Legea nr. 455/2001 – Republicare *)

M. Of. nr. 316 din 30 aprilie 2014

 

LEGE

privind semnătura electronică

 

CAPITOLUL I

Dispoziții generale

SECȚIUNEA 1

Principii generale

Art. 1. ‒ Prezenta lege stabilește regimul juridic al semnăturii electronice și al înscrisurilor în formă electronică, precum și condițiile furnizării de servicii de certificare a semnăturilor electronice. 

Art. 2. ‒ Prezenta lege se completează cu dispozițiile legale privind încheierea, validitatea și efectele actelor juridice. 

Art. 3. ‒ Nicio dispoziție a prezentei legi nu poate fi interpretată în sensul limitării autonomiei de voință și a libertății contractuale a părților. 

SECȚIUNEA 2

Definiții

Art. 4. ‒ În înțelesul prezentei legi:

1. date în formă electronică sunt reprezentări ale informației într-o formă convențională adecvată creării, prelucrării, trimiterii, primirii sau stocării acesteia prin mijloace electronice;

2. înscris în formă electronică reprezintă o colecție de date în formă electronică între care există relații logice și funcționale și care redau litere, cifre sau orice alte caractere cu semnificație inteligibilă, destinate a fi citite prin intermediul unui program informatic sau al altui procedeu similar;

3. semnătură electronică reprezintă date în formă electronică, care sunt atașate sau logic asociate cu alte date în formă electronică și care servesc ca metodă de identificare;

4. semnătură electronică extinsă reprezintă acea semnătură electronică care îndeplinește cumulativ următoarele condiții:

a) este legată în mod unic de semnatar;

b) asigură identificarea semnatarului;

c) este creată prin mijloace controlate exclusiv de semnatar;

d) este legată de datele în formă electronică, la care se raportează în așa fel încât orice modificare ulterioară a acestora este identificabilă;

5. semnatar reprezintă o persoană care deține un dispozitiv de creare a semnăturii electronice și care acționează fie în nume propriu, fie ca reprezentant al unui terț;

6. date de creare a semnăturii electronice reprezintă orice date în formă electronică cu caracter de unicitate, cum ar fi coduri sau chei criptografice private, care sunt folosite de semnatar pentru crearea unei semnături electronice;

7. dispozitiv de creare a semnăturii electronice reprezintă software și/sau hardware configurate, utilizat pentru a implementa datele de creare a semnăturii electronice;

8. dispozitiv securizat de creare a semnăturii electronice reprezintă acel dispozitiv de creare a semnăturii electronice care îndeplinește cumulativ următoarele condiții:

a) datele de creare a semnăturii, utilizate pentru generarea acesteia, să poată apărea numai o singură dată și confidențialitatea acestora să poată fi asigurată;

b) datele de creare a semnăturii, utilizate pentru generarea acesteia, să nu poată fi deduse;

c) semnătura să fie protejată împotriva falsificării prin mijloacele tehnice disponibile la momentul generării acesteia;

d) datele de creare a semnăturii să poată fi protejate în mod efectiv de către semnatar împotriva utilizării acestora de către persoane neautorizate;

e) să nu modifice datele în formă electronică, care trebuie să fie semnate, și nici să nu împiedice ca acestea să fie prezentate semnatarului înainte de finalizarea procesului de semnare;

9. date de verificare a semnăturii electronice reprezintă date în formă electronică, cum ar fi coduri sau chei criptografice publice, care sunt utilizate în scopul verificării unei semnături electronice;

10. dispozitiv de verificare a semnăturii electronice reprezintă software și/sau hardware configurate, utilizat pentru a implementa datele de verificare a semnăturii electronice;

11. certificat reprezintă o colecție de date în formă electronică ce atestă legătura dintre datele de verificare a semnăturii electronice și o persoană, confirmând identitatea acelei persoane;

12. certificat calificat reprezintă un certificat care satisface condițiile prevăzute la art. 18 și care este eliberat de un furnizor de servicii de certificare ce satisface condițiile prevăzute la art. 20;

13. furnizor de servicii de certificare reprezintă orice persoană, română sau străină, care eliberează certificate sau care prestează alte servicii legate de semnătura electronică;

14. furnizor de servicii de certificare calificată este acel furnizor de servicii de certificare care eliberează certificate calificate;

15. produs asociat semnăturii electronice reprezintă software sau hardware, destinat a fi utilizat de un furnizor de servicii de certificare pentru prestarea serviciilor legate de semnătura electronică sau destinat a fi utilizat pentru crearea ori verificarea semnăturii electronice. 

CAPITOLUL II

Regimul juridic al înscrisurilor în formă electronică

Art. 5. ‒ Înscrisul în formă electronică, căruia i s-a încorporat, atașat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat sau nerevocat la momentul respectiv și generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice, este asimilat, în ceea ce privește condițiile și efectele sale, cu înscrisul sub semnătură privată. 

Art. 6. ‒ Înscrisul în formă electronică, căruia i s-a încorporat, atașat sau i s-a asociat logic o semnătură electronică, recunoscut de către cel căruia i se opune, are același efect ca actul autentic între cei care l-au subscris și între cei care le reprezintă drepturile. 

Art. 7. ‒ În cazurile în care, potrivit legii, forma scrisă este cerută ca o condiție de probă sau de validitate a unui act juridic, un înscris în formă electronică îndeplinește această cerință dacă i s-a încorporat, atașat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat și generată prin intermediul unui dispozitiv securizat de creare a semnăturii. 

Art. 8. ‒ (1) În cazul în care una dintre părți nu recunoaște înscrisul sau semnătura, instanța va dispune întotdeauna ca verificarea să se facă prin expertiză tehnică de specialitate. 

(2) În acest scop, expertul sau specialistul este dator să solicite certificate calificate, precum și orice alte documente necesare, potrivit legii, pentru identificarea autorului înscrisului, a semnatarului ori a titularului de certificat. 

Art. 9. ‒ (1) Partea care invocă înaintea instanței o semnătură electronică extinsă trebuie să probeze că aceasta îndeplinește condițiile prevăzute la art. 4 pct. 4. 

(2) Semnătura electronică extinsă, bazată pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat, este prezumată a îndeplini condițiile prevăzute la art. 4 pct. 4. 

Art. 10. ‒ (1) Partea care invocă înaintea instanței un certificat calificat trebuie să probeze că furnizorul de servicii de certificare care a eliberat respectivul certificat îndeplinește condițiile prevăzute la art. 20. 

(2) Furnizorul de servicii de certificare acreditat este prezumat a îndeplini condițiile prevăzute la art. 20. 

Art. 11. ‒ (1) Partea care invocă înaintea instanței un mecanism securizat de creare a semnăturii trebuie să probeze că acesta îndeplinește condițiile prevăzute la art. 4 pct. 8. 

(2) Dispozitivul securizat de generare a semnăturii, omologat în sensul prezentei legi, este prezumat a îndeplini condițiile prevăzute la art. 4 pct. 8. 

CAPITOLUL III

Furnizarea serviciilor de certificare

SECȚIUNEA 1

Dispoziții comune

Art. 12. ‒ (1) Furnizarea serviciilor de certificare nu este supusă niciunei autorizări prealabile și se desfășoară în concordanță cu principiile concurenței libere și loiale, cu respectarea actelor normative în vigoare. 

(2) Furnizarea serviciilor de certificare de către furnizorii stabiliți în statele membre ale Uniunii Europene se face în condițiile prevăzute în Acordul european instituind o asociere între România, pe de o parte, Comunitățile Europene și statele membre ale acestora, pe de altă parte. 

Art. 13. ‒ (1) Cu 30 de zile înainte de începerea activităților legate de certificarea semnăturilor electronice persoanele care intenționează să furnizeze servicii de certificare au obligația de a notifica autoritatea de reglementare și supraveghere specializată în domeniu cu privire la data începerii acestor activități. 

(2) Odată cu efectuarea notificării prevăzute la alin. (1), furnizorii de servicii de certificare au obligația de a comunica autorității de reglementare și supraveghere specializate în domeniu toate informațiile referitoare la procedurile de securitate și de certificare utilizate, precum și orice alte informații cerute de autoritatea de reglementare și supraveghere specializată în domeniu. 

(3) Furnizorii de servicii de certificare au obligația de a comunica autorității de reglementare și supraveghere specializate în domeniu, cu cel puțin 10 zile înainte, orice intenție de modificare a procedurilor de securitate și de certificare, cu precizarea datei și orei la care modificarea intră în vigoare, precum și obligația de a confirma în termen de 24 de ore modificarea efectuată. 

(4) În cazurile de urgență, în care securitatea serviciilor de certificare este afectată, furnizorii pot efectua modificări ale procedurilor de securitate și de certificare, urmând să comunice, în termen de 24 de ore, autorității de reglementare și supraveghere specializate în domeniu modificările efectuate și justificarea deciziei luate. 

(5) Furnizorii de servicii de certificare sunt obligați să respecte, pe parcursul desfășurării activității, procedurile de securitate și de certificare declarate, potrivit alin. (2), (3) și (4). 

Art. 14. ‒ (1) Furnizorul de servicii de certificare va asigura accesul la toate informațiile necesare utilizării corecte și în condiții de siguranță a serviciilor sale. Informațiile respective vor fi furnizate anterior nașterii oricărui raport contractual cu persoana care solicită un certificat sau, după caz, la cererea unui terț care se prevalează de un asemenea certificat. 

(2) Informațiile prevăzute la alin. (1) vor fi formulate în scris, într-un limbaj accesibil, și vor fi transmise prin mijloace electronice, în condiții care să permită stocarea și reproducerea lor. 

(3) Informațiile prevăzute la alin. (1) vor face referire cel puțin la:

a) procedura ce trebuie urmată în scopul creării și verificării semnăturii electronice;

b) tarifele percepute;

c) modalitățile și condițiile concrete de utilizare a certificatelor, inclusiv limitele impuse utilizării acestora, cu condiția ca aceste limite să poată fi cunoscute de terți;

d) obligațiile care incumbă, potrivit prezentei legi, titularului certificatului și furnizorului de servicii de certificare;

e) existența unei acreditări, dacă este cazul;

f) condițiile contractuale de eliberare a certificatului, inclusiv eventualele limitări ale răspunderii furnizorului de servicii de certificare;

g) căile de soluționare a litigiilor;

h) orice alte informații stabilite de autoritatea de reglementare și supraveghere specializată în domeniu. 

(4) Furnizorul de servicii de certificare va transmite solicitantului un exemplar al certificatului. 

(5) Din momentul acceptării certificatului de către solicitant, furnizorul de servicii de certificare va înscrie certificatul în registrul prevăzut la art. 17. 

Art. 15. ‒ (1) Persoanele fizice care prestează, conform legii, în nume propriu, servicii de certificare, precum și personalul angajat al furnizorului de servicii de certificare, persoană fizică sau juridică, sunt obligate să păstreze secretul informațiilor încredințate în cadrul activității lor profesionale, cu excepția celor în legătură cu care titularul certificatului acceptă să fie publicate sau comunicate terților. 

(2) Obligația prevăzută la alin. (1) incumbă și personalului autorității de reglementare și supraveghere specializate în domeniu, precum și persoanelor împuternicite de aceasta. 

(3) Încălcarea obligației prevăzute la alin. (1) și (2) constituie infracțiune și se pedepsește cu închisoare de la 3 luni la 2 ani sau cu amendă. 

Art. 16. ‒ (1) Autoritatea de reglementare și supraveghere specializată în domeniu și furnizorii de servicii de certificare au obligația să respecte dispozițiile legale privitoare la prelucrarea datelor cu caracter personal. 

(2) Furnizorii de servicii de certificare nu pot colecta date cu caracter personal decât de la persoana care solicită un certificat sau, cu consimțământul expres al acesteia, de la terți. Colectarea se face doar în măsura în care aceste informații sunt necesare în vederea eliberării și conservării certificatului. Datele pot fi colectate și utilizate în alte scopuri doar cu consimțământul expres al persoanei care solicită certificatul. 

(3) Atunci când se utilizează un pseudonim, identitatea reală a titularului nu poate fi divulgată de către furnizorul de servicii de certificare decât cu consimțământul titularului sau la cererea unei autorități publice competente. 

Art. 17. ‒ (1) Furnizorii de servicii de certificare au obligația de a crea și de a menține un registru electronic de evidență a certificatelor eliberate. 

(2) Registrul electronic de evidență a certificatelor eliberate trebuie să facă mențiune despre:

a) data și ora exactă la care certificatul a fost eliberat;

b) data și ora exactă la care expiră certificatul;

c) dacă este cazul, data și ora exactă la care certificatul a fost suspendat sau revocat, inclusiv cauzele care au condus la suspendare sau la revocare. 

(3) Registrul electronic de evidență a certificatelor eliberate trebuie să fie disponibil permanent pentru consultare, inclusiv în regim on-line. 

SECȚIUNEA 2

Furnizarea serviciilor de certificare calificată

Art. 18. ‒ (1) Certificatul calificat va cuprinde următoarele mențiuni:

a) indicarea faptului că certificatul a fost eliberat cu titlu de certificat calificat;

b) datele de identificare a furnizorului de servicii de certificare, precum și cetățenia acestuia, în cazul persoanelor fizice, respectiv naționalitatea acestuia, în cazul persoanelor juridice;

c) numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum și alte atribute specifice ale semnatarului, dacă sunt relevante, în funcție de scopul pentru care este eliberat certificatul calificat;

d) codul personal de identificare a semnatarului;

e) datele de verificare a semnăturii, care corespund datelor de creare a semnăturii aflate sub controlul exclusiv al semnatarului;

f) indicarea începutului și sfârșitului perioadei de valabilitate a certificatului calificat;

g) codul de identificare a certificatului calificat;

h) semnătura electronică extinsă a furnizorului de servicii de certificare care eliberează certificatul calificat;

i) dacă este cazul, limitele utilizării certificatului calificat sau limitele valorice ale operațiunilor pentru care acesta poate fi utilizat;

j) orice alte informații stabilite de autoritatea de reglementare și supraveghere specializată în domeniu. 

(2) Fiecărui semnatar i se va atribui de către furnizorul de servicii de certificare un cod personal care să asigure identificarea unică a semnatarului. 

(3) Generarea codului personal de identificare și a codului de identificare a certificatului calificat se va face pe baza reglementărilor stabilite de autoritatea de reglementare și supraveghere specializată în domeniu. 

(4) La solicitarea titularului furnizorul de servicii de certificare va putea înscrie în certificatul calificat și alte informații decât cele menționate la alin. (1), cu condiția ca acestea să nu fie contrare legii, bunelor moravuri sau ordinii publice, și numai după o prealabilă verificare a exactității acestor informații. 

(5) Certificatul calificat va indica în mod expres faptul că este utilizat un pseudonim, atunci când titularul se identifică printr-un pseudonim. 

Art. 19. ‒ (1) La eliberarea certificatelor calificate furnizorii de servicii de certificare au obligația de a verifica identitatea solicitanților exclusiv pe baza actelor de identitate. 

(2) La eliberarea fiecărui certificat calificat furnizorii au obligația să emită două copii de pe acesta, pe suport de hârtie, dintre care un exemplar este pus la dispoziție titularului, iar celălalt este păstrat de către furnizori o perioadă de 10 ani. 

Art. 20. ‒ În vederea emiterii certificatelor calificate furnizorii de servicii de certificare trebuie să îndeplinească următoarele condiții:

a) să dispună de mijloace financiare și de resurse materiale, tehnice și umane corespunzătoare pentru garantarea securității, fiabilității și continuității serviciilor de certificare oferite;

b) să asigure operarea rapidă și sigură a înregistrării informațiilor prevăzute la art. 17, în special operarea rapidă și sigură a unui serviciu de suspendare și revocare a certificatelor calificate;

c) să asigure posibilitatea de a se determina cu precizie data și ora exactă a eliberării, a suspendării sau a revocării unui certificat calificat;

d) să verifice, cu mijloace corespunzătoare și conforme dispozițiilor legale, identitatea și, dacă este cazul, atributele specifice ale persoanei căreia îi este eliberat certificatul calificat;

e) să folosească personal cu cunoștințe de specialitate, experiență și calificare, necesare pentru furnizarea serviciilor respective, și, în special, competență în domeniul gestiunii, cunoștințe de specialitate în domeniul tehnologiei semnăturii electronice și o practică suficientă în ceea ce privește procedurile de securitate corespunzătoare; de asemenea, să aplice procedurile administrative și de gestiune adecvate și care corespund standardelor recunoscute;

f) să utilizeze produse asociate semnăturii electronice, cu un înalt grad de fiabilitate, care sunt protejate împotriva modificărilor și care asigură securitatea tehnică și criptografică a desfășurării activităților de certificare a semnăturii electronice;

g) să adopte măsuri împotriva falsificării certificatelor și să garanteze confidențialitatea în cursul procesului de generare a datelor de creare a semnăturilor, în cazul în care furnizorii de servicii de certificare generează astfel de date;

h) să păstreze toate informațiile cu privire la un certificat calificat pentru o perioadă de minimum 10 ani de la data încetării valabilității certificatului, în special pentru a putea face dovada certificării în cadrul unui eventual litigiu;

i) să nu stocheze, să nu reproducă și să nu dezvăluie terților datele de creare a semnăturii, cu excepția cazului în care semnatarul solicită aceasta;

j) să utilizeze sisteme fiabile pentru stocarea certificatelor calificate, astfel încât: numai persoanele autorizate să poată introduce și modifica informațiile din certificate; exactitatea informației să poată fi verificată; certificatele să poată fi consultate de terți doar în cazul în care există acordul titularului acestora; orice modificare tehnică, care ar putea pune în pericol aceste condiții de securitate, să poată fi identificată de persoanele autorizate;

k) orice alte condiții stabilite de autoritatea de reglementare și supraveghere specializată în domeniu. 

Art. 21. ‒ Furnizorii de servicii de certificare calificată sunt obligați să folosească numai dispozitive securizate de creare a semnăturii electronice. 

Art. 22. ‒ (1) Furnizorul de servicii de certificare calificată trebuie să dispună de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfășurării activităților legate de certificarea semnăturilor electronice. 

(2) Asigurarea se realizează fie prin subscrierea unei polițe de asigurare la o societate de asigurări, fie prin intermediul unei scrisori de garanție din partea unei instituții financiare de specialitate, fie printr-o altă modalitate stabilită prin decizie a autorității de reglementare și supraveghere specializate în domeniu. 

(3) Suma asigurată și suma acoperită prin scrisoarea de garanție sunt stabilite de autoritatea de reglementare și supraveghere specializată în domeniu. 

SECȚIUNEA 3

Suspendarea și încetarea valabilității certificatelor

Art. 23. ‒ (1) Orice furnizor de servicii de certificare are obligația de a suspenda certificatul în termen de 24 de ore din momentul în care a luat cunoștință sau trebuia și putea să ia cunoștință despre apariția oricăruia dintre următoarele cazuri:

a) la cererea semnatarului, după o prealabilă verificare a identității acestuia;

b) în cazul în care o hotărâre judecătorească dispune suspendarea;

c) în cazul în care informațiile conținute în certificat nu mai corespund realității, dacă nu se impune revocarea certificatului;

d) în orice alte situații care constituie cazuri de suspendare a certificatelor eliberate, potrivit procedurilor de securitate și de certificare declarate de furnizor în baza art. 13. 

(2) Orice furnizor de servicii de certificare are obligația de a revoca certificatul în termen de 24 de ore din momentul în care a luat cunoștință sau trebuia și putea să ia cunoștință despre apariția oricăruia dintre următoarele cazuri:

a) la cererea semnatarului, după o prealabilă verificare a identității acestuia;

b) la decesul sau punerea sub interdicție a semnatarului;

c) în cazul în care o hotărâre judecătorească definitivă dispune revocarea;

d) dacă se dovedește în mod neîndoielnic că certificatul a fost emis în baza unor informații eronate sau false;

e) în cazul în care informațiile esențiale conținute în certificat nu mai corespund realității;

f) atunci când confidențialitatea datelor de creare a semnăturii a fost încălcată;

g) în cazul în care certificatul a fost utilizat în mod fraudulos;

h) în orice alte situații care constituie cazuri de revocare a certificatelor eliberate, potrivit procedurilor de securitate și de certificare declarate de furnizor în baza art. 13. 

(3) Furnizorul de servicii de certificare îl va informa de urgență pe titular despre suspendarea sau revocarea certificatului, împreună cu motivele care au stat la baza deciziei sale. 

(4) Furnizorul de servicii de certificare va înscrie mențiunea de suspendare sau de revocare a certificatului în registrul electronic de evidență a certificatelor eliberate prevăzut la art. 17, în termen de 24 de ore din momentul în care a luat cunoștință sau trebuia și putea să ia cunoștință despre adoptarea deciziei respective. 

(5) Suspendarea sau revocarea va deveni opozabilă terților de la data înscrierii sale în registrul electronic de evidență a certificatelor. 

Art. 24. ‒ (1) În cazul în care furnizorul de servicii de certificare intenționează să înceteze activitățile legate de certificarea semnăturilor electronice sau află că va fi în imposibilitate de a continua aceste activități, el va informa, cu cel puțin 30 de zile înainte de încetare, autoritatea de reglementare și supraveghere specializată în domeniu despre intenția sa, respectiv despre existența și natura împrejurării care justifică imposibilitatea de continuare a activităților. 

(2) Furnizorului de servicii de certificare îi revine obligația ca, în situația în care se află în imposibilitate de a continua activitățile legate de certificarea semnăturilor electronice și nu a putut prevedea această situație cu cel puțin 30 de zile înainte ca încetarea activităților să se producă, să informeze autoritatea de reglementare și supraveghere specializată în domeniu, în termen de 24 de ore din momentul în care a luat cunoștință sau trebuia și putea să ia cunoștință despre imposibilitatea continuării activităților. Informarea trebuie să se refere la existența și natura împrejurării care justifică imposibilitatea de continuare a activităților. 

(3) Furnizorul de servicii de certificare poate transfera, în tot sau în parte, activitățile sale unui alt furnizor de servicii de certificare. Transferul va opera potrivit următoarelor condiții:

a) furnizorul de servicii de certificare va înștiința fiecare titular de certificate neexpirate, cu cel puțin 30 de zile înainte, despre intenția sa de transferare a activităților legate de certificarea semnăturilor electronice către un alt furnizor de servicii de certificare;

b) furnizorul de servicii de certificare va menționa identitatea furnizorului de servicii de certificare căruia intenționează să îi transfere activitățile sale;

c) furnizorul de servicii de certificare va face cunoscute fiecărui titular de certificat posibilitatea de a refuza acest transfer, precum și termenul și condițiile în care refuzul poate fi exercitat; în lipsa unei acceptări exprese a titularului, în termenul precizat de furnizorul de servicii de certificare, certificatul va fi revocat de către acesta din urmă. 

(4) Furnizorul de servicii de certificare, aflat în unul dintre cazurile prevăzute la alin. (1) și (2), ale cărui activități nu sunt preluate de un alt furnizor de servicii de certificare, va revoca certificatele în termen de 30 de zile de la data înștiințării titularilor de certificate și va lua măsurile necesare pentru asigurarea conservării arhivelor sale, precum și pentru asigurarea prelucrării datelor personale, în condițiile legii. 

(5) Sunt considerate cazuri de imposibilitate de continuare a activităților legate de certificarea semnăturilor electronice, în înțelesul prezentului articol, dizolvarea sau lichidarea, voluntară ori judiciară, falimentul, precum și orice altă cauză de încetare a activității, cu excepția aplicării sancțiunilor prevăzute la art. 33 alin. (2) și (3). 

CAPITOLUL IV

Monitorizare și control

SECȚIUNEA 1

Autoritatea de reglementare și supraveghere

Art. 25. ‒ Responsabilitatea aplicării dispozițiilor prezentei legi și a reglementărilor legate de aceasta revine autorității de reglementare și supraveghere specializate în domeniu1)

Art. 26. ‒ (1) În termen de cel mult 18 luni de la data publicării legii în Monitorul Oficial al României, Partea I, se va înființa autoritatea publică specializată, cu atribuții de reglementare și de supraveghere în domeniu, în sensul prezentei legi. 

(2) Până la înființarea autorității menționate la alin. (1) atribuțiile acesteia, în sensul prezentei legi, revin Ministerului pentru Societatea Informațională1)

Art. 27. ‒ Ministerul pentru Societatea Informațională poate delega, în tot sau în parte, atribuțiile sale de supraveghere, în sensul prezentei legi, unei alte autorități publice aflate în coordonare. 

Art. 28. ‒ (1) La data intrării în vigoare a prezentei legi se înființează Registrul furnizorilor de servicii de certificare, denumit în continuare Registru, care se constituie și se actualizează de către autoritatea de reglementare și supraveghere specializată în domeniu. De la data înființării autorității publice specializate prevăzute la art. 26 Registrul va fi preluat și actualizat de această autoritate. 

(2) Registrul constituie evidența oficială:

a) a furnizorilor de servicii de certificare care au sediul în România;

b) a furnizorilor de servicii de certificare cu sediul sau domiciliul în alt stat, ale căror certificate calificate sunt recunoscute conform art. 40. 

(3) Registrul are rolul de a asigura, prin efectuarea înregistrărilor prevăzute de prezenta lege, stocarea datelor de identificare și a unor informații legate de activitatea furnizorilor de servicii de certificare, precum și informarea publicului cu privire la datele și informațiile stocate. 

(4) Conținutul și structura Registrului se stabilesc, prin reglementări, de către autoritatea de reglementare și supraveghere specializată în domeniu. 

Art. 29. ‒ (1) Înregistrarea în Registrul prevăzut la art. 28 a datelor de identificare și a informațiilor necesare cu privire la activitatea furnizorilor de servicii de certificare menționați la art. 28 alin. (2) se efectuează pe bază de cerere individuală, care trebuie introdusă la autoritatea de reglementare și supraveghere specializată în domeniu, cel mai târziu la data începerii activității furnizorului. 

(2) Conținutul obligatoriu al cererii prevăzute la alin. (1) și documentația necesară se stabilesc prin reglementări de către autoritatea de reglementare și supraveghere specializată în domeniu. 

Art. 30. ‒ (1) Registrul este public și se actualizează permanent. 

(2) Condițiile ținerii Registrului, accesul efectiv la informațiile pe care le conține, informațiile care pot fi oferite solicitanților și modul de actualizare a acestuia se stabilesc prin normele tehnice și metodologice emise de autoritatea de reglementare și supraveghere specializată în domeniu. 

SECȚIUNEA 2

Supravegherea activității furnizorilor de servicii de certificare

Art. 31. ‒ (1) Autoritatea de reglementare și supraveghere specializată în domeniu va putea, din oficiu sau la solicitarea oricărei persoane interesate, să verifice sau să dispună verificarea conformității activităților unui furnizor de servicii de certificare cu dispozițiile prezentei legi sau cu reglementări emise de către autoritatea de reglementare și supraveghere specializată în domeniu. 

(2) Atribuțiile de control ce revin autorității de reglementare și supraveghere specializate în domeniu, potrivit alin. (1), sunt exercitate de personalul anume împuternicit în acest sens. 

(3) În vederea exercitării controlului, personalul cu atribuții de control este autorizat:

a) să aibă acces liber, permanent, în orice loc în care se află echipamentele necesare furnizării de servicii de certificare, în condițiile legii;

b) să solicite orice document sau informație necesară în vederea realizării controlului;

c) să verifice punerea în aplicare a oricăror proceduri de securitate sau de certificare utilizate de furnizorul de servicii de certificare supus controlului;

d) să sigileze orice echipamente necesare furnizării de servicii de certificare sau să rețină orice document ce are legătură cu această activitate, pe o perioadă care nu poate depăși 15 zile, dacă această măsură se impune;

e) să ia orice alte asemenea măsuri, în limitele legii. 

(4) Personalul cu atribuții de control este obligat:

a) să nu dezvăluie datele de care a luat cunoștință cu ocazia exercitării atribuțiilor sale;

b) să păstreze confidențialitatea surselor de informații în legătură cu sesizările sau plângerile primite. 

Art. 32. ‒ (1) Furnizorii de servicii de certificare au obligația de a facilita exercitarea atribuțiilor de control de către personalul anume împuternicit în acest sens. 

(2) În cazul neîndeplinirii obligației prevăzute la alin. (1), în afară de aplicarea sancțiunii prevăzute la art. 44 lit. c), autoritatea de reglementare și supraveghere specializată în domeniu va putea să suspende activitatea furnizorului până la data la care acesta va coopera cu personalul de control. 

Art. 33. ‒ (1) Dacă în urma controlului efectuat se constată nerespectarea dispozițiilor prezentei legi și a reglementărilor emise de autoritatea de reglementare și supraveghere specializată în domeniu, aceasta va solicita furnizorului de servicii de certificare să se conformeze, în termenul pe care îl va stabili, dispozițiilor legale. În acest caz, autoritatea de reglementare și supraveghere specializată în domeniu poate dispune suspendarea activității furnizorului. 

(2) Neîndeplinirea în termenul stabilit a obligației de conformare prevăzute la alin. (1) constituie motiv pentru autoritatea de reglementare și supraveghere specializată în domeniu de a dispune încetarea activității furnizorului de servicii de certificare și radierea acestuia din Registru. 

(3) În cazul în care se constată o încălcare gravă a dispozițiilor legale, autoritatea de reglementare și supraveghere specializată în domeniu poate dispune direct și imediat încetarea activității furnizorului de servicii de certificare și radierea acestuia din Registru. 

Art. 34. ‒ (1) În cazul în care dispune încetarea activității unui furnizor de servicii de certificare, autoritatea de reglementare și supraveghere specializată în domeniu va asigura fie revocarea certificatelor furnizorului de servicii de certificare și ale semnatarilor, fie preluarea activității sau cel puțin a registrului electronic de evidență a certificatelor eliberate și a serviciului de revocare a acestora de către un alt furnizor de servicii de certificare, cu acordul acestuia. 

(2) Semnatarii vor fi informați imediat de autoritatea de reglementare și supraveghere specializată în domeniu despre încetarea activității furnizorului, precum și despre revocarea certificatelor sau preluarea acestora de către un alt furnizor. 

(3) Dacă activitatea furnizorului de servicii de certificare nu este preluată de către un alt furnizor, furnizorul de servicii de certificare este obligat să asigure revocarea tuturor certificatelor eliberate de el. Autoritatea de reglementare și supraveghere specializată în domeniu va revoca certificatele, pe cheltuiala furnizorului, dacă acesta nu își îndeplinește obligația. 

(4) Autoritatea de reglementare și supraveghere specializată în domeniu va prelua și va menține arhivele și registrul electronic de evidență a certificatelor eliberate de furnizorul de servicii de certificare a cărui activitate nu a fost preluată de către un alt furnizor. 

Art. 35. ‒ (1) Radierea furnizorilor de servicii de certificare din Registru se efectuează pe baza comunicării făcute de către furnizor autorității de reglementare și supraveghere specializate în domeniu cu cel puțin 30 de zile înainte de data încetării activității sale. 

(2) Radierea se poate efectua și din oficiu de către autoritatea de reglementare și supraveghere specializată în domeniu, în situația în care aceasta constată pe orice altă cale că furnizorul și-a încetat activitatea. 

SECȚIUNEA 3

Acreditarea voluntară

Art. 36. ‒ (1) În scopul asigurării unui grad sporit de securitate a operațiunilor și al protejării corespunzătoare a drepturilor și intereselor legitime ale beneficiarilor de servicii de certificare, furnizorii de servicii de certificare care doresc să își desfășoare activitatea ca furnizori acreditați pot solicita obținerea unei acreditări din partea autorității de reglementare și supraveghere specializate în domeniu. 

(2) Condițiile și procedura acordării, suspendării și retragerii deciziei de acreditare, conținutul acestei decizii, durata ei de valabilitate, precum și efectele suspendării și ale retragerii deciziei se stabilesc de autoritatea de reglementare și supraveghere specializată în domeniu, prin reglementări, cu respectarea principiilor obiectivității, transparenței, proporționalității și tratamentului nediscriminatoriu

Art. 37. ‒ (1) Furnizorii de servicii de certificare acreditați în condițiile prezentei legi au dreptul de a folosi o mențiune distinctivă care să se refere la această calitate în toate activitățile pe care le desfășoară, legate de certificarea semnăturilor. 

(2) Furnizorii de servicii de certificare acreditați în condițiile prezentei legi sunt obligați să solicite efectuarea unei mențiuni în acest sens în Registru. 

SECȚIUNEA 4

Omologarea

Art. 38. ‒ (1) Conformitatea dispozitivelor securizate de creare a semnăturii electronice cu prevederile prezentei legi se verifică de către agenții de omologare, persoane juridice de drept public sau de drept privat, agreate de autoritatea de reglementare și supraveghere specializată în domeniu, în condițiile stabilite prin reglementări emise de aceasta. 

(2) În urma îndeplinirii procedurii de verificare se emite certificatul de omologare a dispozitivului securizat de creare a semnăturii electronice. Certificatul poate fi retras în cazul în care agenția de omologare constată că dispozitivul securizat de creare a semnăturii electronice nu mai îndeplinește una dintre condițiile prevăzute în prezenta lege. 

(3) Condițiile și procedura de agreare a agențiilor de omologare se stabilesc prin reglementări de către autoritatea de reglementare și supraveghere specializată în domeniu. 

(4) Decizia de agreare se emite de către autoritatea de reglementare și supraveghere specializată în domeniu. 

Art. 39. ‒ (1) Autoritatea de reglementare și supraveghere specializată în domeniu veghează la respectarea, de către agențiile de omologare, a prevederilor prezentei legi, a reglementărilor emise, precum și a dispozițiilor cuprinse în decizia de agreare. 

(2) Prevederile art. 31-32 se aplică în mod corespunzător controlului exercitat de autoritatea de reglementare și supraveghere specializată în domeniu asupra activității agențiilor de omologare. 

CAPITOLUL V

Recunoașterea certificatelor eliberate de furnizorii de servicii de certificare străini

Art. 40. ‒ Certificatul calificat eliberat de către un furnizor de servicii de certificare cu domiciliul sau cu sediul într-un alt stat este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul în România, dacă:

a) furnizorul de servicii de certificare cu domiciliul sau sediul în alt stat a fost acreditat în cadrul regimului de acreditare, în condițiile prevăzute de prezenta lege;

b) un furnizor de servicii de certificare acreditat, cu domiciliul sau cu sediul în România, garantează certificatul;

c) certificatul sau furnizorul de servicii de certificare care l-a eliberat este recunoscut prin aplicarea unui acord bilateral sau multilateral între România și alte state sau organizații internaționale, pe bază de reciprocitate. 

CAPITOLUL VI

Răspunderea furnizorilor de servicii de certificare

Art. 41. ‒ Furnizorul de servicii de certificare, care eliberează certificate prezentate ca fiind calificate sau care garantează asemenea certificate, este răspunzător pentru prejudiciul adus oricărei persoane care își întemeiază conduita pe efectele juridice ale respectivelor certificate:

a) în ceea ce privește exactitatea, în momentul eliberării certificatului, a tuturor informațiilor pe care le conține;

b) în ceea ce privește asigurarea că, în momentul eliberării certificatului, semnatarul identificat în cuprinsul acestuia deținea datele de generare a semnăturii corespunzătoare datelor de verificare a semnăturii menționate în respectivul certificat;

c) în ceea ce privește asigurarea că datele de generare a semnăturii corespund datelor de verificare a semnăturii, în cazul în care furnizorul de servicii de certificare le generează pe amândouă;

d) în ceea ce privește suspendarea sau revocarea certificatului, în cazurile și cu respectarea condițiilor prevăzute la art. 24 alin. (1) și (2);

e) în privința îndeplinirii tuturor obligațiilor prevăzute la art. 13-17 și la art. 19-22, cu excepția cazurilor în care furnizorul de servicii de certificare probează că, deși a depus diligența necesară, nu a putut împiedica producerea prejudiciului. 

Art. 42. ‒ (1) Furnizorul de servicii de certificare poate să indice în cuprinsul unui certificat calificat restricții ale utilizării acestuia, precum și limite ale valorii operațiunilor pentru care acesta poate fi utilizat, cu condiția ca respectivele restricții să poată fi cunoscute de terți. 

(2) Furnizorul de servicii de certificare nu va fi răspunzător pentru prejudiciile rezultând din utilizarea unui certificat calificat cu încălcarea restricțiilor prevăzute în cuprinsul acestuia. 

CAPITOLUL VII

Obligațiile titularilor de certificate

Art. 43. ‒ Titularii de certificate sunt obligați să solicite, de îndată, revocarea certificatelor, în cazul în care:

a) au pierdut datele de creare a semnăturii electronice;

b) au motive să creadă că datele de creare a semnăturii electronice au ajuns la cunoștința unui terț neautorizat;

c) informațiile esențiale cuprinse în certificat nu mai corespund realității. 

CAPITOLUL VIII

Contravenții și sancțiuni

Art. 44. ‒ Constituie contravenție, dacă, potrivit legii, nu constituie infracțiune, și se sancționează cu amendă de la 500 lei la 10.000 lei fapta furnizorului de servicii de certificare care:

a) omite să efectueze notificarea prevăzută la art. 13 alin. (1);

b) omite să informeze autoritatea de reglementare și supraveghere specializată în domeniu asupra procedurilor de securitate și de certificare utilizate, în condițiile și cu respectarea termenelor prevăzute la art. 13;

c) nu își îndeplinește obligația de a facilita exercitarea atribuțiilor de control de către personalul autorității de reglementare și supraveghere specializate în domeniu, anume împuternicit în acest sens;

d) realizează transferul activităților legate de certificarea semnăturilor electronice cu nerespectarea prevederilor art. 24 alin. (3). 

Art. 45. ‒ Constituie contravenție, dacă, potrivit legii, nu constituie infracțiune, și se sancționează cu amendă de la 1.000 lei la 25.000 lei fapta furnizorului de servicii de certificare care:

a) nu furnizează persoanelor menționate la art. 14 alin. (1), în condițiile prevăzute la art. 14 alin. (1) și (2), informațiile obligatorii prevăzute la art. 14 alin. (3) ori nu furnizează toate aceste informații sau furnizează informații inexacte;

b) încalcă obligațiile privitoare la prelucrarea datelor cu caracter personal prevăzute la art. 16;

c) omite să efectueze înregistrările obligatorii, potrivit legii, în registrul electronic de evidență a certificatelor eliberate, prevăzut la art. 17, sau le efectuează cu nerespectarea termenului prevăzut la art. 14 alin. (5), art. 23 alin. (1) sau (2) ori înregistrează mențiuni inexacte;

d) eliberează certificate prezentate titularilor ca fiind calificate, care nu conțin toate mențiunile obligatorii prevăzute la art. 18;

e) eliberează certificate calificate care conțin informații inexacte, informații care sunt contrare legii, bunelor moravuri sau ordinii publice, ori informații a căror exactitate nu a fost verificată în condițiile prevăzute la art. 18 alin. (4);

f) eliberează certificate calificate fără a verifica identitatea solicitantului, în condițiile prevăzute la art. 19;

g) omite să ia măsuri de natură să garanteze confidențialitatea în cursul procesului de generare a datelor de creare a semnăturilor, în cazul în care furnizorul de servicii de certificare generează astfel de date;

h) nu păstrează toate informațiile cu privire la un certificat calificat o perioadă de minimum 5 ani de la data încetării valabilității certificatului;

i) stochează, reproduce sau dezvăluie terților datele de creare a semnăturii electronice, cu excepția cazului în care semnatarul solicită aceasta, în cazul în care furnizorul eliberează certificate calificate;

j) stochează certificatele calificate într-o formă care nu respectă condițiile prevăzute la art. 20 lit. j);

k) utilizează dispozitive de creare a semnăturii electronice, care nu îndeplinesc condițiile prevăzute la art. 4 pct. 8, în cazul în care furnizorul de servicii de certificare eliberează certificate calificate;

l) în cazul în care intenționează să înceteze activitățile legate de certificarea semnăturilor electronice sau în oricare dintre situațiile prevăzute la art. 24 alin. (5), când află că va fi în imposibilitate de a continua aceste activități, nu informează cu cel puțin 30 de zile înainte de încetarea activităților autoritatea de reglementare și supraveghere specializată în domeniu despre intenția sa, respectiv despre existența și natura împrejurării care justifică imposibilitatea de continuare a activităților;

m) în oricare dintre situațiile prevăzute la art. 24 alin. (5), când se află în imposibilitate de a continua activitățile legate de certificarea semnăturilor electronice și nu a putut prevedea această situație cu cel puțin 30 de zile înainte ca încetarea activităților să se producă, nu a informat autoritatea de reglementare și supraveghere specializată în domeniu în termenul prevăzut la art. 24 alin. (2) despre existența și natura împrejurării care justifică imposibilitatea de continuare a activităților;

n) aflându-se în unul dintre cazurile prevăzute la art. 24 alin. (1) și (2), omite să ia măsurile necesare pentru asigurarea conservării arhivelor sale sau pentru asigurarea prelucrării datelor cu caracter personal în condițiile legii;

o) nu suspendă sau nu revocă certificatele eliberate, în cazurile în care suspendarea sau revocarea este obligatorie, sau le revocă cu nerespectarea termenului legal;

p) continuă să desfășoare activități legate de certificarea semnăturilor electronice în situația în care autoritatea de reglementare și supraveghere specializată în domeniu a dispus suspendarea sau încetarea activității furnizorului de servicii de certificare;

q) eliberează certificate sau desfășoară alte activități legate de certificarea semnăturilor electronice, folosindu-se fără a avea dreptul de calitatea de furnizor de servicii de certificare acreditat, prin prezentarea unei mențiuni distinctive care să se refere la această calitate sau prin orice alte mijloace;

r) omite să solicite, în termenul prevăzut la art. 29 alin. (1), înregistrarea în Registru a datelor și informațiilor menționate la art. 29. 

Art. 46. ‒ Încălcarea de către agenția de omologare a obligației de a facilita exercitarea atribuțiilor de control de către personalul autorității de reglementare și supraveghere specializate în domeniu, anume împuternicit în acest sens, constituie contravenție și se sancționează cu amendă de la 1.500 lei la 25.000 lei. 

Art. 47. ‒ Constatarea contravențiilor și aplicarea sancțiunilor prevăzute în cadrul prezentului capitol sunt de competența personalului cu atribuții de control din cadrul autorității de reglementare și supraveghere specializate în domeniu. 

Art. 48. ‒ Contravențiilor prevăzute în prezentul capitol le sunt aplicabile prevederile Legii nr. 32/19682) privind stabilirea și sancționarea contravențiilor. 

CAPITOLUL IX

Dispoziții finale

Art. 49. ‒ (1) Nivelul tarifelor percepute de agențiile de omologare pentru prestarea serviciilor de omologare a dispozitivelor securizate de creare a semnăturii electronice, precum și pentru serviciile accesorii se stabilește în mod liber, cu respectarea prevederilor Legii concurenței nr. 21/1996, republicată. 

(2) Agențiile menționate la alin. (1) pot percepe tarife cu niveluri diferite pentru zone geografice diferite sau pentru serviciile prestate în regim de urgență, pentru înscrierile on-line, potrivit propriilor strategii comerciale, cu respectarea dispozițiilor legale. 

(3) Sunt interzise agențiilor de omologare și împuterniciților acestora publicarea de tabele comparative privind nivelul tarifelor și adoptarea oricăror măsuri al căror scop este să limiteze reclama privind nivelul tarifelor încasate de alte agenții pentru serviciile prestate. 

Art. 50. ‒ (1) Agențiile de omologare sunt supuse prevederilor Legii concurenței nr. 21/1996, republicată, în ceea ce privește stabilirea tarifelor percepute pentru serviciile prestate, precum și în privința actelor sau faptelor care au sau pot avea ca efect restrângerea concurenței pe piața serviciilor respective. 

(2) Agențiile de omologare sunt, de asemenea, supuse prevederilor Legii nr. 11/1991 privind combaterea concurenței neloiale, cu modificările și completările ulterioare. 

Art. 51. ‒ Cuantumul amenzilor prevăzute de prezenta lege va fi actualizat prin hotărâre a Guvernului, în funcție de evoluția indicelui de inflație. 

Art. 52. ‒ În termen de 3 luni de la data publicării prezentei legi în Monitorul Oficial al României, Partea I, autoritatea de reglementare și supraveghere specializată în domeniu va elabora norme tehnice și metodologice3) de aplicare a acesteia. 

Art. 53. ‒ Prezenta lege va intra în vigoare la data publicării ei în Monitorul Oficial al României, Partea I, și se pune în aplicare la 3 luni de la data intrării în vigoare. 



*) Republicată în temeiul art. 248 din Legea nr. 187/2012 pentru punerea în aplicare a Legii nr. 286/2009 privind Codul penal, publicată în Monitorul Oficial al României, Partea I, nr. 757 din 12 noiembrie 2012, rectificată în Monitorul Oficial al României, Partea I, nr. 117 din 1 martie 2013, cu modificările ulterioare, dându-se textelor o nouă numerotare. 

Legea nr. 455/2001 a fost publicată în Monitorul Oficial al României, Partea I, nr. 429 din 31 iulie 2001. 

1) În prezent, Ministerul pentru Societatea Informațională exercită atribuțiile autorității de reglementare și supraveghere în domeniul semnăturii electronice, prevăzute de Legea nr. 455/2001 privind semnătura electronică, conform art. 4 pct. 57 din Hotărârea Guvernului nr. 548/2013 privind organizarea și funcționarea Ministerului pentru Societatea Informațională, publicată în Monitorul Oficial al României, Partea I, nr. 492 din 5 august 2013, cu modificările ulterioare. 

2) Legea nr. 32/1968 privind stabilirea și sancționarea contravențiilor, publicată în Buletinul Oficial, Partea I, nr. 148 din 14 noiembrie 1968, cu modificările și completările ulterioare, a fost abrogată prin Ordonanța Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, publicată în Monitorul Oficial al României, Partea I, nr. 410 din 25 iulie 2001 și rectificată prin Monitorul Oficial al României, Partea I, nr. 584 din 18 septembrie 2001, aprobată cu modificări și completări prin Legea nr. 180/2002, publicată în Monitorul Oficial al României, Partea I, nr. 268 din 22 aprilie 2002, cu modificările și completările ulterioare. 

3) A se vedea Hotărârea Guvernului nr. 1.259/2001 privind aprobarea Normelor tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, publicată în Monitorul Oficial al României, Partea I, nr. 847 din 28 decembrie 2001, cu modificările ulterioare.