Commissione delle comunità europee
Proposta di direttiva relativa a regole comuni sulle firme elettroniche
(presentate dalla Commissione)
Bruxelles, 13.05.1998
COM(1998) 297 def.
98/0191 (COD)
(Nota: questo testo è stato modificato dal Parlamento il 14.10.98 – nei prossimi giorni pubblichermo la versione aggiornata)
I. ANTEFATTI
Le reti aperte, come Internet, sono di crescente importanza per le comunicazioni su scala mondiale. Esse consentono comunicazioni interattive tra parti che spesso, in precedenza, non avevano instaurato alcuna relazione; offrono nuove opportunità commerciali grazie alla creazione di nuovi strumenti per potenziare la produttività e ridurre i costi, come pure nuovi metodi per raggiungere i consumatori. Le reti sono utilizzate da imprese che intendono avvalersi delle nuove modalità di fare commercio e delle nuove modalità di lavoro, quali il telelavoro e gli ambienti virtuali condivisi. Anche le amministrazioni pubbliche stanno utilizzando queste reti nelle interazioni con le imprese e con i cittadini. Il commercio elettronico presenta all’Unione europea un’eccellente opportunità di potenziare la propria integrazione economica.
Per sfruttare al meglio queste opportunità, è necessario un contesto sicuro per quanto concerne l’autenticazione elettronica. Esistono svariati metodi per firmare documenti in modo elettronico: da quelli molto semplici (ad esempio l’inserimento, in un documento realizzato con un programma di trattamento testi, dell’immagine ottenuta per scansione di una firma autografa) a quelli estremamente avanzati (ad esempio, le firme digitali che utilizzano la “crittografia a chiave pubblica”). Le firme elettroniche consentono a chi riceve dati inviati in modo elettronico di verificare l’origine dei dati (autenticazione della fonte dei dati) e di controllare che i dati siano completi e inalterati, e pertanto di salvaguardarne l’integrità (integrità dei dati).
La verifica dell’autenticità e dell’integrità dei dati non dimostra necessariamente l’identità del firmatario che crea le firme elettroniche. Ad esempio, in che modo il destinatario di un messaggio è in grado di appurare che il mittente sia effettivamente colui che dichiara di essere? Il mittente può pertanto desiderare di ottenere informazioni più affidabili in merito all’identità del firmatario. Tali informazioni possono essere fornite dal firmatario medesimo, qualora egli presenti al mittente prove soddisfacenti. Un altro modo consiste nel fare confermare l’identità ad opera di una terza parte (ad esempio, una persona o un’istituzione in cui entrambi le parti facciano affidamento). Nel contesto della presente direttiva, queste terze parti sono denominate prestatori di servizi di certificazione.
Nella sua comunicazione in data 16 aprile, intitolata “Un’iniziativa europea in materia di commercio elettronico” e diretta al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni, la Commissione ha riconosciuto che le firme digitali costituiscono uno strumento essenziale ai fini di fornire sicurezza e sviluppare la fiducia nelle reti aperte. La Dichiarazione Ministeriale di Bonn ha parimenti evidenziato l’esigenza di firme digitali quale problema chiave per il commercio elettronico.
Come prima tappa, la Commissione ha presentato al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni una comunicazione intitolata “Garantire la sicurezza e l’affidabilità nelle comunicazioni elettroniche – Verso la definizione di un quadro europeo in materia di firme digitali e di cifratura” in cui ha sottolineato l’esigenza di un approccio coerente nel settore. Il 1^ dicembre 1997 il Consiglio ha accolto con favore la comunicazione ed ha invitato la Commissione a presentare quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio in materia di firme digitali.
A seguito della pubblicazione della comunicazione e come risultato delle riunioni con gli Stati membri, con rappresentanti del settore privato, in particolare dell’industria europea del settore crittografico, e della Conferenza internazionale degli esperti di Copenhagen, la Commissione ha ricevuto i pareri dalle varie parti implicate. Dalle informazioni raccolte è possibile trarre le conclusioni qui di seguito riportate.
1. La crescente attività legislativa in questo settore in numerosi Stati membri evidenzia l’urgente necessità di un quadro giuridico armonizzato a livello europeo, per evitare la comparsa di seri ostacoli al funzionamento del mercato interno.
2. Mentre si assiste ad un acceso dibattito e fervono i lavori in merito alle tecnologie per le firme digitali che impiegano la crittografia a chiave pubblica, una direttiva a livello europeo dovrebbe risultare neutrale nei confronti delle tecnologie e non concentrarsi unicamente su tale tipo di firme. Dato che si prevede lo sviluppo di svariati servizi di autenticazione, il campo d’applicazione della direttiva in questione dovrebbe essere abbastanza ampio da abbracciare una gamma di “firme elettroniche” che includerebbe, tra l’altro, le firme digitali basate sulla crittografia a chiave pubblica come pure altri metodi di autenticazione dei dati.
3. Per garantire il funzionamento del mercato interno e sostenere il rapido sviluppo del mercato in termini di domanda dell’utenza e di innovazione tecnologica, si deve evitare ogni regime di autorizzazione preventiva. Si reputa che ai prestatori di servizi di certificazione che intendano offrire livelli di sicurezza più elevati possano essere utili sistemi di accreditamento facoltativi, quale mezzo per conquistare la fiducia dei consumatori. Nella misura in cui tali dispositivi sono richiesti dal mercato, essi possono consentire un livello di sicurezza, sotto il profilo giuridico, superiore o più prevedibile tanto per il prestatore di servizi di certificazione quanto per il consumatore.
4. Le firme elettroniche utilizzate all’interno dei gruppi chiusi, ad esempio, laddove siano già stati instaurati rapporti contrattuali, non debbono necessariamente rientrare nel campo d’applicazione della presente direttiva. In tale contesto deve prevalere la libertà contrattuale.
5. Il fatto di garantire il riconoscimento giuridico – in particolare, il riconoscimento transfrontaliero – delle firme elettroniche e dei servizi di certificazione è considerata la questione più importante del settore. A tal fine, è necessario precisare i requisiti essenziali per i prestatori di servizi di certificazione, che tra l’altro definiscano la responsabilità attribuita a questi ultimi.
6. Si presume che l’industria si assuma l’iniziativa, assieme agli organismi di normalizzazione, di elaborare norme riconosciute a livello internazionale per le firme elettroniche. Tali norme debbono essere precipuamente intese alla realizzazione di un ambiente aperto per prodotti e servizi interoperabili. Il ruolo della Commissione consisterà nell’appoggiare tale processo.
7. A livello internazionale sono in corso numerose attività e dibattiti. La Commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) ha adottato una legge-tipo in materia di commercio elettronico (Model Law on Electronic Commerce) ed ha avviato ulteriori lavori intesi all’elaborazione di regole uniformi in materia di firme digitali. L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha anch’essa in corso attività in questo settore, basate sulle Linee direttrici da essa stilate nel 1997 in tema di politica della crittografia. Altri organismi internazionali, quali l’Organizzazione mondiale del commercio (OMC), sono anch’essi coinvolti in questioni correlate. Nella messa in opera di un quadro giuridico a livello europeo è opportuno tenere conto di tali sviluppi in corso.II. ESIGENZA DI ARMONIZZAZIONE
Numerosi Stati membri hanno già avviato iniziative legislative dettagliate in materia di firme elettroniche:
Stato membro |
Situazione delle iniziative legislative |
Austria | Lavori preparatori |
Belgio |
|
Danimarca |
|
Francia |
|
Finlandia |
|
Germania |
|
Italia |
|
Paesi Bassi |
|
Spagna |
|
Svezia |
|
Regno Unito |
|
Questa rassegna mostra che le differenti iniziative negli Stati membri hanno prodotto una situazione divergente a livello giuridico. Malgrado gli Stati membri sembrino concentrarsi sui medesimi problemi – in particolare, i requisiti relativi ai prestatori di servizi e ai prodotti, la condizione che le firme elettroniche debbono soddisfare per avere effetto giuridico e la struttura dei sistemi di accreditamento – è chiaro che la divergenza dei regolamenti in materia (o l’assenza degli stessi) sarà tale da ostacolare il funzionamento del mercato interno nel settore delle firme elettroniche. La divergenza delle regole relative all’effetto giuridico attribuito alle firme elettroniche risulta particolarmente dannosa per la futura evoluzione del commercio elettronico e, di conseguenza, per la crescita economica e per l’occupazione nella Comunità. Un’ulteriore fonte di insicurezza è costituita dall’eterogeneità delle regole in materia di responsabilità e dall’incertezza della giurisdizione in materia di responsabilità nel caso di fornitura di servizi tra differenti Stati membri. Sembra inoltre probabile che le condizioni tecniche in base alle quali le firme elettroniche saranno considerate sicure varieranno a seconda degli Stati membri.
Questa situazione eterogenea potrebbe creare un serio ostacolo alla comunicazione e al commercio sulle reti aperte in tutta la Comunità europea, impedendo la libertà di impiego e di fornitura di servizi connessi alle firme elettroniche, e limitando lo sviluppo di nuove attività economiche connesse al commercio elettronico. L’obiettivo perseguito dalla proposta di direttiva allegata consiste nell’eliminare gli ostacoli, in particolare le divergenze in materia di riconoscimento giuridico delle firme elettroniche e le restrizioni alla libera circolazione dei servizi e prodotti di certificazione tra gli Stati membri. Dati gli obiettivi perseguiti, la responsabilità della misura prevista ricade sotto la competenza esclusiva della Comunità. La proposta di direttiva è intesa a “rendere possibile“ l’uso delle firme elettroniche in uno spazio privo di frontiere interne, concentrandosi sui requisiti essenziali relativi ai servizi di certificazione e lasciando agli Stati membri il compito di definire disposizione di attuazione dettagliate. La proposta di direttiva è coerente con la politica legislativa della Commissione in materia di sussidiarietà, proporzionalità e semplificazione legislativa necessaria.
Pertanto, la Commissione propone che la presente proposta si basi sull’articolo 57, paragrafo 2, sull’articolo 66 e sull’articolo 100 A del trattato. Per ragioni di proporzionalità, la Commissione reputa che lo strumento giuridico più appropriato sia costituito da una direttiva.
III. OBIETTIVO E CAMPO DI APPLICAZIONE DELLA DIRETTIVA
1. La presente direttiva è intesa a garantire il corretto funzionamento del mercato interno nel settore delle firme elettroniche, tramite la creazione di un quadro giuridico armonizzato ed appropriato relativo all’uso delle firme elettroniche nella Comunità europea, e la definizione di una serie di criteri che costituiscono la base del riconoscimento giuridico delle firme elettroniche.
2. Le comunicazioni elettroniche e il commercio su scala globale dipendono dall’adeguamento progressivo delle legislazioni internazionali e nazionali alla rapida evoluzione dell’infrastruttura tecnologica. Anche se in molte situazioni è possibile reperire soluzioni soddisfacenti per analogia con le regole in vigore, per evitare effetti impropri e indesiderabili sarà forse necessario adattare in certa misura tali legislazioni alla luce delle nuove tecnologie. Malgrado le firme digitali realizzate tramite tecniche crittografiche siano attualmente considerate un importante tipo di firma elettronica, il quadro di regolamentazione europeo deve essere sufficientemente flessibile da includere altre tecniche che possano essere impiegate per garantire l’autenticazione.
3. La tecnologia delle firme elettroniche trova evidente applicazione nei contesti chiusi, quali ad esempio la rete locale di un’impresa o un sistema bancario. I certificati e le firme elettroniche sono inoltre utilizzati a fini di autorizzazione, ad esempio per accedere ad un conto privato. Nel quadro della legislazione nazionale, il principio della libertà contrattuale consente alle parti contraenti di concordare reciprocamente i termini e le condizioni entro cui svolgere le attività commerciali, ad esempio accettando le firme elettroniche. In questi settori non è evidentemente necessaria una regolamentazione.
4. Data la gamma di servizi e la loro possibile applicazione, i prestatori di servizi di certificazione debbono poter offrire i rispettivi servizi senza essere obbligati ad ottenere un’autorizzazione preventiva. I prestatori di servizi, tuttavia, vorranno forse avvantaggiarsi della validità giuridica conferita alle firme elettroniche da sistemi di accreditamento facoltativo connessi a requisiti comuni. L’accreditamento deve essere considerato come un servizio pubblico offerto a quei prestatori di servizi di certificazione che desiderino fornire servizi di livello elevato. Ciò non deve in alcun modo implicare che un servizio non accreditato debba risultare automaticamente meno sicuro.
5. Un prestatore di servizi di certificazione può offrire un’ampia gamma di servizi. La presente direttiva si concentra in particolare modo sui servizi di certificazione connessi alle firme elettroniche. I certificati possono essere impiegati per svariate funzioni e possono contenere differenti elementi informativi. Può trattarsi, tra l’altro, di elementi di identificazione di tipo convenzionale – come, ad esempio, nome, indirizzo, numero di registrazione o numero della sicurezza sociale, numero di partita IVA o codice fiscale – o di attributi specifici del firmatario – ad esempio, l’autorizzazione ad agire per conto di un’impresa, la solvibilità, l’esistenza di garanzie di pagamento, la titolarità di specifici permessi o licenze. Tuttavia, un quadro giuridico è necessario soprattutto per rendere possibile, tramite i certificati, l’autenticazione della firma elettronica del singolo firmatario. La presente direttiva si concentra pertanto sulla funzione del certificato (denominato “certificato qualificato“) in connessione all’identità civile o al ruolo di una determinata persona.
6. Gli effetti giuridici derivanti dalle firme elettroniche sono un elemento chiave di un sistema aperto, ma affidabile, di firme elettroniche. L’applicazione della presente direttiva contribuirà anche alla definizione di un quadro giuridico armonizzato nella Comunità, garantendo che non si possa negare validità giuridica, effetto giuridico o forza esecutiva alla firma elettronica unicamente per il fatto che tale firma si presenta sotto forma di dati elettronici, che essa non è basata su un certificato qualificato o su un certificato rilasciato da un prestatore di servizi di certificazione accreditato, e garantendo che le firme elettroniche siano riconosciute sul piano giuridico allo stesso modo delle firme (sottoscrizioni) autografe. Inoltre, i sistemi nazionali relativi all’ammissibilità delle prove devono essere ampliati ai fini del riconoscimento dell’uso delle firme elettroniche.
7. Il riconoscimento giuridico delle firme elettroniche deve essere basato su criteri oggettivi, trasparenti, non discriminatori e proporzionali e non essere connesso ad alcuna autorizzazione o accreditamento del prestatore di servizi interessato. I requisiti comuni elaborati per i prestatori di servizi di certificazione debbono promuovere il riconoscimento transfrontaliero di firme e certificati nella Comunità europea. L’elenco dei requisiti deve essere applicabile a tutti i prestatori di servizi di certificazione, indipendentemente dal modello di accreditamento dei singoli Stati membri. E’ possibile che i requisiti debbano essere periodicamente rivisti, in quanto la futura evoluzione delle tecnologie o del mercato potranno rendere necessari adeguamenti. In base ai pareri che riceverà in futuro, la Commissione potrà proporre una revisione dei requisiti.
8. Le regole comuni in materia di responsabilità contribuiranno a suscitare la fiducia dei consumatori, e delle imprese che faranno affidamento sui certificati, come pure dei prestatori di servizi, e a promuovere pertanto la diffusa accettazione delle firme elettroniche.
9. Per lo sviluppo del commercio elettronico internazionale sono importanti meccanismi di cooperazione che consentano il riconoscimento transfrontaliero delle firme e dei certificati con i paesi terzi. In particolare, consentendo ai prestatori di servizi di certificazione all’interno della Comunità europea di avvallare certificati di paesi terzi allo stesso modo in cui essi garantiscono i propri certificati, si agevoleranno in modo semplice ma efficace i servizi transfrontalieri.
Proposta di
DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativa a regole comuni sulle firme elettroniche
(Testo rilevante ai fini del SEE)
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato che istituisce la Comunità europea, in particolare l’articolo 57, paragrafo 2, l’articolo 66 e l’articolo 100 A,
vista la proposta della Commissione,
visto il parere del Comitato economico e sociale,
visto il parere del Comitato delle regioni,
deliberando in conformità della procedura di cui all’articolo 189 B del trattato,
(1) considerando che il 16 aprile 1997 la Commissione ha presentato al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni una comunicazione intitolata “Un’iniziativa europea in materia di commercio elettronico”;
(2) considerando che l’8 ottobre 1997 la Commissione ha presentato al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni la comunicazione intitolata “Garantire la sicurezza e l’affidabilità nelle comunicazioni elettroniche – Verso la definizione di un quadro europeo in materia di firme digitali e di cifratura”;
(3) considerando che il 1. dicembre 1997 il Consiglio ha invitato la Commissione a presentare quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio relativa alle firme digitali;
(4) considerando che le comunicazioni elettroniche e il commercio elettronico necessitano di firme elettroniche e dei servizi ad esse relativi, atti a consentire l’autenticazione dei dati; che la divergenza delle regole in materia di riconoscimento giuridico delle firme elettroniche e di accreditamento dei prestatori di servizi di certificazione negli Stati membri può costituire un grave ostacolo all’uso delle comunicazioni elettroniche e del commercio elettronico e, di conseguenza, impedire lo sviluppo del mercato interno; che la divergenza degli interventi negli Stati membri sottolinea l’esigenza di un’armonizzazione a livello comunitario;
(5) considerando che occorre promuovere l’interoperabilità dei prodotti di firma elettronica; che ai sensi dell’articolo 7a del trattato, il mercato interno comporta uno spazio senza frontiere interne, nel quale deve essere assicurata la libera circolazione delle merci; che per garantire la libera circolazione nell’ambito del mercato interno e per infondere fiducia nelle firme elettroniche è necessaria la conformità ai requisiti essenziali specifici relativi ai prodotti di firma elettronica utilizzati dai fornitori di servizi di certificazione;
(6) considerando che la rapida evoluzione tecnologica e il carattere globale di Internet rendono necessario un approccio aperto alle varie tecnologie e servizi che consentono di autenticare i dati in modo elettronico; che tuttavia le firme digitali basate sulla crittografia a chiave pubblica costituiscono attualmente la forma più riconosciuta di firma elettronica;
(7) considerando che il mercato interno consente ai prestatori di servizi di certificazione di sviluppare le proprie attività transfrontaliere ai fini di accrescere la competitività, e pertanto di offrire ai consumatori e alle imprese nuove opportunità di scambiare informazioni e di effettuare negozi per via elettronica in modo sicuro, indipendentemente dalle frontiere; che al fine di stimolare la prestazione su scala comunitaria di servizi di certificazione sulle reti aperte, i prestatori di servizi di certificazione debbono essere generalmente liberi di offrire i rispettivi servizi senza preventiva autorizzazione; che non vi è immediata necessità di garantire la libera circolazione dei servizi di certificazione armonizzando le disposizioni nazionali che impongono restrizioni giustificate e proporzionate alla prestazione di tali servizi;
(8) considerando che i sistemi di accreditamento facoltativo intesi a migliorare il livello di servizio fornito possono offrire ai prestatori di servizi di certificazione il contesto appropriato per l’ulteriore sviluppo dei loro servizi verso i livelli di fiducia, sicurezza e qualità richiesti dall’evoluzione del mercato; che tali sistemi debbono incoraggiare lo sviluppo di prassi ottimali tra i prestatori di servizi di certificazione; che questi ultimi debbono essere liberi di aderire a tali sistemi di accreditamento e di trarne vantaggio; che gli Stati membri non debbono vietare ai prestatori di servizi di certificazione di operare al di fuori di tali sistemi di accreditamento; che si deve garantire che i sistemi di accreditamento non riducano la concorrenza nel settore dei servizi di certificazione; che è importante raggiungere l’equilibrio tra esigenze dei consumatori ed esigenze delle imprese;
(9) considerando che la presente direttiva deve pertanto contribuire all’uso e al riconoscimento giuridico delle firme elettroniche nell’ambito della Comunità; che le firme elettroniche usate esclusivamente all’interno di sistemi chiusi non esigono una disciplina comune; che, nella misura consentita dal diritto nazionale, va rispettata la libertà delle parti di accordarsi sulle condizioni di accettazione dei dati firmati in modo elettronico; che la presente direttiva non è intesa ad armonizzare le normative nazionali sui contratti, in particolare in materia di formazione ed esecuzione dei contratti, od altre formalità non contrattuali che richiedano l’apposizione di firme; che per tale motivo, le disposizioni sugli effetti giuridici delle firme elettroniche non devono riguardare i requisiti legali di forma previsti dal diritto nazionale sulla conclusione dei contratti o le regole di determinazione del luogo della conclusione del contratto;
(10) considerando che, al fine di contribuire all’accettazione generale delle firme elettroniche, la validità giuridica di una firma elettronica non deve essere disconosciuta unicamente per il fatto che si presenta sotto forma di dati elettronici, oppure che essa non è basata su un certificato qualificato o su un certificato rilasciato da un prestatore di servizi di certificazione accreditato, oppure per il fatto che il prestatore di servizi che ha rilasciato il relativo certificato appartiene ad un altro Stato membro; che le firme elettroniche connesse ad un prestatore di servizi di certificazione affidabile che si conformi ai requisiti essenziali debbono avere la stessa efficacia giuridica delle firme autografe; che è necessario garantire che le firme elettroniche possano essere utilizzate come prove nei procedimenti giudiziari in tutti gli Stati membri; che il riconoscimento giuridico delle firme elettroniche deve basarsi su criteri oggettivi e non essere connesso ad un’autorizzazione rilasciata al prestatore di servizi interessato; che regole armonizzate relative all’efficacia giuridica delle firme elettroniche devono garantire una disciplina giuridica coerente in tutta la Comunità;
(11) considerando che la responsabilità dei prestatori di servizi di certificazione che offrono tali servizi al pubblico è disciplinata dal diritto nazionale; che l’eterogeneità della portata e del contenuto di tali regole può dare origine ad incertezza del diritto, soprattutto per quanto riguarda i terzi che si affidano ai servizi dei citati prestatori; che tale incertezza può danneggiare lo sviluppo del commercio transfrontaliero e ostacolare il corretto funzionamento del mercato interno; che l’armonizzazione delle regole in materia di responsabilità garantisce la sicurezza e la prevedibilità sul piano giuridico sia per i prestatori di servizi di certificazione, sia per i consumatori; che tali regole contribuiranno all’accettazione generale e al riconoscimento giuridico delle firme elettroniche nell’ambito della Comunità, e di conseguenza influiranno positivamente sul funzionamento del mercato interno;
(12) considerando che lo sviluppo del commercio elettronico internazionale rende necessari dispositivi transfrontalieri che coinvolgono i paesi terzi; che tali dispositivi dovrebbero essere elaborati a livello commerciale; che, al fine di garantire l’interoperabilità a livello globale, potrebbe essere utile stipulare accordi con i paesi terzi relativi a regole multilaterali per il reciproco riconoscimento dei servizi di certificazione;
(13) considerando che, al fine di stimolare le comunicazioni elettroniche e il commercio elettronico garantendo la fiducia da parte degli utenti, gli Stati membri debbono obbligare i prestatori di servizi di certificazione a rispettare la legislazione in materia di protezione dei dati e la vita privata degli individui, e debbono richiedere a questi ultimi di fornire, qualora il firmatario lo richieda, anche servizi di certificazione relativi a pseudonimi; che il diritto nazionale deve stabilire in quali casi e a quali condizioni i dati che rivelano l’identità della persona cui i dati medesimi si riferiscono debbano essere trasferiti ai fini di inchieste penali; che i prestatori di servizi di certificazione debbono informare preventivamente gli utenti, per iscritto e in termini facilmente comprensibili e utilizzando mezzi di comunicazione durevoli, in merito alle condizioni praticate, in particolare alle precise modalità d’uso dei certificati rilasciati ed ai limiti della loro responsabilità;
(14) considerando che ai fini dell’applicazione della presente direttiva la Commissione deve essere assistita da un comitato a carattere consultivo;
(15) considerando che, conformemente ai principi di sussidiarietà e proporzionalità di cui all’articolo 3 B del trattato, l’obiettivo di una disciplina giuridica armonizzata per la prestazione di firme elettroniche e dei servizi ad esse relativi non può essere sufficientemente realizzato dagli Stati membri e può pertanto essere meglio realizzato a livello comunitario; che la presente direttiva si limita ai requisiti minimi essenziali per la realizzazione di tale obiettivo;
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Art. 1 – Campo di applicazione
La presente direttiva disciplina il riconoscimento giuridico delle firme elettroniche.
Essa non disciplina altri aspetti relativi alla conclusione e alla validità dei contratti o altre formalità non contrattuali che richiedono l’apposizione di una firma.
La presente direttiva istituisce regole comuni per taluni servizi di certificazione disponibili al pubblico.
Art. 2 – Definizioni
Ai fini della presente direttiva valgono le seguenti definizioni :
1) “firma elettronica”, una firma in forma digitale compresa all’interno di dati, oppure ad essi allegata, oppure ancora ad essi connessa tramite associazione logica, apposta da un firmatario al fine di approvare il contenuto di tali dati, e che sia conforme ai seguenti requisiti cumulativi:
a) essere connessa esclusivamente al firmatario;
b) essere idonea ad identificare il firmatario;
c) essere creata con mezzi sui quali il firmatario può conservare il proprio esclusivo controllo;
d) essere collegata ai dati cui si riferisce in modo da rivelare una successiva alterazione di detti dati;
2) “firmatario”, colui che crea una firma elettronica;
3) “dispositivo per la creazione di una firma”, dati peculiari, come codici o chiavi crittografiche private, oppure un dispositivo materiale di configurazione esclusiva utilizzato dal firmatario per creare una firma elettronica;
4) “dispositivo di verifica della firma”, dati peculiari, come codici o chiavi crittografiche pubbliche, oppure un dispositivo materiale di configurazione esclusiva utilizzato per verificare la firma elettronica;
5) “certificato qualificato”, un attestato digitale che collega un dispositivo di verifica della firma ad una data persona ne conferma l’identità e possiede i requisiti di cui all’allegato I;
6) “prestatore di servizi di certificazione”, una persona o un’entità che rilascia certificati o fornisce al pubblico altri servizi connessi alle firme elettroniche;
7) “prodotto di firma elettronica”, macchinari o programmi per elaboratori elettronici, oppure i componenti pertinenti dei medesimi destinati ad essere utilizzati da un prestatore di servizi di certificazione per la prestazione di servizi di firma elettronica.
Art. 3 – Accesso al mercato
1. Gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione.
2. Salvo il disposto del paragrafo 1, gli Stati membri possono introdurre o conservare sistemi di accreditamento facoltativi intesi a fornire servizi di certificazione di livello più elevato. Tutte le condizioni relative a tali sistemi devono essere obiettive, trasparenti, proporzionate e non discriminatorie. Gli Stati membri non possono limitare il numero di prestatori di servizi di certificazione per motivi che rientrano nel campo d’applicazione della presente direttiva.
3. Secondo la procedura di cui all’articolo 9, la Commissione può determinare e pubblicare sulla Gazzetta ufficiale delle Comunità europee i numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica. Un prodotto di firma elettronica conforme a tali norme viene considerato dagli Stati membri conforme ai requisiti di cui all’allegato II, punto e).
4. Gli Stati membri possono assoggettare a requisiti supplementari l’uso delle firme elettroniche nel settore pubblico. Tali requisiti debbono essere obiettivi, trasparenti, proporzionati e non discriminatori, e riguardare unicamente le caratteristiche specifiche dell’uso di cui trattasi.
Art. 4 – Principi del mercato interno
1. Ciascuno Stato membro applica le norme di attuazione della presente direttiva ai prestatori di servizi di certificazione stabiliti sul suo territorio e ai servizi da essi forniti. Gli Stati membri non possono limitare la prestazione di servizi di certificazione originati in un altro Stato membro nella materia disciplinata dalla presente direttiva.
2. Gli Stati membri provvedono a che i prodotti di firma elettronica conformi alla presente direttiva circolino liberamente nel mercato interno.
Art. 5 – Effetti giuridici
1. Gli Stati membri provvedono affinchè una firma elettronica non sia considerata inefficace, invalida e priva di forza esecutiva unicamente a causa della sua forma elettronica, o per il fatto che non è basata su un certificato qualificato o su un certificato rilasciato da un prestatore di servizi di certificazione accreditato.
2. Gli Stati membri provvedono affinchè le firme elettroniche basate su un certificato qualificato rilasciato da un prestatore di servizi di certificazione conforme al disposto dell’allegato II siano riconosciute conformi ai requisiti legali di una firma autografa, da un lato e, dall’altro, siano ammesse come prova nei procedimenti giudiziari alla stregua della firma autografa.
Art. 6 – Responsabilità
1. Gli Stati membri provvedono a che il prestatore di servizi di certificazione che rilascia un certificato qualificato sia responsabile, nei confronti di chiunque faccia ragionevole affidamento su detto certificato, di quanto segue:
a) esattezza di tutte le informazioni contenute nel certificato qualificato a partire dalla data di rilascio, salvo diversa indicazione apposta sul certificato medesimo dallo stesso prestatore;
b) piena osservanza dei requisiti previsti dalla presente direttiva riguardo al rilascio del certificato qualificato;
c) garanzia che la persona identificata nel certificato qualificato detenesse, al momento del rilascio del certificato, il dispositivo di creazione della firma corrispondente al dispositivo di verifica della firma riportato o identificato nel certificato;
d) nei casi in cui il prestatore di servizi di certificazione generi il dispositivo di creazione della firma e il dispositivo di verifica della firma, garanzia che i due dispositivi funzionino insieme in modo complementare.
2. Gli Stati membri provvedono a che un prestatore di servizi di certificazione sia esentato dalla responsabilità derivante da eventuali errori contenuti nelle informazioni riportate nel certificato qualificato e a suo tempo fornite dalla persona cui è stato rilasciato il certificato, qualora detto prestatore possa dimostrare di aver usato tutta la necessaria diligenza per verificare tali informazioni.
3. Gli Stati membri provvedono a che un prestatore di servizi di certificazione possa indicare, nel certificato qualificato, i limiti d’uso di un determinato certificato. Il prestatore di servizi di certificazione deve essere esentato dalla responsabilità per i danni derivanti dall’uso indebito di un certificato qualificato ove siano precisati i limiti d’uso dello stesso.
4. Gli Stati membri provvedono affinchè un prestatore di servizi di certificazione abbia la facoltà di indicare nel certificato qualificato un valore limite per i negozi per i quali è valido il certificato. Il prestatore di servizi di certificazione non è responsabile per i danni superiori a tale valore limite.
5. I paragrafi da 1 a 4 si applicano salvo il disposto della direttiva 93/13/CEE del Consiglio.
Art. 7 – Aspetti internazionali
1. Gli Stati membri provvedono a che i certificati rilasciati da un prestatore di servizi di certificazione stabilito in un paese terzo siano riconosciuti come equivalenti, sul piano giuridico, ai certificati rilasciati da un prestatore di servizi di certificazione stabilito nella Comunità, in presenza di una delle seguenti condizioni:
a) qualora il prestatore di servizi di certificazione soddisfi i requisiti di cui alla presente direttiva e sia stato accreditato nel contesto di un sistema di accreditamento facoltativo istituito da uno Stato membro;
b) qualora il prestatore di servizi di certificazione stabilito nella Comunità, che soddisfa i requisiti di cui all’allegato II, garantisca per il certificato allo stesso modo in cui garantisce per i propri certificati;
c) qualora il certificato o il prestatore di servizi di certificazione sia riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunità e paesi terzi o organizzazioni internazionali.
2. Al fine di agevolare servizi di certificazione transfrontalieri con paesi terzi e il riconoscimento giuridico delle firme elettroniche che hanno origine in paesi terzi, la Commissione presenterà, se del caso, proposte miranti all’effettiva attuazione di norme ed accordi internazionali sui servizi di certificazione. In particolare, ove necessario, presenterà al Consiglio proposte relative a mandati per la negoziazione di accordi bilaterali e multilaterali con paesi terzi e organizzazioni internazionali. Il Consiglio decide a maggioranza qualificata.
Art. 8 – Protezione dei dati
1. Gli Stati membri provvedono a che i prestatori di servizi di certificazione e gli organismi nazionali responsabili dell’accreditamento o della supervisione si conformino alle direttive 95/46/CE e 97/66/CE del Parlamento europeo e del Consiglio.
2. Gli Stati membri provvedono a che un prestatore di servizi di certificazione possa raccogliere dati personali unicamente in via diretta dalla persona cui i dati si riferiscono, e unicamente nella misura in cui ciò sia necessario ai fini del rilascio di un certificato. I dati non possono essere raccolti o elaborati per fini diversi senza il consenso della persona cui essi si riferiscono.
3. Gli Stati membri provvedono a che, su richiesta del firmatario, il prestatore di servizi di certificazione riporti sul certificato uno pseudonimo in luogo del nome del firmatario.
4. Gli Stati membri provvedono a che, nel caso di persone che utilizzano pseudonimi, il prestatore di servizi di certificazione trasmetta i dati relativi all’identità di tali persone alle pubbliche autorità che ne facciano richiesta, previo consenso della persona cui i dati si riferiscono. Qualora il trasferimento dei dati che rivelano l’identità della persona cui questi si riferiscono sia necessario in forza del diritto interno ai fini di un’inchiesta penale sull’uso di firme elettroniche sotto uno pseudonimo, il trasferimento viene registrato e la persona cui i dati si riferiscono viene informata quanto prima, dopo la conclusione dell’inchiesta, in merito al trasferimento dei dati che la riguardano.
Art. 9 – Comitato
La Commissione è assistita da un comitato a carattere consultivo, denominato “Comitato per la firma elettronica” (in prosieguo: “il comitato”), composto dai rappresentanti degli Stati membri e presieduto dal rappresentante della Commissione.
Il rappresentante della Commissione sottopone al comitato un progetto delle misure da adottare. Il comitato, entro un termine che il presidente può fissare in funzione dell’urgenza della questione in esame, formula il suo parere sul progetto, eventualmente procedendo a votazione.
Il parere è iscritto a verbale; inoltre, ciascuno Stato membro ha il diritto di chiedere che la sua posizione figuri a verbale.
La Commissione tiene in massima considerazione il parere formulato dal comitato. Essa lo informa del modo in cui ha tenuto conto del suo parere.
Art. 10 – Consultazione del comitato
Il comitato è consultato, se necessario, in merito ai requisiti relativi ai prestatori di servizi di certificazione di cui all’allegato II e in merito alle norme generalmente riconosciute per i prodotti di firma elettronica, secondo l’articolo 3, paragrafo 3.
Art. 11 – Notificazione
1. Gli Stati membri comunicano alla Commissione le informazioni relative a quanto segue:
a) sistemi di accreditamento facoltativi nazionali ed ogni eventuale requisito supplementare secondo l’articolo 3, paragrafo 4;
b) nomi e indirizzi degli enti nazionali responsabili dell’accreditamento e della supervisione;
c) i nomi e gli indirizzi dei prestatori di servizi di certificazione nazionali accreditati.
2. Gli Stati membri notificano al più presto le informazioni di cui al paragrafo 1 nonchè le eventuali variazioni.
Art. 12 – Riesame
1. Entro il 31 dicembre 2002, la Commissione, previo esame dell’applicazione della presente direttiva, presenta una relazione in merito al Parlamento europeo e al Consiglio.
2. Nel riesame si valuta, tra l’altro, se il campo d’applicazione della direttiva debba essere modificato per tener conto dei progressi tecnologici e degli sviluppi sul piano giuridico. La relazione include segnatamente una valutazione, sulla base dell’esperienza acquisita, degli aspetti relativi all’armonizzazione. La relazione è accompagnata, se del caso, da proposte legislative complementari.
Art. 13 – Attuazione
1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva entro il 31 dicembre 2000. Essi ne informano immediatamente la Commissione.
Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate da un siffatto riferimento all’atto della pubblicazione ufficiale. Le modalità di tale riferimento sono decise dagli Stati membri.
2. Gli Stati membri comunicano alla Commissione le disposizioni di diritto nazionale che adottano nella materia disciplinata dalla presente direttiva e nelle materie ad essa collegate, nonchè una tavola di concordanza fra la presente direttiva e le disposizioni per la sua attuazione.
Art. 14 – Entrata in vigore
La presente direttiva entra in vigore il ventesimo giorno successivo alla data della sua pubblicazione nella Gazzetta ufficiale delle Comunità europee.
Art. 15 – Destinatari
Gli Stati membri sono destinatari della presente direttiva.
Fatto a Bruxelles, il
Per il Parlamento europeo: Il Presidente
Per il Consiglio: Il Presidente
Requisiti relativi ai certificati qualificati
I certificati qualificati devono includere:
(a) l’identificazione del prestatore di servizio di certificazione che ha rilasciato il certificato in questione;
(b) il nome inequivocabile del titolare del certificato o uno pseudonimo inequivocabile, identificato come tale;
(c) un attributo specifico del titolare, quale l’indirizzo, il potere di rappresentanza di un’impresa, la solvibilità, il numero di partita I.V.A. o altri codici fiscali, l’esistenza di garanzie di pagamento o di permessi o licenze specifiche;
(d) un dispositivo di verifica della firma che corrisponda ad un dispositivo di creazione della firma sotto il controllo del titolare;
(e) l’inizio e il termine del periodo di validità del certificato;
(f) il codice d’identificazione esclusivo del certificato;
(g) la firma elettronica del prestatore di servizi di certificazione che ha rilasciato il certificato;
(h) i limiti d’uso del certificato, ove applicabili;
(i) i limiti della responsabilità del prestatore di servizi di certificazione e l’importo limite delle transazioni per cui il certificato è valido, ove applicabili.
Requisiti relativi ai prestatori di servizi di certificazione
I prestatori di servizi di certificazione devono:
(a) dimostrare l’affidabilità necessaria ai fini di fornire servizi di certificazione;
(b) mettere in atto un servizio di revoca puntuale e sicuro;
(c) verificare con mezzi appropriati l’identità e la capacità di agire della persona cui è rilasciato un certificato qualificato;
(d) impiegare personale dotato delle conoscenze specifiche, dell’esperienza e delle qualifiche necessarie per i servizi offerti, in particolare la competenza a livello gestionale, la conoscenza specifica nel settore della tecnologia delle firme elettroniche e la familiarità con procedure di sicurezza appropriate; essi devono inoltre applicare procedure e metodi amministrativi e di gestione adeguati e corrispondenti a norme riconosciute;
(e) utilizzare sistemi affidabili e usare prodotti di firma elettronica che garantiscano la protezione contro alterazioni dei prodotti, di modo che non sia possibile utilizzarli per funzioni diverse da quelle per cui sono stati progettati; essi debbono inoltre utilizzare prodotti di firma elettronica che garantiscano la sicurezza tecnica e crittografica dei procedimenti di certificazione di cui sono oggetto i prodotti in questione;
(f) adottare misure contro la contraffazione dei certificati e, nei casi in cui il prestatore di servizi di certificazione generi chiavi private di firma crittografica, garantire la riservatezza nel corso della generazione di tali chiavi;
(g) disporre di risorse finanziarie sufficienti ad operare in conformità dei requisiti previsti dalla presente direttiva, in particolare per sostenere il rischio di responsabilità per danni, ad esempio stipulando un’apposita assicurazione;
(h) tenere una registrazione di tutte le informazioni pertinenti relative ad un certificato qualificato per un adeguato periodo di tempo, in particolare ai fini di prova della certificazione in eventuali procedimenti giudiziari. Tali registrazioni possono essere effettuate per via elettronica;
(i) astenersi dal memorizzare o dal copiare le chiavi private di firma crittografica della persona cui il prestatore di servizi di certificazione ha offerto i servizi di gestione della chiave, salvo che la persona in questione lo richieda espressamente;
(j) informare i consumatori prima di instaurare rapporti contrattuali, per iscritto, utilizzando un linguaggio comprensibile e un mezzo di comunicazione durevole, in merito agli esatti termini e condizioni d’uso del certificato, inclusa ogni limitazione di responsabilità, l’esistenza di un accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie.
Possibly Related Posts:
- Prum Convention (aka Schengen III Agreement) on the stepping up of cross-border cooperation, particularly in combating terrorism, cross-border crime and illegal migration
- Dec. CE C(2004) 5271
- EC Dec. C (2004) 5271
- Dec. CE C(2004) 5271
- EC Reg. 2252/2004