9.9.2015   

IT

Gazzetta ufficiale dell'Unione europea

L 235/37

DECISIONE DI ESECUZIONE (UE) 2015/1506 DELLA COMMISSIONE

dell'8 settembre 2015

che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all'articolo 27, paragrafo 5, e all'articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 27, paragrafo 5, e l'articolo 37, paragrafo 5,

considerando quanto segue:

(1)

È indispensabile che gli Stati membri si dotino degli strumenti tecnici necessari al trattamento dei documenti firmati elettronicamente che sono richiesti quando si utilizza un servizio online offerto da un organismo del settore pubblico o per suo conto.

(2)

Il regolamento (UE) n. 910/2014 obbliga gli Stati membri che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per l'uso di un servizio online offerto da un organismo del settore pubblico, o per suo conto, a riconoscere le firme e i sigilli elettronici avanzati, le firme e i sigilli elettronici avanzati basati su un certificato qualificato e le firme e i sigilli elettronici qualificati aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento.

(3)

Per definire i formati e i metodi di riferimento specifici, è opportuno tenere conto delle prassi, delle norme e degli atti giuridici dell'Unione esistenti.

(4)

La decisione di esecuzione 2014/148/UE (2) della Commissione ha definito una serie di formati di firma elettronica avanzata più comuni che gli Stati membri sono tenuti a supportare tecnicamente, qualora siano necessarie firme elettroniche avanzate per una procedura amministrativa online. La definizione di formati di riferimento è intesa a facilitare la convalida transfrontaliera delle firme elettroniche e a migliorare l'interoperabilità transfrontaliera delle procedure elettroniche.

(5)

Le norme elencate nell'allegato della presente decisione sono le norme esistenti in materia di formati di firma elettronica avanzata. A causa della revisione in corso, da parte degli enti di normazione, delle forme di archiviazione a lungo termine dei formati di riferimento, le norme relative all'archiviazione a lungo termine sono escluse dal campo di applicazione della presente decisione. Quando sarà disponibile la nuova versione delle norme di riferimento, i riferimenti alle norme e alle clausole sull'archiviazione a lungo termine saranno modificati.

(6)

Le firme elettroniche avanzate e i sigilli elettronici avanzati sono simili dal punto di vista tecnico. Pertanto le norme per i formati delle firme elettroniche avanzate dovrebbero applicarsi mutatis mutandis ai formati per i sigilli elettronici avanzati.

(7)

Qualora, per l'apposizione di una firma o di un sigillo, vengano utilizzati formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati dal punto di vista tecnico, dovrebbero essere forniti mezzi di convalida che consentano la verifica transfrontaliera di tali firme o sigilli. Al fine di consentire allo Stato membro ricevente di poter fare affidamento sugli strumenti di convalida di un altro Stato membro, è necessario fornire informazioni facilmente accessibili su tali mezzi inserendole nei documenti elettronici, nelle firme elettroniche o nei contenitori dei documenti elettronici.

(8)

Se nei servizi pubblici di uno Stato membro sono disponibili possibilità di convalida della firma elettronica o del sigillo elettronico idonee al trattamento automatico, esse dovrebbero essere rese disponibili e fornite nello Stato membro ricevente. Tuttavia, nel caso in cui non sia possibile il trattamento automatico delle possibilità di convalida per metodi alternativi, la presente decisione non dovrebbe impedire l'applicazione dell'articolo 27, paragrafi 1 e 2, e dell'articolo 37, paragrafi 1 e 2, del regolamento (UE) n. 910/2014.

(9)

Al fine di fornire requisiti analoghi per la convalida e accrescere la fiducia nelle possibilità di convalida offerte dagli Stati membri per formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati, i requisiti fissati nella presente decisione per gli strumenti di convalida derivano dai requisiti per la convalida delle firme elettroniche qualificate e dei sigilli elettronici qualificati di cui agli articoli 32 e 40 del regolamento (UE) n. 910/2014.

(10)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, secondo quanto disposto dall'articolo 27, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono la firma elettronica avanzata XML, CMS o PDF al livello di conformità B, T o LT o tramite contenitore con firma associata, purché tali firme siano conformi alle specifiche tecniche riportate nell'allegato.

Articolo 2

1.   Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, secondo quanto disposto dall'articolo 27, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono formati di firma elettronica diversi da quelli di cui all'articolo 1 della presente decisione, a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal firmatario offra agli altri Stati membri possibilità di convalida della firma, idonee ove possibile al trattamento automatico.

2.   Le possibilità di convalida della firma:

a)

permettono agli altri Stati membri di convalidare online, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute;

b)

sono indicate nel documento firmato, nella firma elettronica o nel contenitore del documento elettronico;

c)

confermano la validità della firma elettronica avanzata, purché:

1)

il certificato associato alla firma elettronica avanzata fosse valido al momento della firma e, qualora la firma elettronica avanzata sia associata a un certificato qualificato, quest'ultimo fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all'allegato I del regolamento (UE) n. 910/2014, rilasciato da un prestatore di servizi fiduciari qualificato;

2)

i dati di convalida della firma corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione;

3)

l'insieme unico di dati che rappresenta il firmatario sia correttamente trasmesso alla parte facente affidamento sulla certificazione;

4)

se al momento della firma è stato utilizzato uno pseudonimo, l'impiego dello pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione;

5)

qualora la firma elettronica avanzata sia creata da un dispositivo per la creazione di una firma elettronica qualificata, l'uso di tale dispositivo sia chiaramente indicato alla parte facente affidamento sulla certificazione;

6)

l'integrità dei dati firmati non sia stata compromessa;

7)

i requisiti di cui all'articolo 26 del regolamento (UE) n. 910/2014 fossero soddisfatti al momento della firma;

8)

il sistema utilizzato per convalidare la firma elettronica avanzata fornisca alla parte facente affidamento sulla certificazione il risultato corretto del processo di convalida e le consenta di rilevare eventuali questioni attinenti alla sicurezza.

Articolo 3

Gli Stati membri che richiedono un sigillo elettronico avanzato o un sigillo elettronico avanzato basato su un certificato qualificato, secondo quanto disposto dall'articolo 37, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono il sigillo elettronico avanzato XML, CMS o PDF al livello di conformità B, T o LT o tramite contenitore con sigillo associato, purché tali sigilli siano conformi alle specifiche tecniche riportate nell'allegato.

Articolo 4

1.   Gli Stati membri che richiedono un sigillo elettronico avanzato o un sigillo elettronico avanzato basato su un certificato qualificato, secondo quanto disposto dall'articolo 37, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono formati di sigillo elettronico diversi da quelli di cui all'articolo 3 della presente decisione, a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal creatore del sigillo offra agli altri Stati membri possibilità di convalida del sigillo, idonee ove possibile al trattamento automatico.

2.   Le possibilità di convalida del sigillo:

a)

permettono agli altri Stati membri di convalidare online, gratuitamente e in modo comprensibile per i non madrelingua, i sigilli elettronici ricevuti;

b)

sono indicate nel documento sigillato, nel sigillo elettronico o nel contenitore del documento elettronico;

c)

confermano la validità del sigillo elettronico avanzato, purché:

1)

il certificato associato al sigillo elettronico avanzato fosse valido al momento della sigillatura e, qualora il sigillo elettronico avanzato sia associato a un certificato qualificato, quest'ultimo fosse, al momento della sigillatura, un certificato qualificato di sigillo elettronico conforme all'allegato III del regolamento (UE) n. 910/2014, rilasciato da un prestatore di servizi fiduciari qualificato;

2)

i dati di convalida del sigillo corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione;

3)

l'insieme unico di dati che rappresenta il creatore del sigillo sia correttamente trasmesso alla parte facente affidamento sulla certificazione;

4)

se al momento della sigillatura è stato utilizzato uno pseudonimo, l'impiego dello pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione;

5)

qualora il sigillo elettronico avanzato sia creato da un dispositivo per la creazione di un sigillo elettronico qualificato, l'uso di tale dispositivo sia chiaramente indicato alla parte facente affidamento sulla certificazione;

6)

l'integrità dei dati sigillati non sia stata compromessa;

7)

i requisiti di cui all'articolo 36 del regolamento (UE) n. 910/2014 fossero soddisfatti al momento della sigillatura;

8)

il sistema utilizzato per convalidare il sigillo elettronico avanzato fornisca alla parte facente affidamento sulla certificazione il risultato corretto del processo di convalida e le consenta di rilevare eventuali questioni attinenti alla sicurezza.

Articolo 5

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

La presente decisione è obbligatoria in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, l'8 settembre 2015

Per la Commissione

Il presidente

Jean-Claude JUNCKER

(1)  GU L 257 del 28.8.2014, pag. 73.

(2)  Decisione di esecuzione 2014/148/UE della Commissione, del 17 marzo 2014, che modifica la decisione 2011/130/UE che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 80 del 19.3.2014, pag. 7).

ALLEGATO

Elenco delle specifiche tecniche per le firme elettroniche avanzate XML, CMS o PDF e per il contenitore con firma associata

Le firme elettroniche avanzate di cui all'articolo 1 della decisione devono rispettare una delle seguenti specifiche tecniche ETSI, ad eccezione della clausola 9:

Profilo di base XAdES

ETSI TS 103171 v.2.1.1. (1)

Profilo di base CAdES

ETSI TS 103173 v.2.2.1. (2)

Profilo di base PAdES

ETSI TS 103172 v.2.2.2. (3)

Il contenitore con firma associata di cui all'articolo 1 della decisione deve rispettare le seguenti specifiche tecniche ETSI:

Profilo di base del contenitore con firma associata

ETSI TS 103174 v.2.2.1. (4)

Elenco delle specifiche tecniche per i sigilli elettronici avanzati XML, CMS o PDF e per il contenitore con sigillo associato

I sigilli elettronici avanzati di cui all'articolo 3 della decisione devono rispettare una delle seguenti specifiche tecniche ETSI, ad eccezione della clausola 9:

Profilo di base XAdES

ETSI TS 103171 v.2.1.1.

Profilo di base CAdES

ETSI TS 103173 v.2.2.1.

Profilo di base PAdES

ETSI TS 103172 v.2.2.2.

Il contenitore con sigillo associato di cui all'articolo 3 della decisione deve rispettare le seguenti specifiche tecniche ETSI:

Profilo di base del contenitore con sigillo associato

ETSI TS 103174 v.2.2.1.

(1)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf

(2)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf

(3)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf

(4)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf