Propiedad intelectual Formación en PI Respeto por la PI Divulgación de la PI La PI para... La PI y… La PI en… Información sobre patentes y tecnología Información sobre marcas Información sobre diseños industriales Información sobre las indicaciones geográficas Información sobre las variedades vegetales (UPOV) Leyes, tratados y sentencias de PI Recursos de PI Informes sobre PI Protección por patente Protección de las marcas Protección de diseños industriales Protección de las indicaciones geográficas Protección de las variedades vegetales (UPOV) Solución de controversias en materia de PI Soluciones operativas para las oficinas de PI Pagar por servicios de PI Negociación y toma de decisiones Cooperación para el desarrollo Apoyo a la innovación Colaboraciones público-privadas Herramientas y servicios de IA La Organización Trabajar con la OMPI Rendición de cuentas Patentes Marcas Diseños industriales Indicaciones geográficas Derecho de autor Secretos comerciales Academia de la OMPI Talleres y seminarios Observancia de la PI WIPO ALERT Sensibilizar Día Mundial de la PI Revista de la OMPI Casos prácticos y casos de éxito Novedades sobre la PI Premios de la OMPI Empresas Universidades Pueblos indígenas Judicatura Recursos genéticos, conocimientos tradicionales y expresiones culturales tradicionales Economía Financiación Activos intangibles Igualdad de género Salud mundial Cambio climático Política de competencia Objetivos de Desarrollo Sostenible Tecnologías de vanguardia Aplicaciones móviles Deportes Turismo PATENTSCOPE Análisis de patentes Clasificación Internacional de Patentes ARDI - Investigación para la innovación ASPI - Información especializada sobre patentes Base Mundial de Datos sobre Marcas Madrid Monitor Base de datos Artículo 6ter Express Clasificación de Niza Clasificación de Viena Base Mundial de Datos sobre Dibujos y Modelos Boletín de Dibujos y Modelos Internacionales Base de datos Hague Express Clasificación de Locarno Base de datos Lisbon Express Base Mundial de Datos sobre Marcas para indicaciones geográficas Base de datos de variedades vegetales PLUTO Base de datos GENIE Tratados administrados por la OMPI WIPO Lex: leyes, tratados y sentencias de PI Normas técnicas de la OMPI Estadísticas de PI WIPO Pearl (terminología) Publicaciones de la OMPI Perfiles nacionales sobre PI Centro de Conocimiento de la OMPI Informes de la OMPI sobre tendencias tecnológicas Índice Mundial de Innovación Informe mundial sobre la propiedad intelectual PCT - El sistema internacional de patentes ePCT Budapest - El Sistema internacional de depósito de microorganismos Madrid - El sistema internacional de marcas eMadrid Artículo 6ter (escudos de armas, banderas, emblemas de Estado) La Haya - Sistema internacional de diseños eHague Lisboa - Sistema internacional de indicaciones geográficas eLisbon UPOV PRISMA UPOV e-PVP Administration UPOV e-PVP DUS Exchange Mediación Arbitraje Determinación de expertos Disputas sobre nombres de dominio Acceso centralizado a la búsqueda y el examen (CASE) Servicio de acceso digital (DAS) WIPO Pay Cuenta corriente en la OMPI Asambleas de la OMPI Comités permanentes Calendario de reuniones WIPO Webcast Documentos oficiales de la OMPI Agenda para el Desarrollo Asistencia técnica Instituciones de formación en PI Apoyo para COVID-19 Estrategias nacionales de PI Asesoramiento sobre políticas y legislación Centro de cooperación Centros de apoyo a la tecnología y la innovación (CATI) Transferencia de tecnología Programa de Asistencia a los Inventores (PAI) WIPO GREEN PAT-INFORMED de la OMPI Consorcio de Libros Accesibles Consorcio de la OMPI para los Creadores WIPO Translate Conversión de voz a texto Asistente de clasificación Estados miembros Observadores Director general Actividades por unidad Oficinas en el exterior Ofertas de empleo Adquisiciones Resultados y presupuesto Información financiera Supervisión
Arabic English Spanish French Russian Chinese
Leyes Tratados Sentencias Consultar por jurisdicción

Ley Federal de 18 de marzo de 2016 sobre los Servicios de Certificación en el Ámbito de la Firma Electrónica y Otras Aplicaciones de los Certificados Digitales (situación en fecha de 1 de enero de 2017), Suiza

Atrás
Versión obsoleta  Ir a la versión más reciente en WIPO Lex
Detalles Detalles Año de versión 2017 Fechas Entrada en vigor: 1 de enero de 2017 Adoptado/a: 18 de marzo de 2016 Tipo de texto Otras textos Materia Otros

Documentos disponibles

Textos principales Textos relacionados
Textos principales Textos principales Francés Loi fédérale du 18 mars 2016 sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques (état le 1er janvier 2017)         Italiano Legge federale del 18 marzo 2016 sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (stato 1° gennaio 2017)         Alemán Bundesgesetz vom 18. März 2016 über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (stand am 1. Januar 2017)        
 SR 943.03

1

Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (Bundesgesetz über die elektronische Signatur, ZertES)

vom 18. März 2016 (Stand am 1. Januar 2017)

Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 95 Absatz 1 und 122 Absatz 1 der Bundesverfassung1, nach Einsicht in die Botschaft des Bundesrates vom 15. Januar 20142, beschliesst:

1. Abschnitt: Allgemeine Bestimmungen

Art. 1 Gegenstand und Zweck 1 Dieses Gesetz regelt:

a. die Anforderungen an die Qualität bestimmter digitaler Zertifikate und an ihre Verwendung;

b. die Voraussetzungen, unter denen sich Anbieterinnen von Zertifizierungs- diensten im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate (Zertifizierungsdienste) anerkennen lassen können;

c. die Rechte und Pflichten der anerkannten Anbieterinnen von Zertifizie- rungsdiensten.

2 Es regelt mit Ausnahme der Haftung nach den Artikeln 17 und 18 nicht die Rechtswirkungen der Verwendung digitaler Zertifikate. 3 Es hat zum Zweck:

a. ein breites Angebot an sicheren Zertifizierungsdiensten zu fördern; b. die Verwendung digitaler Zertifikate, elektronischer Signaturen und elektro-

nischer Siegel zu begünstigen; c. die internationale Anerkennung der Anbieterinnen von Zertifizierungsdiens-

ten und ihrer Leistungen zu ermöglichen.

Art. 2 Begriffe In diesem Gesetz bedeuten:

AS 2016 4651 1 SR 101 2 BBl 2014 1001

943.03

Ausübung des Handels

2

943.03

a. elektronische Signatur: Daten in elektronischer Form, die anderen elektro- nischen Daten beigefügt oder die logisch mit ihnen verknüpft sind und zu deren Authentifizierung dienen;

b. fortgeschrittene elektronische Signatur: eine elektronische Signatur, die fol- gende Anforderungen erfüllt: 1. sie ist ausschliesslich der Inhaberin oder dem Inhaber zugeordnet, 2. sie ermöglicht die Identifizierung der Inhaberin oder des Inhabers, 3. sie wird mit Mitteln erzeugt, welche die Inhaberin oder der Inhaber un-

ter ihrer oder seiner alleinigen Kontrolle halten kann, 4. sie ist mit den Daten, auf die sie sich bezieht, so verknüpft, dass eine

nachträgliche Veränderung der Daten erkannt werden kann; c. geregelte elektronische Signatur: eine fortgeschrittene elektronische Signa-

tur, die unter Verwendung einer sicheren Signaturerstellungseinheit nach Ar- tikel 6 erstellt wurde und auf einem geregelten, auf eine natürliche Person ausgestellten und zum Zeitpunkt der Erzeugung der elektronischen Signatur gültigen Zertifikat beruht;

d. geregeltes elektronisches Siegel: eine fortgeschrittene elektronische Signa- tur, die unter Verwendung einer sicheren Siegelerstellungseinheit nach Arti- kel 6 erstellt wurde und auf einem geregelten, auf eine UID-Einheit nach Ar- tikel 3 Absatz 1 Buchstabe c des Bundesgesetzes vom 18. Juni 20103 über die Unternehmens-Identifikationsnummer (UIDG) ausgestellten und zum Zeitpunkt der Erzeugung des elektronischen Siegels gültigen Zertifikat be- ruht;

e. qualifizierte elektronische Signatur: eine geregelte elektronische Signatur, die auf einem qualifizierten Zertifikat beruht;

f. digitales Zertifikat: eine digitale Bescheinigung, die den öffentlichen Schlüs- sel eines asymmetrischen kryptografischen Schlüsselpaars seinem Inhaber oder seiner Inhaberin zuordnet;

g. geregeltes Zertifikat: ein digitales Zertifikat, das die Anforderungen nach Artikel 7 erfüllt und von einer nach diesem Gesetz anerkannten Anbieterin von Zertifizierungsdiensten ausgestellt wurde;

h. qualifiziertes Zertifikat: ein geregeltes Zertifikat, das die Anforderungen nach Artikel 8 erfüllt;

i. elektronischer Zeitstempel: Bestätigung, wonach bestimmte digitale Daten zu einem bestimmten Zeitpunkt vorliegen;

j. qualifizierter elektronischer Zeitstempel: elektronischer Zeitstempel, der von einer nach diesem Gesetz anerkannten Anbieterin von Zertifizierungs- diensten ausgestellt und mit einem geregelten elektronischen Siegel verse- hen wurde;

3 SR 431.03

BG über die elektronische Signatur

3

943.03

k. Anbieterin von Zertifizierungsdiensten: Stelle, die im Rahmen einer elektro- nischen Umgebung Daten bestätigt und zu diesem Zweck digitale Zertifikate ausstellt;

l. Anerkennungsstelle: Stelle, die nach der Bundesgesetzgebung über die tech- nischen Handelshemmnisse4 für die Anerkennung und die Überwachung der Anbieterinnen von Zertifizierungsdiensten akkreditiert ist.

2. Abschnitt: Anerkennung der Anbieterinnen von Zertifizierungsdiensten

Art. 3 Anerkennungsvoraussetzungen 1 Als Anbieterinnen von Zertifizierungsdiensten anerkannt werden können natürli- che oder juristische Personen, die:

a. im Handelsregister eingetragen sind; b. in der Lage sind, qualifizierte Zertifikate gemäss den Anforderungen dieses

Gesetzes auszustellen und zu verwalten; c. Personal mit den erforderlichen Fachkenntnissen, Erfahrungen und Qualifi-

kationen beschäftigen; d. Informatiksysteme und -produkte, insbesondere Signatur- und Siegelerstel-

lungseinheiten verwenden, die verlässlich und vertrauenswürdig sind; e. über ausreichende Finanzmittel oder -garantien verfügen; f. die notwendigen Versicherungen zur Deckung von Haftungsansprüchen aus

Artikel 17 und der Kosten, welche aus den in Artikel 14 Absätze 2 und 3 vorgesehenen Massnahmen erwachsen könnten, abschliessen;

g. die Einhaltung des anwendbaren Rechts, namentlich dieses Gesetzes und seiner Ausführungsbestimmungen, gewährleisten.

2 Die Voraussetzungen nach Absatz 1 gelten auch für ausländische Anbieterinnen von Zertifizierungsdiensten. Ist eine ausländische Anbieterin bereits von einer ausländischen Anerkennungsstelle anerkannt worden, so kann die schweizerische Anerkennungsstelle sie anerkennen, wenn erwiesen ist, dass:

a. sie die Anerkennung nach ausländischem Recht erworben hat; b. die für die Anerkennung massgebenden Vorschriften des ausländischen

Rechts den schweizerischen Vorschriften gleichwertig sind; c. die ausländische Anerkennungsstelle über Qualifikationen verfügt, die de-

nen, die von schweizerischen Anerkennungsstellen gefordert werden, gleichwertig sind;

4 SR 946.51, 946.511, 946.512, 946.513.7

Ausübung des Handels

4

943.03

d. die ausländische Anerkennungsstelle die Zusammenarbeit mit der schweize- rischen Anerkennungsstelle zur Überwachung der Anbieterin in der Schweiz gewährleistet.

3 Verwaltungseinheiten von Bund, Kantonen und Gemeinden dürfen als Anbiete- rinnen von Zertifizierungsdiensten anerkannt werden, ohne im Handelsregister eingetragen zu sein.

Art. 4 Bezeichnung der Akkreditierungsstelle 1 Der Bundesrat bezeichnet die für die Akkreditierung der Anerkennungsstellen zuständige Stelle (Akkreditierungsstelle). 2 Ist keine Stelle für die Anerkennung akkreditiert, so bezeichnet der Bundesrat die Akkreditierungsstelle oder eine andere geeignete Stelle als Anerkennungsstelle.

Art. 5 Liste der anerkannten Anbieterinnen von Zertifizierungsdiensten 1 Die Anerkennungsstellen melden der Akkreditierungsstelle die von ihnen aner- kannten Anbieterinnen von Zertifizierungsdiensten. 2 Die Akkreditierungsstelle stellt der Öffentlichkeit die Liste der anerkannten Anbie- terinnen von Zertifizierungsdiensten zur Verfügung.

3. Abschnitt: Generierung, Speicherung und Verwendung kryptografischer Schlüssel

Art. 6 1 Der Bundesrat regelt die Generierung, Speicherung und Verwendung kryptogra- fischer Schlüssel, für die geregelte Zertifikate im Sinne dieses Gesetzes ausgestellt werden können; er sorgt dabei für ein der technischen Entwicklung entsprechendes hohes Sicherheitsniveau. 2 Bei Systemen zur Generierung, Speicherung und Verwendung privater kryptogra- fischer Schlüssel, insbesondere bei Signatur- und Siegelerstellungseinheiten, muss zumindest gewährleistet werden, dass diese Schlüssel:

a. praktisch nur einmal auftreten können und ihre Geheimhaltung hinreichend gewährleistet ist;

b. mit hinreichender Sicherheit nicht abgeleitet werden können und ihre Ver- wendung bei Einsatz der jeweils verfügbaren Technologie vor Fälschungen geschützt ist;

c. von der rechtmässigen Inhaberin oder vom rechtmässigen Inhaber vor der missbräuchlichen Verwendung durch andere verlässlich geschützt werden können.

BG über die elektronische Signatur

5

943.03

4. Abschnitt: Geregelte Zertifikate

Art. 7 Anforderungen an alle geregelten Zertifikate 1 Ein geregeltes Zertifikat kann auf natürliche Personen und UID-Einheiten aus- gestellt werden. 2 Es muss folgende Angaben enthalten:

a. die Seriennummer; b. den Hinweis, dass es sich um ein geregeltes Zertifikat handelt; c. den Namen oder die Bezeichnung der Inhaberin oder des Inhabers des zuge-

hörigen privaten kryptografischen Schlüssels; besteht eine Verwechslungs- möglichkeit, so ist der Name oder die Bezeichnung mit einem unterschei- denden Zusatz zu versehen;

d. bei natürlichen Personen gegebenenfalls das als solches gekennzeichnete Pseudonym anstelle des Namens;

e. bei UID-Einheiten die Unternehmens-Identifikationsnummer nach dem UIDG5;

f. den öffentlichen kryptografischen Schlüssel; g. die Gültigkeitsdauer; h. den Namen, den Niederlassungsstaat und das geregelte elektronische Siegel

der Anbieterin von Zertifizierungsdiensten, die das Zertifikat ausstellt. 3 Das Zertifikat kann zudem die folgenden Elemente enthalten:

a. spezifische Attribute der Inhaberin oder des Inhabers des zugehörigen priva- ten kryptografischen Schlüssels, beispielsweise berufliche Qualifikationen;

b. bei natürlichen Personen den Hinweis, dass sie zur Vertretung einer be- stimmten UID-Einheit berechtigt ist;

c. den Geltungsbereich, für den das Zertifikat bestimmt ist; d. die Obergrenze der Transaktionen, für die das Zertifikat bestimmt ist.

4 Der Bundesrat bestimmt das Format der geregelten Zertifikate.

Art. 8 Zusätzliche Anforderungen an qualifizierte Zertifikate 1 Ein qualifiziertes Zertifikat darf nur auf eine natürliche Person ausgestellt werden. 2 Es enthält einen Eintrag, wonach es nur für die elektronische Signatur bestimmt ist. 3 Anstelle des Hinweises nach Artikel 7 Absatz 2 Buchstabe b ist der Hinweis ins Zertifikat aufzunehmen, dass es sich um ein qualifiziertes Zertifikat handelt.

5 SR 431.03

Ausübung des Handels

6

943.03

5. Abschnitt: Pflichten anerkannter Anbieterinnen von Zertifizierungsdiensten

Art. 9 Ausstellung geregelter Zertifikate 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen von den Per- sonen, die einen Antrag auf Ausstellung eines geregelten Zertifikats stellen, verlan- gen:

a. bei natürlichen Personen: dass sie persönlich erscheinen und den Nachweis ihrer Identität erbringen;

b. bei UID-Einheiten, die nicht natürliche Personen sind: dass eine Vertretung persönlich erscheint und den Nachweis sowohl für die eigene Identität als auch für die Vertretungsmacht erbringt.

2 Für Attribute zu berufsbezogenen oder sonstigen Angaben zur Person (Art. 7 Abs. 3 Bst. a) müssen sie überprüfen, ob die zuständige Stelle diese Angaben bestä- tigt hat. 3 Für Hinweise auf die Vertretungsbefugnis (Art. 7 Abs. 3 Bst. b) müssen sie über- prüfen, ob die vertretene UID-Einheit zugestimmt hat. 4 Der Bundesrat bezeichnet die Dokumente, mit denen die antragstellende Person ihre Identität und allfällige Attribute nachweisen kann. Er kann vorsehen, dass unter bestimmten Voraussetzungen auf das persönliche Erscheinen der antragstellenden Person verzichtet wird. 5 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen sich ferner vergewissern, dass die Person, die ein geregeltes Zertifikat verlangt, im Besitz des entsprechenden privaten kryptografischen Schlüssels ist. 6 Die anerkannten Anbieterinnen von Zertifizierungsdiensten können die Identifika- tion von Antragstellerinnen oder Antragstellern an Dritte delegieren (Registrierungs- stellen). Sie haften für die korrekte Ausführung der Aufgabe durch die Registrie- rungsstelle.

Art. 10 Informations- und Dokumentationspflicht 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen ihre allgemei- nen Vertragsbedingungen sowie Informationen über ihre Zertifizierungspolitik allge- mein zugänglich machen. 2 Sie müssen ihre Kundinnen und Kunden spätestens bei der Ausstellung der gere- gelten Zertifikate auf die Folgen eines möglichen Missbrauchs des privaten krypto- grafischen Schlüssels und auf die nach den Umständen notwendigen Vorkehrungen zur Geheimhaltung aufmerksam machen. 3 Sie führen ein Tätigkeitsjournal. Der Bundesrat regelt, wie lange das Tätigkeits- journal und die dazugehörenden Belege aufzubewahren sind.

BG über die elektronische Signatur

7

943.03

Art. 11 Ungültigerklärung geregelter Zertifikate 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten erklären ein geregeltes Zertifikat unverzüglich für ungültig, wenn:

a. die Inhaberin oder der Inhaber oder die Person, die sie oder ihn vertritt, ei- nen entsprechenden Antrag stellt;

b. sich herausstellt, dass dieses unrechtmässig erlangt worden ist oder dass An- gaben nach Artikel 7 Absatz 3 nicht oder nicht mehr richtig sind;

c. es keine Gewähr mehr bietet für die Zuordnung zur Inhaberin oder zum In- haber.

2 Bei der Ungültigerklärung nach Absatz 1 Buchstabe a müssen sie sich vergewis- sern, dass die Person, welche die Ungültigerklärung beantragt, dazu berechtigt ist. 3 Sie informieren die Inhaberinnen und Inhaber unverzüglich über die erfolgte Ungültigerklärung.

Art. 12 Verzeichnisdienste für geregelte Zertifikate 1 Jede anerkannte Anbieterin von Zertifizierungsdiensten stellt sicher, dass die Gültigkeit aller geregelten Zertifikate, die sie ausgestellt hat, mit einem gebräuch- lichen Verfahren jederzeit zuverlässig überprüft werden kann. 2 Sie kann zudem einen Verzeichnisdienst anbieten, über den jedermann die von ihr ausgestellten geregelten Zertifikate suchen und abrufen kann. In dieses Verzeichnis wird ein Zertifikat nur auf Verlangen des Inhabers beziehungsweise der Inhaberin eingetragen. 3 Abfragen der öffentlichen Hand sind unentgeltlich. 4 Der Bundesrat bestimmt die Mindestdauer, während der die Überprüfung von nicht mehr gültigen geregelten Zertifikaten möglich bleiben muss.

Art. 13 Qualifizierte elektronische Zeitstempel Auf entsprechendes Begehren müssen die anerkannten Anbieterinnen von Zertifizie- rungsdiensten qualifizierte elektronische Zeitstempel ausgeben.

Art. 14 Einstellung der Geschäftstätigkeit 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten melden der Akkredi- tierungsstelle die Einstellung ihrer Geschäftstätigkeit rechtzeitig. Eine gegen sie gerichtete Konkursandrohung melden sie unverzüglich. 2 Die Akkreditierungsstelle beauftragt eine andere anerkannte Anbieterin von Zerti- fizierungsdiensten, das Verzeichnis der gültigen, der abgelaufenen und der für ungültig erklärten geregelten Zertifikate zu führen und das Tätigkeitsjournal sowie die entsprechenden Belege aufzubewahren. Der Bundesrat bezeichnet eine geeignete Stelle zur Übernahme der Aufgabe, wenn es an einer anerkannten Anbieterin von Zertifizierungsdiensten fehlt. Die anerkannte Anbieterin von Zertifizierungsdiensten, die ihre Tätigkeit aufgibt, trägt die daraus entstehenden Kosten.

Ausübung des Handels

8

943.03

3 Absatz 2 gilt auch dann, wenn eine anerkannte Anbieterin von Zertifizierungs- diensten in Konkurs fällt.

Art. 15 Datenschutz 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten und die von ihnen beauftragten Registrierungsstellen dürfen nur diejenigen Personendaten bearbeiten, die zur Erfüllung ihrer Aufgaben erforderlich sind. Sie dürfen mit diesen Daten keinen Handel treiben. 2 Im Übrigen gilt die Datenschutzgesetzgebung.

6. Abschnitt: Aufsicht über die anerkannten Anbieterinnen von Zertifizierungsdiensten

Art. 16 1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten werden nach den Regeln der Bundesgesetzgebung über die technischen Handelshemmnisse6 von den Anerkennungsstellen beaufsichtigt. 2 Eine Anerkennungsstelle meldet der Akkreditierungsstelle unverzüglich den Ent- zug der Anerkennung einer Anbieterin von Zertifizierungsdiensten. Artikel 14 Absatz 2 findet Anwendung.

7. Abschnitt: Haftung

Art. 17 Haftung der Anbieterin von Zertifizierungsdiensten 1 Die anerkannte Anbieterin von Zertifizierungsdiensten haftet der Inhaberin oder dem Inhaber eines gültigen geregelten Zertifikats und Drittpersonen, die sich auf ein solches Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anbiete- rin den Pflichten aus diesem Gesetz und den entsprechenden Ausführungsbestim- mungen nicht nachgekommen ist. 2 Sie trägt die Beweislast dafür, den Pflichten aus diesem Gesetz und den Ausfüh- rungsbestimmungen nachgekommen zu sein. 3 Sie kann ihre Haftung aus diesem Gesetz weder für eigenes Verhalten noch für jenes ihrer Hilfspersonen wegbedingen. Sie haftet jedoch nicht für Schäden, die sich aus der Nichtbeachtung oder Überschreitung einer Nutzungsbeschränkung (Art. 7 Abs. 3 Bst. c und d) ergeben.

6 SR 946.51, 946.511, 946.512, 946.513.7

BG über die elektronische Signatur

9

943.03

Art. 18 Haftung der Anerkennungsstelle Die Anerkennungsstelle haftet der Inhaberin oder dem Inhaber eines gültigen gere- gelten Zertifikats und Drittpersonen, die sich auf ein solches Zertifikat verlassen haben, für Schäden, die diese erleiden, weil die Anerkennungsstelle ihren Pflichten aus diesem Gesetz und den Ausführungsbestimmungen nicht nachgekommen ist. Artikel 17 Absätze 2 und 3 gilt sinngemäss.

Art. 19 Verjährung Die auf dieses Gesetz gestützten Ansprüche verjähren ein Jahr, nachdem die oder der Berechtigte vom Schaden und von der Person der oder des Ersatzpflichtigen Kenntnis hat, spätestens aber zehn Jahre nach der schädigenden Handlung. Vorbe- halten bleiben vertragliche Ansprüche.

8. Abschnitt: Internationale Abkommen

Art. 20 1 Um die internationale Verwendung elektronischer Signaturen und anderer Anwen- dungen kryptografischer Schlüssel sowie deren rechtliche Anerkennung zu erleich- tern, kann der Bundesrat internationale Abkommen schliessen, namentlich über:

a. die Anerkennung elektronischer Signaturen, elektronischer Siegel und digi- taler Zertifikate;

b. die Anerkennung von Anbieterinnen von Zertifizierungsdiensten und von Anerkennungsstellen;

c. die Anerkennung von Prüfungen und Konformitätsbewertungen; d. die Anerkennung von Konformitätszeichen; e. die Anerkennung von Akkreditierungssystemen und akkreditierten Stellen; f. die Erteilung von Normungsaufträgen an internationale Normungsorgani-

sationen, soweit in der Gesetzgebung auf bestimmte technische Normen verwiesen wird oder verwiesen werden soll;

g. die Information und Konsultation bezüglich Vorbereitung, Erlass, Änderung und Anwendung solcher Vorschriften oder Normen.

2 Zur Ausführung internationaler Abkommen über Gegenstände nach Absatz 1 erlässt der Bundesrat die erforderlichen Bestimmungen. 3 Er kann Aufgaben im Zusammenhang mit der Information und der Konsultation bezüglich Vorbereitung, Erlass und Änderung von Vorschriften oder von techni- schen Normen Privaten übertragen und dafür eine Abgeltung vorsehen.

Ausübung des Handels

10

943.03

9. Abschnitt: Schlussbestimmungen

Art. 21 Vollzug 1 Der Bundesrat erlässt die Ausführungsbestimmungen. Er berücksichtigt dabei das entsprechende internationale Recht und kann internationale technische Normen für anwendbar erklären. 2 Er kann den Erlass administrativer und technischer Vorschriften dem Bundesamt für Kommunikation übertragen. 3 Um den Gesetzeszweck zu erfüllen, kann er eine Verwaltungseinheit des Bundes oder eines Kantons beauftragen, geregelte Zertifikate auch für den Privatrechtsver- kehr auszustellen oder sich an einer privaten Anbieterin von Zertifizierungsdiensten zu beteiligen.

Art. 22 Aufhebung und Änderung anderer Erlasse Die Aufhebung und die Änderung anderer Erlasse werden im Anhang geregelt.

Art. 23 Referendum und Inkrafttreten 1 Dieses Gesetz untersteht dem fakultativen Referendum. 2 Der Bundesrat bestimmt das Inkrafttreten.

Datum des Inkrafttretens: 1. Januar 20177

7 BRB vom 23. Nov. 2016

BG über die elektronische Signatur

11

943.03

Anhang (Art. 22)

Aufhebung und Änderung anderer Erlasse

I

Das Bundesgesetz vom 19. Dezember 20038 über die elektronische Signatur wird aufgehoben.

II

Die nachstehenden Bundesgesetze werden wie folgt geändert: …9

8 [AS 2004 5085, 2008 3437 Ziff. II 55] 9 Die Änd. können unter AS 2016 4651 konsultiert werden.

Ausübung des Handels

12

943.03

 RS 943.03

1

Loi fédérale sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques* (Loi sur la signature électronique, SCSE)

du 18 mars 2016 (Etat le 1er janvier 2017)

L’Assemblée fédérale de la Confédération suisse, vu les art. 95, al. 1, et 122, al. 1, de la Constitution1, vu le message du Conseil fédéral du 15 janvier 20142, arrête:

Section 1 Dispositions générales

Art. 1 Objet et but 1 La présente loi règle:

a. les exigences de qualité auxquelles doivent répondre certains certificats nu- mériques et leur utilisation;

b. les conditions auxquelles les fournisseurs de services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques (services de certification) peuvent être reconnus;

c. les droits et les devoirs des fournisseurs reconnus de services de certifi- cation.

2 A l’exception de la responsabilité au sens des art. 17 et 18, elle ne règle pas les effets juridiques de l’utilisation des certificats numériques. 3 Elle vise à:

a. promouvoir la fourniture de services de certification sûrs à un large public; b. favoriser l’utilisation des certificats numériques, des signatures électroniques

et des cachets électroniques; c. permettre la reconnaissance internationale des fournisseurs de services de

certification et de leurs prestations.

Art. 2 Définitions Au sens de la présente loi, on entend par:

RO 2016 4651 * Les termes désignant des personnes s’appliquent également aux femmes et aux hommes. 1 RS 101 2 FF 2014 957

943.03

Exercice du commerce

2

943.03

a. signature électronique: un ensemble de données électroniques qui sont jointes ou liées logiquement à d’autres données électroniques et qui servent à vérifier leur authenticité;

b. signature électronique avancée: une signature électronique qui remplit les conditions suivantes: 1. être liée uniquement au titulaire, 2. permettre d’identifier le titulaire, 3. être créée par des moyens que le titulaire peut garder sous son contrôle

exclusif, 4. être liée aux données auxquelles elle se rapporte de telle sorte que toute

modification ultérieure des données soit détectable; c. signature électronique réglementée: une signature électronique avancée

créée au moyen d’un dispositif sécurisé de création de signature au sens de l’art. 6 et fondée sur un certificat réglementé se rapportant à une personne physique et valable au moment de sa création;

d. cachet électronique réglementé: une signature électronique avancée créée au moyen d’un dispositif sécurisé de création de cachet au sens de l’art. 6 et fondée sur un certificat réglementé se rapportant à une entité IDE au sens de l’art. 3, al. 1, let. c, de la loi fédérale du 18 juin 2010 sur le numéro d’iden- tification des entreprises (LIDE)3 et valable au moment de la création du ca- chet électronique;

e. signature électronique qualifiée: une signature électronique réglementée fondée sur un certificat qualifié;

f. certificat numérique: une attestation numérique qui lie la clé publique d’une paire asymétrique de clés cryptographiques à son titulaire;

g. certificat réglementé: un certificat numérique qui remplit les conditions fixées à l’art. 7 et est délivré par un fournisseur de services de certification reconnu en vertu de la présente loi;

h. certificat qualifié: un certificat réglementé qui remplit les conditions fixées à l’art. 8;

i. horodatage électronique: l’attestation que des données numériques déter- minées existent à un moment précis;

j. horodatage électronique qualifié: un horodatage électronique qui est opéré par un fournisseur de services de certification reconnu en vertu de la pré- sente loi et qui est muni d’un cachet électronique réglementé;

k. fournisseur de services de certification (fournisseur): un organisme qui cer- tifie des données dans un environnement électronique et qui délivre à cette fin des certificats numériques;

3 RS 431.03

L sur la signature électronique

3

943.03

l. organisme de reconnaissance: un organisme qui est habilité à reconnaître et à surveiller les fournisseurs en vertu des règles d’accréditation de la législa- tion sur les entraves techniques au commerce4.

Section 2 Reconnaissance des fournisseurs

Art. 3 Conditions de la reconnaissance 1 Peuvent être reconnues comme fournisseurs les personnes physiques ou morales qui:

a. sont inscrites au registre du commerce; b. sont en mesure de délivrer et de gérer des certificats qualifiés conformément

aux exigences de la présente loi; c. emploient du personnel possédant les connaissances, l’expérience et les qua-

lifications nécessaires; d. utilisent des systèmes et des produits informatiques, notamment des disposi-

tifs de création de signature et de cachet, qui soient fiables et sûrs; e. possèdent des ressources ou des garanties financières suffisantes; f. ont contracté les assurances nécessaires à la couverture de la responsabilité

visée à l’art. 17 et des frais que peuvent entraîner les mesures prévues à l’art. 14, al. 2 et 3;

g. assurent le respect du droit applicable, notamment de la présente loi et de ses dispositions d’exécution.

2 Les conditions fixées à l’al. 1 sont applicables également aux fournisseurs étran- gers. L’organisme de reconnaissance suisse peut reconnaître un fournisseur étranger qui est déjà reconnu par un organisme étranger s’il est prouvé que:

a. la reconnaissance a été octroyée conformément au droit de l’Etat en ques- tion;

b. les règles du droit de l’Etat étranger applicables à l’octroi de la reconnais- sance sont équivalentes à celles du droit suisse;

c. l’organisme de reconnaissance étranger possède des qualifications équiva- lentes à celles qui sont exigées d’un organisme de reconnaissance suisse;

d. l’organisme de reconnaissance étranger garantit sa collaboration à l’orga- nisme de reconnaissance suisse pour la surveillance du fournisseur en Suisse.

3 Les unités administratives de la Confédération, des cantons et des communes peuvent être reconnues comme fournisseurs sans avoir à s’inscrire au registre du commerce.

4 RS 946.51, 946.511, 946.512, 946.513.7

Exercice du commerce

4

943.03

Art. 4 Désignation de l’organisme d’accréditation 1 Le Conseil fédéral désigne l’organisme d’accréditation des organismes de recon- naissance (organisme d’accréditation). 2 Faute d’organisme de reconnaissance accrédité, le Conseil fédéral désigne comme tel l’organisme d’accréditation ou un autre organisme approprié.

Art. 5 Liste des fournisseurs reconnus 1 Les organismes de reconnaissance annoncent à l’organisme d’accréditation les fournisseurs qu’ils reconnaissent. 2 L’organisme d’accréditation tient à la disposition du public la liste des fournisseurs reconnus.

Section 3 Elaboration, stockage et utilisation de clés cryptographiques

Art. 6 1 Le Conseil fédéral règle l’élaboration, le stockage et l’utilisation des clés crypto- graphiques pouvant faire l’objet de certificats réglementés au sens de la présente loi; il veille à assurer un degré de sécurité élevé conforme à l’évolution de la technique. 2 Les systèmes d’élaboration, de stockage et d’utilisation de clés cryptographiques privées, notamment les dispositifs de création de signatures et de cachets, doivent au moins:

a. garantir que les clés ne puissent, pratiquement, se rencontrer qu’une seule fois et que leur confidentialité soit suffisante;

b. garantir avec une marge de sécurité suffisante que les clés ne puissent être trouvées par déduction et que leur utilisation soit protégée contre toute falsi- fication par les moyens techniques disponibles;

c. garantir que les clés peuvent être protégées de manière fiable par le titulaire légitime contre toute utilisation abusive.

Section 4 Certificats réglementés

Art. 7 Conditions applicables aux certificats réglementés 1 Un certificat réglementé peut être délivré au nom d’une personne physique ou d’une entité IDE. 2 Il doit contenir les informations suivantes:

a. le numéro de série; b. la mention qu’il est délivré à titre de certificat réglementé;

L sur la signature électronique

5

943.03

c. le nom ou la désignation du titulaire de la clé cryptographique privée; s’il existe un risque de confusion, le nom ou la désignation doit être complété par un élément distinctif;

d. pour les personnes physiques, éventuellement un pseudonyme identifié comme tel à la place du nom;

e. pour les entités IDE, le numéro unique d’identification des entreprises au sens de la LIDE5;

f. la clé cryptographique publique; g. la durée de validité; h. le nom, le pays d’établissement et le cachet électronique réglementé du

fournisseur qui délivre le certificat. 3 Le certificat peut également contenir les éléments suivants:

a. les qualités spécifiques du titulaire de la clé cryptographique privée, telles que ses qualifications professionnelles;

b. si le titulaire est une personne physique, la mention qu’elle est habilitée à représenter une entité IDE;

c. le domaine d’utilisation pour lequel le certificat est prévu; d. la valeur limite des transactions pour lesquelles le certificat est prévu.

4 Le Conseil fédéral règle le format des certificats réglementés.

Art. 8 Conditions supplémentaires applicables aux certificats qualifiés 1 Le certificat qualifié ne peut être délivré qu’à une personne physique. 2 Il contient la mention qu’il est destiné à n’être utilisé que pour la signature électro- nique. 3 Il contient, en lieu et place de la mention visée à l’art. 7, al. 2, let. b, la mention qu’il est délivré à titre de certificat qualifié.

Section 5 Devoirs des fournisseurs reconnus

Art. 9 Délivrance des certificats réglementés 1 Les fournisseurs reconnus exigent de toute personne qui demande la délivrance d’un certificat réglementé:

a. pour une personne physique: qu’elle se présente en personne et qu’elle ap- porte la preuve de son identité;

b. pour une entité IDE qui n’est pas une personne physique: qu’une personne habilitée à la représenter se présente en personne et apporte la preuve de son identité et de son pouvoir de représentation.

5 RS 431.03

Exercice du commerce

6

943.03

2 Ils vérifient que les qualifications professionnelles et les autres qualités spécifiques (art. 7, al. 3, let. a) ont été confirmées par l’organisme compétent. 3 Ils vérifient que la mention des pouvoirs de représentation (art. 7, al. 3, let. b) a été approuvée par l’entité IDE représentée. 4 Le Conseil fédéral désigne les documents de nature à prouver l’identité des per- sonnes qui demandent un certificat et, le cas échéant, à justifier de leurs qualités spécifiques. Il peut prévoir de dispenser les demandeurs de l’obligation de se présen- ter en personne à certaines conditions. 5 Les fournisseurs reconnus s’assurent en outre que les personnes qui demandent un certificat réglementé possèdent la clé cryptographique privée qui s’y rapporte. 6 Ils peuvent déléguer l’identification d’un requérant à un tiers (bureau d’enregistre- ment). Ils répondent de l’exécution correcte de cette tâche par ce dernier.

Art. 10 Obligation d’informer et de documenter 1 Les fournisseurs reconnus tiennent à la disposition du public leurs conditions contractuelles générales et des informations sur leur politique de certification. 2 Ils informent leurs clients, au plus tard lors de la délivrance du certificat régle- menté, des conséquences de l’utilisation abusive de leur clé cryptographique privée et des dispositions à prendre, selon les circonstances, pour assurer la confidentialité de cette clé. 3 Ils tiennent un journal de leurs activités. Le Conseil fédéral fixe la durée pendant laquelle le journal et les documents qui s’y rapportent doivent être conservés.

Art. 11 Annulation des certificats réglementés 1 Les fournisseurs reconnus annulent immédiatement le certificat réglementé:

a. si le titulaire ou son représentant le demande; b. s’il s’avère qu’il a été obtenu de manière illicite ou que les renseignements

visés à l’art. 7, al. 3, ne sont pas ou ne sont plus exacts; c. s’il ne permet plus de garantir le lien avec le titulaire.

2 Dans le cas de l’al. 1, let. a, ils s’assurent que la personne qui a demandé l’annulation a qualité pour le faire. 3 Ils informent immédiatement de l’annulation le titulaire du certificat réglementé.

Art. 12 Service d’annuaire pour les certificats réglementés 1 Tout fournisseur reconnu garantit aux intéressés de pouvoir vérifier de façon fiable, en tout temps et selon une procédure usuelle, la validité de tous les certificats réglementés qu’il a délivrés. 2 Il peut en outre offrir un service d’annuaire permettant aux intéressés de rechercher et de consulter les certificats réglementés qu’il a délivrés. Un certificat n’est inscrit dans cet annuaire qu’à la demande de son titulaire.

L sur la signature électronique

7

943.03

3 Les pouvoirs publics peuvent consulter ces données gratuitement. 4 Le Conseil fédéral détermine la durée minimale pendant laquelle les certificats réglementés qui ne sont plus valables doivent pouvoir continuer d’être vérifiés.

Art. 13 Horodatage électronique qualifié Les fournisseurs reconnus procèdent, sur demande, à un horodatage électronique qualifié.

Art. 14 Cessation d’activité 1 Les fournisseurs reconnus annoncent en temps utile à l’organisme d’accréditation la cessation de leur activité. Ils lui annoncent immédiatement toute commination de faillite qui leur a été notifiée. 2 L’organisme d’accréditation charge un autre fournisseur reconnu de tenir la liste des certificats réglementés valables, échus ou annulés et de conserver le journal des activités et les documents qui s’y rapportent. Lorsqu’il n’y a pas de fournisseur reconnu, le Conseil fédéral désigne l’organisme compétent pour reprendre ces tâches. Le fournisseur reconnu qui cesse son activité supporte les frais qui en résul- tent. 3 L’al. 2 est également applicable en cas de faillite d’un fournisseur reconnu.

Art. 15 Protection des données 1 Les fournisseurs reconnus et les bureaux d’enregistrement qu’ils ont mandatés ne peuvent traiter que les données personnelles nécessaires à l’accomplissement de leurs tâches. Tout commerce de ces données est interdit. 2 Au surplus, la législation sur la protection des données est applicable.

Section 6 Surveillance des fournisseurs reconnus

Art. 16 1 Les organismes de reconnaissance assurent la surveillance des fournisseurs recon- nus conformément aux règles de la législation sur les entraves techniques au com- merce6. 2 Lorsqu’un organisme de reconnaissance retire la reconnaissance à un fournisseur, il l’annonce immédiatement à l’organisme d’accréditation. L’art. 14, al. 2, est appli- cable.

6 RS 946.51, 946.511, 946.512, 946.513.7

Exercice du commerce

8

943.03

Section 7 Responsabilité

Art. 17 Responsabilité des fournisseurs 1 Lorsque les fournisseurs reconnus contreviennent à des obligations découlant de la présente loi ou de ses dispositions d’exécution, ils répondent du dommage causé au titulaire d’un certificat réglementé valable et aux tiers qui se sont fiés à ce certificat. 2 Il leur incombe d’apporter la preuve qu’ils ont respecté les obligations découlant de la présente loi et de ses dispositions d’exécution. 3 Les fournisseurs reconnus ne peuvent exclure leur responsabilité découlant de la présente loi pour les dommages causés par eux-mêmes ou leurs auxiliaires. Ils ne répondent toutefois pas du dommage résultant de l’inobservation ou de la violation d’une restriction de l’utilisation du certificat (art. 7, al. 3, let. c et d).

Art. 18 Responsabilité des organismes de reconnaissance Lorsque les organismes de reconnaissance contreviennent à des obligations décou- lant de la présente loi ou de ses dispositions d’exécution, ils répondent du dommage causé au titulaire d’un certificat réglementé valable et aux tiers qui se sont fiés à ce certificat. L’art. 17, al. 2 et 3, s’applique par analogie.

Art. 19 Prescription Les actions prévues par la présente loi se prescrivent par un an à compter du jour où la partie lésée a eu connaissance du dommage ainsi que de la personne tenue à réparation, et dans tous les cas par dix ans à compter du jour où le fait dommageable s’est produit. Les prétentions résultant d’un contrat sont réservées.

Section 8 Conventions internationales

Art. 20 1 Le Conseil fédéral peut conclure des conventions internationales pour faciliter l’utilisation et la reconnaissance juridique internationales des signatures électro- niques et des autres applications de clés cryptographiques, notamment sur:

a. la reconnaissance des signatures électroniques, des cachets électroniques et des certificats numériques;

b. la reconnaissance des fournisseurs et l’accréditation des organismes de re- connaissance;

c. la reconnaissance des essais et des évaluations de conformité; d. la reconnaissance des marques de conformité; e. la reconnaissance des systèmes d’accréditation et des organismes accrédités;

L sur la signature électronique

9

943.03

f. l’octroi de mandats de normalisation à des organismes internationaux de normalisation, dans la mesure où la législation renvoie à des normes tech- niques déterminées ou lorsqu’un tel renvoi est prévu;

g. l’information et la consultation concernant l’élaboration, l’adoption, la mo- dification et l’application de prescriptions ou de normes techniques.

2 Il édicte les dispositions nécessaires à l’application des conventions internationales portant sur les domaines énumérés à l’al. 1. 3 Il peut déléguer à des organismes privés des activités relatives à l’information et à la consultation concernant l’élaboration, l’adoption et la modification de prescrip- tions ou de normes techniques et prévoir une indemnité à ce titre.

Section 9 Dispositions finales

Art. 21 Exécution 1 Le Conseil fédéral édicte les dispositions d’exécution. Il tient compte du droit international pertinent et peut déclarer applicables des normes techniques interna- tionales. 2 Il peut charger l’Office fédéral de la communication d’édicter des prescriptions administratives et techniques. 3 Afin d’atteindre le but de la loi, il peut charger une unité administrative fédérale ou cantonale de délivrer des certificats réglementés, valables aussi dans les rapports juridiques de droit privé, ou de participer à l’entreprise d’un fournisseur privé.

Art. 22 Abrogation et modification d’autres actes L’abrogation et la modification d’autres actes sont réglées en annexe.

Art. 23 Référendum et entrée en vigueur 1 La présente loi est sujette au référendum. 2 Le Conseil fédéral fixe la date de l’entrée en vigueur.

Date de l’entrée en vigueur: 1er janvier 20177

7 ACF du 23 nov. 2016.

Exercice du commerce

10

943.03

Annexe (art. 22)

Abrogation et modification d’autres actes I

La loi du 19 décembre 2003 sur la signature électronique8 est abrogée.

II

Les actes mentionnés ci-après sont modifiés comme suit: …9

8 [RO 2004 5085, 2008 3437 ch. II 55] 9 Les mod. peuvent être consultées au RO 2016 4651.

 RS 943.03

1

Legge federale sui servizi di certificazione nel campo della firma elettronica e di altre applicazioni di certificati digitali (Legge sulla firma elettronica, FiEle)

del 18 marzo 2016 (Stato 1° gennaio 2017)

L’Assemblea federale della Confederazione Svizzera, visti gli articoli 95 capoverso 1 e 122 capoverso 1 della Costituzione federale1; visto il messaggio del Consiglio federale del 15 gennaio 20142, decreta:

Sezione 1: Disposizioni generali

Art. 1 Oggetto e scopo 1 La presente legge definisce:

a. i requisiti posti alla qualità di determinati certificati digitali e alla loro utiliz- zazione;

b. le condizioni alle quali i prestatori di servizi di certificazione nel campo del- la firma elettronica e di altre applicazioni di certificati digitali (servizi di cer- tificazione) possono essere riconosciuti;

c. i diritti e gli obblighi dei prestatori di servizi di certificazione riconosciuti. 2 Essa non disciplina gli effetti giuridici dell’utilizzazione di certificati digitali, ad eccezione della responsabilità di cui agli articoli 17 e 18. 3 Ha lo scopo di:

a. promuovere un’ampia offerta di servizi di certificazione sicuri; b. favorire l’utilizzazione di certificati digitali, firme elettroniche e sigilli elet-

tronici; c. permettere il riconoscimento internazionale dei prestatori di servizi di certi-

ficazione e delle loro prestazioni.

Art. 2 Definizioni Nella presente legge s’intende per:

a. firma elettronica: dati in forma elettronica allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati per la loro autentica- zione;

RU 2016 4651 1 RS 101 2 FF 2014 913

943.03

Esercizio del commercio

2

943.03

b. firma elettronica avanzata: firma elettronica che soddisfa i seguenti requi- siti: 1. è attribuita esclusivamente al titolare, 2. permette di identificare il titolare, 3. è creata con mezzi sui quali il titolare può conservare il proprio con-

trollo esclusivo, 4. è collegata ai dati ai quali si riferisce in modo tale che una successiva

modifica dei dati sia riconoscibile; c. firma elettronica regolamentata: firma elettronica avanzata creata utilizzan-

do un dispositivo sicuro per la creazione della firma secondo l’articolo 6 e fondata su un certificato regolamentato e rilasciato a una persona fisica vali- do al momento della creazione della firma elettronica;

d. sigillo elettronico regolamentato: firma elettronica avanzata creata utiliz- zando un dispositivo sicuro per la creazione del sigillo secondo l’articolo 6 e fondata su un certificato regolamentato rilasciato a un’unità IDI secondo l’articolo 3 capoverso 1 lettera c della legge federale del 18 giugno 20103 sul numero d’identificazione delle imprese (LIDI) valido al momento della creazione del sigillo elettronico;

e. firma elettronica qualificata: firma elettronica regolamentata fondata su un certificato qualificato;

f. certificato digitale: attestato digitale che attribuisce la chiave pubblica di una coppia asimmetrica di chiavi crittografiche al suo titolare;

g. certificato regolamentato: certificato digitale che soddisfa i requisiti del- l’articolo 7 ed è stato rilasciato da un prestatore di servizi di certificazione riconosciuto secondo la presente legge;

h. certificato qualificato: certificato regolamentato che soddisfa i requisiti dell’articolo 8;

i. marca temporale elettronica: conferma dell’esistenza di determinati dati di- gitali in un dato momento;

j. marca temporale elettronica qualificata: marca temporale elettronica gene- rata da un prestatore di servizi di certificazione riconosciuto secondo la pre- sente legge e corredata di un sigillo elettronico regolamentato;

k. prestatore di servizi di certificazione: organismo che certifica dati in ambito elettronico e che rilascia a tal fine certificati digitali;

l. organismo di riconoscimento: organismo che, in base alla legislazione fede- rale sugli ostacoli tecnici al commercio4, è accreditato per riconoscere e sor- vegliare i prestatori di servizi di certificazione.

3 RS 431.03 4 RS 946.51, 946.511, 946.512, 946.513.7

L sulla firma elettronica

3

943.03

Sezione 2: Riconoscimento dei prestatori di servizi di certificazione

Art. 3 Condizioni del riconoscimento 1 Quali prestatori di servizi di certificazione possono essere riconosciute le persone fisiche o giuridiche che:

a. sono iscritte nel registro di commercio; b. sono in grado di fornire e gestire certificati qualificati conformemente ai re-

quisiti della presente legge; c. impiegano personale munito delle conoscenze, dell’esperienza e delle quali-

fiche necessarie; d. utilizzano sistemi e prodotti informatici, in particolare dispositivi affidabili e

sicuri per la creazione di una firma e di un sigillo; e. possiedono risorse o garanzie finanziarie sufficienti; f. stipulano le assicurazioni necessarie alla copertura della responsabilità pre-

vista dall’articolo 17 e delle spese che possono comportare le misure previ- ste nell’articolo 14 capoversi 2 e 3;

g. assicurano l’osservanza del diritto applicabile, in particolare della presente legge e delle relative disposizioni d’esecuzione.

2 Le condizioni previste nel capoverso 1 si applicano anche ai prestatori di servizi di certificazione esteri. Se un prestatore estero è già riconosciuto da un organismo estero, l’organismo svizzero può riconoscerlo se è provato che:

a. il riconoscimento è stato accordato secondo il diritto estero; b. le norme del diritto estero determinanti per il riconoscimento sono equiva-

lenti a quelle del diritto svizzero; c. l’organismo di riconoscimento estero possiede qualifiche equivalenti a quel-

le richieste all’organismo di riconoscimento svizzero; d. l’organismo di riconoscimento estero garantisce all’organismo di riconosci-

mento svizzero di collaborare per la sorveglianza in Svizzera del prestatore. 3 Le unità amministrative della Confederazione, dei Cantoni e dei Comuni possono essere riconosciute quali prestatori di servizi di certificazione anche se non sono iscritte nel registro di commercio.

Art. 4 Designazione dell’organismo di accreditamento 1 Il Consiglio federale designa l’organismo competente per l’accreditamento degli organismi di riconoscimento (organismo di accreditamento). 2 Se nessun organismo è stato accreditato per il riconoscimento, il Consiglio federale designa l’organismo di accreditamento o un altro organismo appropriato quale orga- nismo di riconoscimento.

Esercizio del commercio

4

943.03

Art. 5 Lista dei prestatori di servizi di certificazione riconosciuti 1 Gli organismi di riconoscimento annunciano all’organismo di accreditamento i prestatori di servizi di certificazione da essi riconosciuti. 2 L’organismo di accreditamento mette a disposizione del pubblico la lista dei pre- statori di servizi di certificazione riconosciuti.

Sezione 3: Generazione, memorizzazione e utilizzazione di chiavi crittografiche

Art. 6 1 Il Consiglio federale disciplina la generazione, la memorizzazione e l’utilizzazione di chiavi crittografiche che possono essere oggetto di certificati regolamentati ai sensi della presente legge; garantisce in proposito un elevato livello di sicurezza, conforme all’evoluzione tecnologica. 2 I sistemi di generazione, memorizzazione e utilizzazione di chiavi crittografiche private, in particolare i dispositivi per la creazione di una firma e di un sigillo, devo- no almeno garantire che le chiavi:

a. possano comparire in pratica soltanto una volta e la loro segretezza sia suffi- cientemente assicurata;

b. non possano, con un margine di sicurezza sufficiente, essere individuate per deduzione e che la loro utilizzazione sia protetta da contraffazioni grazie all’impiego della tecnologia disponibile;

c. possano essere protette in modo affidabile dal legittimo titolare contro l’abuso da parte di terzi.

Sezione 4: Certificati regolamentati

Art. 7 Requisiti per tutti i certificati regolamentati 1 Un certificato regolamentato può essere rilasciato a persone fisiche e unità IDI. 2 Contiene le seguenti informazioni:

a. il numero di serie; b. l’indicazione che si tratta di un certificato regolamentato; c. il nome o la designazione del titolare della relativa chiave crittografica priva-

ta; in caso di possibile confusione, il nome o la designazione devono essere completati da un attributo distintivo;

d. per le persone fisiche, se del caso lo pseudonimo, designato come tale, al po- sto del nome;

L sulla firma elettronica

5

943.03

e. per le unità IDI, il numero di identificazione dell’impresa secondo la LIDI5; f. la chiave crittografica pubblica; g. la durata di validità; h. il nome, lo Stato di domicilio e il sigillo elettronico regolamentato del pre-

statore di servizi di certificazione che rilascia il certificato. 3 Il certificato può inoltre contenere gli elementi seguenti:

a. le qualità specifiche del titolare della relativa chiave crittografica privata, ad esempio la qualifica professionale;

b. per le persone fisiche, l’indicazione che sono autorizzate a rappresentare una determinata unità IDI;

c. l’ambito di validità per il quale è previsto; d. il valore massimo delle transazioni per le quali è previsto.

4 Il Consiglio federale disciplina il formato dei certificati regolamentati.

Art. 8 Requisiti supplementari per i certificati qualificati 1 Un certificato qualificato può essere rilasciato soltanto a una persona fisica. 2 Contiene un’iscrizione secondo cui è previsto soltanto per la firma elettronica. 3 Al posto dell’indicazione di cui all’articolo 7 capoverso 2 lettera b, nel certificato va inserita l’indicazione che si tratta di un certificato qualificato.

Sezione 5: Obblighi dei prestatori di servizi di certificazione riconosciuti

Art. 9 Rilascio dei certificati regolamentati 1 I prestatori di servizi di certificazione riconosciuti esigono dalle persone che chie- dono il rilascio di un certificato regolamentato:

a. che si presentino personalmente e provino la loro identità, se sono persone fisiche;

b. che un loro rappresentante si presenti personalmente e provi la sua identità e il potere di rappresentanza, se sono unità IDI e non persone fisiche.

2 I prestatori di servizi di certificazione verificano che le qualifiche professionali e le altre qualità specifiche (art. 7 cpv. 3 lett. a) siano state confermate dall’organismo competente. 3 Nel caso sia indicato un potere di rappresentanza (art. 7 cpv. 3 lett. b), i prestatori di servizi di certificazione verificano che l’unità IDI abbia dato il proprio consenso.

5 RS 431.03

Esercizio del commercio

6

943.03

4 Il Consiglio federale designa i documenti per mezzo dei quali chi chiede un certifi- cato può provare la propria identità ed eventualmente le proprie qualità specifiche. Può prevedere che, a determinate condizioni, il richiedente non sia tenuto a presen- tarsi personalmente. 5 I prestatori di servizi di certificazione riconosciuti si accertano inoltre che la per- sona che chiede un certificato regolamentato sia in possesso della relativa chiave crittografica privata. 6 I prestatori di servizi di certificazione riconosciuti possono delegare a terzi (uffici di registrazione) l’dentificazione di un richiedente. Rispondono della corretta esecu- zione di questo compito da parte dell’ufficio di registrazione.

Art. 10 Obbligo di informazione e documentazione 1 I prestatori di servizi di certificazione riconosciuti devono rendere accessibili al pubblico le loro condizioni contrattuali generali e le informazioni sulla loro politica di certificazione. 2 Al più tardi in occasione del rilascio dei certificati regolamentati, i prestatori di servizi di certificazione riconosciuti devono rendere attenti i loro clienti alle conse- guenze dell’utilizzazione abusiva della chiave crittografica privata, come pure alle misure da prendere, secondo le circostanze, per mantenere segreta la chiave. 3 I prestatori di servizi di certificazione riconosciuti tengono un libro giornale delle attività. Il Consiglio federale disciplina il termine di conservazione del libro giornale e dei relativi documenti giustificativi.

Art. 11 Annullamento dei certificati regolamentati 1 I prestatori di servizi di certificazione riconosciuti annullano senza indugio un certificato regolamentato se:

a. il titolare o il suo rappresentante lo chiede; b. emerge che è stato ottenuto illecitamente o che le informazioni di cui

all’articolo 7 capoverso 3 non sono o non sono più esatte; c. il legame di attribuzione con il suo titolare non è più garantito.

2 In caso di annullamento secondo il capoverso 1 lettera a, i prestatori di servizi di certificazione riconosciuti devono accertarsi che il richiedente sia autorizzato a chiedere l’annullamento. 3 I prestatori di servizi di certificazione riconosciuti informano senza indugio del- l’avvenuto annullamento il titolare del certificato regolamentato.

Art. 12 Servizi relativi alle liste dei certificati regolamentati 1 Ogni prestatore di servizi di certificazione riconosciuto garantisce che le persone interessate possano verificare in maniera affidabile, in ogni momento e mediante una procedura usuale, la validità di tutti i certificati regolamentati che ha rilasciato.

L sulla firma elettronica

7

943.03

2 Può inoltre offrire un servizio che permetta alle persone interessate di ricercare nella lista e richiamare i certificati regolamentati che ha rilasciato. Un certificato è iscritto nella lista solo su richiesta del titolare. 3 Le consultazioni da parte di enti pubblici sono gratuite. 4 Il Consiglio federale stabilisce il periodo minimo durante il quale deve essere possibile la verifica dei certificati regolamentati non più validi.

Art. 13 Marca temporale elettronica qualificata Su richiesta, i prestatori di servizi di certificazione riconosciuti generano marche temporali elettroniche qualificate.

Art. 14 Cessazione d’attività 1 I prestatori di servizi di certificazione riconosciuti notificano in tempo utile all’organismo di accreditamento la cessazione della loro attività. Gli notificano senza indugio eventuali comminatorie di fallimento ricevute. 2 L’organismo di accreditamento incarica un altro prestatore di servizi di certifica- zione riconosciuto di tenere la lista dei certificati regolamentati validi, scaduti o annullati e di conservare il libro giornale delle attività nonché i relativi documenti giustificativi. Nel caso in cui non fosse disponibile un prestatore di servizi di certifi- cazione riconosciuto, il Consiglio federale designa un organismo idoneo per la ripresa dell’attività dismessa. Il prestatore di servizi di certificazione riconosciuto che cessa la sua attività si assume le spese che ne risultano. 3 Il capoverso 2 si applica anche in caso di fallimento di un prestatore di servizi di certificazione riconosciuto.

Art. 15 Protezione dei dati 1 I prestatori di servizi di certificazione riconosciuti e gli uffici di registrazione da loro incaricati possono trattare soltanto i dati personali necessari all’adempimento dei loro compiti. Qualsiasi commercio di questi dati è vietato. 2 Per il resto, è applicabile la legislazione sulla protezione dei dati.

Sezione 6: Sorveglianza sui prestatori di servizi di certificazione riconosciuti

Art. 16 1 La sorveglianza sui prestatori di servizi di certificazione riconosciuti è svolta dagli organismi di riconoscimento in base alle norme della legislazione federale sugli ostacoli tecnici al commercio6.

6 RS 946.51, 946.511, 946.512, 946.513.7

Esercizio del commercio

8

943.03

2 L’organismo di riconoscimento che revoca il riconoscimento di un prestatore di servizi di certificazione ne dà immediata comunicazione all’organismo di accredita- mento. È applicabile l’articolo 14 capoverso 2.

Sezione 7: Responsabilità

Art. 17 Responsabilità dei prestatori di servizi di certificazione 1 I prestatori di servizi di certificazione riconosciuti che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di un certificato regolamentato valido e ai terzi che si sono fidati di tale certificato. 2 I prestatori di servizi di certificazione riconosciuti devono provare di aver ottempe- rato agli obblighi derivanti dalla presente legge e dalle disposizioni d’esecuzione. 3 I prestatori di servizi di certificazione riconosciuti non possono escludere la re- sponsabilità derivante dalla presente legge per i danni causati da loro stessi o dai loro ausiliari. Non rispondono tuttavia del danno risultante dall’inosservanza o dalla violazione di una restrizione dell’utilizzazione del certificato (art. 7 cpv. 3 lett. c e d).

Art. 18 Responsabilità degli organismi di riconoscimento Gli organismi di riconoscimento che violano gli obblighi imposti dalla presente legge e dalle relative disposizioni d’esecuzione rispondono del danno causato al titolare di un certificato regolamentato valido e ai terzi che si sono fidati di tale certificato. L’articolo 17 capoversi 2 e 3 si applica per analogia.

Art. 19 Prescrizione Le pretese fondate sulla presente legge si prescrivono in un anno dal giorno in cui l’avente diritto ha avuto conoscenza del danno e della persona responsabile e, in ogni caso, in dieci anni dal giorno in cui l’evento dannoso si è prodotto. Sono fatte salve le pretese risultanti da un contratto.

Sezione 8: Convenzioni internazionali

Art. 20 1 Per facilitare l’utilizzazione e il riconoscimento giuridico internazionali di firme elettroniche e di altre applicazioni di chiavi crittografiche, il Consiglio federale può concludere convenzioni internazionali riguardanti segnatamente:

a. il riconoscimento delle firme elettroniche, dei sigilli elettronici e dei certifi- cati digitali;

L sulla firma elettronica

9

943.03

b. il riconoscimento dei prestatori di servizi di certificazione e degli organismi di riconoscimento;

c. il riconoscimento delle verifiche e delle valutazioni di conformità; d. il riconoscimento dei marchi di conformità; e. il riconoscimento dei sistemi di accreditamento e degli organismi accreditati; f. il conferimento di mandati di normazione a organismi internazionali di nor-

mazione nella misura in cui la legislazione rimandi a determinate norme tec- niche o quando un tale rimando è previsto;

g. l’informazione e la consultazione riguardo all’elaborazione, all’emanazione, alla modifica e all’applicazione di prescrizioni o norme tecniche.

2 Il Consiglio federale emana le prescrizioni necessarie per l’applicazione delle convenzioni internazionali che riguardano gli ambiti di cui al capoverso 1. 3 Può delegare a privati attività relative all’informazione e alla consultazione riguar- danti l’elaborazione, l’emanazione e la modifica di prescrizioni o norme tecniche e prevedere la loro rimunerazione.

Sezione 9: Disposizioni finali

Art. 21 Esecuzione 1 Il Consiglio federale emana le disposizioni d’esecuzione. Tiene conto del diritto internazionale afferente e può dichiarare applicabili norme tecniche internazionali. 2 Può incaricare l’Ufficio federale delle comunicazioni di emanare prescrizioni am- ministrative e tecniche. 3 Per conseguire gli scopi della legge, il Consiglio federale può affidare a un’unità amministrativa federale o cantonale il compito di rilasciare certificati regolamentati anche per le transazioni di diritto privato o di partecipare all’impresa di un prestatore di servizi di certificazione privato.

Art. 22 Abrogazione e modifica di altri atti normativi L’abrogazione e la modifica di altri atti normativi sono disciplinate nell’allegato.

Art. 23 Referendum ed entrata in vigore 1 La presente legge sottostà a referendum facoltativo. 2 Il Consiglio federale ne determina l’entrata in vigore.

Data dell’entrata in vigore: 1° gennaio 20177

7 DCF del 23 nov. 2016.

Esercizio del commercio

10

943.03

Allegato (art. 22)

Abrogazione e modifica di altri atti normativi

I

La legge del 19 dicembre 20038 sulla firma elettronica è abrogata.

II

Le leggi federali qui appresso sono modificate come segue: ...9

8 [RU 2004 5085, 2008 3437 II 55] 9 Le mod. possono essere consultate alla RU 2016 4651.


Legislación Es reemplazado por (1 texto(s)) Es reemplazado por (1 texto(s))
Datos no disponibles.

N° WIPO Lex CH399