Ordinanza sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (Ordinanza sulla firma elettronica, OFiEle)

Il Servizio di accreditamento svizzero (SAS) della Segreteria di Stato dell’economia accredita gli organismi che riconoscono i prestatori di servizi di certificazione per l’audit e la certificazione di prodotti, processi e servizi. A tal fine si basa sulle disposizioni dell’ordinanza del 17 giugno 1996 ³ sull’accreditamento e sulla designazione, sulla norma ISO/IEC 17065 ⁴ e sullo standard ETSI EN 319 403‑1 ⁵ . ⁶

Se non esiste alcun organismo di riconoscimento accreditato, l’Ufficio federale delle comunicazioni (UFCOM) riconosce i prestatori di servizi di certificazione.

I prestatori di servizi di certificazione che vogliono essere riconosciuti concludono un’assicurazione responsabilità civile per un importo di almeno 2 milioni di franchi per evento assicurato e di 8 milioni di franchi per anno di assicurazione.

Invece dell’assicurazione possono produrre una garanzia equivalente.

La lunghezza della chiave e l’algoritmo utilizzato devono essere in grado di resistere agli attacchi crittografici durante la validità del certificato regolamentato.

L’UFCOM disciplina le modalità nelle prescrizioni tecniche e amministrative e stabilisce i requisiti applicabili ai sistemi di generazione, di memorizzazione e di utilizzazione delle chiavi crittografiche private.

L’UFCOM disciplina il formato dei certificati regolamentati per le applicazioni seguenti:

1. la firma elettronica di una persona fisica o il sigillo elettronico di un’unità IDI ai sensi dell’articolo 3 capoverso 1 lettera c della legge federale del 18 giugno 2010⁷ sul numero d’identificazione delle imprese (LIDI);
2. l’identificazione elettronica di suddetta persona o unità;
3. il criptaggio di dati elettronici.

I certificati regolamentati contenenti l’indicazione che, con la propria firma elettronica, il titolare può contrarre un obbligo per sé o per l’unità IDI di cui è rappresentante possono essere rilasciati soltanto a persone fisiche.

I prestatori di servizi di certificazione riconosciuti esigono dalle persone che chiedono un certificato regolamentato che esibiscano personalmente un passaporto, una carta d’identità svizzera o una carta d’identità riconosciuta per l’entrata in Svizzera.

Se le qualità specifiche (art. 7 cpv. 3 lett. a FiEle), il potere di rappresentanza o l’unità IDI rappresentata (art. 7 cpv. 3 lett. b FiEle) sono iscritti nel registro di commercio, i prestatori di servizi di certificazione riconosciuti esigono la presentazione di un estratto attuale e autenticato di quest’ultimo. Le qualità specifiche e il potere di rappresentanza menzionati nell’estratto non richiedono né la conferma da parte dell’organismo competente né l’approvazione dell’unità IDI rappresentata ai sensi dell’articolo 9 capoversi 2 e 3 FiEle.

I prestatori di servizi di certificazione riconosciuti devono assicurarsi che le iscrizioni nel certificato non siano contrarie a quelle del registro di commercio. In particolare, per una persona che, secondo il registro di commercio, è autorizzata a rappresentare un ente giuridico o che vi esercita una funzione, possono menzionare nel certificato, in relazione all’ente giuridico interessato, soltanto lo stesso potere di rappresentanza o la stessa funzione.

Se l’unità IDI rappresentata è iscritta nel registro di commercio, per menzionare nel certificato un potere di rappresentanza non iscritto nel registro di commercio è necessaria la firma di una persona autorizzata a rappresentare l’unità IDI secondo il registro di commercio.

I prestatori di servizi di certificazione riconosciuti verificano inoltre i dati relativi alle caratteristiche di base dell’unità IDI rappresentata consultando il registro IDI (art. 11 cpv. 1 LIDI ⁸ ). Se l’unità IDI non ha autorizzato la pubblicazione dei propri dati relativi alle caratteristiche di base (art. 11 cpv. 3 LIDI), devono esigere la presentazione di un estratto attuale del registro IDI. ⁹

I capoversi 1–5 si applicano anche al rilascio di un certificato regolamentato a una persona fisica che utilizza uno pseudonimo.

L’identità della persona che chiede il rilascio di un certificato regolamentato per un’unità IDI che non è una persona fisica deve essere verificata conformemente all’articolo 5 capoverso 1. Il potere di rappresentanza di questa persona dev’essere giustificato con una procura scritta, salvo se è iscritto nel registro di commercio.

I prestatori di servizi di certificazione riconosciuti devono verificare i dati relativi alle caratteristiche di base dell’unità IDI consultando il registro IDI (art. 11 cpv. 1 LIDI ¹⁰ ). Se l’unità IDI non ha autorizzato la pubblicazione dei propri dati relativi alle caratteristiche di base (art. 11 cpv. 3 LIDI), devono esigere la presentazione di un estratto attuale del registro IDI. ¹¹

Se l’unità IDI è iscritta nel registro di commercio, deve essere richiesta la presentazione di un estratto attuale e autenticato di quest’ultimo.

L’identità di una persona che chiede un certificato regolamentato può essere stabilita a distanza a condizione che un organismo di valutazione della conformità abbia confermato che il metodo di riconoscimento utilizzato fornisce una garanzia equivalente alla presenza di persona.

I prestatori di servizi di certificazione riconosciuti possono rilasciare certificati regolamentati nel quadro di un processo di verifica dell’identità tramite comunicazione audiovisiva in tempo reale conforme alle esigenze della legge del 10 ottobre 1997 ¹² sul riciclaggio di denaro. I certificati rilasciati in questo modo possono essere utilizzati soltanto nell’ambito delle relazioni tra i titolari e gli intermediari finanziari che ne hanno verificato l’identità.

I prestatori di servizi di certificazione riconosciuti possono basarsi sulla firma elettronica regolamentata e sul relativo certificato per:

1. identificare la persona che richiede un certificato regolamentato per un’unità IDI che non è una persona fisica, a condizione che il potere di rappresentanza del richiedente sia iscritto nel registro di commercio o giustificato con una procura scritta;
2. identificare la persona fisica senza qualità specifiche né potere di rappresentanza che richiede un certificato regolamentato per sé stessa.¹³

I prestatori di servizi di certificazione riconosciuti possono realizzare e conservare i duplicati delle chiavi crittografiche private dei propri clienti, salvo se queste ultime sono utilizzate per la firma elettronica e sono memorizzate nei dispositivi per la creazione delle firme in possesso dei clienti.

I prestatori riconosciuti informano i loro clienti sulla modalità di richiesta dell’annullamento dei certificati regolamentati. Essi devono essere in grado di ricevere in qualsiasi momento le domande di annullamento.

Devono garantire a terzi l’accesso online alle seguenti informazioni concernenti l’annullamento di un certificato regolamentato per almeno undici anni a partire dalla data di scadenza del certificato utilizzato per il rilascio dei certificati regolamentati:

1. il numero di serie del certificato;
2. la menzione dell’annullamento;
3. la data e l’ora dell’annullamento.¹⁵

Le informazioni di cui al capoverso 2 devono essere autenticate mediante il sigillo elettronico regolamentato del prestatore di servizi di certificazione riconosciuto. ¹⁶

Il capoverso 2 non si applica ai certificati elettronici la cui durata di validità è più breve del periodo di cui necessita il prestatore di servizi di certificazione per trattare la domanda di annullamento del certificato. Il capoverso 2 non si applica nemmeno ai certificati su cui si basano le firme con informazioni di convalida a lungo termine. ¹⁷

L’UFCOM definisce i requisiti che devono adempiere i prestatori di servizi di certificazione riconosciuti per fornire una marca temporale elettronica qualificata.

I prestatori di servizi di certificazione riconosciuti conservano durante undici anni le registrazioni concernenti le loro attività come pure i relativi documenti giustificativi.

Per le attività relative ai certificati, il termine decorre dalla scadenza dei certificati.

Per i certificati rilasciati in applicazione dell’articolo 7 capoverso 3 lettera b, le registrazioni e i documenti giustificativi per l’identificazione del titolare conformemente agli articoli 5 e 7 capoversi 1 e 2 devono essere conservati fino alla scadenza del termine di undici anni relativo all’ultimo certificato rilasciato secondo tale modalità.

I prestatori di servizi di certificazione riconosciuti comunicano immediatamente, ma con un preavviso di almeno 30 giorni, al SAS e all’organismo di riconoscimento che intendono cessare la loro attività.

Se non vi è alcun altro prestatore di servizi di certificazione riconosciuto cui il SAS può trasferire i compiti conformemente all’articolo 14 capoverso 2 FiEle, l’UFCOM assume le mansioni seguenti:

1. continua a trattare le domande di annullamento dei certificati regolamentati;
2. ¹⁸ assicura che le informazioni concernenti l’annullamento dei certificati regolamentati conformemente all’articolo 9 capoverso 2 possano essere consultate da terzi su supporto elettronico;
3. aggiorna il libro giornale delle attività e lo conserva unitamente ai relativi documenti giustificativi.

Può annullare di propria volontà i certificati ancora validi.

Il titolare di un certificato regolamentato deve conservare l’accesso esclusivo alla chiave crittografica utilizzata per creare una firma o un sigillo elettronico. Per quanto sia ragionevolmente esigibile, porta con sé o conserva sotto chiave il dispositivo per la creazione della firma o del sigillo elettronico.

In caso di perdita o di furto del dispositivo per la creazione della firma o del sigillo, il titolare del certificato regolamentato ne deve chiedere senza indugio l’annullamento. Lo stesso vale se il titolare sa o ha il sospetto fondato che un terzo abbia potuto avere accesso alla chiave crittografica utilizzata per creare una firma o un sigillo elettronico.

I dati per l’attivazione del dispositivo per la creazione della firma o del sigillo elettronico (dati di attivazione) non devono riferirsi a dati relativi alla persona o all’unità IDI titolare del certificato regolamentato.

Le trascrizioni dei dati di attivazione devono essere conservate in un luogo sicuro e separatamente dal dispositivo per la creazione della firma o del sigillo elettronico.

Il titolare di un certificato regolamentato deve modificare i dati di attivazione del dispositivo per la creazione della firma o del sigillo se sa o se ha il sospetto fondato che un terzo ne sia venuto a conoscenza. Se non può modificare egli stesso i dati di attivazione deve chiedere senza indugio l’annullamento del certificato.

Per quanto concerne la conservazione dei documenti giustificativi da esibire per il rilascio di un certificato regolamentato a persone le cui qualità specifiche o il cui potere di rappresentanza siano iscritti nel registro di commercio, rimangono salvi gli articoli 8 capoverso 5, 9 capoverso 4 e 166 dell’ordinanza del 17 ottobre 2007 ¹⁹ sul registro di commercio.

Solo l’iscrizione nel registro di commercio è determinante quale prova delle qualità specifiche e del potere di rappresentanza del titolare del certificato regolamentato.

L’UFCOM emana le necessarie prescrizioni tecniche e amministrative. A tal fine tiene conto della pertinente normativa internazionale e può dichiarare applicabili norme tecniche internazionali.

L’abrogazione e la modifica di altri atti normativi sono disciplinate nell’allegato.

I certificati qualificati rilasciati prima del 1° gennaio 2017 restano validi sino alla loro scadenza, ma al massimo fino al 31 dicembre 2019.

I prestatori di servizi di certificazione riconosciuti secondo il diritto anteriore possono rilasciare certificati regolamentati ai sensi del nuovo diritto finché non avranno ottenuto il riconoscimento secondo il nuovo diritto o fino a quando sarà ritirato loro il riconoscimento, ma non oltre il 31 dicembre 2018. I certificati regolamentati che rilasciano prima di aver ottenuto il nuovo riconoscimento sono validi al massimo fino al 31 dicembre 2019.

I requisiti di cui all’articolo 1 capoverso 1 vanno attuati al più tardi entro il 1° febbraio 2026.

I requisiti di cui all’articolo 9 capoverso 2 vanno attuati al più tardi entro il 1° luglio 2027.

La presente ordinanza entra in vigore il 1° gennaio 2017.