Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 02015R1502-20220711

    Consolidated text: Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE)Testo rilevante ai fini del SEE

    ELI: http://data.europa.eu/eli/reg_impl/2015/1502/2022-07-11

    02015R1502 — IT — 11.07.2022 — 001.001


    Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento

    ►B

    REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE

    dell'8 settembre 2015

    relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

    (Testo rilevante ai fini del SEE)

    (GU L 235 del 9.9.2015, pag. 7)

    Modificato da:

     

     

    Gazzetta ufficiale

      n.

    pag.

    data

     M1

    REGOLAMENTO DI ESECUZIONE (UE) 2022/960 DELLA COMMISSIONE del 20 giugno 2022

      L 165

    40

    21.6.2022




    ▼B

    REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE

    dell'8 settembre 2015

    relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

    (Testo rilevante ai fini del SEE)



    Articolo 1

    1.  
    I livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato sono determinati facendo riferimento alle specifiche e alle procedure fissate nell'allegato.
    2.  

    Le specifiche e le procedure fissate nell'allegato sono utilizzate per specificare il livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato determinando l'affidabilità e la qualità dei seguenti elementi:

    a) 

    la registrazione, di cui alla sezione 2.1 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera a), del regolamento (UE) n. 910/2014;

    b) 

    la gestione dei mezzi di identificazione elettronica, di cui alla sezione 2.2 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere b) e f), del regolamento (UE) n. 910/2014;

    c) 

    l'autenticazione, di cui alla sezione 2.3 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera c), del regolamento (UE) n. 910/2014;

    d) 

    la gestione e l'organizzazione, di cui alla sezione 2.4 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere d) ed e), del regolamento (UE) n. 910/2014.

    3.  
    Se i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato soddisfano un requisito elencato in un livello di garanzia superiore, si ritiene che essi soddisfino il requisito equivalente di un livello di garanzia inferiore.
    4.  
    Salvo indicazione contraria nella parte pertinente dell'allegato, ai fini della corrispondenza al livello di garanzia dichiarato devono essere soddisfatti tutti gli elementi elencati nell'allegato per lo specifico livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato.

    Articolo 2

    Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

    Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.




    ALLEGATO

    Specifiche e procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato

    1.    Definizioni applicabili

    Ai fini del presente allegato si intende per:

    (1) 

    «fonte autorevole», qualsiasi fonte, a prescindere dalla forma, sulla quale si possa fare affidamento per l'ottenimento di dati, informazioni e/o elementi di prova esatti da utilizzare per dimostrare l'identità;

    (2) 

    «fattore di autenticazione», un fattore associato con certezza a una persona e rientrante in una delle seguenti categorie:

    a) 

    «fattore di autenticazione basato sul possesso», un fattore di autenticazione che il soggetto è tenuto a dimostrare di possedere;

    b) 

    «fattore di autenticazione basato sulla conoscenza», un fattore di autenticazione che il soggetto è tenuto a dimostrare di conoscere;

    c) 

    «fattore di autenticazione intrinseco», un fattore di autenticazione basato su una caratteristica fisica di una persona fisica, che il soggetto è tenuto a dimostrare di possedere;

    (3) 

    «autenticazione dinamica», un processo elettronico che utilizza la crittografia o altre tecniche per fornire un mezzo che consente di creare su richiesta una prova elettronica che attesti il controllo o il possesso dei dati di identificazione da parte del soggetto e che cambia ad ogni interazione di autenticazione tra il soggetto e il sistema che ne verifica l'identità;

    (4) 

    «sistema di gestione della sicurezza delle informazioni», un insieme di processi e procedure intesi a gestire a livelli accettabili i rischi connessi alla sicurezza delle informazioni.

    2.    Specifiche e procedure tecniche

    Gli elementi delle procedure e delle specifiche tecniche descritti nel presente allegato sono utilizzati per determinare in che modo sono applicati i requisiti e i criteri di cui all'articolo 8 del regolamento (UE) n. 910/2014 per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica.

    2.1.    Registrazione

    2.1.1.    Domanda e registrazione



    Livello di garanzia

    Elementi necessari

    Basso

    1.  Accertarsi che il richiedente conosca i termini e le condizioni per l'uso del mezzo di identificazione elettronica.

    2.  Accertarsi che il richiedente conosca le precauzioni di sicurezza raccomandate per l'uso del mezzo di identificazione elettronica.

    3.  Raccogliere i dati identificativi necessari per il controllo e la verifica dell'identità.

    Significativo

    Come per il livello basso.

    Elevato

    Come per il livello basso.

    2.1.2.    Controllo e verifica dell'identità (persona fisica)



    Livello di garanzia

    Elementi necessari

    Basso

    1.  La persona può essere ritenuta in possesso di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l'identità dichiarata.

    2.  La prova può essere ritenuta autentica o esistente in virtù di una fonte autorevole ed è all'apparenza valida.

    3.  L'esistenza dell'identità dichiarata è accertata mediante una fonte autorevole e si può presumere che la persona che sostiene di possederla sia la stessa e unica persona.

    Significativo

    Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 4:

    1.  è stato verificato il possesso da parte della persona di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l'identità dichiarata

    e

    la prova è verificata per stabilirne l'autenticità oppure, secondo una fonte autorevole, esiste ed è collegata a una persona reale

    e

    sono state adottate misure per ridurre al minimo il rischio che l'identità della persona non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza della prova

    o

    2.  è presentato un documento d'identità durante un processo di registrazione nello Stato membro in cui è stato rilasciato il documento e quest'ultimo all'apparenza si riferisce alla persona che lo presenta

    e

    sono state adottate misure per ridurre al minimo il rischio che l'identità della persona non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza dei documenti

    o

    3.  ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.2 per il livello di garanzia significativo, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (1) o da un organismo equivalente

    o

    4.  se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia significativo o elevato, e tenendo conto dei rischi di variazione dei dati di identificazione personale, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia significativo o elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

    Elevato

    Devono essere rispettati i requisiti di cui al punto 1 o 2.

    1.  Livello significativo, più una delle opzioni elencate di seguito alle lettere da a) a c):

    a)  qualora sia stato verificato il possesso da parte della persona di una fotografia o di una prova di identificazione biometrica riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e qualora tale prova corrisponda all'identità dichiarata, la prova è verificata per stabilirne la validità in virtù di una fonte autorevole

    e

    il richiedente è identificato come corrispondente all'identità dichiarata tramite il confronto di una o più sue caratteristiche fisiche con una fonte autorevole

    o

    b)  ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.2 per il livello di garanzia elevato, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente

    e

    sono intraprese azioni per dimostrare che i risultati delle procedure utilizzate in precedenza sono ancora validi

    o

    c)  se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia elevato, e tenendo conto dei rischi di variazione dei dati di identificazione personale, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

    e

    sono intraprese azioni per dimostrare che i risultati della precedente procedura di rilascio di un mezzo di identificazione elettronica notificato sono ancora validi.

    OPPURE

    2.  Qualora il richiedente non presenti una fotografia o una prova di identificazione biometrica riconosciuta, sono applicate le stesse procedure utilizzate a livello nazionale nello Stato membro dell'entità responsabile della registrazione per l'ottenimento di tale fotografia o prova di identificazione biometrica riconosciuta.

    (1)   

    Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

    2.1.3.    Controllo e verifica dell'identità (persona giuridica)



    Livello di garanzia

    Elementi necessari

    Basso

    1.  L'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica.

    2.  La prova è all'apparenza valida e può essere ritenuta autentica, o esistente in virtù di una fonte autorevole, laddove l'inclusione della persona giuridica nella fonte autorevole sia volontaria e regolamentata da un accordo tra la persona giuridica e la fonte autorevole.

    3.  A quanto risulta a una fonte autorevole, la persona giuridica non si trova in una condizione che le impedisce di agire in qualità di persona giuridica.

    Significativo

    Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 3:

    1.  l'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica, compresi il nome della persona giuridica, la forma giuridica e, se del caso, il numero di registrazione

    e

    la prova è verificata per stabilirne l'autenticità o è ritenuta esistente in virtù di una fonte autorevole, ove l'inclusione della persona giuridica nella fonte autorevole sia necessaria perché la persona giuridica possa operare nel suo settore

    e

    sono state adottate misure per ridurre al minimo il rischio che l'identità della persona giuridica non corrisponda a quella dichiarata, tenendo conto ad esempio del rischio di smarrimento, furto, sospensione, revoca o scadenza dei documenti

    o

    2.  ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.3 per il livello di garanzia significativo, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente

    o

    3.  se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia significativo o elevato, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia significativo o elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

    Elevato

    Livello significativo, più una delle opzioni elencate di seguito ai punti da 1 a 3:

    1.  l'identità dichiarata della persona giuridica è dimostrata sulla base di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica, compresi il nome della persona giuridica, la forma giuridica e almeno un identificativo univoco che rappresenti la persona giuridica utilizzato in un contesto nazionale

    e

    la prova è verificata per stabilirne la validità in virtù di una fonte autorevole

    o

    2.  ove procedure utilizzate in precedenza da un soggetto pubblico o privato nello stesso Stato membro per un fine diverso dal rilascio di mezzi di identificazione elettronica forniscano una garanzia equivalente a quelle definite nella sezione 2.1.3 per il livello di garanzia elevato, l'entità responsabile della registrazione non è tenuta a ripeterle, purché detta garanzia equivalente sia confermata da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente

    e

    sono intraprese azioni per dimostrare che i risultati di tale procedura utilizzata in precedenza sono ancora validi

    o

    3.  se i mezzi di identificazione elettronica sono rilasciati sulla base di un mezzo di identificazione elettronica notificato valido avente livello di garanzia elevato, non è necessario ripetere i processi di controllo e verifica dell'identità. Laddove il mezzo di identificazione elettronica che funge da base non sia stato notificato, il livello di garanzia elevato deve essere confermato da un organismo di valutazione della conformità ai sensi dell'articolo 2, punto 13, del regolamento (CE) n. 765/2008 o da un organismo equivalente.

    e

    sono intraprese azioni per dimostrare che i risultati della precedente procedura di rilascio di un mezzo di identificazione elettronica notificato sono ancora validi.

    2.1.4.    Collegamento tra i mezzi di identificazione elettronica delle persone fisiche e delle persone giuridiche

    Ove applicabile, per stabilire un collegamento tra il mezzo di identificazione elettronica di una persona fisica e il mezzo di identificazione elettronica di una persona giuridica («collegamento»), si applicano le seguenti condizioni.

    (1) 

    Deve essere possibile sospendere e/o revocare un collegamento. Il ciclo di vita di un collegamento (ad esempio attivazione, sospensione, rinnovo, revoca) è gestito secondo procedure riconosciute a livello nazionale.

    (2) 

    La persona fisica il cui mezzo di identificazione elettronica è collegato al mezzo di identificazione elettronica della persona giuridica può delegare l'esercizio del collegamento a un'altra persona fisica sulla base di procedure riconosciute a livello nazionale. Tuttavia la responsabilità continua a incombere alla persona fisica delegante.

    (3) 

    Il collegamento è stabilito nel modo seguente:



    Livello di garanzia

    Elementi necessari

    Basso

    1.  È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello basso o a un livello superiore.

    2.  Il collegamento è stabilito secondo procedure riconosciute a livello nazionale.

    3.  A quanto risulta a una fonte autorevole, la persona fisica non si trova in una condizione che le impedisce di agire per conto della persona giuridica.

    Significativo

    Punto 3 del livello basso, più i seguenti elementi:

    1.  È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello significativo o elevato.

    2.  Il collegamento è stabilito secondo procedure riconosciute a livello nazionale, sfociate nella sua registrazione in una fonte autorevole.

    3.  Il collegamento è verificato sulla base di informazioni provenienti da una fonte autorevole.

    Elevato

    Punto 3 del livello basso e punto 2 del livello significativo, più i seguenti elementi:

    1.  È effettuata una verifica per accertare che il controllo dell'identità della persona fisica che agisce per conto della persona giuridica sia stato eseguito al livello elevato.

    2.  Il collegamento è verificato sulla base di un identificativo univoco che rappresenta la persona giuridica ed è utilizzato nel contesto nazionale, nonché sulla base di informazioni, provenienti da una fonte autorevole, che rappresentano in modo univoco la persona fisica.

    2.2.    Gestione dei mezzi di identificazione elettronica

    2.2.1.    Caratteristiche e concezione dei mezzi di identificazione elettronica



    Livello di garanzia

    Elementi necessari

    Basso

    1.  Il mezzo di identificazione elettronica utilizza almeno un fattore di autenticazione.

    2.  Il mezzo di identificazione elettronica è concepito in modo tale che l'entità che lo rilascia adotti ragionevoli misure per accertare che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo.

    Significativo

    1.  Il mezzo di identificazione elettronica utilizza almeno due fattori di autenticazione appartenenti a categorie differenti.

    2.  Il mezzo di identificazione elettronica è concepito in modo che si possa presupporre che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo.

    Elevato

    Livello significativo, più:

    1.  Il mezzo di identificazione elettronica è protetto contro la duplicazione e la manomissione, nonché contro gli aggressori con un potenziale di attacco elevato (High).

    2.  Il mezzo di identificazione elettronica è concepito in modo da poter essere protetto in modo affidabile dalla persona a cui appartiene per evitare che venga utilizzato da altri utenti.

    2.2.2.    Rilascio, consegna e attivazione



    Livello di garanzia

    Elementi necessari

    Basso

    In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia ricevuto unicamente dal destinatario previsto.

    Significativo

    In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia consegnato unicamente alla persona a cui appartiene.

    Elevato

    Il processo di attivazione verifica che il mezzo di identificazione elettronica sia stato consegnato unicamente alla persona a cui appartiene.

    2.2.3.    Sospensione, revoca e riattivazione



    Livello di garanzia

    Elementi necessari

    Basso

    1.  È possibile sospendere e/o revocare un mezzo di identificazione elettronica in modo tempestivo ed efficace.

    2.  Esistono misure che impediscono la sospensione, la revoca e/o la riattivazione non autorizzate.

    3.  La riattivazione è eseguita solo se continuano ad essere soddisfatti gli stessi requisiti di garanzia stabiliti prima della sospensione o della revoca.

    Significativo

    Come per il livello basso.

    Elevato

    Come per il livello basso.

    2.2.4.    Rinnovo e sostituzione



    Livello di garanzia

    Elementi necessari

    Basso

    Tenendo conto dei rischi di variazione dei dati di identificazione personale, il rinnovo o la sostituzione deve soddisfare gli stessi requisiti di garanzia del controllo e della verifica dell'identità iniziali oppure si basa su un mezzo di identificazione elettronica valido che presenti lo stesso livello di garanzia o un livello superiore.

    Significativo

    Come per il livello basso.

    Elevato

    Livello basso, più:

    Se il rinnovo o la sostituzione si basa su un mezzo di identificazione elettronica valido, i dati identificativi sono verificati con una fonte autorevole.

    2.3.    Autenticazione

    La presente sezione verte sulle minacce associate all'uso del meccanismo di autenticazione ed elenca i requisiti per ciascun livello di garanzia. Ai fini della presente sezione i controlli si intendono proporzionati ai rischi che sussistono a un dato livello.

    2.3.1.    Meccanismo di autenticazione

    Nella tabella riportata di seguito sono elencati i requisiti fissati per ciascun livello di garanzia in relazione al meccanismo di autenticazione, mediante il quale la persona fisica o giuridica utilizza il mezzo di identificazione elettronica per confermare la propria identità alla parte facente affidamento sulla certificazione.



    Livello di garanzia

    Elementi necessari

    Basso

    1.  La divulgazione dei dati di identificazione personale è preceduta dalla verifica affidabile del mezzo di identificazione elettronica e della sua validità.

    2.  Qualora i dati di identificazione personale siano memorizzati nell'ambito del meccanismo di autenticazione, tali informazioni sono protette per evitarne la perdita o la compromissione, compresa l'analisi offline.

    3.  Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco di base avanzato (Enhanced-Basic).

    Significativo

    Livello basso, più:

    1.  La divulgazione dei dati di identificazione personale è preceduta dalla verifica affidabile del mezzo di identificazione elettronica e della sua validità tramite un'autenticazione dinamica.

    2.  Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco moderato (Moderate).

    Elevato

    Livello significativo, più:

    Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco elevato (High).

    2.4.    Gestione e organizzazione

    Tutti i partecipanti che forniscono un servizio correlato all'identificazione elettronica in un contesto transfrontaliero («fornitori») mettono in atto prassi documentate per la gestione della sicurezza delle informazioni, politiche, approcci alla gestione dei rischi e altri controlli riconosciuti in modo da dare agli opportuni organi di gestione responsabili dei regimi di identificazione elettronica nei rispettivi Stati membri la certezza dell'applicazione di prassi efficaci. Nell'intera sezione 2.4 tutti i requisiti/elementi si intendono come proporzionati ai rischi che sussistono a un dato livello.

    2.4.1.    Disposizioni generali



    Livello di garanzia

    Elementi necessari

    Basso

    1.  I fornitori di qualsiasi servizio operativo disciplinato dal presente regolamento sono un'autorità pubblica o un'entità giuridica riconosciuta come tale dall'ordinamento giuridico di uno Stato membro, avente un'organizzazione consolidata e pienamente operativa sotto tutti gli aspetti pertinenti per la fornitura dei servizi.

    2.  I fornitori rispettano gli obblighi giuridici cui sono soggetti in relazione all'esercizio e alla prestazione del servizio, compresi i tipi di informazioni che possono essere richiesti, le modalità secondo le quali è eseguito il controllo dell'identità e quali informazioni possono essere conservate e per quanto tempo.

    3.  I fornitori sono in grado di dimostrare il possesso della capacità di assumere il rischio della responsabilità per danni, nonché di risorse finanziarie sufficienti per l'esercizio e la prestazione continuativi dei servizi.

    4.  I fornitori sono responsabili del rispetto di qualsiasi impegno affidato a un'entità esterna e della relativa conformità alla politica del regime, come se fossero essi stessi a svolgere le funzioni.

    5.  I regimi di identificazione elettronica non costituiti secondo il diritto nazionale prevedono un piano di cessazione efficace. Tale piano prevede l'interruzione regolata del servizio o la continuazione del servizio da parte di un altro fornitore, disciplina le modalità di comunicazione delle informazioni alle autorità competenti e agli utenti finali e contiene dettagli su come proteggere, conservare e distruggere i dati registrati conformemente alla politica del regime.

    Significativo

    Come per il livello basso.

    Elevato

    Come per il livello basso.

    2.4.2.    Pubblicazione di avvisi e informazioni per gli utenti



    Livello di garanzia

    Elementi necessari

    Basso

    1.  Esiste una definizione del servizio pubblicata che comprende tutti i termini, le condizioni e le tariffe applicabili, incluse eventuali limitazioni d'uso. La definizione del servizio include un'informativa sulla privacy.

    2.  Devono essere messe in atto politiche e procedure adeguate al fine di garantire che gli utenti siano informati in modo tempestivo e affidabile delle eventuali modifiche alla definizione del servizio e ai termini, alle condizioni e all'informativa sulla privacy applicabili per il servizio in questione.

    3.  Devono essere messe in atto politiche e procedure adeguate affinché alle richieste di informazioni sia dato seguito con risposte complete ed esatte.

    Significativo

    Come per il livello basso.

    Elevato

    Come per il livello basso.

    2.4.3.    Gestione della sicurezza delle informazioni



    Livello di garanzia

    Elementi necessari

    Basso

    Esiste un efficace sistema di gestione della sicurezza delle informazioni per la gestione e il controllo dei rischi per la sicurezza delle informazioni.

    Significativo

    Livello basso, più:

    Il sistema di gestione della sicurezza delle informazioni si attiene a norme o principi comprovati per la gestione o il controllo dei rischi per la sicurezza delle informazioni.

    Elevato

    Come per il livello significativo.

    2.4.4.    Registrazione dei dati



    Livello di garanzia

    Elementi necessari

    Basso

    1.  Registrare e conservare le informazioni pertinenti mediante un sistema di gestione delle registrazioni efficace, tenendo conto della normativa vigente e delle buone prassi in materia di protezione e conservazione dei dati.

    2.  Conservare, nella misura consentita dalla legislazione nazionale o da altre disposizioni amministrative nazionali, e proteggere i dati registrati per il tempo necessario al fine di effettuare verifiche e indagini sulle violazioni della sicurezza e ai fini della conservazione dei dati, quindi distruggere i dati registrati in modo sicuro.

    Significativo

    Come per il livello basso.

    Elevato

    Come per il livello basso.

    2.4.5.    Strutture e personale

    Nella tabella riportata di seguito sono elencati i requisiti relativi alle strutture, al personale e ai subcontraenti, se del caso, che svolgono le funzioni disciplinate dal presente regolamento. La conformità a ciascuno dei requisiti è proporzionata al livello di rischio associato al livello di garanzia fornito.



    Livello di garanzia

    Elementi necessari

    Basso

    1.  Esistono procedure volte a garantire che il personale e i subcontraenti dispongano di una formazione, di qualifiche e di un'esperienza adeguate in relazione alle competenze richieste dal ruolo che occupano.

    2.  Il personale e i subcontraenti sono in numero sufficiente a consentire un funzionamento e una fornitura adeguati del servizio nel rispetto delle politiche e delle procedure vigenti.

    3.  Le strutture utilizzate per la fornitura del servizio sono costantemente monitorate e protette dai danni causati da eventi ambientali, accesso non autorizzato e altri fattori che possono incidere sulla sicurezza del servizio.

    4.  Le strutture utilizzate per la fornitura del servizio garantiscono che l'accesso alle aree in cui sono conservate o trattate le informazioni personali, crittografiche o altre informazioni sensibili sia limitato al personale o ai subcontraenti autorizzati.

    Significativo

    Come per il livello basso.

    Elevato

    Come per il livello basso.

    2.4.6.    Controlli tecnici



    Livello di garanzia

    Elementi necessari

    Basso

    1.  Esistono controlli tecnici proporzionati per la gestione dei rischi per la sicurezza dei servizi; tali controlli proteggono la riservatezza, l'integrità e la disponibilità delle informazioni trattate.

    2.  I canali di comunicazione elettronici utilizzati per lo scambio delle informazioni personali o sensibili sono protetti dalle intercettazioni, dalla manipolazione e dagli attacchi di tipo replay.

    3.  L'accesso al materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica è limitato ai ruoli e alle applicazioni per i quali è categoricamente richiesto. È fornita la garanzia che tale materiale non è mai conservato stabilmente come testo in chiaro.

    4.  Esistono procedure a garanzia del mantenimento della sicurezza nel tempo e della capacità di reagire alla variazione dei livelli di rischio, agli incidenti e alle violazioni della sicurezza.

    5.  Tutti i supporti contenenti informazioni personali, crittografiche o altre informazioni sensibili sono conservati, trasportati e smaltiti in modo sicuro e protetto.

    Significativo

    Come per il livello basso, più:

    Il materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica e per fornire l'autenticazione è protetto dalla manomissione.

    Elevato

    Come per il livello significativo.

    2.4.7.    Conformità e verifiche



    Livello di garanzia

    Elementi necessari

    Basso

    Sono eseguite verifiche interne periodiche calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente.

    Significativo

    Sono eseguite periodicamente verifiche indipendenti interne o esterne calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente.

    Elevato

    1.  Sono eseguite periodicamente verifiche esterne indipendenti calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente.

    2.  Qualora sia gestito direttamente da un organismo pubblico, il regime è sottoposto a verifica in conformità con la legislazione nazionale.

    Top