14.015 Messaggio concernente la revisione totale della legge federale sulla firma elettronica (FiEle) del 15 gennaio 2014
Onorevoli presidenti e consiglieri, con il presente messaggio vi sottoponiamo, per approvazione, il disegno di revisione totale della legge federale sulla firma elettronica.
Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.
15 gennaio 2014
In nome del Consiglio federale svizzero: Il presidente della Confederazione, Didier Burkhalter La cancelliera della Confederazione, Corina Casanova
2013-1914
913
Compendio La presente revisione totale chiarisce e semplifica l'impiego di certificati digitali da parte di persone giuridiche e autorità, rispondendo così all'esigenza espressa dal mondo dell'economia e dell'amministrazione di una normativa al passo coi tempi, efficiente e applicabile.
Situazione iniziale Nella legge federale del 2003 sulla firma elettronica (FiEle), la firma elettronica qualificata, equiparata alla firma autografa nel CO, è riservata alle persone fisiche.
Questa limitazione aveva lo scopo di impedire che venissero minati concetti fondamentali del diritto di rappresentanza. Già all'epoca si era discusso intensamente se introdurre un certificato regolamentato per le persone giuridiche e le autorità. Le critiche principali consideravano la limitazione della firma elettronica alle persone fisiche troppo restrittiva e l'utilizzo per le pratiche commerciali di massa eccessivamente complicato.
Contenuto del disegno Con la presente revisione totale della FiEle si intende attribuire al Consiglio federale la competenza di disciplinare, oltre alla firma elettronica qualificata che continuerà ad essere riservata esclusivamente alle persone fisiche, anche altre due applicazioni simili dei certificati digitali: la firma elettronica regolamentata con requisiti ridotti e il sigillo elettronico regolamentato accessibile anche a persone giuridiche e autorità. Questi due nuovi strumenti non vanno in nessun caso confusi con la fattispecie giuridica della firma elettronica. Il loro impiego non ha alcun effetto giuridico diretto e serve esclusivamente a garantire l'origine e l'integrità della comunicazione.
Come ulteriore applicazione dei certificati digitali si intende poi disciplinare a livello giuridico l'autenticazione sicura. Infine, laddove possibile, è necessario uniformare e semplificare i riferimenti terminologici alla firma elettronica e al sigillo elettronico nelle varie leggi e ordinanze.
Le modifiche non incideranno sui concetti e sui principi dell'attuale normativa, soprattutto per quanto riguarda la regolamentazione non esaustiva dei prodotti di certificazione. Le modifiche non intaccheranno neppure la compatibilità della legislazione svizzera con la direttiva europea in materia.
Nonostante le limitate modifiche materiali, il progetto è stato definito come «revisione totale», poiché l'estensione da una a due firme regolamentate e gli adeguamenti nella terminologia hanno dato adito a modifiche nella maggior parte degli articoli.
914
Indice Compendio
914
1
Punti essenziali del progetto 1.1 Situazione iniziale 1.1.1 Problema e accertamenti 1.1.2 Obiettivi della revisione totale 1.2 La normativa proposta 1.2.1 Certificato regolamentato, firma elettronica regolamentata e sigillo elettronico regolamentato 1.2.2 Competenza di disciplinare anche l'autenticazione 1.2.3 Sistema marcatempo come elemento obbligatorio della firma elettronica 1.2.4 Adeguamenti terminologici 1.2.5 Modifica di altri atti legislativi 1.3 Motivazione e valutazione della soluzione proposta 1.3.1 Introduzione del certificato regolamentato e del sigillo elettronico per le imprese e le autorità 1.3.2 Excursus sulla responsabilità del titolare di una chiave per la creazione della firma secondo l'articolo 59a del Codice delle obbligazioni 1.3.3 Tecnica di revisione 1.3.4 Procedura di consultazione 1.4 Coordinamento di compiti e finanze 1.5 Diritto comparato e rapporto con il diritto europeo 1.6 Attuazione 1.7 Interventi parlamentari
917 917 917 918 919
Commento ai singoli articoli 2.1 Legge sulla firma elettronica 2.1.1 Titolo della legge 2.1.2 Sezione 1: Disposizioni generali 2.1.3 Sezione 2: Riconoscimento dei prestatori di servizi di certificazione 2.1.4 Sezione 3: Generazione, salvataggio e utilizzazione di chiavi crittografiche 2.1.5 Sezione 4: Certificati regolamentati 2.1.6 Varie modifiche nelle sezioni 59 2.1.7 Sezione 5: Doveri dei prestatori di servizi di certificazione riconosciuti 2.2 Abrogazione e modifica di altri atti normativi 2.2.1 Legge federale del 19 dicembre 2003 sui servizi di certificazione nel campo della firma elettronica 2.2.2 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) 2.2.3 Legge del 17 giugno 2005 sul Tribunale federale 2.2.4 Codice delle obbligazioni
932 932 932 932
2
919 922 923 924 924 925 925 927 929 930 931 931 932 932
934 935 936 938 939 941 941 941 942 943 915
2.2.5 2.2.6 2.2.7 2.2.8 3
4
Codice di procedura civile del 19 dicembre 2008 Legge federale dell'11 aprile 1889 sulla esecuzione e sul fallimento Codice di procedura penale del 5 ottobre 2007 Adeguamenti terminologici
Ripercussioni 3.1 Ripercussioni per la Confederazione 3.1.1 Ripercussioni finanziarie 3.1.2 Ripercussioni sull'effettivo del personale 3.1.3 Altre ripercussioni 3.2 Ripercussioni per i Cantoni e i Comuni, per le città, gli agglomerati e le regioni di montagna 3.3 Ripercussioni dell'armonizzazione della trasmissione elettronica nei codici di procedura per i tribunali e le autorità 3.4 Ripercussioni per l'economia 3.5 Ripercussioni per la società 3.6 Ripercussioni per l'ambiente 3.7 Altre ripercussioni
943 944 944 944 945 945 945 945 946 946 946 946 946 946 947
Programma di legislatura e strategie nazionali del Consiglio federale 4.1 Rapporto con il programma di legislatura 4.2 Rapporto con le strategie nazionali del Consiglio federale
947 947 947
Aspetti giuridici 5.1 Costituzionalità e legalità 5.2 Compatibilità con gli impegni internazionali della Svizzera 5.3 Forma dell'atto 5.4 Subordinazione al freno delle spese 5.5 Conformità alla legge sui sussidi 5.6 Delega di competenze legislative 5.7 Protezione dei dati
948 948 948 948 948 948 948 949
Legge federale sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (Legge federale sulla firma elettronica, FiEle) (Disegno)
951
5
916
Messaggio 1
Punti essenziali del progetto
1.1
Situazione iniziale
1.1.1
Problema e accertamenti
Nella legge federale del 19 dicembre 2003 sulla firma elettronica (FiEle; RS 943.03) la firma elettronica qualificata, equiparata alla firma autografa nella legge federale di complemento del Codice civile (Libro quinto: Diritto delle obbligazioni, CO; RS 220), è riservata alle persone fisiche. Questa limitazione aveva lo scopo di impedire che venissero minati concetti fondamentali del diritto di rappresentanza. Già all'epoca si era discusso intensamente se introdurre un certificato regolamentato per le persone giuridiche e le autorità. Le critiche principali consideravano la limitazione della firma elettronica alle persone fisiche troppo restrittiva e soprattutto l'utilizzo per le pratiche commerciali di massa eccessivamente complicato.
In seguito alla mozione Baumann del 3 ottobre 2008 (08.3741; Requisiti di certificazione contrari al diritto in un'ordinanza attinente all'OLIVA), il Dipartimento federale di giustizia e polizia (DFGP) ha incaricato l'Ufficio federale di giustizia (UFG) di valutare attentamente la necessità di modificare la FiEle, affinché rispondesse alle esigenze di attuazione della «Strategia del Consiglio federale per una società dell'informazione in Svizzera» e contribuisse al suo successo.
In seguito è stata analizzata la necessità di intervenire. I risultati di tali analisi sono confluiti nel Rapporto del gruppo di lavoro interdipartimentale sui risultati della verifica circa l'attuazione della «Strategia del Consiglio federale per una società dell'informazione in Svizzera»: consolidamento delle basi giuridiche (cfr. n. 3.3.3).
L'11 giugno 2010 abbiamo preso atto del rapporto, incaricando il DFGP di esaminare le esigenze concrete di regolamentazione.
Nel settore commerciale e amministrativo vi è effettivamente un grande bisogno di certificati per le imprese e le autorità. In particolare per le pratiche commerciali di massa è quasi impossibile firmare il gran numero di comunicazioni con certificati personali per rispettare le norme pertinenti. In tali casi di solito si ricorre quindi alla cosiddetta firma elettronica avanzata, intestata all'impresa o addirittura al server, e se necessario si escludono per contratto eccezioni di forma. Questa prassi implica tuttavia sempre lo svantaggio che la qualità dei certificati non risponde a determinati criteri fissati dallo
Stato e deve pertanto essere definita di volta in volta.
Per l'unico caso in cui si verifica effettivamente uno scambio molto voluminoso di comunicazioni firmate tra il mondo dell'economia e l'amministrazione, ossia la trasmissione di fatture all'amministrazione dell'IVA per la registrazione della deduzione dell'imposta precedente, il Dipartimento federale delle finanze (DFF) ha disciplinato e imposto in un'ordinanza un proprio certificato per le imprese. Tale iniziativa è stata poi all'origine della summenzionata mozione Baumann.
Lo stesso problema si pone non soltanto per le imprese private, ma anche per le autorità, ad esempio nel caso della generazione automatica di estratti del casellario giudiziale, del registro di commercio o del registro fondiario. O si usa il certificato qualificato di una determinata persona, ad esempio dell'ufficiale del registro modificandolo in caso di mutazioni del personale oppure si deve ricorrere a un 917
certificato avanzato, che non risponde ad alcun criterio di qualità predefinito a livello statale.
Esperienze simili sono state fatte anche in altri Paesi europei. L'Austria, ad esempio, ha introdotto con un atto normativo proprio la cosiddetta «firma ufficiale» («Amtssignatur»), il cui certificato si riferisce a una determinata autorità.
Al centro della presente revisione della FiEle si pone quindi la necessità di predisporre anche per le persone giuridiche e le autorità una funzione che certifichi l'origine e l'integrità del documento.
Sono inoltre emerse altre necessità d'intervento urgenti, ossia la regolamentazione dell'autenticazione elettronica, l'eliminazione delle incertezze relative all'uso di documenti provvisti di firma elettronica e l'armonizzazione della terminologia in tutta la legislazione.
1.1.2
Obiettivi della revisione totale
Con la presente revisione totale s'intende raggiungere principalmente tre obiettivi.
In primo luogo, ad integrazione dell'attuale firma elettronica qualificata riservata solo alle persone fisiche, s'intende predisporre anche per le persone giuridiche e le autorità uno strumento che possa garantire l'origine e l'integrità dei documenti. Inoltre, tale strumento potrà essere ulteriormente adeguato alle esigenze poste dall'uso commerciale con disposizioni tecniche d'esecuzione. In futuro, quindi, il legislatore che dovrà disciplinare le prescrizioni di forma potrà scegliere tra l'attuale firma elettronica qualificata, la nuova firma elettronica regolamentata e il nuovo sigillo elettronico regolamentato.
In secondo luogo va elaborata una base legale che permetta di regolamentare, oltre alla firma elettronica, anche l'autenticazione sicura con i prodotti dei servizi di certificazione. Nella pratica, infatti, nella maggior parte dei casi la fiducia tra i partner negli scambi elettronici non è stabilita da una comunicazione firmata, bensì dall'autenticazione da parte di un servizio online.
Infine, laddove possibile, s'intende uniformare e semplificare la terminologia nelle diverse leggi e ordinanze che disciplinano la firma elettronica.
Inoltre, nel corso dei lavori di revisione, è stata valutata l'eventuale introduzione di un sistema marcatempo come elemento obbligatorio della firma elettronica qualificata.
Per i primi due punti la FiEle attualmente in vigore non prevede una norma di delega sufficiente. Con la revisione totale s'intende pertanto conferire al nostro Collegio la competenza di disciplinare in un'ordinanza e con disposizioni tecniche un ulteriore tipo di firma e altre applicazioni per i certificati, in particolare l'autenticazione.
Le modifiche non incideranno sui concetti e sui principi dell'attuale normativa, soprattutto per quanto riguarda la regolamentazione non esaustiva dei prodotti di certificazione. In vista di un futuro riconoscimento internazionale, le modifiche non intaccheranno neppure la compatibilità della legislazione svizzera con la Direttiva europea 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche (di 918
seguito Direttiva UE). Per questo motivo, laddove non è stata necessaria una modifica per motivi di contenuto, è stata mantenuta anche la struttura piuttosto atipica per la Svizzera della legge in vigore, con le sue ampie definizioni dei termini e la terminologia prevalentemente europea.
Se si considerano i risultati della revisione totale dal punto di vista della gamma dei prodotti dei prestatori di servizi di certificazione (di seguito prestatori), la situazione futura si presenta come segue:
qualsiasi prestatore può fornire certificati e altri prodotti di certificazione per qualsiasi tipo di applicazione, tranne il certificato regolamentato, il certificato qualificato e il sistema marcatempo qualificato;
un prestatore riconosciuto secondo la FiEle può fornire tutti prodotti di cui sopra e inoltre i tre prodotti regolamentati dalla FiEle rivista ossia: il certificato regolamentato (nuovo): per le persone fisiche, le persone giuridiche e le autorità, per qualsiasi applicazione (tranne per la firma elettronica qualificata) secondo le nostre disposizioni esecutive ovvero dell'Ufficio federale delle comunicazioni (UFCOM); il certificato qualificato (invariato): solo per le persone fisiche, solo per la firma elettronica qualificata; il sistema marcatempo qualificato (nuovo).
1.2
La normativa proposta
1.2.1
Certificato regolamentato, firma elettronica regolamentata e sigillo elettronico regolamentato
La legge vigente conformemente alla direttiva UE definisce la firma elettronica qualificata come fondata su un certificato qualificato e attribuisce al nostro Collegio la competenza di disciplinare la generazione delle chiavi e dei relativi dispositivi per la creazione di una firma (art. 6). Le principali caratteristiche di un certificato qualificato sono elencate nell'articolo 7; a noi compete disciplinare il formato del certificato.
Partendo dalla firma elettronica (art. 2 lett. a), la firma elettronica avanzata (art. 2 lett. b) è stata finora definita come secondo livello e la firma elettronica qualificata (art. 2 lett. c) come terzo livello. La firma elettronica qualificata deve soddisfare tutti i requisiti della firma elettronica avanzata e questa, a sua volta, tutti i requisiti della firma elettronica.
919
Secondo il diritto vigente la struttura delle firme elettroniche appare come segue: Figura 1 Struttura delle firme elettroniche secondo il diritto vigente
Con la revisione questa struttura rimarrà invariata, anche se prima della firma elettronica qualificata sarà introdotta la nuova «firma elettronica regolamentata» per le persone fisiche ovvero il nuovo «sigillo elettronico regolamentato» per le persone giuridiche e le autorità.
Pertanto in futuro la struttura sarà la seguente: la base per tutte le firme e il nuovo sigillo sarà sempre costituita dalla firma elettronica e dalla firma elettronica avanzata, che si fonda sulla prima. Al terzo livello di specializzazione saranno in futuro introdotti la firma elettronica regolamentata per le persone fisiche e il sigillo elettronico regolamentato per le persone giuridiche e le autorità. Solo al quarto livello si troverà la firma elettronica qualificata. Quest'ultima dovrà soddisfare tutti i requisiti della firma elettronica regolamentata e questa, a sua volta, tutti i requisiti della firma elettronica avanzata.
Figura 2 Nuova struttura delle firme elettroniche secondo il disegno di legge
920
Nel diritto vigente la firma elettronica qualificata si basa su un certificato qualificato. Ciò viene mantenuto nella versione rivista, tuttavia come livello antecedente al certificato qualificato è ora previsto il «certificato regolamentato» con requisiti leggermente meno restrittivi. Il certificato regolamentato sarà utilizzato per le seguenti applicazioni:
la «firma elettronica regolamentata» per le persone fisiche;
il «sigillo elettronico regolamentato» per le persone giuridiche e le autorità;
ulteriori applicazioni secondo le disposizioni esecutive della presente legge, come in particolare l'autenticazione sicura.
Al nostro Collegio è conferita la competenza di disciplinare anche la generazione e l'applicazione delle chiavi relative a questi certificati, nonché i formati dei certificati stessi.
Figura 3 Struttura dei certificati digitali secondo il disegno di legge Già nel diritto vigente il certificato digitale costituiva la base per il certificato qualificato, ma non era definito nella legge.
In futuro il certificato regolamentato sarà un caso speciale del certificato digitale e il certificato qualificato sarà un caso speciale del certificato regolamentato. Ogni certificato qualificato sarà pertanto anche un certificato regolamentato. Tutte le prescrizioni previste per il certificato regolamentato (in particolare art. 7) si applicheranno pertanto anche al certificato qualificato.
La differenza principale del certificato qualificato rispetto a quello regolamentato è che il primo come nel diritto vigente è accessibile solo alle persone fisiche, mentre il secondo può avere come titolari, oltre alle persone fisiche, anche persone giuridiche o autorità. Di conseguenza il certificato regolamentato non può essere rilasciato semplicemente a una macchina, come ad esempio un server.
Al fine di semplificare la terminologia sia per il certificato regolamentato sia per quello qualificato sarà introdotta già a livello di definizione (cfr. art. 2 lett. g e h) la condizione secondo cui tali certificati devono essere rilasciati da un prestatore riconosciuto di servizi di certificazione. Questa novità semplifica la designazione della firma elettronica riconosciuta in Svizzera. Finora era necessaria una formulazione simile alla seguente: «È considerata riconosciuta la firma elettronica qualificata ai sensi della FiEle che è rilasciata con un certificato qualificato di un prestatore riconosciuto di servizi di certificazione». Benché fino ad ora la firma elettronica qualificata necessitasse comunque di un certificato qualificato, quest'ultimo poteva essere rilasciato teoricamente anche da un prestatore non riconosciuto. Poiché tali prodotti non esistono sul mercato e non ne è prevedibile alcuna applicazione utile, essi sono stati esclusi dalla nuova definizione. Grazie alla nuova struttura in futuro sarà sufficiente la seguente formulazione: «È riconosciuta la firma elettronica qualificata ai sensi della FiEle».
921
Anche se con la nuova legge otteniamo la competenza di disciplinare due tipi di certificato invece di uno solo come finora, non va dimenticato che ogni prestatore riconosciuto o non riconosciuto di servizi di certificazione è libero di offrire qualsiasi altro tipo di certificato.
Affinché la nostra competenza di generare, salvare e utilizzare le chiavi non debba essere formulata separatamente per ogni tipo di applicazione dei certificati la firma elettronica regolamentata, il sigillo elettronico regolamentato, la firma elettronica qualificata, l'autenticazione descritta qui di seguito ed eventualmente altre applicazioni , l'attuale articolo 6, che definisce tale competenza per la firma elettronica qualificata, è stato sostituito con un nuovo articolo 6, neutro in termini di applicazione. L'articolo ci attribuisce questa competenza non più per una determinata applicazione dei due tipi di certificati regolamentati, ma per qualsiasi applicazione.
Le competenze attuali relative alla firma elettronica qualificata rimangono le stesse, lasciando così invariata la compatibilità con la Direttiva UE. Riceviamo unicamente la stessa competenza di regolamentare la generazione, il salvataggio e l'applicazione delle chiavi anche per un secondo tipo di certificato, specifico per la Svizzera, e per ulteriori applicazioni di questo certificato.
1.2.2
Competenza di disciplinare anche l'autenticazione
Per una corrispondenza commerciale elettronica proficua tra privati e con le autorità è importante sapere con sicurezza con chi si sta comunicando e avere la possibilità di accertare che l'altra parte sia veramente quella che dice di essere.
Quando circa dieci anni fa fu elaborata la FiEle attualmente in vigore, si pensava che la corrispondenza elettronica riguardasse soprattutto lo scambio di messaggi di posta elettronica o di dati strutturati e che l'identità dei mittenti sarebbe pertanto stata comprovata con sicurezza tramite messaggi con firma elettronica. Questo modello di comunicazione si è instaurato solo in alcuni segmenti commerciali e soprattutto per la corrispondenza tra professionisti. La comunicazione online, invece, funziona sempre più spesso secondo il modello per cui un comunicante spesso il cliente o il cittadino si collega a un sistema di applicazione o portale dell'altro comunicante nella maggior parte dei casi una società o un'autorità e svolge la sua operazione attraverso questo sistema. Oppure il collegamento avviene a un livello inferiore, in cui l'applicazione del cliente si collega al servizio web del prestatore di servizi e i due programmi si autentificano reciprocamente. In entrambi i casi la sicurezza dell'identità dei comunicanti è immediatamente assicurata dal collegamento dei due sistemi attraverso la cosiddetta autenticazione (dal lato di chi si collega o dal lato del servizio). Benché con questa procedura siano trasmessi a un livello inferiore anche messaggi firmati, la firma non è apposta intenzionalmente. Di conseguenza sono di norma utilizzati gli stessi certificati impiegati per la firma elettronica, anche se non esattamente gli stessi per entrambe le applicazioni in modo da evitare accessi e abusi da parte di terzi.
Il mondo dell'economia chiede perciò da tempo per determinati casi di autenticazione un certificato regolamentato dallo Stato, che grazie al suo carattere ufficiale e una qualità predefinita, possa garantire un maggior grado di sicurezza. Ci sono diverse applicazioni in uso e in programma che impongono elevati requisiti di protezione dei dati e di sicurezza delle informazioni (ad esempio nel settore eHealth le
922
cartelle cliniche dei pazienti che richiedono una rigida autenticazione), e quindi un corrispondente certificato sarebbe accolto molto positivamente.
L'attuale certificato qualificato è predestinato a essere utilizzato per le firme elettroniche, soprattutto per la firma elettronica qualificata con i suoi effetti particolari. Per motivi tecnici, e per evitare il rischio di determinati attacchi informatici contro la firma sicura, si prevede di limitarne l'uso alla firma elettronica.
Questa limitazione non varrà invece per il nuovo certificato regolamentato, che dovrà soddisfare requisiti leggermente meno esigenti. Dal punto di vista giuridico, questo tipo di certificato può essere impiegato per le firme e i sigilli elettronici in diversi campi di applicazione, come ad esempio l'archiviazione, l'apposizione di un sigillo a un programma o la firma di messaggi di posta elettronica, ma anche per l'autenticazione o per altre applicazioni di sicurezza come il certificato SSL.
Dal punto di vista della tecnica legislativa, tutte le disposizioni che riguardavano l'applicazione di un certificato per la firma sono state riformulate in modo da potersi riferire a tutte le applicazioni. Non si parla quindi più di «chiavi per la firma» o «chiavi per la verifica della firma», ma di «chiavi crittografiche pubbliche e private». Va ricordato, però, che questa nuova formulazione più generale non modifica in alcun modo, dal punto di vista materiale, la situazione del certificato qualificato utilizzato solo a scopo di firma.
1.2.3
Sistema marcatempo come elemento obbligatorio della firma elettronica
Negli ultimi anni gli addetti ai lavori hanno ripetutamente chiesto che la firma elettronica qualificata fosse obbligatoriamente provvista di un sistema marcatempo sicuro. Il sistema marcatempo associa una data e un'ora ufficiali a determinati dati identificativi di un documento, il che permette se il sistema è affidabile di comprovare l'esistenza di tale documento o l'apposizione di una firma elettronica o di un sigillo a una determinata ora. Senza il sistema marcatempo l'ora e la data di una firma elettronica hanno in fondo soltanto il valore di un'affermazione non comprovata. Determinati accessi illeciti o truffe si possono impedire soltanto con l'integrazione di un sistema marcatempo nella firma elettronica. Per questo motivo anche il vigente articolo 12 della FiEle obbliga i prestatori riconosciuti di servizi di certificazione a offrire un sistema marcatempo.
Gli attuali programmi di firma elettronica prevedono normalmente l'integrazione di un sistema marcatempo nella firma. Generalmente questa opzione può essere impostata come standard.
Per integrare il sistema marcatempo nella firma elettronica è necessario essere collegati a Internet al momento della firma; un requisito tecnico che all'epoca della creazione della FiEle rappresentava un ostacolo troppo grande. A titolo di esempio si citava spesso il notaio che in occasione di un'assemblea generale doveva autenticare in loco statuti e verbali con la sua firma. Oggi la condizione del collegamento in rete è molto più facile da rispettare, tra qualche anno sarà probabilmente soddisfatta in quasi tutte le situazioni.
Nel quadro dei lavori di revisione della FiEle l'introduzione del sistema marcatempo è stata esaminata e sottoposta a consultazione in tre varianti:
923
1.
a una firma elettronica qualificata deve essere per definizione obbligatoriamente connesso un sistema marcatempo di un prestatore di servizi di certificazione riconosciuto;
2.
si prevedono due sottotipi di firme elettroniche qualificate, una con e una senza sistema marcatempo;
3.
il sistema marcatempo non è obbligatorio per la firma elettronica qualificata secondo la FiEle, ma per il riconoscimento di tale firma nel CO in sostituzione della firma autografa.
Prendendo atto dei risultati della consultazione, proponiamo la terza variante. La FiEle non si esprime in merito dato che l'obbligo del sistema marcatempo può essere stabilito a seconda delle applicazioni concrete. Nel caso dell'articolo 14 capoverso 2bis CO, in cui la firma elettronica qualificata è equiparata alla firma autografa per quanto riguarda il rispetto del requisito della forma scritta, il sistema marcatempo è obbligatorio.
1.2.4
Adeguamenti terminologici
La base per una notevole semplificazione terminologica è già stata descritta al numero 1.2.1 nelle spiegazioni relative alle nuove definizioni dei certificati. Dal momento che in futuro i certificati regolamentati, e quindi anche qualificati, dovranno sempre essere rilasciati da un prestatore di servizi di certificazione riconosciuto, tale requisito può essere omesso nei riferimenti. Secondo tale semplificazione, un atto legislativo può ora fare riferimento alla firma elettronica necessaria per sostituire la forma scritta in maniera molto più breve, servendosi dell'espressione «firma elettronica regolamentata ai sensi della FiEle» ovvero «firma elettronica qualificata ai sensi della FiEle».
In generale si è cercato di fare in modo che d'ora in poi ci si possa riferire ai concetti più importanti della FiEle utilizzando direttamente i termini definiti nella legge. Per questo motivo nel nuovo articolo 13 (art. 12 vigente) il termine «sistema marcatempo» è stato sostituito da «sistema marcatempo elettronico qualificato», che è offerto da un prestatore riconosciuto di servizi di certificazione, in modo da distinguerlo chiaramente da un qualsivoglia sistema marcatempo di un fornitore qualsiasi.
I sistemi marcatempo elettronici di alta qualità forniti da terzi indipendenti svolgono un ruolo sempre più importante. A titolo di esempio si può menzionare il sistema marcatempo di documenti elettronici da archiviare, quali quelli contabili, che permette di provare a posteriori che in un determinato momento i dati erano esattamente gli stessi, ovvero che non sono stati modificati. Un tale sistema marcatempo, particolarmente affidabile poiché è fornito da un prestatore riconosciuto, potrà essere designato direttamente con «sistema marcatempo elettronico qualificato ai sensi della FiEle».
1.2.5
Modifica di altri atti legislativi
Diverse leggi e ordinanze fanno riferimento ai concetti della FiEle, in particolare alla firma elettronica qualificata. In futuro in tali testi si dovrà di norma fare riferimento alla firma elettronica regolamentata o al sigillo elettronico regolamentato. La firma 924
elettronica qualificata sarà richiesta solo nei casi in cui è indispensabile l'attribuzione diretta a una persona fisica. Questo modo di procedere è conforme alla strategia generale di non porre alla corrispondenza elettronica commerciale ostacoli più alti di quelli che sono oggettivamente necessari.
Nel corso degli ultimi anni l'intera normativa processuale della Confederazione è stata arricchita con disposizioni per la trasmissione elettronica di atti scritti e la notificazione elettronica di ordinanze e decisioni, utilizzando però concetti in parte diversi e soprattutto una terminologia non uniforme. Tra gli scopi del presente progetto vi è quello di armonizzare, per quanto possibile, queste normative dal punto di vista sia del contenuto sia della terminologia. Molti partecipanti alla consultazione hanno però ritenuto l'armonizzazione proposta nell'avamprogetto troppo limitata, per cui nel presente disegno sono stati fatti ulteriori sforzi di uniformazione.
Un'armonizzazione più avanzata implicherebbe pesanti interventi nelle diverse normative processuali e soprattutto una regolamentazione più ampia ed estesa della notificazione elettronica. Tali obiettivi sono oggetto di un progetto separato di «Unificazione della legislazione in materia di notificazione», che abbiamo assegnato al DFGP in collaborazione con il Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni (DATEC) e il DFF alla fine del 2012.
1.3
Motivazione e valutazione della soluzione proposta
1.3.1
Introduzione del certificato regolamentato e del sigillo elettronico per le imprese e le autorità
Durante l'intero periodo di elaborazione della FiEle la questione se i certificati qualificati dovessero essere riservati alla persone fisiche o estesi anche alle persone giuridiche è stata oggetto di accese discussioni. La versione del 2001 del messaggio prevedeva che il certificato qualificato fosse accessibile anche alle persone giuridiche, anche se un capoverso aggiuntivo dell'articolo 7 stabiliva che un certificato qualificato intestato a una persona giuridica non comportava poteri di rappresentanza. Tale riserva mostra i dubbi suscitati da un siffatto certificato per le imprese. Esso potrebbe infatti indurre a supporre che la persona fisica che usa il certificato dell'impresa abbia il diritto di rappresentarla per il solo fatto che ha accesso al certificato. Per evitare di minare il principio fondamentale del diritto di rappresentanza, secondo cui le persone giuridiche possono agire solo per il tramite di persone fisiche (soprattutto organi e ausiliari), l'uso del certificato qualificato è stato alla fine limitato alle persone fisiche. Dalla promulgazione della FiEle tali scrupoli sono rimasti immutati.
Dall'entrata in vigore della FiEle la prassi ha tuttavia mostrato che nel commercio elettronico e negli scambi elettronici con le autorità, oltre alla firma elettronica qualificata, vi è un grande bisogno di certificati per le imprese e le autorità, che da una parte siano regolamentati a livello statale e quindi garantiscano il rispetto dei requisiti minimi (origine, integrità ecc.) e dall'altra siano facili da usare negli scambi quotidiani. In particolare nelle pratiche commerciali di massa risulta estremamente dispendioso inserire ogni volta il codice PIN nelle comunicazioni che devono adempiere soltanto i requisiti minimi, come è richiesto oggi per la firma elettronica qualificata.
925
La presente revisione si prefigge di colmare questa lacuna. A tale scopo non propone tuttavia l'estensione, prevista in origine, del certificato qualificato, bensì introduce un nuovo «certificato regolamentato» unico nel suo genere, che si colloca a metà tra il certificato avanzato e quello qualificato e che corrisponde con poche differenze al vecchio certificato qualificato, ma può essere intestato direttamente a persone giuridiche e autorità.
Il valore giuridico del certificato regolamentato, ovvero del sigillo elettronico con esso ottenuto, è stabilito di volta in volta nella pertinente legge, ad esempio nelle diverse leggi procedurali. La FiEle disciplina soltanto la qualità di determinati prodotti di certificazione e gli obblighi che i fornitori di tali prodotti devono adempiere. Non disciplina invece il valore di questi prodotti e di queste procedure nelle relazioni giuridiche e in particolare gli effetti giuridici ad essi connessi (cfr. espressamente il nuovo art. 1 cpv. 2). Nella misura in cui non sussistono prescrizioni legali di forma, le parti possono prevedere che le loro dichiarazioni di volontà siano valide se corredate di un sigillo elettronico regolamentato basato su un certificato regolamentato (forma arbitraria ai sensi dell'art. 16 CO). A differenza di quanto previsto finora, il presente disegno di legge mette a disposizione a tal fine un certificato e una procedura di firma disciplinati in maniera uniforme, come richiesto dal mondo dell'economia.
La soluzione proposta lascia immutato il fatto che, secondo l'articolo 14 capoverso 2bis CO, solo la firma elettronica qualificata è equiparata alla firma autografa.
Il documento dotato di sigillo elettronico non adempie quindi il requisito della forma scritta previsto dalla legge (art. 12 segg. CO). Parimenti, il destinatario di un documento provvisto di sigillo elettronico o di firma elettronica qualificata non può automaticamente partire dal presupposto che la persona giuridica in questione sia legalmente vincolata dal documento. La questione va definita esclusivamente in base ai principi del diritto di rappresentanza esistenti e che rimarranno validi anche in futuro. Il destinatario è tuttavia tutelato almeno dalla fattispecie della responsabilità dell'articolo 59a CO, il cui campo di applicazione sarà esteso ai certificati
regolamentati e quindi anche al sigillo elettronico (cfr. n. 1.3.2).
Il nuovo sigillo elettronico introdotto nel disegno di revisione si basa, dal punto di vista tecnico, sulla stessa procedura della firma elettronica e, almeno in parte, ha lo stesso scopo, ossia comprovare l'origine e l'integrità dei dati. Nell'avamprogetto posto in consultazione questa applicazione dei certificati digitali da parte di persone giuridiche e autorità era ancora definita «firma elettronica» secondo la consuetudine adottata fino a ora.
In una Proposta di Regolamento1 adottata dalla Commissione europea il 4 giugno 2012 per sostituire l'attuale Direttiva UE sulle firme elettroniche, il pendant della firma elettronica rilasciato da una persona giuridica è chiamato «sigillo elettronico». Questa nuova terminologia permette di ovviare al rischio, descritto in precedenza, di una errata interpretazione del termine «firma elettronica» regolamentata dallo Stato per le persone giuridiche e per le autorità e pertanto, dopo la consultazione, è stata adottata anche in questo disegno.
1
926
Proposta di Regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, COM(2012)238final.
Il fatto che anche per la «firma digitale» con certificato rilasciata da persone non fisiche sia usato il termine «firma elettronica» è una prassi affermata sia nel pertinente settore specialistico che presso il pubblico. Di conseguenza sarebbe difficile introdurre nell'uso corrente un nuovo termine, anche se auspicabile dal punto di vista giuridico. In un programma di posta elettronica o di visualizzazione di file pdf il nuovo costrutto sarà denominato ancora a lungo «firma elettronica», a prescindere dal fatto che sia emesso da una persona giuridica e quindi nei pertinenti atti giuridici sia chiamato «sigillo elettronico». Per la Svizzera sarebbe stato praticamente impossibile introdurre da sola la nuova terminologia proposta. Sulla scia dell'UE questo cambiamento dovrebbe però essere possibile.
1.3.2
Excursus sulla responsabilità del titolare di una chiave per la creazione della firma secondo l'articolo 59a CO
Dalla creazione della FiEle, con l'articolo 59a CO è stato introdotto, come elemento essenziale del concetto della firma elettronica qualificata, un certo grado di responsabilità del titolare della chiave per la creazione della firma nei confronti di terzi.
Questa responsabilità riflette la costellazione particolare della firma elettronica secondo cui, nel caso tipico, il destinatario del documento firmato non è legato contrattualmente né con il prestatore del certificato né con il mittente che firma.
Affinché il destinatario possa fidarsi pienamente della firma elettronica qualificata, sia il prestatore del certificato secondo il nuovo articolo 17 (art. 16 vigente) della FiEle sia il titolare del certificato secondo l'articolo 59a CO hanno nei suoi confronti un certo obbligo di diligenza nell'adempiere ai rispettivi doveri.
Dalla sua introduzione in occasione dell'adozione della FiEle questa disposizione è stata valutata in modo controverso. Anche in occasione della consultazione relativa alla presente revisione totale diverse cerchie hanno chiesto che sia allentata o addirittura eliminata del tutto, adducendo in particolare che è troppo severa nei confronti dei titolari del certificato e quindi scoraggia molti potenziali utenti dall'usare la firma elettronica. Di conseguenza abbiamo esaminato approfonditamente se mantenere, modificare o abrogare la disposizione.
A una tale verifica deve essere sottoposto l'intero articolo 59a CO e non solo il capoverso 1 oggetto della revisione. Il capoverso 2 afferma che la responsabilità decade se il titolare della chiave per la creazione della firma può rendere verosimile di aver adottato le misure di sicurezza necessarie secondo le circostanze e ragionevolmente esigibili per impedire un abuso. Il capoverso 3 infine incarica il nostro Collegio di definire le misure di sicurezza da rispettare. Per l'interpretazione dei punti poco chiari di queste disposizioni la documentazione relativa alla FiEle, soprattutto il messaggio, non fornisce punti di riferimento perché nel corso della discussione parlamentare l'articolo 59a CO è stato più volte modificato in maniera incisiva. Non vi è neppure, per quanto noto, alcuna giurisprudenza in merito a questo articolo e la dottrina ha finora affrontato in modo approfondito la questione della responsabilità solo in casi
isolati.
Una firma elettronica adempie il suo scopo soltanto se offre al destinatario della dichiarazione firmata una sicurezza aggiuntiva sull'autenticità del mittente e sull'integrità del contenuto. Dal punto di vista tecnico la firma elettronica è molto affidabile in questo senso. Solo chi conosce il codice PIN e ha contemporaneamente 927
accesso alla carta per la firma non bloccata può generare una firma valida. Il punto debole dell'intera procedura è che il destinatario non può sapere se è stato il titolare legale o un'altra persona ad adempiere a queste condizioni e apporre la firma. Se un titolare poco attento usa il proprio PIN e la carta per la firma senza la dovuta diligenza su un apparecchio o computer mal protetto, è possibile in linea di principio un abuso da parte di terzi.
In questo caso l'articolo 59a CO intende da un lato dare al destinatario della comunicazione dotata di firma o di sigillo (nuovo) una certa sicurezza aggiuntiva e dall'altro lato indurre il titolare, a causa del rischio di essere tenuto responsabile, ad adottare un minimo definito di diligenza nell'usare la firma elettronica. Infatti, se il titolare non può rendere verosimile di aver agito con la dovuta diligenza, risponde per i danni causati al destinatario di una comunicazione emessa con la sua chiave per la creazione della firma, perché il destinatario si è fidato della validità del certificato regolamentato.
A differenza di quanto temuto da diversi partecipanti alla consultazione, il campo di applicazione della responsabilità del titolare è fortemente limitato.
Il punto di partenza è che il destinatario possa presentare un documento elettronico firmato o sigillato elettronicamente con un certificato regolamentato valido intestato al mittente. In questo modo il destinatario dispone di una prova tecnicamente molto sicura dell'autenticità del mittente e dell'integrità del contenuto.
Il titolare del certificato può quindi confutare l'autenticità del documento, adducendo che è stato un terzo ad apporre la firma elettronica o il sigillo elettronico al documento. Deve però essere in grado di motivare sufficientemente questa contestazione (cfr. art. 178 del Codice di procedura civile; RS 272). In caso contrario è considerato, dal punto di vista legale, firmatario del documento e ne è quindi responsabile secondo le regole generali.
Solo se sussistono le prove che il documento non è stato generato dal titolare legale del certificato si applica l'articolo 59a CO con le sue disposizioni sulla responsabilità specifica. Senza questo articolo il titolare del certificato, stando alle regole generali (soprattutto la responsabilità extracontrattuale), sarebbe a malapena tenuto a rispondere dell'abuso, soprattutto perché sarebbe dubbia l'illiceità del danno (eventualmente si potrebbe definire l'art. 11 dell'ordinanza del 3 dicembre 2004 sulla firma elettronica come norma di tutela, OFiEle; RS 943.032), e il destinatario dovrebbe accollarsi eventuali danni. Allo stesso modo non vi è alcuna responsabilità secondo l'articolo 59a CO se la firma è stata apposta con un certificato non regolamentato.
Se, tuttavia, il titolare del certificato può rendere verosimile secondo l'articolo 59a capoverso 2 CO di aver adottato la necessaria diligenza nell'uso della chiave per la creazione della firma, decade anche questa responsabilità.
In caso contrario risponde nei confronti del destinatario per il danno causatogli perché si è fidato della firma, quindi per i cosiddetti interessi negativi previsti dal contratto.
Il caso classico per quanto riguarda la firma elettronica qualificata potrebbe essere ad esempio il seguente: il titolare della chiave per la creazione della firma dimostra in modo verosimile che non è stato lui a firmare perché al momento della firma era ricoverato in ospedale. Tuttavia non si può escludere che un collega o qualcun altro che aveva accesso al suo ufficio abbia firmato il documento con la sua chiave. La 928
carta per la firma si trovava infatti come di consueto sulla sua scrivania insieme al codice PIN. Senza l'articolo 59a CO in questo caso non potrebbe essere ritenuto responsabile e il destinatario dovrebbe assumersi il danno. Con la normativa in vigore risponde invece ai sensi dell'articolo 59a capoverso 1 CO perché non ha rispettato le misure di sicurezza secondo i capoversi 2 e 3.
Uno degli obiettivi principali della normativa sulla firma elettronica è quello di rendere le firme elettroniche e i sigilli elettronici generati con un certificato regolamentato (o addirittura qualificato) particolarmente affidabili, garantendoli con una disposizione sulla responsabilità. Di conseguenza il titolare della chiave è tenuto ad adottare una certa diligenza per incentivare la sicurezza della procedura. Questo rafforza anche la fiducia nei confronti delle firme e dei sigilli apposti sotto questo regime, aumentandone il valore e il grado di accettazione. La presente revisione totale lascia quindi in essere l'articolo 59a CO e lo estende a tutti i certificati regolamentati e alle firme e ai sigilli con essi generati.
1.3.3
Tecnica di revisione
La presente revisione era originariamente prevista come revisione parziale. Tenuto conto del numero relativamente esiguo di obiettivi (cfr. n. 1.1.2), si potrebbe continuare a considerarla come tale. Tuttavia, siccome la maggior parte delle disposizioni non vale più soltanto per il certificato qualificato bensì anche per i due certificati regolamentati e alle chiavi è ora attribuita una denominazione neutra in tutto il testo (p.es. «chiavi crittografiche» al posto di «chiavi per la verifica»), la revisione interessa la maggior parte degli articoli. Ecco perché, secondo i criteri usuali, la presente revisione va considerata dal punto di vista formale una revisione totale.
929
1.3.4
Procedura di consultazione
La consultazione relativa al presente disegno si è svolta tra il 29 marzo e il 6 luglio 2012. Il rapporto del 29 ottobre 2012 con il riassunto dei risultati è pubblicato sul sito Internet della Cancelleria federale nella sezione dedicata alle procedure di consultazione (www.admin.ch > Diritto federale > Procedure di consultazioni > Procedure di consultazione ed indagini conoscitive concluse).
Nell'ambito della consultazione si sono espressi tutti i Cantoni, tutti i partiti, diverse organizzazioni mantello dell'economia e numerose altre cerchie interessate. Gli obiettivi del progetto, soprattutto la predisposizione di un certificato regolamentato per legge per le persone giuridiche e le autorità, sono stati largamente appoggiati.
Grandi differenze si sono registrate per quanto riguarda le seguenti tematiche, che però non riguardano strettamente la FiEle:
tre Cantoni e alcune imprese specializzate hanno respinto l'introduzione del sistema marcatempo qualificato per equiparare la firma elettronica alla firma convenzionale nell'articolo 14 capoverso 2bis CO. Non hanno contestato la maggiore sicurezza garantita da questa misura, ma hanno giudicato troppo vincolante la necessità di un collegamento a Internet al momento della creazione della firma;
tre Cantoni e numerose associazioni e imprese vicine al settore informatico hanno auspicato un allentamento o addirittura l'eliminazione della responsabilità del titolare della chiave per la creazione della firma secondo l'articolo 59a CO. Questa richiesta ci ha indotto a far analizzare la questione separatamente e in modo approfondito. Ne è emerso che l'interpretazione dell'articolo è poco chiara e che la responsabilità ivi stabilita è spesso recepita in modo errato ovvero come troppo ampia. Ulteriori spiegazioni in materia si trovano al numero 1.3.2 dedicato in modo specifico alla questione;
diverse cerchie interessate, soprattutto la Federazione degli avvocati, auspicano una regolamentazione molto più ampia di tutti gli aspetti della comunicazione elettronica con le autorità. Condividiamo la maggior parte di queste richieste, anche se esse non fanno direttamente parte del progetto in questione, che è incentrato su un tema ben definito. Nel frattempo molte richieste sono comunque state accolte in altri progetti legislativi.
Due grandi novità sono state apportate soltanto a consultazione conclusa:
la modifica della denominazione della firma elettronica regolamentata per le persone giuridiche e le autorità, che ora si chiama «sigillo elettronico regolamentato», ispirata alla terminologia adottata nella proposta di regolamento dell'UE in materia, che è stata pubblicata dopo l'avvio della procedura di consultazione;
l'armonizzazione, relativamente estesa, delle disposizioni sulla trasmissione elettronica nella legislazione procedurale della Confederazione; nell'avamprogetto posto in consultazione i lavori di armonizzazione erano soltanto abbozzati.
930
1.4
Coordinamento di compiti e finanze
La FiEle affida all'economia privata l'approntamento dei certificati regolamentati per legge e dei prodotti basati su di essi. Secondo questo modello lo Stato non è tenuto a offrire alcuna infrastruttura o prestazione corrispondente. Gli compete invece la regolamentazione, da una parte mediante la presente legge e dall'altra mediante un'attuazione relativamente ampia a livello di ordinanza e di prescrizioni tecniche e amministrative. Questi compiti possono essere adempiuti con le risorse di personale e con i mezzi finanziari già disponibili.
1.5
Diritto comparato e rapporto con il diritto europeo
La compatibilità con il diritto europeo è sempre stata una condizione quadro importante per la legislazione in materia di firma elettronica e di altre applicazioni dei certificati digitali. Considerando il carattere internazionale degli scambi commerciali elettronici e gli intensi rapporti commerciali della Svizzera con l'ambiente europeo, questo obiettivo è incontestabile (cfr. a tale proposito le pertinenti spiegazioni al n. 1.1.2 sugli obiettivi della revisione totale). In tal senso la FiEle ha rappresentato da sempre un'attuazione nazionale autonoma della direttiva UE sulle firme elettroniche con poche semplificazioni scelte minuziosamente. Proprio in vista della compatibilità con la normativa europea e di un futuro riconoscimento reciproco, la terminologia e la tecnica legislativa della direttiva UE sono state riprese in misura tale da rendere la FiEle quasi un corpo estraneo all'interno della legislazione svizzera. Non si voleva accentuare ulteriormente l'elevata complessità tecnica adeguando l'atto alle usanze svizzere in campo legislativo. Dal momento che si tratta di un settore piuttosto tecnico questa strategia è stata giudicata accettabile.
Da alcuni anni l'UE si sta occupando di rivedere e ampliare notevolmente la direttiva sulle firme elettroniche. Il 4 giugno 2012, ossia poco dopo l'avvio della procedura di consultazione relativa al presente disegno, la Commissione europea ha adottato una proposta di regolamento in materia all'attenzione del Parlamento europeo e del Consiglio2. Ci siamo quindi chiesti se coordinare la revisione della FiEle in corso con le modifiche della nuova direttiva UE. Diversi motivi rendono tuttavia sconsigliabile una tale fusione: innanzitutto trascorrerà molto tempo prima che il regolamento dell'UE sia definitivamente adottato e il suo contenuto sia analizzato con cura e adeguatamente trasposto nel diritto svizzero. Inoltre la proposta di regolamento dell'UE riguarda settori molto vasti, che la Svizzera deve ancora discutere prima di decidere se riprenderli o no. Essi non concernono in prima linea la firma elettronica, bensì questioni relative alla trasmissione elettronica sicura o all'identità elettronica. Abbiamo avviato alcuni progetti legislativi autonomi in materia alla fine del 2012. Pertanto sarebbe peccato se le richieste accolte nell'attuale revisione
della FiEle, note da tempo e ormai pronte per l'attuazione, dovessero attendere ancora anni. Per quanto attualmente prevedibile, nessuna parte della presente revisione è in contrasto con la futura normativa UE.
2
Proposta di regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, COM(2012)238final.
931
1.6
Attuazione
La FiEle rivista ci attribuisce la competenza di disciplinare ulteriori prodotti basati su certificati, come già avveniva nel caso della firma elettronica qualificata. Il settore interessato attende una regolamentazione relativamente spedita del sigillo elettronico regolamentato per le persone giuridiche e le autorità. Anche il disciplinamento di un'identificazione elettronica sicura si profila come compito.
La revisione avrà un effetto definitivo soltanto quando i prestatori di servizi di certificazione svilupperanno, commercializzeranno e predisporranno i nuovi prodotti.
1.7
Interventi parlamentari
Non vi sono interventi parlamentari pendenti cui adempiere con la presente revisione. Uno degli spunti della revisione è stata comunque la mozione Baumann (08.3741), Requisiti di certificazione contrari al diritto in un'ordinanza attinente all'OLIVA, nel frattempo liquidata.
2
Commento ai singoli articoli
2.1
Legge sulla firma elettronica
2.1.1
Titolo della legge
L'estensione dell'utilizzazione dei prodotti di certificazione disciplinati dalla FiEle e dalle sue disposizioni esecutive deve riflettersi anche nel nuovo titolo. Anche se la legge verte soprattutto sul sigillo elettronico e sull'autenticazione, sono ipotizzabili anche altre applicazioni dei certificati digitali, ragione per cui abbiamo optato per una formulazione aperta.
2.1.2 Art. 1
Sezione 1: Disposizioni generali Oggetto e scopo
La definizione vigente dell'oggetto della FiEle dà spesso adito a errori d'interpretazione. Alcuni presumono ad esempio che, oltre alla firma elettronica, la legge ne disciplini anche gli effetti. In realtà essa si limita soprattutto a disciplinare la qualità di alcuni prodotti di certificazione, imponendo determinati requisiti a tali prodotti e soprattutto ai loro fornitori. L'aggiunta di una nuova lettera al capoverso 1 intende chiarire meglio l'obiettivo specifico e limitato della legge.
La legge riveduta non disciplina e non favorisce più soltanto la firma elettronica (qualificata) in quanto possibilità di applicazione dei certificati, ma la firma elettronica in generale e anche altre applicazioni di certificati digitali regolamentati. Di conseguenza, i capoversi 1 lettera b (finora lett. a) e 3 lettera b (finora cpv. 2 lett. b) sono stati formulati in maniera più generale.
932
Il nuovo capoverso 2 tiene conto dei timori menzionati al numero 1.3.1 secondo cui si può erroneamente credere che un certificato regolamentato intestato a una persona giuridica o a un'autorità conferisca un potere di rappresentanza. Il fatto che un certificato soddisfi le esigenze di qualità poste da questa legge e le disposizioni sulla responsabilità menzionate servono solo a garantire tale qualità non comporta alcuna indicazione sugli effetti giuridici di una determinata applicazione di tale certificato. Gli effetti giuridici devono essere definiti per legge o per contratto nel contesto di una determinata utilizzazione.
Il capoverso 3 lettera a armonizza la terminologia con quella del capoverso 1 e la lettera b adegua la formulazione all'ampliamento dello scopo, menzionato a più riprese.
Art. 2
Definizioni
I nuovi termini sono inseriti in maniera sistematica, il che comporta una nuova numerazione delle attuali definizioni alle lettere e, h, k e l.
Lettera c: firma elettronica regolamentata La firma regolamentata inserita tra la firma elettronica avanzata e la firma elettronica qualificata è definita secondo l'esempio della firma elettronica qualificata di cui alla presente lettera. La prima forma speciale di firma elettronica sarà quindi la firma elettronica regolamentata (e non più la firma elettronica qualificata). Si distingue dal sigillo elettronico in quanto è limitata alle persone fisiche.
Lettera d: sigillo elettronico regolamentato Pendant della firma elettronica regolamentata, il sigillo elettronico regolamentato è definito in maniera altrettanto precisa, ma è limitato alle persone giuridiche e alle autorità. L'uso del termine «unità IDI» secondo la legge federale del 18 giugno 2010 sul numero d'identificazione delle imprese (LIDI; RS 431.03) permette di includere la maggior parte delle persone giuridiche e delle autorità. Maggiori dettagli figurano nel commento all'articolo 7.
Lettera e: firma elettronica qualificata La firma elettronica qualificata, finora definita alla lettera c, è creata alla stessa maniera della firma elettronica regolamentata, ma ne costituisce una forma particolare poiché richiede un certificato (o una coppia di chiavi) qualificato.
Le definizioni di «chiave per la creazione di una firma» e «chiave per la verifica della firma», che figurano nella legge in vigore (lett. d ed e), sono state soppresse poiché l'applicazione delle chiavi è formulata sempre in maniera generale e pertanto si usano i termini «chiave crittografica privata» e «chiave crittografica pubblica».
Lettera f: certificato digitale Finora il termine «certificato digitale» è stato usato per definire ulteriormente il «certificato qualificato» senza che il termine stesso fosse definito nella legge. Ciò costituisce una trasgressione della sistematica delle definizioni e un'anomalia rispetto alla direttiva UE e alla legislazione dei Paesi limitrofi.
Anche la legislazione esecutiva ha introdotto esplicitamente la definizione.
La nuova definizione, che non comporta alcuna modifica materiale, garan-
933
tisce tuttavia una migliore comprensione e una maggiore coerenza della sistematica.
A differenza del certificato regolamentato o del certificato qualificato, in un certificato digitale qualsiasi, la coppia di chiavi può in linea di massima essere attribuita, oltre che a una persona, anche a un oggetto, ad esempio a una macchina o a una pagina web. Nella terminologia inglese per tali oggetti si usa spesso il termine «entity». Si è qui optato per il termine «titolare» per il semplice motivo che non è stata trovata una soluzione alternativa convincente. Il calco del termine inglese («entità») o una soluzione quale «oggetto» è parsa troppo poco comprensibile.
Lettera g: certificato regolamentato Il nuovo certificato regolamentato è definito secondo l'esempio del certificato qualificato finora definito alla lettera f. Secondo i requisiti previsti dall'articolo 7, si tratta di un certificato digitale utilizzabile in maniera più generale rispetto al certificato qualificato e rappresenta la base di quest'ultimo.
A seguito della semplificazione terminologica è ora integrato il requisito per cui il certificato regolamentato deve essere rilasciato da un prestatore riconosciuto di servizi di certificazione.
Lettera h: certificato qualificato Il certificato qualificato è stato finora definito alla lettera f. Secondo la nuova sistematica è una forma particolare del certificato regolamentato, introdotto alla lettera g, integrato con alcuni requisiti supplementari. Tutto sommato si tratta tuttavia dei requisiti sinora vigenti, fatta eccezione per il fatto che, come il certificato regolamentato, dovrà sempre essere rilasciato da un fornitore riconosciuto.
Lettera i: sistema marcatempo elettronico Il sistema marcatempo è stato finora introdotto direttamente e definito nell'articolo 12. Per motivi di coerenza sistematica è ora definito a due livelli anche in questo articolo. In tale sede è anzitutto fornita una definizione di sistema marcatempo elettronico.
Lettera j: sistema marcatempo elettronico qualificato Un sistema marcatempo può essere definito come qualificato se è rilasciato da un prestatore di servizi di certificazione riconosciuto secondo la presente legge. Nell'articolo 13 (nuovo) è pertanto sancito soltanto l'obbligo di fornirlo.
2.1.3
Sezione 2: Riconoscimento dei prestatori di servizi di certificazione
L'attuale sistema di riconoscimento non è modificato. Una variante esaminata, ma poi esclusa, era quella di prevedere un riconoscimento diverso per i prestatori che offrono solo semplici certificati regolamentati e per quelli che offrono anche certificati qualificati. Una soluzione di questo tipo avrebbe tuttavia reso più complesso il sistema di riconoscimento, senza rispondere a un'esigenza reale.
934
La soluzione proposta, che non modifica il testo esistente, prevede soltanto un tipo di riconoscimento per prestatori di servizi. Il presupposto è che questi siano in grado di offrire certificati qualificati. Sono pertanto anche in grado di offrire certificati regolamentati, essendo i certificati qualificati certificati regolamentati che soddisfano criteri più severi. I prestatori di servizi finora riconosciuti possono pertanto offrire in futuro un ulteriore tipo di certificato disciplinato dalla legge e ovviamente potranno continuare a offrirne anche altri, non disciplinati per legge.
Ci siamo pertanto limitati ad adattare i rinvii alla cessazione d'attività (nuovo art. 14) e alla responsabilità (nuovo art. 17) che figurano nell'articolo 3 capoverso 1 lettera f. L'articolo 4 capoverso 2 è inoltre adeguato, dal punto di vista redazionale, al fatto che nel frattempo è stato istituito un organismo di accreditamento.
2.1.4
Sezione 3: Generazione, salvataggio e utilizzazione di chiavi crittografiche
L'attuale titolo «Generazione e utilizzazione di chiavi per la creazione di una firma e di chiavi per la verifica della firma» ha dovuto essere formulato in maniera più generale, poiché in futuro questa sezione contemplerà anche le chiavi per il sigillo, l'autenticazione e per altre applicazioni di certificati. Per esprimere in maniera sufficientemente generale il concetto è stato scelto il termine di «chiavi crittografiche». Occorre osservare che per quanto riguarda il campo d'applicazione normativo sono contemplate soltanto le chiavi crittografiche necessarie nell'ambito dei certificati regolamentati.
Art. 6 In quanto attuazione dell'allegato III della direttiva UE sulla firma elettronica, l'articolo 6 tratta finora soltanto dell'utilizzazione della firma. A ciò si aggiungono ora anche le applicazioni del sigillo elettronico. Come descritto al numero 1.2.1, avremo tuttavia anche la competenza di disciplinare altre applicazioni di certificati e delle relative chiavi, in particolare l'autenticazione. Per questo motivo l'articolo non parla più di firma e di verifica della firma, ma di utilizzazione di chiavi in generale.
Grazie alla competenza di disciplinare vari certificati per varie applicazioni, possiamo regolamentare svariate combinazioni di certificati e applicazioni, quindi ad esempio non soltanto un'applicazione per tipo di certificato. Dal punto di vista odierno intendiamo in particolare i prodotti seguenti: 1.
un certificato qualificato per persone fisiche per la firma elettronica qualificata (come finora);
2.
un certificato regolamentato per persone fisiche per la firma elettronica regolamentata;
3.
un certificato regolamentato per persone giuridiche e autorità per il sigillo elettronico regolamentato;
4.
un certificato regolamentato per persone fisiche per autenticazione sicura o prova online dell'identità (eID).
935
In tale contesto non va dimenticato che, oltre ai prodotti regolamentati, può esistere anche un numero illimitato di certificati e prodotti simili per qualsivoglia applicazione offerta da qualsiasi prestatore.
Il fatto che finora nel titolo della sezione si è parlato di generazione e utilizzazione, nel capoverso 1 dell'articolo 6 di generazione e nel capoverso 2 di creazione non ha alcuna base legale materiale e per motivi di chiarezza terminologica abbiamo utilizzato la designazione unitaria «Generazione, salvataggio e utilizzazione».
La lettera a del capoverso 2 prevede che le chiavi per la creazione di una firma e le chiavi crittografiche per i prodotti regolamentati «possono comparire in pratica soltanto una volta». In sede di consultazione vari prestatori di prodotti di certificazione hanno manifestato il timore che tale disposizione impedisca loro di allestire una copia di back-up della chiave privata, come sono tenuti a fare per la gestione sicura del server-signing. Tali timori sono infondati e pertanto non è necessario modificare la disposizione. Da ricerche sulla genesi della disposizione è emerso che la formulazione intendeva conferire un carattere univoco alla chiave, quindi che occorre garantire che la stessa chiave non venga attribuita due volte a persone diverse. Non è pertanto vietato allestire una copia di back-up di una chiave se questa resta attribuita con certezza alla persona e se la conservazione soddisfa i requisiti di sicurezza vigenti per l'originale.
Il vigente capoverso 3 sull'impostazione del processo di verifica della firma riprende quasi alla lettera l'allegato IV della direttiva UE. Per diverse ragioni è un corpo estraneo in una legge svizzera, poiché nella versione attuale contiene soltanto una raccomandazione e si indirizza separatamente a destinatari difficilmente identificabili, in particolare a fornitori di pdf-viewer. Ci siamo chiesti se mantenere le disposizioni per coerenza e conformità con la direttiva UE, ma in forma potestativa con direttive al nostro Collegio. Abbiamo infine optato per lo stralcio del capoverso poiché di mero carattere dichiarativo e non è né attuabile né necessario nella prassi.
È nell'interesse del destinatario di una firma elettronica utilizzare strumenti di verifica adeguati.
2.1.5
Sezione 4: Certificati regolamentati
Poiché questa sezione disciplina ora due tipi di certificati, il certificato regolamentato e il certificato qualificato in quanto forma speciale di certificato regolamentato, il titolo «Certificati qualificati» è stato sostituito con «Certificati regolamentati».
Art. 7
Requisiti per tutti i certificati regolamentati
Dal punto di vista materiale, l'articolo 7 riprende per tutti i certificati regolamentati la maggior parte dei requisiti posti finora al certificato qualificato secondo l'articolo 7 vigente. I requisiti aggiuntivi, validi soltanto per il certificato qualificato, si trovano nel nuovo articolo 8.
A differenza dei certificati qualificati, che possono essere rilasciati soltanto per le persone fisiche, i certificati regolamentati possono essere rilasciati anche alle persone giuridiche e alle autorità. Tale specificità non è stata menzionata in una lettera del capoverso 2, bensì è stata messa maggiormente in risalto nel nuovo capoverso 1.
936
L'uso del termine «unità IDI» secondo la LIDI permette di includere la maggior parte delle persone giuridiche e delle autorità. Oltre ai soggetti di diritto iscritti nel registro di commercio (art. 3 cpv. 1 lett. c n. 1 LIDI), sono contemplate anche altre persone giuridiche. Nel termine «unità IDI» rientrano in particolare anche le autorità e i tribunali (art. 3 cpv. 1 lett. c n. 7 LIDI). Le sole persone giuridiche non contemplate sono quelle che non figurano nel registro IDI, ad esempio alcune associazioni o fondazioni. Per queste ultime erano ipotizzabili due soluzioni: menzionarle a parte o escluderle consapevolmente. Il presente disegno ha optato per la seconda soluzione.
Una persona giuridica che non soddisfa le condizioni d'iscrizione nel registro IDI previste dall'articolo 3 capoverso 1 lettera c LIDI, in quanto ad esempio non ha contatti con un'autorità, non potrà vedersi attribuire un'identità elettronica sotto forma di certificato regolamentato. La verifica dell'identità da parte del prestatore di servizi di certificazione potrebbe rivelarsi onerosa. Se una siffatta persona giuridica intendesse partecipare lo stesso al commercio elettronico cosa poco probabile può farlo per il tramite di una persona fisica che la rappresenta.
Cpv. 2 Il campo d'applicazione della lettera b è stato esteso, come dappertutto nel testo di legge, ai certificati regolamentati.
Nel disegno la questione dell'identità del titolare, attualmente disciplinata alla lettera c, è oggetto di tre lettere (c, d ed e). La lettera c disciplina il nome o, per le persone giuridiche, la designazione del titolare della chiave e prevede l'aggiunta di un elemento distintivo per evitare problemi di omonimia. L'espressione «titolare della chiave per la verifica della firma» della legge vigente è sostituita da «titolare della chiave crittografica privata». Tale modifica permette ancora una volta di estendere il campo d'applicazione della legge ad altre applicazioni di certificati e di correggere un'inesattezza risalente all'epoca dell'elaborazione della legge; infatti si sarebbe da sempre dovuto parlare di «chiave per la creazione della firma», analogamente all'attuale capoverso 2 lettera a, e non di «chiave per la verifica della firma», termine meno appropriato. La chiave pubblica è invece attribuita al titolare nella lettera f
(lett. d vigente).
La lettera d, che, come sinora, autorizza gli pseudonimi, si applica soltanto alle persone fisiche. La lettera e, che prevede come identificazione univoca il numero IDI, riguarda soltanto le unità IDI.
La lettera f sostituisce la lettera d vigente e, invece di menzionare la «chiave per la verifica della firma», parla più in generale di «chiave crittografica pubblica», poiché i certificati regolamentati possono essere previsti non soltanto per la firma, ma ad esempio anche per l'autenticazione.
La lettera g vigente, secondo cui il certificato deve contenere informazioni in merito al riconoscimento del prestatore, è stata abrogata poiché si tratta di una specificità svizzera.
Lettera h: dando la possibilità, con il nuovo sigillo regolamentato, a persone giuridiche di utilizzare una firma che soddisfi le esigenze di qualità definite dalla legge, si può qui, come anche per il sistema marcatempo, rinunciare all'anomalia costituita dal fatto che i prestatori di servizi di certificazione sono le sole persone non fisiche a ricevere un certificato qualificato e dunque a usufruire di una firma qualificata.
937
Grazie all'introduzione del sigillo elettronico regolamentato, che si fonda su un certificato regolamentato, tale anomalia è eliminata.
Cpv. 3 Il capoverso 3 (finora cpv. 2) è anzitutto formulato meglio sul piano della tecnica legislativa. Inoltre, suddivide l'attuale capoverso 2 lettera a, che riguarda l'eventuale indicazione di dati aggiuntivi e la rappresentanza, in due lettere (lettere a e b).
La lettera a menziona le qualità specifiche opzionali e fornisce a titolo di esempio le qualifiche professionali sovente indicate nella prassi.
La rappresentanza, ora menzionata alla lettera b, è possibile anche nei certificati regolamentati non qualificati, ma solo per le persone fisiche. Nell'ambito dei lavori preliminari è stata esaminata la possibilità di inserire questa menzione soltanto nei certificati qualificati, ma non si sono trovati motivi validi per una tale restrizione.
Le lettere c e d sostituiscono le lettere b e c vigenti. La rielaborazione intende unicamente rendere il testo più chiaro.
Art. 8
Requisiti supplementari dei certificati
Poiché la maggior parte dei requisiti finora richiesti per il certificato qualificato sono integrati nell'articolo precedente sui requisiti per il certificato regolamentato, il nuovo articolo 8 elenca soltanto i requisiti supplementari per il certificato qualificato, in quanto forma particolare di certificato regolamentato. Complessivamente, fatte salve le modifiche esplicite, i requisiti ripresi per motivi sistematici (art. 2 lett. g) dal nuovo articolo 7 e quelli supplementari secondo l'articolo 8 corrispondono alle esigenze attuali poste al certificato qualificato.
Il capoverso 1 enuncia la principale differenza del certificato qualificato rispetto al certificato regolamentato, ossia la restrizione alle persone fisiche.
Il capoverso 2 precisa esplicitamente che un certificato qualificato è previsto soltanto per la firma elettronica. Anche questa precisazione costituisce una deroga al principio della presente revisione, secondo cui vanno apportate soltanto le modifiche necessarie per raggiungere gli obiettivi fissati. Tuttavia tale restrizione è attualmente formulata soltanto nelle prescrizioni tecniche e amministrative (PTA; RS 943.032.1, allegato), che prevedono un determinato valore per il campo «key usage», appunto quello per la firma di documenti. I non specialisti sono sempre stati urtati dal fatto che una restrizione così importante, che è manifestamente dettata da motivi tecnici e che in un primo momento è plausibile soltanto ai tecnici, non sia formulata esplicitamente nella legge.
Il capoverso 3 riprende l'attuale articolo 7 capoverso 1.
2.1.6
Varie modifiche nelle sezioni 59
Tre modifiche riguardano tutti o alcuni degli articoli seguenti e vanno qui menzionate soltanto in maniera sommaria.
Adeguamento del numero dell'articolo Eccetto l'ultimo articolo, tutti gli articoli sono aumentati di uno.
938
Sostituzione di «certificato qualificato» con «certificato regolamentato» Di norma tutte le disposizioni della legge in vigore che concernono il certificato qualificato riguarderanno in futuro i due certificati disciplinati dalla legge, ossia il certificato regolamentato (in senso stretto) e il certificato qualificato come forma particolare del primo. Per tale ragione l'espressione «certificato qualificato» è stata sostituita da «certificato regolamentato» ogni volta che ciò si è rivelato opportuno, in quanto il secondo termine comprende entrambi i certificati. Eccezionalmente si è optato per una formulazione più elegante ma l'obiettivo resta lo stesso.
L'adeguamento riguarda i (nuovi) articoli 914, 17, 18 e 21.
Sostituzione di «firma elettronica» e «chiave per la creazione della firma» con un termine neutro Poiché la legge non si applicherà più soltanto alla firma ma anche ad altre utilizzazioni di certificati digitali, le espressioni «firma elettronica» e «chiave per la creazione della firma» sono sostituite da termini più neutri o formulazioni più appropriate.
L'adeguamento riguarda i (nuovi) articoli art. 10, 11, 16, 17 e 20.
La nuova numerazione degli articoli e dei capoversi ha inoltre reso necessario adeguare alcuni rinvii (cfr. art. 16, 17 cpv. 3 e 18).
2.1.7
Art. 9
Sezione 5: Doveri dei prestatori di servizi di certificazione riconosciuti (art. 8 vigente) Rilascio dei certificati regolamentati
Le regole di procedura per la richiesta di un certificato regolamentato devono essere estese anche alle «unità IDI». Per questo il capoverso 1 è suddiviso in due lettere. La lettera a definisce, come finora, la procedura per le persone fisiche, la lettera b quella per la registrazione di certificati regolamentati di «unità IDI». Le persone fisiche che sono nello stesso tempo unità IDI devono presentarsi personalmente, come previsto dalla lettera a.
La seconda parte del capoverso 1 vigente, un po' sovraccarica, è stata spostata nei due nuovi capoversi 2 e 3. Ne consegue una nuova numerazione dei capoversi successivi.
In sede di consultazione, i prestatori di servizi di certificazione e altri interessati hanno osservato che per un'impresa di grandi dimensioni sarebbe molto oneroso inviare personalmente un rappresentante per ogni richiesta di un certificato regolamentato; deve essere possibile una richiesta elettronica, perlomeno nei casi in cui la rappresentanza risulta dal registro di commercio.
Riteniamo invece che proprio per questi casi è previsto il vigente capoverso 2 (nuovo cpv. 4), che ci abilita a prevedere eccezioni. Appare opportuno prevedere nell'ordinanza che una richiesta elettronica è ammissibile se il rappresentante autorizzato firma la richiesta con la sua firma qualificata e la rappresentanza risulta da un registro pubblico, ad esempio dal registro di commercio o dal registro di un'autorità.
939
Art. 11
(art. 10 vigente) Annullamento di certificati regolamentati
Secondo la nuova formulazione del capoverso 1 lettera b, l'annullamento di un certificato sarà possibile anche in presenza di informazioni professionali o di altro genere relative alla persona (cfr. art. 6b cpv. 2) chiaramente errate, indipendentemente dal fatto che lo fossero sin dall'inizio o che lo siano diventate.
I prestatori possono ovviamente basarsi sulle comunicazioni dei servizi competenti per tali indicazioni, secondo l'articolo 9 capoverso 2: una conseguenza cui hanno attribuito molta importanza in sede di consultazione. Se l'appartenenza di una persona è annotata nel certificato in base alla comunicazione di un'organizzazione professionale, che in un secondo tempo comunica la fine dell'appartenenza, il prestatore può fondarsi su tale comunicazione per l'annullamento del certificato.
Art. 12
(art. 11 vigente) Servizi relativi alle liste dei certificati regolamentati
La nuova formulazione del capoverso 2 elimina un'attuale incertezza.
Art. 13
(art. 12 vigente) Sistema marcatempo elettronico qualificato
Dopo che il sistema marcatempo elettronico è definito nell'articolo 2 lettera i e il sistema marcatempo elettronico qualificato nella lettera j, deve ancora essere disciplinato l'obbligo di mettere a disposizione tale servizio.
Art. 15
(art. 14 vigente) Protezione dei dati
Concerne soltanto il tedesco.
Art. 17
(art. 16 vigente) Responsabilità dei prestatori di servizi di certificazione
L'aggiunta dell'aggettivo «riconosciuti» permette di chiarire che la disposizione non si applica ai servizi di certificazione di un qualsiasi prestatore.
Art. 19
(art. 18 vigente) Prescrizione
Parallelamente a questo disegno è in corso una revisione del diritto in materia di prescrizione, che prevede modifiche anche in questo articolo. La corrispondente modifica andrebbe ripresa direttamente nel presente disegno a seconda di quando questi due progetti saranno trattati e adottati dal Parlamento.
Art. 20
(art. 19 vigente)
Varie precisazioni terminologiche.
Art. 21
(art. 20 vigente) Esecuzione
Il capoverso 3 prevedeva finora che il nostro Collegio, per conseguire gli scopi della legge, può incaricare un'unità amministrativa federale di rilasciare certificati anche per le transazioni di diritto privato. Tale disposizione era concepita in particolare per il caso in cui non vi fossero prestatori privati sul mercato. In sede di consultazione, vari Cantoni hanno osservato che nel frattempo vi sono anche servizi cantonali con esperienza nell'ambito del rilascio di certificati e quindi altrettanto idonei a svolgere 940
tale compito. La nuova formulazione permetterebbe di incaricare anche un servizio amministrativo cantonale.
Art. 22
(art. 21 vigente)
Adeguamenti terminologici conformemente alle nuove direttive di tecnica legislativa.
2.2
Abrogazione e modifica di altri atti normativi
2.2.1
Legge federale del 19 dicembre 2003 sui servizi di certificazione nel campo della firma elettronica
La legge federale del 19 dicembre 2003 sui servizi di certificazione nel campo della firma elettronica è abrogata e sostituita dalla nuova legge federale sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali.
2.2.2
Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA)
Art. 21a
2. In caso di trasmissione per via elettronica
L'adeguamento del titolo marginale alla terminologia attualmente in uso concerne soltanto il tedesco e il francese.
Il disciplinamento attuale presupponeva che ogni tribunale o autorità sviluppasse e applicasse un proprio sistema di trasmissione capace di rilasciare le rispettive ricevute. Nella pratica tuttavia è stato applicato un sistema con diverse piattaforme di trasmissione riconosciute che rilasciano le ricevute e forniscono i documenti desiderati alle autorità. Il sistema utilizzato dalle autorità non dispone quindi di una conferma di ricevuta all'entrata. Il disegno intende eliminare le incertezze giuridiche derivanti da tale modo di procedere.
La nuova formulazione dell'articolo 21a PA costituisce il modello per il disciplinamento della trasmissione elettronica di atti scritti in tutti i codici di procedura e contiene gli elementi seguenti:
la parte o il suo rappresentante deve munire l'atto scritto di una firma elettronica qualificata;
a prescindere dall'aspetto tecnologico viene definito il modo in cui è possibile determinare il rispetto di un termine;
il nostro Collegio è abilitato a disciplinare il formato e la procedura tecnica della trasmissione sia per l'atto scritto sia per gli allegati e il modo in cui, a livello tecnico, va determinato il momento esatto del rilascio della ricevuta;
il nostro Collegio disciplina inoltre le condizioni alle quali può essere richiesta l'ulteriore trasmissione di documenti cartacei in caso di problemi tecnici.
941
Questa soluzione ci consente di tenere conto, nel singolo caso, delle esigenze concrete in materia di sicurezza e automatizzabilità della trasmissione e di reagire in maniera flessibile agli sviluppi tecnici nella trasmissione elettronica.
Art. 34 cpv. 1bis La nuova formulazione di questo articolo costituisce il modello per il disciplinamento della trasmissione elettronica in tutti i codici di procedura e contiene gli elementi seguenti:
la trasmissione elettronica presuppone il consenso della parte;
la decisione deve essere firmata elettronicamente; siamo tuttavia liberi di stabilire nell'ordinanza il tipo di firma;
siamo abilitati a disciplinare i medesimi oggetti che possiamo già disciplinare per la trasmissione degli atti scritti, in particolare il formato della decisione e dei suoi allegati, le modalità di trasmissione, nonché il momento in cui la decisione è considerata trasmessa.
2.2.3
Legge del 17 giugno 2005 sul Tribunale federale
Art. 39 cpv. 2 La terminologia è armonizzata nella versione tedesca.
Mentre noi abbiamo emanato le disposizioni d'esecuzione con l'ordinanza del 18 giugno 2010 sulla comunicazione per via elettronica nell'ambito di procedimenti amministrativi (OCE-PA; RS 172.021.2) e con l'ordinanza del 18 giugno 2010 sulla comunicazione per via elettronica nell'ambito di procedimenti civili e penali nonché di procedure d'esecuzione e fallimento (OCE-PCPE; RS 272.1), il Tribunale federale ha emanato il regolamento del Tribunale federale del 5 dicembre 2006 sulla comunicazione elettronica con le parti e le autorità inferiori (RCETF; RS 173.110.29). Questi tre atti normativi andranno adeguati alla nuova terminologia (cfr. n. 2.2.8) e si fondano sui medesimi principi fondamentali.
L'unica eccezione consiste nel disciplinamento di cui all'articolo 3 capoverso 2 RCETF, che stabilisce che l'iscrizione su una piattaforma di distribuzione vale quale assenso alla notifica per via elettronica. Questa supposizione è tuttora ammissibile ed è risultata efficace nella prassi del Tribunale federale. In questi casi il requisito di una dichiarazione separata del consenso costituirebbe un'angheria amministrativa, che a parere del Tribunale federale potrebbe ostacolare la diffusione della comunicazione elettronica di atti giuridici.
L'opportunità di riprendere tale normativa anche negli altri codici di procedura va vagliata nell'ambito del progetto di «Unificazione della legislazione in materia di notificazione» (cfr. n. 1.2.5).
942
Art. 42 cpv. 4, art. 48 cpv. 2, art. 60 cpv. 3 Dal punto di vista materiale e terminologico mutatis mutandis è implementato il medesimo disciplinamento definito precedentemente come modello per la PA. In questo caso le competenze ivi attribuite al Consiglio federale spettano al Tribunale federale.
2.2.4
Codice delle obbligazioni
Art. 14 cpv. 2bis Poiché nella parte del disegno FiEle dedicata alle definizioni (cfr. art. 2 lett. d, f e g nonché n. 1.2.1) la firma elettronica qualificata prevede il rilascio da parte di un prestatore autorizzato del certificato utilizzato, il capoverso 2bis dell'articolo 14 CO può essere notevolmente semplificato e reso di più facile lettura.
Come illustrato al numero 1.3.4 si tende sempre più a considerare ormai sicure soltanto le firme elettroniche provviste di un sistema marcatempo di un organismo indipendente. Per il termine «firma elettronica qualificata» è stata valutata l'opportunità di prevedere questo requisito supplementare nella FiEle. Tale soluzione è stata tuttavia giudicata eccessivamente limitativa.
Poiché per la Svizzera, a differenza di diversi Paesi confinanti, il riconoscimento giuridico della firma elettronica non avviene nella FiEle stessa, ma nella legislazione dei diversi settori, è possibile che il sistema marcatempo sia richiesto selettivamente per il riconoscimento della firma elettronica in un determinato settore. Proprio questo è richiesto con la nuova formulazione dell'articolo per equiparare la firma elettronica qualificata alla firma autografa.
Art. 59a
F. Responsabilità per chiavi crittografiche
La responsabilità vigente del titolare di una chiave per i certificati qualificati sarà estesa anche ai certificati regolamentati, poiché tale responsabilità costituisce una base importante affinché il destinatario accetti e dia credito alla firma o al sigillo elettronici (cfr. l'excursus al n. 1.2.3). Tuttavia la responsabilità sarà limitata alle firme elettroniche e ai sigilli elettronici e non sarà valida per l'autenticazione o altre applicazioni di certificati digitali.
L'espressione finora impiegata nel titolo marginale e nei capoversi 1 e 2 «chiave di creazione della firma» non è più definita nel disegno di revisione, poiché sarebbe troppo specifica per il campo d'applicazione di certificati, ora più ampio. Come nella maggior parte della FiEle è sostituita dall'espressione «chiave crittografica», ma è limitata alle applicazioni per firme e sigilli elettronici.
2.2.5
Codice di procedura civile
Art. 130, 139 e 143 cpv. 2 Dal punto di vista materiale e terminologico mutatis mutandis è implementato il medesimo disciplinamento definito precedentemente come modello per la PA.
943
2.2.6
Legge federale dell'11 aprile 1889 sulla esecuzione e sul fallimento
Art. 33a e 34 cpv. 2 Il titolo marginale è adeguato alla terminologia attualmente in uso.
Dal punto di vista materiale e terminologico mutatis mutandis è implementato il medesimo disciplinamento definito precedentemente come modello per la PA.
L'ultimo periodo dell'articolo 33a capoverso 2 stabilisce inoltre che in caso di procedura collettiva il nostro Collegio può derogare al requisito della firma elettronica qualificata per la trasmissione.
2.2.7
Codice di procedura penale
Art. 86, 91 cpv. 3 e 110 cpv. 2 Dal punto di vista materiale e terminologico mutatis mutandis è implementato il medesimo disciplinamento definito precedentemente come modello per la PA.
2.2.8
Adeguamenti terminologici
L'adeguamento e la semplificazione terminologica nell'ambito del disciplinamento della firma elettronica comporterà la modifica di diverse ordinanze. Il termine di firma elettronica è utilizzato in particolare nelle seguenti disposizioni esecutive:
articolo 14a capoverso 2 dell'ordinanza del 20 settembre 2002 sui documenti d'identità (ODI; RS 143.11);
articolo 27d capoverso 2 lettere a e b e articolo 27kbis capoversi 2 e 3 dell'ordinanza del 24 maggio 1978 sui diritti politici (ODP; RS 161.11);
articolo 4 capoverso 2 lettera f, articolo 6 capoversi 1, 2 e 3, articolo 9 capoversi 4 e 5 e articolo 12 capoverso 1 lettere c e d dell'ordinanza del 18 giugno 2010 sulla comunicazione per via elettronica nell'ambito di procedimenti amministrativi (OCE-PA; RS 172.021.2);
articolo 2 lettera d e articolo 4 capoverso 3 del regolamento del Tribunale federale del 5 dicembre 2006 sulla comunicazione elettronica con le parti e le autorità inferiori (RCETF; RS 173.110.29);
articolo 12a capoversi 3 e 4, articolo 12c capoverso 1 lettera b, articolo 18 capoverso 4, articolo 20 capoverso 2 e articolo 21 capoverso 3 dell'ordinanza del 17 ottobre 2007 sul registro di commercio (ORC; RS 221.411);
articolo 8 capoverso 2 e articolo 13 capoverso 2 lettera a dell'ordinanza del 15 febbraio 2006 sul Foglio ufficiale svizzero di commercio (Ordinanza FUSC; RS 221.415);
articolo 2 lettere a e b, articolo 5 capoverso 2 lettera c, articolo 7, articolo 10 capoverso 3, articolo 13 capoverso 1 lettere c e d e articolo 14 capoverso 2 dell'ordinanza del 18 giugno 2010 sulla comunicazione per via elettronica
944
nell'ambito di procedimenti civili e penali nonché di procedure d'esecuzione e fallimento (OCE-PCPE; RS 272.1);
articolo 4 capoverso 1 dell'ordinanza del DFGP del 9 febbraio 2011 sulla comunicazione per via elettronica nel settore esecuzione e fallimento (RS 281.112.1);
articolo 17 capoverso 3 lettera c e capoverso 4 dell'ordinanza del 21 novembre 2007 sull'armonizzazione dei registri (OArRa; RS 431.021);
articolo 2 capoverso 2, frase introduttiva e lettera a numero 5 e capoversi 3 e 4 e articolo 3 capoverso 1 lettere a, c e d dell'ordinanza del DFF dell'11 dicembre 2009 concernente dati ed informazioni elettronici (OelDI; RS 641.201.511);
articolo 5 capoverso 4 dell'ordinanza del DATEC del 24 novembre 2006 sulla prova del metodo di produzione e dell'origine dell'elettricità (OGO; RS 730.010.1);
articolo 63 capoverso 2 lettera c dell'ordinanza del 7 dicembre 1998 sui pagamenti diretti (OPD; RS 910.13);
articolo 5 capoverso 1bis lettera c dell'ordinanza del 7 dicembre 1998 sui contributi nella campicoltura (OCSC; RS 910.17);
articolo 5 capoverso 3, articolo 7 capoverso 2 e articolo 9 capoverso 3 dell'ordinanza del 3 dicembre 2004 sulla firma elettronica (OFiEle; RS 943.032);
articolo 1 e allegato dell'ordinanza dell'UFCOM del 6 dicembre 2004 sui servizi di certificazione nel campo della firma elettronica (RS 943.032.1).
I necessari adeguamenti andranno effettuati tra l'approvazione della presente revisione di legge da parte dell'Assemblea federale e l'entrata in vigore della nuova FiEle.
3
Ripercussioni
3.1
Ripercussioni per la Confederazione
3.1.1
Ripercussioni finanziarie
La revisione non comporta alcuna ripercussione finanziaria per la Confederazione.
3.1.2
Ripercussioni sull'effettivo del personale
L'elaborazione delle disposizioni d'esecuzione e delle direttive tecniche e amministrative nonché dei moduli per le procedure civili richiede svariato personale per alcuni mesi. La direzione spetta tradizionalmente all'UFCOM con la collaborazione di numerosi altri uffici.
Non si prevedono risparmi o aumenti di personale come conseguenza della presente revisione.
945
3.1.3
Altre ripercussioni
Vari servizi federali potranno avvalersi dei prodotti ora disciplinati. Grazie ai certificati per le autorità vari uffici di registri dispongono di una soluzione adeguata per la firma di estratti elettronici, ad esempio atti di nascita o estratti del casellario giudiziale o del registro di commercio.
3.2
Ripercussioni per i Cantoni e i Comuni, per le città, gli agglomerati e le regioni di montagna
Né la FiEle vigente né la revisione totale comportano oneri per i Cantoni, i Comuni o altre collettività pubbliche.
Questi ultimi e anche altre organizzazioni costituiscono potenziali clienti dei nuovi prodotti.
3.3
Ripercussioni dell'armonizzazione della trasmissione elettronica nei codici di procedura per i tribunali e le autorità
L'armonizzazione si limita sostanzialmente a precisare e uniformare la normativa vigente, pertanto non dovrebbe comportare ripercussioni per i tribunali e le autorità.
Un contenuto onere supplementare potrebbe risultare dalla stampa degli atti trasmessi elettronicamente soltanto laddove, contrariamente allo spirito dell'attuale normativa, veniva richiesta sistematicamente la trasmissione ulteriore di documenti cartacei. Tale onere supplementare verrà a cadere non appena il tribunale o l'autorità avrà implementato internamente la gestione elettronica degli affari.
3.4
Ripercussioni per l'economia
I prodotti basati su certificati aumentano la sicurezza e la fiducia nella corrispondenza commerciale elettronica tra privati e autorità. Contribuiscono pertanto a migliorare e accelerare il passaggio della Svizzera a un'evoluta società dell'informazione.
3.5
Ripercussioni per la società
La legge permette il disciplinamento statale di solidi mezzi di identificazione elettronica, il che contribuisce a evitare determinate conseguenze negative della società globalizzata dell'informazione come il furto d'identità.
3.6
Ripercussioni per l'ambiente
La revisione totale non comporta alcuna prevedibile ripercussione per l'ambiente.
946
3.7
Altre ripercussioni
Nessuna ripercussione degna di nota oltre a quelle menzionate sopra.
4
Programma di legislatura e strategie nazionali del Consiglio federale
4.1
Rapporto con il programma di legislatura
Il progetto è annunciato nel messaggio del 25 gennaio 2012 sul programma di legislatura 201120153.
4.2
Rapporto con le strategie nazionali del Consiglio federale
Il disciplinamento della firma elettronica ha rappresentato a lungo un elemento importante delle rispettive strategie del nostro Collegio per una società dell'informazione in Svizzera e della strategia di governo elettronico della Confederazione.
Oggi non è più così; dall'introduzione della FiEle si dà per scontato che il problema sia risolto. Dal punto di vista strategico il sigillo elettronico costituisce una piccola modifica di una legge esistente.
La presente revisione ci abilita tuttavia ora a disciplinare altre applicazioni fondate su certificati, tra cui in particolare l'autenticazione sicura. La messa a disposizione di un tale forte mezzo di identificazione elettronica è a sua volta prevista in varie strategie della Confederazione, quale obiettivo diretto oppure quale condizione per il conseguimento di altri obiettivi:
3
La nostra strategia per una società dell'informazione in Svizzera, del marzo 2012, cita l'elaborazione di «soluzioni atte a dimostrare l'identità» quale ambito d'intervento prioritario per conseguire l'obiettivo della protezione dalla criminalità su Internet.
La strategia di governo elettronico Svizzera definisce, nel progetto prioritario B2.07, la messa a disposizione dell'identità digitale e l'identificazione per l'autenticazione nel settore commerciale e amministrativo un pilastro per il futuro sviluppo dello spazio economico elettronico in Svizzera.
La «strategia eHealth Svizzera» elaborata congiuntamente da Confederazione e Cantoni menziona, quale obiettivo A5 nel campo d'intervento «cartella del paziente informatizzata», l'implementazione dell'autenticazione sicura con l'opzione di una firma elettronica legalmente valida.
Il 19 dicembre 2012, nell'ambito di un progetto legislativo volto a promuovere la corrispondenza elettronica commerciale, abbiamo deciso di sottoporre al Parlamento la presente revisione totale.
FF 2012 305, 430
947
5
Aspetti giuridici
5.1
Costituzionalità e legalità
La legge continua a fondarsi sugli articoli 95 capoverso 1 e 122 capoverso 1 della Costituzione federale, che attribuiscono alla Confederazione competenze legislative nell'ambito dell'attività economica lucrativa privata e del diritto privato.
5.2
Compatibilità con gli impegni internazionali della Svizzera
Attualmente non sussiste alcun impegno internazionale della Svizzera in tale settore.
Anche se la Svizzera non è uno Stato membro dell'UE, alla luce delle strette relazioni tra la Confederazione e molti Paesi dell'UE si mira alla conformità e compatibilità in questo ambito.
5.3
Forma dell'atto
L'articolo 164 Cost. prevede che tutte le disposizioni importanti che contengono norme di diritto siano emanate sotto forma di legge federale.
5.4
Subordinazione al freno delle spese
Alla presente legge non sono correlate spese che sarebbero subordinate al freno alle spese.
5.5
Conformità alla legge sui sussidi
I principi della legge sui sussidi non sono applicabili in questo ambito.
5.6
Delega di competenze legislative
Sia la legge vigente sia l'attuale revisione totale consistono principalmente nella delega di competenze legislative al nostro Collegio. Con la revisione totale, la nostra competenza di emanare disposizioni d'esecuzione è estesa ad altri prodotti, tra l'altro a una nuova classe di certificati digitali.
I prodotti regolamentati non sono tuttavia in nessun ambito esclusivi. Qualsiasi prestatore è libero di offrire, in ogni categoria di prodotti, anche prodotti non regolamentati. Il riconoscimento volontario dei prestatori con requisiti definiti e la regolamentazione della qualità di alcuni prodotti da parte dello Stato conferiscono tuttavia il carattere di fiducia auspicato dall'economia e così difficile da conseguire nel mondo delle reti di dati.
948
5.7
Protezione dei dati
I certificati, le firme e l'autenticazione elettronici concernono tutti direttamente dati personali e richiedono pertanto grande precisione e attenzione dal punto di vista della protezione dei dati.
Tale esigenza è considerata in primo luogo in quanto esiste una base legale formale.
Se ne tiene conto anche avendo optato per il mezzo più consono alle esigenze in materia di protezione dei dati per conseguire l'obiettivo della sicurezza e fiducia nelle pratiche elettroniche commerciali e non avendo previsto alcun obbligo di impiegare mezzi per l'identificazione e l'autenticazione laddove non necessari.
L'articolo 15 sulla protezione dei dati non è modificato sul piano materiale.
949
950