Help Print this page 

Document 32015R1502

Title and reference
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE)

OJ L 235, 9.9.2015, p. 7–20 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

9.9.2015   

IT

Gazzetta ufficiale dell'Unione europea

L 235/7


REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE

dell'8 settembre 2015

relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 8, paragrafo 3,

considerando quanto segue:

(1)

L'articolo 8 del regolamento (UE) n. 910/2014 prevede che un regime di identificazione elettronica notificato ai sensi dell'articolo 9, paragrafo 1, specifichi i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione elettronica rilasciati nell'ambito di detto regime.

(2)

La determinazione di specifiche, norme e procedure tecniche minime è essenziale per assicurare un'interpretazione comune dei dettagli dei livelli di garanzia e assicurare altresì, a norma dell'articolo 12, paragrafo 4, lettera b), del regolamento (UE) n. 910/2014, l'interoperabilità nella mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati in base ai livelli di garanzia di cui all'articolo 8 dello stesso.

(3)

Per le specifiche e le procedure fissate nel presente atto di esecuzione, la norma internazionale ISO/IEC 29115 è stata presa in considerazione come principale norma internazionale disponibile in materia di livelli di garanzia per i mezzi di identificazione elettronica. Tuttavia, il contenuto del regolamento (UE) n. 910/2014 differisce dalla suddetta norma internazionale, in particolare in relazione ai requisiti per il controllo e la verifica dell'identità e al modo in cui sono prese in considerazione le differenze tra le disposizioni degli Stati membri in materia di identità e gli strumenti esistenti nell'UE per le stesse finalità. Pertanto l'allegato, pur basandosi su tale norma internazionale, non dovrebbe fare riferimento ad alcun contenuto specifico della norma ISO/IEC 29115.

(4)

Il presente regolamento è stato elaborato in base a un approccio orientato ai risultati, ritenuto l'approccio più adeguato, che trova riscontro anche nelle definizioni utilizzate per precisare termini e concetti. Questi tengono conto dello scopo del regolamento (UE) n. 910/2014 in relazione ai livelli di garanzia dei mezzi di identificazione elettronica. Pertanto per stabilire le specifiche e le procedure fissate nel presente atto di esecuzione, si dovrebbero tenere nella massima considerazione sia il progetto pilota su vasta scala STORK, comprese le specifiche da esso elaborate, sia le definizioni e i concetti della norma ISO/IEC 29115.

(5)

In base al contesto in cui occorre verificare un elemento di prova dell'identità, le fonti autorevoli possono assumere varie forme, tra cui registri, documenti e organismi. Le fonti autorevoli possono variare da uno Stato membro all'altro, anche in presenza di un contesto analogo.

(6)

I requisiti per la prova e la verifica dell'identità dovrebbero tenere conto dei differenti sistemi e pratiche, garantendo allo stesso tempo un livello di garanzia sufficientemente elevato al fine di instaurare la fiducia necessaria. Pertanto l'accettazione di procedure utilizzate in precedenza per un fine diverso dal rilascio di mezzi di identificazione elettronica dovrebbe essere subordinata alla conferma della loro rispondenza ai requisiti previsti per il corrispondente livello di garanzia.

(7)

Sono generalmente utilizzati determinati fattori di autenticazione quali segreti condivisi, dispositivi fisici e attributi fisici. Tuttavia, al fine di aumentare la sicurezza del processo di autenticazione, dovrebbe essere promosso l'uso di un maggior numero di fattori di autenticazione, soprattutto appartenenti a categorie differenti.

(8)

Il presente regolamento non dovrebbe ledere i diritti di rappresentanza delle persone giuridiche. L'allegato tuttavia dovrebbe prevedere requisiti per la costituzione di un collegamento tra i mezzi di identificazione elettronica delle persone fisiche e delle persone giuridiche.

(9)

Dovrebbe essere riconosciuta l'importanza dei sistemi di gestione dei servizi e della sicurezza delle informazioni, nonché l'importanza del ricorso a metodologie riconosciute e dell'applicazione dei principi enunciati in norme quali quelle delle serie ISO/IEC 27000 e ISO/IEC 20000.

(10)

Dovrebbero essere prese in considerazione anche le buone prassi in relazione ai livelli di garanzia negli Stati membri.

(11)

La certificazione della sicurezza delle tecnologie informatiche basata su norme internazionali è uno strumento importante per la verifica della conformità dei prodotti ai requisiti di sicurezza previsti dal presente atto di esecuzione.

(12)

Il comitato di cui all'articolo 48 del regolamento (UE) n. 910/2014 non ha emesso un parere entro il termine stabilito dal suo presidente,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

1.   I livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato sono determinati facendo riferimento alle specifiche e alle procedure fissate nell'allegato.

2.   Le specifiche e le procedure fissate nell'allegato sono utilizzate per specificare il livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato determinando l'affidabilità e la qualità dei seguenti elementi:

a)

la registrazione, di cui alla sezione 2.1 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera a), del regolamento (UE) n. 910/2014;

b)

la gestione dei mezzi di identificazione elettronica, di cui alla sezione 2.2 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere b) e f), del regolamento (UE) n. 910/2014;

c)

l'autenticazione, di cui alla sezione 2.3 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera c), del regolamento (UE) n. 910/2014;

d)

la gestione e l'organizzazione, di cui alla sezione 2.4 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere d) ed e), del regolamento (UE) n. 910/2014.

3.   Se i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato soddisfano un requisito elencato in un livello di garanzia superiore, si ritiene che essi soddisfino il requisito equivalente di un livello di garanzia inferiore.

4.   Salvo indicazione contraria nella parte pertinente dell'allegato, ai fini della corrispondenza al livello di garanzia dichiarato devono essere soddisfatti tutti gli elementi elencati nell'allegato per lo specifico livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato.

Articolo 2

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, l'8 settembre 2015

Per la Commissione

Il presidente

Jean-Claude JUNCKER


(1)  GU L 257 del 28.8.2014, pag. 73.


ALLEGATO

Specifiche e procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato

1.   Definizioni applicabili

Ai fini del presente allegato si intende per:

(1)

«fonte autorevole», qualsiasi fonte, a prescindere dalla forma, sulla quale si possa fare affidamento per l'ottenimento di dati, informazioni e/o elementi di prova esatti da utilizzare per dimostrare l'identità;

(2)

«fattore di autenticazione», un fattore associato con certezza a una persona e rientrante in una delle seguenti categorie:

a)

«fattore di autenticazione basato sul possesso», un fattore di autenticazione che il soggetto è tenuto a dimostrare di possedere;

b)

«fattore di autenticazione basato sulla conoscenza», un fattore di autenticazione che il soggetto è tenuto a dimostrare di conoscere;

c)

«fattore di autenticazione intrinseco», un fattore di autenticazione basato su una caratteristica fisica di una persona fisica, che il soggetto è tenuto a dimostrare di possedere;

(3)

«autenticazione dinamica», un processo elettronico che utilizza la crittografia o altre tecniche per fornire un mezzo che consente di creare su richiesta una prova elettronica che attesti il controllo o il possesso dei dati di identificazione da parte del soggetto e che cambia ad ogni interazione di autenticazione tra il soggetto e il sistema che ne verifica l'identità;

(4)

«sistema di gestione della sicurezza delle informazioni», un insieme di processi e procedure intesi a gestire a livelli accettabili i rischi connessi alla sicurezza delle informazioni.

2.   Specifiche e procedure tecniche

Gli elementi delle procedure e delle specifiche tecniche descritti nel presente allegato sono utilizzati per determinare in che modo sono applicati i requisiti e i criteri di cui all'articolo 8 del regolamento (UE) n. 910/2014 per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica.

2.1.   Registrazione

2.1.1.   Domanda e registrazione

Livello di garanzia

Elementi necessari

Basso

1.

Accertarsi che il richiedente conosca i termini e le condizioni per l'uso del mezzo di identificazione elettronica.

2.

Accertarsi che il richiedente conosca le precauzioni di sicurezza raccomandate per l'uso del mezzo di identificazione elettronica.

3.

Raccogliere i dati identificativi necessari per il controllo e la verifica dell'identità.

Significativo

Come per il livello basso.

Elevato

Come per il livello basso.

2.1.2.   Controllo e verifica dell'identità (persona fisica)

Livello di garanzia

Elementi necessari

Basso

1.

La persona può essere ritenuta in possesso di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l'identità dichiarata.

2.

La prova può essere ritenuta autentica o esistente in virtù di una fonte autorevole ed è all'apparenza valida.

3.

L'esistenza dell'identità dichiarata è accertata mediante una fonte autorevole e si può presumere che la persona che sostiene di possederla sia la stessa e unica persona.

Significativo

Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 4:

1.

è stato verificato il possesso da parte della persona di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l'identità dichiarata

e

la prova è verificata per stabilirne l'autenticità oppure, secondo una fonte autorevole, esiste ed è collegata a una persona reale

e

sono state adottate misure per ridurre al minimo il rischio che l'identità della persona non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza della prova

o

2.

è presentato un documento d'identità durante un processo di registrazione nello Stato membro in cui è stato rilasciato il documento e quest'ultimo all'apparenza si riferisce alla persona che lo presenta

e

sono state adottate misure per ridurre al minimo il rischio che l'identità della persona non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza dei documenti

o

3.

ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.2 per il livello di garanzia significativo, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (1) o da un organismo equivalente

o

4.

se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia significativo o elevato, e tenendo conto dei rischi di variazione dei dati di identificazione personale, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia significativo o elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

Elevato

Devono essere rispettati i requisiti di cui al punto 1 o 2.

1.

Livello significativo, più una delle opzioni elencate di seguito alle lettere da a) a c):

a)

qualora sia stato verificato il possesso da parte della persona di una fotografia o di una prova di identificazione biometrica riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e qualora tale prova corrisponda all'identità dichiarata, la prova è verificata per stabilirne la validità in virtù di una fonte autorevole

e

il richiedente è identificato come corrispondente all'identità dichiarata tramite il confronto di una o più sue caratteristiche fisiche con una fonte autorevole

o

b)

ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.2 per il livello di garanzia elevato, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente

e

sono intraprese azioni per dimostrare che i risultati delle procedure utilizzate in precedenza sono ancora validi

o

c)

se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia elevato, e tenendo conto dei rischi di variazione dei dati di identificazione personale, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

e

sono intraprese azioni per dimostrare che i risultati della precedente procedura di rilascio di un mezzo di identificazione elettronica notificato sono ancora validi.

OPPURE

2.

Qualora il richiedente non presenti una fotografia o una prova di identificazione biometrica riconosciuta, sono applicate le stesse procedure utilizzate a livello nazionale nello Stato membro dell'entità responsabile della registrazione per l'ottenimento di tale fotografia o prova di identificazione biometrica riconosciuta.

2.1.3.   Controllo e verifica dell'identità (persona giuridica)

Livello di garanzia

Elementi necessari

Basso

1.

L'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica.

2.

La prova è all'apparenza valida e può essere ritenuta autentica, o esistente in virtù di una fonte autorevole, laddove l'inclusione della persona giuridica nella fonte autorevole sia volontaria e regolamentata da un accordo tra la persona giuridica e la fonte autorevole.

3.

A quanto risulta a una fonte autorevole, la persona giuridica non si trova in una condizione che le impedisce di agire in qualità di persona giuridica.

Significativo

Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 3:

1.

l'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica, compresi il nome della persona giuridica, la forma giuridica e, se del caso, il numero di registrazione

e

la prova è verificata per stabilirne l'autenticità o è ritenuta esistente in virtù di una fonte autorevole, ove l'inclusione della persona giuridica nella fonte autorevole sia necessaria perché la persona giuridica possa operare nel suo settore

e

sono state adottate misure per ridurre al minimo il rischio che l'identità della persona giuridica non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza dei documenti

o

2.

ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.3 per il livello di garanzia significativo, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente

o

3.

se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia significativo o elevato, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia significativo o elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

Elevato

Livello significativo, più una delle opzioni elencate di seguito ai punti da 1 a 3:

1.

l'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica, compresi il nome della persona giuridica, la forma giuridica e almeno un identificativo univoco che rappresenti la persona giuridica utilizzato in un contesto nazionale

e

la prova è verificata per stabilirne la validità in virtù di una fonte autorevole

o

2.

ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.3 per il livello di garanzia elevato, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente

e

sono intraprese azioni per dimostrare che i risultati di tale procedura utilizzata in precedenza sono ancora validi

o

3.

se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia elevato, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

e

sono intraprese azioni per dimostrare che i risultati della precedente procedura di rilascio di un mezzo di identificazione elettronica notificato sono ancora validi.

2.1.4.   Collegamento tra i mezzi di identificazione elettronica delle persone fisiche e delle persone giuridiche

Ove applicabile, per stabilire un collegamento tra il mezzo di identificazione elettronica di una persona fisica e il mezzo di identificazione elettronica di una persona giuridica («collegamento»), si applicano le seguenti condizioni.

(1)

Deve essere possibile sospendere e/o revocare un collegamento. Il ciclo di vita di un collegamento (ad esempio attivazione, sospensione, rinnovo, revoca) è gestito secondo procedure riconosciute a livello nazionale.

(2)

La persona fisica il cui mezzo di identificazione elettronica è collegato al mezzo di identificazione elettronica della persona giuridica può delegare l'esercizio del collegamento a un'altra persona fisica sulla base di procedure riconosciute a livello nazionale. Tuttavia la responsabilità continua a incombere alla persona fisica delegante.

(3)

Il collegamento è stabilito nel modo seguente:

Livello di garanzia

Elementi necessari

Basso

1.

È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello basso o a un livello superiore.

2.

Il collegamento è stabilito secondo procedure riconosciute a livello nazionale.

3.

A quanto risulta a una fonte autorevole, la persona fisica non si trova in una condizione che le impedisce di agire per conto della persona giuridica.

Significativo

Punto 3 del livello basso, più i seguenti elementi:

1.

È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello significativo o elevato.

2.

Il collegamento è stabilito secondo procedure riconosciute a livello nazionale, sfociate nella sua registrazione in una fonte autorevole.

3.

Il collegamento è verificato sulla base di informazioni provenienti da una fonte autorevole.

Elevato

Punto 3 del livello basso e punto 2 del livello significativo, più i seguenti elementi:

1.

È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello elevato.

2.

Il collegamento è verificato sulla base di un identificativo univoco che rappresenta la persona giuridica ed è utilizzato nel contesto nazionale, nonché sulla base di informazioni, provenienti da una fonte autorevole, che rappresentano in modo univoco la persona fisica.

2.2.   Gestione dei mezzi di identificazione elettronica

2.2.1.   Caratteristiche e concezione dei mezzi di identificazione elettronica

Livello di garanzia

Elementi necessari

Basso

1.

Il mezzo di identificazione elettronica utilizza almeno un fattore di autenticazione.

2.

Il mezzo di identificazione elettronica è concepito in modo tale che l'entità che lo rilascia adotti ragionevoli misure per accertare che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo.

Significativo

1.

Il mezzo di identificazione elettronica utilizza almeno due fattori di autenticazione appartenenti a categorie differenti.

2.

Il mezzo di identificazione elettronica è concepito in modo che si possa presupporre che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo.

Elevato

Livello significativo, più:

1.

Il mezzo di identificazione elettronica è protetto contro la duplicazione e la manomissione, nonché contro gli aggressori con un potenziale di attacco elevato (High).

2.

Il mezzo di identificazione elettronica è concepito in modo da poter essere protetto in modo affidabile dalla persona a cui appartiene per evitare che venga utilizzato da altri utenti.

2.2.2.   Rilascio, consegna e attivazione

Livello di garanzia

Elementi necessari

Basso

In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia ricevuto unicamente dal destinatario previsto.

Significativo

In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia consegnato unicamente alla persona a cui appartiene.

Elevato

Il processo di attivazione verifica che il mezzo di identificazione elettronica sia stato consegnato unicamente alla persona a cui appartiene.

2.2.3.   Sospensione, revoca e riattivazione

Livello di garanzia

Elementi necessari

Basso

1.

È possibile sospendere e/o revocare un mezzo di identificazione elettronica in modo tempestivo ed efficace.

2.

Esistono misure che impediscono la sospensione, la revoca e/o la riattivazione non autorizzate.

3.

La riattivazione è eseguita solo se continuano ad essere soddisfatti gli stessi requisiti di garanzia stabiliti prima della sospensione o della revoca.

Significativo

Come per il livello basso.

Elevato

Come per il livello basso.

2.2.4.   Rinnovo e sostituzione

Livello di garanzia

Elementi necessari

Basso

Tenendo conto dei rischi di variazione dei dati di identificazione personale, il rinnovo o la sostituzione deve soddisfare gli stessi requisiti di garanzia del controllo e della verifica dell'identità iniziali oppure si basa su un mezzo di identificazione elettronica valido che presenti lo stesso livello di garanzia o un livello superiore.

Significativo

Come per il livello basso.

Elevato

Livello basso, più:

Se il rinnovo o la sostituzione si basa su un mezzo di identificazione elettronica valido, i dati identificativi sono verificati con una fonte autorevole.

2.3.   Autenticazione

La presente sezione verte sulle minacce associate all'uso del meccanismo di autenticazione ed elenca i requisiti per ciascun livello di garanzia. Ai fini della presente sezione i controlli si intendono proporzionati ai rischi che sussistono a un dato livello.

2.3.1.   Meccanismo di autenticazione

Nella tabella riportata di seguito sono elencati i requisiti fissati per ciascun livello di garanzia in relazione al meccanismo di autenticazione, mediante il quale la persona fisica o giuridica utilizza il mezzo di identificazione elettronica per confermare la propria identità alla parte facente affidamento sulla certificazione.

Livello di garanzia

Elementi necessari

Basso

1.

La divulgazione dei dati di identificazione personale è preceduta dalla verifica affidabile del mezzo di identificazione elettronica e della sua validità.

2.

Qualora i dati di identificazione personale siano memorizzati nell'ambito del meccanismo di autenticazione, tali informazioni sono protette per evitarne la perdita o la compromissione, compresa l'analisi offline.

3.

Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco di base avanzato (Enhanced-Basic).

Significativo

Livello basso, più:

1.

La divulgazione dei dati di identificazione personale è preceduta dalla verifica affidabile del mezzo di identificazione elettronica e della sua validità tramite un'autenticazione dinamica.

2.

Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco moderato (Moderate).

Elevato

Livello significativo, più:

Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco elevato (High).

2.4.   Gestione e organizzazione

Tutti i partecipanti che forniscono un servizio correlato all'identificazione elettronica in un contesto transfrontaliero («fornitori») mettono in atto prassi documentate per la gestione della sicurezza delle informazioni, politiche, approcci alla gestione dei rischi e altri controlli riconosciuti in modo da dare agli opportuni organi di gestione responsabili dei regimi di identificazione elettronica nei rispettivi Stati membri la certezza dell'applicazione di prassi efficaci. Nell'intera sezione 2.4 tutti i requisiti/elementi si intendono come proporzionati ai rischi che sussistono a un dato livello.

2.4.1.   Disposizioni generali

Livello di garanzia

Elementi necessari

Basso

1.

I fornitori di qualsiasi servizio operativo disciplinato dal presente regolamento sono un'autorità pubblica o un'entità giuridica riconosciuta come tale dall'ordinamento giuridico di uno Stato membro, avente un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi.

2.

I fornitori rispettano gli obblighi giuridici cui sono soggetti in relazione all'esercizio e alla prestazione del servizio, compresi i tipi di informazioni che possono essere richiesti, le modalità secondo le quali è eseguito il controllo dell'identità e quali informazioni possono essere conservate e per quanto tempo.

3.

I fornitori sono in grado di dimostrare il possesso della capacità di assumere il rischio della responsabilità per danni, nonché di risorse finanziarie sufficienti per l'esercizio e la prestazione continuativi dei servizi.

4.

I fornitori sono responsabili del rispetto di qualsiasi impegno affidato a un'entità esterna e della relativa conformità alla politica del regime, come se fossero essi stessi a svolgere le funzioni.

5.

I regimi di identificazione elettronica non costituiti secondo il diritto nazionale prevedono un piano di cessazione efficace. Tale piano prevede l'interruzione regolata del servizio o la continuazione del servizio da parte di un altro fornitore, disciplina le modalità di comunicazione delle informazioni alle autorità competenti e agli utenti finali e contiene dettagli su come proteggere, conservare e distruggere i dati registrati conformemente alla politica del regime.

Significativo

Come per il livello basso.

Elevato

Come per il livello basso.

2.4.2.   Pubblicazione di avvisi e informazioni per gli utenti

Livello di garanzia

Elementi necessari

Basso

1.

Esiste una definizione del servizio pubblicata che comprende tutti i termini, le condizioni e le tariffe applicabili, incluse eventuali limitazioni d'uso. La definizione del servizio include un'informativa sulla privacy.

2.

Devono essere messe in atto politiche e procedure adeguate al fine di garantire che gli utenti siano informati in modo tempestivo e affidabile delle eventuali modifiche alla definizione del servizio e ai termini, alle condizioni e all'informativa sulla privacy applicabili per il servizio in questione.

3.

Devono essere messe in atto politiche e procedure adeguate affinché alle richieste di informazioni sia dato seguito con risposte complete ed esatte.

Significativo

Come per il livello basso.

Elevato

Come per il livello basso.

2.4.3.   Gestione della sicurezza delle informazioni

Livello di garanzia

Elementi necessari

Basso

Esiste un efficace sistema di gestione della sicurezza delle informazioni per la gestione e il controllo dei rischi per la sicurezza delle informazioni.

Significativo

Livello basso, più:

Il sistema di gestione della sicurezza delle informazioni si attiene a norme o principi comprovati per la gestione o il controllo dei rischi per la sicurezza delle informazioni.

Elevato

Come per il livello significativo.

2.4.4.   Registrazione dei dati

Livello di garanzia

Elementi necessari

Basso

1.

Registrare e conservare le informazioni pertinenti mediante un sistema di gestione delle registrazioni efficace, tenendo conto della normativa vigente e delle buone prassi in materia di protezione e conservazione dei dati.

2.

Conservare, nella misura consentita dalla legislazione nazionale o da altre disposizioni amministrative nazionali, e proteggere i dati registrati per il tempo necessario al fine di effettuare verifiche e indagini sulle violazioni della sicurezza e ai fini della conservazione dei dati, quindi distruggere i dati registrati in modo sicuro.

Significativo

Come per il livello basso.

Elevato

Come per il livello basso.

2.4.5.   Strutture e personale

Nella tabella riportata di seguito sono elencati i requisiti relativi alle strutture, al personale e ai subcontraenti, se del caso, che svolgono le funzioni disciplinate dal presente regolamento. La conformità a ciascuno dei requisiti è proporzionata al livello di rischio associato al livello di garanzia fornito.

Livello di garanzia

Elementi necessari

Basso

1.

Esistono procedure volte a garantire che il personale e i subcontraenti dispongano di una formazione, di qualifiche e di un'esperienza adeguate in relazione alle competenze richieste dal ruolo che occupano.

2.

Il personale e i subcontraenti sono in numero sufficiente a consentire un funzionamento e una fornitura adeguati del servizio nel rispetto delle politiche e delle procedure vigenti.

3.

Le strutture utilizzate per la fornitura del servizio sono costantemente monitorate e protette dai danni causati da eventi ambientali, accesso non autorizzato e altri fattori che possono incidere sulla sicurezza del servizio.

4.

Le strutture utilizzate per la fornitura del servizio garantiscono che l'accesso alle aree in cui sono conservate o trattate le informazioni personali, crittografiche o altre informazioni sensibili sia limitato al personale o ai subcontraenti autorizzati.

Significativo

Come per il livello basso.

Elevato

Come per il livello basso.

2.4.6.   Controlli tecnici

Livello di garanzia

Elementi necessari

Basso

1.

Esistono controlli tecnici proporzionati per la gestione dei rischi per la sicurezza dei servizi; tali controlli proteggono la riservatezza, l'integrità e la disponibilità delle informazioni trattate.

2.

I canali di comunicazione elettronici utilizzati per lo scambio delle informazioni personali o sensibili sono protetti dalle intercettazioni, dalla manipolazione e dagli attacchi di tipo replay.

3.

L'accesso al materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica è limitato ai ruoli e alle applicazioni per i quali è categoricamente richiesto. È fornita la garanzia che tale materiale non è mai conservato stabilmente come testo in chiaro.

4.

Esistono procedure a garanzia del mantenimento della sicurezza nel tempo e della capacità di reagire alla variazione dei livelli di rischio, agli incidenti e alle violazioni della sicurezza.

5.

Tutti i supporti contenenti informazioni personali, crittografiche o altre informazioni sensibili sono conservati, trasportati e smaltiti in modo sicuro e protetto.

Significativo

Come per il livello basso, più:

Il materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica e per fornire l'autenticazione è protetto dalla manomissione.

Elevato

Come per il livello significativo.

2.4.7.   Conformità e verifiche

Livello di garanzia

Elementi necessari

Basso

Sono eseguite verifiche interne periodiche calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente.

Significativo

Sono eseguite periodicamente verifiche indipendenti interne o esterne calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente.

Elevato

1.

Sono eseguite periodicamente verifiche esterne indipendenti calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente.

2.

Qualora sia gestito direttamente da un organismo pubblico, il regime è sottoposto a verifica in conformità con la legislazione nazionale.


(1)  Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).


Top