Transazioni più sicure su Internet

SINTESI DI:

Regolamento (UE) n. 910/2014: identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

SINTESI

CHE COSA FA IL REGOLAMENTO?

• Il regolamento sull’identificazione elettronica e i servizi fiduciari (eIDAS) crea un nuovo quadro giuridico europeo per interazioni elettroniche sicure in tutta l'UE fra aziende, cittadini e autorità pubbliche.
• Mira a innalzare la fiducia nelle transazioni elettroniche nell’UE, per aumentare l’efficacia dei servizi online pubblici e privati e dell’e-commerce. Si applica a:
  • regimi di identificazione elettronica notificati alla Commissione europea dai paesi dell’UE;
  • fornitori di servizi fiduciari con sede nell’UE.
• Rimuove le barriere esistenti all’impiego dell’identificazione elettronica nell’UE. Per esempio, un’azienda portoghese potrà ora partecipare direttamente a una gara d’appalto per la fornitura di servizi pubblici in Svezia, mentre l’assegnazione dei finanziamenti dell’UE può essere gestita completamente online.

PUNTI CHIAVE

Identificazione elettronica

• L’identificazione elettronica rilasciata in un paese dell’UE deve essere riconosciuta in tutti gli altri. Ciò si applica solo se l’identificazione elettronica soddisfa i requisiti del regolamento ed è stata notificata alla Commissione e pubblicata in un apposito elenco. Il riconoscimento reciproco di identificazioni elettroniche, sarà obbligatorio a partire dal 28 settembre 2018 e semplificherà le transazioni elettroniche sicure in tutta l’UE.
• Un regime di identificazione elettronica deve specificare uno dei tre livelli di garanzia (basso, significativo, elevato) per la forma di identificazione elettronica rilasciata da tale regime. Il riconoscimento reciproco è obbligatorio solo quando l’organismo pubblico interessato usa i livelli «significativo» o «elevato» per accedere a tale servizio online.

Notifica

• Quando notificano alla Commissione i regimi di identificazione elettronica, i paesi dell’UE devono fornire informazioni su aspetti quali:
  • i livelli di garanzia e l’emittente dell'identificazione elettronica di tale regime;
  • i regimi di responsabilità e di vigilanza applicabili;
  • l’organismo che gestisce la registrazione dei singoli dati di identificazione personale.
• In caso di violazione della sicurezza nel regime o nell’autenticazione dell’identificazione elettronica, il paese dell’UE notificante deve:
  • sospendere/revocare rapidamente l’autenticazione a livello dell’UE o le parti compromesse del programma e
  • informare gli altri paesi dell’UE e la Commissione.

Responsabilità

• In qualsiasi transazione fra i paesi dell’UE in cui non vengano rispettati gli obblighi previsti dal regolamento, possono essere ritenuti responsabili dei danni causati intenzionalmente o negligentemente a qualsiasi persona o organismo:
  • il paese dell’UE notificante;
  • la parte che rilascia l’identificazione elettronica;
  • la parte che gestisce la procedura di autenticazione.

Cooperazione e operabilità fra paesi dell’UE

• I regimi nazionali di identificazione elettronica notificati devono essere interoperabili. Il quadro di interoperabilità deve essere neutrale dal punto di vista tecnologico, ossia non favorire alcuna soluzione tecnica nazionale per l’identificazione elettronica.

Servizi fiduciari

• Il regolamento definisce servizi fiduciari i servizi a pagamento che comprendono:
  • la creazione, la verifica, la convalida, la consegna e la conservazione di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, servizi elettronici di recapito certificato e i certificati relativi a tali servizi;
  • la creazione, la verifica, la convalida, di certificati per l'autenticazione di siti web;
  • la conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.
• I fornitori di servizi fiduciari con sede nell’UE sono considerati «qualificati» se soddisfano i requisiti applicabili del regolamento. Sono autorizzati giuridicamente a fornire servizi fiduciariqualificati (ad esempio firme, sigilli o certificati elettronici qualificati) in tutti i paesi dell’UE. I servizi fiduciari offerti da fornitori di paesi terzi possono essere considerati giuridicamente equivalenti a quelli qualificati, ma solo dopo un accordo fra l’UE e il paese terzo o un’organizzazione internazionale interessata.

Vigilanza

• I paesi dell’UE devono selezionare uno o più organismi che si occupino delle attività di vigilanza ai sensi del presente regolamento. Tali organismi devono cooperare con le autorità di protezione dei dati, se del caso.
• Tutti i fornitori di servizi fiduciari sono soggetti alla vigilanza e agli obblighi di gestione del rischio e di comunicazione di violazioni alla sicurezza.
• I fornitori di servizi fiduciari non qualificati sono soggetti a una vigilanza leggera, ossia l’organismo vigilante reagisce solo se il fornitore è sospettato di cattiva condotta.
• I fornitori di servizi fiduciari qualificati con sede nell’UE sono soggetti a vigilanza rigorosa, che comprende l’autorizzazione previa da parte degli organismi di vigilanza e la revisione dei conti almeno ogni due anni da parte di un’organizzazione che ne valuta la conformità alle norme previste dal regolamento.
• Un nuovo marchio di fiducia UE volontario identificherà i servizi fiduciari qualificati offerti da questo tipo di fornitori.

Una serie di atti adottati dalla Commissione europea nel corso del 2015 stabiliscono:

• Modalità procedurali per la cooperazione fra paesi dell'UE in materia di identificazione elettronica
• Specifiche relative alla forma del marchio di fiducia UE per i servizi fiduciari qualificati;
• Requisiti tecnici e operativi relativi al quadro di interoperabilità ;
• Specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica;
• Specifiche tecniche e formati relativi agli elenchi di fiducia;
• Specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere;
• Circostanze, formati e procedure della notifica in materia di identificazione elettronica

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

A decorrere dal 17 settembre 2014.

TERMINE CHIAVE

Identificazione elettronica: forme tangibili o intangibili di identificazione contenenti dati di identificazione personale, usati per autenticare un servizio online.

ATTO

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73-114)

Le successive modifiche al regolamento (UE) n. 910/2014 sono state integrate al testo originario. La presente versione consolidata ha unicamente valore documentale.

Ultimo aggiornamento: 17.03.2016