Legge federale sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (Legge sulla firma elettronica, FiEle)

La presente legge definisce:

1. i requisiti posti alla qualità di determinati certificati digitali e alla loro utilizzazione;
2. le condizioni alle quali i prestatori di servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (servizi di certificazione) possono essere riconosciuti;
3. i diritti e gli obblighi dei prestatori di servizi di certificazione riconosciuti.

Essa non disciplina gli effetti giuridici dell’utilizzazione di certificati digitali, ad eccezione della responsabilità di cui agli articoli 17 e 18.

Ha lo scopo di:

1. promuovere un’ampia offerta di servizi di certificazione sicuri;
2. favorire l’utilizzazione di certificati digitali, firme elettroniche e sigilli elettronici;
3. permettere il riconoscimento internazionale dei prestatori di servizi di certificazione e delle loro prestazioni.

Nella presente legge s’intende per:

1. firma elettronica:dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati per la loro autenticazione;
2. firma elettronica avanzata:firma elettronica che soddisfa i seguenti requisiti:1.è attribuita esclusivamente al titolare,2.permette di identificare il titolare,3.è creata con mezzi sui quali il titolare può conservare il proprio controllo esclusivo,4.è collegata ai dati ai quali si riferisce in modo tale che una successiva modifica dei dati sia riconoscibile;
3. firma elettronica regolamentata:firma elettronica avanzata creata utilizzando un dispositivo sicuro per la creazione della firma secondo l’articolo 6 e fondata su un certificato regolamentato e rilasciato a una persona fisica valido al momento della creazione della firma elettronica;
4. sigillo elettronico regolamentato:firma elettronica avanzata creata utilizzando un dispositivo sicuro per la creazione del sigillo secondo l’articolo 6 e fondata su un certificato regolamentato rilasciato a un’unità IDI secondo l’articolo 3 capoverso 1 lettera c della legge federale del 18 giugno 2010³ sul numero d’identificazione delle imprese (LIDI) valido al momento della creazione del sigillo elettronico;
5. firma elettronica qualificata:firma elettronica regolamentata fondata su un certificato qualificato;
6. certificato digitale: attestato digitale che attribuisce la chiave pubblica di una coppia asimmetrica di chiavi crittografiche al suo titolare;
7. certificato regolamentato: certificato digitale che soddisfa i requisiti dell’articolo 7 ed è stato rilasciato da un prestatore di servizi di certificazione riconosciuto secondo la presente legge;
8. certificato qualificato:certificato regolamentato che soddisfa i requisiti dell’articolo 8;
9. marca temporale elettronica:conferma dell’esistenza di determinati dati digitali in un dato momento;
10. marca temporale elettronica qualificata:marca temporale elettronica generata da un prestatore di servizi di certificazione riconosciuto secondo la presente legge e corredata di un sigillo elettronico regolamentato;
11. prestatore di servizi di certificazione: organismo che certifica dati in ambito elettronico e che rilascia a tal fine certificati digitali;
12. organismo di riconoscimento: organismo che, in base alla legislazione federale sugli ostacoli tecnici al commercio⁴, è accreditato per riconoscere e sorvegliare i prestatori di servizi di certificazione.

Quali prestatori di servizi di certificazione possono essere riconosciute le persone fisiche o giuridiche che:

1. sono iscritte nel registro di commercio;
2. sono in grado di fornire e gestire certificati qualificati conformemente ai requisiti della presente legge;
3. impiegano personale munito delle conoscenze, dell’esperienza e delle qualifiche necessarie;
4. utilizzano sistemi e prodotti informatici, in particolare dispositivi affidabili e sicuri per la creazione di una firma e di un sigillo;
5. possiedono risorse o garanzie finanziarie sufficienti;
6. stipulano le assicurazioni necessarie alla copertura della responsabilità prevista dall’articolo 17 e delle spese che possono comportare le misure previste nell’articolo 14 capoversi 2 e 3;
7. assicurano l’osservanza del diritto applicabile, in particolare della presente legge e delle relative disposizioni d’esecuzione.

Le condizioni previste nel capoverso 1 si applicano anche ai prestatori di servizi di certificazione esteri. Se un prestatore estero è già riconosciuto da un organismo estero, l’organismo svizzero può riconoscerlo se è provato che:

1. il riconoscimento è stato accordato secondo il diritto estero;
2. le norme del diritto estero determinanti per il riconoscimento sono equivalenti a quelle del diritto svizzero;
3. l’organismo di riconoscimento estero possiede qualifiche equivalenti a quelle richieste all’organismo di riconoscimento svizzero;
4. l’organismo di riconoscimento estero garantisce all’organismo di riconoscimento svizzero di collaborare per la sorveglianza in Svizzera del prestatore.

Le unità amministrative della Confederazione, dei Cantoni e dei Comuni possono essere riconosciute quali prestatori di servizi di certificazione anche se non sono iscritte nel registro di commercio.

Il Consiglio federale designa l’organismo competente per l’accreditamento degli organismi di riconoscimento (organismo di accreditamento).

Se nessun organismo è stato accreditato per il riconoscimento, il Consiglio federale designa l’organismo di accreditamento o un altro organismo appropriato quale organismo di riconoscimento.

Gli organismi di riconoscimento annunciano all’organismo di accreditamento i prestatori di servizi di certificazione da essi riconosciuti.

L’organismo di accreditamento mette a disposizione del pubblico la lista dei prestatori di servizi di certificazione riconosciuti.

Il Consiglio federale disciplina la generazione, la memorizzazione e l’utilizzazione di chiavi crittografiche che possono essere oggetto di certificati regolamentati ai sensi della presente legge; garantisce in proposito un elevato livello di sicurezza, conforme all’evoluzione tecnologica.

I sistemi di generazione, memorizzazione e utilizzazione di chiavi crittografiche private, in particolare i dispositivi per la creazione di una firma e di un sigillo, devono almeno garantire che le chiavi:

1. possano comparire in pratica soltanto una volta e la loro segretezza sia sufficientemente assicurata;
2. non possano, con un margine di sicurezza sufficiente, essere individuate per deduzione e che la loro utilizzazione sia protetta da contraffazioni grazie all’impiego della tecnologia disponibile;
3. possano essere protette in modo affidabile dal legittimo titolare contro l’abuso da parte di terzi.

Un certificato regolamentato può essere rilasciato a persone fisiche e unità IDI.

Contiene le seguenti informazioni:

1. il numero di serie;
2. l’indicazione che si tratta di un certificato regolamentato;
3. il nome o la designazione del titolare della relativa chiave crittografica privata; in caso di possibile confusione, il nome o la designazione devono essere completati da un attributo distintivo;
4. per le persone fisiche, se del caso lo pseudonimo, designato come tale, al posto del nome;
5. per le unità IDI, il numero di identificazione dell’impresa secondo la LIDI⁵;
6. la chiave crittografica pubblica;
7. la durata di validità;
8. il nome, lo Stato di domicilio e il sigillo elettronico regolamentato del prestatore di servizi di certificazione che rilascia il certificato.

Il certificato può inoltre contenere gli elementi seguenti:

1. le qualità specifiche del titolare della relativa chiave crittografica privata, ad esempio la qualifica professionale;
2. per le persone fisiche, l’indicazione che sono autorizzate a rappresentare una determinata unità IDI;
3. l’ambito di validità per il quale è previsto;
4. il valore massimo delle transazioni per le quali è previsto.

Il Consiglio federale disciplina il formato dei certificati regolamentati.

Un certificato qualificato può essere rilasciato soltanto a una persona fisica.

Contiene un’iscrizione secondo cui è previsto soltanto per la firma elettronica.

Al posto dell’indicazione di cui all’articolo 7 capoverso 2 lettera b, nel certificato va inserita l’indicazione che si tratta di un certificato qualificato.

I prestatori di servizi di certificazione riconosciuti esigono dalle persone che chiedono il rilascio di un certificato regolamentato:

1. che si presentino personalmente e provino la loro identità, se sono persone fisiche;
2. che un loro rappresentante si presenti personalmente e provi la sua identità e il potere di rappresentanza, se sono unità IDI e non persone fisiche.

I prestatori di servizi di certificazione verificano che le qualifiche professionali e le altre qualità specifiche (art. 7 cpv. 3 lett. a) siano state confermate dall’organismo competente.

Nel caso sia indicato un potere di rappresentanza (art. 7 cpv. 3 lett. b), i prestatori di servizi di certificazione verificano che l’unità IDI abbia dato il proprio consenso.

Il Consiglio federale designa i documenti per mezzo dei quali chi chiede un certificato può provare la propria identità ed eventualmente le proprie qualità specifiche. Può prevedere che, a determinate condizioni, il richiedente non sia tenuto a presentarsi personalmente.

I prestatori di servizi di certificazione riconosciuti si accertano inoltre che la persona che chiede un certificato regolamentato sia in possesso della relativa chiave crittografica privata.

I prestatori di servizi di certificazione riconosciuti possono delegare a terzi (uffici di registrazione) l’dentificazione di un richiedente. Rispondono della corretta esecuzione di questo compito da parte dell’ufficio di registrazione.

I prestatori di servizi di certificazione riconosciuti devono rendere accessibili al pubblico le loro condizioni contrattuali generali e le informazioni sulla loro politica di certificazione.

Al più tardi in occasione del rilascio dei certificati regolamentati, i prestatori di servizi di certificazione riconosciuti devono rendere attenti i loro clienti alle conseguenze dell’utilizzazione abusiva della chiave crittografica privata, come pure alle misure da prendere, secondo le circostanze, per mantenere segreta la chiave.

I prestatori di servizi di certificazione riconosciuti tengono un libro giornale delle attività. Il Consiglio federale disciplina il termine di conservazione del libro giornale e dei relativi documenti giustificativi.

I prestatori di servizi di certificazione riconosciuti annullano senza indugio un certificato regolamentato se:

1. il titolare o il suo rappresentante lo chiede;
2. emerge che è stato ottenuto illecitamente o che le informazioni di cui all’articolo 7 capoverso 3 non sono o non sono più esatte;
3. il legame di attribuzione con il suo titolare non è più garantito.

In caso di annullamento secondo il capoverso 1 lettera a, i prestatori di servizi di certificazione riconosciuti devono accertarsi che il richiedente sia autorizzato a chiedere l’annullamento.

I prestatori di servizi di certificazione riconosciuti informano senza indugio dell’avvenuto annullamento il titolare del certificato regolamentato.

Ogni prestatore di servizi di certificazione riconosciuto garantisce che le persone interessate possano verificare in maniera affidabile, in ogni momento e mediante una procedura usuale, la validità di tutti i certificati regolamentati che ha rilasciato.

Può inoltre offrire un servizio che permetta alle persone interessate di ricercare nella lista e richiamare i certificati regolamentati che ha rilasciato. Un certificato è iscritto nella lista solo su richiesta del titolare.

Le consultazioni da parte di enti pubblici sono gratuite.

Il Consiglio federale stabilisce il periodo minimo durante il quale deve essere possibile la verifica dei certificati regolamentati non più validi.

Su richiesta, i prestatori di servizi di certificazione riconosciuti generano marche temporali elettroniche qualificate.

I prestatori di servizi di certificazione riconosciuti notificano in tempo utile all’organismo di accreditamento la cessazione della loro attività. Gli notificano senza indugio eventuali comminatorie di fallimento ricevute.

L’organismo di accreditamento incarica un altro prestatore di servizi di certificazione riconosciuto di tenere la lista dei certificati regolamentati validi, scaduti o annullati e di conservare il libro giornale delle attività nonché i relativi documenti giustificativi. Nel caso in cui non fosse disponibile un prestatore di servizi di certificazione riconosciuto, il Consiglio federale designa un organismo idoneo per la ripresa dell’attività dismessa. Il prestatore di servizi di certificazione riconosciuto che cessa la sua attività si assume le spese che ne risultano.

Il capoverso 2 si applica anche in caso di fallimento di un prestatore di servizi di certificazione riconosciuto.

I prestatori di servizi di certificazione riconosciuti e gli uffici di registrazione da loro incaricati possono trattare soltanto i dati personali necessari all’adempimento dei loro compiti. Qualsiasi commercio di questi dati è vietato.

Per il resto, è applicabile la legislazione sulla protezione dei dati.

La sorveglianza sui prestatori di servizi di certificazione riconosciuti è svolta dagli organismi di riconoscimento in base alle norme della legislazione federale sugli ostacoli tecnici al commercio ⁶ .

L’organismo di riconoscimento che revoca il riconoscimento di un prestatore di servizi di certificazione ne dà immediata comunicazione all’organismo di accreditamento. È applicabile l’articolo 14 capoverso 2.

I prestatori di servizi di certificazione riconosciuti che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di un certificato regolamentato valido e ai terzi che si sono fidati di tale certificato.

I prestatori di servizi di certificazione riconosciuti devono provare di aver ottemperato agli obblighi derivanti dalla presente legge e dalle disposizioni d’esecuzione.

I prestatori di servizi di certificazione riconosciuti non possono escludere la responsabilità derivante dalla presente legge per i danni causati da loro stessi o dai loro ausiliari. Non rispondono tuttavia del danno risultante dall’inosservanza o dalla violazione di una restrizione dell’utilizzazione del certificato (art. 7 cpv. 3 lett. c e d).

Gli organismi di riconoscimento che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di un certificato regolamentato valido e ai terzi che si sono fidati di tale certificato. L’articolo 17 capoversi 2 e 3 si applica per analogia.

Le pretese fondate sulla presente legge si prescrivono in tre anni dal giorno in cui l’avente diritto ha avuto conoscenza del danno e della persona responsabile, ma in ogni caso in dieci anni dal giorno in cui il fatto dannoso è stato commesso o è cessato.

Se il fatto dannoso commesso dalla persona responsabile costituisce un fatto punibile, la pretesa di risarcimento del danno si prescrive al più presto alla scadenza del termine di prescrizione dell’azione penale. Se la prescrizione dell’azione penale si estingue a seguito di una sentenza penale di prima istanza, la pretesa si prescrive al più presto in tre anni dalla comunicazione della sentenza.

Sono fatte salve le pretese risultanti da un contratto.

Per facilitare l’utilizzazione e il riconoscimento giuridico internazionali di firme elettroniche e di altre applicazioni di chiavi crittografiche, il Consiglio federale può concludere convenzioni internazionali riguardanti segnatamente:

1. il riconoscimento delle firme elettroniche, dei sigilli elettronici e dei certificati digitali;
2. il riconoscimento dei prestatori di servizi di certificazione e degli organismi di riconoscimento;
3. il riconoscimento delle verifiche e delle valutazioni di conformità;
4. il riconoscimento dei marchi di conformità;
5. il riconoscimento dei sistemi di accreditamento e degli organismi accreditati;
6. il conferimento di mandati di normazione a organismi internazionali di normazione nella misura in cui la legislazione rimandi a determinate norme tecniche o quando un tale rimando è previsto;
7. l’informazione e la consultazione riguardo all’elaborazione, all’emanazione, alla modifica e all’applicazione di prescrizioni o norme tecniche.

Il Consiglio federale emana le prescrizioni necessarie per l’applicazione delle convenzioni internazionali che riguardano gli ambiti di cui al capoverso 1.

Può delegare a privati attività relative all’informazione e alla consultazione riguardanti l’elaborazione, l’emanazione e la modifica di prescrizioni o norme tecniche e prevedere la loro rimunerazione.

Il Consiglio federale emana le disposizioni d’esecuzione. Tiene conto del diritto internazionale afferente e può dichiarare applicabili norme tecniche internazionali.

Può incaricare l’Ufficio federale delle comunicazioni di emanare prescrizioni amministrative e tecniche.

Per conseguire gli scopi della legge, il Consiglio federale può affidare a un’unità amministrativa federale o cantonale il compito di rilasciare certificati regolamentati anche per le transazioni di diritto privato o di partecipare all’impresa di un prestatore di servizi di certificazione privato.

L’abrogazione e la modifica di altri atti normativi sono disciplinate nell’allegato.

La presente legge sottostà a referendum facoltativo.

Il Consiglio federale ne determina l’entrata in vigore. Data dell’entrata in vigore: 1° gennaio 2017 ⁸