DIRETTIVA 1999/ /CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del
relativa ad un quadro comunitario per le firme elettroniche
 
IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,
visto il trattato che istituisce la Comunita' europea, in particolare gli 
articoli 47, paragrafo 2, 55 e 95,
vista la proposta della Commissione ,
visto il parere del Comitato economico e sociale ,
visto il parere del Comitato delle regioni ,
deliberando secondo la procedura di cui all'articolo 251 del trattato ,
considerando quanto segue:
(1) il 16 aprile 1997 la Commissione ha presentato al Parlamento europeo, al 
Consiglio, al Comitato economico e sociale e al Comitato delle Regioni una 
comunicazione relativa ad un'iniziativa europea in materia di commercio 
elettronico;
(2) l'8 ottobre 1997 la Commissione ha presentato al Parlamento europeo, al 
Consiglio, al Comitato economico e sociale e al Comitato delle Regioni una 
comunicazione intitolata "Garantire la sicurezza e l'affidabilita' nelle 
comunicazioni elettroniche - Verso la definizione di un quadro europeo in 
materia di firme digitali e di cifratura";
(3) il 1° dicembre 1997 il Consiglio ha invitato la Commissione a presentare 
quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio 
relativa alle firme digitali;
(4) le comunicazioni elettroniche e il commercio elettronico necessitano di 
firme elettroniche e dei servizi ad esse relativi, atti a consentire 
l'autenticazione dei dati; la divergenza delle norme in materia di 
riconoscimento giuridico delle firme elettroniche e di accreditamento dei 
prestatori di servizi di certificazione negli Stati membri puo' costituire un 
grave ostacolo all'uso delle comunicazioni elettroniche e del commercio 
elettronico; invece, un quadro comunitario chiaro relativo alle condizioni che 
si applicano alle firme elettroniche rafforzera' la fiducia nelle nuove 
tecnologie e la loro accettazione generale; la normativa negli Stati membri non 
dovrebbe essere di ostacolo alla libera circolazione di beni e di servizi nel 
mercato interno;
 
(5) occorrerebbe promuovere l'interoperabilita' dei prodotti di firma 
elettronica; a norma dell'articolo 14 del trattato, il mercato interno comporta 
uno spazio senza frontiere interne, nel quale e' assicurata la libera 
circolazione delle merci; per garantire la libera circolazione nell'ambito del 
mercato interno e infondere fiducia nelle firme elettroniche, e' necessaria la 
conformita' ai requisiti essenziali specifici relativi ai prodotti di firma 
elettronica, fatti salvi il regolamento (CE) del Consiglio n. 3381/94, del 19 
dicembre 1994, che istituisce un regime comunitario di controllo delle 
esportazioni di beni a duplice uso , e la decisione 94/942/PESC del Consiglio 
del 19 dicembre 1994, relativa all'azione comune adottata dal Consiglio 
riguardante il controllo delle esportazioni di beni a duplice uso ;
(6) la presente direttiva non armonizza la fornitura di servizi rispetto al 
carattere riservato dell'informazione quando sono oggetto di disposizioni 
nazionali inerenti all'ordine pubblico o alla pubblica sicurezza;
(7) il mercato interno consente anche la libera circolazione delle persone la 
quale si traduce in una maggiore necessita', per i cittadini dell'Unione europea 
e per le persone che vi risiedono, di trattare con le autorita' di Stati membri 
diversi da quello in cui risiedono; la disponibilita' di comunicazioni 
elettroniche potrebbe essere di grande aiuto a questo riguardo;
(8) la rapida evoluzione tecnologica e il carattere globale di Internet rendono 
necessario un approccio aperto alle varie tecnologie e servizi che consentono di 
autenticare i dati in modo elettronico;
 
(9) le firme elettroniche verranno usate in svariate circostanze ed 
applicazioni, che comporteranno un'ampia gamma di nuovi servizi e prodotti 
facenti uso di firme elettroniche o ad esse collegati; la definizione di tali 
prodotti e servizi non dovrebbe essere limitata al rilascio e alla gestione di 
certificati, ma comprenderebbe anche ogni altro servizio e prodotto facente uso 
di firme elettroniche, o ad esse ausiliario, quali servizi di immatricolazione, 
servizi di apposizione del giorno e dell'ora, servizi di repertorizzazione, 
servizi informatici o di consulenza relativi alle firme elettroniche; 
(10) il mercato interno consente ai prestatori di servizi di certificazione di 
sviluppare le proprie attivita' transfrontaliere ai fini di accrescere la 
competitivita' e, pertanto, di offrire ai consumatori e alle imprese nuove 
opportunita' di scambiare informazioni e di effettuare negozi per via elettronica 
in modo sicuro, indipendentemente dalle frontiere; al fine di stimolare la 
prestazione su scala comunitaria di servizi di certificazione sulle reti aperte, 
i prestatori di servizi di certificazione dovrebbero essere liberi di fornire i 
rispettivi servizi senza preventiva autorizzazione; per autorizzazione 
preventiva non si intende soltanto qualsiasi permesso che il prestatore di 
servizi interessato deve ottenere dalle autorita' nazionali prima di poter 
fornire i propri servizi di certificazione, ma anche ogni altra misura avente 
effetto equivalente;
(11) i sistemi di accreditamento facoltativo intesi a migliorare il livello di 
servizio fornito possono offrire ai prestatori di servizi di certificazione il 
quadro appropriato per l'ulteriore sviluppo dei loro servizi verso i livelli di 
fiducia, sicurezza e qualita' richiesti dall'evoluzione del mercato; tali sistemi 
dovrebbero incoraggiare lo sviluppo di prassi ottimali tra i prestatori di 
servizi di certificazione; questi ultimi dovrebbero essere liberi di aderire a 
tali sistemi di accreditamento e di trarne vantaggio;
 
(12) i servizi di certificazione possono essere forniti o da un'entita' pubblica 
ovvero da una persona giuridica o fisica quando e' costituita secondo il diritto 
nazionale; gli Stati membri non dovrebbero vietare ai prestatori di servizi di 
certificazione di operare al di fuori dei sistemi di accreditamento facoltativo; 
si dovrebbe garantire che tali sistemi di accreditamento non riducano la 
concorrenza nel settore dei servizi di certificazione;
(13) gli Stati membri possono decidere come garantire il controllo del rispetto 
delle disposizioni contenute nella presente direttiva; quest'ultima non esclude 
l'istituzione di sistemi di controllo basati sul settore privato; la presente 
direttiva non obbliga i prestatori di servizi di certificazione a chiedere il 
controllo in base a un qualsiasi sistema d'accreditamento applicabile;
(14) e' importante raggiungere l'equilibrio tra le esigenze dei consumatori e le 
esigenze delle imprese;
(15) considerando che l'allegato III prevede requisiti relativi a dispositivi 
per la creazione di una firma sicura al fine di assicurare la funzionalita' delle 
firme elettroniche avanzate; esso non contempla la globalita' dell'ambiente del 
sistema in cui tali dispositivi operano; il funzionamento del mercato interno 
impone alla Commissione e agli Stati membri un'azione rapida al fine di 
permettere la designazione degli organismi preposti alla valutazione della 
conformita' dei dispositivi di firma sicura rispetto all'allegato III; per 
rispondere alle esigenze del mercato, la valutazione della conformita' deve 
essere tempestiva ed efficiente;
 
 
(16) la presente direttiva contribuisce all'uso e al riconoscimento giuridico 
delle firme elettroniche nell'ambito della Comunita'; le firme elettroniche usate 
esclusivamente all'interno di sistemi basati su accordi volontari di diritto 
privato fra un numero determinato di partecipanti non esigono una disciplina 
legislativa comune; nella misura consentita dal diritto nazionale, andrebbe 
rispettata la liberta' delle parti di accordarsi sulle condizioni di accettazione 
dei dati firmati in modo elettronico; alle firme elettroniche utilizzate in tali 
sistemi non dovrebbero essere negate l'efficacia giuridica e l'ammissibilita' 
come mezzo probatorio nei procedimenti giudiziari;
(17) la presente direttiva non e' diretta ad armonizzare le normative nazionali 
sui contratti, in particolare in materia di conclusione ed esecuzione dei 
contratti, od altre formalita' di natura extracontrattuale concernenti 
l'apposizione di firme; per tale motivo, le disposizioni sugli effetti giuridici 
delle firme elettroniche non dovrebbero pregiudicare i requisiti formali 
previsti dal diritto nazionale sulla conclusione dei contratti o le regole di 
determinazione del luogo della conclusione del contratto;
(18) la registrazione e la copia di dati per la creazione di una firma 
potrebbero costituire una minaccia per la validita' giuridica delle firme 
elettroniche;
(19) le firme elettroniche saranno utilizzate nel settore pubblico nell'ambito 
delle amministrazioni nazionali e comunitarie e nelle comunicazioni tra tali 
amministrazioni nonche' con i cittadini e gli operatori economici, ad esempio nei 
settori degli appalti pubblici, della fiscalita', della previdenza sociale, della 
sanita' e dell'amministrazione della giustizia;
 
(20) criteri armonizzati relativi agli effetti giuridici delle firme 
elettroniche manterranno un quadro giuridico coerente in tutta la Comunita'; il 
diritto nazionale stabilisce differenti requisiti per la validita' giuridica 
delle firme autografe; i certificati possono essere usati per confermare 
l'identita' di una persona che ricorre alla firma elettronica; le firme 
elettroniche avanzate basate su un certificato qualificato mirano ad un piu' alto 
livello di sicurezza; le firme elettroniche avanzate basate su un certificato 
qualificato e create mediante un dispositivo per la creazione di una firma 
sicura possono essere considerate giuridicamente equivalenti alle firme 
autografe solo se sono rispettati i requisiti per le firme autografe;
(21) al fine di contribuire all'accettazione generale dei metodi di 
autenticazione elettronici, e' necessario garantire che le firme elettroniche 
possano essere utilizzate come prove nei procedimenti giudiziari in tutti gli 
Stati membri; il riconoscimento giuridico delle firme elettroniche dovrebbe 
basarsi su criteri oggettivi e non essere connesso ad un'autorizzazione 
rilasciata al prestatore di servizi di certificazione interessato; il diritto 
nazionale disciplina la definizione dei campi giuridici in cui possono essere 
impiegati documenti elettronici e firme elettroniche; la presente direttiva 
lascia impregiudicata la facolta' degli organi giurisdizionali nazionali di 
deliberare in merito alla conformita' rispetto ai requisiti della presente 
direttiva e non lede le norme nazionali in materia di libero uso delle prove in 
giudizio;
(22) la responsabilita' dei prestatori di servizi di certificazione che 
forniscono tali servizi al pubblico e' disciplinata dal diritto nazionale;
(23) lo sviluppo del commercio elettronico internazionale rende necessarie 
soluzioni transfrontaliere che coinvolgano i paesi terzi; al fine di assicurare 
l'interoperabilita' a livello globale, potrebbero essere utili accordi su regole 
multilaterali con paesi terzi concernenti il riconoscimento reciproco dei 
servizi di certificazione;
 
 
(24) al fine di accrescere la fiducia da parte degli utenti nelle comunicazioni 
elettroniche e nel commercio elettronico, i prestatori di servizi di 
certificazione devono osservare la legislazione in materia di protezione dei 
dati e la vita privata degli individui;
(25) le disposizioni sull'uso degli pseudonimi nei certificati non dovrebbe 
impedire agli Stati membri di chiedere l'identificazione delle persone in base 
alla normativa comunitaria o alla legislazione nazionale;
(26) le misure necessarie per l'attuazione della presente direttiva devono 
essere adottate ai sensi dell'articolo 2 della decisione 1999/468/CE del 
Consiglio, del 28 giugno 1999, recante modalita' per l'esercizio delle competenze 
di esecuzione conferite alla Commissione ;
(27) due anni dopo la sua attuazione la Commissione presentera' una relazione su 
questa direttiva al fine di garantire tra l'altro che il progresso tecnologico o 
il mutamento del quadro giuridico non abbiano creato ostacoli al raggiungimento 
degli obiettivi sanciti nella stessa; la Commissione dovrebbe esaminare le 
implicazioni dei settori tecnici connessi e presentare una relazione al riguardo 
al Parlamento europeo e al Consiglio;
(28) secondo i principi di sussidiarieta' e proporzionalita' di cui all'articolo 5 
del trattato, l'obiettivo della creazione di un quadro giuridico armonizzato per 
la fornitura di firme elettroniche e dei servizi relativi non puo' essere 
sufficientemente realizzato dagli Stati membri e puo' dunque essere realizzato 
meglio a livello comunitario; la presente direttiva non va al di la' di quanto 
necessario per il raggiungimento degli obiettivi del trattato,
 
HANNO ADOTTATO LA PRESENTE DIRETTIVA:
Articolo 1
Ambito di applicazione
La presente direttiva e' volta ad agevolare l'uso delle firme elettroniche e a 
contribuire al loro riconoscimento giuridico. Essa istituisce un quadro 
giuridico per le firme elettroniche e taluni servizi di certificazione al fine 
di garantire il corretto funzionamento del mercato interno.
Essa non disciplina aspetti relativi alla conclusione e alla validita' dei 
contratti o altri obblighi giuridici quando esistono requisiti relativi alla 
forma prescritti dal diritto nazionale o comunitario, ne' pregiudica le norme e i 
limiti che disciplinano l'uso dei documenti contenuti nel diritto nazionale o 
comunitario.
Articolo 2
Definizioni
Ai fini della presente direttiva, valgono le seguenti definizioni:
 "firma elettronica", dati in forma elettronica, allegati oppure connessi 
 tramite associazione logica ad altri dati elettronici ed utilizzata come 
 metodo di autenticazione;
 "firma elettronica avanzata", una firma elettronica che soddisfi i seguenti 
 requisiti:
 essere connessa in maniera unica al firmatario;
 
 essere idonea ad identificare il firmatario;
 essere creata con mezzi sui quali il firmatario puo' conservare il proprio 
 controllo esclusivo;
 essere collegata ai dati cui si riferisce in modo da consentire 
 l'identificazione di ogni successiva modifica di detti dati;
 "firmatario", una persona che detiene un dispositivo per la creazione di una 
 firma e agisce per conto proprio o per conto della persona fisica o giuridica 
 o dell'entita' che rappresenta;
 "dati per la creazione di una firma", dati peculiari, come codici o chiavi 
 crittografiche private, utilizzati dal firmatario per creare una firma 
 elettronica;
 "dispositivo per la creazione di una firma", un software configurato o un 
 hardware usato per applicare i dati per la creazione di una firma;
 "dispositivo per la creazione di una firma sicura", un dispositivo per la 
 creazione di una firma che soddisfa i requisiti di cui all'allegato III;
 "dati per la verifica della firma", dati, come codici o chiavi crittografiche 
 pubbliche, utilizzati per verificare una firma elettronica;
 "dispositivo di verifica della firma", un software configurato o un hardware 
 usato per applicare i dati di verifica della firma;
 
 "certificato", un attestato elettronico che collega i dati di verifica della 
 firma ad una persona e conferma l'identita' di tale persona;
 "certificato qualificato", un certificato conforme ai requisiti di cui 
 all'allegato I e fornito da un prestatore di servizi di certificazione che 
 soddisfa i requisiti di cui all'allegato II;
 "prestatore di servizi di certificazione", un'entita' o una persona fisica o 
 giuridica che rilascia certificati o fornisce altri servizi connessi alle 
 firme elettroniche;
 "prodotto di firma elettronica", hardware o software, oppure i componenti 
 pertinenti dei medesimi, destinati ad essere utilizzati da un prestatore di 
 servizi di certificazione per la prestazione di servizi di firma elettronica 
 oppure per la creazione o la verifica di firme elettroniche;
 "accreditamento facoltativo", qualsiasi permesso che stabilisca diritti ed 
 obblighi specifici della fornitura di servizi di certificazione, il quale sia 
 concesso, su richiesta del prestatore di servizi di certificazione 
 interessato, dall'organismo pubblico o privato preposto all'elaborazione e 
 alla sorveglianza del rispetto di tali diritti ed obblighi, fermo restando che 
 il prestatore di servizi di certificazione non e' autorizzato ad esercitare i 
 diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da 
 parte dell'organismo.
Articolo 3
Accesso al mercato
 Gli Stati membri non subordinano ad autorizzazione preventiva la prestazione 
 di servizi di certificazione. 
 
 Fatto salvo il paragrafo 1, gli Stati membri possono introdurre o conservare 
 sistemi di accreditamento facoltativi volti a fornire servizi di 
 certificazione di livello piu' elevato.Tutte le condizioni relative a tali 
 sistemi devono essere obiettive, trasparenti, proporzionate e non 
 discriminatorie. Gli Stati membri non possono limitare il numero di prestatori 
 di servizi di certificazione accreditati per motivi che rientrano nell'ambito 
 di applicazione della presente direttiva.
 Ciascuno Stato membro provvede affinche' venga istituito un sistema appropriato 
 che consenta la supervisione dei prestatori di servizi di certificazione 
 stabiliti nel loro territorio e rilasci al pubblico certificati qualificati.
 La conformita' dei dispositivi per la creazione di una firma sicura ai 
 requisiti di cui all'allegato III e' determinata dai pertinenti organismi 
 pubblici o privati designati dagli Stati membri. Secondo la procedura di cui 
 all'articolo 9 la Commissione fissa i criteri in base ai quali gli Stati 
 membri stabiliscono se un organismo puo' essere designato.
 La conformita' ai requisiti di cui all'allegato III accertata dagli organismi 
 di cui al primo comma e' riconosciuta da tutti gli Stati membri.
 Secondo la procedura di cui all'articolo 9 la Commissione puo' determinare e 
 pubblicare nella Gazzetta ufficiale delle Comunita' europee i numeri di 
 riferimento di norme generalmente riconosciute relative a prodotti di firma 
 elettronica. Un prodotto di firma elettronica conforme a tali norme viene 
 considerato dagli Stati membri conforme ai requisiti di cui all'allegato II, 
 lettera f) e all'allegato III.
 Gli Stati membri e la Commissione cooperano per promuovere lo sviluppo e l'uso 
 dei dispositivi di verifica della firma, alla luce delle raccomandazioni per 
 la verifica della firma sicura di cui all'allegato IV e nell'interesse dei 
 consumatori.
 
 Gli Stati membri possono assoggettare l'uso delle firme elettroniche nel 
 settore pubblico ad eventuali requisiti supplementari. Tali requisiti debbono 
 essere obiettivi, trasparenti, proporzionati e non discriminatori e riguardare 
 unicamente le caratteristiche specifiche dell'uso di cui trattasi. Tali 
 requisiti non possono rappresentare un ostacolo ai servizi transfrontalieri 
 per i cittadini.
Articolo 4
Principi del mercato interno
 Ciascuno Stato membro applica le disposizioni nazionali da esso adottate in 
 base alla presente direttiva ai prestatori di servizi di certificazione 
 stabiliti nel suo territorio e ai servizi da essi forniti. Gli Stati membri 
 non possono limitare la prestazione di servizi di certificazione originati in 
 un altro Stato membro nella materia disciplinata dalla presente direttiva.
 Gli Stati membri consentono ai prodotti di firma elettronica conformi alla 
 presente direttiva di circolare liberamente nel mercato interno.
Articolo 5
Effetti giuridici delle firme elettroniche
 Gli Stati membri provvedono a che le firme elettroniche avanzate basate su un 
 certificato qualificato e create mediante un dispositivo per la creazione di 
 una firma sicura:
 posseggano i requisiti legali di una firma in relazione ai dati in forma 
 elettronica cosi' come una firma autografa li possiede per dati cartacei; e
 
 siano ammesse come prova in giudizio.
 Gli Stati membri provvedono affinche' una firma elettronica non sia considerata 
 legalmente inefficace e inammissibile come prova in giudizio unicamente a 
 causa del fatto che e':
 in forma elettronica, o 
 non basata su un certificato qualificato, o
 non basata su un certificato qualificato rilasciato da un prestatore di 
 servizi di certificazione accreditato, ovvero
 non creata da un dispositivo per la creazione di una firma sicura.
Articolo 6
Responsabilita'
 Gli Stati membri provvedono almeno a che il prestatore di servizi di 
 certificazione che rilascia al pubblico un certificato come certificato 
 qualificato o che garantisce al pubblico tale certificato, sia responsabile 
 per danni provocati a entita' o persone fisiche o giuridiche che facciano 
 ragionevole affidamento su detto certificato: 
 per quanto riguarda l'esattezza di tutte le informazioni contenute nel 
 certificato qualificato a partire dalla data di rilascio e il fatto che esso 
 contenga tutti i dati prescritti per un certificato qualificato,
 per la garanzia che, al momento del rilascio del certificato, il firmatario 
 identificato nel certificato qualificato detenesse i dati per la creazione 
 della firma corrispondenti ai dati per la verifica della firma riportati o 
 identificati nel certificato,
 
 la garanzia che i dati per la creazione della firma e i dati per la verifica 
 della firma possano essere usati in modo complementare, nei casi in cui il 
 fornitore di servizi di certificazione generi entrambi,
a meno che il prestatore di servizi di certificazione provi di aver agito senza 
negligenza.
 Gli Stati membri provvedono almeno a che il prestatore di servizi di 
 certificazione che rilascia al pubblico un certificato come certificato 
 qualificato sia responsabile, nei confronti di entita' o di persone fisiche o 
 giuridiche che facciano ragionevole affidamento sul certificato, dei danni 
 provocati, per la mancata registrazione della revoca del certificato, a meno 
 che provi di aver agito senza negligenza.
 Gli Stati membri provvedono a che un prestatore di servizi di certificazione 
 possa indicare, in un certificato qualificato, i limiti d'uso di detto 
 certificato, purche' tali limiti siano riconoscibili da parte dei terzi. Il 
 prestatore di servizi di certificazione deve essere esentato dalla 
 responsabilita' per i danni derivanti dall'uso di un certificato qualificato 
 che ecceda i limiti posti nello stesso.
 Gli Stati membri provvedono affinche' un prestatore di servizi di 
 certificazione abbia la facolta' di indicare nel certificato qualificato un 
 valore limite per i negozi per i quali puo' essere usato il certificato, purche' 
 tali limiti siano riconoscibili da parte dei terzi.
 Il prestatore di servizi di certificazione non e' responsabile dei danni 
 risultanti dal superamento di detto limite massimo.
 I paragrafi da 1 a 4 lasciano impregiudicata la direttiva 93/13/CEE del 
 Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti 
 stipulati con i consumatori .
 
Articolo 7
Aspetti internazionali
 Gli Stati membri provvedono a che i certificati rilasciati al pubblico come 
 certificati qualificati da un prestatore di servizi di certificazione 
 stabilito in un paese terzo siano riconosciuti giuridicamente equivalenti ai 
 certificati rilasciati da un prestatore di servizi di certificazione stabilito 
 nella Comunita', in presenza di una delle seguenti condizioni: 
 il prestatore di servizi di certificazione possiede i requisiti di cui alla 
 presente direttiva e sia stato accreditato in virtu' di un sistema di 
 accreditamento facoltativo stabilito in uno Stato membro, oppure
 il certificato e' garantito da un prestatore di servizi di certificazione 
 stabilito nella Comunita', in possesso dei requisiti di cui alla presente 
 direttiva, oppure
 il certificato o il prestatore di servizi di certificazione e' riconosciuto in 
 forza di un accordo bilaterale o multilaterale tra la Comunita' e paesi terzi o 
 organizzazioni internazionali.
 Al fine di agevolare servizi di certificazione transfrontalieri con paesi 
 terzi e il riconoscimento giuridico delle firme elettroniche avanzate che 
 hanno origine in paesi terzi, la Commissione presenta, se del caso, proposte 
 miranti all'effettiva attuazione di norme e di accordi internazionali 
 applicabili ai servizi di certificazione. In particolare, ove necessario, essa 
 presenta al Consiglio proposte relative a mandati per la negoziazione di 
 accordi bilaterali e multilaterali con paesi terzi e organizzazioni 
 internazionali. Il Consiglio decide a maggioranza qualificata.
 Ogniqualvolta la Commissione e' informata di difficolta' che le imprese 
 comunitarie incontrano riguardo all'accesso al mercato di paesi terzi, essa 
 puo', se necessario, presentare al Consiglio proposte in merito a un 
 appropriato mandato di negoziato per ottenere diritti paragonabili per le 
 imprese comunitarie in tali paesi terzi. Il Consiglio decide a maggioranza 
 qualificata. 
Le misure adottate a norma di questo paragrafo lasciano impregiudicati gli 
obblighi della Comunita' e degli Stati membri derivanti da accordi internazionali 
in materia.
Articolo 8
Protezione dei dati
 Gli Stati membri provvedono a che i prestatori di servizi di certificazione e 
 gli organismi nazionali responsabili dell'accreditamento o della supervisione 
 si conformino alla direttiva 95/46/CE del Parlamento europeo e del Consiglio, 
 del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo 
 al trattamento dei dati personali, nonche' alla libera circolazione di tali 
 dati .
 Gli Stati membri consentono a un prestatore di servizi di certificazione che 
 rilascia certificati al pubblico di raccogliere dati personali solo 
 direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, 
 e soltanto nella misura necessaria al rilascio e al mantenimento del 
 certificato. I dati non possono essere raccolti o elaborati per fini diversi 
 senza l'espresso consenso della persona cui si riferiscono.
 
 Fatti salvi gli effetti giuridici che la legislazione nazionale attribuisce 
 agli pseudonimi, gli Stati membri non vietano al prestatore di servizi di 
 certificazione di riportare sul certificato uno pseudonimo in luogo del nome 
 del firmatario. 
Articolo 9
Comitato
 La Commissione e' assistita da un "comitato per la firma elettronica", in 
 prosieguo denominato "il comitato". 
 Nei casi in cui si fa riferimento al presente paragrafo, si applicano gli 
 articoli 4 e 7 della decisione 1999/468/CE, tenuto conto dell'articolo 8 della 
 stessa.
Il periodo di cui all'articolo 4, paragrafo 3 della decisione 1999/468/CE e' 
fissato a tre mesi.
3. Il Comitato adotta il proprio regolamento interno.
 
Articolo 10
Compiti del comitato
Il comitato precisa i requisiti di cui agli allegati della presente direttiva, i 
criteri di cui all'articolo 3, paragrafo 4 e le norme generalmente riconosciute 
per i prodotti di firma elettronica istituite e pubblicate a norma dell'articolo 
3, paragrafo 5, secondo la procedura di cui all'articolo 9, paragrafo 2. 
 
Articolo 11
Notificazione
 Gli Stati membri comunicano alla Commissione e agli altri Stati membri le 
 seguenti informazioni:
 sistemi di accreditamento facoltativi nazionali ed ogni requisito 
 supplementare a norma dell'articolo 3, paragrafo 7;
 
 nomi e indirizzi degli organismi nazionali responsabili dell'accreditamento e 
 della supervisione nonche' degli organismi di cui all'articolo 3, paragrafo 4;
 i nomi e gli indirizzi di tutti i prestatori di servizi di certificazione 
 nazionali accreditati.
 Le informazioni di cui al paragrafo 1 e le loro eventuali variazioni sono 
 notificate agli Stati membri al piu' presto.
Articolo 12
Riesame
 Entro ... *la Commissione, riesamina l'applicazione della presente direttiva e 
 presenta una relazione in merito al Parlamento europeo e al Consiglio.
 Nel riesame si valuta, tra l'altro, se l'ambito di applicazione della presente 
 direttiva debba essere modificato per tener conto dei progressi tecnologici, 
 dell'evoluzione del mercato e degli sviluppi giuridici. La relazione include 
 in particolare una valutazione, sulla base dell'esperienza acquisita, degli 
 aspetti relativi all'armonizzazione. La relazione e' corredata, se del caso, di 
 proposte legislative.
 
Articolo 13
Attuazione
 Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari 
 e amministrative necessarie per conformarsi alla presente direttiva 
 anteriormente al ** Essi ne informano immediatamente la Commissione.
 
 Quando gli Stati membri adottano tali disposizioni, queste contengono un 
 riferimento alla presente direttiva o sono corredate di un siffatto 
 riferimento all'atto della pubblicazione ufficiale. Le modalita' del 
 riferimento sono decise dagli Stati membri.
 Gli Stati membri comunicano alla Commissione il testo delle principali 
 disposizioni di diritto interno che adottano nella materia disciplinata dalla 
 presente direttiva.
 
Articolo 14
Entrata in vigore
La presente direttiva entra in vigore il giorno della pubblicazione nella 
Gazzetta ufficiale delle Comunita' europee.
 
Articolo 15
Destinatari
Gli Stati membri sono destinatari della presente direttiva.
 
 
Fatto a Bruxelles, addi'
 
Per il Parlamento europeo Per il Consiglio
La Presidente II Presidente
ALLEGATO I
 
Requisiti relativi ai certificati qualificati
 
I certificati qualificati devono includere:
 
 l'indicazione che il certificato rilasciato e' un certificato qualificato;
 l'identificazione e lo Stato nel quale e' stabilito il prestatore di servizi di 
 certificazione;
 il nome del firmatario del certificato o uno pseudonimo identificato come 
tale;
 l'indicazione di un attributo specifico del firmatario, da includere se 
 pertinente, a seconda dello scopo per cui il certificato e' richiesto;
 i dati per la verifica della firma corrispondenti ai dati per la creazione 
 della firma sotto il controllo del firmatario;
 un'indicazione dell'inizio e del termine del periodo di validita' del 
 certificato;
 il codice d'identificazione del certificato;
 
 la firma elettronica avanzata del prestatore di servizi di certificazione che 
 ha rilasciato il certificato;
 i limiti d'uso del certificato, ove applicabili; e
 i limiti del valore dei negozi per i quali il certificato puo' essere usato, 
 ove applicabili.
 
_____________
ALLEGATO II
 
Requisiti relativi ai prestatori di servizi di certificazione
che rilasciano certificati qualificati
 
I prestatori di servizi di certificazione devono:
 dimostrare l'affidabilita' necessaria per fornire servizi di certificazione;
 assicurare il funzionamento di un servizio di repertorizzazione puntuale e 
 sicuro e garantire un servizio di revoca sicuro e immediato;
 assicurare che la data e l'ora di rilascio o di revoca di un certificato 
 possano essere determinate con precisione;
 verificare con mezzi appropriati, secondo la legislazione nazionale l'identita' 
 e, eventualmente, le specifiche caratteristiche della persona cui e' rilasciato 
 un certificato qualificato;
 impiegare personale dotato delle conoscenze specifiche, dell'esperienza e 
 delle qualifiche necessarie per i servizi forniti, in particolare la 
 competenza a livello gestionale, la conoscenza specifica nel settore della 
 tecnologia delle firme elettroniche e la dimestichezza con procedure di 
 sicurezza appropriate; essi devono inoltre applicare procedure e metodi 
 amministrativi e di gestione adeguati e corrispondenti a norme riconosciute;
 utilizzare sistemi affidabili e prodotti protetti da alterazioni e che 
 garantiscano la sicurezza tecnica e crittografica dei procedimenti di cui sono 
 oggetto;
 
 adottare misure contro la contraffazione dei certificati e, nei casi in cui il 
 prestatore di servizi di certificazione generi dati per la creazione di una 
 firma, garantire la riservatezza nel corso della generazione di tali dati;
 disporre di risorse finanziarie sufficienti ad operare secondo i requisiti 
 previsti dalla direttiva, in particolare per sostenere il rischio di 
 responsabilita' per danni, ad esempio stipulando un'apposita assicurazione;
 tenere una registrazione di tutte le informazioni pertinenti relative ad un 
 certificato qualificato per un adeguato periodo di tempo, in particolare al 
 fine di fornire la prova della certificazione in eventuali procedimenti 
 giudiziari. Tali registrazioni possono essere elettroniche;
 non conservare ne' copiare i dati per la creazione della firma della persona 
 cui il prestatore di servizi di certificazione ha fornito i servizi di 
 gestione della chiave;
 prima di avviare una relazione contrattuale con una persona che richieda un 
 certificato a sostegno della sua firma elettronica, informarla con un mezzo di 
 comunicazione durevole, degli esatti termini e condizioni relative all'uso del 
 certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di 
 accreditamento facoltativo e le procedure di reclamo e di risoluzione delle 
 controversie. Dette informazioni, che possono essere trasmesse 
 elettronicamente, devono essere scritte e utilizzare un linguaggio 
 comprensibile. Su richiesta, elementi pertinenti delle informazioni possono 
 essere resi accessibili a terzi che facciano affidamento sul certificato;
 utilizzare sistemi affidabili per memorizzare i certificati in modo 
 verificabile e far si' che: 
 soltanto le persone autorizzate possano effettuare inserimenti e modifiche;
 l'autenticita' delle informazioni sia verificabile,
 i certificati siano accessibili alla consultazione del pubblico soltanto nei 
 casi consentiti dal titolare del certificato,
 l'operatore possa rendersi conto di qualsiasi modifica tecnica che comprometta 
 i requisiti di sicurezza.
 
______________
ALLEGATO III
 
 
 
Requisiti relativi ai dispositivi per la creazione di una firma sicura
 
1. I dispositivi per la creazione di una firma sicura, mediante mezzi tecnici e 
procedurali appropriati, devono garantire almeno che:
a) i dati per la creazione della firma utilizzati nella generazione della stessa 
possono comparire in pratica solo una volta e che e' ragionevolmente garantita la 
loro riservatezza;
b) i dati per la creazione della firma utilizzati nella generazione della stessa 
non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma e' 
protetta da contraffazioni compiute con l'impiego di tecnologia attualmente 
disponibile;
c) i dati per la creazione della firma utilizzati nella generazione della stessa 
sono sufficientemente protetti dal firmatario legittimo contro l'uso da parte di 
terzi.
2. I dispositivi per la creazione di una firma sicura non devono alterare i dati 
da firmare ne' impediscono che tali dati siano presentati al firmatario prima 
dell'operazione di firma.
 
___________
ALLEGATO IV
 
Raccomandazioni per la verifica della firma sicura
 
Durante il processo relativo alla verifica della firma occorre garantire, entro 
limiti ragionevoli di certezza, che
a) i dati utilizzati per la verifica della firma corrispondono ai dati 
comunicati al verificatore;
b) la firma e' verificata in modo affidabile e i risultati della verifica 
correttamente comunicati;
c) il verificatore puo', all'occorrenza, stabilire in modo attendibile i 
contenuti dei dati firmati;
d) l'autenticita' e la validita' del certificato necessario al momento della 
verifica della firma sono verificate in modo attendibile;
e) i risultati della verifica e dell'identita' del firmatario sono comunicati 
correttamente; 
f) l'uso di uno pseudonimo e' chiaramente indicato;
g) qualsiasi modifica che incida sulla sicurezza puo' essere individuata.
 
 
___________