(1)

Nella comunicazione della Commissione del 19 febbraio 2020 intitolata «Plasmare il futuro digitale dell’Europa» si annunciava la revisione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (4) al fine di migliorarne l’efficacia, estenderne i benefici al settore privato e promuovere identità digitali affidabili per tutti gli europei.

(2)

Nelle sue conclusioni dell’1-2 ottobre 2020, il Consiglio europeo ha chiesto alla Commissione di proporre lo sviluppo di un quadro a livello dell’UE per l’identificazione elettronica pubblica e sicura, ivi incluse le firme digitali interoperabili, che garantisca alle persone il controllo della loro identità e dei loro dati online e consenta l’accesso a servizi digitali pubblici, privati e transfrontalieri.

(3)

Il programma strategico per il decennio digitale 2030, istituito dalla decisione (UE) 2022/2481 del Parlamento europeo e del Consiglio (5), stabilisce le finalità e gli obiettivi digitali di un quadro dell’Unione che dovrebbero condurre entro il 2030 a un’ampia diffusione di un’identità digitale affidabile, volontaria e controllata dagli utenti che sia riconosciuta in tutta l’Unione e consenta a ciascun utente di controllare i propri dati nelle interazioni online.

(4)

La «dichiarazione europea sui diritti e i principi digitali per il decennio digitale», proclamata dal Parlamento europeo, dal Consiglio e dalla Commissione (6) («dichiarazione»), sottolinea il diritto di ogni persona di avere accesso a tecnologie, prodotti e servizi digitali che siano sicuri e protetti e tutelino la vita privata fin dalla progettazione. Ciò include la garanzia che a tutte le persone che vivono nell’Unione sia offerta un’identità digitale accessibile, sicura e affidabile che dia accesso a un’ampia gamma di servizi online e offline, protetti contro i rischi di cibersicurezza e la criminalità informatica, anche per quanto riguarda le violazioni dei dati e i furti o le manipolazioni dell’identità. La dichiarazione stabilisce inoltre che ogni persona ha diritto alla protezione dei propri dati personali. Tale diritto comprende il controllo su come i dati sono utilizzati e con chi sono condivisi.

(5)

I cittadini e i residenti dell’Unione dovrebbero avere il diritto a un’identità digitale che sia sotto il loro controllo esclusivo e che consenta loro di esercitare i propri diritti nell’ambiente digitale e di partecipare all’economia digitale. Per conseguire tale obiettivo è opportuno istituire un quadro europeo relativo a un’identità digitale che consenta ai cittadini e ai residenti dell’Unione di accedere a servizi pubblici e privati online e offline in tutta l’Unione.

(6)

Un quadro armonizzato relativo all’identità digitale contribuirebbe alla creazione di un’Unione più integrata dal punto di vista digitale, riducendo gli ostacoli digitali tra gli Stati membri e consentendo ai cittadini e ai residenti dell’Unione di godere dei vantaggi della digitalizzazione, aumentando nel contempo la trasparenza e la protezione dei loro diritti.

(7)

Un approccio maggiormente armonizzato all’identificazione elettronica dovrebbe ridurre i rischi e i costi dell’attuale frammentazione dovuta all’uso di soluzioni nazionali divergenti oppure, in alcuni Stati membri, all’assenza di tali soluzioni di identificazione elettronica. Un tale approccio dovrebbe rafforzare il mercato interno consentendo ai cittadini e ai residenti dell’Unione, quali definiti dalle legislazioni nazionali, e alle imprese di identificarsi e di fornire un’autenticazione della propria identità online e offline in modo sicuro, affidabile, di facile utilizzo, pratico, accessibile e armonizzato in tutta l’Unione. Il portafoglio europeo di identità digitale dovrebbe fornire alle persone fisiche e giuridiche di tutta l’Unione un mezzo di identificazione elettronica armonizzato che consenta l’autenticazione e la condivisione dei dati collegati alla loro identità. Tutti dovrebbero poter accedere a servizi pubblici e privati in modo sicuro, sulla base di un ecosistema migliorato per i servizi fiduciari e su prove dell’identità e attestati elettronici di attributi verificati, come qualifiche accademiche, compresi diplomi universitari o altri titoli di studio o qualifiche professionali. Il quadro europeo relativo a un’identità digitale è inteso consentire il passaggio dalla dipendenza esclusiva da soluzioni di identità digitale nazionali alla fornitura di attestati elettronici di attributi validi e legalmente riconosciuti in tutta l’Unione. I fornitori di attestati elettronici di attributi dovrebbero beneficiare di un insieme di norme chiaro e uniforme, mentre le amministrazioni pubbliche dovrebbero potersi avvalere di documenti elettronici in un formato prestabilito.

(8)

Vari Stati membri hanno attuato e utilizzano mezzi di identificazione elettronica che sono accettati dai prestatori di servizi nell’Unione. Inoltre sono stati effettuati investimenti in soluzioni sia nazionali che transfrontaliere sulla base del regolamento (UE) n. 910/2014, compresa l’interoperabilità dei regimi di identificazione elettronica notificati ai sensi di tale regolamento. Al fine di garantire la complementarità e una rapida adozione dei portafogli europei di identità digitale da parte degli attuali utenti di mezzi di identificazione elettronica notificati e di ridurre al minimo l’impatto sui prestatori di servizi esistenti, i portafogli europei di identità digitale dovrebbero trarre vantaggio dall’esperienza acquisita con i mezzi di identificazione elettronica esistenti e dall’infrastruttura dei regimi di identificazione elettronica notificati utilizzati a livello dell’Unione e nazionale.

(9)

Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (7) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (8) si applicano a tutte le attività di trattamento dei dati personali ai sensi del regolamento (UE) n. 910/2014. Anche le soluzioni nell’ambito del quadro di interoperabilità di cui al presente regolamento sono conformi a tali norme. La normativa dell’Unione in materia di protezione dei dati stabilisce principi di protezione dei dati, quali la minimizzazione dei dati e il principio di limitazione delle finalità, e obblighi in materia, ad esempio la protezione dei dati fin dalla progettazione e per impostazione predefinita.

(10)

Al fine di sostenere la competitività delle imprese dell’Unione, i prestatori di servizi sia online che offline dovrebbero potersi avvalere di soluzioni di identità digitale riconosciute in tutta l’Unione, indipendentemente dallo Stato membro in cui tali soluzioni sono fornite, traendo in tal modo vantaggio da un approccio armonizzato a livello dell’Unione in materia di fiducia, sicurezza e interoperabilità. Sia gli utenti che i prestatori di servizi dovrebbero poter beneficiare in tutta l’Unione dello stesso valore giuridico conferito agli attestati elettronici di attributi. Un quadro armonizzato in materia di identità digitale ha l’obiettivo di creare valore economico fornendo un accesso più agevole a beni e servizi e riducendo in modo significativo i costi operativi legati alle procedure di identificazione e autenticazione elettroniche, ad esempio durante l’onboarding (acquisizione) di nuovi clienti, riducendo il rischio di reati informatici, quali furto di identità, furto di dati e frodi online, così da favorire guadagni in termini di efficienza e promuovere la trasformazione digitale sicura delle microimprese e delle piccole e medie imprese (PMI) dell’Unione.

(11)

I portafogli europei di identità digitale dovrebbero facilitare l’applicazione del principio «una tantum», in modo da ridurre gli oneri amministrativi e sostenere la mobilità transfrontaliera per i cittadini e i residenti dell’Unione e le imprese in tutta l’Unione e promuovere lo sviluppo di servizi interoperabili di e-government in tutta l’Unione.

(12)

Il regolamento (UE) 2016/679, il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (9) e la direttiva 2002/58/CE si applicano al trattamento dei dati personali nell’attuazione del presente regolamento. Il presente regolamento dovrebbe pertanto stabilire garanzie specifiche al fine di impedire ai fornitori di mezzi di identificazione elettronica e di attestati elettronici di attributi di combinare i dati personali ottenuti nella prestazione di altri servizi con i dati personali trattati al fine della prestazione dei servizi che rientrano nell’ambito di applicazione del presente regolamento. I dati personali relativi alla fornitura dei portafogli europei di identità digitale dovrebbero essere tenuti logicamente separati dagli altri dati detenuti dal fornitore del portafoglio europeo di identità digitale. Il presente regolamento non dovrebbe impedire ai fornitori di portafogli europei di identità digitale di applicare misure tecniche supplementari che contribuiscano alla protezione dei dati personali, quali la separazione fisica dei dati personali relativi alla fornitura dei portafogli europei di identità digitale da qualsiasi altro dato detenuto dal fornitore. Fatto salvo il regolamento (UE) 2016/679, il presente regolamento specifica ulteriormente l’applicazione dei principi di limitazione delle finalità, minimizzazione dei dati e protezione dei dati fin dalla progettazione e per impostazione predefinita.

(13)

I portafogli europei di identità digitale dovrebbero disporre, tra le proprie funzioni, di un pannello di gestione comune incorporato nella progettazione, al fine di garantire un livello più elevato di trasparenza, di tutela della vita privata e di controllo sui dati personali da parte degli utenti. Tale funzione dovrebbe prevedere un’interfaccia semplice e di facile utilizzo con una panoramica di tutte le parti facenti affidamento sulla certificazione con cui l’utente condivide dati, inclusi gli attributi, e del tipo di dati condivisi con ciascuna parte facente affidamento sulla certificazione. Dovrebbe consentire agli utenti di tracciare tutte le transazioni eseguite tramite il portafoglio europeo di identità digitale con almeno i seguenti dati: l’ora e la data della transazione, l’identificazione della controparte, i dati personali richiesti e i dati condivisi. Tali informazioni dovrebbero essere memorizzate anche se la transazione non è stata conclusa. Non dovrebbe essere possibile contestare l’autenticità delle informazioni contenute nella cronologia delle transazioni. Tale funzione dovrebbe essere attiva per impostazione predefinita. Dovrebbe consentire agli utenti di chiedere facilmente che una parte facente affidamento sulla certificazione cancelli immediatamente dati personali ai sensi dell’articolo 17 del regolamento (UE) 2016/679 e di segnalare facilmente la parte facente affidamento sulla certificazione all’autorità nazionale di protezione dei dati competente, in caso di ricezione di una richiesta di dati personali asseritamente illecita o sospetta, direttamente tramite il portafoglio europeo di identità digitale.

(14)

Gli Stati membri dovrebbero integrare nel portafoglio europeo di identità digitale diverse tecnologie che preservino la riservatezza, come ad esempio la dimostrazione a conoscenza zero. Tali metodi crittografici dovrebbero consentire a una parte facente affidamento sulla certificazione di convalidare la veridicità di una determinata dichiarazione sulla base dei dati di identificazione e dell’attestato di attributi della persona in questione, senza rivelare alcun dato su cui si basa tale dichiarazione, così da preservare la vita privata dell’utente.

(15)

Il presente regolamento stabilisce le condizioni armonizzate per l’istituzione di un quadro per i portafogli europei di identità digitale che saranno forniti dagli Stati membri. Tutti i cittadini e i residenti dell’Unione quali definiti dal diritto nazionale dovrebbero poter richiedere, selezionare, combinare, conservare, cancellare, condividere e presentare in sicurezza i dati relativi alla loro identità e richiedere la cancellazione dei loro dati personali in modo pratico e intuitivo, con il controllo esclusivo dell’utente, consentendo al contempo la divulgazione selettiva dei dati personali. Il presente regolamento riflette i valori europei condivisi e rispetta i diritti fondamentali, le garanzie giuridiche e la responsabilità, proteggendo in tal modo le società democratiche, i cittadini e i residenti dell’Unione. Le tecnologie utilizzate per conseguire tali obiettivi dovrebbero essere sviluppate cercando di ottenere il massimo livello di sicurezza, riservatezza, praticità per gli utenti, accessibilità, ampia utilizzabilità e interoperabilità senza soluzione di continuità. Gli Stati membri dovrebbero garantire a tutti i loro cittadini e residenti la parità di accesso all’identificazione elettronica. Gli Stati membri non dovrebbero limitare, direttamente o indirettamente, l’accesso a servizi pubblici o privati da parte di persone fisiche o giuridiche che scelgono di non utilizzare i portafogli europei di identità digitale e dovrebbero mettere a disposizione soluzioni alternative adeguate.

(16)

Gli Stati membri dovrebbero avvalersi delle possibilità offerte dal presente regolamento per fornire, sotto la propria responsabilità, portafogli europei di identità digitale destinati a essere utilizzati dalle persone fisiche e giuridiche che risiedono o sono stabilite nel loro territorio. Al fine di offrire flessibilità agli Stati membri e sfruttare lo stato dell’’arte tecnologico, il presente regolamento dovrebbe consentire la fornitura di portafogli europei di identità digitale direttamente da parte di uno Stato membro, sotto il mandato di uno Stato membro o indipendentemente da uno Stato membro, ma riconosciuti da tale Stato membro.

(17)

Ai fini della registrazione, le parti facenti affidamento sulla certificazione dovrebbero fornire le informazioni necessarie a consentire la loro identificazione e autenticazione elettroniche nei portafogli europei di identità digitale. Nel dichiarare l’uso previsto del portafoglio europeo di identità digitale, le parti facenti affidamento sulla certificazione dovrebbero fornire informazioni in merito ai dati che richiederanno, se del caso, ai fini della prestazione dei loro servizi come anche il motivo della richiesta. La registrazione delle parti facenti affidamento sulla certificazione agevola la verifica da parte degli Stati membri per quanto concerne la legittimità delle attività di tali parti, in conformità del diritto dell’Unione. L’obbligo di registrazione di cui al presente regolamento dovrebbe lasciare impregiudicati gli obblighi stabiliti da altre normative dell’Unione o nazionali, ad esempio per quanto riguarda le informazioni da fornire agli interessati ai sensi del regolamento (UE) 2016/679. Le parti facenti affidamento sulla certificazione dovrebbero rispettare le garanzie offerte dagli articoli 35 e 36 di tale regolamento, in particolare effettuando valutazioni d’impatto sulla protezione dei dati e consultando le autorità competenti in materia di protezione dei dati prima del trattamento dei dati, laddove le valutazioni d’impatto sulla protezione dei dati indichino che il trattamento comporterebbe un rischio elevato. Tali garanzie dovrebbero sostenere il trattamento lecito dei dati personali da parte delle parti facenti affidamento sulla certificazione, in particolare per quanto riguarda categorie particolari di dati, quali i dati sanitari. La registrazione delle parti facenti affidamento sulla certificazione è intesa accrescere la trasparenza e la fiducia nell’uso dei portafogli europei di identità digitale. La registrazione dovrebbe essere efficace sotto il profilo dei costi e proporzionata ai relativi rischi per garantire l’uso da parte dei prestatori di servizi. In tale contesto, la registrazione dovrebbe prevedere l’uso di procedure automatizzate, compresi il ricorso e l’uso di registri esistenti da parte degli Stati membri, e non dovrebbe comportare una procedura di autorizzazione preventiva. La procedura di registrazione dovrebbe consentire una serie di casi d’uso che possono variare in termini di modalità di funzionamento, in modalità online o offline, o in termini di obbligo di autenticazione dei dispositivi al fine di interfacciarsi con il portafoglio europeo di identità digitale. La registrazione dovrebbe applicarsi esclusivamente alle parti facenti affidamento sulla certificazione che prestano servizi mediante interazione digitale.

(18)

Proteggere i cittadini e i residenti dell’Unione dall’uso non autorizzato o fraudolento dei portafogli europei di identità digitale è di grande importanza al fine di garantire la fiducia negli stessi e la loro ampia diffusione. Agli utenti dovrebbe essere garantita una protezione efficace contro tale uso improprio. In particolare, ove nel contesto di un’altra procedura un’autorità giudiziaria nazionale accerti la sussistenza di fatti alla base di un uso fraudolento o in altro modo illecito di un portafoglio europeo di identità digitale, gli organismi di vigilanza responsabili per gli emittenti di portafogli europei di identità digitale dovrebbero, previa notifica, adottare le misure necessarie per garantire che la registrazione della parte facente affidamento sulla certificazione e l’inclusione delle parti facenti affidamento sulla certificazione nel meccanismo di autenticazione siano ritirate o sospese fino a quando l’autorità che ha effettuato la notifica confermi che è stato posto rimedio alle irregolarità rilevate.

(19)

Tutti i portafogli europei di identità digitale dovrebbero consentire agli utenti di identificarsi e autenticarsi elettronicamente in modalità online e offline a livello transfrontaliero per accedere a un’ampia gamma di servizi pubblici e privati. Fatte salve le prerogative degli Stati membri per quanto riguarda l’identificazione dei loro cittadini e residenti, i portafogli europei di identità digitale possono anche rispondere alle esigenze istituzionali delle amministrazioni pubbliche, delle organizzazioni internazionali e delle istituzioni, degli organi e degli organismi dell’Unione. L’autenticazione in modalità offline sarebbe importante in molti settori, compreso il settore sanitario nel quale i servizi sono spesso forniti mediante interazioni faccia a faccia, e per le ricette elettroniche dovrebbe essere possibile avvalersi di codici QR o tecnologie simili che consentano di verificarne l’autenticità. Contando su un livello di garanzia elevato per quanto riguarda i regimi di identificazione elettronica, i portafogli europei di identità digitale dovrebbero sfruttare il potenziale offerto da soluzioni a prova di manomissione quali gli elementi sicuri al fine di rispettare i requisiti di sicurezza ai sensi del presente regolamento. I portafogli europei di identità digitale dovrebbero inoltre consentire agli utenti di creare e utilizzare firme e sigilli elettronici qualificati accettati in tutta l’Unione. Una volta effettuato l’onboarding in un portafoglio europeo di identità digitale, le persone fisiche dovrebbero poterlo utilizzare per firmare con firme elettroniche qualificate, per impostazione predefinita e gratuitamente, senza dover sottostare a ulteriori procedure amministrative. Gli utenti dovrebbero poter apporre firme o sigilli su attributi o dichiarazioni autocertificati. Al fine di conseguire vantaggi in termini di semplificazione e riduzione dei costi per le persone e le imprese in tutta l’Unione, anche mediante la concessione di poteri di rappresentanza e mandati elettronici, gli Stati membri dovrebbero fornire portafogli europei di identità digitale che si basano su norme comuni e specifiche tecniche per garantire un’interoperabilità senza soluzione di continuità e aumentare adeguatamente la sicurezza informatica, rafforzare la solidità contro gli attacchi informatici e in tal modo ridurre significativamente i potenziali rischi che la digitalizzazione in atto pone a cittadini e a residenti dell’Unione e alle imprese. Solo le autorità competenti degli Stati membri possono fornire un livello elevato di sicurezza nella determinazione dell’identità di una persona e garantire quindi che la persona che rivendica o afferma una determinata identità sia effettivamente la persona che dice di essere. È pertanto necessario che la fornitura di portafogli europei di identità digitale si basi sull’identità giuridica dei cittadini dell’Unione, dei residenti dell’Unione o delle persone giuridiche. Il ricorso all’identità giuridica non dovrebbe ostacolare l’accesso ai servizi da parte degli utenti dei portafogli europei di identità digitale sotto pseudonimo, laddove non sussista alcun requisito giuridico relativo all’utilizzo dell’identità giuridica ai fini dell’autenticazione. La fiducia nei portafogli europei di identità digitale aumenterebbe se i soggetti emittenti e gestori fossero tenuti ad attuare misure tecniche e organizzative adeguate per garantire il massimo livello di sicurezza commisurato ai rischi per i diritti e le libertà delle persone fisiche, conformemente al regolamento (UE) 2016/679.

(20)

L’uso di una firma elettronica qualificata dovrebbe essere gratuito per tutte le persone fisiche a fini non professionali. Gli Stati membri dovrebbero poter prevedere misure che impediscano l’uso gratuito di firme elettroniche qualificate da parte di persone fisiche a fini professionali, garantendo al contempo che tali misure siano proporzionate ai rischi individuati e siano giustificate.

(21)

È utile facilitare l’adozione e l’uso dei portafogli europei di identità digitale integrandoli senza soluzione di continuità con l’ecosistema dei servizi digitali pubblici e privati già attuati a livello nazionale, locale o regionale. Per conseguire tale obiettivo, gli Stati membri dovrebbero poter prevedere misure giuridiche e organizzative al fine di aumentare la flessibilità per i fornitori dei portafogli europei di identità digitale e consentire funzionalità aggiuntive dei portafogli europei di identità digitale rispetto a quelle previste dal presente regolamento, anche attraverso una maggiore interoperabilità con i mezzi nazionali di identificazione elettronica esistenti. Tali funzionalità aggiuntive non dovrebbero in alcun modo andare a scapito delle funzioni fondamentali dei portafogli europei di identità digitale di cui al presente regolamento né promuovere le soluzioni nazionali esistenti rispetto ai portafogli europei di identità digitale. Poiché vanno al di là del presente regolamento, tali funzionalità aggiuntive non beneficiano delle disposizioni in materia di ricorso transfrontaliero ai portafogli europei di identità digitale di cui al presente regolamento.

(22)

I portafogli europei di identità digitale dovrebbero includere una funzionalità per generare pseudonimi scelti e gestiti dall’utente ai fini dell’autenticazione in caso di accesso a servizi online.

(23)

Al fine di conseguire un livello elevato di sicurezza e fiducia, il presente regolamento stabilisce i requisiti per i portafogli europei di identità digitale. La conformità dei portafogli europei di identità digitale a tali requisiti dovrebbe essere certificata da organismi accreditati di valutazione della conformità designati dagli Stati membri.

(24)

Al fine di evitare approcci divergenti e armonizzare l’attuazione dei requisiti stabiliti dal presente regolamento, è opportuno che la Commissione, ai fini della certificazione dei portafogli europei di identità digitale, adotti atti di esecuzione per stabilire un elenco di norme di riferimento e stabilire, se necessario, specifiche e procedure allo scopo di definire specifiche tecniche dettagliate relative a tali requisiti. Nella misura in cui la certificazione della conformità dei portafogli europei di identità digitale con i pertinenti requisiti di cibersicurezza non sia contemplata dai sistemi di certificazione della cibersicurezza esistenti cui si fa riferimento nel presente regolamento, e per quanto riguarda i requisiti non relativi alla cibersicurezza pertinenti per i portafogli europei di identità digitale, gli Stati membri dovrebbero istituire sistemi nazionali di certificazione conformemente ai requisiti armonizzati definiti nel presente regolamento e adottati a norma dello stesso. Gli Stati membri dovrebbero trasmettere i loro progetti di sistemi di certificazione nazionali al gruppo europeo di cooperazione sull’identità digitale, che dovrebbe essere in grado di formulare pareri e raccomandazioni.

(25)

La certificazione della conformità con i requisiti di cibersicurezza definiti al presente regolamento dovrebbe basarsi sui pertinenti sistemi europei di certificazione della cibersicurezza, se disponibili, istituiti a norma del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (10), che istituisce un quadro europeo di certificazione della cibersicurezza volontario per i prodotti, i processi e i servizi TIC.

(26)

Al fine di valutare e attenuare costantemente i rischi connessi alla sicurezza, i portafogli europei di identità digitale certificati dovrebbero essere oggetto di valutazioni periodiche delle vulnerabilità volte a rilevare eventuali vulnerabilità nei componenti certificati connessi ai prodotti, nei componenti certificati connessi ai processi e nei componenti certificati connessi ai servizi del portafoglio europeo di identità digitale.

(27)

Proteggendo gli utenti e le imprese dai rischi di cibersicurezza, i requisiti essenziali di cibersicurezza stabiliti nel presente regolamento contribuiscono inoltre a migliorare la protezione dei dati personali e della vita privata delle persone. Dovrebbero essere considerate le sinergie sia nell’ambito della normazione che della certificazione relativamente agli aspetti di cibersicurezza attraverso la cooperazione tra la Commissione, le organizzazioni europee di normazione, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), il comitato europeo per la protezione dei dati istituito dal regolamento (UE) 2016/679 e le autorità nazionali di controllo della protezione dei dati.

(28)

L’onboarding nel portafoglio europeo di identità digitale dei cittadini e dei residenti dell’Unione dovrebbe essere agevolato ricorrendo a mezzi di identificazione elettronica rilasciati a un livello di garanzia elevato. I mezzi di identificazione elettronica rilasciati a un livello di garanzia significativo dovrebbero essere utilizzati solo laddove le specifiche e procedure tecniche armonizzate che utilizzano mezzi di identificazione elettronica rilasciati a un livello di garanzia significativo in combinazione con mezzi complementari di verifica dell’identità consentano di soddisfare i requisiti di cui al presente regolamento per quanto riguarda il livello di garanzia elevato. Tali mezzi complementari dovrebbero essere affidabili e di facile utilizzo e potrebbero basarsi sulla possibilità di utilizzare procedure di onboarding a distanza, certificati qualificati supportati da firme elettroniche qualificate, attestati elettronici qualificati di attributi o una loro combinazione. Al fine di garantire un livello sufficiente di adozione dei portafogli europei di identità digitale, è opportuno stabilire, mediante atti di esecuzione, specifiche e procedure tecniche armonizzate per l’onboarding degli utenti utilizzando mezzi di identificazione elettronica, compresi quelli rilasciati a un livello di garanzia significativo.

(29)

L’obiettivo del presente regolamento è fornire all’utente un portafoglio europeo di identità digitale interamente mobile, sicuro e di facile utilizzo. Come misura transitoria fino alla disponibilità di soluzioni certificate a prova di manomissione, come ad esempio elementi sicuri all’interno dei dispositivi degli utenti, i portafogli europei di identità digitale dovrebbero potersi basare su elementi sicuri esterni certificati per la protezione del materiale crittografico e di altri dati sensibili o su mezzi di identificazione elettronica notificate a un livello di garanzia elevato al fine di dimostrare la conformità ai pertinenti requisiti del presente regolamento per quanto riguarda il livello di garanzia del portafoglio europeo di identità digitale. Il presente regolamento dovrebbe lasciare impregiudicate le condizioni nazionali per quanto riguarda il rilascio e l’uso di un elemento sicuro esterno certificato, qualora la misura transitoria ne dipenda.

(30)

I portafogli europei di identità digitale dovrebbero garantire il massimo livello di protezione e sicurezza dei dati ai fini dell’identificazione e autenticazione elettroniche per agevolare l’accesso a servizi pubblici e privati, indipendentemente dal fatto che tali dati siano conservati localmente o attraverso soluzioni basate sul cloud, tenendo debitamente conto dei diversi livelli di rischio.

(31)

I portafogli europei di identità digitale dovrebbero essere sicuri fin dalla progettazione e dovrebbero attuare caratteristiche di sicurezza avanzate per proteggere dal furto di identità e di altri dati, dal diniego di servizio (denial of service) e da qualsiasi altra minaccia informatica. Tale sicurezza dovrebbe includere metodi di cifratura e archiviazione all’avanguardia che siano accessibili solo all’utente, e decifrabili solo da quest’ultimo, e che si basino sulla comunicazione cifrata end-to-end con altri portafogli europei di identità digitale e parti facenti affidamento sulla certificazione. I portafogli europei di identità digitale dovrebbero inoltre richiedere la conferma sicura, esplicita e attiva dell’utente per le operazioni effettuate tramite i portafogli europei di identità digitale.

(32)

L’utilizzo gratuito dei portafogli europei di identità digitale non dovrebbe comportare il trattamento di dati al di là di quanto necessario per la fornitura dei servizi dei portafogli europei di identità digitale. Il presente regolamento non dovrebbe consentire il trattamento, da parte del fornitore del portafoglio europeo di identità digitale, dei dati personali conservati nel portafoglio europeo di identità digitale o risultanti dall’uso dello stesso, se non ai fini della fornitura dei servizi dei portafogli europei di identità digitale. Per garantire la tutela della vita privata, i fornitori di portafogli europei di identità digitale dovrebbero garantire la non osservabilità, evitando di raccogliere dati e non avendo conoscenza delle transazioni degli utenti del portafoglio europeo di identità digitale. Tale non osservabilità comporta che i fornitori non possano vedere i dettagli delle transazioni effettuate dall’utente. In casi specifici tuttavia, sulla base del previo consenso esplicito dell’utente per ciascuno di tali casi specifici e nel pieno rispetto del regolamento (UE) 2016/679, ai fornitori di portafogli europei di identità digitale potrebbe essere concesso l’accesso alle informazioni necessarie per la fornitura di un particolare servizio connesso ai portafogli europei di identità digitale.

(33)

La trasparenza dei portafogli europei di identità digitale e l’obbligo di rendiconto dei loro fornitori sono elementi chiave per creare fiducia sociale e promuovere l’accettazione del quadro. Il funzionamento dei portafogli europei di identità digitale dovrebbe pertanto essere trasparente e, in particolare, consentire un trattamento verificabile dei dati personali. A tal fine, gli Stati membri dovrebbero divulgare il codice sorgente dei componenti software dell’applicazione utente dei portafogli europei di identità digitale, compresi quelli connessi al trattamento dei dati personali e dei dati delle persone giuridiche. La pubblicazione di tale codice sorgente nell’ambito di una licenza open source dovrebbe consentire alla società, utenti e sviluppatori compresi, di comprenderne il funzionamento e di sottoporre il codice ad audit e a esame. Ciò aumenterebbe la fiducia degli utenti nell’ecosistema e contribuirebbe alla sicurezza dei portafogli europei di identità digitale consentendo a chiunque di segnalare vulnerabilità ed errori nel codice. Nel complesso ciò incentiverebbe i fornitori a offrire e mantenere un prodotto altamente sicuro. In taluni casi tuttavia, gli Stati membri, per motivi debitamente giustificati, soprattutto per motivi di pubblica sicurezza, potrebbero limitare la divulgazione del codice sorgente per le librerie utilizzate, il canale di comunicazione o altri elementi non ospitati sul dispositivo dell’utente.

(34)

L’utilizzo dei portafogli europei di identità digitale così come l’interruzione del loro utilizzo dovrebbero essere un diritto e una scelta esclusivi degli utenti. Gli Stati membri dovrebbero elaborare procedure semplici e sicure con cui gli utenti possano richiedere la revoca immediata della validità dei portafogli europei di identità digitale, anche in caso di perdita o furto. Dovrebbe essere istituito un meccanismo che, in caso di morte dell’utente o di cessazione dell’attività di una persona giuridica, consenta all’autorità preposta al regolamento della successione della persona fisica o dei beni della persona giuridica di richiedere la revoca immediata del portafoglio europeo di identità digitale.

(35)

Al fine di promuovere la diffusione dei portafogli europei di identità digitale e un uso più ampio delle identità digitali, gli Stati membri dovrebbero non solo promuovere i benefici dei servizi pertinenti, ma anche, in cooperazione con il settore privato, i ricercatori e il mondo accademico, sviluppare programmi di formazione volti a rafforzare le competenze digitali dei loro cittadini e residenti, in particolare per i gruppi vulnerabili, quali le persone con disabilità e gli anziani. Gli Stati membri dovrebbero inoltre sensibilizzare in merito ai benefici e ai rischi dei portafogli europei di identità digitale mediante campagne di comunicazione.

(36)

Al fine di garantire che il quadro europeo relativo a un’identità digitale sia aperto all’innovazione e agli sviluppi tecnologici e adatto alle esigenze future, gli Stati membri sono incoraggiati congiuntamente a istituire spazi di sperimentazione per testare le soluzioni innovative in un ambiente controllato e sicuro, in particolare per migliorare la funzionalità, la protezione dei dati personali, la sicurezza e l’interoperabilità delle soluzioni e plasmare i futuri aggiornamenti dei riferimenti tecnici e dei requisiti giuridici. Tale ambiente dovrebbe favorire l’inclusione delle PMI, delle start-up e dei singoli innovatori e ricercatori, nonché dei pertinenti portatori di interessi dell’industria. Tali iniziative dovrebbero contribuire e rafforzare il rispetto della normativa e la robustezza tecnica dei portafogli europei di identità digitale da fornire ai cittadini e ai residenti dell’Unione, impedendo in tal modo lo sviluppo di soluzioni che non sono conformi alla normativa dell’Unione in materia di protezione dei dati o sono aperte a vulnerabilità di sicurezza.

(37)

Il regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio (11) rafforza la sicurezza delle carte d’identità mediante caratteristiche di sicurezza rafforzate entro agosto 2021. Gli Stati membri dovrebbero valutare se sia fattibile notificarle nell’ambito dei regimi di identificazione elettronica al fine di estendere la disponibilità transfrontaliera dei mezzi di identificazione elettronica.

(38)

Il processo di notifica dei regimi di identificazione elettronica dovrebbe essere semplificato e accelerato al fine di promuovere l’accesso a soluzioni di autenticazione e identificazione pratiche, affidabili, sicure e innovative e, ove opportuno, di incoraggiare i gestori di identità (identity provider) privati a offrire regimi di identificazione elettronica alle autorità degli Stati membri affinché siano notificati come regimi nazionali di identificazione elettronica a norma del regolamento (UE) n. 910/2014.

(39)

La razionalizzazione delle attuali procedure di notifica e valutazione tra pari eviterà approcci eterogenei alla valutazione dei vari regimi di identificazione elettronica notificati e faciliterà la creazione di un clima di fiducia tra gli Stati membri. I nuovi meccanismi semplificati sono intesi promuovere la cooperazione tra gli Stati membri in materia di sicurezza e interoperabilità dei rispettivi regimi di identificazione elettronica notificati.

(40)

Gli Stati membri dovrebbero beneficiare di strumenti nuovi e flessibili per garantire il rispetto dei requisiti di cui al presente regolamento e ai pertinenti atti di esecuzione adottati a norma dello stesso. Il presente regolamento dovrebbe consentire agli Stati membri di utilizzare relazioni e valutazioni, realizzate da organismi di valutazione della conformità accreditati, come previsto nel contesto dei sistemi di certificazione che devono essere istituiti a livello dell’Unione a norma del regolamento (UE) 2019/881, a sostegno delle loro dichiarazioni di conformità al regolamento (UE) n. 910/2014 dei regimi, o di parti di essi.

(41)

I fornitori di servizi pubblici utilizzano i dati di identificazione personale messi a disposizione da mezzi di identificazione elettronica ai sensi del regolamento (UE) n. 910/2014 per stabilire una corrispondenza tra l’identità elettronica degli utenti di altri Stati membri e i dati di identificazione personale forniti a tali utenti nello Stato membro che stabilisce la corrispondenza dell’identità a livello transfrontaliero. In molti casi, tuttavia, malgrado l’uso dell’insieme minimo di dati fornito nell’ambito dei regimi di identificazione elettronica notificati, per garantire un’accurata corrispondenza dell’identità nel caso in cui gli Stati membri fungano da parti facenti affidamento sulla certificazione, sono necessarie ulteriori informazioni relative all’utente e procedure specifiche complementari di identificazione univoca da eseguire a livello nazionale. Per sostenere ulteriormente l’utilizzabilità dei mezzi di identificazione elettronica, fornire migliori servizi pubblici online e accrescere la certezza giuridica relativamente all’identità elettronica degli utenti, il regolamento (UE) n. 910/2014 dovrebbe imporre agli Stati membri l’adozione di specifiche misure online per garantire una corrispondenza univoca dell’identità quando gli utenti intendono accedere online a servizi pubblici transfrontalieri.

(42)

Nello sviluppo dei portafogli europei di identità digitale è essenziale tenere conto delle esigenze degli utenti. Dovrebbero essere disponibili casi d’uso significativi e servizi online basati sui portafogli europei di identità digitale. Per comodità degli utenti e per garantire la disponibilità transfrontaliera di tali servizi, è importante intraprendere azioni volte a facilitare un approccio alla progettazione, allo sviluppo e all’attuazione di servizi online che sia simile in tutti gli Stati membri. Orientamenti non vincolanti in materia di progettazione, sviluppo e attuazione dei servizi online che si basano sui portafogli europei di identità digitale hanno il potenziale di diventare uno strumento utile per conseguire tale obiettivo. Tali orientamenti dovrebbero essere elaborati tenendo conto del quadro di interoperabilità dell’Unione. Gli Stati membri dovrebbero svolgere un ruolo di primo piano nell’adozione di tali orientamenti.

(43)

Conformemente alla direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio (12), le persone con disabilità dovrebbero poter utilizzare in condizioni di parità con gli altri utenti i portafogli europei di identità digitale, i servizi fiduciari e i prodotti destinati all’utente finale impiegati per la prestazione di tali servizi.

(44)

Al fine di garantire l’efficace applicazione del presente regolamento, è opportuno stabilire un limite minimo per il livello massimo di sanzioni amministrative per i prestatori di servizi fiduciari sia qualificati che non qualificati. Gli Stati membri dovrebbero prevedere sanzioni effettive, proporzionate e dissuasive. Nel determinare le sanzioni è opportuno tenere debitamente conto delle dimensioni dei soggetti interessati, dei loro modelli di business e della gravità delle violazioni.

(45)

Gli Stati membri dovrebbero stabilire norme relative alle sanzioni applicabili a violazioni quali le pratiche dirette o indirette che generano confusione tra servizi fiduciari non qualificati e servizi fiduciari qualificati o l’uso abusivo del marchio di fiducia UE da parte di prestatori di servizi fiduciari non qualificati. Il marchio di fiducia UE non dovrebbe essere utilizzato in condizioni che, direttamente o indirettamente, inducano a ritenere che i servizi fiduciari non qualificati offerti da tali prestatori siano qualificati.

(46)

Il presente regolamento non dovrebbe contemplare aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici nei casi in cui il diritto dell’Unione o nazionale stabilisca obblighi quanto alla forma. Inoltre, non dovrebbe avere ripercussioni sugli obblighi di forma nazionali relativi ai registri pubblici, in particolare i registri commerciali e catastali.

(47)

La prestazione e l’uso di servizi fiduciari così come i benefici apportati in termini di praticità e certezza giuridica nel contesto di transazioni transfrontaliere, in particolare nel caso in cui si utilizzino servizi fiduciari qualificati, stanno acquisendo una sempre maggiore importanza per il commercio e la cooperazione internazionali. I partner internazionali dell’Unione stanno istituendo quadri fiduciari che si ispirano al regolamento (UE) n. 910/2014. Al fine di facilitare il riconoscimento di servizi fiduciari qualificati e dei relativi prestatori, la Commissione può adottare atti di esecuzione per fissare le condizioni alle quali i quadri fiduciari dei paesi terzi potrebbero essere considerati equivalenti ai quadri fiduciari per i servizi fiduciari qualificati e i relativi prestatori di cui al presente regolamento. Un tale approccio dovrebbe integrare la possibilità di riconoscimento reciproco dei servizi fiduciari e dei relativi prestatori stabiliti nell’Unione e in paesi terzi conformemente all’articolo 218 del trattato sul funzionamento dell’Unione europea (TFUE). Nel fissare le condizioni alle quali i quadri fiduciari dei paesi terzi potrebbero essere considerati equivalenti ai quadri fiduciari per i servizi fiduciari qualificati e i relativi prestatori ai sensi del regolamento (UE) n. 910/2014, è opportuno garantire il rispetto delle pertinenti disposizioni di cui alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (13) e al regolamento (UE) 2016/679, nonché l’uso di elenchi di fiducia quali elementi essenziali per costruire la fiducia.

(48)

Il presente regolamento dovrebbe promuovere la scelta tra i portafogli europei di identità digitale e la possibilità di passare da uno all’altro, qualora uno Stato membro abbia approvato più di una soluzione di portafoglio europeo di identità digitale nel proprio territorio. Al fine di evitare effetti di lock-in in tali situazioni, se tecnicamente possibile i fornitori di portafogli europei di identità digitale dovrebbero garantire l’effettiva portabilità dei dati su richiesta degli utenti dei portafogli europei di identità digitale e non dovrebbero essere autorizzati a utilizzare ostacoli contrattuali, economici o tecnici per impedire o scoraggiare l’effettivo passaggio tra diversi portafogli europei di identità digitale.

(49)

Al fine di garantire il corretto funzionamento dei portafogli europei di identità digitale, i fornitori di portafogli europei di identità digitale necessitano di interoperabilità effettiva e di condizioni eque, ragionevoli e non discriminatorie affinché i portafogli europei di identità digitale possano accedere a specifici componenti hardware e software dei dispositivi mobili. Tali componenti dovrebbero includere in particolare antenne NFC (near field communication) ed elementi sicuri, tra cui carte universali a circuiti integrati, elementi sicuri integrati, schede micro SD e Bluetooth a bassa energia. L’accesso a tali componenti potrebbe avvenire sotto il controllo di operatori di reti mobili e costruttori di apparecchiature. Pertanto, i costruttori di apparecchiature originali di dispositivi mobili o i prestatori di servizi di comunicazione elettronica non dovrebbero rifiutare l’accesso a tali componenti, se necessario ai fini della prestazione dei servizi dei portafogli europei di identità digitale. Inoltre le imprese designate come gatekeeper per i servizi di piattaforma di base elencati dalla Commissione ai sensi del regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio (14) dovrebbero rimanere soggette alle specifiche disposizioni di tale regolamento, sulla base dell’articolo 6, paragrafo 7, dello stesso.

(50)

Al fine di razionalizzare gli obblighi in materia di cibersicurezza imposti ai prestatori di servizi fiduciari, nonché di consentire a tali prestatori e alle rispettive autorità competenti di beneficiare del quadro giuridico istituito dalla direttiva (UE) 2022/2555, a norma di tale direttiva i servizi fiduciari sono tenuti ad adottare misure tecniche e organizzative adeguate, quali misure per far fronte a guasti del sistema, errori umani, azioni malevole o fenomeni naturali, per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali prestatori utilizzano nella prestazione dei loro servizi, nonché per notificare minacce informatiche e incidenti significativi conformemente alla medesima direttiva. Per quanto riguarda la segnalazione di incidenti, i prestatori di servizi fiduciari dovrebbero notificare eventuali incidenti che abbiano un impatto significativo sulla prestazione dei loro servizi, compresi quelli causati dal furto o dalla perdita di dispositivi o da danni ai cavi di rete, o quelli verificatisi nel contesto dell’identificazione di persone. I requisiti in materia di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione a norma della direttiva (UE) 2022/2555 dovrebbero essere considerati complementari ai requisiti imposti ai prestatori di servizi fiduciari a norma del presente regolamento. Ove opportuno, le autorità competenti designate a norma della direttiva (UE) 2022/2555 dovrebbero continuare ad applicare le prassi o gli orientamenti nazionali consolidati per quanto riguarda l’attuazione dei requisiti in materia di sicurezza e comunicazione e la vigilanza della conformità a tali requisiti a norma del regolamento (UE) n. 910/2014. Il presente regolamento fa salvo l’obbligo di notificare le violazioni dei dati personali a norma del regolamento (UE) 2016/679.

(51)

È opportuno prestare la dovuta attenzione per garantire una cooperazione efficace tra gli organismi di vigilanza designati a norma dell’articolo 46 ter del regolamento (UE) n. 910/2014 e le autorità competenti designate o istituite a norma dell’articolo 8, paragrafo 1, della direttiva (UE) 2022/2555. Qualora gli organismi di vigilanza siano diversi dalle autorità competenti, tali soggetti dovrebbero cooperare strettamente e in maniera puntuale scambiandosi le pertinenti informazioni al fine di garantire un’efficace vigilanza dei prestatori di servizi fiduciari e il rispetto, da parte di questi ultimi, dei requisiti di cui al regolamento (UE) n. 910/2014 e alla direttiva (UE) 2022/2555. In particolare, gli organismi di vigilanza designati a norma del regolamento (UE) n. 910/2014 dovrebbero essere autorizzati a richiedere alle autorità competenti designate o istituite a norma della direttiva (UE) 2022/2555 di fornire le pertinenti informazioni necessarie per concedere la qualifica e svolgere azioni di vigilanza volte a verificare il rispetto, da parte dei prestatori di servizi fiduciari, dei pertinenti requisiti di cui alla direttiva (UE) 2022/2555 o a imporre loro di rimediare al mancato rispetto.

(52)

È essenziale prevedere un quadro giuridico per agevolare il riconoscimento transfrontaliero tra gli ordinamenti giuridici nazionali esistenti relativi ai servizi elettronici di recapito certificato. Tale quadro potrebbe aprire inoltre per i prestatori di servizi fiduciari dell’Unione nuove opportunità di mercato per l’offerta di nuovi servizi elettronici di recapito certificato in tutta l’Unione. Al fine di garantire che i dati trasmessi mediante servizio elettronico di recapito certificato qualificato giungano al destinatario corretto, i servizi elettronici di recapito certificato qualificati dovrebbero garantire con assoluta certezza l’identificazione del destinatario, mentre per quanto riguarda l’identificazione del mittente basterebbe un elevato livello di sicurezza. Gli Stati membri dovrebbero incoraggiare i prestatori di servizi elettronici di recapito certificato qualificati a rendere i loro servizi interoperabili con i servizi elettronici di recapito certificato qualificati prestati da altri prestatori di servizi fiduciari qualificati, al fine di trasferire facilmente dati elettronici registrati tra due o più prestatori di servizi fiduciari qualificati e di promuovere pratiche leali nel mercato interno.

(53)

Nella maggior parte dei casi i cittadini e i residenti dell’Unione non sono in grado di scambiare, a livello transfrontaliero, in modo sicuro e con un livello elevato di protezione dei dati, informazioni digitali relative alla loro identità quali indirizzi, età, qualifiche professionali, patente di guida e altri permessi e dati di pagamento.

(54)

Dovrebbe essere possibile emettere e gestire attributi elettronici affidabili e contribuire a ridurre gli oneri amministrativi, consentendo ai cittadini e ai residenti dell’Unione di utilizzare tali attributi nelle loro transazioni pubbliche e private. I cittadini e i residenti dell’Unione dovrebbero poter, ad esempio, dimostrare di possedere una patente di guida in corso di validità rilasciata da un’autorità di uno Stato membro, che possa essere verificata e ritenuta affidabile dalle autorità competenti di altri Stati membri, e dovrebbero inoltre potersi avvalere in un contesto transfrontaliero delle proprie credenziali relative alla sicurezza sociale o di futuri documenti di viaggio digitali.

(55)

Qualsiasi fornitore di servizi che rilasci attributi in forma elettronica quali diplomi, licenze, certificati di nascita oppure poteri e mandati per rappresentare persone fisiche o giuridiche o agire a loro nome dovrebbe essere considerato un prestatore di servizi fiduciari che fornisce attestati elettronici di attributi. Agli attestati elettronici di attributi non dovrebbero essere negati gli effetti giuridici a motivo della loro forma elettronica o perché non soddisfano i requisiti degli attestati elettronici qualificati di attributi. È opportuno stabilire requisiti generali per garantire che gli effetti giuridici degli attestati elettronici qualificati di attributi siano equivalenti a quelli degli attestati in formato cartaceo rilasciati legalmente. Tali requisiti dovrebbero tuttavia applicarsi fatta salva la normativa dell’Unione o nazionale che definisce ulteriori requisiti di forma settoriali aventi effetti giuridici e, in particolare, il riconoscimento transfrontaliero degli attestati elettronici qualificati di attributi, ove opportuno.

(56)

L’ampia disponibilità e utilizzabilità dei portafogli europei di identità digitale dovrebbe accrescere l’accettazione e la fiducia nei loro confronti da parte dei privati e dei prestatori di servizi privati. Le parti private facenti affidamento sulla certificazione che prestano servizi ad esempio nei settori dei trasporti, dell’energia, delle banche e dei servizi finanziari, della sicurezza sociale, della sanità, dell’acqua potabile, dei servizi postali, dell’infrastruttura digitale, delle telecomunicazioni o dell’istruzione dovrebbero pertanto accettare l’uso dei portafogli europei di identità digitale per la prestazione di servizi per i quali il diritto dell’Unione o nazionale o gli obblighi contrattuali impongono un’autenticazione forte dell’utente per l’identificazione online. Eventuali richieste dalle parti facenti affidamento sulla certificazione di informazioni provenienti dall’utente di un portafoglio europeo di identità digitale dovrebbero essere necessarie e proporzionate all’uso previsto in un determinato caso, essere in linea con il principio della minimizzazione dei dati e garantire la trasparenza per quanto riguarda quali dati sono condivisi e a quali scopi. Per agevolare l’uso e l’accettazione dei portafogli europei di identità digitale, è opportuno tenere conto delle norme e delle specifiche del settore ampiamente accettate nella loro introduzione.

(57)

Qualora le piattaforme online di dimensioni molto grandi ai sensi dell’articolo 33, paragrafo 1, del regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio (15) impongano agli utenti di essere autenticati per accedere ai servizi online, tali piattaforme dovrebbero essere tenute ad accettare l’uso dei portafogli europei di identità digitale su richiesta volontaria dell’utente. Gli utenti non dovrebbero essere obbligati a usare un portafoglio europeo di identità digitale per accedere ai servizi privati e il loro accesso ai servizi non dovrebbe essere limitato o ostacolato per il fatto che non utilizzano un portafoglio europeo di identità digitale. Tuttavia, qualora gli utenti desiderino usarlo, le piattaforme online di dimensioni molto grandi dovrebbero accettarne l’uso a tale scopo, nel rispetto del principio della minimizzazione dei dati e del diritto degli utenti di utilizzare pseudonimi liberamente scelti. L’obbligo di accettare portafogli europei di identità digitale è necessario al fine di aumentare la tutela degli utenti dalle frodi e garantire un livello elevato di protezione dei dati, considerata l’importanza che le piattaforme online di dimensioni molto grandi rivestono per via del loro raggio d’azione, espresso in particolare come numero di destinatari del servizio e di transazioni economiche.

(58)

È opportuno elaborare codici di condotta a livello dell’Unione per contribuire all’ampia disponibilità e utilizzabilità dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale che rientrano nell’ambito di applicazione del presente regolamento. I codici di condotta dovrebbero facilitare un’ampia accettazione dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale, da parte dei prestatori di servizi che non sono considerati piattaforme di dimensioni molto grandi e che si avvalgono di servizi di identificazione elettronica di terzi per l’autenticazione degli utenti.

(59)

La divulgazione selettiva è un concetto che conferisce al proprietario dei dati il potere di divulgare solo alcune parti di un insieme di dati più ampio, affinché il soggetto ricevente ottenga solo le informazioni necessarie per la prestazione di un servizio richiesto da un utente. Il portafoglio europeo di identità digitale dovrebbe consentire, a livello tecnico, la divulgazione selettiva degli attributi alle parti facenti affidamento sulla certificazione. Per l’utente dovrebbe essere tecnicamente possibile divulgare selettivamente gli attributi, anche quando in origine sono parti di una serie di attestati elettronici distinti, e combinarli e presentarli senza soluzione di continuità alle parti facenti affidamento sulla certificazione. Tale caratteristica dovrebbe diventare una caratteristica di progettazione di base dei portafogli europei di identità digitale, rafforzando in tal modo la praticità e la tutela dei dati personali, compresa la minimizzazione dei dati.

(60)

A meno che norme specifiche del diritto dell’Unione o nazionale impongano agli utenti di identificarsi, non dovrebbe essere proibito accedere ai servizi utilizzando uno pseudonimo.

(61)

Gli attributi forniti dai prestatori di servizi fiduciari qualificati nell’ambito degli attestati qualificati di attributi dovrebbero essere verificati rispetto alle fonti autentiche, direttamente dal prestatore di servizi fiduciari qualificato oppure tramite intermediari designati riconosciuti a livello nazionale conformemente al diritto dell’Unione o nazionale, ai fini dello scambio sicuro di attributi tra i gestori di identità o i prestatori di servizi di attestazione di attributi e le parti facenti affidamento sulla certificazione. Gli Stati membri dovrebbero istituire meccanismi appropriati a livello nazionale per far sì che i prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi siano in grado, sulla base del consenso della persona a cui è rilasciato l’attestato, di verificare l’autenticità degli attributi che fanno affidamento su fonti autentiche. Tra i possibili meccanismi appropriati dovrebbe figurare il ricorso a intermediari specifici o a soluzioni tecniche conformi al diritto nazionale che consentono l’accesso a fonti autentiche. Garantire la disponibilità di un meccanismo che consenta la verifica degli attributi rispetto alle fonti autentiche intende favorire il rispetto, da parte dei prestatori di servizi fiduciari qualificati che forniscono attestati elettronici qualificati di attributi, degli obblighi loro imposti dal regolamento (UE) n. 910/2014. Un nuovo allegato di tale regolamento dovrebbe contenere un elenco di categorie di attributi per i quali gli Stati membri devono assicurare che siano adottate misure per consentire ai fornitori qualificati di attestati elettronici qualificati di attributi di verificare mediante mezzi elettronici, su richiesta dell’utente, la loro autenticità rispetto alla fonte autentica pertinente.

(62)

L’identificazione elettronica sicura e la fornitura di attestati di attributi dovrebbero offrire al settore dei servizi finanziari una maggiore flessibilità e ulteriori soluzioni per consentire l’identificazione dei clienti e lo scambio degli attributi specifici necessari per rispettare, ad esempio, le prescrizioni in materia di adeguata verifica della clientela ai sensi di un futuro regolamento che istituisce l’Autorità antiriciclaggio o i requisiti di idoneità derivanti dalla normativa in materia di protezione degli investitori, oppure per sostenere l’adempimento delle prescrizioni in materia di autenticazione forte del cliente per l’identificazione online ai fini dell’accesso all’account e dell’avvio di transazioni nel settore dei servizi di pagamento.

(63)

Gli effetti giuridici di una firma elettronica non possono essere contestati in ragione della sua forma elettronica o del fatto che non soddisfa i requisiti della firma elettronica qualificata. Tuttavia, gli effetti giuridici delle firme elettroniche devono essere stabiliti dal diritto nazionale, salvo per i requisiti previsti dal presente regolamento a norma dei quali gli effetti giuridici di una firma elettronica qualificata devono essere considerati equivalenti a quelli di una firma autografa. Nel determinare gli effetti giuridici delle firme elettroniche gli Stati membri dovrebbero tenere conto del principio di proporzionalità tra il valore giuridico di un documento da firmare e il livello di sicurezza e di costo richiesto da una firma elettronica. Per aumentare l’accessibilità e l’uso delle firme elettroniche, gli Stati membri sono incoraggiati a valutare l’uso di firme elettroniche avanzate nelle transazioni quotidiane, per le quali essi forniscono un livello sufficiente di sicurezza e affidabilità.

(64)

Per garantire la coerenza delle pratiche di certificazione in tutta l’Unione, la Commissione dovrebbe emanare orientamenti in materia di certificazione e ricertificazione dei dispositivi qualificati per la creazione di una firma elettronica e dei dispositivi qualificati per la creazione di un sigillo elettronico, anche per quanto riguarda la loro validità e le relative limitazioni temporali. Il presente regolamento non impedisce agli organismi pubblici o privati che dispongono di dispositivi qualificati per la creazione di una firma elettronica certificati di ricertificare temporaneamente tali dispositivi per un breve periodo di certificazione, sulla base dei risultati del processo di certificazione precedente, qualora tale ricertificazione non possa essere effettuata entro il termine stabilito per legge per un motivo diverso da una violazione della sicurezza o da un incidente di sicurezza, fatto salvo l’obbligo di condurre una valutazione delle vulnerabilità e fatta salva la pratica di certificazione applicabile.

(65)

Il rilascio di certificati per l’autenticazione dei siti web è intesa ad offrire agli utenti una garanzia con un elevato livello di affidabilità riguardo all’identità delle entità dietro ai siti web, indipendentemente dalla piattaforma utilizzata per la visualizzazione di tale identità. Tali certificati dovrebbero contribuire a diffondere sicurezza e fiducia nelle transazioni commerciali online, in quanto gli utenti si fiderebbero di un sito web che è stato autenticato. L’uso di tali certificati da parte di siti web dovrebbe essere volontario. Affinché l’autenticazione dei siti web divenga un mezzo per rafforzare la fiducia, fornire un’esperienza migliore all’utente e promuovere la crescita nel mercato interno, il presente regolamento stabilisce un quadro fiduciario comprendente obblighi minimi in materia di sicurezza e responsabilità per i fornitori di certificati qualificati di autenticazione dei siti web e requisiti per il rilascio di tali certificati. Gli elenchi nazionali di fiducia dovrebbero confermare la qualifica dei servizi di autenticazione di siti web e dei loro prestatori di servizi fiduciari, compresa la loro piena conformità ai requisiti del presente regolamento per quanto riguarda il rilascio di certificati qualificati di autenticazione di siti web. Il riconoscimento dei certificati qualificati di autenticazione di siti web comporta che i fornitori di browser web non dovrebbero negare l’autenticità dei certificati qualificati di autenticazione di siti web al solo scopo di attestare il collegamento tra il nome di dominio del sito web e la persona fisica o giuridica a cui è rilasciato il certificato o di confermare l’identità di tale persona. I fornitori di browser web dovrebbero far sì che l’utente finale visualizzi i dati di identità certificati e gli altri attributi in modo facilmente consultabile nell’ambiente del browser, tramite mezzi tecnici di loro scelta. A tal fine i fornitori di browser web dovrebbero garantire il supporto dei certificati qualificati di autenticazione di siti web emessi nel pieno rispetto del presente regolamento e l’interoperabilità con gli stessi. L’obbligo di riconoscimento, interoperabilità e supporto dei certificati qualificati di autenticazione di siti web non pregiudica la libertà dei fornitori di browser web di garantire la sicurezza del web, l’autenticazione del dominio e la cifratura del traffico web con le modalità e tramite la tecnologia che ritengono più appropriate. Al fine di contribuire alla sicurezza online degli utenti finali, i fornitori di browser web dovrebbero, in circostanze eccezionali, poter adottare misure precauzionali tanto necessarie quanto proporzionate in risposta a preoccupazioni fondate riguardanti violazioni della sicurezza o la perdita di integrità di un certificato o di un insieme di certificati identificati. Qualora adottino tali misure precauzionali, i fornitori di browser web dovrebbero notificare senza indebito ritardo alla Commissione, all’organismo nazionale di vigilanza, al soggetto al quale è stato rilasciato il certificato e al prestatore di servizi fiduciari qualificato che ha rilasciato tale certificato o insieme di certificati, eventuali preoccupazioni in merito a tale violazione della sicurezza o perdita di integrità, nonché le misure adottate in relazione al singolo certificato o a un insieme di certificati. Tali misure non dovrebbero pregiudicare l’obbligo dei fornitori di browser web di riconoscere i certificati qualificati di autenticazione di siti web conformemente agli elenchi nazionali di fiducia. Le autorità pubbliche degli Stati membri dovrebbero valutare la possibilità di integrare nei loro siti web i certificati qualificati di autenticazione di siti web al fine di promuoverne l’utilizzo e proteggere ulteriormente i cittadini e i residenti dell’Unione. Le misure previste dal presente regolamento volte ad accrescere la coerenza tra gli approcci e le prassi divergenti degli Stati membri in materia di procedure di vigilanza sono intese a contribuire a migliorare la fiducia nella sicurezza, nella qualità e nella disponibilità dei certificati qualificati di autenticazione di siti web.

(66)

Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Al fine di garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati, ispirato al quadro per gli altri servizi fiduciari di cui al presente regolamento. Il quadro giuridico per i servizi di archiviazione elettronica qualificati dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente che comprenda requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici in caso di utilizzo di un servizio di archiviazione elettronica qualificato. Tali disposizioni dovrebbero applicarsi ai dati elettronici e ai documenti elettronici creati in forma elettronica e ai documenti cartacei che sono stati scannerizzati e digitalizzati. Ove necessario, tali disposizioni dovrebbero consentire che i dati elettronici e i documenti elettronici conservati siano trasferiti su supporti o formati diversi al fine di estenderne la durabilità e la leggibilità oltre il periodo di validità tecnologica, evitando nel contempo, nella misura del possibile, le perdite e le alterazioni. Quando i dati elettronici e i documenti elettronici trasmessi al servizio di archiviazione elettronica contengono una o più firme elettroniche qualificate ovvero uno o più sigilli elettronici qualificati, il servizio dovrebbe utilizzare procedure e tecnologie in grado di estendere la loro affidabilità per il periodo di conservazione di tali dati, eventualmente ricorrendo all’uso di altri servizi fiduciari qualificati istituiti dal presente regolamento. Per la creazione delle prove di conservazione in caso di utilizzo di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, è opportuno utilizzare servizi fiduciari qualificati. In relazione ai servizi di archiviazione elettronica non armonizzati dal presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni nazionali, in conformità del diritto dell’Unione, relative a tali servizi, quali disposizioni specifiche per i servizi integrati in un’organizzazione e utilizzati esclusivamente per gli archivi interni di tale organizzazione. Il presente regolamento non dovrebbe distinguere tra dati elettronici e i documenti elettronici creati in forma elettronica e documenti fisici che sono stati digitalizzati.

(67)

Le attività degli archivi nazionali e delle istituzioni della memoria, in qualità di organizzazioni preposte alla conservazione del patrimonio documentario nell’interesse pubblico, sono generalmente disciplinate dal diritto nazionale e non forniscono necessariamente servizi fiduciari ai sensi del presente regolamento. Nella misura in cui tali istituzioni non forniscono tali servizi fiduciari, il presente regolamento non ne pregiudica il funzionamento.

(68)

I registri elettronici sono una sequenza di registrazioni di dati elettronici che dovrebbero garantirne l’integrità e l’accuratezza dell’ordine cronologico. I registri elettronici dovrebbero stabilire una sequenza cronologica delle registrazioni di dati. Congiuntamente ad altre tecnologie, dovrebbero contribuire a fornire soluzioni per servizi pubblici più efficienti e trasformativi, quali il voto elettronico, la cooperazione transfrontaliera delle autorità doganali, la cooperazione transfrontaliera delle istituzioni accademiche e la registrazione delle proprietà immobiliari nei registri catastali decentrati. I registri elettronici qualificati dovrebbero stabilire una presunzione legale per l’ordine cronologico sequenziale univoco e accurato e l’integrità della registrazione dei dati nel registro. In ragione delle loro specificità, ad esempio l’ordine cronologico sequenziale delle registrazioni di dati, i registri elettronici dovrebbero essere distinti da altri servizi fiduciari quali le validazioni temporali elettroniche e i servizi elettronici di recapito certificato. Per garantire la certezza giuridica e promuovere l’innovazione, è opportuno istituire un quadro giuridico a livello dell’Unione che disponga il riconoscimento transfrontaliero dei servizi fiduciari per la registrazione dei dati nei registri elettronici. Ciò dovrebbe impedire in misura sufficiente che lo stesso bene digitale sia copiato e venduto più di una volta a diverse parti. Il processo di creazione e aggiornamento di un registro elettronico dipende dal tipo di registro utilizzato, ossia se è centralizzato o distribuito. Il presente regolamento dovrebbe garantire la neutralità tecnologica, vale a dire non favorire né discriminare alcuna tecnologia utilizzata per attuare il nuovo servizio fiduciario per i registri elettronici. Inoltre, nell’elaborazione degli atti di esecuzione che specificano i requisiti per i registri elettronici qualificati, la Commissione dovrebbe tenere conto degli indicatori di sostenibilità relativi a eventuali effetti negativi sul clima o altri effetti negativi connessi all’ambiente, utilizzando metodologie adeguate.

(69)

Il ruolo dei prestatori di servizi fiduciari per i registri elettronici dovrebbe essere quello di verificare la registrazione sequenziale dei dati nel registro. Il presente regolamento lascia impregiudicati gli obblighi giuridici degli utenti dei registri elettronici ai sensi del diritto dell’Unione o nazionale. Ad esempio, i casi d’uso che comportano il trattamento di dati personali dovrebbero rispettare il regolamento (UE) 2016/679 e i casi d’uso relativi ai servizi finanziari dovrebbero essere conformi al pertinente diritto dell’Unione in materia di servizi finanziari.

(70)

Al fine di evitare la frammentazione del mercato interno e gli ostacoli all’interno di quest’ultimo dovuti a norme divergenti e restrizioni tecniche e di garantire un processo coordinato per non compromettere l’attuazione del quadro europeo relativo a un’identità digitale, è necessario un processo per una cooperazione ravvicinata e strutturata tra la Commissione, gli Stati membri, la società civile, il mondo accademico e il settore privato. Per conseguire tale obiettivo gli Stati membri e la Commissione dovrebbero cooperare nell’ambito del quadro istituito dalla raccomandazione (UE) 2021/946 della Commissione (16) al fine di individuare un pacchetto di strumenti comune dell’Unione per un quadro europeo relativo a un’identità digitale. In tale contesto, gli Stati membri dovrebbero concordare un’architettura tecnica e un quadro di riferimento completi, un insieme comune di norme e di riferimenti tecnici, tra cui norme vigenti riconosciute, e una serie di orientamenti e descrizioni di migliori prassi che contemplino almeno tutte le funzionalità e l’interoperabilità dei portafogli europei di identità digitale, comprese le firme elettroniche, e dei prestatori di servizi fiduciari qualificati per gli attestati elettronici di attributi di cui al presente regolamento. In tale contesto, gli Stati membri dovrebbero anche concordare gli elementi comuni per quanto concerne un modello di business e una struttura tariffaria per i portafogli europei di identità digitale al fine di agevolarne l’adozione, in particolare da parte delle PMI, in un contesto transfrontaliero. Il contenuto del pacchetto di strumenti dovrebbe evolvere di pari passo con i risultati della discussione e del processo di adozione del quadro europeo relativo a un’identità digitale e rispecchiare tali risultati.

(71)

Il presente regolamento prevede un livello armonizzato di qualità, affidabilità e sicurezza dei servizi fiduciari qualificati, indipendentemente dal luogo in cui sono effettuate le operazioni. Pertanto, un prestatore di servizi fiduciari qualificato dovrebbe essere autorizzato a esternalizzare le sue operazioni relative alla prestazione di un servizio fiduciario qualificato in un paese terzo, qualora quest’ultimo fornisca sufficienti garanzie, assicurando che le attività di vigilanza e le verifiche possano essere eseguite come se fossero effettuate nell’Unione. Ove la conformità al presente regolamento non possa essere pienamente garantita, gli organismi di vigilanza dovrebbero poter adottare misure proporzionate e giustificate, compresa la revoca della qualifica del servizio fiduciario prestato.

(72)

Per garantire la certezza giuridica della validità delle firme elettroniche avanzate basate su certificati qualificati, è essenziale specificare la valutazione della parte facente affidamento sulla certificazione che effettua la convalida di tale firma elettronica avanzata basata su certificati qualificati.

(73)

I prestatori di servizi fiduciari dovrebbero utilizzare metodi crittografici che riflettano le migliori pratiche vigenti e attuazioni affidabili di tali algoritmi al fine di garantire la sicurezza e l’affidabilità dei loro servizi fiduciari.

(74)

Il presente regolamento stabilisce l’obbligo per i prestatori di servizi fiduciari qualificati di verificare l’identità di una persona fisica o giuridica cui è rilasciato il certificato qualificato o l’attestato elettronico di attributi qualificato sulla base di vari metodi armonizzati in tutta l’Unione. Per garantire che i certificati qualificati e gli attestati elettronici qualificati di attributi siano rilasciati alla persona cui appartengono e che attestino l’insieme corretto e unico di dati che rappresenta l’identità di tale persona, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati o attestati elettronici qualificati di attributi dovrebbero, al momento del rilascio di tali certificati e attestati, garantire con assoluta certezza l’identificazione di tale persona. Inoltre, oltre alla verifica obbligatoria dell’identità della persona, se applicabile per il rilascio di certificati qualificati e al momento del rilascio di un attestato elettronico di attributi qualificato, i prestatori di servizi fiduciari qualificati dovrebbero garantire con assoluta certezza la correttezza e l’accuratezza degli attributi della persona cui è rilasciato il certificato qualificato o l’attestato elettronico di attributi qualificato. Tali obblighi di risultato e di assoluta certezza nella verifica dei dati attestati dovrebbero essere sostenuti con mezzi adeguati, anche utilizzando un metodo o, se necessario, una combinazione di metodi specifici previsti dal presente regolamento. Dovrebbe essere possibile combinare tali metodi per fornire una base adeguata ai fini della verifica dell’identità della persona cui è rilasciato il certificato qualificato o l’attestato elettronico di attributi qualificato. Tale combinazione dovrebbe poter includere il ricorso a mezzi di identificazione elettronica che soddisfano i requisiti del livello di garanzia significativo in combinazione con altri mezzi di verifica dell’identità che consentirebbero di soddisfare i requisiti armonizzati di cui al presente regolamento per quanto riguarda il livello di garanzia elevato nell’ambito di ulteriori procedure armonizzate a distanza, garantendo l’identificazione con un elevato livello di affidabilità. Tali metodi dovrebbero includere la possibilità per il prestatore di servizi fiduciari qualificato che rilascia un attestato elettronico di attributi qualificato di verificare gli elementi da attestare mediante mezzi elettronici, su richiesta dell’utente, conformemente al diritto dell’Unione o nazionale, anche rispetto alle fonti autentiche.

(75)

Per mantenere il presente regolamento in linea con gli sviluppi globali e seguire le migliori pratiche sul mercato interno, gli atti delegati e di esecuzione adottati dalla Commissione dovrebbero essere riesaminati e, se necessario, aggiornati periodicamente. La valutazione della necessità di tali aggiornamenti dovrebbe tenere conto delle nuove tecnologie, pratiche, norme o specifiche tecniche.

(76)

Poiché gli obiettivi del presente regolamento, vale a dire lo sviluppo del quadro europeo relativo a un’identità digitale e di un quadro per i servizi fiduciari a livello dell’Unione, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della loro portata e dei loro effetti, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(77)

Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato.

(78)

È pertanto opportuno modificare di conseguenza il regolamento (UE) n. 910/2014,

1)

l’articolo 1 è sostituito dal seguente:

2)

l’articolo 2 è così modificato:

3)

l’articolo 3 è così modificato:

4)

l’articolo 5 è sostituito dal seguente:

5)

al capo II è inserita la sezione seguente:

(*2)  Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70)."

(*3)  Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (“regolamento sulla cibersicurezza”) (GU L 151 del 7.6.2019, pag. 15)."

(*4)  Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36)."

(*5)  Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (GU L 277 del 27.10.2022, pag. 1).»;"

6)

prima dell’articolo 6 è inserito il titolo seguente:

7)

all’articolo 7, la lettera g) è sostituita dalla seguente:

8)

all’articolo 8, paragrafo 3, il primo comma è sostituito dal seguente:

9)

all’articolo 9, i paragrafi 2 e 3 sono sostituiti dai seguenti:

10)

all’articolo 10, il titolo è sostituito dal seguente:

«Violazione della sicurezza dei regimi di identificazione elettronica»;

11)

è inserito l’articolo seguente:

12)

l’articolo 12 è così modificato:

13)

al capo II sono inseriti gli articoli seguente:

(*6)  Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio, del 14 settembre 2022, relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali) (GU L 265 del 12.10.2022, pag. 1).»;"

14)

all’articolo 13, il paragrafo 1 è sostituito dal seguente:

15)

gli articoli 14, 15 e 16 sono sostituiti dai seguenti:

(*7)  Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).»;"

16)

al capo III, sezione 2, il titolo è sostituito dal seguente:

«Servizi fiduciari non qualificati»;

17)

gli articoli 17 e 18 sono soppressi;

18)

al capo III, sezione 2, è inserito l’articolo seguente:

19)

l’articolo 20 è così modificato:

20)

l’articolo 21 è così modificato:

21)

l’articolo 24 è così modificato:

22)

al capo III, sezione 3, è inserito l’articolo seguente:

23)

all’articolo 25, il paragrafo 3 è soppresso;

24)

l’articolo 26 è così modificato:

25)

all’articolo 27, il paragrafo 4 è soppresso;

26)

all’articolo 28, il paragrafo 6 è sostituito dal seguente:

27)

all’articolo 29 è inserito il paragrafo seguente:

28)

è inserito l’articolo seguente:

29)

all’articolo 30 è inserito il paragrafo seguente:

30)

all’articolo 31, il paragrafo 3 è sostituito dal seguente:

31)

l’articolo 32 è così modificato:

32)

è inserito l’articolo seguente:

33)

all’articolo 33, il paragrafo 2 è sostituito dal seguente:

34)

l’articolo 34 è così modificato:

35)

all’articolo 35, il paragrafo 3 è soppresso;

36)

l’articolo 36 è così modificato:

37)

all’articolo 37, il paragrafo 4 è soppresso;

38)

all’articolo 38, il paragrafo 6 è sostituito dal seguente:

39)

è inserito l’articolo seguente:

40)

al capo III, sezione 5, è inserito l’articolo seguente:

41)

all’articolo 41, il paragrafo 3 è soppresso;

42)

l’articolo 42 è così modificato:

43)

l’articolo 44 è così modificato:

44)

l’articolo 45 è sostituito dal seguente:

45)

è inserito l’articolo seguente:

46)

al capo III sono aggiunte le sezioni seguenti:

47)

è inserito il capo seguente:

48)

l’articolo 47 è così modificato:

49)

al capo VI è inserito l’articolo seguente:

50)

l’articolo 49 è sostituito dal seguente:

51)

l’articolo 51 è sostituito dal seguente:

52)

gli allegati da I a IV sono modificati, rispettivamente, secondo gli allegati da I a IV del presente regolamento;

53)

sono aggiunti i nuovi allegati V, VI e VII che figurano negli allegati V, VI e VII del presente regolamento.