Transazioni più sicure su Internet

PUNTI CHIAVE

Portafogli europei di identità digitale

• Gli Stati membri devono introdurre i portafogli europei di identità digitale entro dicembre 2026. I portafogli consentiranno agli utenti di identificarsi in modo sicuro o di fornire la conferma di determinate informazioni personali per accedere a servizi pubblici e privati, online e offline, e di archiviare, presentare e condividere documenti digitali in tutta l’UE.
• La conformità dei portafogli europei di identità digitale e del regime di identificazione elettronica nell’ambito del quale sono forniti è certificata da organismi di valutazione della conformità designati dagli Stati membri.

Identificazione elettronica

• Un documento di identità elettronico rilasciato in uno Stato membro deve essere riconosciuto in tutti gli altri. Ciò vale solo se il documento di identità elettronico soddisfa i requisiti del regolamento ed è stato notificato alla Commissione e pubblicato in un elenco. Il riconoscimento reciproco dei documenti di identità elettronici è obbligatorio dal 28 settembre 2018 e facilita le transazioni elettroniche sicure in tutta l’UE.
• Un regime di identificazione elettronica deve specificare uno dei tre livelli di garanzia (basso, significativo, elevato) per la forma di identificazione elettronica rilasciata da tale regime. Il riconoscimento reciproco è obbligatorio solo quando l’organismo pubblico interessato usa i livelli «significativo» o «elevato» per accedere a tale servizio online.
  • Quando notificano alla Commissione i sistemi di identificazione elettronica, gli Stati membri devono fornire informazioni su aspetti quali:
  • i livelli di garanzia e l’emittente dell'identificazione elettronica di tale regime;
  • i regimi di responsabilità e di vigilanza applicabili; e
  • l’organismo che gestisce la registrazione dei singoli dati di identificazione personale.

Servizi fiduciari

Il regolamento europeo sull’identità digitale definisce i servizi fiduciari come servizi, normalmente forniti a titolo oneroso, che includono:

• il rilascio di certificati per le firme elettroniche, certificati per i sigilli elettronici, certificati per l’autenticazione dei siti web o certificati per la fornitura di altri servizi fiduciari;
• la convalida di certificati per firme elettroniche, certificati per sigilli elettronici, certificati per l’autenticazione di siti web o certificati per la fornitura di altri servizi fiduciari;
• la creazione di firme elettroniche o di sigilli elettronici;
• la convalida di firme elettroniche o sigilli elettronici;
• la conservazione di firme elettroniche, sigilli elettronici, certificati per firme elettroniche o certificati per sigilli elettronici;
• la gestione dei dispositivi per la creazione di firme elettroniche a distanza o dei dispositivi per la creazione di sigilli elettronici a distanza;
• il rilascio di attestazioni elettroniche di attributi;
• la convalida di attestazioni elettroniche di attributi;
• la creazione di marche temporali elettroniche;
• la convalida di marche temporali elettroniche;
• la fornitura di servizi di consegna elettronica registrata;
• la convalida dei dati trasmessi tramite servizi di consegna elettronica registrata e delle relative prove;
• l’archiviazione elettronica di dati e documenti elettronici;
• la registrazione di dati elettronici in un registro elettronico.

I fornitori di servizi fiduciari con sede nell’UE sono considerati «qualificati» se soddisfano i requisiti applicabili del regolamento europeo sull’identità digitale. Essi sono legalmente autorizzati a fornire servizi fiduciari qualificati (ad esempio firme elettroniche qualificate, sigilli o certificati) in tutti gli Stati membri.

Per quanto riguarda gli aspetti internazionali, i servizi fiduciari offerti da fornitori di servizi di paesi terzi saranno considerati giuridicamente equivalenti a quelli qualificati forniti da fornitori di servizi fiduciari qualificati stabiliti nell’UE mediante atti di esecuzione o a seguito di un accordo tra l’UE e il paese terzo o un’organizzazione internazionale.

Vigilanza

• Gli Stati membri designano uno o più organismi di vigilanza per le attività di vigilanza sui portafogli di identità digitale europei e sui servizi fiduciari ai sensi del presente regolamento. Tali organismi devono cooperare con le autorità di protezione dei dati e le autorità responsabili della sicurezza informatica, se del caso.
• Tutti i fornitori di servizi fiduciari sono soggetti alla vigilanza e agli obblighi di gestione del rischio e di comunicazione di violazioni alla sicurezza.
• I fornitori di servizi fiduciari qualificati con sede nell’UE sono soggetti a vigilanza rigorosa, che comprende l’autorizzazione previa da parte degli organismi di vigilanza e la revisione dei conti almeno ogni due anni da parte di un’organizzazione che ne valuta la conformità alle norme previste dal regolamento.
• I prestatori di servizi fiduciari non qualificati sono soggetti a una vigilanza «leggera», vale a dire che l’organismo di vigilanza interviene solo quando viene informato che i prestatori di servizi fiduciari non qualificati o i servizi fiduciari da essi forniti presumibilmente non soddisfano i requisiti stabiliti nel presente regolamento.

Governance

Il Gruppo di cooperazione sull’identità digitale europea («Gruppo di cooperazione») è istituito al fine di sostenere e agevolare la cooperazione transfrontaliera e lo scambio di informazioni tra gli Stati membri in materia di servizi fiduciari, portafogli europei di identità digitale e sistemi di identificazione elettronica notificati.

Atti di esecuzione

Per garantire l’attuazione uniforme e corretta del regolamento sull’identità digitale europea in tutta l’UE, la Commissione ha adottato atti di esecuzione che stabiliscono norme tecniche, procedurali e organizzative dettagliate.

Nel loro insieme, tali atti di esecuzione integrano e rendono operativo il regolamento in un’ampia gamma di settori e specificano, tra l’altro, i requisiti di interoperabilità, le norme di sicurezza e di certificazione, le procedure di notifica e di scambio di informazioni, i formati per gli elenchi di fiducia, le risposte alle violazioni della sicurezza, le disposizioni in materia di governance e di vigilanza, nonché le modalità operative per gli schemi di identificazione elettronica, i servizi fiduciari e i portafogli europei di identità digitale.

Gli atti di esecuzione coprono un’ampia serie di aspetti tecnici e operativi e non si limitano ai settori sopra elencati. Essi sono regolarmente aggiornati per riflettere i sviluppi tecnologici, i rischi per la sicurezza emergenti e gli standard in evoluzione, comprendono l’Architecture and Reference Framework (ARF) elaborato congiuntamente dalla Commissione e dagli Stati membri e si applicano direttamente in tutti gli Stati membri.