NUOVO CAD

2. DOCUMENTO INFORMATICO E FIRME

2.2 Certificatori

“Qualificazione e accreditamento”

L'art. 29 ha visto la sostituzione della rubrica (da “accreditamento” a “qualificazione e accreditamento”), la modificazione dei primi tre commi e l'abrogazione dei commi 7 e 8.

In particolare nel primo comma si prevede che i soggetti, che intendono avviare la prestazione di servizi fiduciari qualificati o svolgere l’attività di gestore di PEC, di gestore di identità digitale, di conservatore di documenti informatici, presentino all’AgID domanda di qualificazione o di accreditamento.

“Responsabilità dei prestatori di servizi fiduciari qualificati, dei gestori di posta elettronica certificata, dei gestori dell’identità digitale e di conservatori”

L'art. 30 è stato modificato innanzitutto nella rubrica (non più “Responsabilità dei certificatori” ma “Responsabilità dei prestatori di servizi fiduciari qualificati, dei gestori di posta elettronica certificata, dei gestori dell’identità digitale e di conservatori”). (La figura dei certificatori è ormai superata con l’entrata in vigore del Regolamento eIDAS). 

Inoltre è stato novellato il comma 1 sancendo in capo a quei soggetti l’obbligo del risarcimento per danno cagionato ad altri nello svolgimento della loro attività, a meno che non provino di avere adottato tutte le misure idonee a evitare il danno (laddove la norma previgente richiamava la prova di aver agito senza colpa o dolo).

La norma è volta a rafforzare la responsabilità degli operatori in ragione della delicatezza delle attività svolte.

“Obblighi del titolare e del prestatore di servizi di firma elettronica qualificata”

L'art. 32 era rubricato “Obblighi del titolare e del certificatore”, ora la figura del certificatore (non più rispondente a quanto previsto dal Regolamento eIDAS (UE) n. 910/2014) è stata sostituita dal prestatore di servizi di firma elettronica qualificata ed è in capo a questa figura che sono previsti alcuni obblighi.

Gli obblighi restano quelli già vigenti, con solo poche variazioni (come quella relativa all'inserimento tra gli obblighi degli strumenti di autenticazione informatica per l'utilizzo del dispositivo di firma da remoto o la possibilità di raccolta di dati tramite un terzo, dietro esplicito consenso della persona interessata).

 “Sanzioni per i prestatori di servizi fiduciari qualificati, per i gestori di posta elettronica certificata, per i gestori dell’identità digitale e per i conservatori”

L'art. 32-bis, come modificato dalla riforma, riconosce in capo all’AgID il potere di irrogare sanzioni pecuniarie (da un minimo di 4.000,00 a un massimo di 40.000,00 euro) ai prestatori di servizi fiduciari qualificati, ai gestori di posta elettronica certificata, ai gestori dell’identità digitale e ai conservatori, in caso di violazione degli obblighi del regolamento eIDAS o del presente Codice (art. 32-bis, comma 1).

La sanzione potrà essere irrogata solo dopo che l’AgID abbia diffidato tali soggetti a conformare la propria condotta agli obblighi del regolamento eIDAS o del Codice (comma 1-bis aggiunto all’art. 32-bis) (prima della riforma non era prevista alcuna sanzione pecuniaria).

La cancellazione dei soggetti dall’elenco dei soggetti qualificati è disposta dall’AgID solo in casi particolarmente gravi (art. 32-bis, comma 1).

“Cessazione dell’attività”

Nell'art. 37, affinché l'utente non abbia a risentire particolari disagi, sono indicati tutta una serie di adempimenti a cui è tenuto il prestatore di servizi fiduciari qualificato nel caso in cui intenda cessare la propria attività.

Con la riforma all’art. 37 è stato aggiunto il comma 4-ter in conformità a quanto suggerito dal Consiglio di Stato (aveva fatto notare la mancanza di una specifica sanzione nel caso di violazione degli obblighi di cui al presente articolo). Il Consiglio di Stato aveva sottolineato infatti che in assenza di tale sanzione si sarebbero potute applicare solo le sanzioni amministrative disciplinate dall’art. 32-bis che peraltro avrebbero potuto non essere sufficienti ad assicurare la tutela dell’interesse protetto dalla norma. Per questi motivi il Consiglio di Stato aveva sollecitato l’introduzione di sanzioni amministrative più incisive nei confronti del “prestatore di servizi fiduciari qualificato” che cessa l’attività senza ottemperare agli obblighi previsti dall’articolo.

Il comma 4-ter dispone pertanto che, in caso di violazione degli obblighi di cui all’art. 37, l’AgID fissi a trenta giorni il termine massimo entro cui ottemperare a quegli obblighi. Decorso inutilmente tale termine si applicheranno le sanzioni dell’art. 32-bis aumentate fino al doppio.