DIRETTIVA 1999/93/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 13 dicembre 1999

relativa ad un quadro comunitario per le firme elettroniche

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato che istituisce la Comunità europea, in particolare gli articoli 47, paragrafo 2, 55 e 95,

vista la proposta della Commissione (1),

visto il parere del Comitato economico e sociale (2),

visto il parere del Comitato delle regioni (3),

deliberando secondo la procedura di cui all'articolo 251 del trattato (4),

considerando quanto segue:

(1) il 16 aprile 1997 la Commissione ha presentato al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle regioni una comunicazione relativa ad un'iniziativa europea in materia di commercio elettronico;

(2) l'8 ottobre 1997 la Commissione ha presentato al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle regioni una comunicazione intitolata "Garantire la sicurezza e l'affidabilità nelle comunicazioni elettroniche - Verso la definizione di un quadro europeo in materia di firme digitali e di cifratura";

(3) il 1 dicembre 1997 il Consiglio ha invitato la Commissione a presentare quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio relativa alle firme digitali;

(4) le comunicazioni elettroniche e il commercio elettronico necessitano di firme elettroniche e dei servizi ad esse relativi, atti a consentire l'autenticazione dei dati; la divergenza delle norme in materia di riconoscimento giuridico delle firme elettroniche e di accreditamento dei prestatori di servizi di certificazione negli Stati membri può costituire un grave ostacolo all'uso delle comunicazioni elettroniche e del commercio elettronico; invece, un quadro comunitario chiaro relativo alle condizioni che si applicano alle firme elettroniche rafforzerà la fiducia nelle nuove tecnologie e la loro accettazione generale; la normativa negli Stati membri non dovrebbe essere di ostacolo alla libera circolazione di beni e di servizi nel mercato interno;

(5) occorrerebbe promuovere l'interoperabilità dei prodotti di firma elettronica; a norma dell'articolo 14 del trattato, il mercato interno comporta uno spazio senza frontiere interne, nel quale è assicurata la libera circolazione delle merci; per garantire la libera circolazione nell'ambito del mercato interno e infondere fiducia nelle firme elettroniche, è necessaria la conformità ai requisiti essenziali specifici relativi ai prodotti di firma elettronica, fatti salvi il regolamento (CE) n. 3381/94 del Consiglio, del 19 dicembre 1994, che istituisce un regime comunitario di controllo delle esportazioni di beni a duplice uso (5), e la decisione 94/942/PESC del Consiglio del 19 dicembre 1994, relativa all'azione comune adottata dal Consiglio riguardante il controllo delle esportazioni di beni a duplice uso (6);

(6) la presente direttiva non armonizza la fornitura di servizi rispetto al carattere riservato dell'informazione quando sono oggetto di disposizioni nazionali inerenti all'ordine pubblico o alla pubblica sicurezza;

(7) il mercato interno consente anche la libera circolazione delle persone la quale si traduce in una maggiore necessità, per i cittadini dell'Unione europea e per le persone che vi risiedono, di trattare con le autorità di Stati membri diversi da quello in cui risiedono; la disponibilità di comunicazioni elettroniche potrebbe essere di grande aiuto a questo riguardo;

(8) la rapida evoluzione tecnologica e il carattere globale di Internet rendono necessario un approccio aperto alle varie tecnologie e servizi che consentono di autenticare i dati in modo elettronico;

(9) le firme elettroniche verranno usate in svariate circostanze ed applicazioni, che comporteranno un'ampia gamma di nuovi servizi e prodotti facenti uso di firme elettroniche o ad esse collegati; la definizione di tali prodotti e servizi non dovrebbe essere limitata al rilascio e alla gestione di certificati, ma comprenderebbe anche ogni altro servizio e prodotto facente uso di firme elettroniche, o ad esse ausiliario, quali servizi di immatricolazione, servizi di apposizione del giorno e dell'ora, servizi di repertorizzazione, servizi informatici o di consulenza relativi alle firme elettroniche;

(10) il mercato interno consente ai prestatori di servizi di certificazione di sviluppare le proprie attività transfrontaliere ai fini di accrescere la competitività e, pertanto, di offrire ai consumatori e alle imprese nuove opportunità di scambiare informazioni e di effettuare negozi per via elettronica in modo sicuro, indipendentemente dalle frontiere; al fine di stimolare la prestazione su scala comunitaria di servizi di certificazione sulle reti aperte, i prestatori di servizi di certificazione dovrebbero essere liberi di fornire i rispettivi servizi senza preventiva autorizzazione; per autorizzazione preventiva non si intende soltanto qualsiasi permesso che il prestatore di servizi interessato deve ottenere dalle autorità nazionali prima di poter fornire i propri servizi di certificazione, ma anche ogni altra misura avente effetto equivalente;

(11) i sistemi di accreditamento facoltativo intesi a migliorare il livello di servizio fornito possono offrire ai prestatori di servizi di certificazione il quadro appropriato per l'ulteriore sviluppo dei loro servizi verso i livelli di fiducia, sicurezza e qualità richiesti dall'evoluzione del mercato; tali sistemi dovrebbero incoraggiare lo sviluppo di prassi ottimali tra i prestatori di servizi di certificazione; questi ultimi dovrebbero essere liberi di aderire a tali sistemi di accreditamento e di trarne vantaggio;

(12) i servizi di certificazione possono essere forniti o da un'entità pubblica ovvero da una persona giuridica o fisica quando è costituita secondo il diritto nazionale; gli Stati membri non dovrebbero vietare ai prestatori di servizi di certificazione di operare al di fuori dei sistemi di accreditamento facoltativo; si dovrebbe garantire che tali sistemi di accreditamento non riducano la concorrenza nel settore dei servizi di certificazione;

(13) gli Stati membri possono decidere come garantire il controllo del rispetto delle disposizioni contenute nella presente direttiva; quest'ultima non esclude l'istituzione di sistemi di controllo basati sul settore privato; la presente direttiva non obbliga i prestatori di servizi di certificazione a chiedere il controllo in base a un qualsiasi sistema d'accreditamento applicabile;

(14) è importante raggiungere l'equilibrio tra le esigenze dei consumatori e le esigenze delle imprese;

(15) considerando che l'allegato III prevede requisiti relativi a dispositivi per la creazione di una firma sicura al fine di assicurare la funzionalità delle firme elettroniche avanzate; esso non contempla la globalità dell'ambiente del sistema in cui tali dispositivi operano; il funzionamento del mercato interno impone alla Commissione e agli Stati membri un'azione rapida al fine di permettere la designazione degli organismi preposti alla valutazione della conformità dei dispositivi di firma sicura rispetto all'allegato III; per rispondere alle esigenze del mercato, la valutazione della conformità deve essere tempestiva ed efficiente;

(16) la presente direttiva contribuisce all'uso e al riconoscimento giuridico delle firme elettroniche nell'ambito della Comunità; le firme elettroniche usate esclusivamente all'interno di sistemi basati su accordi volontari di diritto privato fra un numero determinato di partecipanti non esigono una disciplina legislativa comune; nella misura consentita dal diritto nazionale, andrebbe rispettata la libertà delle parti di accordarsi sulle condizioni di accettazione dei dati firmati in modo elettronico; alle firme elettroniche utilizzate in tali sistemi non dovrebbero essere negate l'efficacia giuridica e l'ammissibilità come mezzo probatorio nei procedimenti giudiziari;

(17) la presente direttiva non è diretta ad armonizzare le normative nazionali sui contratti, in particolare in materia di conclusione ed esecuzione dei contratti, od altre formalità di natura extracontrattuale concernenti l'apposizione di firme; per tale motivo, le disposizioni sugli effetti giuridici delle firme elettroniche non dovrebbero pregiudicare i requisiti formali previsti dal diritto nazionale sulla conclusione dei contratti o le regole di determinazione del luogo della conclusione del contratto;

(18) la registrazione e la copia di dati per la creazione di una firma potrebbero costituire una minaccia per la validità giuridica delle firme elettroniche;

(19) le firme elettroniche saranno utilizzate nel settore pubblico nell'ambito delle amministrazioni nazionali e comunitarie e nelle comunicazioni tra tali amministrazioni nonché con i cittadini e gli operatori economici, ad esempio nei settori degli appalti pubblici, della fiscalità, della previdenza sociale, della sanità e dell'amministrazione della giustizia;

(20) criteri armonizzati relativi agli effetti giuridici delle firme elettroniche manterranno un quadro giuridico coerente in tutta la Comunità; il diritto nazionale stabilisce differenti requisiti per la validità giuridica delle firme autografe; i certificati possono essere usati per confermare l'identità di una persona che ricorre alla firma elettronica; le firme elettroniche avanzate basate su un certificato qualificato mirano ad un più alto livello di sicurezza; le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura possono essere considerate giuridicamente equivalenti alle firme autografe solo se sono rispettati i requisiti per le firme autografe;

(21) al fine di contribuire all'accettazione generale dei metodi di autenticazione elettronici, è necessario garantire che le firme elettroniche possano essere utilizzate come prove nei procedimenti giudiziari in tutti gli Stati membri; il riconoscimento giuridico delle firme elettroniche dovrebbe basarsi su criteri oggettivi e non essere connesso ad un'autorizzazione rilasciata al prestatore di servizi di certificazione interessato; il diritto nazionale disciplina la definizione dei campi giuridici in cui possono essere impiegati documenti elettronici e firme elettroniche; la presente direttiva lascia impregiudicata la facoltà degli organi giurisdizionali nazionali di deliberare in merito alla conformità rispetto ai requisiti della presente direttiva e non lede le norme nazionali in materia di libero uso delle prove in giudizio;

(22) la responsabilità dei prestatori di servizi di certificazione che forniscono tali servizi al pubblico è disciplinata dal diritto nazionale;

(23) lo sviluppo del commercio elettronico internazionale rende necessarie soluzioni transfrontaliere che coinvolgano i paesi terzi; al fine di assicurare l'interoperabilità a livello globale, potrebbero essere utili accordi su regole multilaterali con paesi terzi concernenti il riconoscimento reciproco dei servizi di certificazione;

(24) al fine di accrescere la fiducia da parte degli utenti nelle comunicazioni elettroniche e nel commercio elettronico, i prestatori di servizi di certificazione devono osservare la legislazione in materia di protezione dei dati e la vita privata degli individui;

(25) le disposizioni sull'uso degli pseudonimi nei certificati non dovrebbe impedire agli Stati membri di chiedere l'identificazione delle persone in base alla normativa comunitaria o alla legislazione nazionale;

(26) le misure necessarie per l'attuazione della presente direttiva devono essere adottate ai sensi dell'articolo 2 della decisione 1999/468/CE del Consiglio, del 28 giugno 1999, recante modalità per l'esercizio delle competenze di esecuzione conferite alla Commissione (7);

(27) due anni dopo la sua attuazione la Commissione presenterà una relazione su questa direttiva al fine di garantire tra l'altro che il progresso tecnologico o il mutamento del quadro giuridico non abbiano creato ostacoli al raggiungimento degli obiettivi sanciti nella stessa; la Commissione dovrebbe esaminare le implicazioni dei settori tecnici connessi e presentare una relazione al riguardo al Parlamento europeo e al Consiglio;

(28) secondo i principi di sussidiarietà e proporzionalità di cui all'articolo 5 del trattato, l'obiettivo della creazione di un quadro giuridico armonizzato per la fornitura di firme elettroniche e dei servizi relativi non può essere sufficientemente realizzato dagli Stati membri e può dunque essere realizzato meglio a livello comunitario; la presente direttiva non va al di là di quanto necessario per il raggiungimento degli obiettivi del trattato,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

Articolo 1
Ambito di applicazione

La presente direttiva è volta ad agevolare l'uso delle firme elettroniche e a contribuire al loro riconoscimento giuridico. Essa istituisce un quadro giuridico per le firme elettroniche e taluni servizi di certificazione al fine di garantire il corretto funzionamento del mercato interno.

Essa non disciplina aspetti relativi alla conclusione e alla validità dei contratti o altri obblighi giuridici quando esistono requisiti relativi alla forma prescritti dal diritto nazionale o comunitario, né pregiudica le norme e i limiti che disciplinano l'uso dei documenti contenuti nel diritto nazionale o comunitario.

Articolo 2
Definizioni

Ai fini della presente direttiva, valgono le seguenti definizioni:

1) "firma elettronica", dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione;

2) "firma elettronica avanzata", una firma elettronica che soddisfi i seguenti requisiti:

a) essere connessa in maniera unica al firmatario;

b) essere idonea ad identificare il firmatario;

c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;

d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati;

3) "firmatario", una persona che detiene un dispositivo per la creazione di una firma e agisce per conto proprio o per conto della persona fisica o giuridica o dell'entità che rappresenta;

4) "dati per la creazione di una firma", dati peculiari, come codici o chiavi crittografiche private, utilizzati dal firmatario per creare una firma elettronica;

5) "dispositivo per la creazione di una firma", un software configurato o un hardware usato per applicare i dati per la creazione di una firma;

6) "dispositivo per la creazione di una firma sicura", un dispositivo per la creazione di una firma che soddisfa i requisiti di cui all'allegato III;

7) "dati per la verifica della firma", dati, come codici o chiavi crittografiche pubbliche, utilizzati per verificare una firma elettronica;

8) "dispositivo di verifica della firma", un software configurato o un hardware usato per applicare i dati di verifica della firma;

9) "certificato", un attestato elettronico che collega i dati di verifica della firma ad una persona e conferma l'identità di tale persona;

10) "certificato qualificato", un certificato conforme ai requisiti di cui all'allegato I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti di cui all'allegato II;

11) "prestatore di servizi di certificazione", un'entità o una persona fisica o giuridica che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche;

12) "prodotto di firma elettronica", hardware o software, oppure i componenti pertinenti dei medesimi, destinati ad essere utilizzati da un prestatore di servizi di certificazione per la prestazione di servizi di firma elettronica oppure per la creazione o la verifica di firme elettroniche;

13) "accreditamento facoltativo", qualsiasi permesso che stabilisca diritti ed obblighi specifici della fornitura di servizi di certificazione, il quale sia concesso, su richiesta del prestatore di servizi di certificazione interessato, dall'organismo pubblico o privato preposto all'elaborazione e alla sorveglianza del rispetto di tali diritti ed obblighi, fermo restando che il prestatore di servizi di certificazione non è autorizzato ad esercitare i diritti derivanti dal permesso fino a che non abbia ricevuto la decisione da parte dell'organismo.

Articolo 3
Accesso al mercato

1. Gli Stati membri non subordinano ad autorizzazione preventiva la prestazione di servizi di certificazione.

2. Fatto salvo il paragrafo 1, gli Stati membri possono introdurre o conservare sistemi di accreditamento facoltativi volti a fornire servizi di certificazione di livello più elevato. Tutte le condizioni relative a tali sistemi devono essere obiettive, trasparenti, proporzionate e non discriminatorie. Gli Stati membri non possono limitare il numero di prestatori di servizi di certificazione accreditati per motivi che rientrano nell'ambito di applicazione della presente direttiva.

3. Ciascuno Stato membro provvede affinché venga istituito un sistema appropriato che consenta la supervisione dei prestatori di servizi di certificazione stabiliti nel loro territorio e rilasci al pubblico certificati qualificati.

4. La conformità dei dispositivi per la creazione di una firma sicura ai requisiti di cui all'allegato III è determinata dai pertinenti organismi pubblici o privati designati dagli Stati membri. Secondo la procedura di cui all'articolo 9 la Commissione fissa i criteri in base ai quali gli Stati membri stabiliscono se un organismo può essere designato. La conformità ai requisiti di cui all'allegato III accertata dagli organismi di cui al primo comma è riconosciuta da tutti gli Stati membri.

5. Secondo la procedura di cui all'articolo 9 la Commissione può determinare e pubblicare nella Gazzetta ufficiale delle Comunità europee i numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica. Un prodotto di firma elettronica conforme a tali norme viene considerato dagli Stati membri conforme ai requisiti di cui all'allegato II, lettera f) e all'allegato III.

6. Gli Stati membri e la Commissione cooperano per promuovere lo sviluppo e l'uso dei dispositivi di verifica della firma, alla luce delle raccomandazioni per la verifica della firma sicura di cui all'allegato IV e nell'interesse dei consumatori.

7. Gli Stati membri possono assoggettare l'uso delle firme elettroniche nel settore pubblico ad eventuali requisiti supplementari. Tali requisiti debbono essere obiettivi, trasparenti, proporzionati e non discriminatori e riguardare unicamente le caratteristiche specifiche dell'uso di cui trattasi. Tali requisiti non possono rappresentare un ostacolo ai servizi transfrontalieri per i cittadini.

Articolo 4
Principi del mercato interno

1. Ciascuno Stato membro applica le disposizioni nazionali da esso adottate in base alla presente direttiva ai prestatori di servizi di certificazione stabiliti nel suo territorio e ai servizi da essi forniti. Gli Stati membri non possono limitare la prestazione di servizi di certificazione originati in un altro Stato membro nella materia disciplinata dalla presente direttiva.

2. Gli Stati membri consentono ai prodotti di firma elettronica conformi alla presente direttiva di circolare liberamente nel mercato interno.

Articolo 5
Effetti giuridici delle firme elettroniche

1. Gli Stati membri provvedono a che le firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura:

a) posseggano i requisiti legali di una firma in relazione ai dati in forma elettronica così come una firma autografa li possiede per dati cartacei; e

b) siano ammesse come prova in giudizio.

2. Gli Stati membri provvedono affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che è:

- in forma elettronica, o

- non basata su un certificato qualificato, o

- non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero

- non creata da un dispositivo per la creazione di una firma sicura.

Articolo 6
Responsabilità

1. Gli Stati membri provvedono almeno a che il prestatore di servizi di certificazione che rilascia al pubblico un certificato come certificato qualificato o che garantisce al pubblico tale certificato, sia responsabile per danni provocati a entità o persone fisiche o giuridiche che facciano ragionevole affidamento su detto certificato:

a) per quanto riguarda l'esattezza di tutte le informazioni contenute nel certificato qualificato al momento del (*) rilascio e il fatto che esso contenga tutti i dati prescritti per un certificato qualificato,

b) per la garanzia che, al momento del rilascio del certificato, il firmatario identificato nel certificato qualificato detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica della firma riportati o identificati nel certificato,

c) la garanzia che i dati per la creazione della firma e i dati per la verifica della firma possano essere usati in modo complementare, nei casi in cui il fornitore di servizi di certificazione generi entrambi, a meno che il prestatore di servizi di certificazione provi di aver agito senza negligenza.

2. Gli Stati membri provvedono almeno a che il prestatore di servizi di certificazione che rilascia al pubblico un certificato come certificato qualificato sia responsabile, nei confronti di entità o di persone fisiche o giuridiche che facciano ragionevole affidamento sul certificato, dei danni provocati, per la mancata registrazione della revoca del certificato, a meno che provi di aver agito senza negligenza.

3. Gli Stati membri provvedono a che un prestatore di servizi di certificazione possa indicare, in un certificato qualificato, i limiti d'uso di detto certificato, purché tali limiti siano riconoscibili da parte dei terzi. Il prestatore di servizi di certificazione deve essere esentato dalla responsabilità per i danni derivanti dall'uso di un certificato qualificato che ecceda i limiti posti nello stesso.

4. Gli Stati membri provvedono affinché un prestatore di servizi di certificazione abbia la facoltà di indicare nel certificato qualificato un valore limite per i negozi per i quali può essere usato il certificato, purché tali limiti siano riconoscibili da parte dei terzi.

Il prestatore di servizi di certificazione non è responsabile dei danni risultanti dal superamento di detto limite massimo.

5. I paragrafi da 1 a 4 lasciano impregiudicata la direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (8).

Articolo 7
Aspetti internazionali

1. Gli Stati membri provvedono a che i certificati rilasciati al pubblico come certificati qualificati da un prestatore di servizi di certificazione stabilito in un paese terzo siano riconosciuti giuridicamente equivalenti ai certificati rilasciati da un prestatore di servizi di certificazione stabilito nella Comunità, in presenza di una delle seguenti condizioni:

a) il prestatore di servizi di certificazione possiede i requisiti di cui alla presente direttiva e sia stato accreditato in virtù di un sistema di accreditamento facoltativo stabilito in uno Stato membro, oppure

b) il certificato è garantito da un prestatore di servizi di certificazione stabilito nella Comunità, in possesso dei requisiti di cui alla presente direttiva, oppure

c) il certificato o il prestatore di servizi di certificazione è riconosciuto in forza di un accordo bilaterale o multilaterale tra la Comunità e paesi terzi o organizzazioni internazionali.

2. Al fine di agevolare servizi di certificazione transfrontalieri con paesi terzi e il riconoscimento giuridico delle firme elettroniche avanzate che hanno origine in paesi terzi, la Commissione presenta, se del caso, proposte miranti all'effettiva attuazione di norme e di accordi internazionali applicabili ai servizi di certificazione. In particolare, ove necessario, essa presenta al Consiglio proposte relative a mandati per la negoziazione di accordi bilaterali e multilaterali con paesi terzi e organizzazioni internazionali. Il Consiglio decide a maggioranza qualificata.

3. Ogniqualvolta la Commissione è informata di difficoltà che le imprese comunitarie incontrano riguardo all'accesso al mercato di paesi terzi, essa può, se necessario, presentare al Consiglio proposte in merito a un appropriato mandato di negoziato per ottenere diritti paragonabili per le imprese comunitarie in tali paesi terzi. Il Consiglio decide a maggioranza qualificata.

Le misure adottate a norma di questo paragrafo lasciano impregiudicati gli obblighi della Comunità e degli Stati membri derivanti da accordi internazionali in materia.

Articolo 8
Protezione dei dati

1. Gli Stati membri provvedono a che i prestatori di servizi di certificazione e gli organismi nazionali responsabili dell'accreditamento o della supervisione si conformino alla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (9).

2. Gli Stati membri consentono a un prestatore di servizi di certificazione che rilascia certificati al pubblico di raccogliere dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato. I dati non possono essere raccolti o elaborati per fini diversi senza l'espresso consenso della persona cui si riferiscono.

3. Fatti salvi gli effetti giuridici che la legislazione nazionale attribuisce agli pseudonimi, gli Stati membri non vietano al prestatore di servizi di certificazione di riportare sul certificato uno pseudonimo in luogo del nome del firmatario.

Articolo 9
Comitato

1. La Commissione è assistita da un "comitato per la firma elettronica", in prosieguo denominato "il comitato".

2. Nei casi in cui si fa riferimento al presente paragrafo, si applicano gli articoli 4 e 7 della decisione 1999/468/CE, tenuto conto dell'articolo 8 della stessa.

Il periodo di cui all'articolo 4, paragrafo 3 della decisione 1999/468/CE è fissato a tre mesi.

3. Il comitato adotta il proprio regolamento interno.

Articolo 10
Compiti del comitato

Il comitato precisa i requisiti di cui agli allegati della presente direttiva, i criteri di cui all'articolo 3, paragrafo 4 e le norme generalmente riconosciute per i prodotti di firma elettronica istituite e pubblicate a norma dell'articolo 3, paragrafo 5, secondo la procedura di cui all'articolo 9, paragrafo 2.

Articolo 11
Notificazione

1. Gli Stati membri comunicano alla Commissione e agli altri Stati membri le seguenti informazioni:

a) sistemi di accreditamento facoltativi nazionali ed ogni requisito supplementare a norma dell'articolo 3, paragrafo 7;

b) nomi e indirizzi degli organismi nazionali responsabili dell'accreditamento e della supervisione nonché degli organismi di cui all'articolo 3, paragrafo 4;

c) i nomi e gli indirizzi di tutti i prestatori di servizi di certificazione nazionali accreditati.

2. Le informazioni di cui al paragrafo 1 e le loro eventuali variazioni sono notificate agli Stati membri al più presto.

Articolo 12
Riesame

1. Entro il 19 luglio 2003 la Commissione riesamina l'applicazione della presente direttiva e presenta una relazione in merito al Parlamento europeo e al Consiglio.

2. Nel riesame si valuta, tra l'altro, se l'ambito di applicazione della presente direttiva debba essere modificato per tener conto dei progressi tecnologici, dell'evoluzione del mercato e degli sviluppi giuridici. La relazione include in particolare una valutazione, sulla base dell'esperienza acquisita, degli aspetti relativi all'armonizzazione. La relazione è corredata, se del caso, di proposte legislative.

Articolo 13
Attuazione

1. Gli Stati membri mettono in vigore le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva anteriormente al 19 luglio 2001. Essi ne informano immediatamente la Commissione.

Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono decise dagli Stati membri.

2. Gli Stati membri comunicano alla Commissione il testo delle principali disposizioni di diritto interno che adottano nella materia disciplinata dalla presente direttiva.

Articolo 14
Entrata in vigore

La presente direttiva entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale delle Comunità europee.

Articolo 15
Destinatari

Gli Stati membri sono destinatari della presente direttiva.

Fatto a Bruxelles, addì 13 dicembre 1999.

Per il Parlamento europeo
La Presidente
N. FONTAINE
Per il Consiglio
Il Presidente
S. HASSI


NOTE

(1) GU C 325 del 23.10.1998, pag. 5.
(2) GU C 40 del 15.2.1999, pag. 29.
(3) GU C 93 del 6.4.1999, pag. 33.
(4) Parere del Parlamento europeo del 13 gennaio 1999 (GU C 104 del 14.4.1999, pag. 49), posizione comune del Consiglio del 28 giugno 1999 (GU C 243 del 27.8.1999, pag. 33) e decisione del Parlamento europeo del 27 ottobre 1999 (non ancora pubblicata nella Gazzetta ufficiale). Decisione del Consiglio del 30 novembre 1999.
(5) GU L 367 del 31.12.1994, pag. 1. Regolamento modificato dal regolamento (CE) n. 837/95 (GU L 90 del 21.4.1995, pag. 1).
(6) GU L 367 del 31.12.1994, pag. 8. Decisione modificata da ultimo dalla decisione 1999/193/PESC (GU L 73 del 19.3.1999, pag. 1).
(7) GU L 184 del 17.7.1999, pag. 23.
(8) GU L 95 del 21.4.1993, pag. 29.
(9) GU L 281 del 23.11.1995, pag. 31.

(*) Rettifica riportata sulla GUCE L 119 del 7.5.2002


ALLEGATO I
Requisiti relativi ai certificati qualificati

I certificati qualificati devono includere:

a) l'indicazione che il certificato rilasciato è un certificato qualificato;

b) l'identificazione e lo Stato nel quale è stabilito il prestatore di servizi di certificazione;

c) il nome del firmatario del certificato o uno pseudonimo identificato come tale;

d) l'indicazione di un attributo specifico del firmatario, da includere se pertinente, a seconda dello scopo per cui il certificato è richiesto;

e) i dati per la verifica della firma corrispondenti ai dati per la creazione della firma sotto il controllo del firmatario;

f) un'indicazione dell'inizio e del termine del periodo di validità del certificato;

g) il codice d'identificazione del certificato;

h) la firma elettronica avanzata del prestatore di servizi di certificazione che ha rilasciato il certificato;

i) i limiti d'uso del certificato, ove applicabili; e

j) i limiti del valore dei negozi per i quali il certificato può essere usato, ove applicabili.

ALLEGATO II
Requisiti relativi ai prestatori di servizi di certificazione che rilasciano certificati qualificati

I prestatori di servizi di certificazione devono:

a) dimostrare l'affidabilità necessaria per fornire servizi di certificazione;

b) assicurare il funzionamento di un servizio di repertorizzazione puntuale e sicuro e garantire un servizio di revoca sicuro e immediato;

c) assicurare che la data e l'ora di rilascio o di revoca di un certificato possano essere determinate con precisione;

d) verificare con mezzi appropriati, secondo la legislazione nazionale l'identità e, eventualmente, le specifiche caratteristiche della persona cui è rilasciato un certificato qualificato;

e) impiegare personale dotato delle conoscenze specifiche, dell'esperienza e delle qualifiche necessarie per i servizi forniti, in particolare la competenza a livello gestionale, la conoscenza specifica nel settore della tecnologia delle firme elettroniche e la dimestichezza con procedure di sicurezza appropriate; essi devono inoltre applicare procedure e metodi amministrativi e di gestione adeguati e corrispondenti a norme riconosciute;

f) utilizzare sistemi affidabili e prodotti protetti da alterazioni e che garantiscano la sicurezza tecnica e crittografica dei procedimenti di cui sono oggetto;

g) adottare misure contro la contraffazione dei certificati e, nei casi in cui il prestatore di servizi di certificazione generi dati per la creazione di una firma, garantire la riservatezza nel corso della generazione di tali dati;

h) disporre di risorse finanziarie sufficienti ad operare secondo i requisiti previsti dalla direttiva, in particolare per sostenere il rischio di responsabilità per danni, ad esempio stipulando un'apposita assicurazione;

i) tenere una registrazione di tutte le informazioni pertinenti relative ad un certificato qualificato per un adeguato periodo di tempo, in particolare al fine di fornire la prova della certificazione in eventuali procedimenti giudiziari. Tali registrazioni possono essere elettroniche;

j) non conservare né copiare i dati per la creazione della firma della persona cui il prestatore di servizi di certificazione ha fornito i servizi di gestione della chiave;

k) prima di avviare una relazione contrattuale con una persona che richieda un certificato a sostegno della sua firma elettronica, informarla con un mezzo di comunicazione durevole, degli esatti termini e condizioni relative all'uso del certificato, compresa ogni limitazione dell'uso, l'esistenza di un sistema di accreditamento facoltativo e le procedure di reclamo e di risoluzione delle controversie. Dette informazioni, che possono essere trasmesse elettronicamente, devono essere scritte e utilizzare un linguaggio comprensibile. Su richiesta, elementi pertinenti delle informazioni possono essere resi accessibili a terzi che facciano affidamento sul certificato;

l) utilizzare sistemi affidabili per memorizzare i certificati in modo verificabile e far sì che:

- soltanto le persone autorizzate possano effettuare inserimenti e modifiche;

- l'autenticità delle informazioni sia verificabile,

- i certificati siano accessibili alla consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato,

- l'operatore possa rendersi conto di qualsiasi modifica tecnica che comprometta i requisiti di sicurezza.

ALLEGATO III
Requisiti relativi ai dispositivi per la creazione di una firma sicura

1. I dispositivi per la creazione di una firma sicura, mediante mezzi tecnici e procedurali appropriati, devono garantire almeno che:

a) i dati per la creazione della firma utilizzati nella generazione della stessa possono comparire in pratica solo una volta e che è ragionevolmente garantita la loro riservatezza;

b) i dati per la creazione della firma utilizzati nella generazione della stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da contraffazioni compiute con l'impiego di tecnologia attualmente disponibile;

c) i dati per la creazione della firma utilizzati nella generazione della stessa sono sufficientemente protetti dal firmatario legittimo contro l'uso da parte di terzi.

2. I dispositivi sicuri per la creazione di una firma non devono (*) alterare i dati da firmare né impediscono che tali dati siano presentati al firmatario prima dell'operazione di firma.

(*) Rettifica riportata sulla GUCE L 119 del 7.5.2002

ALLEGATO IV
Raccomandazioni per la verifica della firma sicura

Durante il processo relativo alla verifica della firma occorre garantire, entro limiti ragionevoli di certezza, che:

a) i dati utilizzati per la verifica della firma corrispondono ai dati comunicati al verificatore;

b) la firma è verificata in modo affidabile e i risultati della verifica correttamente comunicati;

c) il verificatore può, all'occorrenza, stabilire in modo attendibile i contenuti dei dati firmati;

d) l'autenticità e la validità del certificato necessario al momento della verifica della firma sono verificate in modo attendibile;

e) i risultati della verifica e dell'identità del firmatario sono comunicati correttamente;

f) l'uso di uno pseudonimo è chiaramente indicato;

g) qualsiasi modifica che incida sulla sicurezza può essere individuata.



(N.d.r.: per maggior documentazione, inseriamo alcune note che erano state allegate al documento di proposta della Direttiva)

RELAZIONE

I. ANTEFATTI

Le reti aperte, come Internet, sono di crescente importanza per le comunicazioni su scala mondiale. Esse consentono comunicazioni interattive tra parti che spesso, in precedenza, non avevano instaurato alcuna relazione; offrono nuove opportunità commerciali grazie alla creazione di nuovi strumenti per potenziare la produttività e ridurre i costi, come pure nuovi metodi per raggiungere i consumatori. Le reti sono utilizzate da imprese che intendono avvalersi delle nuove modalità di fare commercio e delle nuove modalità di lavoro, quali il telelavoro e gli ambienti virtuali condivisi. Anche le amministrazioni pubbliche stanno utilizzando queste reti nelle interazioni con le imprese e con i cittadini. Il commercio elettronico presenta all'Unione europea un'eccellente opportunità di potenziare la propria integrazione economica.

Per sfruttare al meglio queste opportunità, è necessario un contesto sicuro per quanto concerne l'autenticazione elettronica. Esistono svariati metodi per firmare documenti in modo elettronico: da quelli molto semplici (ad esempio l'inserimento, in un documento realizzato con un programma di trattamento testi, dell'immagine ottenuta per scansione di una firma autografa) a quelli estremamente avanzati (ad esempio, le firme digitali che utilizzano la "crittografia a chiave pubblica"). Le firme elettroniche consentono a chi riceve dati inviati in modo elettronico di verificare l'origine dei dati (autenticazione della fonte dei dati) e di controllare che i dati siano completi e inalterati, e pertanto di salvaguardarne l'integrità (integrità dei dati).

La verifica dell'autenticità e dell'integrità dei dati non dimostra necessariamente l'identità del firmatario che crea le firme elettroniche. Ad esempio, in che modo il destinatario di un messaggio è in grado di appurare che il mittente sia effettivamente colui che dichiara di essere? Il mittente puó pertanto desiderare di ottenere informazioni più affidabili in merito all'identità del firmatario. Tali informazioni possono essere fornite dal firmatario medesimo, qualora egli presenti al mittente prove soddisfacenti. Un altro modo consiste nel fare confermare l'identità ad opera di una terza parte (ad esempio, una persona o un'istituzione in cui entrambi le parti facciano affidamento). Nel contesto della presente direttiva, queste terze parti sono denominate prestatori di servizi di certificazione.

Nella sua comunicazione in data 16 aprile, intitolata "Un'iniziativa europea in materia di commercio elettronico" e diretta al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni, la Commissione ha riconosciuto che le firme digitali costituiscono uno strumento essenziale ai fini di fornire sicurezza e sviluppare la fiducia nelle reti aperte. La Dichiarazione Ministeriale di Bonn ha parimenti evidenziato l'esigenza di firme digitali quale problema chiave per il commercio elettronico.

Come prima tappa, la Commissione ha presentato al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni una comunicazione intitolata "Garantire la sicurezza e l'affidabilità nelle comunicazioni elettroniche - Verso la definizione di un quadro europeo in materia di firme digitali e di cifratura" in cui ha sottolineato l'esigenza di un approccio coerente nel settore. Il 1 dicembre 1997 il Consiglio ha accolto con favore la comunicazione ed ha invitato la Commissione a presentare quanto prima una proposta di direttiva del Parlamento europeo e del Consiglio in materia di firme digitali.

A seguito della pubblicazione della comunicazione e come risultato delle riunioni con gli Stati membri, con rappresentanti del settore privato, in particolare dell'industria europea del settore crittografico, e della Conferenza internazionale degli esperti di Copenhagen, la Commissione ha ricevuto i pareri dalle varie parti implicate. Dalle informazioni raccolte è possibile trarre le conclusioni qui di seguito riportate.

1. La crescente attività legislativa in questo settore in numerosi Stati membri evidenzia l'urgente necessità di un quadro giuridico armonizzato a livello europeo, per evitare la comparsa di seri ostacoli al funzionamento del mercato interno.

2. Mentre si assiste ad un acceso dibattito e fervono i lavori in merito alle tecnologie per le firme digitali che impiegano la crittografia a chiave pubblica, una direttiva a livello europeo dovrebbe risultare neutrale nei confronti delle tecnologie e non concentrarsi unicamente su tale tipo di firme. Dato che si prevede lo sviluppo di svariati servizi di autenticazione, il campo d'applicazione della direttiva in questione dovrebbe essere abbastanza ampio da abbracciare una gamma di "firme elettroniche" che includerebbe, tra l'altro, le firme digitali basate sulla crittografia a chiave pubblica come pure altri metodi di autenticazione dei dati.

3. Per garantire il funzionamento del mercato interno e sostenere il rapido sviluppo del mercato in termini di domanda dell'utenza e di innovazione tecnologica, si deve evitare ogni regime di autorizzazione preventiva. Si reputa che ai prestatori di servizi di certificazione che intendano offrire livelli di sicurezza più elevati possano essere utili sistemi di accreditamento facoltativi, quale mezzo per conquistare la fiducia dei consumatori. Nella misura in cui tali dispositivi sono richiesti dal mercato, essi possono consentire un livello di sicurezza, sotto il profilo giuridico, superiore o più prevedibile tanto per il prestatore di servizi di certificazione quanto per il consumatore.

4. Le firme elettroniche utilizzate all'interno dei gruppi chiusi, ad esempio, laddove siano già stati instaurati rapporti contrattuali, non debbono necessariamente rientrare nel campo d'applicazione della presente direttiva. In tale contesto deve prevalere la libertà contrattuale.

5. Il fatto di garantire il riconoscimento giuridico - in particolare, il riconoscimento transfrontaliero - delle firme elettroniche e dei servizi di certificazione è considerata la questione più importante del settore. A tal fine, è necessario precisare i requisiti essenziali per i prestatori di servizi di certificazione, che tra l'altro definiscano la responsabilità attribuita a questi ultimi.

6. Si presume che l'industria si assuma l'iniziativa, assieme agli organismi di normalizzazione, di elaborare norme riconosciute a livello internazionale per le firme elettroniche. Tali norme debbono essere precipuamente intese alla realizzazione di un ambiente aperto per prodotti e servizi interoperabili. Il ruolo della Commissione consisterà nell'appoggiare tale processo.

7. A livello internazionale sono in corso numerose attività e dibattiti. La Commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) ha adottato una legge-tipo in materia di commercio elettronico (Model Law on Electronic Commerce) ed ha avviato ulteriori lavori intesi all'elaborazione di regole uniformi in materia di firme digitali. L'Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha anch'essa in corso attività in questo settore, basate sulle Linee direttrici da essa stilate nel 1997 in tema di politica della crittografia. Altri organismi internazionali, quali l'Organizzazione mondiale del commercio (OMC), sono anch'essi coinvolti in questioni correlate. Nella messa in opera di un quadro giuridico a livello europeo è opportuno tenere conto di tali sviluppi in corso.


II. ESIGENZA DI ARMONIZZAZIONE

Numerosi Stati membri hanno già avviato iniziative legislative dettagliate in materia di firme elettroniche:

Stato membro

Situazione delle iniziative legislative

Austria

Lavori preparatori

Belgio

  • Diritto delle telecomunicazioni: sistema di dichiarazione facoltativo preventivo per i prestatori di servizi;
  • Progetti di legge su servizi di certificazione connessi alle firme digitali;
  • Progetti di legge che modificano il Codice Civile per quanto concerne le prove di tipo elettronico;
  • Progetto di legge sull'uso delle firme digitali nel settore della sicurezza sociale e della sanità pubblica.

Danimarca

Progetto di legge relativo all'impiego sicuro ed efficiente delle comunicazioni digitali.

Francia

  • Legge sulle telecomunicazioni (Decreti in materia di autorizzazioni e di esenzioni):

fornitura di prodotti di firma elettronica soggetta ad una procedura informativa;

libero uso, importazione ed esportazione dei prodotti di firma elettronica

  • Legislazione concernente l'uso delle firme digitali nel settore della sicurezza sociale e della sanità pubblica.

Finlandia

  • Progetto di legge sullo scambio elettronico di informazioni nelle amministrazioni e nelle procedure di diritto amministrativo;
  • Progetto di legge sullo status del "Centro per il censimento della popolazione" quale prestatore di servizi di certificazione.

Germania

  • Legge e decreto sulle firme digitali già adottati: condizioni in cui le firme digitali sono reputate sicure; accreditamento facoltativo dei prestatori di servizi;
  • Stesura di un Catalogo di misure di sicurezza adeguate;
  • Consultazione pubblica in corso in merito agli aspetti giuridici delle firme digitali e dei documenti elettronici firmati in modo digitale.

Italia

  • Legge generale sulla riforma della pubblica amministrazione e sulla semplificazione amministrativa già adottata: principio del riconoscimento giuridico dei documenti elettronici;
  • Decreto relativo alla creazione, archiviazione e trasmissione di documenti e contratti elettronici;
  • Decreto relativo ai requisiti dei prodotti e servizi in corso di preparazione;
  • Decreto relativo agli obblighi fiscali derivanti dai documenti elettronici in corso di preparazione.

Paesi Bassi

  • Sistema di accreditamento facoltativo per i prestatori di servizi in corso di preparazione;
  • Legge fiscale relativa alla registrazione per via elettronica delle dichiarazioni dei redditi;
  • Progetto di legge che modifica il Codice civile in corso di preparazione.

Spagna

  • Circolari del Dipartimento delle dogane concernenti l'impiego delle firme elettroniche;
  • Risoluzione nel settore della sicurezza sociale che regolamenta l'uso di mezzi elettronici;
  • Leggi e circolari nel settore delle ipoteche, della fiscalità, dei servizi finanziari e dell'iscrizione a registro delle imprese, che consentono l'uso di procedure elettroniche;
  • Legge di bilancio 1998 che conferisce mandato alla Zecca di agire come prestatore di servizi di certificazione.

Svezia

Lavori preparatori

Regno Unito

Progetto di legislazione relativa ad un regime di autorizzazione facoltativo per i prestatori di servizi di certificazione e al riconoscimento giuridico delle firme elettroniche.

Questa rassegna mostra che le differenti iniziative negli Stati membri hanno prodotto una situazione divergente a livello giuridico. Malgrado gli Stati membri sembrino concentrarsi sui medesimi problemi - in particolare, i requisiti relativi ai prestatori di servizi e ai prodotti, la condizione che le firme elettroniche debbono soddisfare per avere effetto giuridico e la struttura dei sistemi di accreditamento - è chiaro che la divergenza dei regolamenti in materia (o l'assenza degli stessi) sarà tale da ostacolare il funzionamento del mercato interno nel settore delle firme elettroniche. La divergenza delle regole relative all'effetto giuridico attribuito alle firme elettroniche risulta particolarmente dannosa per la futura evoluzione del commercio elettronico e, di conseguenza, per la crescita economica e per l'occupazione nella Comunità. Un'ulteriore fonte di insicurezza è costituita dall'eterogeneità delle regole in materia di responsabilità e dall'incertezza della giurisdizione in materia di responsabilità nel caso di fornitura di servizi tra differenti Stati membri. Sembra inoltre probabile che le condizioni tecniche in base alle quali le firme elettroniche saranno considerate sicure varieranno a seconda degli Stati membri.

Questa situazione eterogenea potrebbe creare un serio ostacolo alla comunicazione e al commercio sulle reti aperte in tutta la Comunità europea, impedendo la libertà di impiego e di fornitura di servizi connessi alle firme elettroniche, e limitando lo sviluppo di nuove attività economiche connesse al commercio elettronico. L'obiettivo perseguito dalla proposta di direttiva allegata consiste nell'eliminare gli ostacoli, in particolare le divergenze in materia di riconoscimento giuridico delle firme elettroniche e le restrizioni alla libera circolazione dei servizi e prodotti di certificazione tra gli Stati membri. Dati gli obiettivi perseguiti, la responsabilità della misura prevista ricade sotto la competenza esclusiva della Comunità. La proposta di direttiva è intesa a "rendere possibile" l'uso delle firme elettroniche in uno spazio privo di frontiere interne, concentrandosi sui requisiti essenziali relativi ai servizi di certificazione e lasciando agli Stati membri il compito di definire disposizione di attuazione dettagliate. La proposta di direttiva è coerente con la politica legislativa della Commissione in materia di sussidiarietà, proporzionalità e semplificazione legislativa necessaria.

Pertanto, la Commissione propone che la presente proposta si basi sull'articolo 57, paragrafo 2, sull'articolo 66 e sull'articolo 100 A del trattato. Per ragioni di proporzionalità, la Commissione reputa che lo strumento giuridico più appropriato sia costituito da una direttiva.


III. OBIETTIVO E CAMPO DI APPLICAZIONE DELLA DIRETTIVA

1. La presente direttiva è intesa a garantire il corretto funzionamento del mercato interno nel settore delle firme elettroniche, tramite la creazione di un quadro giuridico armonizzato ed appropriato relativo all'uso delle firme elettroniche nella Comunità europea, e la definizione di una serie di criteri che costituiscono la base del riconoscimento giuridico delle firme elettroniche.

2. Le comunicazioni elettroniche e il commercio su scala globale dipendono dall'adeguamento progressivo delle legislazioni internazionali e nazionali alla rapida evoluzione dell'infrastruttura tecnologica. Anche se in molte situazioni è possibile reperire soluzioni soddisfacenti per analogia con le regole in vigore, per evitare effetti impropri e indesiderabili sarà forse necessario adattare in certa misura tali legislazioni alla luce delle nuove tecnologie. Malgrado le firme digitali realizzate tramite tecniche crittografiche siano attualmente considerate un importante tipo di firma elettronica, il quadro di regolamentazione europeo deve essere sufficientemente flessibile da includere altre tecniche che possano essere impiegate per garantire l'autenticazione.

3. La tecnologia delle firme elettroniche trova evidente applicazione nei contesti chiusi, quali ad esempio la rete locale di un'impresa o un sistema bancario. I certificati e le firme elettroniche sono inoltre utilizzati a fini di autorizzazione, ad esempio per accedere ad un conto privato. Nel quadro della legislazione nazionale, il principio della libertà contrattuale consente alle parti contraenti di concordare reciprocamente i termini e le condizioni entro cui svolgere le attività commerciali, ad esempio accettando le firme elettroniche. In questi settori non è evidentemente necessaria una regolamentazione.

4. Data la gamma di servizi e la loro possibile applicazione, i prestatori di servizi di certificazione debbono poter offrire i rispettivi servizi senza essere obbligati ad ottenere un'autorizzazione preventiva. I prestatori di servizi, tuttavia, vorranno forse avvantaggiarsi della validità giuridica conferita alle firme elettroniche da sistemi di accreditamento facoltativo connessi a requisiti comuni. L'accreditamento deve essere considerato come un servizio pubblico offerto a quei prestatori di servizi di certificazione che desiderino fornire servizi di livello elevato. Ció non deve in alcun modo implicare che un servizio non accreditato debba risultare automaticamente meno sicuro.

5. Un prestatore di servizi di certificazione puó offrire un'ampia gamma di servizi. La presente direttiva si concentra in particolare modo sui servizi di certificazione connessi alle firme elettroniche. I certificati possono essere impiegati per svariate funzioni e possono contenere differenti elementi informativi. Puó trattarsi, tra l'altro, di elementi di identificazione di tipo convenzionale - come, ad esempio, nome, indirizzo, numero di registrazione o numero della sicurezza sociale, numero di partita IVA o codice fiscale - o di attributi specifici del firmatario - ad esempio, l'autorizzazione ad agire per conto di un'impresa, la solvibilità, l'esistenza di garanzie di pagamento, la titolarità di specifici permessi o licenze. Tuttavia, un quadro giuridico è necessario soprattutto per rendere possibile, tramite i certificati, l'autenticazione della firma elettronica del singolo firmatario. La presente direttiva si concentra pertanto sulla funzione del certificato (denominato "certificato qualificato") in connessione all'identità civile o al ruolo di una determinata persona.

6. Gli effetti giuridici derivanti dalle firme elettroniche sono un elemento chiave di un sistema aperto, ma affidabile, di firme elettroniche. L'applicazione della presente direttiva contribuirà anche alla definizione di un quadro giuridico armonizzato nella Comunità, garantendo che non si possa negare validità giuridica, effetto giuridico o forza esecutiva alla firma elettronica unicamente per il fatto che tale firma si presenta sotto forma di dati elettronici, che essa non è basata su un certificato qualificato o su un certificato rilasciato da un prestatore di servizi di certificazione accreditato, e garantendo che le firme elettroniche siano riconosciute sul piano giuridico allo stesso modo delle firme (sottoscrizioni) autografe. Inoltre, i sistemi nazionali relativi all'ammissibilità delle prove devono essere ampliati ai fini del riconoscimento dell'uso delle firme elettroniche.

7. Il riconoscimento giuridico delle firme elettroniche deve essere basato su criteri oggettivi, trasparenti, non discriminatori e proporzionali e non essere connesso ad alcuna autorizzazione o accreditamento del prestatore di servizi interessato. I requisiti comuni elaborati per i prestatori di servizi di certificazione debbono promuovere il riconoscimento transfrontaliero di firme e certificati nella Comunità europea. L'elenco dei requisiti deve essere applicabile a tutti i prestatori di servizi di certificazione, indipendentemente dal modello di accreditamento dei singoli Stati membri. E' possibile che i requisiti debbano essere periodicamente rivisti, in quanto la futura evoluzione delle tecnologie o del mercato potranno rendere necessari adeguamenti. In base ai pareri che riceverà in futuro, la Commissione potrà proporre una revisione dei requisiti.

8. Le regole comuni in materia di responsabilità contribuiranno a suscitare la fiducia dei consumatori, e delle imprese che faranno affidamento sui certificati, come pure dei prestatori di servizi, e a promuovere pertanto la diffusa accettazione delle firme elettroniche.

9. Per lo sviluppo del commercio elettronico internazionale sono importanti meccanismi di cooperazione che consentano il riconoscimento transfrontaliero delle firme e dei certificati con i paesi terzi. In particolare, consentendo ai prestatori di servizi di certificazione all'interno della Comunità europea di avvallare certificati di paesi terzi allo stesso modo in cui essi garantiscono i propri certificati, si agevoleranno in modo semplice ma efficace i servizi transfrontalieri.