I profili di responsabilità del Certificatore Qualificato nel contesto del C.A.D.

Tempo di lettura stimato:5 Minuti, 9 Secondi

La trasformazione digitale ha portato con sé nuove sfide e opportunità, come abbiamo avuto modo di meglio precisare in un precedente contributo (premere qui per leggerlo), con il Codice dell’Amministrazione Digitale (CAD) che svolge un ruolo cruciale nella regolamentazione delle transazioni elettroniche. Il certificatore qualificato è una figura chiave nel contesto della sicurezza e gestione dei servizi di identificazione digitale e di posta elettronica certificata. La sua responsabilità risulta oggi fondamentale per garantire l’affidabilità e la sicurezza delle transazioni elettroniche.

Quando un soggetto intende fornire servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata egli, ai sensi dell’art. 29 C.A.D., deve inoltrare apposita domanda di qualificazione all’AgID. A seguito dell’accoglimento della domanda l’AgID dispone l’iscrizione del richiedente in un apposito elenco di fiducia pubblico, tenuto dall’AgID stessa e consultabile anche in via telematica (premere qui per consultarlo). Tutti gli Stati membri dell’Unione europea, poi, pubblicano, ai sensi dell’art. 22 del Regolamento eIDAS, i rispettivi elenchi che sono resi pubblici dalla Commissione europea attraverso un proprio elenco, consultabile anch’esso in via telematica (premere qui per consultarlo).

Nel Codice dell’Amministrazione Digitale viene sancito l’obbligo per il certificatore qualificato di adottare tutte le misure idonee ad evitare danni a terzi, nonché la responsabilità dello stesso per i danni cagionati nello svolgimento della propria attività. Su di esso grava inoltre l’onere di provare la mancanza di dolo o colpa in relazione al danno anzidetto.

Il certificatore è poi tenuto alla certa identificazione della persona che fa richiesta della certificazione, e alla corretta manutenzione dei registri di revoca e sospensione, quindi in presenza di registrazioni risultate errate a causa del comportamento colposo o doloso del certificatore stesso, egli sarà tenuto a risarcire il terzo che abbia fatto legittimo affidamento su tali registrazioni.

Nel caso in cui il certificato contenga limiti d’uso e gli stessi siano riconoscibili da parte di terzi e chiaramente evidenziati nel processo di verifica della firma, il certificatore non è responsabile dei danni derivati dall’uso del certificato qualificato che ecceda tali limiti.

Il Codice dell’Amministrazione Digitale, comunque, configura un quadro normativo completo e dettagliato per la gestione delle responsabilità del certificatore qualificato. Di seguito esamineremo più approfonditamente i concetti chiave espressi nel testo:

Obbligo di adottare misure idonee: il C.A.D. pone l’accento sull’obbligo del certificatore qualificato di adottare tutte le misure idonee ad evitare danni a terzi. Questo richiede un impegno attivo nel garantire che i processi di autenticazione e gestione dei certificati siano sicuri ed efficienti. L’adozione di misure idonee implica la costante vigilanza e l’applicazione di standard di sicurezza avanzati.
Responsabilità per danneggiamenti: la responsabilità del certificatore qualificato si estende ai danni causati nell’esercizio delle proprie attività. Ciò implica che, in caso di danni derivati da un’azione o inazione del certificatore, questi è tenuto a risponderne. La dimensione della responsabilità copre sia danni diretti che danni causati a terzi a causa di un comportamento negligente o intenzionale.
Onere della prova: il C.A.D. impone all’entità certificatrice l’onere di provare la mancanza di dolo o colpa in relazione ai danni sopra menzionati. Questo significa che, in caso di controversie legali, il certificatore qualificato deve dimostrare che il danno non è derivato da una sua azione dolosa o colposa. Si tratta di un elemento cruciale per stabilire la responsabilità legale.
Corretta manutenzione dei registri: la corretta gestione dei registri di revoca e sospensione è una responsabilità ulteriore del certificatore. Questo include l’aggiornamento accurato e tempestivo di tali registri. Nel caso in cui errori si verifichino a causa di negligenza o comportamento doloso del certificatore, la normativa impone la responsabilità di risarcire terzi che abbiano fatto affidamento su informazioni erronee presenti nei registri.
Limiti d’uso del certificato: se il certificato qualificato contiene limiti d’uso chiaramente riconoscibili ed evidenziati durante il processo di verifica della firma, il certificatore non è responsabile dei danni derivati dall’uso del certificato che superi tali limiti. Questa disposizione offre una salvaguardia al certificatore quando il titolare del certificato agisce al di là dei termini e delle condizioni specificati nel certificato stesso.

I profili di responsabilità per il certificatore qualificato che non osservi tali obblighi trovano la loro base giuridica nell’art. 32-bis C.A.D., che conferisce espressamente all’AgID (in persona del direttore generale, sentito il comitato d’indirizzo) il potere di irrogare sanzioni ai certificatori che abbiano violato gli obblighi previsti dal Regolamento eIDAS e/o dal Codice dell’Amministrazione Digitale, per importi da un minimo di € 40.000,00 ad un massimo di € 400.000,00, fermo restando il diritto al risarcimento del maggior danno.

In caso poi di gravi violazioni (e cioè di quelle violazioni idonee a esporre a rischio i diritti e gli interessi di una pluralità di utenti o relative a significative carenze infrastrutturali o di processo del fornitore di servizio), AgID può disporre la cancellazione del certificatore dall’elenco dei soggetti qualificati e il divieto di accreditamento o qualificazione per un periodo fino ad un massimo di due anni.

Insomma, in base a tutto quanto sin qui esposto, è possibile affermare che il Codice dell’Amministrazione Digitale stabilisce una serie di principi fondamentali che guidano il comportamento e la responsabilità del certificatore qualificato nell’era digitale. Questi principi mirano a bilanciare la facilitazione delle transazioni elettroniche con la necessità di sicurezza e affidabilità, proteggendo al contempo gli interessi dei terzi che possono fare affidamento sui certificati digitali emessi. L’articolo 32-bis C.A.D. gioca un ruolo cruciale nel garantire la conformità dei certificatori qualificati con gli standard più elevati di sicurezza e affidabilità. Le sanzioni previste forniscono un deterrente contro comportamenti negligenti o illeciti, contribuendo a creare un ambiente digitale più sicuro e affidabile.

Per approfondire:

- S. Martinelli & C. Rossi Chauvenet, Legal tech, contract re-design & Bif Data per professionisti e imprese, Padova, 2022

- R. Genghini, La forma notarile digitale, Padova, 2020

- M.F. Artusi, Sulla qualificazione della falsa richiesta di firma digitale, in Giurisprudenza Italiana, 10/2011

- E. Carloni, La riforma del codice dell'amministrazione digitale, in Giornale di diritto amministrativo, 5 / 2011, p. 469 ss.

- G. Finocchiaro, Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell'amministrazione digitale, in Contratto e impresa, 2/2011, pp. 495 – 504

Bio
Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

Sui profili del trasferimento dei dati nell’ambito del cloud computing - Luglio 14, 2024
Riflessioni a margine del convegno di Informatica Giuridica dell’Osservatorio permanente delle novità giurisprudenziali di legittimità del Consiglio dell’Ordine degli Avvocati di Napoli - Luglio 10, 2024
Sulla nozione di trasferimento dei dati personali - Luglio 1, 2024
Sul principio della net neutrality - Giugno 24, 2024
Quando è obbligatorio nominare il D.P.O. - Giugno 17, 2024

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Per approfondire:

Nicola Nappi

Ultimi post di Nicola Nappi (vedi tutti)

Correlati