WIPO Lex

RS 943.03

Legge federale sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (Legge sulla firma elettronica, FiEle)

del 18 marzo 2016 (Stato 1° gennaio 2017)

L’Assemblea federale della Confederazione Svizzera, visti gli articoli 95 capoverso 1 e 122 capoverso 1 della Costituzione federale1; visto il messaggio del Consiglio federale del 15 gennaio 20142, decreta:

Sezione 1: Disposizioni generali

Art. 1 Oggetto e scopo 1 La presente legge definisce:

a. i requisiti posti alla qualità di determinati certificati digitali e alla loro utiliz- zazione;

b. le condizioni alle quali i prestatori di servizi di certificazione nel campo del- la firma elettronica e di altre applicazioni di certificati digitali (servizi di cer- tificazione) possono essere riconosciuti;

c. i diritti e gli obblighi dei prestatori di servizi di certificazione riconosciuti. 2 Essa non disciplina gli effetti giuridici dell’utilizzazione di certificati digitali, ad eccezione della responsabilità di cui agli articoli 17 e 18. 3 Ha lo scopo di:

a. promuovere un’ampia offerta di servizi di certificazione sicuri; b. favorire l’utilizzazione di certificati digitali, firme elettroniche e sigilli elet-

tronici; c. permettere il riconoscimento internazionale dei prestatori di servizi di certi-

ficazione e delle loro prestazioni.

Art. 2 Definizioni Nella presente legge s’intende per:

a. firma elettronica: dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati per la loro autentica- zione;

RU 2016 4651 1 RS 101 2 FF 2014 913

943.03

Esercizio del commercio

943.03

b. firma elettronica avanzata: firma elettronica che soddisfa i seguenti requi- siti: 1. è attribuita esclusivamente al titolare, 2. permette di identificare il titolare, 3. è creata con mezzi sui quali il titolare può conservare il proprio con-

trollo esclusivo, 4. è collegata ai dati ai quali si riferisce in modo tale che una successiva

modifica dei dati sia riconoscibile; c. firma elettronica regolamentata: firma elettronica avanzata creata utilizzan-

do un dispositivo sicuro per la creazione della firma secondo l’articolo 6 e fondata su un certificato regolamentato e rilasciato a una persona fisica vali- do al momento della creazione della firma elettronica;

d. sigillo elettronico regolamentato: firma elettronica avanzata creata utiliz- zando un dispositivo sicuro per la creazione del sigillo secondo l’articolo 6 e fondata su un certificato regolamentato rilasciato a un’unità IDI secondo l’articolo 3 capoverso 1 lettera c della legge federale del 18 giugno 20103 sul numero d’identificazione delle imprese (LIDI) valido al momento della creazione del sigillo elettronico;

e. firma elettronica qualificata: firma elettronica regolamentata fondata su un certificato qualificato;

f. certificato digitale: attestato digitale che attribuisce la chiave pubblica di una coppia asimmetrica di chiavi crittografiche al suo titolare;

g. certificato regolamentato: certificato digitale che soddisfa i requisiti del- l’articolo 7 ed è stato rilasciato da un prestatore di servizi di certificazione riconosciuto secondo la presente legge;

h. certificato qualificato: certificato regolamentato che soddisfa i requisiti dell’articolo 8;

i. marca temporale elettronica: conferma dell’esistenza di determinati dati di- gitali in un dato momento;

j. marca temporale elettronica qualificata: marca temporale elettronica gene- rata da un prestatore di servizi di certificazione riconosciuto secondo la pre- sente legge e corredata di un sigillo elettronico regolamentato;

k. prestatore di servizi di certificazione: organismo che certifica dati in ambito elettronico e che rilascia a tal fine certificati digitali;

l. organismo di riconoscimento: organismo che, in base alla legislazione fede- rale sugli ostacoli tecnici al commercio4, è accreditato per riconoscere e sor- vegliare i prestatori di servizi di certificazione.

3 RS 431.03 4 RS 946.51, 946.511, 946.512, 946.513.7

L sulla firma elettronica

943.03

Sezione 2: Riconoscimento dei prestatori di servizi di certificazione

Art. 3 Condizioni del riconoscimento 1 Quali prestatori di servizi di certificazione possono essere riconosciute le persone fisiche o giuridiche che:

a. sono iscritte nel registro di commercio; b. sono in grado di fornire e gestire certificati qualificati conformemente ai re-

quisiti della presente legge; c. impiegano personale munito delle conoscenze, dell’esperienza e delle quali-

fiche necessarie; d. utilizzano sistemi e prodotti informatici, in particolare dispositivi affidabili e

sicuri per la creazione di una firma e di un sigillo; e. possiedono risorse o garanzie finanziarie sufficienti; f. stipulano le assicurazioni necessarie alla copertura della responsabilità pre-

vista dall’articolo 17 e delle spese che possono comportare le misure previ- ste nell’articolo 14 capoversi 2 e 3;

g. assicurano l’osservanza del diritto applicabile, in particolare della presente legge e delle relative disposizioni d’esecuzione.

2 Le condizioni previste nel capoverso 1 si applicano anche ai prestatori di servizi di certificazione esteri. Se un prestatore estero è già riconosciuto da un organismo estero, l’organismo svizzero può riconoscerlo se è provato che:

a. il riconoscimento è stato accordato secondo il diritto estero; b. le norme del diritto estero determinanti per il riconoscimento sono equiva-

lenti a quelle del diritto svizzero; c. l’organismo di riconoscimento estero possiede qualifiche equivalenti a quel-

le richieste all’organismo di riconoscimento svizzero; d. l’organismo di riconoscimento estero garantisce all’organismo di riconosci-

mento svizzero di collaborare per la sorveglianza in Svizzera del prestatore. 3 Le unità amministrative della Confederazione, dei Cantoni e dei Comuni possono essere riconosciute quali prestatori di servizi di certificazione anche se non sono iscritte nel registro di commercio.

Art. 4 Designazione dell’organismo di accreditamento 1 Il Consiglio federale designa l’organismo competente per l’accreditamento degli organismi di riconoscimento (organismo di accreditamento). 2 Se nessun organismo è stato accreditato per il riconoscimento, il Consiglio federale designa l’organismo di accreditamento o un altro organismo appropriato quale orga- nismo di riconoscimento.

Esercizio del commercio

943.03

Art. 5 Lista dei prestatori di servizi di certificazione riconosciuti 1 Gli organismi di riconoscimento annunciano all’organismo di accreditamento i prestatori di servizi di certificazione da essi riconosciuti. 2 L’organismo di accreditamento mette a disposizione del pubblico la lista dei pre- statori di servizi di certificazione riconosciuti.

Sezione 3: Generazione, memorizzazione e utilizzazione di chiavi crittografiche

Art. 6 1 Il Consiglio federale disciplina la generazione, la memorizzazione e l’utilizzazione di chiavi crittografiche che possono essere oggetto di certificati regolamentati ai sensi della presente legge; garantisce in proposito un elevato livello di sicurezza, conforme all’evoluzione tecnologica. 2 I sistemi di generazione, memorizzazione e utilizzazione di chiavi crittografiche private, in particolare i dispositivi per la creazione di una firma e di un sigillo, devo- no almeno garantire che le chiavi:

a. possano comparire in pratica soltanto una volta e la loro segretezza sia suffi- cientemente assicurata;

b. non possano, con un margine di sicurezza sufficiente, essere individuate per deduzione e che la loro utilizzazione sia protetta da contraffazioni grazie all’impiego della tecnologia disponibile;

c. possano essere protette in modo affidabile dal legittimo titolare contro l’abuso da parte di terzi.

Sezione 4: Certificati regolamentati

Art. 7 Requisiti per tutti i certificati regolamentati 1 Un certificato regolamentato può essere rilasciato a persone fisiche e unità IDI. 2 Contiene le seguenti informazioni:

a. il numero di serie; b. l’indicazione che si tratta di un certificato regolamentato; c. il nome o la designazione del titolare della relativa chiave crittografica priva-

ta; in caso di possibile confusione, il nome o la designazione devono essere completati da un attributo distintivo;

d. per le persone fisiche, se del caso lo pseudonimo, designato come tale, al po- sto del nome;

L sulla firma elettronica

943.03

e. per le unità IDI, il numero di identificazione dell’impresa secondo la LIDI5; f. la chiave crittografica pubblica; g. la durata di validità; h. il nome, lo Stato di domicilio e il sigillo elettronico regolamentato del pre-

statore di servizi di certificazione che rilascia il certificato. 3 Il certificato può inoltre contenere gli elementi seguenti:

a. le qualità specifiche del titolare della relativa chiave crittografica privata, ad esempio la qualifica professionale;

b. per le persone fisiche, l’indicazione che sono autorizzate a rappresentare una determinata unità IDI;

c. l’ambito di validità per il quale è previsto; d. il valore massimo delle transazioni per le quali è previsto.

4 Il Consiglio federale disciplina il formato dei certificati regolamentati.

Art. 8 Requisiti supplementari per i certificati qualificati 1 Un certificato qualificato può essere rilasciato soltanto a una persona fisica. 2 Contiene un’iscrizione secondo cui è previsto soltanto per la firma elettronica. 3 Al posto dell’indicazione di cui all’articolo 7 capoverso 2 lettera b, nel certificato va inserita l’indicazione che si tratta di un certificato qualificato.

Sezione 5: Obblighi dei prestatori di servizi di certificazione riconosciuti

Art. 9 Rilascio dei certificati regolamentati 1 I prestatori di servizi di certificazione riconosciuti esigono dalle persone che chie- dono il rilascio di un certificato regolamentato:

a. che si presentino personalmente e provino la loro identità, se sono persone fisiche;

b. che un loro rappresentante si presenti personalmente e provi la sua identità e il potere di rappresentanza, se sono unità IDI e non persone fisiche.

2 I prestatori di servizi di certificazione verificano che le qualifiche professionali e le altre qualità specifiche (art. 7 cpv. 3 lett. a) siano state confermate dall’organismo competente. 3 Nel caso sia indicato un potere di rappresentanza (art. 7 cpv. 3 lett. b), i prestatori di servizi di certificazione verificano che l’unità IDI abbia dato il proprio consenso.

5 RS 431.03

Esercizio del commercio

943.03

4 Il Consiglio federale designa i documenti per mezzo dei quali chi chiede un certifi- cato può provare la propria identità ed eventualmente le proprie qualità specifiche. Può prevedere che, a determinate condizioni, il richiedente non sia tenuto a presen- tarsi personalmente. 5 I prestatori di servizi di certificazione riconosciuti si accertano inoltre che la per- sona che chiede un certificato regolamentato sia in possesso della relativa chiave crittografica privata. 6 I prestatori di servizi di certificazione riconosciuti possono delegare a terzi (uffici di registrazione) l’dentificazione di un richiedente. Rispondono della corretta esecu- zione di questo compito da parte dell’ufficio di registrazione.

Art. 10 Obbligo di informazione e documentazione 1 I prestatori di servizi di certificazione riconosciuti devono rendere accessibili al pubblico le loro condizioni contrattuali generali e le informazioni sulla loro politica di certificazione. 2 Al più tardi in occasione del rilascio dei certificati regolamentati, i prestatori di servizi di certificazione riconosciuti devono rendere attenti i loro clienti alle conse- guenze dell’utilizzazione abusiva della chiave crittografica privata, come pure alle misure da prendere, secondo le circostanze, per mantenere segreta la chiave. 3 I prestatori di servizi di certificazione riconosciuti tengono un libro giornale delle attività. Il Consiglio federale disciplina il termine di conservazione del libro giornale e dei relativi documenti giustificativi.

Art. 11 Annullamento dei certificati regolamentati 1 I prestatori di servizi di certificazione riconosciuti annullano senza indugio un certificato regolamentato se:

a. il titolare o il suo rappresentante lo chiede; b. emerge che è stato ottenuto illecitamente o che le informazioni di cui

all’articolo 7 capoverso 3 non sono o non sono più esatte; c. il legame di attribuzione con il suo titolare non è più garantito.

2 In caso di annullamento secondo il capoverso 1 lettera a, i prestatori di servizi di certificazione riconosciuti devono accertarsi che il richiedente sia autorizzato a chiedere l’annullamento. 3 I prestatori di servizi di certificazione riconosciuti informano senza indugio del- l’avvenuto annullamento il titolare del certificato regolamentato.

Art. 12 Servizi relativi alle liste dei certificati regolamentati 1 Ogni prestatore di servizi di certificazione riconosciuto garantisce che le persone interessate possano verificare in maniera affidabile, in ogni momento e mediante una procedura usuale, la validità di tutti i certificati regolamentati che ha rilasciato.

L sulla firma elettronica

943.03

2 Può inoltre offrire un servizio che permetta alle persone interessate di ricercare nella lista e richiamare i certificati regolamentati che ha rilasciato. Un certificato è iscritto nella lista solo su richiesta del titolare. 3 Le consultazioni da parte di enti pubblici sono gratuite. 4 Il Consiglio federale stabilisce il periodo minimo durante il quale deve essere possibile la verifica dei certificati regolamentati non più validi.

Art. 13 Marca temporale elettronica qualificata Su richiesta, i prestatori di servizi di certificazione riconosciuti generano marche temporali elettroniche qualificate.

Art. 14 Cessazione d’attività 1 I prestatori di servizi di certificazione riconosciuti notificano in tempo utile all’organismo di accreditamento la cessazione della loro attività. Gli notificano senza indugio eventuali comminatorie di fallimento ricevute. 2 L’organismo di accreditamento incarica un altro prestatore di servizi di certifica- zione riconosciuto di tenere la lista dei certificati regolamentati validi, scaduti o annullati e di conservare il libro giornale delle attività nonché i relativi documenti giustificativi. Nel caso in cui non fosse disponibile un prestatore di servizi di certifi- cazione riconosciuto, il Consiglio federale designa un organismo idoneo per la ripresa dell’attività dismessa. Il prestatore di servizi di certificazione riconosciuto che cessa la sua attività si assume le spese che ne risultano. 3 Il capoverso 2 si applica anche in caso di fallimento di un prestatore di servizi di certificazione riconosciuto.

Art. 15 Protezione dei dati 1 I prestatori di servizi di certificazione riconosciuti e gli uffici di registrazione da loro incaricati possono trattare soltanto i dati personali necessari all’adempimento dei loro compiti. Qualsiasi commercio di questi dati è vietato. 2 Per il resto, è applicabile la legislazione sulla protezione dei dati.

Sezione 6: Sorveglianza sui prestatori di servizi di certificazione riconosciuti

Art. 16 1 La sorveglianza sui prestatori di servizi di certificazione riconosciuti è svolta dagli organismi di riconoscimento in base alle norme della legislazione federale sugli ostacoli tecnici al commercio6.

6 RS 946.51, 946.511, 946.512, 946.513.7

Esercizio del commercio

943.03

2 L’organismo di riconoscimento che revoca il riconoscimento di un prestatore di servizi di certificazione ne dà immediata comunicazione all’organismo di accredita- mento. È applicabile l’articolo 14 capoverso 2.

Sezione 7: Responsabilità

Art. 17 Responsabilità dei prestatori di servizi di certificazione 1 I prestatori di servizi di certificazione riconosciuti che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di un certificato regolamentato valido e ai terzi che si sono fidati di tale certificato. 2 I prestatori di servizi di certificazione riconosciuti devono provare di aver ottempe- rato agli obblighi derivanti dalla presente legge e dalle disposizioni d’esecuzione. 3 I prestatori di servizi di certificazione riconosciuti non possono escludere la re- sponsabilità derivante dalla presente legge per i danni causati da loro stessi o dai loro ausiliari. Non rispondono tuttavia del danno risultante dall’inosservanza o dalla violazione di una restrizione dell’utilizzazione del certificato (art. 7 cpv. 3 lett. c e d).

Art. 18 Responsabilità degli organismi di riconoscimento Gli organismi di riconoscimento che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di un certificato regolamentato valido e ai terzi che si sono fidati di tale certificato. L’articolo 17 capoversi 2 e 3 si applica per analogia.

Art. 19 Prescrizione Le pretese fondate sulla presente legge si prescrivono in un anno dal giorno in cui l’avente diritto ha avuto conoscenza del danno e della persona responsabile e, in ogni caso, in dieci anni dal giorno in cui l’evento dannoso si è prodotto. Sono fatte salve le pretese risultanti da un contratto.

Sezione 8: Convenzioni internazionali

Art. 20 1 Per facilitare l’utilizzazione e il riconoscimento giuridico internazionali di firme elettroniche e di altre applicazioni di chiavi crittografiche, il Consiglio federale può concludere convenzioni internazionali riguardanti segnatamente:

a. il riconoscimento delle firme elettroniche, dei sigilli elettronici e dei certifi- cati digitali;

L sulla firma elettronica

943.03

b. il riconoscimento dei prestatori di servizi di certificazione e degli organismi di riconoscimento;

c. il riconoscimento delle verifiche e delle valutazioni di conformità; d. il riconoscimento dei marchi di conformità; e. il riconoscimento dei sistemi di accreditamento e degli organismi accreditati; f. il conferimento di mandati di normazione a organismi internazionali di nor-

mazione nella misura in cui la legislazione rimandi a determinate norme tec- niche o quando un tale rimando è previsto;

g. l’informazione e la consultazione riguardo all’elaborazione, all’emanazione, alla modifica e all’applicazione di prescrizioni o norme tecniche.

2 Il Consiglio federale emana le prescrizioni necessarie per l’applicazione delle convenzioni internazionali che riguardano gli ambiti di cui al capoverso 1. 3 Può delegare a privati attività relative all’informazione e alla consultazione riguar- danti l’elaborazione, l’emanazione e la modifica di prescrizioni o norme tecniche e prevedere la loro rimunerazione.

Sezione 9: Disposizioni finali

Art. 21 Esecuzione 1 Il Consiglio federale emana le disposizioni d’esecuzione. Tiene conto del diritto internazionale afferente e può dichiarare applicabili norme tecniche internazionali. 2 Può incaricare l’Ufficio federale delle comunicazioni di emanare prescrizioni am- ministrative e tecniche. 3 Per conseguire gli scopi della legge, il Consiglio federale può affidare a un’unità amministrativa federale o cantonale il compito di rilasciare certificati regolamentati anche per le transazioni di diritto privato o di partecipare all’impresa di un prestatore di servizi di certificazione privato.

Art. 22 Abrogazione e modifica di altri atti normativi L’abrogazione e la modifica di altri atti normativi sono disciplinate nell’allegato.

Art. 23 Referendum ed entrata in vigore 1 La presente legge sottostà a referendum facoltativo. 2 Il Consiglio federale ne determina l’entrata in vigore.

Data dell’entrata in vigore: 1° gennaio 20177

7 DCF del 23 nov. 2016.

Esercizio del commercio

943.03

Allegato (art. 22)

Abrogazione e modifica di altri atti normativi

La legge del 19 dicembre 20038 sulla firma elettronica è abrogata.

Le leggi federali qui appresso sono modificate come segue: ...9

8 [RU 2004 5085, 2008 3437 II 55] 9 Le mod. possono essere consultate alla RU 2016 4651.

Suisse

CH399

Legge federale del 18 marzo 2016 sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (stato 1° gennaio 2017)