32024R0436

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Regolamento delegato - UE - 2024/436 - EN - EUR-Lex

Document 32024R0436

Help

Regolamento delegato (UE) 2024/436 della Commissione, del 20 ottobre 2023, che integra il regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio stabilendo norme relative all’esecuzione delle revisioni per le piattaforme online di dimensioni molto grandi e i motori di ricerca online di dimensioni molto grandi

C/2023/6807

GU L, 2024/436, 2.2.2024, ELI: http://data.europa.eu/eli/reg_del/2024/436/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_del/2024/436/oj

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Gazzetta ufficiale
dell'Unione europea

Serie L

2024/436

2.2.2024

REGOLAMENTO DELEGATO (UE) 2024/436 DELLA COMMISSIONE

del 20 ottobre 2023

che integra il regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio stabilendo norme relative all’esecuzione delle revisioni per le piattaforme online di dimensioni molto grandi e i motori di ricerca online di dimensioni molto grandi

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (1), in particolare l’articolo 37, paragrafo 7,

considerando quanto segue:

(1)

Le revisioni indipendenti costituiscono uno strumento importante nell’ambito della vigilanza della conformità dei fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi agli obblighi previsti dal regolamento (UE) 2022/2065. Sebbene il regolamento preveda altri strumenti di assunzione della responsabilità, non da ultimi un maggiore controllo pubblico delle relazioni di trasparenza e altri obblighi in materia di divulgazione dei dati, le organizzazioni di revisione indipendenti ricoprono un ruolo specifico nella valutazione tempestiva della conformità di tali fornitori al regolamento. Le conclusioni e le constatazioni derivanti dalle revisioni indipendenti, nonché le relative raccomandazioni, possono contribuire in modo significativo alla vigilanza regolamentare. Allo stesso tempo, le revisioni indipendenti rappresentano una delle diverse fonti di informazione e analisi utili alle autorità di regolamentazione per lo svolgimento del proprio ruolo di vigilanza e applicazione delle norme.

(2)

Al fine di garantire che le revisioni indipendenti siano effettuate in modo efficace, efficiente, tempestivo e comparabile a partire dalla data di applicazione del regolamento (UE) 2022/2065, stabilita agli articoli 92 e 93 dello stesso, è opportuno che la Commissione stabilisca norme relative all’esecuzione delle revisioni, in particolare per quanto riguarda gli obblighi giuridici dei fornitori sottoposti a revisione e le fasi procedurali a garanzia del rispetto, da parte delle organizzazioni di revisione, delle condizioni di indipendenza, assenza di conflitti di interessi, esperienza e deontologia professionale di cui all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065.

(3)

Al fine di favorire la corretta esecuzione delle revisioni con un livello elevato di competenza e di prevenire conseguenze indesiderate nel mercato dei servizi di revisione, è opportuno chiarire che le revisioni condotte conformemente all’articolo 37 del regolamento (UE) 2022/2065 possono essere effettuate da diversi revisori. Il fornitore sottoposto a revisione può, ove necessario, incaricare della revisione diverse organizzazioni di revisione o un consorzio di organizzazioni, ad esempio qualora siano necessarie competenze specifiche per la revisione di determinati obblighi o impegni, come quelli relativi alla progettazione e al funzionamento dei sistemi algoritmici, alla comprensione dei rischi per i diritti fondamentali o alla diffusione di contenuti illegali. Le organizzazioni di revisione possono anche subappaltare le competenze necessarie, a condizione che sia l’organizzazione di revisione sia i subappaltatori rispettino le condizioni di indipendenza, assenza di conflitti di interessi e comprovata obiettività e deontologia professionale richieste, e che essi soddisfino congiuntamente le condizioni relative alle competenze tecniche. In tali casi è comunque opportuno che il fornitore sottoposto a revisione provveda affinché la propria conformità a tutti gli obblighi e gli impegni di cui all’articolo 37, paragrafo 1, del regolamento (UE) 2022/2065 sia sottoposta a revisione almeno una volta all’anno.

(4)

È opportuno che le organizzazioni di revisione formulino i giudizi di revisione di cui all’articolo 37, paragrafo 4, lettera g), del regolamento (UE) 2022/2065 con un livello di garanzia ragionevole. Per raggiungere un livello di garanzia ragionevole l’organizzazione di revisione dovrebbe avere un livello elevato, ma non assoluto, di fiducia nel fatto che non vi siano inesattezze, come omissioni, false dichiarazioni o errori, sfuggite alla revisione. Al fine di assicurare tale livello di garanzia l’organizzazione di revisione dovrebbe, tra l’altro, ottenere prove sufficienti e utilizzare metodologie di revisione appropriate nel corso della valutazione.

(5)

A norma dell’articolo 37, paragrafo 1, del regolamento (UE) 2022/2065, è opportuno che le revisioni indipendenti siano effettuate almeno una volta all’anno, in linea con la cadenza annuale delle valutazioni dei rischi di cui all’articolo 34 del medesimo regolamento. Tuttavia in alcuni casi possono essere necessarie revisioni più frequenti. La calendarizzazione delle revisioni dovrebbe garantire una vigilanza costante della conformità dei fornitori sottoposti a revisione al regolamento (UE) 2022/2065 e ai codici di condotta e protocolli di crisi pertinenti. È opportuno che il fornitore sottoposto a revisione provveda affinché il periodo di riferimento di una data revisione, effettuata ai fini della valutazione della conformità agli obblighi e agli impegni sottoposti a revisione, integri quello interessato dalla revisione precedente della conformità del fornitore ai medesimi obblighi e impegni e abbia inizio, al più tardi, al termine del periodo di riferimento della revisione precedente. Poiché la conclusione di una revisione comprende sia la valutazione effettuata dall’organizzazione di revisione sia l’elaborazione di una relazione di revisione, i fornitori sottoposti a revisione dovrebbero provvedere affinché la durata della revisione sia tale da consentire che le revisioni siano concluse almeno una volta all’anno e che le relazioni di revisione siano trasmesse alla Commissione e al coordinatore dei servizi digitali senza indebito ritardo, a norma dell’articolo 42, paragrafo 4, del regolamento (UE) 2022/2065.

(6)

I fornitori sottoposti a revisione non dovrebbero in alcun caso interferire con l’esecuzione della revisione e con le sue conclusioni, ma è opportuno che essi rispettino gli obblighi previsti dall’articolo 37 del regolamento (UE) 2022/2065 anche concordando le condizioni contrattuali con l’organizzazione di revisione e verificando, prima di selezionarne una, che questa soddisfi le condizioni di cui all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065.

(7)

È opportuno, ad esempio, che il fornitore sottoposto a revisione valuti i contratti precedentemente stipulati con l’organizzazione di revisione o i contratti conclusi tra l’organizzazione di revisione e le persone giuridiche a esso connesse. Inoltre, nei contratti stipulati con tali organizzazioni, il fornitore sottoposto a revisione dovrebbe includere clausole atte a garantire il rispetto delle condizioni di cui all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065. Qualora l’organizzazione di revisione sia composta da più entità, è opportuno che il fornitore sottoposto a revisione si accerti che tutte le entità soddisfino tali condizioni, compresi, se del caso, eventuali subappaltatori assunti dall’organizzazione di revisione al fine di sostenere in qualsiasi modo l’esecuzione della revisione. Mentre a livello individuale ciascuna delle entità incaricate della revisione dovrebbe soddisfare i requisiti di indipendenza e di assenza di conflitti di interessi, a livello collettivo tali entità dovrebbero soddisfare i requisiti relativi alla competenza, all’esperienza o alle risorse tecniche, cosicché entità diverse possano svolgere parti diverse della revisione e contribuire con le capacità, la competenza e l’esperienza necessarie alla sua esecuzione. È opportuno che la relazione di revisione specifichi la responsabilità di ciascuna delle entità per le rispettive parti della revisione.

(8)

A norma dell’articolo 37, paragrafo 3, lettera a), punto i), del regolamento (UE) 2022/2065, al momento della verifica del rispetto dei requisiti di indipendenza e di assenza di conflitti di interessi da parte di un’organizzazione di revisione, è opportuno che il fornitore sottoposto a revisione presti particolare attenzione al fine di evitare che l’organizzazione di revisione fornisca servizi diversi dalla revisione. Il fornitore sottoposto a revisione dovrebbe, ad esempio, valutare se sono stati forniti servizi quali servizi legati a qualsivoglia sistema, software o processo connesso a questioni rilevanti per l’obbligo o l’impegno sottoposto a revisione, servizi di consulenza per la valutazione delle prestazioni, della governance e del software, servizi di formazione, sviluppo o manutenzione di sistemi o subappalto della moderazione dei contenuti. Tra i servizi sono compresi anche quelli offerti al fornitore sottoposto a revisione che consistono nella consulenza sui controlli interni, o nel loro sviluppo, o nella valutazione, a fini interni, della conformità del fornitore al regolamento (UE) 2022/2065 o ai codici di condotta e ai protocolli di crisi, anche quando tale valutazione si limita a sperimentazioni puntuali, come quelle eseguite da terzi sulle prestazioni dei sistemi di moderazione dei contenuti. Ciò non dovrebbe escludere le organizzazioni di revisione che hanno effettuato revisioni legali dei conti.

(9)

Data la complessità e la particolarità delle revisioni relative alla conformità al regolamento (UE) 2022/2065, la competenza in materia dell’organizzazione di revisione è fondamentale affinché tali revisioni siano eseguite con un livello di garanzia ragionevole e affinché siano esercitati il giudizio e lo scetticismo professionale che consentono a tale organizzazione di sapere, ad esempio, di quali informazioni necessita per eseguire le procedure di revisione o per contestare informazioni contraddittorie. È opportuno dunque che il fornitore sottoposto a revisione verifichi se l’organizzazione di revisione dispone di tale competenza, anche nell’ambito della gestione dei rischi, per quanto riguarda sia i rischi di revisione sia l’oggetto del regolamento (UE) 2022/2065, e in particolare i rischi sistemici per la società di cui all’articolo 34 del regolamento. È inoltre opportuno che il fornitore sottoposto a revisione verifichi le competenze e le capacità tecniche dell’organizzazione di revisione nell’ottica dello specifico servizio sottoposto a revisione, compresa la relativa competenza in materia, ad esempio per quanto riguarda il funzionamento e gli effetti di sistemi algoritmici, quali i sistemi di raccomandazione e altri sistemi socio-tecnici gestiti dal fornitore. L’organizzazione di revisione dovrebbe avere la possibilità di subappaltare o di ottenere in altro modo e impiegare le competenze e le capacità necessarie, e il fornitore sottoposto a revisione dovrebbe verificare e garantire che l’organizzazione di revisione sia in grado di acquisire tali competenze e tali capacità in tempo utile per l’esecuzione della revisione.

(10)

Nel verificare che le organizzazioni di revisione rispettino le condizioni stabilite all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065, è opportuno che il fornitore sottoposto a revisione valuti le prove pertinenti, tra cui, se del caso, certificazioni, dichiarazioni e relazioni di revisione fornite dall’organizzazione di revisione. Le competenze adeguate potrebbero essere dimostrate, ad esempio, tramite le esperienze pratiche nella valutazione e nella gestione dei rischi, l’attività accademica, le pubblicazioni scientifiche e l’esperienza con revisioni pertinenti. Le relazioni di revisione dovrebbero contenere tutti i documenti giustificativi pertinenti attestanti che l’organizzazione di revisione soddisfa le condizioni necessarie.

(11)

A norma dell’articolo 37, paragrafo 2, del regolamento (UE) 2022/2065, il fornitore sottoposto a revisione deve consentire all’organizzazione di revisione tutta la cooperazione e l’assistenza necessarie per consentire alla stessa di condurre la revisione in modo efficace, efficiente e tempestivo, nonché astenersi dall’interferire in qualsiasi modo con le sue decisioni indipendenti. Il fornitore sottoposto a revisione non dovrebbe, ad esempio, imporre o fornire alcuna indicazione né influenzare in altro modo l’organizzazione di revisione mediante alcuna tipologia di restrizione contrattuale o di altro tipo, né di incentivi per la scelta e l’esecuzione delle procedure o metodologie di revisione, la raccolta e il trattamento di informazioni e prove di revisione, le analisi, le sperimentazioni e i giudizi di revisione o l’elaborazione delle conclusioni della revisione.

(12)

Al fine di garantire la cooperazione e l’assistenza necessarie durante la revisione, è opportuno che il fornitore sottoposto a revisione assicuri all’organizzazione di revisione l’accesso a tutte le informazioni utili all’esecuzione della stessa. Il fornitore sottoposto a revisione dovrebbe inviare quanto prima, e in ogni caso prima che l’organizzazione di revisione inizi a svolgere le procedure di revisione, tutti i documenti e le spiegazioni necessari. Ad esempio, a norma dell’articolo 41, paragrafo 3, lettere d) ed e), del regolamento (UE) 2022/2065, la funzione di controllo della conformità del fornitore sottoposto a revisione consiste nel monitorare la conformità dello stesso a tutti gli obblighi e gli impegni sottoposti a revisione, il che dovrebbe tradursi nell’elaborazione di controlli interni. È opportuno che all’organizzazione di revisione sia dunque accordato l’accesso a tutte le informazioni relative a tali controlli e ad altre eventuali informazioni che illustrino la strategia impiegata dal fornitore sottoposto a revisione per garantire la conformità. In particolare, il fornitore sottoposto a revisione dovrebbe mettere a disposizione dell’organizzazione di revisione i parametri di riferimento su cui si basa per garantire la conformità al regolamento (UE) 2022/2065, affinché l’organizzazione di revisione possa basare i criteri di revisione su tali informazioni. L’organizzazione di revisione dovrebbe inoltre avere accesso a eventuali analisi condotte dal fornitore sottoposto a revisione sui rischi intrinseci e sui rischi di controllo. Il fornitore dovrebbe mettere a disposizione dell’organizzazione di revisione informazioni che facilitino la comprensione del servizio sottoposto a revisione, della sua governance e della competenza dei rispettivi gruppi e strutture decisionali, compresa la sua funzione di controllo della conformità, nonché presentazioni dei propri sistemi informatici, delle strutture di dati e registri e dell’interazione tra i diversi sistemi algoritmici rilevanti ai fini della revisione.

(13)

L’organizzazione di revisione dovrebbe poter richiedere eventuali altre informazioni necessarie in qualsiasi momento durante l’esecuzione della revisione. È opportuno che l’accesso a tali informazioni sia accordato senza indebito ritardo e in maniera da non ostacolare l’esecuzione della revisione in alcun modo. Ciò dovrebbe includere l’accesso ai dati, compresi quelli personali, raccolti da varie fonti, come documenti, sistemi algoritmici, banche dati o colloqui, a seconda dei casi. È inoltre opportuno che il fornitore sottoposto a revisione conceda all’organizzazione di revisione l’accesso alle procedure, ai processi e ai sistemi informatici, come i sistemi algoritmici e di informazione, compresi gli ambienti di prova. Al fine di consentire all’organizzazione di revisione di ispezionare in modo significativo tali sistemi, il fornitore sottoposto a revisione dovrebbe mettere a sua disposizione tutte le risorse necessarie affinché questa possa accedere ai sistemi e valutarli, ad esempio mettendo a disposizione il proprio personale competente per rispondere alle domande o per gestire gli ambienti di prova e fornire spiegazioni sul loro funzionamento, oppure facilitare qualsiasi altro accesso necessario al personale e ai locali, come gli edifici. L’accesso alle procedure e ai processi potrebbe comportare, ad esempio, l’accesso a descrizioni o documenti relativi al processo decisionale interno del fornitore sottoposto a revisione. Ai fini del rispetto dell’obbligo di cooperazione e assistenza, l’accesso alle informazioni pertinenti può necessitare anche di altre azioni accessorie da parte del fornitore sottoposto a revisione. I colloqui con il personale, ad esempio, possono richiedere la fornitura da parte fornitore sottoposto a revisione di strutture sicure. Ove necessario per l’esecuzione della revisione, i fornitori sottoposti a revisione dovrebbero adempiere all’obbligo di cooperazione e assistenza nei confronti dell’organizzazione di revisione, tra l’altro agevolando l’accesso ai dati pertinenti relativi alle loro operazioni detenuti da contraenti terzi. Potrebbe trattarsi ad esempio di dati relativi ai risultati degli interventi di moderazione dei contenuti, al materiale formativo o agli orientamenti utilizzati da contraenti terzi che moderano i contenuti, o a fornitori e prestatori di servizi per soluzioni informatiche, compresi, ad esempio, gli algoritmi e le applicazioni utilizzati nei sistemi di raccomandazione o nei sistemi pubblicitari utilizzati dal fornitore sottoposto a revisione.

(14)

Al fine di agevolare una significativa trasparenza delle constatazioni della revisione e di fornire un formato esaustivo e comparabile per le relazioni di revisione di cui all’articolo 37, paragrafo 4, del regolamento (UE) 2022/2065 e per le relazioni di attuazione della revisione di cui all’articolo 37, paragrafo 6, del medesimo regolamento, è opportuno che il presente regolamento stabilisca modelli per tali relazioni e che preveda una serie di allegati per ciascuna di esse. Sebbene i modelli stabiliti nel presente regolamento richiedano relazioni esaustive, essi dovrebbero lasciare impregiudicati gli obblighi relativi alla pubblicazione delle relazioni di cui all’articolo 42, paragrafi 4 e 5, del regolamento (UE) 2022/2065.

(15)

Al fine di garantire che l’organizzazione di revisione riceva tutta l’assistenza necessaria da parte del fornitore sottoposto a revisione, senza subire interferenze durante l’esecuzione della stessa, e che tale organizzazione soddisfi tutte le condizioni per la preparazione della revisione e completi la relativa relazione nei tempi stabiliti e con la qualità necessaria a raggiungere un livello di garanzia ragionevole, è opportuno che alcune norme specifichino le procedure per la preparazione della revisione. I doveri e le responsabilità del fornitore sottoposto a revisione e dell’organizzazione di revisione, compresi i subappaltatori o le organizzazioni partner e il personale responsabile dell’esecuzione della revisione, dovrebbero essere stabiliti in un accordo scritto, anche mediante condizioni contrattuali. L’accordo scritto dovrebbe anche specificare gli obblighi e gli impegni sottoposti a revisione, l’allocazione delle risorse, le regole di interazione e i punti di contatto tra l’organizzazione di revisione e il fornitore sottoposto a revisione. È opportuno allegare tutti i documenti giustificativi e i contratti alla relazione di revisione, anche quando tali documenti assumono la forma di una lettera di incarico della revisione o di altre condizioni contrattuali.

(16)

Al fine di fornire una panoramica esaustiva e facilitare l’assunzione della responsabilità da parte dei fornitori sottoposti a revisione, è opportuno che la relazione di revisione contenga la conclusione della valutazione della conformità del fornitore sottoposto a revisione a ciascun obbligo e impegno sottoposto a revisione eseguita dall’organizzazione di revisione. La conclusione di ciascuna revisione dovrebbe basarsi su un livello di garanzia ragionevole ed essere «positiva», «positiva con osservazioni» o «negativa», al fine di contribuire in modo appropriato al giudizio di revisione. Le conclusioni «positive con osservazioni» non dovrebbero riguardare la valutazione della conformità stessa. Le osservazioni potrebbero essere riferite, ad esempio, alla produzione di informazioni da parte del fornitore su richiesta dell’organizzazione di revisione o ai miglioramenti nella manutenzione o nei controlli predisposti dal fornitore sottoposto a revisione, oppure prendere atto di ulteriori piani di attenuazione e miglioramenti che il fornitore intende realizzare. In ogni caso, qualora l’organizzazione di revisione ritenga che il fornitore sottoposto a revisione rispetti un obbligo o un impegno sottoposto a revisione secondo i parametri di riferimento comunicati da tale fornitore, ma ritenga necessario includere osservazioni in merito a tali parametri, la conclusione della revisione dovrebbe essere «positiva con osservazioni», poiché tali osservazioni potrebbero fornire informazioni utili al fornitore in merito a eventuali opportunità di modifica dei suoi parametri di riferimento, sulla base delle conoscenze e delle competenze dell’organizzazione di revisione, nonché di informazioni provenienti da fonti esterne. Ad esempio, le osservazioni potrebbero basarsi su indicazioni della Commissione, compresi gli orientamenti di cui all’articolo 35, paragrafo 3, del regolamento (UE) 2022/2065, e su altri eventuali orientamenti pertinenti della Commissione in relazione all’applicazione di tale regolamento, sulle relazioni del comitato europeo per i servizi digitali di cui all’articolo 35, paragrafo 2, di tale regolamento, su azioni di esecuzione, su decisioni adottate dalla Commissione a norma di tale regolamento, sulla pertinente giurisprudenza, in particolare della Corte di giustizia dell’Unione europea, su consultazioni pubbliche o su pertinenti fonti autorevoli.

(17)

Al fine di consentire il controllo pubblico e la vigilanza regolamentare, qualora la conclusione di una revisione sia «negativa» ma si applichi solo a un periodo di tempo limitato e l’organizzazione di revisione ritenga che il fornitore sottoposto a revisione abbia rispettato l’obbligo o l’impegno per il resto del periodo di revisione, è opportuno che tale informazione sia riportata nella relazione di revisione per ciascun obbligo o impegno considerato. La relazione dovrebbe anche includere le osservazioni dell’organizzazione di revisione sulle informazioni messe a sua disposizione dal fornitore sottoposto a revisione per quanto riguarda i piani di attenuazione predisposti o programmati per porre rimedio alla non conformità.

(18)

Alla luce della diversa natura degli obblighi giuridici stabiliti al capo III del regolamento (UE) 2022/2065 e degli impegni assunti su base volontaria a norma dei codici di condotta e dei protocolli di crisi di cui agli articoli 45, 46 e 48 del medesimo regolamento, è opportuno che l’organizzazione di revisione formuli giudizi di revisione relativi alla conformità al capo III e a ciascun codice e protocollo.

(19)

Al fine di svolgere la revisione con un livello di garanzia ragionevole e di elaborare procedure di revisione adeguate in base a metodologie che riducano al minimo il rischio di revisione, la stima dei rischi di revisione dovrebbe costituire un elemento fondamentale della metodologia di revisione, in particolare in relazione al rischio che l’organizzazione di revisione formuli un giudizio o una conclusione di revisione inadeguati. Prima di elaborare l’esatta metodologia ed eseguire le procedure di revisione, l’organizzazione di revisione dovrebbe pertanto valutare il rischio di revisione sin dall’inizio. L’analisi dei rischi di revisione è necessaria per consentire all’organizzazione di revisione di scegliere le metodologie per il suo svolgimento e di determinare il grado di completezza delle procedure, in modo da formulare il giudizio di revisione con un livello di garanzia ragionevole. È opportuno che l’organizzazione di revisione esegua l’analisi dei rischi di revisione per la valutazione della conformità a ciascun obbligo o impegno sottoposto a revisione, considerando i rischi intrinseci, di controllo e di mancata rilevazione.

(20)

Al fine di valutare correttamente i rischi di revisione, è opportuno che l’analisi dei rischi di revisione tenga conto della natura del servizio sottoposto a revisione, in particolare del relativo profilo di rischio, nonché dell’ambito di applicazione e della complessità della revisione. Ad esempio, è probabile che le piattaforme online che consentono la conclusione di contratti a distanza tra consumatori presentino rischi intrinseci diversi rispetto alle piattaforme per la condivisione di video o ai motori di ricerca. Inoltre si dovrebbe considerare il contesto sociale ed economico in cui viene fornito il servizio sottoposto a revisione, ad esempio per quanto riguarda i gruppi di utenti tipici, come i minori, o i comportamenti frequenti, come un alto tasso di uso non autentico e di comportamenti coordinati nelle campagne di disinformazione. Il contesto sociale ed economico da considerare dovrebbe anche includere la probabilità e, separatamente, la gravità dell’esposizione a situazioni di crisi ed eventi inattesi, come indicato nel regolamento (UE) 2022/2065.

(21)

Al fine di garantire che l’analisi dei rischi di revisione rifletta l’evoluzione dei rischi a cui il servizio è soggetto, è opportuno che tale analisi sia basata anche su informazioni provenienti da revisioni precedenti di cui il fornitore sottoposto a revisione è stato oggetto, se del caso, e su informazioni provenienti da fonti quali le relazioni di revisione di altri fornitori con un profilo di rischio simile. Al fine di garantire che nell’analisi dei rischi di revisione confluiscano prove aggiornate relative a rischi che si verificano in contesti simili a quelli in cui opera il fornitore sottoposto a revisione e fonti autorevoli direttamente rilevanti ai fini dell’applicazione del regolamento (UE) 2022/2065, l’analisi dovrebbe anche basarsi su informazioni provenienti dalle relazioni del comitato europeo per i servizi digitali o su orientamenti della Commissione, se del caso. Tra le altre informazioni potrebbero essere comprese anche quelle contenute nelle relazioni di revisione pubblicate da altri fornitori di piattaforme online di dimensioni molto grandi o di motori di ricerca online di dimensioni molto grandi a norma dell’articolo 42, paragrafo 4, del regolamento (UE) 2022/2065.

(22)

È opportuno che l’organizzazione di revisione, senza essere influenzata dal fornitore sottoposto a revisione, elabori le metodologie di revisione utilizzate per valutare il rispetto degli obblighi e degli impegni sottoposti a revisione. I criteri di revisione dovrebbero basarsi sulle informazioni presentate dal fornitore sottoposto a revisione per quanto riguarda i parametri di riferimento da esso utilizzati per il monitoraggio della conformità. La metodologia può anche tenere conto di altre informazioni messe a disposizione dal fornitore sottoposto a revisione, quali l’analisi dei rischi intrinseci, laddove il fornitore sottoposto a revisione l’abbia eseguita, ad esempio attraverso le misure elaborate dal responsabile della conformità o dall’organo di gestione a norma dell’articolo 41 del regolamento (UE) 2022/2065 o altre misure integrate nel funzionamento del servizio per la valutazione dei rischi sistemici di cui all’articolo 34 di tale regolamento.

(23)

Al fine di garantire che le metodologie di revisione consentano la formulazione di giudizi di revisione con un livello di garanzia ragionevole, è opportuno che queste siano scelte tenendo conto delle specificità dell’obbligo o dell’impegno sottoposto a revisione e che siano adattate, ad esempio, alla natura dell’obbligo sottoposto a revisione in quanto obbligo di mezzi o obbligo di risultati che il fornitore deve conseguire per essere conforme. Ad esempio, le procedure di revisione per la valutazione della conformità agli obblighi in materia di relazioni di trasparenza di cui all’articolo 15 del regolamento (UE) 2022/2065 potrebbero consentire all’organizzazione di revisione di stabilire se le relazioni sono state pubblicate nel rispetto dei termini e dei formati previsti dal regolamento, se sono complete e se i dati riportati sono accurati, rappresentativi e adeguatamente disaggregati, ad esempio per categoria di contenuti illegali su cui sono stati effettuati interventi.

(24)

La scelta della metodologia dovrebbe dipendere anche dal fatto che la valutazione della conformità richieda o meno interpretazioni contestuali da parte dell’organizzazione di revisione. È opportuno che la selezione delle metodologie tenga conto anche dei rischi intrinseci legati alle attività svolte nel corso della fornitura del servizio e del contesto in cui il servizio è fornito, ad esempio se questo comporta la vendita di beni che potrebbero essere illegali o se è utilizzato principalmente da minori. Ad esempio, le metodologie per la valutazione della conformità all’obbligo di adottare misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori di cui all’articolo 28, paragrafo 1, del regolamento (UE) 2022/2065 dovrebbero consentire all’organizzazione di revisione di comprendere a sufficienza le modalità di utilizzo del servizio sottoposto a revisione da parte dei minori e i possibili rischi per la tutela della vita privata, la sicurezza e la protezione di questi ultimi, oltre che di comprendere ciò che costituisce una misura adeguata e proporzionata nel contesto specifico del servizio sottoposto a revisione e del suo utilizzo da parte dei minori. A tal fine le organizzazioni di revisione dovrebbero suddividere la valutazione in opportune fasi. Dovrebbero valutare i rischi di revisione in base al profilo di rischio del fornitore sottoposto a revisione, in particolare se sia accessibile ai minori o usato prevalentemente da questi ultimi. Dovrebbero valutare, ad esempio, se il fornitore abbia predisposto strumenti di accertamento dell’età, l’efficacia di tali strumenti e le modalità con cui quest’ultima è valutata e monitorata dal fornitore sottoposto a revisione. Dovrebbero valutare se il fornitore sottoposto a revisione abbia predisposto misure adeguate per individuare usi antagonistici dei propri servizi e modelli comportamentali volti a danneggiare i minori o che rischiano di danneggiarli.

(25)

La selezione delle metodologie dovrebbe inoltre tenere conto dei rischi di controllo legati alle misure di conformità adottate dal fornitore sottoposto a revisione, nonché dei rischi di mancata rilevazione, in particolare legati alla mancata rilevazione di inesattezze nelle informazioni che il fornitore mette a disposizione dell’organizzazione di revisione. Ad esempio, qualora vi sia la possibilità che un obbligo sottoposto a revisione comporti la revisione di un sistema algoritmico basato sulla personalizzazione per i singoli destinatari del servizio sottoposto a revisione e sugli aggiornamenti ricorrenti di tale sistema, come gli obblighi di divulgazione per i sistemi di raccomandazione di cui all’articolo 27 del regolamento (UE) 2022/2065, la scelta della metodologia dovrebbe consentire all’organizzazione di revisione di progettare le sperimentazioni adeguate per ridurre al minimo i rischi di mancata rilevazione. Analogamente, qualora cerchi di valutare se tutti i rischi pertinenti siano stati attenuati a livello di progettazione, funzionamento e uso di applicazioni basate su modelli linguistici su vasta scala, quali le funzionalità di chat o i sistemi di raccomandazione utilizzati dal fornitore sottoposto a revisione, l’organizzazione di revisione dovrebbe innanzitutto valutare l’adeguatezza dei controlli predisposti dal fornitore. La scelta delle sperimentazioni dovrebbe basarsi sulla solidità di tali controlli interni. In particolare, a titolo esemplificativo, laddove i controlli interni siano deboli, incompleti o inconcludenti al fine di valutare se, quando si considera la popolazione dei destinatari del servizio sottoposto a revisione, le norme siano rispettate, le procedure di revisione dovrebbero basarsi su una combinazione di metodologie. Ad esempio, le metodologie potrebbero includere procedure analitiche sostanziali, come l’analisi delle interazioni tra tutti i sistemi algoritmici coinvolti nei sistemi di raccomandazione e i relativi processi e regole per i processi decisionali per stabilire i parametri principali di tali sistemi di raccomandazione, nonché consultazioni di registri e log digitali. Le metodologie dovrebbero anche includere delle sperimentazioni del sistema, come le prove in ambienti simulati.

(26)

Al fine di garantire che, durante l’esecuzione della revisione, la metodologia sia pertinente e adatta alle nuove constatazioni, è opportuno che la selezione delle metodologie sia guidata dal giudizio professionale dell’organizzazione di revisione e che sia adattata per far fronte a tali nuove constatazioni, in particolare qualora l’organizzazione di revisione nutra dubbi ragionevoli in relazione alle informazioni presentate dal fornitore sottoposto a revisione. Lo scetticismo professionale dell’organizzazione di revisione dovrebbe essere basato sulla sua competenza e su altre fonti di informazione di particolare rilevanza ai fini dell’applicazione del regolamento (UE) 2022/2065, come relazioni del comitato europeo per i servizi digitali, indicazioni della Commissione, relazioni di revisione basate su codici di condotta o protocolli di crisi di cui agli articoli 45, 46 e 48 del suddetto regolamento o informazioni emerse durante l’esecuzione della revisione, anche in relazione agli eventi, in particolare le situazioni di crisi, che richiedono azioni aggiuntive da parte del fornitore sottoposto a revisione per garantire la conformità ad alcuni obblighi o impegni sottoposti a revisione.

(27)

Al fine di garantire che durante la revisione siano raccolte prove di revisione sufficienti, è opportuno che le organizzazioni di revisione valutino i controlli interni del fornitore sottoposto a revisione e svolgano procedure di revisione sostanziali per valutarne la conformità. In alcuni casi l’organizzazione di revisione dovrebbe inoltre eseguire delle sperimentazioni.

(28)

Data la complessità dei sistemi algoritmici utilizzati dai fornitori di piattaforme online e il ruolo importante che tali sistemi rivestono nel conseguimento della conformità a diversi obblighi stabiliti dal regolamento (UE) 2022/2065, è opportuno prestare particolare attenzione alle scelte metodologiche necessarie e appropriate per sottoporre tali sistemi a revisione. Quanto precede vale sia per i sistemi algoritmici che sono parte dei controlli predisposti dal fornitore sottoposto a revisione, sia per i sistemi algoritmici che sono essi stessi oggetto degli obblighi o degli impegni sottoposti a revisione, come nel caso dei sistemi di raccomandazione, ad esempio a norma degli articoli 27, 34, 35 e 38 del regolamento (UE) 2022/2065, o dei sistemi pubblicitari, ad esempio a norma degli articoli 26, 28, 34, 35 e 39 di tale regolamento, dei sistemi di moderazione dei contenuti, ad esempio a norma degli articoli 14, 15, 34 e 35 del medesimo regolamento, o di qualsiasi altro sistema algoritmico che contribuisca ai rischi di cui all’articolo 34 di tale regolamento.

(29)

È opportuno inoltre utilizzare una combinazione di procedure analitiche sostanziali, tra cui, se del caso, procedure basate sull’osservazione di processi e attività svolti dal fornitore sottoposto a revisione al fine di progettare, sviluppare, operare, sperimentare e monitorare i sistemi algoritmici, oppure su consultazioni di log e registri digitali prodotti dai sistemi. Le metodologie dovrebbero essere adattate alle particolarità dei sistemi algoritmici, tra cui la governance, l’interazione tra sistemi algoritmici diversi e i relativi sistemi di gestione dei dati, e alle tecnologie su cui essi sono basati, come modelli generativi o altri classificatori, algoritmi di selezione o di ricerca.

(30)

Inoltre è opportuno che le metodologie di revisione per i sistemi algoritmici includano sperimentazioni, ad esempio volte alla raccolta di informazioni che il fornitore sottoposto a revisione non ha documentato in precedenza, o alla riproduzione indipendente e alla valutazione dei risultati degli indicatori di accuratezza, oppure effettuate in spazi di sperimentazione o ambienti simulati, o nei sistemi accessibili al pubblico, anche mediante data scraping o adversarial testing.

(31)

Dal momento che l’elevata qualità delle prove di revisione è un presupposto necessario affinché l’organizzazione di revisione formuli un giudizio di revisione con un livello di garanzia ragionevole, è opportuno che le informazioni che l’organizzazione di revisione decide di usare come prove di revisione siano adeguate e sufficienti per ridurre i rischi di revisione. Inoltre le prove di revisione dovrebbero essere affidabili in base al giudizio e allo scetticismo professionale dell’organizzazione di revisione e, ove opportuno, alla luce di fonti di informazione alternative. Il giudizio e lo scetticismo professionale dovrebbero comprendere una valutazione critica delle prove di revisione e delle possibili inesattezze. Tali standard qualitativi dovrebbero applicarsi a tutte le prove di revisione indipendentemente dal fatto che queste siano state presentate dal fornitore sottoposto a revisione o raccolte da altre fonti.

(32)

È opportuno che l’organizzazione di revisione consideri una serie di fonti di informazione, tra cui, ad esempio, i colloqui con il personale o con i contraenti del fornitore sottoposto a revisione, compresi i responsabili della conformità, gli ingegneri, gli scienziati dei dati, gli architetti del software o i membri dei gruppi di revisione interna. Tali fonti potrebbero comprendere anche la documentazione tecnica relativa alla progettazione, all’implementazione, alla sperimentazione e al monitoraggio di un sistema pertinente, inclusa la documentazione relativa alla qualità e alla governance dei dati e agli aggiornamenti e alle versioni del sistema, nonché altri documenti relativi alla governance e ai processi decisionali del fornitore sottoposto a revisione, anche in considerazione delle priorità, delle risorse, dell’assegnazione di compiti e responsabilità o delle competenze del personale pertinente.

(33)

Al fine di garantire l’efficienza e la proporzionalità nell’esecuzione della revisione, è opportuno che l’organizzazione di revisione sia autorizzata a sottoporre a campionamento dati e informazioni, tenendo in debito conto l’ottenimento di un campione rappresentativo, così da poter formulare un giudizio di revisione con un livello di garanzia ragionevole. Per garantire la trasparenza e la riproducibilità delle procedure di revisione, l’organizzazione di revisione dovrebbe inserire nella relazione di revisione le motivazioni della scelta della dimensione del campione e del metodo di campionamento. Ad esempio, la scelta della dimensione del campione e della metodologia dovrebbe avvenire in considerazione di ciò che consente di raggiungere l’obiettivo della revisione dello specifico obbligo o impegno sottoposto a revisione in modo efficace e di ridurre al minimo il rischio che la conclusione della revisione del campione specifico sia diversa da quella che si otterrebbe qualora l’intera popolazione delle prove fosse sottoposta alla procedura di revisione. La dimensione del campione e la metodologia di campionamento dovrebbero essere determinate tenendo conto dell’intero ambito di applicazione della revisione, nonché dei cambiamenti interni o esterni che interessano il servizio sottoposto a revisione durante questo periodo. Dovrebbero inoltre essere adattate alle particolarità dei sistemi algoritmici, anche per quanto riguarda la personalizzazione mediante profilazione. Nell’ambito di tale considerazione, l’organizzazione di revisione dovrebbe, ad esempio, sottoporre adeguatamente a campionamento le diverse coorti o partizioni eventualmente derivanti dalle tecniche di personalizzazione, oppure identificare il margine di errore e motivare perché ritiene che sia a un livello accettabile.

(34)

Data la novità rappresentata da alcune disposizioni del regolamento (UE) 2022/2065, è necessario stabilire principi metodologici, tra cui i quesiti di revisione, e ulteriori orientamenti per la selezione delle metodologie e delle prove di revisione per la valutazione della conformità a tali disposizioni, in particolare per la valutazione della conformità agli articoli 34, 35 e 36 del regolamento (UE) 2022/2065 sull’esecuzione delle valutazioni del rischio, sull’adozione di misure di attenuazione dei rischi da parte dei fornitori sottoposti a revisione e sull’applicazione degli obblighi in materia di risposta alle crisi.

(35)

Poiché le organizzazioni di revisione dovrebbero anche valutare la conformità del fornitore sottoposto a revisione all’articolo 37 del regolamento (UE) 2022/2065, è opportuno fornire ulteriori specifiche sull’esatta revisione rispetto alla quale dovrebbe essere valutata la conformità, in particolare per evitare conflitti di interessi per l’organizzazione di revisione.

(36)

In considerazione della natura volontaria dei codici di condotta e dei protocolli di crisi, è necessario prevedere norme specifiche per la revisione della conformità agli articoli 45, 46 e 48 del regolamento (UE) 2022/2065, in particolare al fine di garantire che le organizzazioni di revisione dispongano di tutte le informazioni necessarie per svolgere revisioni specifiche degli impegni previsti da ciascun codice di condotta e protocollo di crisi,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

SEZIONE I

Disposizioni generali

Articolo 1

Oggetto

Il presente regolamento stabilisce le norme sull’esecuzione delle revisioni a norma dell’articolo 37 del regolamento (UE) 2022/2065 per quanto riguarda:

a)	le fasi procedurali intese a garantire che l’organizzazione di revisione oggetto della selezione soddisfi le condizioni stabilite all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065;

b)	le fasi procedurali relative alla cooperazione e all’assistenza da parte del fornitore sottoposto a revisione durante l’esecuzione delle revisioni, compreso l’accesso alle informazioni pertinenti finalizzato all’ottenimento di prove di revisione;

c)	la definizione e la selezione di metodologie di revisione;

d)	i modelli per la relazione di revisione e la relazione di attuazione della revisione.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

«organizzazione di revisione»: un’organizzazione singola, un consorzio o una combinazione di organizzazioni di altro tipo, compresi eventuali subappaltatori, incaricata dal fornitore sottoposto a revisione di svolgere una revisione indipendente conformemente all’articolo 37 del regolamento (UE) 2022/2065;

2)	«servizio sottoposto a revisione»: una piattaforma online di dimensioni molto grandi o un motore di ricerca online di dimensioni molto grandi designati conformemente all’articolo 33 del regolamento (UE) 2022/2065;

3)	«fornitore sottoposto a revisione»: il fornitore di un servizio sottoposto a revisione, che è oggetto di revisioni indipendenti a norma dell’articolo 37, paragrafo 1, del suddetto regolamento;

4)	«obbligo o impegno sottoposto a revisione»: un obbligo o un impegno di cui all’articolo 37, paragrafo 1, del regolamento (UE) 2022/2065, che costituisce l’oggetto della revisione;

5)	«criteri di revisione»: i criteri in base ai quali l’organizzazione di revisione valuta la conformità a ciascun obbligo o impegno sottoposto a revisione;

6)	«prove di revisione»: qualunque informazione utilizzata da un’organizzazione di revisione per sostenere le constatazioni e le conclusioni della revisione e per formulare un giudizio di revisione, compresi i dati raccolti da documenti, banche dati o sistemi informatici, colloqui o sperimentazioni;

«inesattezza»: un’omissione, una falsa dichiarazione o un errore, intenzionale o accidentale, presente nelle dichiarazioni o nei dati comunicati o forniti dal fornitore sottoposto a revisione all’organizzazione di revisione, o nell’ambiente di prova che il fornitore sottoposto a revisione ha messo a disposizione dell’organizzazione di revisione;

«rischio di revisione»: il rischio che l’organizzazione di revisione formuli un giudizio di revisione errato o giunga a una conclusione errata circa la conformità del fornitore sottoposto a revisione a un obbligo o un impegno sottoposto a revisione, considerando i rischi di mancata rilevazione, i rischi intrinseci e i rischi di controllo relativi all’obbligo o impegno sottoposto a revisione;

9)	«rischio di mancata rilevazione»: il rischio che l’organizzazione di revisione non rilevi un’inesattezza rilevante ai fini della valutazione della conformità del fornitore sottoposto a revisione a un obbligo o un impegno sottoposto a revisione;

10)

«rischio intrinseco»: il rischio di non conformità intrinsecamente legato alla natura, alla progettazione, all’attività e all’uso del servizio sottoposto a revisione, nonché al contesto in cui questo è operato, e il rischio di non conformità legato alla natura dell’obbligo o impegno sottoposto a revisione;

11)	«rischio di controllo»: il rischio di mancata prevenzione, rilevazione e correzione tempestiva di un’inesattezza mediante i controlli interni del fornitore sottoposto a revisione;

12)	«soglia di rilevanza»: la soglia oltre la quale le deviazioni o le inesattezze da parte del fornitore sottoposto a revisione, singolarmente o in forma aggregata, potrebbero ragionevolmente influenzare le constatazioni, le conclusioni e i giudizi della revisione;

13)

«livello di garanzia ragionevole»: un livello elevato, ma non assoluto, di garanzia che consente all’organizzazione di revisione di affermare, nel giudizio di revisione o nelle conclusioni della revisione, se il fornitore sottoposto a revisione è conforme agli obblighi o agli impegni sottoposti a revisione sulla base di prove sufficienti e adeguate;

14)

«controllo interno»: eventuali misure, tra cui processi e sperimentazioni, elaborate, attuate e mantenute dal fornitore sottoposto a revisione, compresi i responsabili della conformità e l’organo di gestione, al fine di monitorare e garantire la conformità del fornitore sottoposto a revisione all’obbligo o all’impegno sottoposto a revisione;

15)	«ricercatore abilitato»: un ricercatore abilitato conformemente all’articolo 40, paragrafo 8, del regolamento (UE) 2022/2065;

16)

«procedura di revisione»: qualunque tecnica applicata dall’organizzazione di revisione nel corso dell’esecuzione della stessa, tra cui la raccolta dei dati, la scelta e l’applicazione delle metodologie, quali sperimentazioni e procedure analitiche sostanziali, ed eventuali altre azioni intraprese per raccogliere e analizzare informazioni al fine di raccogliere prove di revisione e formulare le conclusioni della revisione, a esclusione della formulazione di un giudizio di revisione o della relazione di revisione;

17)

«sperimentazione»: una metodologia di revisione che consiste in misurazioni, esperimenti o controlli di altro tipo, tra cui i controlli eseguiti sui sistemi algoritmici, mediante i quali l’organizzazione di revisione valuta la conformità del fornitore sottoposto a revisione all’obbligo o all’impegno sottoposto a revisione;

18)	«procedura analitica sostanziale»: una metodologia di revisione impiegata dall’organizzazione di revisione per valutare le informazioni al fine di desumere i rischi di revisione o la conformità all’obbligo o all’impegno sottoposto a revisione.

Articolo 3

Ambito di applicazione della revisione e livello di garanzia ragionevole

1. La modalità e la durata della revisione sono tali da consentire all’organizzazione di revisione di valutare la conformità del fornitore sottoposto a revisione a tutti gli obblighi e gli impegni sottoposti a revisione con un livello di garanzia ragionevole.

2. Il periodo di riferimento della revisione ha inizio immediatamente dopo la conclusione del periodo di riferimento della revisione precedente e termina in una data che consente all’organizzazione di revisione di eseguire la revisione entro il termine prescritto dall’articolo 37, paragrafo 1, del regolamento (UE) 2022/2065, effettuando la valutazione a norma del paragrafo 1 sulla base delle prove raccolte e delle procedure di revisione svolte durante tale periodo e completando e presentando al fornitore sottoposto a revisione la relazione di revisione a norma dell’articolo 37, paragrafo 4, di tale regolamento.

3. Qualora in precedenza non siano state effettuate revisioni, il periodo di riferimento della revisione inizia quattro mesi dopo la notifica di cui all’articolo 33, paragrafo 6, primo comma, del regolamento (UE) 2022/2065, e la sua durata è tale da consentire il completamento della relazione di revisione a norma dell’articolo 6, paragrafo 1, entro un anno dall’inizio del periodo di revisione.

SEZIONE II

Condizioni per l’esecuzione della revisione

Articolo 4

Selezione dell’organizzazione di revisione

1. Prima di selezionare un’organizzazione di revisione, il fornitore sottoposto a revisione verifica se l’organizzazione oggetto della selezione soddisfi i requisiti di cui all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065.

2. Qualora l’organizzazione di revisione oggetto della selezione sia composta da più di una persona giuridica o intenda ricorrere a uno o più subappaltatori, il fornitore sottoposto a revisione verifica che tutti i subappaltatori e le persone giuridiche:

a)	rispettino individualmente i requisiti di cui all’articolo 37, paragrafo 3, lettere a) e c), del regolamento (UE) 2022/2065;

b)	rispettino congiuntamente il requisito di cui all’articolo 37, paragrafo 3, lettera b), del regolamento (UE) 2022/2065.

Articolo 5

Cooperazione e assistenza tra il fornitore sottoposto a revisione e l’organizzazione di revisione

1. In un momento concordato con l’organizzazione di revisione, e in ogni caso prima dello svolgimento di qualsiasi procedura di revisione, il fornitore sottoposto a revisione trasmette all’organizzazione di revisione selezionata almeno le informazioni seguenti:

una descrizione dei controlli interni predisposti in relazione a ciascun obbligo e impegno sottoposto a revisione, compresi i relativi indicatori e tutte le misurazioni attuali e precedenti, e i parametri di riferimento utilizzati dal fornitore sottoposto a revisione per affermare o monitorare la conformità agli obblighi e agli impegni sottoposti a revisione, nonché eventuali documenti giustificativi;

b)	la propria analisi preliminare dei rischi intrinseci e di controllo, laddove il fornitore sottoposto a revisione abbia effettuato tale analisi, nonché eventuali documenti giustificativi;

informazioni su eventuali pertinenti strutture decisionali, competenze dei dipartimenti del fornitore, compresa la funzione di controllo della conformità a norma dell’articolo 41 del regolamento (UE) 2022/2065, pertinenti sistemi informatici, fonti, elaborazione e archiviazione dei dati, nonché spiegazioni in merito ai pertinenti sistemi algoritmici e alle loro interazioni.

2. Il fornitore sottoposto a revisione concede all’organizzazione di revisione, senza indebiti ritardi, l’accesso a tutti i dati necessari per l’esecuzione della revisione, compresi i dati personali, la documentazione e le informazioni sulle procedure e sui processi, nonché l’accesso ai sistemi informatici, agli ambienti di prova, al personale e ai locali di tale fornitore e di eventuali subappaltatori pertinenti.

3. Il fornitore sottoposto a revisione mette a disposizione tutte le risorse necessarie e fornisce all’organizzazione di revisione l’assistenza e le spiegazioni necessarie per analizzare le informazioni pertinenti ed effettuare le sperimentazioni, anche qualora le informazioni richieste dall’organizzazione di revisione conformemente all’articolo 37, paragrafo 3, del regolamento (UE) 2022/2065 siano detenute da contraenti terzi del fornitore sottoposto a revisione.

SEZIONE III

Esecuzione delle revisioni

Articolo 6

Relazione di revisione e relazione di attuazione della revisione

1. L’organizzazione di revisione produce, senza interferenze da parte del fornitore sottoposto a revisione, la relazione di revisione di cui all’articolo 37, paragrafo 4, del regolamento (UE) 2022/2065. La relazione di revisione è redatta conformemente al modello di cui all’allegato I e contiene conclusioni dettagliate e motivate in relazione a tutti gli elementi del modello.

2. Ove applicabile, la relazione di attuazione della revisione di cui all’articolo 37, paragrafo 6, del regolamento (UE) 2022/2065 è redatta conformemente al modello di cui all’allegato II.

Articolo 7

Procedure di preparazione alla revisione

1. Il fornitore sottoposto a revisione e l’organizzazione di revisione concludono un accordo scritto che stabilisce:

a)	l’elenco completo degli obblighi e degli impegni sottoposti a revisione;

b)	le responsabilità dell’organizzazione di revisione, tra cui, ove applicabile, le responsabilità dettagliate per ciascuna persona giuridica che costituisce parte dell’organizzazione di revisione, nonché per le parti abilitate a firmare la relazione di revisione;

c)	le procedure e i punti di contatto che il fornitore sottoposto a revisione mette a disposizione dell’organizzazione di revisione per la richiesta di accesso ai dati di cui all’articolo 5, paragrafo 2;

d)	le tempistiche relative alla revisione, comprese le date di inizio e fine delle procedure di revisione, e al completamento della relazione di revisione;

e)	una procedura di risoluzione delle controversie, derivanti dall’esecuzione della revisione, tra il fornitore sottoposto a revisione e l’organizzazione di revisione.

2. L’accordo di cui al paragrafo 1, così come eventuali altri accordi o lettere di incarico tra l’organizzazione di revisione e il fornitore sottoposto a revisione relativamente all’esecuzione della stessa, è allegato alla relazione di revisione.

3. Laddove durante l’esecuzione della revisione siano apportate modifiche all’accordo di cui al paragrafo 1, tali modifiche sono esplicitamente indicate nella relazione di revisione.

Articolo 8

Giudizio di revisione, conclusioni della revisione e raccomandazioni

1. La relazione di revisione contiene le conclusioni della revisione a cui è giunta l’organizzazione di revisione per quanto riguarda la conformità del fornitore sottoposto a revisione a ciascuno degli obblighi e degli impegni sottoposti a revisione. Le conclusioni della revisione sono:

a)	«positive», se l’organizzazione di revisione conclude con un livello di garanzia ragionevole che il fornitore sottoposto a revisione è conforme a un obbligo o impegno sottoposto a revisione;

«positive con osservazioni», se l’organizzazione di revisione conclude con un livello di garanzia ragionevole che il fornitore sottoposto a revisione è conforme a un obbligo o impegno sottoposto a revisione, ma:

i)	l’organizzazione di revisione include osservazioni sui parametri di riferimento trasmessi dal fornitore sottoposto a revisione a norma dell’articolo 5, paragrafo 1, lettera a); oppure

ii)	l’organizzazione di revisione raccomanda miglioramenti che non hanno un impatto sostanziale sulle sue conclusioni;

c)	«negative», se l’organizzazione di revisione conclude con un livello di garanzia ragionevole che il fornitore sottoposto a revisione non è conforme a un obbligo o impegno sottoposto a revisione.

2. Se una relazione di revisione contiene le raccomandazioni operative di cui all’articolo 37, paragrafo 4, lettera h), del regolamento (UE) 2022/2065, tali raccomandazioni e le relative tempistiche raccomandate sono specifiche per ciascun obbligo o impegno sottoposto a revisione per cui la conclusione della revisione di cui al paragrafo 1 sia stata «positiva con osservazioni» o «negativa».

3. Qualora le raccomandazioni operative di cui al paragrafo 2 comprendano misure specifiche per il conseguimento della conformità, esse sono formulate in modo da spiegare la valutazione eseguita dall’organizzazione di revisione in merito al modo in cui tali misure influirebbero sulla soglia di rilevanza rispetto alla conclusione della revisione per il rispettivo obbligo o impegno sottoposto a revisione.

4. Sulla base delle conclusioni della revisione, la relazione di revisione contiene un giudizio di revisione relativo alla conformità del fornitore sottoposto a revisione a tutti gli obblighi sottoposti a revisione di cui all’articolo 37, paragrafo 1, lettera a), del regolamento (UE) 2022/2065.

5. Sulla base delle conclusioni relative a tutti gli impegni sottoposti a revisione, la relazione di revisione contiene uno o più giudizi di revisione, a seconda dei casi, relativi alla conformità del fornitore sottoposto a revisione a tutti gli impegni sottoposti a revisione da esso assunti a norma di ciascun codice di condotta e protocollo di crisi di cui all’articolo 37, paragrafo 1, lettera b), del regolamento (UE) 2022/2065.

6. I giudizi di revisione a norma dei paragrafi 4 e 5 sono:

a)	«positivi», se l’organizzazione di revisione è giunta a una conclusione della revisione «positiva» per tutti gli obblighi o impegni sottoposti a revisione;

«positivi con osservazioni», se l’organizzazione di revisione è giunta almeno a una conclusione della revisione «positiva con osservazioni» per un obbligo o impegno sottoposto a revisione e se non è giunta ad alcuna conclusione della revisione «negativa» per nessuno degli obblighi o impegni sottoposti a revisione;

c)	«negativi», se l’organizzazione di revisione è giunta a una conclusione della revisione «negativa» per almeno un obbligo o impegno sottoposto a revisione.

7. Laddove l’organizzazione di revisione valuti che, per un periodo di tempo limitato all’interno del periodo di cui all’articolo 3, paragrafo 2, il fornitore non è stato conforme a un obbligo o impegno sottoposto a revisione, la relazione di revisione documenta debitamente tale valutazione.

8. Qualora l’organizzazione di revisione non possa fornire, con un livello di garanzia ragionevole, una conclusione della revisione a norma del paragrafo 1 o un giudizio di revisione a norma dei paragrafi 4 e 5, la relazione di revisione contiene una spiegazione delle circostanze e dei motivi per cui non è stato possibile raggiungere tale livello di garanzia.

SEZIONE IV

Metodologie di revisione

Articolo 9

Analisi dei rischi di revisione

1. La relazione di revisione comprende un’analisi dei rischi di revisione motivata, eseguita dall’organizzazione di revisione ai fini della valutazione della conformità del fornitore sottoposto a revisione a ciascun obbligo o impegno sottoposto a revisione.

2. L’analisi dei rischi di revisione è effettuata prima dello svolgimento delle procedure di revisione ed è aggiornata durante l’esecuzione della revisione, alla luce di eventuali nuove prove di revisione che, secondo il giudizio professionale dell’organizzazione di revisione, modificano in modo sostanziale la valutazione dei rischi di revisione.

3. L’analisi dei rischi di revisione considera:

a)	i rischi intrinseci;

b)	i rischi di controllo;

c)	i rischi di mancata rilevazione.

4. L’analisi dei rischi di revisione è eseguita considerando:

a)	la natura del servizio sottoposto a revisione e il contesto sociale ed economico in cui questo è fornito, comprese la probabilità e la gravità dell’esposizione a situazioni di crisi ed eventi inattesi;

b)	la natura degli obblighi e degli impegni;

altre informazioni adeguate, tra cui:

i)	ove applicabile, informazioni derivanti da revisioni precedenti di cui è stato oggetto il servizio sottoposto a revisione;

ii)

ove applicabile, informazioni derivanti dalle relazioni del comitato europeo per i servizi digitali o indicazioni dalla Commissione, compresi orientamenti emanati a norma dell’articolo 35, paragrafi 2 e 3, del regolamento (UE) 2022/2065 ed eventuali altre indicazioni pertinenti fornite dalla Commissione in relazione all’applicazione del regolamento (UE) 2022/2065;

iii)

ove applicabile, informazioni derivanti dalle relazioni di revisione pubblicate a norma dell’articolo 42, paragrafo 4, del regolamento (UE) 2022/2065 da altri fornitori di piattaforme online di dimensioni molto grandi o di motori di ricerca online di dimensioni molto grandi operanti in condizioni simili o che offrono servizi simili rispetto al servizio sottoposto a revisione.

Articolo 10

Metodologie di revisione adeguate

1. Fatte salve le metodologie di revisione specifiche di cui agli articoli 13, 14 e 15, le revisioni sono svolte mediante il ricorso a metodologie di revisione adeguate per ridurre i rischi di revisione valutati a un livello tale da consentire all’organizzazione di revisione di giungere alle conclusioni della revisione con un livello di garanzia ragionevole.

2. La relazione di revisione contiene una descrizione delle metodologie di revisione elaborate dall’organizzazione di revisione prima di svolgere qualsiasi procedura di revisione e include almeno le informazioni seguenti:

a)	i criteri di revisione per valutare la conformità a ciascun obbligo o impegno sottoposto a revisione, definiti sulla base delle informazioni di cui all’articolo 5, paragrafo 1, lettera a), nonché la soglia di rilevanza tollerata espressa in termini qualitativi o quantitativi, a seconda dei casi;

b)	tutte le sperimentazioni, le procedure analitiche sostanziali e le prove di revisione che l’organizzazione di revisione intende utilizzare ai fini della valutazione della conformità a ciascun obbligo o impegno sottoposto a revisione.

La relazione di revisione contiene la descrizione di eventuali modifiche apportate alle metodologie usate nel corso della revisione rispetto alle metodologie elaborate prima dello svolgimento delle procedure di revisione.

3. Se un’organizzazione di revisione nutre dubbi ragionevoli circa le informazioni valutate durante la revisione, in particolare le informazioni presentate dal fornitore sottoposto a revisione, la scelta e l’applicazione della metodologia sono adattate in modo da offrire all’organizzazione le prove di revisione necessarie conformemente all’articolo 11.

4. I dubbi ragionevoli di cui al paragrafo 3 sono ritenuti tali in quanto sorgono, in particolare, in presenza di uno degli elementi seguenti:

a)	giudizio e scetticismo professionale nella valutazione delle informazioni, anche per quanto riguarda i controlli interni del fornitore sottoposto a revisione, che inducono l’organizzazione di revisione a formulare dubbi ragionevoli;

indicazioni esterne che segnalano rischi di revisione, in particolare relazioni del comitato europeo per i servizi digitali di cui all’articolo 35, paragrafo 2, del regolamento (UE) 2022/2065, indicazioni della Commissione, anche attraverso gli orientamenti di cui all’articolo 35, paragrafo 3, di tale regolamento, ed eventuali altre indicazioni pertinenti fornite dalla Commissione in relazione all’applicazione del regolamento (UE) 2022/2065, nonché relazioni di revisione elaborate a norma dei codici di condotta o dei protocolli di crisi di cui agli articoli 45, 46 e 48 del suddetto regolamento;

c)	informazioni relative a eventi verificatisi durante l’esecuzione della revisione, comprese situazioni di crisi, che richiedono azioni aggiuntive da parte del fornitore sottoposto a revisione per garantire la conformità a determinati obblighi o impegni sottoposti a revisione.

5. Le procedure di revisione comprendono almeno:

a)	l’esecuzione di sperimentazioni e procedure analitiche sostanziali sui controlli interni che il fornitore sottoposto a revisione ha predisposto per ciascun obbligo o impegno sottoposto a revisione;

b)	l’esecuzione di procedure analitiche sostanziali per valutare la conformità a ciascun obbligo o impegno sottoposto a revisione, anche per quanto riguarda i sistemi algoritmici;

l’esecuzione di sperimentazioni, anche per quanto riguarda i sistemi algoritmici, in merito agli obblighi e impegni sottoposti a revisione in relazione ai quali l’organizzazione di revisione nutre ragionevoli dubbi, come indicato al paragrafo 4, e in merito agli obblighi e impegni sottoposti a revisione per i quali l’organizzazione di revisione ritiene necessario eseguire delle sperimentazioni ai fini della scelta della metodologia a norma del paragrafo 1.

6. Qualora gli obblighi o gli impegni di cui all’articolo 37, paragrafo 1, del regolamento (UE) 2022/2065 impongano al fornitore sottoposto a revisione di rendere pubbliche determinate informazioni, le metodologie di revisione includono una valutazione volta a stabilire se tali informazioni siano prive di errori materiali o omissioni che potrebbero renderle fuorvianti.

Articolo 11

Qualità delle prove di revisione

Le conclusioni e i giudizi di revisione si basano sulle prove di revisione, che soddisfano entrambi i requisiti seguenti:

a)	sono pertinenti e sufficienti per ridurre i rischi di revisione individuati conformemente all’articolo 9 e per consentire all’organizzazione di revisione di fornire conclusioni e giudizi di revisione in conformità dell’articolo 8;

b)	sono affidabili secondo il giudizio e lo scetticismo professionale dell’organizzazione di revisione.

Articolo 12

Metodi di campionamento

1. Laddove le prove di revisione si basino, parzialmente o interamente, su un campione di dati o di informazioni, la dimensione del campione e la metodologia di campionamento sono selezionate al fine di ridurre al minimo il rischio di mancata rilevazione e senza interferenze da parte del fornitore sottoposto a revisione.

2. La dimensione del campione e la metodologia di campionamento sono selezionate in modo da garantire la rappresentatività dei dati o delle informazioni e, se del caso, tenendo conto di tutti gli elementi seguenti:

a)	la rappresentatività del campione per il periodo di cui all’articolo 3, paragrafi 2 e 3;

b)	le modifiche rilevanti apportate al servizio sottoposto a revisione durante tale periodo;

c)	le modifiche rilevanti apportate al contesto in cui il servizio sottoposto a revisione è fornito durante tale periodo;

d)	le caratteristiche rilevanti dei sistemi algoritmici, ove applicabile, compresa la personalizzazione basata sulla profilazione o su altri criteri;

e)	altre caratteristiche rilevanti o partizioni dei dati, delle informazioni e delle prove considerate;

f)	la rappresentanza e l’analisi adeguata delle preoccupazioni relative a gruppi particolari, se del caso, quali minori o gruppi vulnerabili e minoranze, in relazione all’obbligo o impegno sottoposto a revisione.

3. La relazione di revisione comprende la motivazione della scelta della dimensione del campione e della metodologia di campionamento.

Articolo 13

Metodologie specifiche per la revisione della conformità all’articolo 34 del regolamento (UE) 2022/2065 sulla valutazione del rischio

1. La valutazione della conformità del fornitore sottoposto a revisione all’articolo 34 del regolamento (UE) 2022/2065 comprende, a titolo esemplificativo, un’analisi di tutti gli elementi seguenti:

se il fornitore sottoposto a revisione abbia individuato, analizzato e valutato con diligenza i rischi sistemici nell’Unione di cui all’articolo 34, paragrafo 1, primo comma, del regolamento (UE) 2022/2065, anche valutando:

i)	le modalità con cui il fornitore sottoposto a revisione ha individuato i rischi connessi al proprio servizio, tenendo conto degli aspetti regionali e linguistici dell’uso che ne viene fatto, anche se tale uso è specifico per uno Stato membro, e se tali rischi sono stati individuati adeguatamente;

ii)	le modalità con cui il fornitore sottoposto a revisione ha analizzato e valutato ciascun rischio, incluse le modalità con cui ne ha preso in considerazione la gravità e probabilità, e se la valutazione sia stata svolta in modo appropriato;

iii)

le modalità con cui il fornitore sottoposto a revisione ha individuato, analizzato e valutato i fattori di cui all’articolo 34, paragrafo 2, primo comma, del regolamento (UE) 2022/2065, se tali fattori siano stati individuati in modo appropriato e in che misura essi influenzano i rischi di cui al paragrafo 1 del medesimo articolo;

iv)	le fonti di informazione utilizzate dal fornitore sottoposto a revisione, la modalità di raccolta di tali informazioni e se il fornitore si sia basato su conoscenze scientifiche e tecniche e in che modo;

v)	se il fornitore sottoposto a revisione abbia verificato le ipotesi formulate in merito ai rischi con i gruppi maggiormente interessati dai rischi specifici e le modalità di tale verifica;

se la valutazione del rischio sia stata eseguita entro le tempistiche di cui all’articolo 34, paragrafo 1, secondo comma, del regolamento (UE) 2022/2065 e, ove applicabile, entro le tempistiche stabilite per le attività indicate come misure di attenuazione dei rischi per il rilevamento dei rischi sistemici a norma dell’articolo 35, paragrafo 1, lettera f), del regolamento;

le modalità con cui il fornitore sottoposto a revisione ha individuato le funzionalità che possono avere un impatto critico sui rischi per i quali si esegue una valutazione prima della loro introduzione, a norma dell’articolo 34, paragrafo 1, secondo comma, del regolamento (UE) 2022/2065, se tali funzionalità siano state individuate correttamente e se la valutazione del rischio sia stata condotta in modo appropriato;

se il fornitore sottoposto a revisione abbia individuato correttamente i documenti giustificativi delle valutazioni dei rischi da conservare e se abbia predisposto i mezzi necessari per garantirne la conservazione per almeno tre anni, a norma dell’articolo 34, paragrafo 3, del regolamento (UE) 2022/2065, nonché se tali documenti siano stati conservati di conseguenza.

2. Fatte salve eventuali altre analisi necessarie per raggiungere un livello di garanzia ragionevole, le metodologie per la revisione della conformità all’articolo 34 del regolamento (UE) 2022/2065 comprendono almeno una valutazione da parte dell’organizzazione di revisione degli elementi seguenti:

i controlli interni che il fornitore sottoposto a revisione ha predisposto al fine di monitorare lo svolgimento delle valutazioni dei rischi relative a ciascun fattore di cui all’articolo 34, paragrafo 2, primo comma, del regolamento (UE) 2022/2065; tale valutazione:

i)	si basa su procedure analitiche sostanziali, per tali controlli interni;

ii)	si basa sulle sperimentazioni eseguite per valutare se i controlli interni siano affidabili e se siano stati concepiti, eseguiti e monitorati con diligenza;

iii)

esamina le modalità con cui uno o più responsabili della conformità hanno svolto i propri compiti di cui all’articolo 41, paragrafo 3, lettere b), d), e) e, ove applicabile, f), del regolamento (UE) 2022/2065 e le modalità con cui l’organo di gestione del fornitore sottoposto a revisione è stato coinvolto nelle decisioni relative alla gestione dei rischi a norma dell’articolo 41, paragrafi 6 e 7, di tale regolamento;

le azioni, i mezzi e i processi predisposti dal fornitore sottoposto a revisione al fine di garantire la conformità all’articolo 34 del regolamento (UE) 2022/2065 e i relativi risultati; la valutazione è basata su:

i)	procedure analitiche sostanziali;

ii)

sperimentazioni, anche dei sistemi algoritmici, qualora l’organizzazione di revisione nutra ragionevoli dubbi, a seguito dei risultati delle procedure analitiche sostanziali e della valutazione dei controlli interni, o qualora l’organizzazione di revisione ritenga necessario eseguire delle sperimentazioni nella scelta della metodologia a norma dell’articolo 10, paragrafo 1.

3. Le informazioni analizzate dall’organizzazione di revisione a sostegno della valutazione eseguita a norma del presente articolo comprendono, a titolo esemplificativo:

la relazione di valutazione dei rischi riferita al periodo di revisione pertinente, redatta dal fornitore sottoposto a revisione contenente, ove necessario, informazioni riservate diverse da quelle pubblicate a norma dell’articolo 42, paragrafo 2, di tale regolamento, nonché tutti i documenti giustificativi;

b)	ove pertinente, altre relazioni di valutazione dei rischi del fornitore sottoposto a revisione e i relativi documenti giustificativi;

c)	le informazioni presentate dal fornitore sottoposto a revisione a norma dell’articolo 5;

d)	tutte le relazioni di trasparenza pertinenti del fornitore sottoposto a revisione di cui all’articolo 15, paragrafo 1, del regolamento (UE) 2022/2065;

e)	eventuali altri risultati delle sperimentazioni, documentazione, prove, dichiarazioni rilasciate in risposta a domande scritte o orali rivolte dall’organizzazione di revisione al personale del fornitore sottoposto a revisione e osservazioni effettuate in loco, se del caso;

f)	altre prove pertinenti, anche sulla base delle informazioni rese disponibili dal fornitore sottoposto a revisione;

ove disponibili, le relazioni di cui all’articolo 35, paragrafo 2, del regolamento (UE) 2022/2065 e le indicazioni della Commissione, compresi gli orientamenti emanati a norma dell’articolo 35, paragrafo 3, di tale regolamento, nonché eventuali altre indicazioni pertinenti fornite dalla Commissione in relazione all’applicazione del regolamento (UE) 2022/2065.

4. Le informazioni analizzate dall’organizzazione di revisione possono comprendere, se del caso, le informazioni di cui all’articolo 42, paragrafo 4, del regolamento (UE) 2022/2065, comprese quelle derivanti dalle relazioni di revisione, di valutazione dei rischi e di attenuazione dei rischi, relative ad altre piattaforme online di dimensioni molto grandi o ad altri motori di ricerca online di dimensioni molto grandi, o i dati e le ricerche resi disponibili al pubblico dai ricercatori abilitati di cui all’articolo 40, paragrafo 8, lettera g), del medesimo regolamento.

Articolo 14

Metodologie specifiche per la revisione della conformità all’articolo 35 del regolamento (UE) 2022/2065 sull’attenuazione dei rischi

1. La valutazione della conformità del fornitore sottoposto a revisione all’articolo 35 del regolamento (UE) 2022/2065 comprende, a titolo esemplificativo, un’analisi di tutti gli elementi seguenti:

a)	le modalità con cui il fornitore sottoposto a revisione ha individuato le misure di attenuazione dei rischi per ciascun rischio sistemico di cui all’articolo 34, paragrafo 1, del regolamento (UE) 2022/2065 e se tali misure siano state individuate in modo diligente;

le modalità con cui il fornitore sottoposto a revisione ha valutato se le misure di attenuazione dei rischi di cui all’articolo 35, paragrafo 1, lettere da a) a k), del regolamento (UE) 2022/2065 fossero applicabili al servizio sottoposto a revisione e se la conclusione di tale valutazione sia stata appropriata, anche per quanto riguarda le misure che il fornitore sottoposto a revisione non ha applicato;

la ragionevolezza, la proporzionalità e l’efficacia delle misure di attenuazione predisposte dal fornitore sottoposto a revisione ai fini dell’attenuazione dei rispettivi rischi, valutando tra l’altro:

i)	se tali misure rispondano collettivamente a tutti i rischi, considerando in particolare quelli relativi all’esercizio dei diritti fondamentali;

ii)	comparativamente, le modalità con cui i rischi sono stati affrontati prima e dopo la messa in atto delle misure specifiche di attenuazione dei rischi;

iii)	se le misure di attenuazione dei rischi siano state progettate e attuate in modo adeguato.

2. Fatte salve eventuali altre analisi necessarie per raggiungere un livello di garanzia ragionevole, le metodologie per la revisione della conformità all’articolo 35 del regolamento (UE) 2022/2065 comprendono almeno una valutazione da parte dell’organizzazione di revisione degli elementi seguenti:

i controlli interni predisposti dal fornitore sottoposto a revisione al fine di monitorare l’applicazione delle misure di attenuazione dei rischi di cui all’articolo 35, paragrafo 1, del regolamento (UE) 2022/2065 e se tali misure siano ragionevoli, proporzionate ed efficaci; tale valutazione:

i)	si basa su procedure analitiche sostanziali per tali controlli interni;

ii)	si basa sulle sperimentazioni eseguite per valutare se i controlli interni siano affidabili e se siano stati concepiti, eseguiti e monitorati con diligenza;

iii)

esamina le modalità con cui uno o più responsabili della conformità hanno svolto i propri compiti di cui all’articolo 41, paragrafo 3, lettere b), d), e) e, ove applicabile, f), del regolamento (UE) 2022/2065 e le modalità con cui l’organo di gestione del fornitore è stato coinvolto a norma dell’articolo 41, paragrafi 6 e 7, di tale regolamento;

le misure di attenuazione predisposte dai fornitori sottoposti a revisione; la valutazione è basata su:

i)	procedure analitiche sostanziali;

ii)

3. Le informazioni analizzate dall’organizzazione di revisione a sostegno della valutazione eseguita a norma del presente articolo comprendono, a titolo esemplificativo:

le relazioni sulla valutazione dei rischi e sull’attenuazione dei rischi riferite al periodo di revisione pertinente, redatte dal fornitore sottoposto a revisione e contenenti, ove necessario, informazioni riservate diverse da quelle pubblicate a norma dell’articolo 42, paragrafo 2, del regolamento (UE) 2022/2065, nonché tutti i documenti giustificativi;

b)	ove pertinente, altre relazioni sulla valutazione dei rischi e sull’attenuazione dei rischi redatte dal fornitore sottoposto a revisione e i relativi documenti giustificativi;

c)	le informazioni presentate dal fornitore sottoposto a revisione a norma dell’articolo 5;

d)	tutte le relazioni di trasparenza pertinenti del fornitore sottoposto a revisione di cui all’articolo 15, paragrafo 1, del regolamento (UE) 2022/2065;

ove pertinente, le relazioni precedenti sull’attenuazione dei rischi e i relativi documenti giustificativi, che riguardano periodi diversi da quello di revisione, e contenenti, ove necessario, informazioni riservate diverse da quelle pubblicate a norma dell’articolo 42, paragrafo 2, del regolamento (UE) 2022/2065;

f)	eventuali altri risultati delle sperimentazioni, documentazione, prove, dichiarazioni rilasciate in risposta a domande scritte e/o orali rivolte dall’organizzazione di revisione al personale del fornitore sottoposto a revisione e osservazioni effettuate in loco, se del caso;

g)	altre prove pertinenti, anche sulla base delle informazioni rese disponibili dal fornitore sottoposto a revisione;

4. Le informazioni analizzate dall’organizzazione di revisione possono comprendere, se del caso, le informazioni di cui all’articolo 42, paragrafo 4, del regolamento (UE) 2022/2065, comprese quelle derivanti dalle relazioni di revisione, di valutazione dei rischi e di attenuazione dei rischi, nonché le informazioni relative ad altre piattaforme online di dimensioni molto grandi o ad altri motori di ricerca online di dimensioni molto grandi, o i dati e le ricerche resi disponibili al pubblico dai ricercatori abilitati di cui all’articolo 40, paragrafo 8, lettera g), del regolamento (UE) 2022/2065.

Articolo 15

Metodologie specifiche per la revisione della conformità all’articolo 36 del regolamento (UE) 2022/2065 sul meccanismo di risposta alle crisi

1. La valutazione della conformità del fornitore sottoposto a revisione all’articolo 36, paragrafo 1, primo comma, lettera a), del regolamento (UE) 2022/2065 comprende, a titolo esemplificativo, un’analisi volta ad accertare se il fornitore sottoposto a revisione abbia eseguito le azioni richieste e le relative modalità di esecuzione, in particolare:

a)	se e in che modo il fornitore abbia individuato i sistemi pertinenti coinvolti nel funzionamento e nell’uso del proprio servizio, i quali contribuiscono in maniera significativa alla minaccia grave, e se tali sistemi siano stati individuati in modo appropriato;

b)	se e in che modo il fornitore abbia definito e monitorato il contributo significativo alla minaccia grave e se la valutazione sia stata adeguata;

c)	eventuali altre prescrizioni specificate nella decisione della Commissione di cui all’articolo 36, paragrafo 1 o 7, secondo comma, del regolamento (UE) 2022/2065, se del caso.

2. La valutazione della conformità del fornitore sottoposto a revisione all’articolo 36, paragrafo 1, primo comma, lettera b), del regolamento (UE) 2022/2065 comprende, a titolo esemplificativo, un’analisi volta ad accertare se il fornitore sottoposto a revisione abbia eseguito le azioni richieste e le relative modalità di esecuzione, in particolare:

a)	se e in che modo il fornitore abbia individuato le misure atte a prevenire, eliminare o limitare eventuali contributi alla minaccia grave;

b)	se e in che modo le misure adottate dal fornitore abbiano affrontato la gravità della minaccia grave e l’urgenza, nonché la loro adeguatezza in tal senso;

c)	se e in che modo il fornitore abbia individuato le parti interessate dalle misure e i loro interessi legittimi, nonché in che modo il fornitore ha valutato l’impatto reale o potenziale delle misure sui diritti, compresi i diritti fondamentali, e gli interessi legittimi di tali parti;

d)	se le misure adottate dal fornitore siano state efficaci e proporzionate;

e)	eventuali altre prescrizioni specificate nella decisione della Commissione di cui all’articolo 36, paragrafo 1 o 7, secondo comma, del regolamento (UE) 2022/2065, se del caso.

3. La valutazione della conformità del fornitore sottoposto a revisione all’articolo 36, paragrafo 1, primo comma, lettera c), del regolamento (UE) 2022/2065, comprende, a titolo esemplificativo, un’analisi della modalità con cui il fornitore ha eseguito l’azione richiesta, in particolare se il fornitore abbia fornito alla Commissione le informazioni richieste nella decisione della Commissione di cui all’articolo 36, paragrafo 1 o 7, secondo comma, del regolamento (UE) 2022/2065, e dell’accuratezza delle relazioni.

Articolo 16

Revisione della conformità all’articolo 37 del regolamento (UE) 2022/2065 sulle revisioni indipendenti

1. La conformità agli obblighi stabiliti all’articolo 37 del regolamento (UE) 2022/2065 e nel presente regolamento è valutata in relazione alla revisione o alle revisioni svolte per il periodo annuale precedente quello della revisione in corso.

2. In aggiunta a quanto previsto dal paragrafo 1, la revisione comprende una valutazione della conformità del fornitore sottoposto a revisione all’articolo 37, paragrafo 2, del regolamento (UE) 2022/2065 in relazione alla revisione in corso.

3. Laddove la revisione o le revisioni precedenti di cui al paragrafo 1 siano state eseguite dalla stessa organizzazione di revisione che esegue la revisione in corso, o laddove l’organizzazione di revisione che esegue la revisione in corso comprenda almeno un soggetto giuridico che ha partecipato a quella precedente, la relazione di revisione include una spiegazione delle misure adottate dall’organizzazione di revisione per garantire l’obiettività della valutazione.

Articolo 17

Revisione della conformità ai codici di condotta e ai protocolli di crisi

1. Il fornitore sottoposto a revisione mette a disposizione dell’organizzazione di revisione:

a)	un elenco e il testo di tutti i codici di condotta di cui agli articoli 45 e 46 del regolamento (UE) 2022/2065 e di tutti i protocolli di crisi di cui all’articolo 48 di tale regolamento dei quali il fornitore sottoposto a revisione è firmatario;

b)	un elenco dettagliato degli impegni contenuti in tali codici di condotta e protocolli di crisi che il fornitore sottoposto a revisione ha assunto;

c)	ove applicabile, gli indicatori chiave di prestazione concordati nell’ambito di ciascun codice di condotta e protocollo di crisi;

ove applicabile, tutte le misurazioni, i dati e la documentazione disponibili e tutte le relazioni preparate dal fornitore sottoposto a revisione in merito alla propria conformità agli impegni assunti, compreso l’accesso a tutti i dati e le informazioni pertinenti relativi al funzionamento dei servizi offerti dal fornitore sottoposto a revisione e rilevanti ai fini dell’attuazione del codice di condotta o del protocollo di crisi;

e)	ove applicabile, altri dati, misurazioni e documentazione preparati dai firmatari del codice di condotta o del protocollo di crisi, nonché le valutazioni eseguite dalla Commissione o dal comitato di cui all’articolo 45, paragrafo 4, del regolamento (UE) 2022/2065.

2. La valutazione della conformità del fornitore sottoposto a revisione ai codici di condotta di cui all’articolo 45 del regolamento (UE) 2022/2065 comprende, a titolo esemplificativo, la misurazione degli indicatori chiave di prestazione concordati nel codice di condotta a norma dell’articolo 45, paragrafo 3, del suddetto regolamento, la specificazione della soglia di rilevanza delle conclusioni della revisione e la valutazione dell’accuratezza dei dati comunicati.

SEZIONE V

Disposizioni finali

Articolo 18

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 20 ottobre 2023

Per la Commissione

La presidente

Ursula VON DER LEYEN

(1) GU L 277 del 27.10.2022, pag. 1.

ALLEGATO I

MODELLO DI RELAZIONE DI REVISIONE DI CUI ALL’ARTICOLO 6

Indice

SEZIONE B: organizzazione/i di revisione

Per compilare la sezione di seguito aggiungere le righe necessarie per ogni punto.

1.	Nome dell’organizzazione o delle organizzazioni che costituiscono l’organizzazione di revisione: …

Informazioni sul gruppo di revisione dell’organizzazione di revisione:

In riferimento a ciascun membro del gruppo di revisione, indicare:

il nome;

2.	la singola organizzazione parte dell’organizzazione di revisione a cui è affiliato;

3.	l’indirizzo e-mail professionale;

4.	la descrizione delle relative responsabilità e del lavoro svolto nel corso della revisione.

…

Qualifiche dei revisori:

…

a.	Panoramica delle qualifiche professionali delle persone che hanno eseguito la revisione, compresi i settori di competenza e le certificazioni, ove applicabile: …

b.	Documenti attestanti che l’organizzazione di revisione soddisfa i requisiti di cui all’articolo 37, paragrafo 3, lettera b), del regolamento (UE) 2022/2065, presentati in allegato alla presente relazione:

…

Indipendenza dei revisori:

a.	Dichiarazione di interessi: …

b.	Riferimenti a eventuali norme rilevanti per l’indipendenza del gruppo di revisione a cui aderiscono l’organizzazione o le organizzazioni di revisione: …

c.	Elenco dei documenti attestanti che l’organizzazione di revisione rispetta gli obblighi di cui all’articolo 37, paragrafo 3, lettere a) e c), del regolamento (UE) 2022/2065, presentati in allegato alla presente relazione.

…

5.	Riferimenti a eventuali norme in materia di revisione applicate alla revisione, ove applicabile: …

6.	Riferimenti a eventuali norme in materia di gestione della qualità a cui aderisce l’organizzazione di revisione, ove applicabile: …

SEZIONE F.1: soggetti terzi consultati

Ripetere questa sezione per ciascun soggetto terzo consultato, incrementando di uno il nome della sezione (ad esempio F.1, F.2 e così via).

1.	Nome del soggetto terzo consultato: …

2.	Rappresentante e informazioni di contatto del soggetto terzo consultato: …

3.	Data o date della consultazione: …

4.	Contributo fornito dal soggetto terzo: …

SEZIONE G: eventuali altre informazioni che l’organismo di revisione desidera inserire nella relazione di revisione (quali la descrizione di possibili limitazioni intrinseche)

Aggiungere righe se necessario, conformemente all’allocazione delle responsabilità e dei poteri di cui all’articolo 7, paragrafo 1, lettera b)

Data:

…

Firmato da:

…

Luogo:

…

A nome di:

…

Responsabile di:

…

Allegati della relazione di revisione (ove applicabile)

Documenti necessari a norma dell’articolo 7, paragrafo 2, del presente regolamento.

Documenti relativi all’analisi dei rischi di revisione a norma dell’articolo 9 del presente regolamento.

Documenti attestanti che l’organizzazione di revisione rispetta gli obblighi di cui all’articolo 37, paragrafo 3, lettera a), del regolamento (UE) 2022/2065.

Documenti attestanti che l’organizzazione di revisione rispetta gli obblighi di cui all’articolo 37, paragrafo 3, lettera b), del regolamento (UE) 2022/2065.

Documenti attestanti che l’organizzazione di revisione rispetta gli obblighi di cui all’articolo 37, paragrafo 3, lettera c), del regolamento (UE) 2022/2065.

Documentazione e risultati di eventuali sperimentazioni eseguite dall’organizzazione di revisione, anche per quanto riguarda i sistemi algoritmici del fornitore sottoposto a revisione.

Codici di condotta di cui agli articoli 45 e 46 del regolamento (UE) 2022/2065 a norma dei quali il fornitore sottoposto a revisione ha assunto gli impegni, compresa una chiara indicazione di tutti gli impegni assunti e di eventuali indicatori chiave di prestazione a essi relativi.

Protocolli di crisi di cui all’articolo 48 del regolamento (UE) 2022/2065 attuati dal fornitore sottoposto a revisione.

Eventuali altri allegati che l’organizzazione di revisione desidera includere.

ALLEGATO II

MODELLO DI RELAZIONE DI ATTUAZIONE DELLA REVISIONE DI CUI ALL’ARTICOLO 6

Indice

SEZIONE A: informazioni generali

Fornitore sottoposto a revisione:

…

Indirizzo del fornitore sottoposto a revisione:

…

Relazione di revisione su cui si basa la presente relazione di attuazione

Data di adozione della relazione di revisione: …

Riferimento alla relazione di revisione (ad esempio un URL):

…

Informazioni relative alla revisione di riferimento e alle parti coinvolte (cfr. sezioni A e B della relazione di revisione di riferimento):

…

La relazione di attuazione della revisione si riferisce a una relazione di revisione sulla conformità a tutti gli obblighi e gli impegni di cui all’articolo 37, paragrafo 1, del regolamento (UE) 2022/2065 applicabili al fornitore sottoposto a revisione?

Sì/No (in caso di risposta negativa, indicare gli obblighi e gli impegni oggetto della relazione di revisione di riferimento)

…

Ove applicabile, riferimenti ad altre relazioni di revisione derivanti da revisioni a norma dell’articolo 37 del regolamento (UE) 2022/2065 di cui il fornitore sottoposto a revisione è o sarà oggetto in relazione al periodo di revisione:

…

ELI: http://data.europa.eu/eli/reg_del/2024/436/oj

ISSN 1977-0707 (electronic edition)

Top