This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE)
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (Testo rilevante ai fini del SEE)
GU L 235 del 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/7 |
REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE
dell'8 settembre 2015
relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 8, paragrafo 3,
considerando quanto segue:
(1) |
L'articolo 8 del regolamento (UE) n. 910/2014 prevede che un regime di identificazione elettronica notificato ai sensi dell'articolo 9, paragrafo 1, specifichi i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione elettronica rilasciati nell'ambito di detto regime. |
(2) |
La determinazione di specifiche, norme e procedure tecniche minime è essenziale per assicurare un'interpretazione comune dei dettagli dei livelli di garanzia e assicurare altresì, a norma dell'articolo 12, paragrafo 4, lettera b), del regolamento (UE) n. 910/2014, l'interoperabilità nella mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati in base ai livelli di garanzia di cui all'articolo 8 dello stesso. |
(3) |
Per le specifiche e le procedure fissate nel presente atto di esecuzione, la norma internazionale ISO/IEC 29115 è stata presa in considerazione come principale norma internazionale disponibile in materia di livelli di garanzia per i mezzi di identificazione elettronica. Tuttavia, il contenuto del regolamento (UE) n. 910/2014 differisce dalla suddetta norma internazionale, in particolare in relazione ai requisiti per il controllo e la verifica dell'identità e al modo in cui sono prese in considerazione le differenze tra le disposizioni degli Stati membri in materia di identità e gli strumenti esistenti nell'UE per le stesse finalità. Pertanto l'allegato, pur basandosi su tale norma internazionale, non dovrebbe fare riferimento ad alcun contenuto specifico della norma ISO/IEC 29115. |
(4) |
Il presente regolamento è stato elaborato in base a un approccio orientato ai risultati, ritenuto l'approccio più adeguato, che trova riscontro anche nelle definizioni utilizzate per precisare termini e concetti. Questi tengono conto dello scopo del regolamento (UE) n. 910/2014 in relazione ai livelli di garanzia dei mezzi di identificazione elettronica. Pertanto per stabilire le specifiche e le procedure fissate nel presente atto di esecuzione, si dovrebbero tenere nella massima considerazione sia il progetto pilota su vasta scala STORK, comprese le specifiche da esso elaborate, sia le definizioni e i concetti della norma ISO/IEC 29115. |
(5) |
In base al contesto in cui occorre verificare un elemento di prova dell'identità, le fonti autorevoli possono assumere varie forme, tra cui registri, documenti e organismi. Le fonti autorevoli possono variare da uno Stato membro all'altro, anche in presenza di un contesto analogo. |
(6) |
I requisiti per la prova e la verifica dell'identità dovrebbero tenere conto dei differenti sistemi e pratiche, garantendo allo stesso tempo un livello di garanzia sufficientemente elevato al fine di instaurare la fiducia necessaria. Pertanto l'accettazione di procedure utilizzate in precedenza per un fine diverso dal rilascio di mezzi di identificazione elettronica dovrebbe essere subordinata alla conferma della loro rispondenza ai requisiti previsti per il corrispondente livello di garanzia. |
(7) |
Sono generalmente utilizzati determinati fattori di autenticazione quali segreti condivisi, dispositivi fisici e attributi fisici. Tuttavia, al fine di aumentare la sicurezza del processo di autenticazione, dovrebbe essere promosso l'uso di un maggior numero di fattori di autenticazione, soprattutto appartenenti a categorie differenti. |
(8) |
Il presente regolamento non dovrebbe ledere i diritti di rappresentanza delle persone giuridiche. L'allegato tuttavia dovrebbe prevedere requisiti per la costituzione di un collegamento tra i mezzi di identificazione elettronica delle persone fisiche e delle persone giuridiche. |
(9) |
Dovrebbe essere riconosciuta l'importanza dei sistemi di gestione dei servizi e della sicurezza delle informazioni, nonché l'importanza del ricorso a metodologie riconosciute e dell'applicazione dei principi enunciati in norme quali quelle delle serie ISO/IEC 27000 e ISO/IEC 20000. |
(10) |
Dovrebbero essere prese in considerazione anche le buone prassi in relazione ai livelli di garanzia negli Stati membri. |
(11) |
La certificazione della sicurezza delle tecnologie informatiche basata su norme internazionali è uno strumento importante per la verifica della conformità dei prodotti ai requisiti di sicurezza previsti dal presente atto di esecuzione. |
(12) |
Il comitato di cui all'articolo 48 del regolamento (UE) n. 910/2014 non ha emesso un parere entro il termine stabilito dal suo presidente, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
1. I livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato sono determinati facendo riferimento alle specifiche e alle procedure fissate nell'allegato.
2. Le specifiche e le procedure fissate nell'allegato sono utilizzate per specificare il livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato determinando l'affidabilità e la qualità dei seguenti elementi:
a) |
la registrazione, di cui alla sezione 2.1 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera a), del regolamento (UE) n. 910/2014; |
b) |
la gestione dei mezzi di identificazione elettronica, di cui alla sezione 2.2 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere b) e f), del regolamento (UE) n. 910/2014; |
c) |
l'autenticazione, di cui alla sezione 2.3 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera c), del regolamento (UE) n. 910/2014; |
d) |
la gestione e l'organizzazione, di cui alla sezione 2.4 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere d) ed e), del regolamento (UE) n. 910/2014. |
3. Se i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato soddisfano un requisito elencato in un livello di garanzia superiore, si ritiene che essi soddisfino il requisito equivalente di un livello di garanzia inferiore.
4. Salvo indicazione contraria nella parte pertinente dell'allegato, ai fini della corrispondenza al livello di garanzia dichiarato devono essere soddisfatti tutti gli elementi elencati nell'allegato per lo specifico livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato.
Articolo 2
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, l'8 settembre 2015
Per la Commissione
Il presidente
Jean-Claude JUNCKER
(1) GU L 257 del 28.8.2014, pag. 73.
ALLEGATO
Specifiche e procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato
1. Definizioni applicabili
Ai fini del presente allegato si intende per:
(1) |
«fonte autorevole», qualsiasi fonte, a prescindere dalla forma, sulla quale si possa fare affidamento per l'ottenimento di dati, informazioni e/o elementi di prova esatti da utilizzare per dimostrare l'identità; |
(2) |
«fattore di autenticazione», un fattore associato con certezza a una persona e rientrante in una delle seguenti categorie:
|
(3) |
«autenticazione dinamica», un processo elettronico che utilizza la crittografia o altre tecniche per fornire un mezzo che consente di creare su richiesta una prova elettronica che attesti il controllo o il possesso dei dati di identificazione da parte del soggetto e che cambia ad ogni interazione di autenticazione tra il soggetto e il sistema che ne verifica l'identità; |
(4) |
«sistema di gestione della sicurezza delle informazioni», un insieme di processi e procedure intesi a gestire a livelli accettabili i rischi connessi alla sicurezza delle informazioni. |
2. Specifiche e procedure tecniche
Gli elementi delle procedure e delle specifiche tecniche descritti nel presente allegato sono utilizzati per determinare in che modo sono applicati i requisiti e i criteri di cui all'articolo 8 del regolamento (UE) n. 910/2014 per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica.
2.1. Registrazione
2.1.1.
Livello di garanzia |
Elementi necessari |
||||||
Basso |
|
||||||
Significativo |
Come per il livello basso. |
||||||
Elevato |
Come per il livello basso. |
2.1.2.
Livello di garanzia |
Elementi necessari |
||||||||||
Basso |
|
||||||||||
Significativo |
Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 4:
|
||||||||||
Elevato |
Devono essere rispettati i requisiti di cui al punto 1 o 2.
|
2.1.3.
Livello di garanzia |
Elementi necessari |
||||||
Basso |
|
||||||
Significativo |
Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 3:
|
||||||
Elevato |
Livello significativo, più una delle opzioni elencate di seguito ai punti da 1 a 3:
|
2.1.4.
Ove applicabile, per stabilire un collegamento tra il mezzo di identificazione elettronica di una persona fisica e il mezzo di identificazione elettronica di una persona giuridica («collegamento»), si applicano le seguenti condizioni.
(1) |
Deve essere possibile sospendere e/o revocare un collegamento. Il ciclo di vita di un collegamento (ad esempio attivazione, sospensione, rinnovo, revoca) è gestito secondo procedure riconosciute a livello nazionale. |
(2) |
La persona fisica il cui mezzo di identificazione elettronica è collegato al mezzo di identificazione elettronica della persona giuridica può delegare l'esercizio del collegamento a un'altra persona fisica sulla base di procedure riconosciute a livello nazionale. Tuttavia la responsabilità continua a incombere alla persona fisica delegante. |
(3) |
Il collegamento è stabilito nel modo seguente:
|
2.2. Gestione dei mezzi di identificazione elettronica
2.2.1.
Livello di garanzia |
Elementi necessari |
||||
Basso |
|
||||
Significativo |
|
||||
Elevato |
Livello significativo, più:
|
2.2.2.
Livello di garanzia |
Elementi necessari |
Basso |
In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia ricevuto unicamente dal destinatario previsto. |
Significativo |
In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia consegnato unicamente alla persona a cui appartiene. |
Elevato |
Il processo di attivazione verifica che il mezzo di identificazione elettronica sia stato consegnato unicamente alla persona a cui appartiene. |
2.2.3.
Livello di garanzia |
Elementi necessari |
||||||
Basso |
|
||||||
Significativo |
Come per il livello basso. |
||||||
Elevato |
Come per il livello basso. |
2.2.4.
Livello di garanzia |
Elementi necessari |
Basso |
Tenendo conto dei rischi di variazione dei dati di identificazione personale, il rinnovo o la sostituzione deve soddisfare gli stessi requisiti di garanzia del controllo e della verifica dell'identità iniziali oppure si basa su un mezzo di identificazione elettronica valido che presenti lo stesso livello di garanzia o un livello superiore. |
Significativo |
Come per il livello basso. |
Elevato |
Livello basso, più: Se il rinnovo o la sostituzione si basa su un mezzo di identificazione elettronica valido, i dati identificativi sono verificati con una fonte autorevole. |
2.3. Autenticazione
La presente sezione verte sulle minacce associate all'uso del meccanismo di autenticazione ed elenca i requisiti per ciascun livello di garanzia. Ai fini della presente sezione i controlli si intendono proporzionati ai rischi che sussistono a un dato livello.
2.3.1.
Nella tabella riportata di seguito sono elencati i requisiti fissati per ciascun livello di garanzia in relazione al meccanismo di autenticazione, mediante il quale la persona fisica o giuridica utilizza il mezzo di identificazione elettronica per confermare la propria identità alla parte facente affidamento sulla certificazione.
Livello di garanzia |
Elementi necessari |
||||||
Basso |
|
||||||
Significativo |
Livello basso, più:
|
||||||
Elevato |
Livello significativo, più: Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco elevato (High). |
2.4. Gestione e organizzazione
Tutti i partecipanti che forniscono un servizio correlato all'identificazione elettronica in un contesto transfrontaliero («fornitori») mettono in atto prassi documentate per la gestione della sicurezza delle informazioni, politiche, approcci alla gestione dei rischi e altri controlli riconosciuti in modo da dare agli opportuni organi di gestione responsabili dei regimi di identificazione elettronica nei rispettivi Stati membri la certezza dell'applicazione di prassi efficaci. Nell'intera sezione 2.4 tutti i requisiti/elementi si intendono come proporzionati ai rischi che sussistono a un dato livello.
2.4.1.
Livello di garanzia |
Elementi necessari |
||||||||||
Basso |
|
||||||||||
Significativo |
Come per il livello basso. |
||||||||||
Elevato |
Come per il livello basso. |
2.4.2.
Livello di garanzia |
Elementi necessari |
||||||
Basso |
|
||||||
Significativo |
Come per il livello basso. |
||||||
Elevato |
Come per il livello basso. |
2.4.3.
Livello di garanzia |
Elementi necessari |
Basso |
Esiste un efficace sistema di gestione della sicurezza delle informazioni per la gestione e il controllo dei rischi per la sicurezza delle informazioni. |
Significativo |
Livello basso, più: Il sistema di gestione della sicurezza delle informazioni si attiene a norme o principi comprovati per la gestione o il controllo dei rischi per la sicurezza delle informazioni. |
Elevato |
Come per il livello significativo. |
2.4.4.
Livello di garanzia |
Elementi necessari |
||||
Basso |
|
||||
Significativo |
Come per il livello basso. |
||||
Elevato |
Come per il livello basso. |
2.4.5.
Nella tabella riportata di seguito sono elencati i requisiti relativi alle strutture, al personale e ai subcontraenti, se del caso, che svolgono le funzioni disciplinate dal presente regolamento. La conformità a ciascuno dei requisiti è proporzionata al livello di rischio associato al livello di garanzia fornito.
Livello di garanzia |
Elementi necessari |
||||||||
Basso |
|
||||||||
Significativo |
Come per il livello basso. |
||||||||
Elevato |
Come per il livello basso. |
2.4.6.
Livello di garanzia |
Elementi necessari |
||||||||||
Basso |
|
||||||||||
Significativo |
Come per il livello basso, più: Il materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica e per fornire l'autenticazione è protetto dalla manomissione. |
||||||||||
Elevato |
Come per il livello significativo. |
2.4.7.
Livello di garanzia |
Elementi necessari |
||||
Basso |
Sono eseguite verifiche interne periodiche calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. |
||||
Significativo |
Sono eseguite periodicamente verifiche indipendenti interne o esterne calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. |
||||
Elevato |
|
(1) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).