La Legge 25/2015, del 28 luglio, sui meccanismi della seconda possibilità, la riduzione dell'onere finanziario e le altre misure sociali recepisce, nella sua Quarta Disposizione Finale, una modifica dell'art Legge 59/2003, del 19 dicembre, sulle firme elettroniche orientato alla regolarizzazione della firma centralizzata di carattere personale. Questo sistema di firma elettronica consente di ospitare i certificati personali su un server centralizzato e fornisce ai suoi utenti meccanismi per attivarne l'utilizzo da remoto.
Sebbene da alcuni anni alcune entità utilizzino dispositivi e strumenti firmati centralmente per gestire i certificati personali utilizzati in un'organizzazione, questa pratica non era regolamentata. Andava infatti contro quanto previsto dalla legge sulle firme elettroniche, che richiedeva il controllo esclusivo della chiave da parte del firmatario per poter considerare le firme come anticipate. La modifica pubblicata consente di considerare avanzate le firme centralizzate e ne regola l'utilizzo.
In particolare, gli articoli della Legge 59/2003, come successivamente modificato, sono i seguenti:
- Articolo 3.2: Modifica della definizione di firma anticipata. In precedenza il firmatario doveva avere il controllo esclusivo della chiave. Per consentire alle chiavi di non averle, il firmatario ha aggiunto alla definizione "con un alto livello di confidenza".
- Articolo 6.2: Modifica della definizione di firmatario. Diceva che il firmatario doveva disporre di un dispositivo sicuro per la creazione della firma. La legge ora afferma che il firmatario "utilizza" questo dispositivo.
- Articolo 7.2: Modifica delle condizioni di custodia delle chiavi del certificato. Hanno aggiunto “o, se del caso, le modalità di accesso agli stessi” per non costringere il firmatario ad avere il certificato a casa.
- Articolo 12.c: Prima era necessario assicurarsi che il firmatario avesse la chiave privata del certificato, ora è necessario assicurarsi che abbia il controllo esclusivo del suo utilizzo.
- Articolo 18.a: Modifica dell'obbligo da parte del Prestatore di servizi di certificazione di non conservare alcuna copia della chiave privata del certificato al fine di consentire ai prestatori di servizi di certificazione di effettuare copie per conto del firmatario per la sua gestione. Secondo questo articolo, solo i fornitori di servizi di certificazione che emettono certificati riconosciuti potranno gestire le chiavi private dei certificati per conto del firmatario e quindi offrire questo servizio.
- Articolo 18.b-1: Si parla delle informazioni che il prestatore deve fornire al firmatario, e hanno aggiunto “o, nel suo caso, dei mezzi che lo tutelano” per consentire la firma centralizzata.
- Articolo 20.1-e: Sono stati aggiunti gli obblighi del PSC se gestisce i dati di creazione della firma, che dovrà custodire e proteggere.
- Articolo 23: Modifica dei limiti di responsabilità del CPS. Laddove in precedenza si faceva riferimento ai dati di creazione della firma, è stato aggiunto "o dati che danno accesso ad essi".
- Articolo 29: Il sistema può essere sottoposto a verifica, se applicabile. In tal caso, gli audit saranno effettuati dal prestatore.
Il Consorzio AOC offre alle Pubbliche Amministrazioni catalane una serie di servizio di firma centralizzato. Nonostante il servizio sia attualmente offerto da certificati di sigillo elettronico, i test effettuati tramite firma personale utilizzando certificati di firma avanzata TCAT-P sono soddisfacenti. Non vediamo l'ora di offrire questa opportunità come servizio all'inizio del 2016.
