE È IMPORTANTE RAGGIUNGERE L'EQUILIBRIO TRA ESIGENZE DEI CONSUMATORI EDESIGENZEDELLE IMPRESE;

(9) CONSIDERANDO CHE LA PRESENTE DIRETTIVA DEVE PERTANTO CONTRIBUIREALL'USO E ALRICONOSCIMENTO GIURIDICO DELLE FIRME ELETTRONICHE NELL'AMBITO DELLACOMUNITÀ; CHE LEFIRME ELETTRONICHE USATE ESCLUSIVAMENTE ALL'INTERNO DI SISTEMI CHIUSI NONESIGONO UNADISCIPLINA COMUNE; CHE, NELLA MISURA CONSENTITA DAL DIRITTO NAZIONALE, VARISPETTATA LALIBERTÀ DELLE PARTI DI ACCORDARSI SULLE CONDIZIONI DI ACCETTAZIONE DEI DATIFIRMATI IN MODOELETTRONICO; CHE LA PRESENTE DIRETTIVA NON È INTESA AD ARMONIZZARE LENORMATIVENAZIONALI SUI CONTRATTI, IN PARTICOLARE IN MATERIA DI FORMAZIONE EDESECUZIONE DEI

CONTRATTI, OD ALTRE FORMALITÀ NON CONTRATTUALI CHE RICHIEDANO L'APPOSIZIONEDI FIRME; CHEPER TALE MOTIVO, LE DISPOSIZIONI SUGLI EFFETTI GIURIDICI DELLE FIRMEELETTRONICHE NON DEVONORIGUARDARE I REQUISITI LEGALI DI FORMA PREVISTI DAL DIRITTO NAZIONALE SULLACONCLUSIONE DEICONTRATTI O LE REGOLE DI DETERMINAZIONE DEL LUOGO DELLA CONCLUSIONE DELCONTRATTO;

(10) CONSIDERANDO CHE, AL FINE DI CONTRIBUIRE ALL'ACCETTAZIONE GENERALEDELLE FIRMEELETTRONICHE, LA VALIDITÀ GIURIDICA DI UNA FIRMA ELETTRONICA NON DEVE ESSEREDISCONOSCIUTA UNICAMENTE PER IL FATTO CHE SI PRESENTA SOTTO FORMA DI DATI

ELETTRONICI,OPPURE CHE ESSA NON È BASATA SU UN CERTIFICATO QUALIFICATO O SU UNCERTIFICATO RILASCIATO

DA UN PRESTATORE DI SERVIZI DI CERTIFICAZIONE ACCREDITATO, OPPURE PER ILFATTO CHE ILPRESTATORE DI SERVIZI CHE HA RILASCIATO IL RELATIVO CERTIFICATO APPARTIENEAD UN ALTRO STATOMEMBRO; CHE LE FIRME ELETTRONICHE CONNESSE AD UN PRESTATORE DI SERVIZI DI

CERTIFICAZIONE AFFIDABILE CHE SI CONFORMI AI REQUISITI ESSENZIALI DEBBONOAVERE LA STESSAEFFICACIA GIURIDICA DELLE FIRME AUTOGRAFE; CHE È NECESSARIO GARANTIRE CHELE FIRMEELETTRONICHE POSSANO ESSERE UTILIZZATE COME PROVE NEI PROCEDIMENTIGIUDIZIARI IN TUTTIGLI STATI MEMBRI; CHE IL RICONOSCIMENTO GIURIDICO DELLE FIRME ELETTRONICHEDEVE BASARSISU CRITERI OGGETTIVI E NON ESSERE CONNESSO AD UN'AUTORIZZAZIONE RILASCIATAAL PRESTATOREDI SERVIZI INTERESSATO; CHE REGOLE ARMONIZZATE RELATIVE ALL'EFFICACIAGIURIDICA DELLE FIRMEELETTRONICHE DEVONO GARANTIRE UNA DISCIPLINA GIURIDICA COERENTE IN TUTTA LACOMUNITÀ;

(11) CONSIDERANDO CHE LA RESPONSABILITÀ DEI PRESTATORI DI SERVIZI DICERTIFICAZIONE CHEOFFRONO TALI SERVIZI AL PUBBLICO È DISCIPLINATA DAL DIRITTO NAZIONALE; CHEL'ETEROGENEITÀDELLA PORTATA E DEL CONTENUTO DI TALI REGOLE PUÓ DARE ORIGINE AD INCERTEZZA DEL DIRITTO,SOPRATTUTTO PER QUANTO RIGUARDA I TERZI CHE SI AFFIDANO AI SERVIZI DEICITATI PRESTATORI; CHETALE INCERTEZZA PUÓ DANNEGGIARE LO SVILUPPO DEL COMMERCIO TRANSFRONTALIERO EOSTACOLARE IL CORRETTO FUNZIONAMENTO DEL MERCATO INTERNO; CHE

L'ARMONIZZAZIONE DELLEREGOLE IN MATERIA DI RESPONSABILITÀ GARANTISCE LA SICUREZZA E LAPREVEDIBILITÀ SUL PIANOGIURIDICO SIA PER I PRESTATORI DI SERVIZI DI CERTIFICAZIONE, SIA PER I

CONSUMATORI; CHE TALIREGOLE CONTRIBUIRANNO ALL'ACCETTAZIONE GENERALE E AL RICONOSCIMENTOGIURIDICO DELLEFIRME ELETTRONICHE NELL'AMBITO DELLA COMUNITÀ, E DI CONSEGUENZA INFLUIRANNOPOSITIVAMENTE SUL FUNZIONAMENTO DEL MERCATO INTERNO;

(12) CONSIDERANDO CHE LO SVILUPPO DEL COMMERCIO ELETTRONICO INTERNAZIONALERENDENECESSARI DISPOSITIVI TRANSFRONTALIERI CHE COINVOLGONO I PAESI TERZI; CHETALI DISPOSITIVIDOVREBBERO ESSERE ELABORATI A LIVELLO COMMERCIALE; CHE, AL FINE DI GARANTIREL'INTEROPERABILITÀ A LIVELLO GLOBALE, POTREBBE ESSERE UTILE STIPULAREACCORDI CON I PAESITERZI RELATIVI A REGOLE MULTILATERALI PER IL RECIPROCO RICONOSCIMENTO DEISERVIZI DICERTIFICAZIONE;

(13) CONSIDERANDO CHE, AL FINE DI STIMOLARE LE COMUNICAZIONI ELETTRONICHE E ILCOMMERCIO ELETTRONICO GARANTENDO LA FIDUCIA DA PARTE DEGLI UTENTI, GLISTATI MEMBRIDEBBONO OBBLIGARE I PRESTATORI DI SERVIZI DI CERTIFICAZIONE A RISPETTARE LALEGISLAZIONE INMATERIA DI PROTEZIONE DEI DATI E LA VITA PRIVATA DEGLI INDIVIDUI, E DEBBONORICHIEDERE AQUESTI ULTIMI DI FORNIRE, QUALORA IL FIRMATARIO LO RICHIEDA, ANCHE SERVIZIDI CERTIFICAZIONERELATIVI A PSEUDONIMI; CHE IL DIRITTO NAZIONALE DEVE STABILIRE IN QUALICASI E A QUALICONDIZIONI I DATI CHE RIVELANO L'IDENTITÀ DELLA PERSONA CUI I DATI MEDESIMISI RIFERISCONODEBBANO ESSERE TRASFERITI AI FINI DI INCHIESTE PENALI; CHE I PRESTATORI DISERVIZI DICERTIFICAZIONE DEBBONO INFORMARE PREVENTIVAMENTE GLI UTENTI, PER ISCRITTO EIN TERMINIFACILMENTE COMPRENSIBILI E UTILIZZANDO MEZZI DI COMUNICAZIONE DUREVOLI, INMERITO ALLECONDIZIONI PRATICATE, IN PARTICOLARE ALLE PRECISE MODALITÀ D'USO DEICERTIFICATI RILASCIATI EDAI LIMITI DELLA LORO RESPONSABILITÀ;

(14) CONSIDERANDO CHE AI FINI DELL'APPLICAZIONE DELLA PRESENTE DIRETTIVA LACOMMISSIONEDEVE ESSERE ASSISTITA DA UN COMITATO A CARATTERE CONSULTIVO;

(15) CONSIDERANDO CHE, CONFORMEMENTE AI PRINCIPI DI SUSSIDIARIETÀ EPROPORZIONALITÀ DICUI ALL'ARTICOLO 3 B DEL TRATTATO, L'OBIETTIVO DI UNA DISCIPLINA GIURIDICAARMONIZZATA PER LAPRESTAZIONE DI FIRME ELETTRONICHE E DEI SERVIZI AD ESSE RELATIVI NON PUÓESSERESUFFICIENTEMENTE REALIZZATO DAGLI STATI MEMBRI E PUÓ PERTANTO ESSERE MEGLIOREALIZZATOA LIVELLO COMUNITARIO; CHE LA PRESENTE DIRETTIVA SI LIMITA AI REQUISITIMINIMI ESSENZIALI PERLA REALIZZAZIONE DI TALE OBIETTIVO;

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

ARTICOLO 1

CAMPO DI APPLICAZIONE

LA PRESENTE DIRETTIVA DISCIPLINA IL RICONOSCIMENTO GIURIDICO DELLE FIRMEELETTRONICHE.

ESSA NON DISCIPLINA ALTRI ASPETTI RELATIVI ALLA CONCLUSIONE E ALLA VALIDITA' DEI CONTRATTI OALTRE FORMALITA' NON CONTRATTUALI CHE RICHIEDONO L'APPOSIZIONE DI UNA FIRMA.

LA PRESENTE DIRETTIVA ISTITUISCE REGOLE COMUNI PER TALUNI SERVIZI DICERTIFICAZIONEDISPONIBILI AL PUBBLICO.

ARTICOLO 2

DEFINIZIONI

AI FINI DELLA PRESENTE DIRETTIVA VALGONO LE SEGUENTI DEFINIZIONI :

1) FIRMA ELETTRONICA - UNA FIRMA IN FORMA DIGITALE COMPRESA ALL'INTERNO DIDATI, OPPUREAD ESSI ALLEGATA, OPPURE ANCORA AD ESSI CONNESSA TRAMITE ASSOCIAZIONE LOGICA,APPOSTA DA UN FIRMATARIO AL FINE DI APPROVARE IL CONTENUTO DI TALI DATI, E

CHE SIACONFORME AI SEGUENTI REQUISITI CUMULATIVI:

A) ESSERE CONNESSA ESCLUSIVAMENTE AL FIRMATARIO;

B) ESSERE IDONEA AD IDENTIFICARE IL FIRMATARIO;

C) ESSERE CREATA CON MEZZI SUI QUALI IL FIRMATARIO PUO' CONSERVARE ILPROPRIO ESCLUSIVO CONTROLLO;

D) ESSERE COLLEGATA AI DATI CUI SI RIFERISCE IN MODO DA RIVELARE UNA SUCCESSIVA ALTERAZIONE DI DETTI DATI;

1. FIRMATARIO - COLUI CHE CREA UNA FIRMA ELETTRONICA;

3) DISPOSITIVO PER LA CREAZIONE DI UNA FIRMA - DATI PECULIARI, COME CODICI O CHIAVI CRITTOGRAFICHE PRIVATE, OPPURE UN DISPOSITIVO MATERIALE DI CONFIGURAZIONEESCLUSIVATILIZZATO DAL FIRMATARIO PER CREARE UNA FIRMA ELETTRONICA;

4) DISPOSITIVO DI VERIFICA DELLA FIRMA - DATI PECULIARI, COME CODICI OCHIAVI CRITTOGRAFICHEPUBBLICHE, OPPURE UN DISPOSITIVO MATERIALE DI CONFIGURAZIONE ESCLUSIVAUTILIZZATO PER

VERIFICARE LA FIRMA ELETTRONICA;

5) "CERTIFICATO QUALIFICATO", UN ATTESTATO DIGITALE CHE COLLEGA UN

DISPOSITIVO DI VERIFICA

DELLA FIRMA AD UNA DATA PERSONA NE CONFERMA L'IDENTITÀ E POSSIEDE I

REQUISITI DI CUI

ALL'ALLEGATO I;

6) "PRESTATORE DI SERVIZI DI CERTIFICAZIONE", UNA PERSONA O UN'ENTITÀ CHE

RILASCIA CERTIFICATI

O FORNISCE AL PUBBLICO ALTRI SERVIZI CONNESSI ALLE FIRME ELETTRONICHE;

7) "PRODOTTO DI FIRMA ELETTRONICA", MACCHINARI O PROGRAMMI PER ELABORATORI

ELETTRONICI,

OPPURE I COMPONENTI PERTINENTI DEI MEDESIMI DESTINATI AD ESSERE UTILIZZATI

DA UN

PRESTATORE DI SERVIZI DI CERTIFICAZIONE PER LA PRESTAZIONE DI SERVIZI DI

FIRMA ELETTRONICA.

ARTICOLO 3

ACCESSO AL MERCATO

1. GLI STATI MEMBRI NON SUBORDINANO AD AUTORIZZAZIONE PREVENTIVA LA

PRESTAZIONE DI

SERVIZI DI CERTIFICAZIONE.

2. SALVO IL DISPOSTO DEL PARAGRAFO 1, GLI STATI MEMBRI POSSONO INTRODURRE O

CONSERVARE

SISTEMI DI ACCREDITAMENTO FACOLTATIVI INTESI A FORNIRE SERVIZI DI

CERTIFICAZIONE DI LIVELLO PIÙ

ELEVATO. TUTTE LE CONDIZIONI RELATIVE A TALI SISTEMI DEVONO ESSERE

OBIETTIVE, TRASPARENTI,

PROPORZIONATE E NON DISCRIMINATORIE. GLI STATI MEMBRI NON POSSONO LIMITARE

IL NUMERO

DI PRESTATORI DI SERVIZI DI CERTIFICAZIONE PER MOTIVI CHE RIENTRANO NEL CAMPO

D'APPLICAZIONE DELLA PRESENTE DIRETTIVA.

3. SECONDO LA PROCEDURA DI CUI ALL'ARTICOLO 9, LA COMMISSIONE PUÓ

DETERMINARE E

PUBBLICARE SULLA GAZZETTA UFFICIALE DELLE COMUNITÀ EUROPEE I NUMERI DI

RIFERIMENTO DI

NORME GENERALMENTE RICONOSCIUTE RELATIVE A PRODOTTI DI FIRMA ELETTRONICA.

UN PRODOTTO DI

FIRMA ELETTRONICA CONFORME A TALI NORME VIENE CONSIDERATO DAGLI STATI

MEMBRI CONFORME

AI REQUISITI DI CUI ALL'ALLEGATO II, PUNTO E).

4. GLI STATI MEMBRI POSSONO ASSOGGETTARE A REQUISITI SUPPLEMENTARI L'USO

DELLE FIRME

ELETTRONICHE NEL SETTORE PUBBLICO. TALI REQUISITI DEBBONO ESSERE OBIETTIVI,

TRASPARENTI,

PROPORZIONATI E NON DISCRIMINATORI, E RIGUARDARE UNICAMENTE LE CARATTERISTICHE

SPECIFICHE DELL'USO DI CUI TRATTASI.

ARTICOLO 4

PRINCIPI DEL MERCATO INTERNO

1. CIASCUNO STATO MEMBRO APPLICA LE NORME DI ATTUAZIONE DELLA PRESENTE

DIRETTIVA AI

PRESTATORI DI SERVIZI DI CERTIFICAZIONE STABILITI SUL SUO TERRITORIO E AI

SERVIZI DA ESSI FORNITI.

GLI STATI MEMBRI NON POSSONO LIMITARE LA PRESTAZIONE DI SERVIZI DI

CERTIFICAZIONE

ORIGINATI IN UN ALTRO STATO MEMBRO NELLA MATERIA DISCIPLINATA DALLA

PRESENTE DIRETTIVA.

2. GLI STATI MEMBRI PROVVEDONO A CHE I PRODOTTI DI FIRMA ELETTRONICA

CONFORMI ALLA

PRESENTE DIRETTIVA CIRCOLINO LIBERAMENTE NEL MERCATO INTERNO.

ARTICOLO 5

EFFETTI GIURIDICI

1. GLI STATI MEMBRI PROVVEDONO AFFINCHÈ UNA FIRMA ELETTRONICA NON SIA

CONSIDERATA

INEFFICACE, INVALIDA E PRIVA DI FORZA ESECUTIVA UNICAMENTE A CAUSA DELLA

SUA FORMA

ELETTRONICA, O PER IL FATTO CHE NON È BASATA SU UN CERTIFICATO QUALIFICATO

O SU UN CERTIFICATO

RILASCIATO DA UN PRESTATORE DI SERVIZI DI CERTIFICAZIONE ACCREDITATO.

2. GLI STATI MEMBRI PROVVEDONO AFFINCHÈ LE FIRME ELETTRONICHE BASATE SU UN

CERTIFICATO

QUALIFICATO RILASCIATO DA UN PRESTATORE DI SERVIZI DI CERTIFICAZIONE

CONFORME AL DISPOSTO

DELL'ALLEGATO II SIANO RICONOSCIUTE CONFORMI AI REQUISITI LEGALI DI UNA

FIRMA AUTOGRAFA, DA

UN LATO E, DALL'ALTRO, SIANO AMMESSE COME PROVA NEI PROCEDIMENTI GIUDIZIARI

ALLA

STREGUA DELLA FIRMA AUTOGRAFA.

ARTICOLO 6

RESPONSABILITÀ

1. GLI STATI MEMBRI PROVVEDONO A CHE IL PRESTATORE DI SERVIZI DI

CERTIFICAZIONE CHE

RILASCIA UN CERTIFICATO QUALIFICATO SIA RESPONSABILE, NEI CONFRONTI DI

CHIUNQUE FACCIA

RAGIONEVOLE AFFIDAMENTO SU DETTO CERTIFICATO, DI QUANTO SEGUE:

A) ESATTEZZA DI TUTTE LE INFORMAZIONI CONTENUTE NEL CERTIFICATO QUALIFICATO

A PARTIRE DALLA

DATA DI RILASCIO, SALVO DIVERSA INDICAZIONE APPOSTA SUL CERTIFICATO

MEDESIMO DALLO

STESSO PRESTATORE;

B) PIENA OSSERVANZA DEI REQUISITI PREVISTI DALLA PRESENTE DIRETTIVA

RIGUARDO AL RILASCIO

DEL CERTIFICATO QUALIFICATO;

C) GARANZIA CHE LA PERSONA IDENTIFICATA NEL CERTIFICATO QUALIFICATO

DETENESSE, AL

MOMENTO DEL RILASCIO DEL CERTIFICATO, IL DISPOSITIVO DI CREAZIONE DELLA FIRMA

CORRISPONDENTE AL DISPOSITIVO DI VERIFICA DELLA FIRMA RIPORTATO O

IDENTIFICATO NEL

CERTIFICATO;

D) NEI CASI IN CUI IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE GENERI IL

DISPOSITIVO DI

CREAZIONE DELLA FIRMA E IL DISPOSITIVO DI VERIFICA DELLA FIRMA, GARANZIA

CHE I DUE

DISPOSITIVI FUNZIONINO INSIEME IN MODO COMPLEMENTARE.

2. GLI STATI MEMBRI PROVVEDONO A CHE UN PRESTATORE DI SERVIZI DI

CERTIFICAZIONE SIA

ESENTATO DALLA RESPONSABILITÀ DERIVANTE DA EVENTUALI ERRORI CONTENUTI NELLE

INFORMAZIONI

RIPORTATE NEL CERTIFICATO QUALIFICATO E A SUO TEMPO FORNITE DALLA PERSONA

CUI È STATO

RILASCIATO IL CERTIFICATO, QUALORA DETTO PRESTATORE POSSA DIMOSTRARE DI

AVER USATO TUTTA LA

NECESSARIA DILIGENZA PER VERIFICARE TALI INFORMAZIONI.

3. GLI STATI MEMBRI PROVVEDONO A CHE UN PRESTATORE DI SERVIZI DI

CERTIFICAZIONE POSSA

INDICARE, NEL CERTIFICATO QUALIFICATO, I LIMITI D'USO DI UN DETERMINATO

CERTIFICATO. IL

PRESTATORE DI SERVIZI DI CERTIFICAZIONE DEVE ESSERE ESENTATO DALLA

RESPONSABILITÀ PER I

DANNI DERIVANTI DALL'USO INDEBITO DI UN CERTIFICATO QUALIFICATO OVE SIANO

PRECISATI I LIMITI

D'USO DELLO STESSO.

4. GLI STATI MEMBRI PROVVEDONO AFFINCHÈ UN PRESTATORE DI SERVIZI DI

CERTIFICAZIONE ABBIA

LA FACOLTÀ DI INDICARE NEL CERTIFICATO QUALIFICATO UN VALORE LIMITE PER I

NEGOZI PER I QUALI È

VALIDO IL CERTIFICATO. IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE NON È

RESPONSABILE PER I

DANNI SUPERIORI A TALE VALORE LIMITE.

5. I PARAGRAFI DA 1 A 4 SI APPLICANO SALVO IL DISPOSTO DELLA DIRETTIVA

93/13/CEE DEL

CONSIGLIO.

ARTICOLO 7

ASPETTI INTERNAZIONALI

1. GLI STATI MEMBRI PROVVEDONO A CHE I CERTIFICATI RILASCIATI DA UN

PRESTATORE DI SERVIZI DI

CERTIFICAZIONE STABILITO IN UN PAESE TERZO SIANO RICONOSCIUTI COME

EQUIVALENTI, SUL PIANO

GIURIDICO, AI CERTIFICATI RILASCIATI DA UN PRESTATORE DI SERVIZI DI

CERTIFICAZIONE STABILITO

NELLA COMUNITÀ, IN PRESENZA DI UNA DELLE SEGUENTI CONDIZIONI:

A) QUALORA IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE SODDISFI I REQUISITI

DI CUI ALLA PRESENTE

DIRETTIVA E SIA STATO ACCREDITATO NEL CONTESTO DI UN SISTEMA DI

ACCREDITAMENTO FACOLTATIVO

ISTITUITO DA UNO STATO MEMBRO;

B) QUALORA IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE STABILITO NELLA

COMUNITÀ, CHE

SODDISFA I REQUISITI DI CUI ALL'ALLEGATO II, GARANTISCA PER IL CERTIFICATO

ALLO STESSO MODO IN

CUI GARANTISCE PER I PROPRI CERTIFICATI;

C) QUALORA IL CERTIFICATO O IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE SIA

RICONOSCIUTO IN FORZA

DI UN ACCORDO BILATERALE O MULTILATERALE TRA LA COMUNITÀ E PAESI TERZI O

ORGANIZZAZIONI

INTERNAZIONALI.

2. AL FINE DI AGEVOLARE SERVIZI DI CERTIFICAZIONE TRANSFRONTALIERI CON

PAESI TERZI E IL

RICONOSCIMENTO GIURIDICO DELLE FIRME ELETTRONICHE CHE HANNO ORIGINE IN

PAESI TERZI, LA

COMMISSIONE PRESENTERÀ, SE DEL CASO, PROPOSTE MIRANTI ALL'EFFETTIVA

ATTUAZIONE DI

NORME ED ACCORDI INTERNAZIONALI SUI SERVIZI DI CERTIFICAZIONE. IN

PARTICOLARE, OVE

NECESSARIO, PRESENTERÀ AL CONSIGLIO PROPOSTE RELATIVE A MANDATI PER LA

NEGOZIAZIONE DI

ACCORDI BILATERALI E MULTILATERALI CON PAESI TERZI E ORGANIZZAZIONI

INTERNAZIONALI. IL

CONSIGLIO DECIDE A MAGGIORANZA QUALIFICATA.

ARTICOLO 8

PROTEZIONE DEI DATI

1. GLI STATI MEMBRI PROVVEDONO A CHE I PRESTATORI DI SERVIZI DI

CERTIFICAZIONE E GLI

ORGANISMI NAZIONALI RESPONSABILI DELL'ACCREDITAMENTO O DELLA SUPERVISIONE SI

CONFORMINO ALLE DIRETTIVE 95/46/CE E 97/66/CE DEL PARLAMENTO EUROPEO E DEL

CONSIGLIO.

2. GLI STATI MEMBRI PROVVEDONO A CHE UN PRESTATORE DI SERVIZI DI

CERTIFICAZIONE POSSA

RACCOGLIERE DATI PERSONALI UNICAMENTE IN VIA DIRETTA DALLA PERSONA CUI I

DATI SI

RIFERISCONO, E UNICAMENTE NELLA MISURA IN CUI CIÓ SIA NECESSARIO AI FINI

DEL RILASCIO DI UN

CERTIFICATO. I DATI NON POSSONO ESSERE RACCOLTI O ELABORATI PER FINI

DIVERSI SENZA IL

CONSENSO DELLA PERSONA CUI ESSI SI RIFERISCONO.

3. GLI STATI MEMBRI PROVVEDONO A CHE, SU RICHIESTA DEL FIRMATARIO, IL

PRESTATORE DI SERVIZI

DI CERTIFICAZIONE RIPORTI SUL CERTIFICATO UNO PSEUDONIMO IN LUOGO DEL NOME

DEL FIRMATARIO.

4. GLI STATI MEMBRI PROVVEDONO A CHE, NEL CASO DI PERSONE CHE UTILIZZANO

PSEUDONIMI,

IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE TRASMETTA I DATI RELATIVI

ALL'IDENTITÀ DI TALI PERSONE

ALLE PUBBLICHE AUTORITÀ CHE NE FACCIANO RICHIESTA, PREVIO CONSENSO DELLA

PERSONA CUI I

DATI SI RIFERISCONO. QUALORA IL TRASFERIMENTO DEI DATI CHE RIVELANO

L'IDENTITÀ DELLA PERSONA

CUI QUESTI SI RIFERISCONO SIA NECESSARIO IN FORZA DEL DIRITTO INTERNO AI

FINI DI UN'INCHIESTA

PENALE SULL'USO DI FIRME ELETTRONICHE SOTTO UNO PSEUDONIMO, IL

TRASFERIMENTO VIENE

REGISTRATO E LA PERSONA CUI I DATI SI RIFERISCONO VIENE INFORMATA QUANTO

PRIMA, DOPO LA

CONCLUSIONE DELL'INCHIESTA, IN MERITO AL TRASFERIMENTO DEI DATI CHE LA

RIGUARDANO.

ARTICOLO 9

COMITATO

LA COMMISSIONE È ASSISTITA DA UN COMITATO A CARATTERE CONSULTIVO, DENOMINATO

"COMITATO PER LA FIRMA ELETTRONICA" (IN PROSIEGUO: "IL COMITATO"), COMPOSTO

DAI

RAPPRESENTANTI DEGLI STATI MEMBRI E PRESIEDUTO DAL RAPPRESENTANTE DELLA

COMMISSIONE.

IL RAPPRESENTANTE DELLA COMMISSIONE SOTTOPONE AL COMITATO UN PROGETTO DELLE

MISURE

DA ADOTTARE. IL COMITATO, ENTRO UN TERMINE CHE IL PRESIDENTE PUÓ FISSARE IN

FUNZIONE

DELL'URGENZA DELLA QUESTIONE IN ESAME, FORMULA IL SUO PARERE SUL PROGETTO,

EVENTUALMENTE PROCEDENDO A VOTAZIONE.

IL PARERE È ISCRITTO A VERBALE; INOLTRE, CIASCUNO STATO MEMBRO HA IL

DIRITTO DI CHIEDERE

CHE LA SUA POSIZIONE FIGURI A VERBALE.

LA COMMISSIONE TIENE IN MASSIMA CONSIDERAZIONE IL PARERE FORMULATO DAL

COMITATO.

ESSA LO INFORMA DEL MODO IN CUI HA TENUTO CONTO DEL SUO PARERE.

ARTICOLO 10

CONSULTAZIONE DEL COMITATO

IL COMITATO È CONSULTATO, SE NECESSARIO, IN MERITO AI REQUISITI RELATIVI AIPRESTATORI DISERVIZI DI CERTIFICAZIONE DI CUI ALL'ALLEGATO II E IN MERITO ALLE NORMEGENERALMENTERICONOSCIUTE PER I PRODOTTI DI FIRMA ELETTRONICA, SECONDO L'ARTICOLO 3,

PARAGRAFO 3.

ARTICOLO 11

NOTIFICAZIONE

1. GLI STATI MEMBRI COMUNICANO ALLA COMMISSIONE LE INFORMAZIONI RELATIVE AQUANTOSEGUE:

A) SISTEMI DI ACCREDITAMENTO FACOLTATIVI NAZIONALI ED OGNI EVENTUALE REQUISITOSUPPLEMENTARE SECONDO L'ARTICOLO 3, PARAGRAFO 4;

B) NOMI E INDIRIZZI DEGLI ENTI NAZIONALI RESPONSABILI DELL'ACCREDITAMENTO EDELLASUPERVISIONE;

C) I NOMI E GLI INDIRIZZI DEI PRESTATORI DI SERVIZI DI CERTIFICAZIONE

NAZIONALI ACCREDITATI.

2. GLI STATI MEMBRI NOTIFICANO AL PIÙ PRESTO LE INFORMAZIONI DI CUI ALPARAGRAFO 1 NONCHÈ

LE EVENTUALI VARIAZIONI.

ARTICOLO 12

RIESAME

1. ENTRO IL 31 DICEMBRE 2002, LA COMMISSIONE, PREVIO ESAME

DELL'APPLICAZIONE DELLAPRESENTE DIRETTIVA, PRESENTA UNA RELAZIONE IN MERITO AL PARLAMENTO EUROPEOE ALCONSIGLIO.

2. NEL RIESAME SI VALUTA, TRA L'ALTRO, SE IL CAMPO D'APPLICAZIONE DELLADIRETTIVA DEBBAESSERE MODIFICATO PER TENER CONTO DEI PROGRESSI TECNOLOGICI E DEGLISVILUPPI SUL PIANOGIURIDICO. LA RELAZIONE INCLUDE SEGNATAMENTE UNA VALUTAZIONE, SULLA BASE

DELL'ESPERIENZA ACQUISITA, DEGLI ASPETTI RELATIVI L'ARMONIZZAZIONE. LARELAZIONE ÈACCOMPAGNATA, SE DEL CASO, DA PROPOSTE LEGISLATIVE COMPLEMENTARI.

ARTICOLO 13

ATTUAZIONE

1. GLI STATI MEMBRI METTONO IN VIGORE LE DISPOSIZIONI LEGISLATIVE,

REGOLAMENTARI EAMMINISTRATIVE NECESSARIE PER CONFORMARSI ALLA PRESENTE DIRETTIVA ENTRO IL31 DICEMBRE 2000. ESSI NE INFORMANO IMMEDIATAMENTE LA COMMISSIONE.

QUANDO GLI STATI MEMBRI ADOTTANO TALI DISPOSIZIONI, QUESTE CONTENGONO UNRIFERIMENTOALLA PRESENTE DIRETTIVA O SONO CORREDATE DA UN SIFFATTO RIFERIMENTOALL'ATTO DELLAPUBBLICAZIONE UFFICIALE. LE MODALITÀ DI TALE RIFERIMENTO SONO DECISE DAGLISTATI MEMBRI.

2. GLI STATI MEMBRI COMUNICANO ALLA COMMISSIONE LE DISPOSIZIONI DI DIRITTONAZIONALECHE ADOTTANO NELLA MATERIA DISCIPLINATA DALLA PRESENTE DIRETTIVA E NELLEMATERIE AD ESSACOLLEGATE, NONCHÈ UNA TAVOLA DI CONCORDANZA FRA LA PRESENTE DIRETTIVA E LEDISPOSIZIONIPER LA SUA ATTUAZIONE.

ARTICOLO 14

ENTRATA IN VIGORE

LA PRESENTE DIRETTIVA ENTRA IN VIGORE IL VENTESIMO GIORNO SUCCESSIVO ALLADATA DELLA SUAPUBBLICAZIONE NELLA GAZZETTA UFFICIALE DELLE COMUNITÀ EUROPEE.

ARTICOLO 15

DESTINATARI

GLI STATI MEMBRI SONO DESTINATARI DELLA PRESENTE DIRETTIVA.

FATTO A BRUXELLES,

IL PER IL PARLAMENTO EUROPEO: IL PRESIDENTE

PER IL CONSIGLIO: IL PRESIDENTE

ALLEGATO I

REQUISITI RELATIVI AI CERTIFICATI QUALIFICATI

I CERTIFICATI QUALIFICATI DEVONO INCLUDERE:

(A) L'IDENTIFICAZIONE DEL PRESTATORE DI SERVIZIO DI CERTIFICAZIONE CHE HA

RILASCIATO IL

CERTIFICATO IN QUESTIONE;

(B) IL NOME INEQUIVOCABILE DEL TITOLARE DEL CERTIFICATO O UNO PSEUDONIMO

INEQUIVOCABILE,

IDENTIFICATO COME TALE;

(C) UN ATTRIBUTO SPECIFICO DEL TITOLARE, QUALE L'INDIRIZZO, IL POTERE DI

RAPPRESENTANZA DI

UN'IMPRESA, LA SOLVIBILITÀ, IL NUMERO DI PARTITA I.V.A. O ALTRI CODICI

FISCALI, L'ESISTENZA DI

GARANZIE DI PAGAMENTO O DI PERMESSI O LICENZE SPECIFICHE;

(D) UN DISPOSITIVO DI VERIFICA DELLA FIRMA CHE CORRISPONDA AD UN

DISPOSITIVO DI CREAZIONE

DELLA FIRMA SOTTO IL CONTROLLO DEL TITOLARE;

(E) L'INIZIO E IL TERMINE DEL PERIODO DI VALIDITÀ DEL CERTIFICATO;

(F) IL CODICE D'IDENTIFICAZIONE ESCLUSIVO DEL CERTIFICATO;

(G) LA FIRMA ELETTRONICA DEL PRESTATORE DI SERVIZI DI CERTIFICAZIONE CHE HA RILASCIATO ILCERTIFICATO;

(H) I LIMITI D'USO DEL CERTIFICATO, OVE APPLICABILI;

(I) I LIMITI DELLA RESPONSABILITÀ DEL PRESTATORE DI SERVIZI DI

CERTIFICAZIONE E L'IMPORTO LIMITEDELLE TRANSAZIONI PER CUI IL CERTIFICATO È VALIDO, OVE APPLICABILI.

ALLEGATO II

REQUISITI RELATIVI AI PRESTATORI DI SERVIZI DI CERTIFICAZIONE
I PRESTATORI DI SERVIZI DI CERTIFICAZIONE DEVONO:

(A) DIMOSTRARE L'AFFIDABILITÀ NECESSARIA AI FINI DI FORNIRE SERVIZI DICERTIFICAZIONE;

(B) METTERE IN ATTO UN SERVIZIO DI REVOCA PUNTUALE E SICURO;

(C) VERIFICARE CON MEZZI APPROPRIATI L'IDENTITÀ E LA CAPACITÀ DI AGIREDELLA PERSONA CUI ÈRILASCIATO UN CERTIFICATO QUALIFICATO;

(D) IMPIEGARE PERSONALE DOTATO DELLE CONOSCENZE SPECIFICHE, DELL'ESPERIENZAE DELLEQUALIFICHE NECESSARIE PER I SERVIZI OFFERTI, IN PARTICOLARE LA COMPETENZA ALIVELLOGESTIONALE, LA CONOSCENZA SPECIFICA NEL SETTORE DELLA TECNOLOGIA DELLEFIRME ELETTRONICHEE LA FAMILIARITÀ CON PROCEDURE DI SICUREZZA APPROPRIATE; ESSI DEVONOINOLTRE APPLICAREPROCEDURE E METODI AMMINISTRATIVI E DI GESTIONE ADEGUATI E CORRISPONDENTI ANORMERICONOSCIUTE;

(E) UTILIZZARE SISTEMI AFFIDABILI E USARE PRODOTTI DI FIRMA ELETTRONICA CHEGARANTISCANO LAPROTEZIONE CONTRO ALTERAZIONI DEI PRODOTTI, DI MODO CHE NON SIA POSSIBILEUTILIZZARLI PERFUNZIONI DIVERSE DA QUELLE PER CUI SONO STATI PROGETTATI; ESSI DEBBONOINOLTRE UTILIZZAREPRODOTTI DI FIRMA ELETTRONICA CHE GARANTISCANO LA SICUREZZA TECNICA ECRITTOGRAFICA DEIPROCEDIMENTI DI CERTIFICAZIONE DI CUI SONO OGGETTO I PRODOTTI IN QUESTIONE;

(F) ADOTTARE MISURE CONTRO LA CONTRAFFAZIONE DEI CERTIFICATI E, NEI CASI INCUI IL PRESTATOREDI SERVIZI DI CERTIFICAZIONE GENERI CHIAVI PRIVATE DI FIRMA CRITTOGRAFICA,GARANTIRE LARISERVATEZZA NEL CORSO DELLA GENERAZIONE DI TALI CHIAVI;

(G) DISPORRE DI RISORSE FINANZIARIE SUFFICIENTI AD OPERARE IN CONFORMITÀDEI REQUISITIPREVISTI DALLA PRESENTE DIRETTIVA, IN PARTICOLARE PER SOSTENERE IL RISCHIODI RESPONSABILITÀPER DANNI, AD ESEMPIO STIPULANDO UN'APPOSITA ASSICURAZIONE;

(H) TENERE UNA REGISTRAZIONE DI TUTTE LE INFORMAZIONI PERTINENTI RELATIVEAD UN CERTIFICATOQUALIFICATO PER UN ADEGUATO PERIODO DI TEMPO, IN PARTICOLARE AI FINI DIPROVA DELLACERTIFICAZIONE IN EVENTUALI PROCEDIMENTI GIUDIZIARI. TALI REGISTRAZIONIPOSSONO ESSEREEFFETTUATE PER VIA ELETTRONICA;

(I) ASTENERSI DAL MEMORIZZARE O DAL COPIARE LE CHIAVI PRIVATE DI FIRMACRITTOGRAFICA DELLAPERSONA CUI IL PRESTATORE DI SERVIZI DI CERTIFICAZIONE HA OFFERTO I SERVIZIDI GESTIONE DELLACHIAVE, SALVO CHE LA PERSONA IN QUESTIONE LO RICHIEDA ESPRESSAMENTE;

(J) INFORMARE I CONSUMATORI PRIMA DI INSTAURARE RAPPORTI CONTRATTUALI, PERISCRITTO,UTILIZZANDO UN LINGUAGGIO COMPRENSIBILE E UN MEZZO DI COMUNICAZIONEDUREVOLE, INMERITO AGLI ESATTI TERMINI E CONDIZIONI D'USO DEL CERTIFICATO, INCLUSA OGNILIMITAZIONE DIRESPONSABILITÀ, L'ESISTENZA DI UN ACCREDITAMENTO FACOLTATIVO E LE PROCEDURE

DI RECLAMO E DI RISOLUZIONE DELLE CONTROVERSIE.