1
Legge federale sui servizi di certificazione nel campo della firma elettronica (Legge sulla firma elettronica, FiEle)
del 19 dicembre 2003 (Stato 1° agosto 2008)
L’Assemblea federale della Confederazione Svizzera, visti gli articolo 95 capoverso 1 e 122 capoverso 1 della Costituzione federale1; visto il messaggio del Consiglio federale del 3 luglio 20012, decreta:
Sezione 1: Disposizioni generali
Art. 1 Oggetto e scopo 1 La presente legge definisce:
a. le condizioni alle quali i prestatori di servizi di certificazione nel campo della firma elettronica possono essere riconosciuti;
b. i diritti e i doveri dei prestatori di servizi di certificazione riconosciuti. 2 Essa ha lo scopo di:
a. promuovere un’ampia offerta di servizi di certificazione elettronica sicuri; b. favorire l’utilizzazione delle firme elettroniche qualificate; c. permettere il riconoscimento internazionale dei prestatori di servizi di certi-
ficazione e delle loro prestazioni.
Art. 2 Definizioni Nella presente legge si intende per:
a. firma elettronica: dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati per la loro autentica- zione;
b. firma elettronica avanzata: firma elettronica che soddisfa i seguenti requisiti: 1. essere connessa esclusivamente al titolare, 2. essere idonea a identificare il titolare,
RU 2004 5085 1 RS 101 2 FF 2001 5109
943.03
Commercio
2
943.03
3. essere creata con mezzi sui quali il titolare può conservare il suo con- trollo esclusivo,
4. essere connessa ai dati ai quali si riferisce in modo tale che una succes- siva modifica dei dati sia riconoscibile;
c. firma elettronica qualificata: firma elettronica avanzata fondata su un dispo- sitivo sicuro per la creazione di una firma secondo l’articolo 6 capoversi 1 e 2 e su un certificato qualificato e valido al momento della sua creazione;
d. chiave per la creazione della firma: dati unici, come codici o chiavi critto- grafiche private, utilizzati dal titolare per comporre una firma elettronica;
e. chiave per la verifica della firma: dati, come codici o chiavi crittografiche pubbliche, utilizzati per verificare un firma elettronica;
f. certificato qualificato: un certificato digitale che soddisfa i requisiti dell’arti- colo 7;
g. prestatore di servizi di certificazione: organismo che certifica dati in ambito elettronico e che rilascia a tal fine certificati digitali;
h. organismo di riconoscimento: organismo che, in base alle norme del diritto in materia di accreditamento3, è accreditato per riconoscere e sorvegliare i pre- statori di servizi di certificazione.
Sezione 2: Riconoscimento dei prestatori di servizi di certificazione
Art. 3 Condizioni del riconoscimento 1 Quali prestatori di servizi di certificazione possono essere riconosciute le persone fisiche o giuridiche che:
a. sono iscritte nel registro di commercio; b. sono in grado di fornire e gestire certificati qualificati conformemente alle
esigenze della presente legge; c. impiegano personale munito delle conoscenze, dell’esperienza e delle quali-
fiche necessarie; d. utilizzano sistemi e prodotti informatici, in particolare dispositivi affidabili e
sicuri per la creazione di una firma; e. possiedono risorse o garanzie finanziarie sufficienti; f. stipulano le assicurazioni necessarie alla copertura della responsabilità pre-
vista dall’articolo 16 e delle spese che possono comportare le misure previste nell’articolo 13 capoversi 2 e 3;
g. assicurano l’osservanza del diritto applicabile, in particolare della presente legge e delle relative disposizioni d’esecuzione.
3 LF del 6 ott. 1995 sugli ostacoli tecnici al commercio, LOTC (RS 946.51) e relative disposizioni d’esecuzione.
L sulla firma elettronica
3
943.03
2 Le condizioni previste nel capoverso 1 si applicano anche ai prestatori di servizi di certificazione esteri. Qualora un prestatore estero abbia già ottenuto un riconosci- mento da parte di un organismo di riconoscimento estero, l’organismo di riconosci- mento svizzero può riconoscerlo se è provato che:
a. il riconoscimento è stato accordato secondo il diritto estero; b. le norme del diritto estero determinanti per il riconoscimento sono equivalenti
a quelle del diritto svizzero; c. l’organismo di riconoscimento estero possiede qualifiche equivalenti a quelle
richieste all’organismo di riconoscimento svizzero; d. l’organismo di riconoscimento estero garantisce all’organismo di riconosci-
mento svizzero di collaborare per la sorveglianza in Svizzera del prestatore. 3 Le unità amministrative della Confederazione, dei Cantoni e dei Comuni possono essere riconosciute quali prestatori di servizi di certificazione senza dover essere iscritte nel registro di commercio.
Art. 4 Designazione dell’organismo di accreditamento 1 Il Consiglio federale designa l’organismo competente per l’accreditamento degli organismi di riconoscimento (organismo di accreditamento). 2 Se nessun organismo è stato accreditato per il riconoscimento, il Consiglio federale designa l’organismo di accreditamento o un altro organismo competente quale organismo di riconoscimento.
Art. 5 Lista dei prestatori di servizi di certificazione riconosciuti 1 Gli organismi di riconoscimento annunciano all’organismo di accreditamento i prestatori di servizi di certificazione da essi riconosciuti. 2 L’organismo di accreditamento mette a disposizione del pubblico la lista dei pre- statori di servizi di certificazione riconosciuti.
Sezione 3: Generazione e utilizzazione di chiavi per la creazione di una firma e di chiavi per la verifica della firma
Art. 6 1 Il Consiglio federale disciplina la generazione di chiavi per la creazione di una firma e per la verifica della firma che possono essere oggetto di certificati qualificati ai sensi della presente legge. Garantisce in proposito un elevato livello di sicurezza, conforme all’evoluzione tecnologica. 2 I dispositivi per la creazione di una firma devono almeno garantire che le chiavi utilizzate per la creazione della firma:
Commercio
4
943.03
a. possano comparire in pratica solo una volta e sia sufficientemente garantito che rimangano segrete;
b. non possano, entro limiti ragionevoli di sicurezza, essere derivate e la firma sia protetta da contraffazioni compiute con l’impiego della tecnologia dispo- nibile;
c. possano essere affidabilmente protette dal legittimo titolare contro l’abuso da parte di terzi.
3 Durante il processo di verifica della firma occorre provvedere affinché le seguenti esigenze siano garantite con sufficiente sicurezza:
a. i dati utilizzati per la verifica della firma corrispondano ai dati comunicati al verificatore;
b. la firma sia verificata in modo affidabile e i risultati della verifica siano cor- rettamente indicati;
c. il verificatore possa, all’occorrenza, stabilire in modo affidabile i contenuti dei dati firmati;
d. l’autenticità e la validità del certificato richiesto al momento della verifica della firma siano verificate in modo affidabile e il risultato di tale verifica sia correttamente indicato;
e. l’identità del titolare della chiave per la creazione di una firma sia corretta- mente segnalata;
f. l’uso di uno pseudonimo sia chiaramente indicato; g. qualsiasi modifica che incida sulla sicurezza possa essere individuata.
Sezione 4: Certificati qualificati
Art. 7 1 Un certificato qualificato deve contenere almeno le informazioni seguenti:
a. il numero di serie; b. l’indicazione che si tratta di un certificato qualificato; c. il nome o lo pseudonimo della persona fisica titolare della chiave per la veri-
fica della firma; in caso di possibile confusione, il nome dev’essere comple- tato da un attributo specifico;
d. la chiave per la verifica della firma; e. la durata di validità; f. il nome, lo Stato di domicilio e la firma elettronica qualificata del prestatore di
servizi di certificazione che rilascia il certificato; g. la specificazione se si tratta di un prestatore riconosciuto oppure no e, nel
primo caso, il nome dell’organismo di riconoscimento.
L sulla firma elettronica
5
943.03
2 Il certificato deve contenere anche gli elementi seguenti: a. le qualità specifiche del titolare della chiave per la creazione della firma, come
l’autorizzazione a rappresentare una persona giuridica determinata; b. l’ambito di validità del certificato; c. il valore delle transazioni per le quali il certificato può essere utilizzato.
3 Il Consiglio federale disciplina il formato dei certificati.
Sezione 5: Doveri dei prestatori di servizi di certificazione riconosciuti
Art. 8 Rilascio dei certificati qualificati 1 I prestatori di servizi di certificazione riconosciuti devono esigere dalle persone che chiedono un certificato qualificato che esse si presentino personalmente e provino la loro identità. Per i casi previsti nell’articolo 7 capoverso 2 lettera a, deve essere provato il consenso della persona rappresentata; le informazioni professionali o di altro genere relative a questa persona devono essere confermate dall’organismo competente. 2 Il Consiglio federale designa i documenti per mezzo dei quali chi chiede un certi- ficato può provare la propria identità e eventualmente le proprie qualità specifiche. Esso può prevedere che, a determinate condizioni, la persona che chiede il certificato non sia tenuta a presentarsi personalmente. 3 I prestatori di servizi di certificazione riconosciuti devono inoltre accertarsi che la persona che chiede un certificato qualificato possieda la relativa chiave per la crea- zione della firma. 4 I prestatori di servizi riconosciuti possono delegare il compito d’identificazione a terzi (uffici di registrazione). Essi rispondono della corretta esecuzione di questo compito da parte dell’ufficio di registrazione.
Art. 9 Obbligo di informazione e documentazione 1 I prestatori di servizi di certificazione riconosciuti devono tenere a disposizione del pubblico le loro condizioni contrattuali generali e le informazioni sulla loro politica di certificazione. 2 Al più tardi in occasione del rilascio dei certificati qualificati, essi devono informare i loro clienti circa le conseguenze dell’utilizzazione abusiva della chiave per la creazione della firma, come pure circa le disposizioni da prendere, secondo le circo- stanze, per mantenere segreta la loro chiave per la creazione della firma. 3 I prestatori di servizi di certificazione riconosciuti tengono un libro giornale delle attività. Il Consiglio federale disciplina il termine di conservazione del libro giornale e dei relativi documenti giustificativi.
Commercio
6
943.03
Art. 10 Annullamento dei certificati qualificati 1 I prestatori di servizi di certificazione riconosciuti annullano senza indugio i certi- ficati qualificati se:
a. il loro titolare o il suo rappresentante lo chiede; b. emerge che il certificato è stato ottenuto illecitamente; c. il certificato non offre più garanzia quanto al legame tra una chiave per la
verifica di una firma e una determinata persona. 2 In caso di annullamento secondo il capoverso 1 lettera a, essi devono accertarsi che il richiedente è autorizzato a chiedere l’annullamento. 3 I prestatori di servizi di certificazione riconosciuti informano senza indugio dell’avvenuto annullamento i titolari dei certificati qualificati.
Art. 11 Servizi relativi alle liste dei certificati qualificati 1 Ogni prestatore di servizi di certificazione riconosciuto garantisce che ogni persona interessata possa verificare in maniera affidabile, in ogni momento e mediante una procedura abituale, la validità di tutti i certificati qualificati che ha rilasciato. 2 Egli può inoltre offrire un servizio che permetta a ogni persona interessata di ricercare nella lista e richiamare i certificati qualificati che ha rilasciato. Un certificato è iscritto nella lista solo su richiesta del titolare. 3 Le consultazioni da parte di enti pubblici sono gratuite. 4 Il Consiglio federale stabilisce il periodo minimo durante il quale deve essere reso possibile l’accesso ai certificati qualificati annullati o scaduti.
Art. 12 Sistema marcatempo Su richiesta, i prestatori di servizi di certificazione riconosciuti devono fornire un attestato munito della loro firma elettronica qualificata, al fine di certificare l’esi- stenza di dati digitali in un determinato momento.
Art. 13 Cessazione d’attività 1 I prestatori di servizi di certificazione riconosciuti annunciano in tempo utile all’organismo di accreditamento la cessazione della loro attività. Gli notificano senza indugio eventuali comminatorie di fallimento ricevute. 2 L’organismo di accreditamento incarica un altro prestatore di servizi di certifica- zione riconosciuto di tenere la lista dei certificati qualificati validi, scaduti o annullati e di conservare il libro giornale delle attività nonché i relativi documenti giustificativi. Nel caso in cui non fosse disponibile un prestatore di servizi di certificazione rico- nosciuto, il Consiglio federale designa un organismo idoneo per la ripresa dell’attività dismessa. Il prestatore di servizi di certificazione riconosciuto che cessa la sua attività si assume le spese che ne risultano. 3 Il capoverso 2 si applica anche in caso di fallimento di un prestatore di servizi di certificazione riconosciuto.
L sulla firma elettronica
7
943.03
Art. 14 Protezione dei dati 1 I prestatori di servizi di certificazione riconosciuti e gli uffici di registrazione da loro incaricati possono gestire soltanto i dati personali necessari all’adempimento dei loro compiti. Ogni commercio di questi dati è vietato. 2 Per il resto, è applicabile la legislazione sulla protezione dei dati.
Sezione 6: Sorveglianza sui prestatori di servizi di certificazione riconosciuti
Art. 15 1 La sorveglianza sui prestatori di servizi di certificazione riconosciuti è svolta dagli organismi di riconoscimento in base alle norme del diritto in materia di accredita- mento4. 2 L’organismo di riconoscimento che revoca il riconoscimento di un prestatore di servizi di certificazione ne dà immediata comunicazione all’organismo di accredi- tamento. È applicabile l’articolo 13 capoverso 2.
Sezione 7: Responsabilità
Art. 16 Responsabilità dei prestatori di servizi di certificazione 1 I prestatori di servizi di certificazione che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni di esecuzione rispondono del danno causato al titolare di una chiave per la creazione della firma e ai terzi che si sono fidati di un certificato qualificato valido. 2 Essi devono provare di aver ottemperato agli obblighi derivanti dalla presente legge e dalle disposizioni d’esecuzione. 3 Essi non possono escludere la responsabilità che deriva loro dalla presente legge nonché quella per i loro ausiliari. Non rispondono tuttavia del danno risultante dal- l’inosservanza o dalla violazione di una restrizione dell’uso del certificato (art. 7 cpv. 2).
Art. 17 Responsabilità degli organismi di riconoscimento Gli organismi di riconoscimento ai sensi dell’articolo 2 lettera h che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di una chiave per la creazione della firma e ai terzi che si sono fidati di un certificato qualificato valido. L’articolo 16 capoversi 2 e 3 si applica per analogia.
4 LF del 6 ot. 1995 sugli ostacoli tecnici al commercio, LOTC (RS 946.51) e relative disposizioni d’esecuzione.
Commercio
8
943.03
Art. 18 Prescrizione Le pretese fondate sulla presente legge si prescrivono in un anno dal giorno in cui l’avente diritto è venuto a conoscenza del danno e della persona responsabile e, in ogni caso, in dieci anni dal giorno in cui l’evento dannoso si è prodotto. Sono salve le pretese risultanti da un contratto.
Sezione 8: Convenzioni internazionali
Art. 19 1 Per facilitare l’utilizzazione e il riconoscimento giuridico internazionali delle firme elettroniche, il Consiglio federale può concludere convenzioni internazionali riguar- danti segnatamente:
a. il riconoscimento delle firme elettroniche e dei certificati; b. il riconoscimento dei prestatori di servizi di certificazione e degli organismi di
riconoscimento; c. il riconoscimento delle verifiche e delle valutazioni di conformità; d. il riconoscimento dei simboli di conformità; e. il riconoscimento dei sistemi di accreditamento e degli organismi accreditati; f. il conferimento di mandati di normazione a organismi internazionali di nor-
mazione nella misura in cui le disposizioni sulla firma elettronica rimandino a norme tecniche determinate o quando un tale rinvio è previsto;
g. l’informazione e la consultazione riguardo all’elaborazione, all’emanazione, alla modifica e all’applicazione di prescrizioni o di norme tecniche.
2 Il Consiglio federale emana le prescrizioni necessarie per l’attuazione delle con- venzioni internazionali che riguardano i settori elencati nel capoverso 1. 3 Esso può delegare a privati attività relative all’informazione e alla consultazione riguardanti l’elaborazione, l’emanazione e la modifica di prescrizioni o di norme tecniche sulle firme elettroniche e stabilire in proposito una rimunerazione.
Sezione 9: Disposizioni finali
Art. 20 Esecuzione 1 Il Consiglio federale emana le disposizioni d’esecuzione. Esso tiene conto del diritto internazionale pertinente e può dichiarare applicabili norme tecniche internazionali. 2 Il Consiglio federale può incaricare l’Ufficio federale delle comunicazioni di emanare prescrizioni amministrative e tecniche.
L sulla firma elettronica
9
943.03
3 Per conseguire gli scopi della legge, esso può affidare a un’unità amministrativa federale il compito di rilasciare certificati qualificati anche per le transazioni di diritto privato o di partecipare all’impresa di un prestatore di servizi di certificazione privato.
Art. 21 Modifica del diritto vigente La modifica del diritto vigente è disciplinata nell’allegato.
Art. 225
Art. 23 Referendum ed entrata in vigore 1 La presente legge sottostà al referendum facoltativo. 2 Il Consiglio federale ne determina l’entrata in vigore.
Data dell’entrata in vigore: 1° gennaio 20056
5 Abrogato dal n. II 55 della LF del 20 mar. 2008 concernente l’aggiornamento formale del diritto federale, con effetto dal 1° ago. 2008 (RU 2008 3437 3453; FF 2007 5575).
6 DCF del 3 dic. 2004.
Commercio
10
943.03
Allegato (art. 21)
Modifica del diritto vigente
...7
7 Le mod. possono essere consultate alla RU 2004 5085.