DIRETTIVA
1999/93/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 30 NOVEMBRE 1999 RELATIVA
A UN QUADRO COMUNITARIO PER LE FIRME ELETTRONICHE RECANTE MODIFICA DELLA
PROPOSTA DELLA COMMISSIONE IN APPLICAZIONE DELL'ARTICOLO 250 PARAGRAFO 2 DEL
TRATTATO CE
( pubblicata
nella Gazzetta Ufficiale CEE n. 13 serie L del 19 gennaio 2000 )
RELAZIONE
L'articolo 251,
paragrafo 2, lettera c) del trattato prevede che la Commissione formuli un
parere in merito agli emendamenti proposti dal Parlamento europeo in seconda
lettura.
Con il presente
documento la Commissione si conforma a tale norma per quanto riguarda gli emendamenti
alla posizione comune del Consiglio sulla proposta di direttiva del Parlamento
europeo e del Consiglio relativa ad un quadro comunitario per le firme
elettroniche.
La proposta
modificata contiene gli emendamenti proposti dal Parlamento europeo in seconda
lettura ed accolti dalla Commissione.
1. INTRODUZIONE
1.1. a) Antefatti
Il 13 maggio 1998
la Commissione ha adottato una proposta di direttiva del Parlamento europeo e
del Consiglio sulla firma elettronica, dal titolo "Un quadro comune per le
firme elettroniche" (COM(1998)297 def.), e l'ha formalmente trasmessa alle
due istituzioni il 16 giugno 1998.
Il Comitato
economico e sociale e il Comitato delle regioni hanno formulato il loro parere
rispettivamente il 2 e 3 dicembre 1998 e il 13 e 14 gennaio 1999.
Il 13 gennaio 1999
il Parlamento europeo ha adottato in prima lettura una risoluzione legislativa
favorevole, proponendo 32 emendamenti alla proposta della Commissione.
Il 29 aprile 1999
la Commissione ha adottato una proposta modificata, conformemente all'articolo
250, paragrafo 2 del trattato, che riprende integralmente, in parte o in linea
di principio 22 degli emendamenti del Parlamento europeo.
Deliberando in
conformità della procedura di cui all'articolo 251 del trattato, il 28 giugno
1999 Consiglio ha adottato formalmente una posizione comune in merito alla
quale la Commissione ha formulato il proprio parere il 16 luglio 1999.
Il 27 ottobre 1999
il Parlamento europeo ha proposto in seconda lettura 5 emendamenti alla posizione
comune.
1.2. b) Obiettivo
della proposta della Commissione
La direttiva è
intesa ad agevolare l'uso delle firme elettroniche ed a contribuire al loro
riconoscimento giuridico. Mira inoltre ad istituire un quadro giuridico per le
firme elettroniche e per taluni servizi di certificazione al fine di garantire
un corretto funzionamento del mercato interno. La base giuridica della proposta
sono gli articoli 47, paragrafo 2, 55 e 95 del trattato.
Basandosi su un
approccio indipendente dagli aspetti tecnologici, la proposta di direttiva si incentra
sulle condizioni e modalità di rilascio dei certificati volti a consentire di
identificare il mittente dei dati elettronici. Per stimolare lo sviluppo dei
servizi di certificazione, la proposta esenta gli Stati membri dal sottoporre i
prestatori di servizi di certificazione a regimi di autorizzazione preventiva,
lasciandoli tuttavia liberi di istituire sistemi di accreditamento facoltativo.
Il testo dispone inoltre che il riconoscimento giuridico della firma
elettronica sia equivalente a quello della firma autografa e stabilisce regole
per quanto riguarda la responsabilità dei prestatori di servizi di certificazione.
La proposta di direttiva prevede infine un meccanismo di cooperazione con i
paesi terzi per soddisfare i requisiti delle comunicazioni elettroniche
globali.
2. PARERE DELLA
COMMISSIONE SUGLI EMENDAMENTI DEL PARLAMENTO EUROPEO
La Commissione ha
accolto integralmente i 5 emendamenti adottati dal Parlamento europeo in
seconda lettura.
La Commissione ha
accolto tali emendamenti perché contribuiscono a migliorare la chiarezza e la
coerenza del testo.
3. CONCLUSIONI
La Commissione ha
accolto integralmente tutti gli emendamenti proposti dal Parlamento europeo in
seconda lettura.
In conformità
dell'articolo 250, paragrafo 2, la Commissione modifica la propria proposta
iniziale integrandovi tali emendamenti.
4. PROPOSTA
MODIFICATA
a) Principi
A seguito della seconda
lettura del Parlamento europeo, sono state accolte una serie di nuove disposizioni,
la maggior parte delle quali contribuisce a fugare le ambiguità o a migliorare
la chiarezza e la coerenza del testo. Sono state inoltre introdotte idee nuove
che ampliano la portata del testo originale senza tuttavia alterarne i principi
fondamentali.
b) Spiegazione dei
principali emendamenti
1. Modifica al
considerando 16
Come proposto nel
primo emendamento del Parlamento europeo, è stato chiarito nel testo che la direttiva
non mira a disciplinare i sistemi basati su accordi di diritto privato. La
modifica proposta intende introdurre più esplicitamente il "principio
dell'autonomia delle parti" indicando, innanzitutto, che i sistemi
"basati su accordi volontari di diritto privato fra un numero limitato di
partecipanti" non esigono una disciplina legislativa comune e, in secondo
luogo, che alle firme elettroniche utilizzate in tali sistemi non dovrebbero
essere negate l'efficacia giuridica e ammissibilità come mezzo probatorio nei
procedimenti giudiziari.
La nuova
formulazione non fa esplicito riferimento ai cosiddetti "gruppi chiusi di
utenti" e in questo senso rappresenta un miglioramento del testo in quanto
la direttiva stessa non menziona "sistemi chiusi" bensì accordi
giuridici tra persone private. Ciò contribuisce ad evitare l'incertezza del
diritto legata all'esatta definizione di gruppo chiuso di utenti, concetto
estraneo al diritto civile.
2. Modifica al
considerando 23
La Commissione ha
inserito nel testo l'emendamento 3 del Parlamento europeo, relativo all'aggiunta
di una nuova frase al considerando 23. Tale emendamento sottolinea l'utilità di
accordi multilaterali con paesi terzi sul riconoscimento reciproco dei servizi
di certificazione al fine di assicurare un'interoperabilità a livello globale.
Ciò è conforme al disposto dell'articolo 7 della proposta di direttiva che
tratta specificamente degli aspetti internazionali. L'articolo 7, paragrafo 2
dispone che la Commissione presenta proposte miranti ad agevolare servizi di
certificazione transfrontalieri, in particolare relative all'attuazione di
norme e di pertinenti accordi internazionali.
Considerata la
natura globale del commercio elettronico, è importante mirare al riconoscimento
reciproco dei certificati sul mercato globale. La nuova frase proposta intende
evidenziare l'importanza di questo aspetto.
3. Modifica
all'articolo 6
Come proposto
negli emendamenti 4 e 5 del Parlamento europeo, sono state aggiunte due modifiche
all'articolo 6.
La prima consiste
nell'aggiunta di una frase all'articolo 6, paragrafo 1, lettera a) per
garantire che un prestatore di servizi di certificazione sia responsabile non
solo dell'esattezza di tutte le informazioni contenute nel certificato
qualificato ma anche della completezza di tutte le informazioni prescritte
perché un certificato qualificato sia considerato tale.
L'aggiunta è
particolarmente rilevante in quanto per il cliente è importante non solo che i
dati che figurano nel certificato siano esatti ma anche che questo contenga
tutte le informazioni necessarie per essere considerato un certificato
qualificato. La modifica contribuisce pertanto a rendere più chiara la
formulazione dell'articolo 6, paragrafo l.
La seconda
modifica, suggerita dall'emendamento 5 del Parlamento europeo, consiste nell'aggiunta
di una nuova frase all'articolo 6, paragrafo 4, ai sensi della quale il
prestatore di servizi di certificazione non è responsabile dei danni risultanti
dall'uso di un certificato qualificato il cui valore è superiore a quello delle
transazioni per le quali il certificato può essere usato. La nuova disposizione
stabilisce pertanto che il prestatore di servizi di certificazione non è
responsabile di un uso del certificato qualificato che ecceda i limiti dello
stesso.
Tale emendamento
contribuisce ad una maggiore coerenza tra l'articolo 6, paragrafo 3, il quale
già prevede una disposizione analoga, e l'articolo 6, paragrafo 4.
4. Chiarimenti
del testo
Come proposto
nell'emendamento 2 del Parlamento europeo, la formulazione del considerando 21
è stata modificata. Tale considerando rinvia all'articolo 5, paragrafo 1 ed
intende sottolineare che è il diritto nazionale a determinare i campi giuridici
nei quali gli Stati membri autorizzano l'impiego di documenti elettronici e
firme elettroniche. Il considerando faceva parte di un compromesso tra la
Commissione e gli Stati membri destinato a mitigare la formulazione
"perentoria" dell'articolo 5, paragrafo 1, ai sensi del quale gli
Stati membri garantiscono che le finire elettroniche avanzate possiedano i
requisiti legali di una firma autografa.
La frase
modificata esprime in modo più esplicito che è il diritto nazionale a
disciplinare i campi in cui è autorizzato l'impiego di documenti elettronici e di
firme elettroniche.
Proposta
modificata di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativa ad un quadro comunitario per le firme elettroniche
Il Parlamento
Europeo e il Consiglio dell'Unione Europea
visto il trattato
che istituisce la Comunità europea, in particolare gli articoli 47, paragrafo
2, 55 e 95,
vista la proposta
della Commissione,
visto il parere
del Comitato economico e sociale,
visto il parere
del Comitato delle regioni,
deliberando secondo
la procedura di cui all'articolo 251 del trattato,
(1) considerando
che il 16 aprile 1997 la Commissione ha presentato al Parlamento europeo, al
Consiglio, al Comitato economico e sociale e al Comitato delle regioni una
comunicazione relativa ad un'iniziativa europea in materia di commercio
elettronico;
(2) considerando
che l'8 ottobre 1997 la Commissione ha presentato al Parlamento europeo, al
Consiglio, al Comitato economico e sociale e al Comitato delle regioni una
comunicazione intitolata "Garantire la sicurezza e l'affidabilità nelle
comunicazioni elettroniche - Verso la definizione di un quadro europeo in
materia di firme digitali e di cifratura";
(3) considerando
che il l' dicembre 1997 il Consiglio ha invitato la Commissione a presentare
quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio
relativa alle firme digitali;
(4) considerando
che le comunicazioni elettroniche e il commercio elettronico necessitano di
firme elettroniche e dei servizi ad esse relativi, atti a consentire
l'autenticazione dei dati; che la divergenza delle norme in materia di
riconoscimento giuridico delle firme elettroniche e di accreditamento dei
prestatori di servizi di certificazione negli Stati membri può costituire un
grave ostacolo all'uso delle comunicazioni elettroniche e del commercio
elettronico; che, invece, un quadro comunitario chiaro relativo alle condizioni
applicabili alle firme elettroniche rafforzerà la fiducia nelle nuove
tecnologie e la loro accettazione generale; che la normativa negli Stati membri
non dovrebbe essere d' ostacolo alla libera circolazione di beni e di servizi
nel mercato interno;
(5) considerando
che occorre promuovere l'interoperabilità dei prodotti di firma elettronica;
che, a norma dell'articolo 14 del trattato, il mercato interno comporta uno
spazio senza frontiere interne, nel quale è assicurata la libera circolazione
delle merci; che, per garantire la libera circolazione nell'ambito del mercato
interno e infondere fiducia nelle firme elettroniche, è necessaria la
conformità ai requisiti essenziali specifici relativi ai prodotti di firma
elettronica, fatti salvi il regolamento (CE) del Consiglio n. 3381/94, del 19
dicembre 1994, che istituisce un regime comunitario di controllo delle
esportazioni di beni a duplice uso e la decisione 94/942/PESC del Consiglio del
19 dicembre 1994, relativa all'azione comune adottata dal Consiglio in base
all'articolo J.3 del trattato sull'Unione europea riguardante il controllo
delle esportazioni di beni a duplice uso;
(6) considerando
che la presente direttiva non si applica per quanto riguarda il carattere
riservato dell'informazione alla fornitura di servizi oggetto di disposizioni
nazionali connesse con l'ordine pubblico o la pubblica sicurezza;
(7) considerando
che il mercato interno consente anche la libera circolazione delle persone la
quale si traduce in una maggiore necessità, per i cittadini dell'Unione europea
e per le persone che vi risiedono, di trattare con le autorità di Stati membri
diversi da quello in cui risiedono; che la disponibilità di comunicazioni
elettroniche potrebbe essere di grande aiuto a questo riguardo;
(8) considerando
che la rapida evoluzione tecnologica e il carattere globale di Internet rendono
necessario un approccio aperto alle varie tecnologie e servizi che consentono
di autenticare i dati in modo elettronico;
(9) considerando
che le firme elettroniche verranno usate in svariate circostanze ed
applicazioni, che comporteranno un'ampia gamma di nuovi servizi e prodotti
facenti uso di firme elettroniche o ad esse collegati; che la definizione di
tali prodotti e servizi non dovrebbe essere limitata al rilascio e alla
gestione di certificati, ma comprenderebbe anche ogni altro servizio e prodotto
facente uso di firme elettroniche, o ad esse ausiliario, quali servizi di
immatricolazione, servizi di opposizione del giorno e dell'ora, servizi di
repertorizzazione, servizi informatici o di consulenza relativi alle firme
elettroniche;
(10) considerando
che il mercato interno consente ai prestatori di servizi di certificazione di
sviluppare le proprie attività transfrontaliere ai fini di accrescere la
competitività e, pertanto, di offrire ai consumatori e alle imprese nuove
opportunità di scambiare informazioni e di effettuare negozi per via elettronica
in modo sicuro, indipendentemente dalle frontiere; che, al fine di stimolare la
prestazione su scala comunitaria di servizi di certificazione sulle reti
aperte, i prestatori di servizi di certificazione dovrebbero essere liberi di
fornire i rispettivi servizi senza preventiva autorizzazione; per
autorizzazione preventiva non si intende soltanto qualsiasi permesso che il
prestatore di servizi interessato deve ottenere dalle autorità nazionali prima
di poter fornire i propri servizi di certificazione, ma anche ogni altra misura
avente effetto equivalente;
(11) considerando
che i sistemi di accreditamento facoltativo intesi a migliorare il livello di
servizio fornito possono offrire ai prestatori di servizi di certificazione il
quadro appropriato per l'ulteriore sviluppo dei loro servizi verso i livelli di
fiducia, sicurezza e qualità richiesti dall'evoluzione del mercato; che tali
sistemi dovrebbero incoraggiare presso i prestatori di servizi di certificazione
lo sviluppo delle migliori pratiche; che questi ultimi dovrebbero essere liberi
di aderire a tali sistemi di accreditamento e di trarne vantaggio;
(12) considerando
che i servizi di certificazione possono essere forniti o da un'entità pubblica
ovvero da una persona giuridica o fisica purché costituita conformemente al
diritto nazionale; che gli Stati membri non devono vietare ai prestatori di
servizi di certificazione di operare al di fuori dei sistemi di accreditamento
facoltativo; che si deve garantire che tali sistemi di accreditamento non
riducano la concorrenza nel settore dei servizi di certificazione;
(13) considerando
che gli Stati membri possono decidere come garantire il controllo del rispetto
delle disposizioni contenute nella presente direttiva; che quest'ultima non
esclude l'istituzione di sistemi di controllo basati sul settore privato; che
la presente direttiva non obbliga i prestatori di servizi di certificazione a
chiedere di essere controllati secondo l'uno o l'altro sistema d'accreditamento
applicabile;
(14) considerando
che è importante raggiungere l'equilibrio tra le esigenze dei consumatori e le
esigenze delle imprese;
(15) considerando
che l'allegato III prevede requisiti specifici per i dispositivi per la
creazione di una firma sicura al fine di assicurare la funzionalità delle firme
elettroniche avanzate; che esso non contempla la totalità del sistema in cui
tali dispositivo operano; che il funzionamento del mercato interno impone alla
Commissione e agli Stati membri un'azione rapida al fine di permettere la
designazione degli organismi preposti alla valutazione della conformità con
allegato III dei dispositivo di firma sicura rispetto; che, per rispondere alle
esigenze del mercato, la valutazione di tale conformità deve essere tempestiva
ed efficiente;
(16) considerando
che la presente direttiva contribuisce all'uso e al riconoscimento giuridico delle
firme elettroniche nell'ambito della Comunità; che le firme elettroniche usate
esclusivamente interno di sistemi basati su accordi volontari di diritto
privato fra un numero limitato di partecipanti non esigono una disciplina
legislativa comune; che, nella misura consentita dal diritto nazionale, si deve
rispettare la libertà delle parti di accordarsi sulle condizioni di
accettazione dei dati firmati in modo elettronico; che alle firme elettroniche
utilizzate in tali sistemi non dovrebbero essere negate l'efficacia giuridica e
l'ammissibilità come mezzo probatorio nei procedimenti giudiziari;
(17) che la
presente direttiva non è diretta ad armonizzare le normative nazionali sul
contratti, in particolare in materia di conclusione ed esecuzione dei
contratti, od altre formalità di natura extracontrattuale concernenti
l'apposizione di firme; che, per tale motivo, le disposizioni sugli effetti
giuridici delle firme elettroniche non dovrebbero pregiudicare i requisiti
formali previsti dal diritto nazionale sulla conclusione dei contratti o le
regole di determinazione del luogo della conclusione del contratto;
(18) considerando
che la registrazione e la copia di dati per la creazione di una firma
potrebbero costituire una minaccia per la validità giuridica delle firme
elettroniche;
(19) considerando
che le firme elettroniche saranno utilizzate nel settore pubblico nell'ambito
delle amministrazioni nazionali e comunitarie nonché nelle comunicazioni di
tali amministrazioni sia tra di esse che con i cittadini e gli operatori
economici, ad esempio nel settori degli appalti pubblici, della fiscalità,
della previdenza sociale, della sanità e dell'amministrazione della giustizia;
(20) considerando
che l'adozione di criteri armonizzati relativi agli effetti giuridici delle
firme elettroniche potrà mantenere un quadro giuridico coerente in tutta la
Comunità; che il diritto nazionale stabilisce requisiti differenti per la
validità giuridica delle firme autografe; che i certificati possono essere
usati per confermare l'identità di una persona che ricorre alla firma
elettronica; che le firme elettroniche avanzate basate su un certificato
qualificato mirano ad un più alto livello di sicurezza; che le firme elettroniche
avanzate basate su un certificato qualificato e create mediante un dispositivo
per la creazione di una firma sicura possono essere considerate giuridicamente
equivalenti alle firme autografe solo se sono rispettati i requisiti previsti
per le firme autografe;
(21) considerando
che, al fine di contribuire all'accettazione generale dei metodi di autenticazione
elettronici, è necessario garantire che le firme elettroniche possano essere
utilizzate come prove nel procedimenti giudiziari in tutti gli Stati membri;
che il riconoscimento giuridico delle firme elettroniche dovrebbe basarsi su
criteri oggettivi e non essere connesso ad un'autorizzazione rilasciata al
prestatore di servizi di certificazione interessato; che il diritto nazionale
disciplina la definizione dei campi giuridici in cui possono essere impiegati
documenti elettronici e firme elettroniche; che la presente direttiva lascia
impregiudicata la facoltà degli organi giurisdizionali nazionali di deliberare
in merito alla conformità rispetto ai requisiti della presente direttiva e non
lede le norme nazionali in materia di libero uso delle prove in giudizio;
(22) considerando
che la responsabilità dei prestatori di servizi di certificazione che
forniscono tali servizi al pubblico è disciplinata dal diritto nazionale;
(23) considerando
che lo sviluppo del commercio elettronico internazionale rende necessarie soluzioni
transfrontaliere che coinvolgano anche i paesi terzi; che, al fine di
assicurare l'interoperabilità a livello globale, potrebbero essere utili
accordi con i paesi terzi su regole multilaterali concernenti il riconoscimento
reciproco dei servizi di certificazione;
(24) considerando
che, al fine di accrescere la fiducia da parte degli utenti nelle comunicazioni
elettroniche e nel commercio elettronico, i prestatori di servizi di
certificazione devono rispettare la legislazione in materia di protezione dei
dati e la vita privata degli individui;
(25) considerando
che le disposizioni sull'uso degli pseudonimi nei certificati non deve impedire
agli Stati membri di chiedere l'identificazione delle persone in base alla
normativa comunitaria o della legislazione nazionale;
(26) considerando
che, ai fini dell'applicazione della presente direttiva, la Commissione dovrebbe
essere assistita da un comitato di gestione; che, poiché le misure necessarie
per porre in essere la presente direttiva sono misure di gestione ai sensi
dell'articolo 2 della decisione del Consiglio 1999/468/CE, del 28 giugno 1999
recante modalità per l'esercizio delle competenze di esecuzione conferite alla
Commissione, tali misure devono essere adottate secondo la procedura di gestione
di cui all'articolo 4 della suddetta decisione.
(27) considerando
che due anni dopo l'entrata in vigore della direttiva la Commissione dovrà
presentare una relazione su di essa al fine di garantire, tra l'altro, che il
progresso tecnologico o eventuali mutamenti del quadro giuridico non abbiano
creato ostacoli al raggiungimento degli obiettivi da essa sanciti; che la
Commissione dovrà inoltre esaminare le implicazioni dei settori tecnici
connessi e presentare una relazione al riguardo al Parlamento europeo e al
Consiglio;
(28) considerando
che, secondo i principi di sussidiarietà e proporzionalità di cui all'articolo
5 del trattato, l'obiettivo della creazione di un quadro giuridico armonizzato
per la fornitura di firme elettroniche e dei servizi relativi non può essere
sufficientemente realizzato dagli Stati membri e può dunque essere realizzato
meglio a livello comunitario; che la presente direttiva non va al di là di
quanto necessario per il raggiungimento degli obiettivi del trattato,
Hanno
adottato la presente
DIRETTIVA
Articolo 1
Ambito di
applicazione
La presente
direttiva è volta ad agevolare l'uso delle firme elettroniche e a contribuire
al loro riconoscimento giuridico. Essa istituisce un quadro giuridico per le
firme elettroniche e taluni servizi di certificazione al fine di garantire il
corretto funzionamento del mercato interno.
Essa non
disciplina aspetti relativi alla conclusione e alla validità dei contratti o
altri obblighi giuridici quando esistono requisiti relativi alla forma
prescritti dal diritto nazionale o comunitario, né pregiudica le norme e i
limiti che disciplinano l'uso dei documenti contenuti nel diritto nazionale o
comunitario.
Articolo 2
Definizioni
Ai fini della
presente direttiva, valgono le seguenti definizioni:
(1) "firma
elettronica", dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;
(2) "firma
elettronica avanzata", una firma elettronica che soddisfi i seguenti
requisiti:
a) essere connessa
in maniera unica al firmatario;
b) essere idonea
ad identificare il firmatario;
c) essere creata
con mezzi sui quali il firmatario può conservare il proprio controllo
esclusivo;
d) essere
collegata ai dati cui si riferisce in modo da consentire l'identificazione di
ogni successiva modifica di detti dati;
(3)
"firmatario", la persona che detiene un dispositivo per la creazione
di una firma e agisce per conto proprio o per conto della persona fisica o
giuridica o dell'entità che rappresenta;
(4) "dati per
la creazione di una firma", dati peculiari, come codici o chiavi
crittografiche private, utilizzati dal firmatario per creare una firma
elettronica;
(5)
"dispositivo per la creazione di una firma", un software configurato
o un hardware usato per applicare i dati per la creazione di una firma;
(6)
"dispositivo per la creazione di una firma sicura", un dispositivo
per la creazione di una firma che soddisfa i requisiti di cui all'allegato III;
(7) "dati per
la verifica di una firma", dati, come codici o chiavi crittografiche
pubbliche, utilizzati per verificare una firma elettronica;
(8) "dispositivo
di verifica della firma", un software configurato o un hardware usato per
applicare i dati di verifica della firma;
(9)
"certificato", un attestato elettronico che collega i dati di
verifica della firma ad una persona e conferma l'identità di tale persona;
(10)
"certificato qualificato", un certificato conforme ai requisiti di
cui all'allegato I e fornito da un prestatore di servizi di certificazione che
soddisfa i requisiti di cui all'allegato III;
(11)
"prestatore di servizi di certificazione", un'entità o una persona
fisica o giuridica che rilascia certificati o fornisce altri servizi connessi
alle firme elettroniche;
(12)
"prodotto di firma elettronica", un hardware o software, oppure i
componenti pertinenti dei medesimi, destinati ad essere utilizzati da un
prestatore di servizi di certificazione per la prestazione di servizi di firma
elettronica oppure per la creazione o la verifica di firme elettroniche.
(13)
"accreditamento facoltativo", qualsiasi permesso che stabilisca
diritti ed obblighi specifici per la fornitura di servizi di certificazione, il
quale sia concesso, su richiesta del prestatore di servizi di certificazione
interessato, dall'organismo pubblico o privato preposto all'elaborazione e alla
sorveglianza del rispetto di tali diritti ed obblighi, fermo restando che il
prestatore di servizi di certificazione non è autorizzato ad esercitare i
diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da
parte dell'organismo.
Articolo 3
Accesso al mercato
1. Gli Stati membri
non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione.
2. Fatto salvo il
paragrafo 1, gli Stati membri possono introdurre o conservare sistemi di accreditamento
facoltativi volti a garantire la fornitura di servizi di certificazione di
livello più elevato. Tutte le condizioni relative a tali sistemi devono essere
obiettive, trasparenti, proporzionate e non discriminatorie. Gli Stati membri
non possono limitare il numero di prestatosi di servizi di certificazione accreditati
per motivi che rientrano nell'ambito di applicazione della presente direttiva.
3. Ciascuno Stato
membro provvede affinché venga istituito un sistema atto a garantire il controllo
dei prestatori di servizi di certificazione stabiliti sul suo territorio e il
rilascio al pubblico di certificati qualificati.
4. La conformità
dei dispositivi per la creazione di una firma sicura con i requisiti di cui
all'allegato III è determinata dagli organismi pubblici o privati designati
all'uopo dagli Stati membri. Spetta alla Commissione fissare secondo la
procedura di cui all'articolo 9, i criteri per tale designazione da parte degli
Stati membri.
La conformità di
un prodotto ai requisiti di cui all'allegato III accertata da uno degli
organismi di cui al primo comma è riconosciuto da tutti gli Stati membri.
5. Secondo la
procedura di cui all'articolo 9 la Commissione può determinare e pubblicare
nella Gazzetta ufficiale delle Comunità europee i numeri di riferimento delle
norme generalmente riconosciute relative a prodotti di firma elettronica. Un
prodotto di firma elettronica che risponda a tali norme viene considerato da
tutti gli Stati membri come conforme ai requisiti di cui all'allegato II,
lettera e) e all'allegato III.
6. Gli Stati
membri e la Commissione cooperano per promuovere lo sviluppo e l'uso dei dispositivo
di verifica della firma, alla luce delle raccomandazioni per la verifica della
firma sicura di cui all'allegato IV e nell'interesse dei consumatori.
7. Gli Stati
membri possono assoggettare l'uso delle firme elettroniche nel settore pubblico
ad eventuali requisiti supplementari. Tali requisiti debbono essere obiettivi,
trasparenti, proporzionati e non discriminatori e riguardare unicamente le
caratteristiche specifiche dell'uso di cui trattasi. Tali requisiti non possono
rappresentare un ostacolo ai servizi transfrontalieri per i cittadini.
Articolo 4
Principi del
mercato interno
1. Ciascuno Stato
membro applica le disposizioni nazionali da esso adottate in base alla presente
direttiva ai prestatori di servizi di certificazione stabiliti sul suo
territorio e ai servizi da essi forniti. Gli Stati membri non possono limitare
la prestazione di servizi di certificazione originati in un altro Stato membro
nei settori disciplinati dalla presente direttiva.
2. Gli Stati
membri consentono ai prodotti di firma elettronica conformi alla presente
direttiva di circolare liberamente nel mercato interno.
Articolo 5
Effetti giuridici
delle firme elettroniche
1.Gli Stati membri
provvedono a che le firme elettroniche avanzate basate su un certificato qualificato
e create mediante un dispositivo per la creazione di una firma sicura:
a) posseggano, in
relazione ai dati in forma elettronica, gli stessi i requisiti legali che una
firma autografa possiede per i dati cartacei; e
b) siano ammesse
come prova in giudizio.
2. Gli Stati
membri provvedono affinché una firma elettronica non sia considerata legalmente
inefficace e inammissibile come prova in giudizio unicamente a causa del fatto
che è:
- in forma
elettronica, o
- non basata su un
certificato qualificato, o
- non basata su un
certificato qualificato rilasciato da un prestatore di servizi di
certificazione accreditato, ovvero
- non creata da un
dispositivo per la creazione di una firma sicura.
Articolo 6
Responsabilità
l. Gli Stati
membri provvedono almeno a che il prestatore di servizi di certificazione che
rilascia al pubblico un certificato come certificato qualificato o che
garantisce al pubblico tale certificato, sia responsabile per i danni provocati
a entità o persone fisiche o giuridiche che facciano ragionevole affidamento su
detto certificato:
a) per quanto
riguarda l'esattezza di tutte le informazioni contenute nel certificato
qualificato a partire dalla data di rilascio, e il fatto che esso contenga
tutti i dati prescritti per un certificato qualificato,
b) per la garanzia
che, al momento del rilascio del certificato, il firmatario identificato nel
certificato qualificato detenesse i dati per la creazione della firma
corrispondenti ai dati per la verifica della firma riportati o identificati nel
certificato,
c) per la garanzia
che i dati per la creazione della firma e i dati per la verifica della firma
possano essere usati in modo complementare, nei casi in cui siano entrambi
generati dal prestatore di servizi di certificazione, a meno che il prestatore
di servizi di certificazione possa provare di non aver agito con negligenza.
2. Gli Stati
membri provvedono almeno a che il prestatore di servizi di certificazione che
rilascia al pubblico un certificato come certificato qualificato sia
responsabile, nei confronti di entità o di persone fisiche o giuridiche che
facciano ragionevole affidamento sul certificato, dei danni provocati, dalla
mancata registrazione della revoca del certificato, a meno che possa provare di
non aver agito con negligenza.
3. Gli Stati
membri provvedono a che un prestatore di servizi di certificazione possa
indicare, in un certificato qualificato, i limiti per l'uso di detto certificato,
purché tali limiti siano riconoscibili da parte dei terzi. Il prestatore di
servizi di certificazione deve essere esentato dalla responsabilità per i danni
derivanti dall'uso di un certificato qualificato che ecceda i limiti posti allo
stesso.
4. Gli Stati
membri provvedono affinché un prestatore di servizi di certificazione abbia la
facoltà di indicare nel certificato qualificato un valore limite per i negozi
per i quali può essere usato il certificato, purché tali limiti siano
riconoscibili da parte dei terzi. Il prestatore di servizi di certificazione
non è responsabile dei danni risultanti dal superamento di detto limite.
5. I paragrafi da
1 a 4 lasciano impregiudicata la direttiva 93/13/CEE del Consiglio, del 5
aprile 1993, concernente le clausole abusive nei contratti stipulati con i
consumatori.
Articolo 7
Aspetti
internazionali
1. Gli Stati
membri provvedono a che i certificati rilasciati al pubblico come certificati
qualificati da un prestatore di servizi di certificazione stabilito in un paese
terzo siano riconosciuti giuridicamente equivalenti ai certificati rilasciati
da un prestatore di servizi di certificazione stabilito nella Comunità, in
presenza di una delle seguenti condizioni:
a) il prestatore
di servizi di certificazione possiede i requisiti di cui alla presente
direttiva ed è stato accreditato in virtù di un sistema di accreditamento
facoltativo stabilito in uno Stato membro, oppure
b) il certificato
è garantito da un prestatore di servizi di certificazione stabilito nella
Comunità, in possesso dei requisiti, oppure
e) il certificato
o il prestatore di servizi di certificazione è riconosciuto in forza di un
accordo bilaterale o multilaterale tra la Comunità e paesi terzi o
organizzazioni internazionali.
2. Al fine di
agevolare la messa in opera servizi di certificazione transfrontalieri con
paesi terzi e il riconoscimento giuridico delle firme elettroniche avanzate che
hanno origine in paesi terzi, la Commissione presenta, se del caso, proposte
miranti all'effettiva attuazione delle norme e accordi internazionali
applicabili ai servizi di certificazione. In particolare, ove necessario, essa
presenta al Consiglio proposte di mandato per la negoziazione di accordi
bilaterali e multilaterali con paesi terzi e organizzazioni internazionali. Il
Consiglio decide a maggioranza qualificata.
3. Ogniqualvolta
la Commissione è informata di difficoltà che le imprese comunitarie incontrano
riguardo all'accesso al mercato di paesi terzi, essa può, se necessario,
presentare al Consiglio proposte di mandato di negoziato per ottenere diritti
paragonabili per le imprese comunitarie in tali paesi terzi. Il Consiglio
decide a maggioranza qualificata.
Le misure adottate
a norma di questo paragrafo lasciano impregiudicati gli obblighi della Comunità
e degli Stati membri derivanti dagli accordi internazionali in materia.
Articolo 8
Protezione dei
dati
1.Gli Stati membri
provvedono a che i prestatori di servizi di certificazione e gli organismi nazionali
responsabili dell'accreditamento o della supervisione si conformino alla
direttiva 95146/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,
relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati.
2. Gli Stati
membri consentono a un prestatore di servizi di certificazione che rilascia
certificati al pubblico di raccogliere dati personali solo direttamente dalla
persona cui questi si riferiscono o previo suo esplicito consenso, e soltanto
nella misura necessaria al rilascio e al mantenimento del certificato. I dati
non possono essere raccolti o elaborati per fini diversi senza l'espresso
consenso della persona cui si riferiscono.
3. Fatti salvi gli
effetti giuridici che la legislazione nazionale attribuisce agli pseudonimi,
gli Stati membri non vietano al prestatore di servizi di certificazione di
riportare sul certificato uno pseudonimo in luogo del nome del firmatario.
Articolo 9
Comitato
l. La Commissione
è assistita da un comitato["comitato per la firma elettronica"], in
prosieguo denominato "il comitato", composto dai rappresentanti degli
Stati membri e presieduto dal rappresentante della Commissione.
2. Nei casi in cui
si fa riferimento al presente paragrafo, si applica la procedura di gestione di
cui all'articolo 4 della decisione 1999/468/CE, nel rispetto del disposto
dell'articolo 8 della stessa.
3. Il periodo di
cui all'articolo 4, paragrafo 3 della decisione 1999/468/CE è di 3 mesi.
Articolo
10
Compiti del
comitato
Il comitato
precisa i requisiti di cui agli allegati della presente direttiva, i criteri di
cui all'articolo 3, paragrafo 4 e le norme generalmente riconosciute per i
prodotti di firma elettronica istituite e pubblicate a norma dell'articolo 3,
paragrafo 5, secondo la procedura di cui all'articolo 9.
Articolo
11
Notificazione
1. Gli Stati
membri comunicano alla Commissione e agli altri Stati membri le seguenti informazioni:
a) i sistemi di
accreditamento facoltativi nazionali ed ogni requisito supplementare a norma dell'articolo
3, paragrafo 7;
b) i nomi e
indirizzi degli organismi nazionali responsabili dell'accreditamento e della
supervisione nonché degli organismi di cui all'articolo 3, paragrafo 4;
c) i nomi e gli
indirizzi di tutti i prestatori di servizi di certificazione nazionali
accreditati.
2. Le informazioni
di cui al paragrafo 1 e le loro eventuali variazioni devono essere notificate
dagli Stati membri al più presto.
Articolo
12
Riesame
1. Entro ... (tre
anni e sei mesi dalla data di entrata in vigore della presente direttiva) la
Commissione riesamina l'applicazione della presente direttiva e presenta una
relazione in merito al Parlamento europeo e al Consiglio.
2. Nel riesame si
valuta, tra l'altro, se l'ambito di applicazione della presente direttiva debba
essere modificato per tener conto dei progressi tecnologici, dell'evoluzione
del mercato e degli sviluppi giuridici. La relazione include in particolare una
valutazione, sulla base dell'esperienza acquisita, degli aspetti relativi
all'armonizzazione. La relazione è corredata, se del caso, di proposte
legislative.
Articolo
13
Attuazione
l. Gli Stati
membri mettono in vigore le disposizioni legislative, regolamentari e
amministrative necessarie per conformarsi alla presente direttiva anteriormente
al… (un anno e sei mesi dopo la data di entrata in vigore della presente
direttiva). Essi ne informano immediatamente la Commissione.
Quando gli Stati
membri adottano tali disposizioni, queste contengono un riferimento alla presente
direttiva o sono corredate di un siffatto riferimento all'atto della
pubblicazione ufficiale. Le modalità del riferimento sono decise dagli Stati
membri.
2. Gli Stati
membri comunicano alla Commissione il testo delle principali disposizioni di diritto
interno che adottano nella materia disciplinata dalla presente direttiva.
Articolo
14
Entrata in vigore
La presente
direttiva entra in vigore il giorno della pubblicazione nella Gazzetta
ufficiale delle Comunità europee.
Articolo
15
Destinatari
Gli Stati membri
sono destinatami della presente direttiva.
ALLEGATO I
Requisiti relativi
ai certificati qualificati.
I certificati
qualificati devono includere:
a.l'indicazione
che il certificato rilasciato è un certificato qualificato;
b)
l'identificazione e lo Stato nel quale è stabilito il prestatore di servizi di
certificazione;
c) il nome del
firmatario del certificato o uno pseudonimo identificato come tale;
d) l'indicazione
di un attributo specifico del firmatario, da includere se pertinente, a seconda
dello scopo per cui il certificato è richiesto;
e) i dati per la
verifica della firma corrispondenti ai dati per la creazione della firma sotto
il controllo del firmatario;
f) un'indicazione
dell'inizio e del termine del periodo di validità del certificato;
g) il codice
d'identificazione del certificato;
h) la firma
elettronica avanzata del prestatore di servizi di certificazione che ha
rilasciato il certificato;
i) i limiti d'uso
del certificato, ove applicabili; e
j) i limiti del
valore dei negozi per i quali il certificato può essere usato, ove applicabili.
ALLEGATO
II
Requisiti relativi
ai prestatori di servizi di certificazione che rilasciano certificati
qualificati.
I prestatori di
servizi di certificazione devono:
a) dimostrare di
possedere l'affidabilità necessaria per fornire servizi di certificazione;
b) assicurare il
funzionamento di un servizio di repertorizzazione puntuale e sicuro e garantire
un servizio di revoca sicuro e immediato;
c) assicurare che
la data e l'ora di rilascio o di revoca di un certificato possano essere
determinate con precisione;
d) verificare con
mezzi appropriati, secondo la legislazione nazionale, l'identità e,
eventualmente, le specifiche caratteristiche della persona cui è rilasciato un
certificato qualificato;
e) impiegare
personale dotato delle conoscenze specifiche, dell'esperienza e delle
qualifiche necessarie per i servizi forniti, in particolare la competenza a
livello gestionale, la conoscenza specifica nel settore della tecnologia delle
firme elettroniche e la dimestichezza con procedure di sicurezza appropriata;
essi devono inoltre applicare procedure e metodi amministrativi e di gestione
adeguati e corrispondenti a norme riconosciute;
f) utilizzare
sistemi affidabili nonché prodotti protetti da alterazioni e che garantiscano
la sicurezza tecnica e crittografica dei procedimenti di cui sono oggetto;
g) adottare misure
contro la contraffazione dei certificati e, nei casi in cui generino dati per
la creazione di una firma, garantirne la riservatezza nel corso della
generazione;
h) disporre di
risorse finanziarie sufficienti per operare secondo le norme previste dalla
direttiva, in particolare per sostenere il rischio di responsabilità per danni,
ad esempio stipulando un'apposita assicurazione;
i) tenere una
registrazione di tutte le informazioni pertinenti relative ad un certificato
qualificato per un adeguato periodo di tempo, in particolare al fine di fornire
la prova della certificazione in eventuali procedimenti giudiziari. Tali
registrazioni possono essere elettroniche;
j) non conservare
né copiare i dati per la creazione della firma della persona cui abbiano
fornito i servizi di gestione della chiave;
k) prima di
avviare una relazione contrattuale con una persona che richieda un certificato
a sostegno della sua firma elettronica, informarla con un mezzo di
comunicazione durevole degli esatti termini e condizioni relative all'uso del
certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di
accreditamento facoltativo e le procedure di reclamo e di risoluzione delle
controversie. Dette informazioni, che possono essere trasmesse
elettronicamente, devono essere scritte ed esposte in un linguaggio
comprensibile. Su richiesta, elementi pertinenti delle informazioni possono
essere resi accessibili a terzi che facciano affidamento sul certificato;
1) utilizzare
sistemi affidabili per memorizzare i certificati in modo verificabile e far sì
che:
- soltanto le
persone autorizzate possano effettuare inserimenti e modifiche;
- l'autenticità
delle informazioni sia verificabile,
- i certificati
siano accessibili alla consultazione del pubblico soltanto nei casi consentiti
dal titolare del certificato,
- l'operatore
possa rendersi conto di qualsiasi modifica tecnica che comprometta i requisiti
di sicurezza.
ALLEGATO
III
Requisiti relativi
ai dispositivi per la creazione di una firma sicura.
1. I dispositivi
per la creazione di una firma sicura, mediante mezzi tecnici e procedurali appropriati,
devono garantire almeno che:
a) i dati per la
creazione della firma utilizzati nella generazione della stessa possono
comparire in pratica solo una volta e che è ragionevolmente garantita la loro
riservatezza;
b) i dati per la
creazione della firma utilizzati nella generazione della stessa non possono,
entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da
contraffazioni compiute con l'impiego della tecnologia attualmente disponibile;
c) i dati per la
creazione della firma utilizzati nella generazione della stessa possono essere
sufficientemente protetti dal firmatario legittimo contro l'uso da parte di
terzi.
2. I dispositivo
per la creazione di una firma sicura non devono alterare i dati da firmare né impedire
che tali dati siano presentati al firmatario prima dell'operazione di firma.
ALLEGATO
IV
Raccomandazioni
per la verifica di una firma.
Durante il
processo di verifica della firma occorre garantire, entro limiti ragionevoli di
certezza, che:
a) i dati
utilizzati per la verifica della firma corrispondono ai dati comunicati al
verificatore;
b) la firma è
verificata in modo affidabile e i risultati della verifica correttamente
comunicati;
c) il verificatore
è in grado, all'occorrenza, di stabilire in modo attendibile i contenuti dei
dati firmati;
d) l'autenticità e
la validità del certificato necessario al momento della verifica della firma
sono verificate in modo attendibile;
e) i risultati
della verifica e dell'identità del firmatario sono comunicati correttamente;
f) l'uso di uno
pseudonimo è chiaramente indicato;
g) qualsiasi
modifica che incida sulla sicurezza può essere individuata.