La firma elettronica nell'UE

Questa direttiva stabilisce il quadro legale a livello europeo in merito alle firme elettroniche e al riconoscimento dei prestatori di servizi di certificazione. Gli obiettivi:

—	semplificare l'utilizzo delle firme elettroniche;

—	agevolarne il riconoscimento giuridico in tutti i paesi dell'UE.

ATTO

Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche.

SINTESI

Questa direttiva stabilisce i criteri che costituiscono le basi per il riconoscimento giuridico delle firme elettroniche. Si concentra sulla regolamentazione delle operazioni eseguite dai prestatori di servizi di certificazione. Essa stabilisce:

—	requisiti comuni per i prestatori di servizi di certificazione volti a garantire il riconoscimento transfrontaliero di firme elettroniche e certificati in tutta l'Unione europea (UE);

—	regole comuni sulla responsabilità tese a creare fiducia tra gli utenti, che fanno affidamento su tali certificati;

—	meccanismi di cooperazione atti a facilitare il riconoscimento transfrontaliero delle firme elettroniche e dei certificati con i paesi terzi.

La direttiva introduce nuove idee:

—	la firma elettronica ovvero dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;

—

la firma elettronica avanzata, che deve soddisfare i seguenti requisiti:

—	essere connessa in maniera unica al firmatario;

—	essere idonea ad identificare il firmatario;

—	essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;

—	essere collegata al documento elettronico da autenticare, in modo da consentire l'identificazione di ogni successiva modifica di detti dati.

—

il certificato qualificato, che deve includere:

—	l'indicazione che il certificato rilasciato è un certificato qualificato;

—	l'identificazione del prestatore di servizi di certificazione;

—	il nome del firmatario;

—	la possibilità di includere uno specifico elemento di autenticazione aggiuntivo, come ad esempio la data di nascita, del firmatario (in funzione dello scopo del certificato);

—	i dati per la verifica della firma, che devono corrispondere ai dati per la creazione della firma sotto il controllo del firmatario;

—	un'indicazione dell'inizio e del termine del periodo di validità del certificato;

—	il codice d'identificazione del certificato;

—	la firma elettronica avanzata del prestatore di servizi di certificazione che ha rilasciato il certificato.

Il certificato deve inoltre essere emesso da un prestatore di servizi di certificazione che soddisfi i requisiti stabiliti dalla direttiva.

Accesso al mercato

I paesi dell'UE non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione.

I paesi dell'UE possono disporre di schemi volti a incoraggiare la certificazione con funzionalità avanzate. Essi non possono tuttavia limitare il numero di prestatori di servizi di certificazione accreditati, né limitare la prestazione di servizi di certificazione originati in un altro paese dell'UE.

I paesi dell'UE possono introdurre l'uso della firma elettronica nel settore pubblico applicando, se necessario, requisiti aggiuntivi. Tali condizioni devono essere obiettive, trasparenti, proporzionate e non discriminatorie.

Effetti giuridici delle firme elettroniche

La firma elettronica avanzata basata su un certificato qualificato soddisfa i requisiti giuridici della firma per quanto riguarda i dati in formato elettronico così come una firma autografa li soddisfa per quanto concerne i dati cartacei. (Per comodità, è possibile chiamare questa firma «firma elettronica qualificata». Pur descrivendo questa firma, la direttiva non utilizza tale definizione). È inoltre ammissibile come prova in giudizio.

La firma elettronica non può essere rifiutata come prova in giudizio unicamente a causa del fatto che è:

—	in forma elettronica;

—	non basata su un certificato qualificato;

—	non creata da un dispositivo per la creazione di una firma sicura.

Responsabilità

I paesi dell'UE devono garantire che un prestatore di servizi di certificazione che rilascia un certificato qualificato si assuma determinate responsabilità. Tra di esse compaiono la responsabilità per danni provocati a entità o persone che facciano ragionevole affidamento su detto certificato:

—	per quanto riguarda l'esattezza di tutte le informazioni contenute nel certificato qualificato a partire dalla data di rilascio;

—	per la garanzia del fatto che esso contenga tutti i dati prescritti per un certificato qualificato a partire dalla data del rilascio e che il firmatario identificato nel certificato sia la persona alla quale tale certificato è stato consegnato.

Il prestatore di servizi di certificazione può imporre un limite al valore delle transazioni per le quali è possibile utilizzare il certificato. Questo limite deve essere riconoscibile da parte di terzi. Il prestatore non deve essere ritenuto responsabile per i danni risultanti dal superamento di detto limite massimo.

Aspetti internazionali

I paesi dell'UE devono garantire il reciproco riconoscimento giuridico delle firme elettroniche e dei certificati qualificati emessi da paesi terzi. È necessario soddisfare determinate condizioni di responsabilità, quali ad esempio:

—	i prestatori esterni all'UE devono soddisfare i requisiti di questa direttiva ed essere accreditati all'interno del sistema di accreditamento facoltativo di un paese UE; o

—	un prestatore dell'UE che soddisfi i requisiti della direttiva può garantire i certificati rilasciati da prestatori esterni all'UE nella stessa misura in cui può garantire i propri.

La Commissione europea può presentare proposte per garantire la completa attuazione delle norme e degli accordi internazionali.

Protezione dei dati

I paesi dell'UE devono garantire che i prestatori di servizi di certificazione e gli organismi nazionali responsabili dell'accreditamento o della supervisione si conformino alla direttiva 95/46/CE sulla protezione dei dati personali.

Adozione del nuovo regolamento relativo a identificazione elettronica e servizi fiduciari (eIDAS)

Il regolamento eIDAS (regolamento (UE) n. 910/2014) è stato adottato nel 2014. È entrato in vigore il 17.9.2014 e verrà applicato dall'1.7.2016, fatta eccezione per alcuni articoli elencati nell'articolo 52. Il regolamento (UE) n. 910/2014 abroga la direttiva 1999/93/CE a decorrere dal 30.6.2016.

Per maggiori informazioni, consultare la pagina web dedicata all'agenda digitale della Commissione europea per i servizi fiduciari europei.

RIFERIMENTI

Atto	Data di entrata in vigore	Data limite di trasposizione negli Stati membri	Gazzetta ufficiale dell'Unione europea
Direttiva 1999/93/CE	19.1.2000	18.7.2001	GU L 13 del 19.1.2000, pag. 12-20

Successive modifiche e correzioni alla direttiva 1999/93/CE sono state incorporate nel testo base. Questa versione consolidata è da utilizzarsi a solo scopo di riferimento.

ATTI COLLEGATI

Comunicazione della Commissione al Consiglio, al Parlamento Europeo, al Comitato economico e sociale europeo e al Comitato delle regioni - Piano d'azione in materia di firma e di identificazione elettroniche destinato ad agevolare la prestazione di servizi pubblici transfrontalieri nel mercato unico (COM(2008) 798 def. del 28.11.2008).

In questa comunicazione, la Commissione propone un piano d'azione volto ad assistere i paesi dell'UE nella realizzazione di firme elettroniche e soluzioni d'identificazione elettronica reciprocamente riconosciute ed interoperabili, al fine di facilitare l'offerta di servizi pubblici transfrontalieri in un ambiente elettronico. Questo aspetto è fondamentale per evitare la frammentazione del mercato unico.

Le misure previste dal piano d'azione si suddividono in due tipologie:

—	azioni per migliorare l'interoperabilità transfrontaliera delle firme elettroniche qualificate e avanzate sulla base dei certificati qualificati;

—	azioni per migliorare l'interoperabilità transfrontaliera dell'identità elettronica.

Relazione della Commissione al Parlamento europeo e al Consiglio - Relazione sull’attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche (COM(2006) 120 def. del 15 marzo 2006).

La relazione indica che i paesi dell'UE hanno attuato i principi generali della direttiva.

La Commissione rileva che la trasposizione della direttiva nella legislazione dei paesi dell'UE ha risposto alla necessità di un riconoscimento giuridico delle firme elettroniche. Ritiene pertanto che gli obiettivi della direttiva sono stati raggiunti e che in questa fase non risulta necessaria alcuna revisione. Cionondimeno la Commissione intende consultare i paesi e le parti interessate per esaminare una serie di questioni, in particolare i problemi legati all'interoperabilità e gli aspetti tecnici e di standardizzazione.

Decisione della Commissione 2003/511/CE del 14 luglio 2003 relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio (Gazzetta ufficiale L 175 del 15.7.2003, pag. 45-46).

Questa decisione fa riferimento a tre norme generalmente riconosciute per i prodotti di firma elettronica che presumono la conformità con la firma elettronica qualificata.

Decisione della Commissione 2000/709/CE del 6 novembre 2000 relativa ai criteri minimi di cui devono tener conto gli Stati membri all'atto di designare gli organismi di cui all'articolo 3, paragrafo 4, della direttiva 1999/93/CE del Parlamento europeo e del Consiglio, relativa ad un quadro comunitario per le firme elettroniche (Gazzetta ufficiale L 289 del 16.11.2000, pag. 42-43).

Questa decisione fissa i criteri che i paesi dell'UE devono prendere in considerazione nella designazione degli organismi tenuti a valutare la conformità dei dispositivi per la creazione di firme sicure.

Ultima modifica: 09.01.2015