1
Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (Bundesgesetz über die elektronische Signatur, ZertES)
vom 19. Dezember 2003 (Stand am 1. August 2008)
Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 95 Absatz 1 und 122 Absatz 1 der Bundesverfassung1, nach Einsicht in die Botschaft des Bundesrates vom 3. Juli 20012, beschliesst:
1. Abschnitt: Allgemeine Bestimmungen
Art. 1 Gegenstand und Zweck 1 Dieses Gesetz regelt:
a. die Voraussetzungen, unter denen sich Anbieterinnen von Zertifizierungs- diensten im Bereich der elektronischen Signatur anerkennen lassen können;
b. die Rechte und Pflichten der anerkannten Anbieterinnen von Zertifizierungs- diensten.
2 Es hat zum Zweck: a. ein breites Angebot an sicheren Diensten der elektronischen Zertifizierung
zu fördern; b. die Verwendung qualifizierter elektronischer Signaturen zu begünstigen; c. die internationale Anerkennung der Anbieterinnen von Zertifizierungsdiens-
ten und ihrer Leistungen zu ermöglichen.
Art. 2 Begriffe In diesem Gesetz bedeuten:
a. elektronische Signatur: Daten in elektronischer Form, die anderen elektro- nischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen;
AS 2004 5085 1 SR 101 2 BBl 2001 5679
943.03
Ausübung des Handels
2
943.03
b. fortgeschrittene elektronische Signatur: eine elektronische Signatur, die fol- gende Anforderungen erfüllt: 1. Sie ist ausschliesslich der Inhaberin oder dem Inhaber zugeordnet. 2. Sie ermöglicht die Identifizierung der Inhaberin oder des Inhabers. 3. Sie wird mit Mitteln erzeugt, welche die Inhaberin oder der Inhaber un-
ter ihrer oder seiner alleinigen Kontrolle halten kann. 4. Sie ist mit den Daten, auf die sie sich bezieht, so verknüpft, dass eine
nachträgliche Veränderung der Daten erkannt werden kann; c. qualifizierte elektronische Signatur: eine fortgeschrittene elektronische Sig-
natur, die auf einer sicheren Signaturerstellungseinheit nach Artikel 6 Absät- ze 1 und 2 und auf einem qualifizierten und zum Zeitpunkt der Erzeugung gültigen Zertifikat beruht;
d. Signaturschlüssel: einmalige Daten wie Codes oder private kryptografische Schlüssel, die von der Inhaberin oder vom Inhaber zur Erstellung einer elektronischen Signatur verwendet werden;
e. Signaturprüfschlüssel: Daten wie Codes oder öffentliche kryptografische Schlüssel, die zur Überprüfung einer elektronischen Signatur verwendet werden;
f. qualifiziertes Zertifikat: ein digitales Zertifikat, das die Anforderungen des Artikels 7 erfüllt;
g. Anbieterin von Zertifizierungsdiensten: Stelle, die im Rahmen einer elektro- nischen Umgebung Daten bestätigt und zu diesem Zweck digitale Zertifikate ausstellt;
h. Anerkennungsstelle: Stelle, die nach dem Akkreditierungsrecht3 für die An- erkennung und die Überwachung der Anbieterinnen von Zertifizierungs- diensten akkreditiert ist.
2. Abschnitt: Anerkennung der Anbieterinnen von Zertifizierungsdiensten
Art. 3 Anerkennungsvoraussetzungen 1 Als Anbieterinnen von Zertifizierungsdiensten anerkannt werden können natür- liche oder juristische Personen, die:
a. im Handelsregister eingetragen sind; b. in der Lage sind, qualifizierte Zertifikate gemäss den Anforderungen dieses
Gesetzes auszustellen und zu verwalten; c. Personal mit den erforderlichen Fachkenntnissen, Erfahrungen und Qualifi-
kationen beschäftigen;
3 BG vom 6. Okt. 1995 über die technischen Handelshemmnisse, THG (SR 946.51) und die dazugehörigen Ausführungsvorschriften.
Bundesgesetz über die elektronische Signatur
3
943.03
d. Informatiksysteme und -produkte, insbesondere Signaturerstellungseinheiten verwenden, die verlässlich und vertrauenswürdig sind;
e. über ausreichende Finanzmittel oder -garantien verfügen; f. die notwendigen Versicherungen zur Deckung allfälliger Haftungsansprüche
aus Artikel 16 und der Kosten, welche aus den in Artikel 13 Absätze 2 und 3 vorgesehenen Massnahmen erwachsen könnten, abschliessen;
g. die Einhaltung des anwendbaren Rechts, namentlich dieses Gesetzes und seiner Ausführungsvorschriften, gewährleisten.
2 Die Voraussetzungen nach Absatz 1 gelten auch für ausländische Anbieterinnen von Zertifizierungsdiensten. Ist eine ausländische Anbieterin bereits von einer ausländischen Anerkennungsstelle anerkannt worden, so kann die schweizerische Anerkennungsstelle sie anerkennen, wenn erwiesen ist, dass:
a. sie die Anerkennung nach ausländischem Recht erworben hat; b. die für die Anerkennung massgebenden Vorschriften des ausländischen
Rechts den schweizerischen Vorschriften gleichwertig sind; c. die ausländische Anerkennungsstelle über Qualifikationen verfügt, die de-
nen, die von schweizerischen Anerkennungsstellen gefordert werden, gleich- wertig sind;
d. die ausländische Anerkennungsstelle die Zusammenarbeit mit der schweize- rischen Anerkennungsstelle zur Überwachung der Anbieterin in der Schweiz gewährleistet.
3 Verwaltungseinheiten von Bund, Kantonen und Gemeinden dürfen als Anbieterin- nen von Zertifizierungsdiensten anerkannt werden, ohne im Handelsregister einge- tragen zu sein.
Art. 4 Bezeichnung der Akkreditierungsstelle 1 Der Bundesrat bezeichnet die für die Akkreditierung der Anerkennungsstellen zuständige Stelle (Akkreditierungsstelle). 2 Wird keine Stelle für die Anerkennung akkreditiert, so bezeichnet der Bundesrat die Akkreditierungsstelle oder eine andere geeignete Stelle als Anerkennungsstelle.
Art. 5 Liste der anerkannten Anbieterinnen von Zertifizierungsdiensten 1 Die Anerkennungsstellen melden der Akkreditierungsstelle die von ihnen aner- kannten Anbieterinnen von Zertifizierungsdiensten. 2 Die Akkreditierungsstelle stellt der Öffentlichkeit die Liste der anerkannten Anbie- terinnen von Zertifizierungsdiensten zur Verfügung.
Ausübung des Handels
4
943.03
3. Abschnitt: Generierung und Verwendung von Signatur- und Signaturprüfschlüsseln
Art. 6 1 Der Bundesrat regelt die Generierung von Signatur- und Signaturprüfschlüsseln, für die qualifizierte Zertifikate im Sinne dieses Gesetzes ausgestellt werden können. Er sorgt dabei für ein der technischen Entwicklung entsprechendes hohes Sicher- heitsniveau. 2 Die Signaturerstellungseinheiten müssen zumindest gewährleisten, dass die für die Erzeugung der Signatur verwendeten Signaturschlüssel:
a. praktisch nur einmal auftreten können und ihre Geheimhaltung hinreichend gewährleistet ist;
b. mit hinreichender Sicherheit nicht abgeleitet werden können und die Signa- tur bei Verwendung der jeweils verfügbaren Technologie vor Fälschungen geschützt ist;
c. von der rechtmässigen Inhaberin oder vom rechtmässigen Inhaber vor der missbräuchlichen Verwendung durch andere verlässlich geschützt werden können.
3 Bei der Gestaltung des Signaturprüfungsvorgangs ist darauf zu achten, dass fol- gende Anforderungen mit hinreichender Sicherheit gewährleistet sind:
a. Die zur Überprüfung der Signatur verwendeten Daten entsprechen den Da- ten, die der Überprüferin oder dem Überprüfer angezeigt werden.
b. Die Signatur wird zuverlässig überprüft und das Ergebnis dieser Überprü- fung wird korrekt angezeigt.
c. Die Überprüferin oder der Überprüfer kann bei Bedarf den Inhalt der unter- zeichneten Daten zuverlässig feststellen.
d. Die Echtheit und die Gültigkeit des zum Zeitpunkt der Überprüfung der Sig- natur verlangten Zertifikats werden zuverlässig überprüft und das Ergebnis der Überprüfung wird korrekt angezeigt.
e. Die Identität der Inhaberin oder des Inhabers des Signaturschlüssels wird korrekt angezeigt.
f. Die Verwendung eines Pseudonyms wird eindeutig angegeben. g. Die sicherheitsrelevanten Veränderungen können erkannt werden.
Bundesgesetz über die elektronische Signatur
5
943.03
4. Abschnitt: Qualifizierte Zertifikate
Art. 7 1 Ein qualifiziertes Zertifikat muss mindestens folgende Angaben enthalten:
a. die Seriennummer; b. den Hinweis, dass es sich um ein qualifiziertes Zertifikat handelt; c. den Namen oder das Pseudonym der natürlichen Person, die den Signatur-
prüfschlüssel innehat; im Falle einer Verwechslungsmöglichkeit ist der Na- me mit einem unterscheidenden Zusatz zu versehen;
d. den Signaturprüfschlüssel; e. die Gültigkeitsdauer; f. den Namen, den Niederlassungsstaat und die qualifizierte elektronische Sig-
natur der Anbieterin von Zertifizierungsdiensten, die das Zertifikat ausstellt; g. den Hinweis darauf, ob die Anbieterin von Zertifizierungsdiensten anerkannt
ist oder nicht und bei allfälliger Anerkennung den Namen der Anerken- nungsstelle.
2 Ins Zertifikat aufzunehmen sind ferner: a. spezifische Attribute der Inhaberin oder des Inhabers des Signaturschlüssels,
wie die Tatsache, dass sie oder er zur Vertretung einer bestimmten juristi- schen Person berechtigt ist;
b. der Geltungsbereich des Zertifikats; c. der Wert der Transaktionen, für die das Zertifikat verwendet werden kann.
3 Der Bundesrat regelt das Format der Zertifikate.
5. Abschnitt: Pflichten anerkannter Anbieterinnen von Zertifizierungsdiensten
Art. 8 Ausstellung qualifizierter Zertifikate 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen von den Perso- nen, die einen Antrag auf Ausstellung eines qualifizierten Zertifikats stellen, verlan- gen, dass sie persönlich erscheinen und den Nachweis ihrer Identität erbringen. Im Falle von Artikel 7 Absatz 2 Buchstabe a ist die Einwilligung der vertretenen Person nachzuweisen; berufsbezogene oder sonstige Angaben zur Person sind durch die zuständige Stelle zu bestätigen.
Ausübung des Handels
6
943.03
2 Der Bundesrat bezeichnet die Dokumente, mit denen die antragstellende Person ihre Identität und allfällige Attribute nachweisen kann. Er kann vorsehen, dass unter bestimmten Voraussetzungen auf das persönliche Erscheinen der antragstellenden Person verzichtet wird. 3 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen sich ferner vergewissern, dass die Person, die ein qualifiziertes Zertifikat verlangt, im Besitz des entsprechenden Signaturschlüssels ist. 4 Die anerkannten Anbieterinnen von Zertifizierungsdiensten können ihre Aufgabe zur Identifikation einer Antragstellerin oder eines Antragstellers an Dritte delegieren (Registrierungsstellen). Sie haften für die korrekte Ausführung der Aufgabe durch die Registrierungsstelle.
Art. 9 Informations- und Dokumentationspflicht 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen ihre allgemei- nen Vertragsbedingungen sowie Informationen über ihre Zertifizierungspolitik allge- mein zugänglich machen. 2 Sie müssen ihre Kundinnen und Kunden spätestens bei der Ausstellung der qualifi- zierten Zertifikate auf die Folgen eines möglichen Missbrauchs des Signatur- schlüssels und auf die nach den Umständen notwendigen Vorkehrungen zur Ge- heimhaltung des Signaturschlüssels aufmerksam machen. 3 Sie führen ein Tätigkeitsjournal. Der Bundesrat regelt, wie lange das Tätigkeits- journal und die dazugehörenden Belege aufzubewahren sind.
Art. 10 Ungültigerklärung qualifizierter Zertifikate 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten erklären ein qualifi- ziertes Zertifikat unverzüglich für ungültig, wenn:
a. die Inhaberin oder der Inhaber oder die Person, die sie oder ihn vertritt, ei- nen entsprechenden Antrag stellt;
b. sich herausstellt, dass dieses unrechtmässig erlangt worden ist; c. es keine Gewähr mehr bietet für die Zuordnung eines Signaturprüfschlüssels
zu einer bestimmten Person. 2 Bei der Ungültigerklärung nach Absatz 1 Buchstabe a müssen sie sich vergewis- sern, dass die Person, welche die Ungültigerklärung beantragt, dazu berechtigt ist. 3 Sie informieren die Inhaberinnen und Inhaber qualifizierter Zertifikate unverzüg- lich über die erfolgte Ungültigerklärung.
Art. 11 Verzeichnisdienste für qualifizierte Zertifikate 1 Jede anerkannte Anbieterin von Zertifizierungsdiensten stellt sicher, dass die Gültigkeit aller qualifizierten Zertifikate, die sie ausgestellt hat, mit einem gebräuch- lichen Verfahren jederzeit zuverlässig überprüft werden kann.
Bundesgesetz über die elektronische Signatur
7
943.03
2 Sie kann zudem einen Verzeichnisdienst anbieten, über den jedermann die qualifi- zierten Zertifikate dieser Anbieterin suchen und abrufen kann. In dieses Verzeichnis wird ein Zertifikat nur auf Verlangen des Inhabers beziehungsweise der Inhaberin eingetragen. 3 Abfragen der öffentlichen Hand sind unentgeltlich. 4 Der Bundesrat bestimmt die Mindestdauer, während der die Überprüfung von nicht mehr gültigen qualifizierten Zertifikaten möglich bleiben muss.
Art. 12 Zeitstempel Auf entsprechendes Begehren müssen die anerkannten Anbieterinnen von Zertifizie- rungsdiensten eine mit ihrer qualifizierten elektronischen Signatur versehene Be- scheinigung abgeben, wonach bestimmte digitale Daten zu einem bestimmten Zeit- punkt vorliegen.
Art. 13 Einstellung der Geschäftstätigkeit 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten melden der Akkreditie- rungsstelle die Aufgabe ihrer Geschäftstätigkeit rechtzeitig. Eine gegen sie gerichte- te Konkursandrohung melden sie unverzüglich. 2 Die Akkreditierungsstelle beauftragt eine andere anerkannte Anbieterin von Zerti- fizierungsdiensten, das Verzeichnis der gültigen, der abgelaufenen und der für ungültig erklärten qualifizierten Zertifikate zu führen und das Tätigkeitsjournal sowie die entsprechenden Belege aufzubewahren. Der Bundesrat bezeichnet eine geeignete Stelle zur Übernahme der Aufgabe, wenn es an einer anerkannten Anbie- terin von Zertifizierungsdiensten fehlt. Die anerkannte Anbieterin von Zertifizie- rungsdiensten, die ihre Tätigkeit aufgibt, trägt die daraus entstehenden Kosten. 3 Absatz 2 gilt auch dann, wenn eine anerkannte Anbieterin von Zertifizierungs- diensten in Konkurs fällt.
Art. 14 Datenschutz 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten und die von ihnen beauftragten Registrierungsstellen dürfen nur diejenigen Personendaten bearbeiten, die zur Erfüllung ihrer Aufgaben notwendig sind. Sie dürfen mit diesen Daten kei- nen Handel treiben. 2 Im Übrigen gilt die Datenschutzgesetzgebung.
Ausübung des Handels
8
943.03
6. Abschnitt: Aufsicht über die anerkannten Anbieterinnen von Zertifizierungsdiensten
Art. 15 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten werden nach den Regeln des Akkreditierungsrechts4 von den Anerkennungsstellen beaufsichtigt. 2 Eine Anerkennungsstelle meldet der Akkreditierungsstelle unverzüglich den Ent- zug der Anerkennung einer Anbieterin von Zertifizierungsdiensten. Artikel 13 Absatz 2 findet Anwendung.
7. Abschnitt: Haftung
Art. 16 Haftung der Anbieterin von Zertifizierungsdiensten 1 Die Anbieterin von Zertifizierungsdiensten haftet der Inhaberin oder dem Inhaber des Signaturschlüssels und Drittpersonen, die sich auf ein gültiges qualifiziertes Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anbieterin den Pflichten aus diesem Gesetz und den entsprechenden Ausführungsvorschriften nicht nachgekommen ist. 2 Sie trägt die Beweislast dafür, den Pflichten aus diesem Gesetz und den Ausfüh- rungsvorschriften nachgekommen zu sein. 3 Sie kann ihre Haftung aus diesem Gesetz weder für sich noch für Hilfspersonen wegbedingen. Sie haftet jedoch nicht für Schäden, die sich aus der Nichtbeachtung oder Überschreitung einer Nutzungsbeschränkung (Art. 7 Abs. 2) ergeben.
Art. 17 Haftung der Anerkennungsstelle Die Anerkennungsstelle nach Artikel 2 Buchstabe h haftet der Inhaberin oder dem Inhaber des Signaturschlüssels und Drittpersonen, die sich auf ein gültiges qualifi- ziertes Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anerken- nungsstelle ihren Pflichten aus diesem Gesetz und den Ausführungsvorschriften nicht nachgekommen ist. Artikel 16 Absätze 2 und 3 gilt sinngemäss.
Art. 18 Verjährung Die auf dieses Gesetz gestützten Ansprüche verjähren ein Jahr, nachdem die oder der Berechtigte vom Schaden und von der Person der oder des Ersatzpflichtigen Kenntnis hat, spätestens aber zehn Jahre nach der schädigenden Handlung. Vorbe- halten bleiben vertragliche Ansprüche.
4 BG vom 6. Okt. 1995 über die technischen Handelshemmnisse, THG (SR 946.51) und die dazugehörigen Ausführungsvorschriften.
Bundesgesetz über die elektronische Signatur
9
943.03
8. Abschnitt: Internationale Abkommen
Art. 19 1 Um die internationale Verwendung elektronischer Signaturen und deren rechtliche Anerkennung zu erleichtern, kann der Bundesrat internationale Abkommen schlies- sen, namentlich über:
a. die Anerkennung elektronischer Signaturen und Zertifikate; b. die Anerkennung von Anbieterinnen von Zertifizierungsdiensten und von
Anerkennungsstellen; c. die Anerkennung von Prüfungen und Konformitätsbewertungen; d. die Anerkennung von Konformitätszeichen; e. die Anerkennung von Akkreditierungssystemen und akkreditierten Stellen; f. die Erteilung von Normungsaufträgen an internationale Normungsorganisa-
tionen, soweit in Vorschriften über elektronische Signaturen auf bestimmte technische Normen verwiesen wird oder verwiesen werden soll;
g. die Information und Konsultation bezüglich Vorbereitung, Erlass, Änderung und Anwendung solcher Vorschriften oder Normen.
2 Zur Durchführung internationaler Abkommen über Gegenstände nach Absatz 1 erlässt der Bundesrat die erforderlichen Vorschriften. 3 Er kann Aufgaben im Zusammenhang mit der Information und der Konsultation bezüglich Vorbereitung, Erlass und Änderung von Vorschriften oder von techni- schen Normen über elektronische Signaturen Privaten übertragen und dafür eine Abgeltung vorsehen.
9. Abschnitt: Schlussbestimmungen
Art. 20 Vollzug 1 Der Bundesrat erlässt die Ausführungsvorschriften. Er berücksichtigt dabei das entsprechende internationale Recht und kann internationale technische Normen für anwendbar erklären. 2 Er kann den Erlass administrativer und technischer Vorschriften dem Bundesamt für Kommunikation übertragen. 3 Um den Gesetzeszweck zu erfüllen, kann er eine Verwaltungseinheit des Bundes beauftragen, qualifizierte Zertifikate auch für den Privatrechtsverkehr auszustellen oder sich an einer privaten Anbieterin von Zertifizierungsdiensten zu beteiligen.
Art. 21 Änderung bisherigen Rechts Die Änderung bisherigen Rechts wird im Anhang geregelt.
Ausübung des Handels
10
943.03
Art. 225
Art. 23 Referendum und Inkrafttreten 1 Dieses Gesetz untersteht dem fakultativen Referendum. 2 Der Bundesrat bestimmt das Inkrafttreten.
Datum des Inkrafttretens: 1. Januar 20056
5 Aufgehoben durch Ziff. II 55 des BG vom 20. März 2008 zur formellen Bereinigung des Bundesrechts, mit Wirkung seit 1. Aug. 2008 (AS 2008 3437 3452; BBl 2007 6121).
6 BRB vom 3. Dez. 2004 (AS 2004 5094)
Bundesgesetz über die elektronische Signatur
11
943.03
Anhang (Art. 21)
Änderung bisherigen Rechts
Die nachstehenden Bundesgesetze werden wie folgt geändert: …7
7 Die Änderungen können unter AS 2004 5085 konsultiert werden
Ausübung des Handels
12
943.03
1
Loi fédérale sur les services de certification dans le domaine de la signature électronique (Loi sur la signature électronique, SCSE)
du 19 décembre 2003 (Etat le 1er août 2008)
L’Assemblée fédérale de la Confédération suisse, vu les art. 95, al. 1, et 122, al. 1, de la Constitution1, vu le message du Conseil fédéral du 3 juillet 20012, arrête:
Section 1 Dispositions générales
Art. 1 Objet et but 1 La présente loi règle:
a. les conditions auxquelles les fournisseurs de services de certification dans le domaine de la signature électronique peuvent être reconnus;
b. les droits et les devoirs des fournisseurs de services de certification recon- nus.
2 Elle vise à: a. promouvoir la fourniture de services de certification électronique sûrs à un
large public; b. favoriser l’utilisation des signatures électroniques qualifiées; c. permettre la reconnaissance internationale des fournisseurs de services de
certification et de leurs prestations.
Art. 2 Définitions Au sens de la présente loi, on entend par:
a. signature électronique: données électroniques jointes ou liées logiquement à d’autres données électroniques et qui servent à vérifier leur authenticité;
RO 2004 5085 1 RS 101 2 FF 2001 5423
943.03
Commerce
2
943.03
b. signature électronique avancée: signature électronique qui satisfait aux exi- gences suivantes: 1. être liée uniquement au titulaire, 2. permettre d’identifier le titulaire, 3. être créée par des moyens que le titulaire peut garder sous son contrôle
exclusif, 4. être liée aux données auxquelles elle se rapporte de telle sorte que toute
modification ultérieure des données soit détectable; c. signature électronique qualifiée: signature électronique avancée fondée sur
un dispositif sécurisé de création de signature au sens de l’art. 6, al. 1 et 2, et sur un certificat qualifié valable au moment de sa création;
d. clé de signature: données uniques telles que des codes ou des clés cryptogra- phiques privées que le titulaire utilise pour composer une signature électro- nique;
e. clé de vérification de signature: données telles que des codes ou des clés cryptographiques publiques utilisées pour vérifier une signature électroni- que;
f. certificat qualifié: certificat numérique qui remplit les conditions de l’art. 7; g. fournisseur de services de certification (fournisseur): organisme qui certifie
des données dans un environnement électronique et qui délivre à cette fin des certificats numériques;
h. organisme de reconnaissance: organisme qui, selon les règles de l’accrédita- tion3, est habilité à reconnaître et à surveiller les fournisseurs.
Section 2 Reconnaissance des fournisseurs
Art. 3 Conditions de la reconnaissance 1 Peuvent être reconnus comme fournisseurs les personnes physiques ou morales qui:
a. sont inscrites au registre du commerce; b. sont en mesure de délivrer et de gérer des certificats qualifiés conformément
aux exigences de la présente loi; c. emploient du personnel possédant les connaissances, l’expérience et les qua-
lifications nécessaires; d. utilisent des systèmes et des produits informatiques fiables et sûrs, notam-
ment des dispositifs de création de signatures; e. possèdent des ressources ou des garanties financières suffisantes;
3 LF du 6 oct. 1995 sur les entraves techniques au commerce, LETC (RS 946.51) et les dispositions d’exécution pertinentes.
L sur la signature électronique
3
943.03
f. contractent les assurances nécessaires à la couverture de la responsabilité prévue à l’art. 16 et des frais que peuvent entraîner les mesures prévues à l’art. 13, al. 2 et 3;
g. assurent le respect du droit applicable, notamment de la présente loi et des dispositions d’exécution pertinentes.
2 Les conditions prévues à l’al. 1 sont également applicables aux fournisseurs étran- gers. Lorsqu’un fournisseur étranger a déjà obtenu une reconnaissance de la part d’un organisme de reconnaissance étranger, l’organisme de reconnaissance suisse peut le reconnaître s’il est prouvé que:
a. la reconnaissance a été octroyée selon le droit étranger; b. les règles du droit étranger applicables à l’octroi de la reconnaissance sont
équivalentes à celles du droit suisse; c. l’organisme de reconnaissance étranger possède des qualifications équiva-
lentes à celles qui sont exigées d’un organisme de reconnaissance suisse; d. l’organisme de reconnaissance étranger garantit sa collaboration à l’orga-
nisme de reconnaissance suisse pour la surveillance du fournisseur en Suis- se.
3 Les unités administratives de la Confédération, des cantons et des communes peu- vent être reconnues comme fournisseurs sans avoir à s’inscrire au registre du com- merce.
Art. 4 Désignation de l’organisme d’accréditation 1 Le Conseil fédéral désigne l’organisme d’accréditation des organismes de recon- naissance (organisme d’accréditation). 2 Si aucun organisme n’a été accrédité pour effectuer des reconnaissances, le Conseil fédéral désigne l’organisme d’accréditation ou un autre organisme compétent com- me organisme de reconnaissance.
Art. 5 Liste des fournisseurs 1 Les organismes de reconnaissance annoncent à l’organisme d’accréditation les fournisseurs qu’ils reconnaissent. 2 L’organisme d’accréditation tient à la disposition du public la liste des fournisseurs reconnus.
Commerce
4
943.03
Section 3 Elaboration et utilisation de clés de signature et de vérification de signature
Art. 6 1 Le Conseil fédéral règle l’élaboration des clés de signature et de vérification de signature pouvant faire l’objet de certificats qualifiés au sens de la présente loi. Ce faisant, il veille à assurer un degré de sécurité élevé, conforme à l’évolution de la technique. 2 Les dispositifs de création de signature doivent au moins:
a. garantir que la clé de signature utilisée pour l’élaboration de la signature ne puisse pratiquement se rencontrer qu’une seule fois et que sa confidentialité soit suffisamment garantie;
b. assurer avec une marge de sécurité suffisante que la clé de signature utilisée pour la création de la signature ne puisse être trouvée par déduction et que la signature soit protégée contre toute falsification par les moyens techniques disponibles;
c. garantir que la clé de signature utilisée pour la création de la signature puisse être protégée de manière fiable par le titulaire légitime contre toute utilisa- tion abusive.
3 Lors de la mise en place du processus de vérification de la signature, il convient de veiller à ce que les exigences suivantes soient remplies avec une marge de sécurité suffisante:
a. les données utilisées pour vérifier la signature correspondent aux données affichées à l’intention du vérificateur;
b. la signature est vérifiée de manière sûre et le résultat de cette vérification est correctement affiché;
c. le vérificateur peut, si nécessaire, déterminer de manière sûre le contenu des données signées;
d. l’authenticité et la validité du certificat requis lors de la vérification de la signature sont vérifiées de manière sûre et le résultat de cette vérification est correctement affiché;
e. l’identité du titulaire de la clé de signature est correctement affichée; f. l’utilisation d’un pseudonyme est clairement indiquée; g. tout changement ayant une influence sur la sécurité peut être détecté.
L sur la signature électronique
5
943.03
Section 4 Certificats qualifiés
Art. 7 1 Tout certificat qualifié doit contenir au moins les informations suivantes:
a. le numéro de série; b. la mention qu’il est délivré à titre de certificat qualifié; c. le nom ou le pseudonyme de la personne physique titulaire de la clé de véri-
fication de signature; s’il existe un risque de confusion, le nom doit être complété par un élément distinctif;
d. la clé de vérification de signature; e. la durée de validité; f. le nom, le pays d’établissement et la signature électronique qualifiée du
fournisseur qui délivre le certificat; g. la mention du caractère reconnu ou non du fournisseur et, s’il est reconnu, le
nom de l’organisme de reconnaissance. 2 Le certificat doit également contenir les éléments suivants:
a. les qualités spécifiques du titulaire de la clé de signature, telle que la qualité de représenter une personne morale déterminée;
b. le domaine d’utilisation du certificat; c. la valeur des transactions pour lesquelles le certificat peut être utilisé.
3 Le Conseil fédéral règle le format des certificats.
Section 5 Devoirs des fournisseurs reconnus
Art. 8 Délivrance des certificats qualifiés 1 Les fournisseurs reconnus doivent exiger des personnes qui demandent un certifi- cat qualifié qu’elles se présentent en personne et qu’elles apportent la preuve de leur identité. S’agissant de l’art. 7, al. 2, let. a, les pouvoirs du représentant doivent faire l’objet d’une vérification; les renseignements professionnels ou autres relatifs à cette personne doivent être confirmés par l’organisme compétent. 2 Le Conseil fédéral détermine les documents de nature à prouver l’identité et, le cas échéant, les qualités des personnes qui demandent un certificat. Il peut, à certaines conditions, prévoir l’exemption de l’obligation de se présenter en personne. 3 Les fournisseurs reconnus doivent en outre s’assurer que les personnes qui deman- dent un certificat qualifié possèdent la clé de signature qui s’y rapporte. 4 Ils peuvent déléguer leur tâche d’identification à des tiers (bureaux d’enregis- trement). Ils répondent de l’exécution correcte de cette tâche par le bureau d’enregistrement.
Commerce
6
943.03
Art. 9 Obligation d’informer 1 Les fournisseurs reconnus doivent tenir à la disposition du public leurs conditions contractuelles générales et des informations sur leur politique de certification. 2 Ils doivent informer leurs clients des conséquences de l’utilisation abusive de leur clé de signature, au plus tard lors de la délivrance des certificats qualifiés, ainsi que des dispositions à prendre, selon les circonstances, pour assurer la confidentialité de leur clé de signature. 3 Ils tiennent un journal de leurs activités. Le Conseil fédéral règle la durée pendant laquelle le journal et les documents qui s’y rapportent doivent être conservés.
Art. 10 Annulation des certificats qualifiés 1 Les fournisseurs reconnus annulent immédiatement les certificats qualifiés:
a. si le titulaire ou son représentant le demande; b. s’il s’avère qu’ils ont été obtenus de manière frauduleuse; c. s’ils ne permettent plus de garantir le lien entre une clé de vérification de
signature et une personne. 2 En cas d’annulation sur demande selon l’al. 1, let. a, les fournisseurs s’assurent que le requérant a qualité pour demander l’annulation. 3 Les fournisseurs informent immédiatement les titulaires de certificats qualifiés de l’annulation de ces derniers.
Art. 11 Service d’annuaire pour les certificats qualifiés 1 Tout fournisseur reconnu garantit aux intéressés de pouvoir vérifier de façon fia- ble, en tout temps et selon une procédure usuelle, la validité de tous les certificats qualifiés qu’il aura délivrés. 2 Il peut en outre offrir un service d’annuaire permettant aux intéressés de rechercher et de consulter les certificats qualifiés qu’il aura délivrés. Un certificat n’est inscrit dans cet annuaire qu’à la demande de son titulaire. 3 Les pouvoirs publics peuvent consulter ces données gratuitement. 4 Le Conseil fédéral détermine la durée minimale pendant laquelle doit demeurer possible la vérification des certificats qualifiés qui ne sont plus valables.
Art. 12 Système d’horodatage Les fournisseurs reconnus délivrent, sur demande, une attestation munie de leur signature électronique qualifiée aux fins d’établir l’existence de données numériques à un moment précis.
L sur la signature électronique
7
943.03
Art. 13 Cessation d’activité 1 Les fournisseurs reconnus annoncent en temps utile à l’organisme d’accréditation la cessation de leur activité. Ils lui annoncent immédiatement toute commination de faillite qui leur a été notifiée. 2 L’organisme d’accréditation charge un autre fournisseur reconnu de tenir la liste des certificats qualifiés valables, échus ou annulés et de conserver le journal de ses activités ainsi que les pièces justificatives correspondantes. Le Conseil fédéral dési- gne l’organisme compétent pour reprendre ces tâches lorsqu’il n’y a pas de fournis- seur reconnu. Le fournisseur reconnu qui cesse son activité supporte les frais qui en résultent. 3 L’al. 2 est également applicable en cas de faillite d’un fournisseur reconnu.
Art. 14 Protection des données 1 Les fournisseurs reconnus et les bureaux d’enregistrement qu’ils ont mandatés ne peuvent traiter que les données personnelles nécessaires à l’accomplissement de leurs tâches. Tout commerce de ces données est interdit. 2 Au surplus, la législation sur la protection des données est applicable.
Section 6 Surveillance des fournisseurs reconnus
Art. 15 1 La surveillance des fournisseurs reconnus est assurée par les organismes de recon- naissance selon les règles de l’accréditation4. 2 Lorsqu’un organisme de reconnaissance retire la reconnaissance d’un fournisseur, il l’annonce immédiatement à l’organisme d’accréditation. L’art. 13, al. 2, est appli- cable.
Section 7 Responsabilité
Art. 16 Responsabilité des fournisseurs 1 Lorsque des fournisseurs contreviennent à des obligations découlant de la présente loi ou des dispositions d’exécution, ils répondent du dommage causé au titulaire d’une clé de signature et aux tiers qui se sont fiés à un certificat qualifié valable. 2 Il leur incombe d’apporter la preuve qu’ils ont respecté les obligations découlant de la présente loi et des dispositions d’exécution.
4 LF du 6 oct. 1995 sur les entraves techniques au commerce, LETC (RS 946.51) et les dispositions d’exécution pertinentes.
Commerce
8
943.03
3 Les fournisseurs ne peuvent exclure leur responsabilité découlant de la présente loi non plus que celle de leurs auxiliaires. Ils ne répondent toutefois pas du dommage résultant de l’inobservation ou de la violation d’une restriction de l’utilisation du certificat (art. 7, al. 2).
Art. 17 Responsabilité des organismes de reconnaissance Lorsque les organismes de reconnaissance au sens de l’art. 2, let. h, contreviennent à des obligations découlant de la présente loi et des dispositions d’exécution, ils répondent du dommage causé au titulaire de la clé de signature et aux tiers qui se sont fiés à un certificat qualifié valable. L’art. 16, al. 2 et 3, est applicable par ana- logie.
Art. 18 Prescription Les actions prévues par la présente loi se prescrivent par un an à compter du jour où la partie lésée a eu connaissance du dommage et de l’identité de la personne qui en est l’auteur et, dans tous les cas, par dix ans à compter du jour où le fait dommagea- ble s’est produit. Les prétentions résultant d’un contrat sont réservées.
Section 8 Conventions internationales
Art. 19 1 Pour faciliter l’utilisation et la reconnaissance juridique internationales des signatu- res électroniques, le Conseil fédéral peut conclure des conventions internationales, notamment sur:
a. la reconnaissance des signatures électroniques et des certificats; b. la reconnaissance des fournisseurs et l’accréditation des organismes de
reconnaissance; c. la reconnaissance des essais et des évaluations de conformité; d. la reconnaissance des signes de conformité; e. la reconnaissance des systèmes d’accréditation et des organismes accrédités; f. l’octroi de mandats de normalisation à des organismes internationaux de
normalisation, dans la mesure où les dispositions sur la signature électroni- que renvoient à des normes techniques déterminées ou lorsqu’un tel renvoi est prévu;
g. l’information et la consultation concernant l’élaboration, l’adoption, la modification et l’application de prescriptions ou de normes techniques.
2 Le Conseil fédéral arrête les dispositions d’exécution des conventions internatio- nales portant sur les domaines énumérés à l’al. 1.
L sur la signature électronique
9
943.03
3 Il peut déléguer à des organismes privés des activités relatives à l’information et à la consultation pour ce qui est de l’élaboration, de l’adoption et de la modification de dispositions et de normes techniques sur la signature électronique et prévoir une rémunération à ce titre.
Section 9 Dispositions finales
Art. 20 Exécution 1 Le Conseil fédéral édicte les dispositions d’exécution. Il tient compte du droit inter- national pertinent et peut déclarer applicables des normes techniques internationales. 2 Le Conseil fédéral peut charger l’Office fédéral de la communication d’édicter des prescriptions administratives et techniques. 3 Afin d’atteindre le but de la loi, il peut charger une unité de l’administration de délivrer des certificats qualifiés couvrant aussi les rapports juridiques de droit privé ou de participer à l’entreprise d’un fournisseur privé.
Art. 21 Modification du droit en vigueur La modification du droit en vigueur est réglée en annexe.
Art. 225
Art. 23 Référendum et entrée en vigueur 1 La présente loi est sujette au référendum. 2 Le Conseil fédéral fixe la date de l’entrée en vigueur.
Date de l’entrée en vigueur: 1er janvier 20056
5 Abrogé par le ch. II 55 de la LF du 20 mars 2008 relative à la mise à jour formelle du droit fédéral, avec effet au 1er août 2008 (RO 2008 3437 3452; FF 2007 5789).
6 ACF du 3 déc. 2004 (RO 2004 5094).
Commerce
10
943.03
Annexe (art. 21)
Modification du droit en vigueur
Les lois mentionnées ci-après sont modifiées comme suit: …7
7 Les mod. peuvent être consultées au RO 2004 5085.
1
Legge federale sui servizi di certificazione nel campo della firma elettronica (Legge sulla firma elettronica, FiEle)
del 19 dicembre 2003 (Stato 1° agosto 2008)
L’Assemblea federale della Confederazione Svizzera, visti gli articolo 95 capoverso 1 e 122 capoverso 1 della Costituzione federale1; visto il messaggio del Consiglio federale del 3 luglio 20012, decreta:
Sezione 1: Disposizioni generali
Art. 1 Oggetto e scopo 1 La presente legge definisce:
a. le condizioni alle quali i prestatori di servizi di certificazione nel campo della firma elettronica possono essere riconosciuti;
b. i diritti e i doveri dei prestatori di servizi di certificazione riconosciuti. 2 Essa ha lo scopo di:
a. promuovere un’ampia offerta di servizi di certificazione elettronica sicuri; b. favorire l’utilizzazione delle firme elettroniche qualificate; c. permettere il riconoscimento internazionale dei prestatori di servizi di certi-
ficazione e delle loro prestazioni.
Art. 2 Definizioni Nella presente legge si intende per:
a. firma elettronica: dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati per la loro autentica- zione;
b. firma elettronica avanzata: firma elettronica che soddisfa i seguenti requisiti: 1. essere connessa esclusivamente al titolare, 2. essere idonea a identificare il titolare,
RU 2004 5085 1 RS 101 2 FF 2001 5109
943.03
Commercio
2
943.03
3. essere creata con mezzi sui quali il titolare può conservare il suo con- trollo esclusivo,
4. essere connessa ai dati ai quali si riferisce in modo tale che una succes- siva modifica dei dati sia riconoscibile;
c. firma elettronica qualificata: firma elettronica avanzata fondata su un dispo- sitivo sicuro per la creazione di una firma secondo l’articolo 6 capoversi 1 e 2 e su un certificato qualificato e valido al momento della sua creazione;
d. chiave per la creazione della firma: dati unici, come codici o chiavi critto- grafiche private, utilizzati dal titolare per comporre una firma elettronica;
e. chiave per la verifica della firma: dati, come codici o chiavi crittografiche pubbliche, utilizzati per verificare un firma elettronica;
f. certificato qualificato: un certificato digitale che soddisfa i requisiti dell’arti- colo 7;
g. prestatore di servizi di certificazione: organismo che certifica dati in ambito elettronico e che rilascia a tal fine certificati digitali;
h. organismo di riconoscimento: organismo che, in base alle norme del diritto in materia di accreditamento3, è accreditato per riconoscere e sorvegliare i pre- statori di servizi di certificazione.
Sezione 2: Riconoscimento dei prestatori di servizi di certificazione
Art. 3 Condizioni del riconoscimento 1 Quali prestatori di servizi di certificazione possono essere riconosciute le persone fisiche o giuridiche che:
a. sono iscritte nel registro di commercio; b. sono in grado di fornire e gestire certificati qualificati conformemente alle
esigenze della presente legge; c. impiegano personale munito delle conoscenze, dell’esperienza e delle quali-
fiche necessarie; d. utilizzano sistemi e prodotti informatici, in particolare dispositivi affidabili e
sicuri per la creazione di una firma; e. possiedono risorse o garanzie finanziarie sufficienti; f. stipulano le assicurazioni necessarie alla copertura della responsabilità pre-
vista dall’articolo 16 e delle spese che possono comportare le misure previste nell’articolo 13 capoversi 2 e 3;
g. assicurano l’osservanza del diritto applicabile, in particolare della presente legge e delle relative disposizioni d’esecuzione.
3 LF del 6 ott. 1995 sugli ostacoli tecnici al commercio, LOTC (RS 946.51) e relative disposizioni d’esecuzione.
L sulla firma elettronica
3
943.03
2 Le condizioni previste nel capoverso 1 si applicano anche ai prestatori di servizi di certificazione esteri. Qualora un prestatore estero abbia già ottenuto un riconosci- mento da parte di un organismo di riconoscimento estero, l’organismo di riconosci- mento svizzero può riconoscerlo se è provato che:
a. il riconoscimento è stato accordato secondo il diritto estero; b. le norme del diritto estero determinanti per il riconoscimento sono equivalenti
a quelle del diritto svizzero; c. l’organismo di riconoscimento estero possiede qualifiche equivalenti a quelle
richieste all’organismo di riconoscimento svizzero; d. l’organismo di riconoscimento estero garantisce all’organismo di riconosci-
mento svizzero di collaborare per la sorveglianza in Svizzera del prestatore. 3 Le unità amministrative della Confederazione, dei Cantoni e dei Comuni possono essere riconosciute quali prestatori di servizi di certificazione senza dover essere iscritte nel registro di commercio.
Art. 4 Designazione dell’organismo di accreditamento 1 Il Consiglio federale designa l’organismo competente per l’accreditamento degli organismi di riconoscimento (organismo di accreditamento). 2 Se nessun organismo è stato accreditato per il riconoscimento, il Consiglio federale designa l’organismo di accreditamento o un altro organismo competente quale organismo di riconoscimento.
Art. 5 Lista dei prestatori di servizi di certificazione riconosciuti 1 Gli organismi di riconoscimento annunciano all’organismo di accreditamento i prestatori di servizi di certificazione da essi riconosciuti. 2 L’organismo di accreditamento mette a disposizione del pubblico la lista dei pre- statori di servizi di certificazione riconosciuti.
Sezione 3: Generazione e utilizzazione di chiavi per la creazione di una firma e di chiavi per la verifica della firma
Art. 6 1 Il Consiglio federale disciplina la generazione di chiavi per la creazione di una firma e per la verifica della firma che possono essere oggetto di certificati qualificati ai sensi della presente legge. Garantisce in proposito un elevato livello di sicurezza, conforme all’evoluzione tecnologica. 2 I dispositivi per la creazione di una firma devono almeno garantire che le chiavi utilizzate per la creazione della firma:
Commercio
4
943.03
a. possano comparire in pratica solo una volta e sia sufficientemente garantito che rimangano segrete;
b. non possano, entro limiti ragionevoli di sicurezza, essere derivate e la firma sia protetta da contraffazioni compiute con l’impiego della tecnologia dispo- nibile;
c. possano essere affidabilmente protette dal legittimo titolare contro l’abuso da parte di terzi.
3 Durante il processo di verifica della firma occorre provvedere affinché le seguenti esigenze siano garantite con sufficiente sicurezza:
a. i dati utilizzati per la verifica della firma corrispondano ai dati comunicati al verificatore;
b. la firma sia verificata in modo affidabile e i risultati della verifica siano cor- rettamente indicati;
c. il verificatore possa, all’occorrenza, stabilire in modo affidabile i contenuti dei dati firmati;
d. l’autenticità e la validità del certificato richiesto al momento della verifica della firma siano verificate in modo affidabile e il risultato di tale verifica sia correttamente indicato;
e. l’identità del titolare della chiave per la creazione di una firma sia corretta- mente segnalata;
f. l’uso di uno pseudonimo sia chiaramente indicato; g. qualsiasi modifica che incida sulla sicurezza possa essere individuata.
Sezione 4: Certificati qualificati
Art. 7 1 Un certificato qualificato deve contenere almeno le informazioni seguenti:
a. il numero di serie; b. l’indicazione che si tratta di un certificato qualificato; c. il nome o lo pseudonimo della persona fisica titolare della chiave per la veri-
fica della firma; in caso di possibile confusione, il nome dev’essere comple- tato da un attributo specifico;
d. la chiave per la verifica della firma; e. la durata di validità; f. il nome, lo Stato di domicilio e la firma elettronica qualificata del prestatore di
servizi di certificazione che rilascia il certificato; g. la specificazione se si tratta di un prestatore riconosciuto oppure no e, nel
primo caso, il nome dell’organismo di riconoscimento.
L sulla firma elettronica
5
943.03
2 Il certificato deve contenere anche gli elementi seguenti: a. le qualità specifiche del titolare della chiave per la creazione della firma, come
l’autorizzazione a rappresentare una persona giuridica determinata; b. l’ambito di validità del certificato; c. il valore delle transazioni per le quali il certificato può essere utilizzato.
3 Il Consiglio federale disciplina il formato dei certificati.
Sezione 5: Doveri dei prestatori di servizi di certificazione riconosciuti
Art. 8 Rilascio dei certificati qualificati 1 I prestatori di servizi di certificazione riconosciuti devono esigere dalle persone che chiedono un certificato qualificato che esse si presentino personalmente e provino la loro identità. Per i casi previsti nell’articolo 7 capoverso 2 lettera a, deve essere provato il consenso della persona rappresentata; le informazioni professionali o di altro genere relative a questa persona devono essere confermate dall’organismo competente. 2 Il Consiglio federale designa i documenti per mezzo dei quali chi chiede un certi- ficato può provare la propria identità e eventualmente le proprie qualità specifiche. Esso può prevedere che, a determinate condizioni, la persona che chiede il certificato non sia tenuta a presentarsi personalmente. 3 I prestatori di servizi di certificazione riconosciuti devono inoltre accertarsi che la persona che chiede un certificato qualificato possieda la relativa chiave per la crea- zione della firma. 4 I prestatori di servizi riconosciuti possono delegare il compito d’identificazione a terzi (uffici di registrazione). Essi rispondono della corretta esecuzione di questo compito da parte dell’ufficio di registrazione.
Art. 9 Obbligo di informazione e documentazione 1 I prestatori di servizi di certificazione riconosciuti devono tenere a disposizione del pubblico le loro condizioni contrattuali generali e le informazioni sulla loro politica di certificazione. 2 Al più tardi in occasione del rilascio dei certificati qualificati, essi devono informare i loro clienti circa le conseguenze dell’utilizzazione abusiva della chiave per la creazione della firma, come pure circa le disposizioni da prendere, secondo le circo- stanze, per mantenere segreta la loro chiave per la creazione della firma. 3 I prestatori di servizi di certificazione riconosciuti tengono un libro giornale delle attività. Il Consiglio federale disciplina il termine di conservazione del libro giornale e dei relativi documenti giustificativi.
Commercio
6
943.03
Art. 10 Annullamento dei certificati qualificati 1 I prestatori di servizi di certificazione riconosciuti annullano senza indugio i certi- ficati qualificati se:
a. il loro titolare o il suo rappresentante lo chiede; b. emerge che il certificato è stato ottenuto illecitamente; c. il certificato non offre più garanzia quanto al legame tra una chiave per la
verifica di una firma e una determinata persona. 2 In caso di annullamento secondo il capoverso 1 lettera a, essi devono accertarsi che il richiedente è autorizzato a chiedere l’annullamento. 3 I prestatori di servizi di certificazione riconosciuti informano senza indugio dell’avvenuto annullamento i titolari dei certificati qualificati.
Art. 11 Servizi relativi alle liste dei certificati qualificati 1 Ogni prestatore di servizi di certificazione riconosciuto garantisce che ogni persona interessata possa verificare in maniera affidabile, in ogni momento e mediante una procedura abituale, la validità di tutti i certificati qualificati che ha rilasciato. 2 Egli può inoltre offrire un servizio che permetta a ogni persona interessata di ricercare nella lista e richiamare i certificati qualificati che ha rilasciato. Un certificato è iscritto nella lista solo su richiesta del titolare. 3 Le consultazioni da parte di enti pubblici sono gratuite. 4 Il Consiglio federale stabilisce il periodo minimo durante il quale deve essere reso possibile l’accesso ai certificati qualificati annullati o scaduti.
Art. 12 Sistema marcatempo Su richiesta, i prestatori di servizi di certificazione riconosciuti devono fornire un attestato munito della loro firma elettronica qualificata, al fine di certificare l’esi- stenza di dati digitali in un determinato momento.
Art. 13 Cessazione d’attività 1 I prestatori di servizi di certificazione riconosciuti annunciano in tempo utile all’organismo di accreditamento la cessazione della loro attività. Gli notificano senza indugio eventuali comminatorie di fallimento ricevute. 2 L’organismo di accreditamento incarica un altro prestatore di servizi di certifica- zione riconosciuto di tenere la lista dei certificati qualificati validi, scaduti o annullati e di conservare il libro giornale delle attività nonché i relativi documenti giustificativi. Nel caso in cui non fosse disponibile un prestatore di servizi di certificazione rico- nosciuto, il Consiglio federale designa un organismo idoneo per la ripresa dell’attività dismessa. Il prestatore di servizi di certificazione riconosciuto che cessa la sua attività si assume le spese che ne risultano. 3 Il capoverso 2 si applica anche in caso di fallimento di un prestatore di servizi di certificazione riconosciuto.
L sulla firma elettronica
7
943.03
Art. 14 Protezione dei dati 1 I prestatori di servizi di certificazione riconosciuti e gli uffici di registrazione da loro incaricati possono gestire soltanto i dati personali necessari all’adempimento dei loro compiti. Ogni commercio di questi dati è vietato. 2 Per il resto, è applicabile la legislazione sulla protezione dei dati.
Sezione 6: Sorveglianza sui prestatori di servizi di certificazione riconosciuti
Art. 15 1 La sorveglianza sui prestatori di servizi di certificazione riconosciuti è svolta dagli organismi di riconoscimento in base alle norme del diritto in materia di accredita- mento4. 2 L’organismo di riconoscimento che revoca il riconoscimento di un prestatore di servizi di certificazione ne dà immediata comunicazione all’organismo di accredi- tamento. È applicabile l’articolo 13 capoverso 2.
Sezione 7: Responsabilità
Art. 16 Responsabilità dei prestatori di servizi di certificazione 1 I prestatori di servizi di certificazione che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni di esecuzione rispondono del danno causato al titolare di una chiave per la creazione della firma e ai terzi che si sono fidati di un certificato qualificato valido. 2 Essi devono provare di aver ottemperato agli obblighi derivanti dalla presente legge e dalle disposizioni d’esecuzione. 3 Essi non possono escludere la responsabilità che deriva loro dalla presente legge nonché quella per i loro ausiliari. Non rispondono tuttavia del danno risultante dal- l’inosservanza o dalla violazione di una restrizione dell’uso del certificato (art. 7 cpv. 2).
Art. 17 Responsabilità degli organismi di riconoscimento Gli organismi di riconoscimento ai sensi dell’articolo 2 lettera h che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di una chiave per la creazione della firma e ai terzi che si sono fidati di un certificato qualificato valido. L’articolo 16 capoversi 2 e 3 si applica per analogia.
4 LF del 6 ot. 1995 sugli ostacoli tecnici al commercio, LOTC (RS 946.51) e relative disposizioni d’esecuzione.
Commercio
8
943.03
Art. 18 Prescrizione Le pretese fondate sulla presente legge si prescrivono in un anno dal giorno in cui l’avente diritto è venuto a conoscenza del danno e della persona responsabile e, in ogni caso, in dieci anni dal giorno in cui l’evento dannoso si è prodotto. Sono salve le pretese risultanti da un contratto.
Sezione 8: Convenzioni internazionali
Art. 19 1 Per facilitare l’utilizzazione e il riconoscimento giuridico internazionali delle firme elettroniche, il Consiglio federale può concludere convenzioni internazionali riguar- danti segnatamente:
a. il riconoscimento delle firme elettroniche e dei certificati; b. il riconoscimento dei prestatori di servizi di certificazione e degli organismi di
riconoscimento; c. il riconoscimento delle verifiche e delle valutazioni di conformità; d. il riconoscimento dei simboli di conformità; e. il riconoscimento dei sistemi di accreditamento e degli organismi accreditati; f. il conferimento di mandati di normazione a organismi internazionali di nor-
mazione nella misura in cui le disposizioni sulla firma elettronica rimandino a norme tecniche determinate o quando un tale rinvio è previsto;
g. l’informazione e la consultazione riguardo all’elaborazione, all’emanazione, alla modifica e all’applicazione di prescrizioni o di norme tecniche.
2 Il Consiglio federale emana le prescrizioni necessarie per l’attuazione delle con- venzioni internazionali che riguardano i settori elencati nel capoverso 1. 3 Esso può delegare a privati attività relative all’informazione e alla consultazione riguardanti l’elaborazione, l’emanazione e la modifica di prescrizioni o di norme tecniche sulle firme elettroniche e stabilire in proposito una rimunerazione.
Sezione 9: Disposizioni finali
Art. 20 Esecuzione 1 Il Consiglio federale emana le disposizioni d’esecuzione. Esso tiene conto del diritto internazionale pertinente e può dichiarare applicabili norme tecniche internazionali. 2 Il Consiglio federale può incaricare l’Ufficio federale delle comunicazioni di emanare prescrizioni amministrative e tecniche.
L sulla firma elettronica
9
943.03
3 Per conseguire gli scopi della legge, esso può affidare a un’unità amministrativa federale il compito di rilasciare certificati qualificati anche per le transazioni di diritto privato o di partecipare all’impresa di un prestatore di servizi di certificazione privato.
Art. 21 Modifica del diritto vigente La modifica del diritto vigente è disciplinata nell’allegato.
Art. 225
Art. 23 Referendum ed entrata in vigore 1 La presente legge sottostà al referendum facoltativo. 2 Il Consiglio federale ne determina l’entrata in vigore.
Data dell’entrata in vigore: 1° gennaio 20056
5 Abrogato dal n. II 55 della LF del 20 mar. 2008 concernente l’aggiornamento formale del diritto federale, con effetto dal 1° ago. 2008 (RU 2008 3437 3453; FF 2007 5575).
6 DCF del 3 dic. 2004.
Commercio
10
943.03
Allegato (art. 21)
Modifica del diritto vigente
...7
7 Le mod. possono essere consultate alla RU 2004 5085.