D. P.C.M. 22/02/2013

1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute nell’art. 1 del decreto legislativo 7 marzo 2005, n. 82 R, e successive modificazioni. Si intende, inoltre, per:

a) Codice: il Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni;

b) chiavi: la coppia di chiavi asimmetriche come definite all’art. 1, comma 1, lettere h) e i), del Codice;

c) Agenzia: l’Agenzia per l’Italia Digitale, di cui gli articoli da 19 a 22 del decreto-legge 22 giugno 2012, n. 83 R

1. Il presente decreto stabilisce, ai sensi degli articoli 20, 24, comma 4, 27, 28, 29, 32, 33, 35, comma 2, e 36, le regole tecniche per la generazione, apposizione e verifica della firma elettronica avanzata, qualificata e digitale, per la validazione temporale, nonché per lo svolgimento delle attività dei certificatori qualificati.

1. La firma elettronica qualificata è generata esclusivamente con i dispositivi di cui all’art. 1, comma 1, lettere n) e p).

2. La firma digitale è generata con i dispositivi di cui all’art. 1, comma 1, lettere o) e p).

1. Le regole tecniche relative ai dispositivi sicuri per la generazione delle firme di cui all’art. 35 del Codice sono conformi alle norme generalmente riconosciute a livello internazionale.

2. G

1. Una coppia di chiavi per la creazione e la verifica della firma elettronica qualificata o della firma digitale può essere attribuita ad un solo titolare.

2. Se il soggetto appone la sua firma elettronica qualificata o firma digitale per mezzo di una procedura automatica ai sensi dell’art. 35, comma 3 del Codice, deve utilizzare una coppia di chiavi destinata a tale scopo, diversa da tutte le altre in suo possesso. L’utilizzo di tale procedura deve essere indicato esplicitamente nel certificato qualificato.

1. La generazione della coppia di chiavi è effettuata mediante dispositivi e procedure che assicurano, in rapporto allo stato delle conoscenze scientifiche e tecnologic

1. Le chiavi di cui all’art. 5, comma 4, lettere b) e d) possono essere generate esclusivamente in presenza del responsabile del servizio.

2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.

1. Fatto salvo quanto disposto ai commi 2, 3 e 4, è vietata la duplicazione della chiave privata e dei dispositivi che la contengono.

2. Per fini particolari di sicurezza, è consentito che le chiavi di certificazione vengano esportate, purché ciò avvenga con modalità tali da non ridurre il livello di sicurezza e di riservatezza delle chiavi stesse.

3. Per la firma remota, è consentita l’esportazione sicura delle chiavi private di cui all’art. 5, comma 4, lettera a) presenti su HSM al di fuori del dispositivo stesso, esclusivamente per motivi di ripristino in caso di gu

1. Il certificatore, se la certificazione del dispositivo di firma lo consente, può utilizzare

1. Se la generazione delle chiavi di sottoscrizione avviene su un sistema di cui all’art. 9, il sistema di generazione assicura:

a) l’impossibilità di intercettazione o rec

1. La generazione delle firme elettroniche qualificate e delle firme digitali avviene all’interno di un dispositivo sicuro per la generazione delle firme, in maniera tale che non sia possibile l’intercettazione della chiave privata utilizzata.

2. Il dispositivo sicuro per la generazione della firma elettronica qualificata o della firma digitale deve poter essere attivato esclusivamente dal titolare mediante sistemi di autenticazione ritenuti adeguati, secondo le rispettive competenze, dall’OCSI e dall’Agenzia, prima di procede

1. La certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma elettronica qualificata, anche re

1. Salvo quanto disposto al comma 2, la certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma

1. I certificatori che rilasciano certificati qualificati forniscono ovvero indicano almeno un sistema che consenta di effettuare la verifica delle firme elettroniche qualificate e delle firme digitali, conforme a quanto stabilito con i provvedimenti di cui all’art. 4, comma 2.

2. Il sistema di verifica delle firme elettroniche qualificate e digitali deve quantomeno:

a) presentare, almeno sinteticamente, lo stat

1. I certificatori che rilasciano al pubblico certificati qualificati ai sensi del Codice forniscono all’Agenzia le seguenti informazioni e documenti a loro relativi:

a) dati anagrafici ovvero denominazione o ragione sociale;

1. I certificatori che rilasciano al pubblico certificati qualificati comunicano all’Agenzia la

1. La generazione delle chiavi di certificazione avviene in modo conforme a quanto previsto dalle presenti regole tecniche.

2. Per ciascuna chiave di certificazione il certificatore genera un certificato sottoscritto con la chiave privata della coppia cui il certi

1. Fermo restando quanto previsto dall’art. 32 del Codice, all’atto dell’emissione del certificato qualificato, il certificatore:

1. Fatto salvo quanto previsto dall’art. 28 del Codice, i certificati qualificati contengono almeno le seguenti ulteriori informazioni:

a) Codice identificativo del titolare presso il certificatore;

b) tipologia della coppia di chiavi in base all’uso cui sono destinate.

2. Le informazioni personali contenute nel certificato qualificato ai sensi di quanto previsto nell’art. 28 del Codice sono utilizzabili unicamente per identificare il titolare della firma el

1. Fatto salvo quanto previsto dall’art. 36 del Codice, il certificato qualificato è rev

1. Per ciascun certificato qualificato emesso il certificatore fornisce al titolare almeno un Codice

1. La revoca del certificato qualificato relativo a chiavi di sottoscrizione viene effettuata dal certificatore mediante l’inserimento del suo Codice identificativo in

1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato qualificato

1. La richiesta di revoca è inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua decorre

1. La richiesta di revoca da parte del terzo interessato da cui derivano i poteri di firma del titolare è ino

1. La sospensione del certificato qualificato è effettuata dal certificatore mediante l’inserimento del suo Codice identificativo in una delle liste dei certificati revocati e sospesi (CRL).

2. I

1. Salvo casi d’urgenza che il certificatore è tenuto a motivare contestualmente alla co

1. La richiesta di sospensione del certificato qualificato, con la specificazione della sua durata, &

1. La richiesta di sospensione del certificato qualificato da parte del terzo interessato, da cui der

1. La procedura di sostituzione delle chiavi, generate dal certificatore in conformità all&rsq

1. La revoca del certificato relativo ad una coppia di chiavi di certificazione è consentita solo nei seguenti casi:

1. I sistemi operativi dei sistemi di elaborazione utilizzati nelle attività di certificazione per la generazio

1. La generazione dei certificati qualificati avviene su un sistema utilizzato esclusivamente per la generazione di certificati, situato in lo

1. Le liste dei certificati revocati e sospesi sono rese pubbliche.

2. I certificati qualificati, su richiesta del titolare,

1. Il certificatore definisce un piano per la sicurezza nel quale sono contenuti almeno i seguenti elementi:

a) struttura generale, modalità operativa e struttura logistica;

b) descrizione dell’infrastruttura di sicurezza fisica rilevante ai fini dell’attività di certificatore;

c) allocazione dei servizi e degli uffici negli immobili rilevanti ai fini dell’attività di certificatore;

d) descrizione delle funzioni del personale e sua allocazione ai fini dell’attività di certificatore;

1. Il giornale di controllo è costituito dall’insieme delle registrazioni effettuate anche automaticamente dai dispositivi installati presso il certificatore, allorché si verificano le condizioni previste dal presente decreto

1. Entro un anno dall’avvio dell’attività di certificazione, il certificatore dich

1. Fatto salvo quanto previsto al comma 3, l’organizzazione del certificatore prevede almeno le seguenti figure professionali:

a) responsabile della sicurezza;

1. Il personale cui sono attribuite le funzioni previste dall’art. 38 deve aver maturato una es

1. Il manuale operativo definisce le procedure applicate dal certificatore che rilascia certificati qualificati nello svolgimento della sua attività.

2. Il manuale operativo è depositato presso l’Agenzia e pubblicato a cura del certificatore in modo da essere consultabile per via telematica.

3. Il manuale contiene almeno le seguenti informazioni:

1. I riferimenti temporali realizzati dai certificatori accreditati in conformità con quanto disposto dal titolo IV sono opponibili ai terzi ai sensi dell’art. 20, comma 3, del Codice.

2. I riferimenti temporali apposti sul giornale di controllo da un certificatore accreditato, secondo quanto indicato nel proprio manuale oper

1. Il certificatore accreditato genera un certificato per ciascuna delle chiavi di firma utilizzate dall’Agenzia per la sottoscrizione dell’elenco pubblico dei certificatori, lo pubblica nel proprio registro dei certificati e lo rende accessibile per via telematica al fine di verificare la validità delle chiavi utilizzate dall’Agenzia. Tali informazioni sono utilizzate, da chi le consulta, solo per le finalità consentite dalla legge.

2. Il certificatore accreditato garantisce l’interoperabilità del prodotto di verifica di cui all’art. 14 del presente decreto con i documenti informatici sottoscritti mediante firme elettroniche qualificate e digitali ad opera dell’Agenzia, nell’ambito delle attivit

1. L’elenco pubblico dei certificatori accreditati tenuto dall’Agenzia ai sensi dell’art. 29, comma 6, del Codice, e del decreto legislativo 1 dicembre 2009, n. 177, contiene per ogni certificatore accreditato almeno le seguenti informazioni:

a) denominazione;

b) sede legale;

c) indirizzo della sede legale;

1. Il certificatore indica nel manuale operativo i formati del documento informatico e le modalit&agr

1. Il certificatore, su richiesta del titolare, del terzo interessato o dell’Agenzia, è tenuto a ins

1. I certificatori accreditati forniscono ovvero indicano almeno un sistema, conforme al successivo c

1. Una evidenza informatica è sottoposta a validazione temporale mediante generazione e applicazione di una marca temporale alla relativa impronta.

1. Una marca temporale contiene almeno le seguenti informazioni:

a) identificativo dell’emittente;

1. Dal certificato relativo alla coppia di chiavi utilizzate per la validazione temporale deve essere possibile individuare il sistema di validazione temporale.

1. Alle chiavi di certificazione utilizzate, ai sensi dell’art. 49, comma 3, per sottoscrivere

1. Il riferimento temporale assegnato ad una marca temporale coincide con il momento della sua genera

1. Qualsiasi anomalia o tentativo di manomissione che possa modificare il funzionamento del sistema di validazione temporale in modo da renderlo incompatibile con i requisiti previsti dal presente

1. Tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archi

1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l’invio della richiesta di marca temporale.

1. La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

1. Le soluzioni di firma elettronica avanzata garantiscono:

a) l’identificazione del firmatario del documento;

b) la connessione univoca della fi

1. I soggetti di cui all’art. 55, comma 2, lettera a) devono:

a) identificare in modo certo l’utente tramite un valido documento di riconoscimento, informarlo in merito agli esatti termini e condizioni relative all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente;

b) conservare per almeno venti anni copia del documento di riconoscimento e la dichiarazione di cui alla lettera a) ed ogni altra informazione atta a dimo

1. I soggetti di cui all’art. 55, comma 2, lettera b) che offrono una soluzione di firma elettronica avanzata alle pubbliche amministrazioni, devono essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla normaISO/IEC 27001, rilasciata da un terz

1. I soggetti di cui all’art. 55, comma 2, lettera a), al fine di dare evidenza del grado di conformità alla norma ISO/I

1. La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti r

1. L’invio tramite posta elettronica certificata di cui all’art. 65, comma 1, lettera c -bis) del Codice, effettuato richiedendo la ricevuta completa di cui all’art. 1, comma 1, lettera i) del decreto 2 novembre 2005 recante «Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata» sostituisce, nei conf

1. Le firme elettroniche qualificate e digitali, ancorché sia scaduto, revocato o sospeso il r

1. Il presente decreto sostituisce il decreto del Presidente del Consiglio dei Ministri 30 marzo 2009, recante «Regole tecniche in materia di generazione, apposizione e ver