DECISIONE DELEGATA (UE) 2019/971 DELLA COMMISSIONE

del 26 febbraio 2019

relativa alla definizione, a norma dell'articolo 6, paragrafo 4, del regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio, dei requisiti del servizio di account sicuro che permette ai richiedenti di fornire informazioni o documenti aggiuntivi

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) 2018/1240 del Parlamento europeo e del Consiglio, del 12 settembre 2018, che istituisce un sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) e che modifica i regolamenti (UE) n. 1077/2011, (UE) n. 515/2014, (UE) 2016/399, (UE) 2016/1624 e (UE) 2017/2226 (1), in particolare l'articolo 6, paragrafo 4,

considerando quanto segue:

(1)

Il regolamento (UE) 2018/1240 ha istituito il sistema europeo di informazione e autorizzazione ai viaggi (ETIAS) per i cittadini di paesi terzi esenti dall'obbligo di possedere il visto al momento dell'attraversamento delle frontiere esterne. Ha stabilito le condizioni e le procedure in base alle quali è rilasciata o rifiutata l'autorizzazione ai viaggi.

(2)

In caso di trattamento manuale della domanda ETIAS l'unità nazionale ETIAS può chiedere al richiedente di fornire informazioni o documenti aggiuntivi. È opportuno stabilire nella presente decisione le modalità con cui il richiedente può fornire tali informazioni o documenti aggiuntivi mediante un apposito strumento.

(3)	È opportuno che il servizio di account sicuro sia accessibile tramite l'apposito sito web pubblico, l'applicazione per dispositivi mobili e un collegamento ipertestuale sicuro.

(4)	Il servizio di account sicuro dovrebbe permettere la conferma dell'identità del richiedente e garantire un accesso allo strumento in condizioni di sicurezza. È pertanto necessario stabilire i requisiti di autenticazione, compresa la fornitura di un codice univoco al richiedente.

(5)	Occorre stabilire la procedura per la presentazione delle informazioni o dei documenti aggiuntivi e definire i dati in uscita prodotti dal servizio di account sicuro.

(6)

È opportuno permettere al richiedente di presentare le informazioni o i documenti aggiuntivi in qualsiasi momento entro il termine di cui dispone dal ricevimento della richiesta in tal senso a norma dell'articolo 27, paragrafo 2, o dell'articolo 44, paragrafo 3, del regolamento (UE) 2018/1240. Il richiedente dovrebbe poter salvare le operazioni compiute e riprenderle entro tale termine. Scaduto il termine, il richiedente non dovrebbe avere più accesso al servizio di account sicuro.

(7)	Dovrebbero essere stabiliti i canali attraverso i quali il servizio di account sicuro comunica con il sistema centrale ETIAS. Dovrebbero inoltre essere stabiliti il formato dei messaggi, le norme e i protocolli, così come i requisiti di sicurezza.

(8)

A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca allegato al trattato sull'Unione europea e al trattato sul funzionamento dell'Unione europea, la Danimarca non ha partecipato all'adozione del regolamento (UE) 2017/2226, non è da esso vincolata, né è soggetta alla sua applicazione. Tuttavia, dato che il regolamento (UE) 2018/1240 si basa sull'acquis di Schengen, il 21 dicembre 2018 la Danimarca ha notificato, a norma dell'articolo 4 di detto protocollo, la decisione di recepire il regolamento (UE) 2018/1240 nel proprio diritto interno.

(9)	La presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen a cui il Regno Unito non partecipa, a norma della decisione 2000/365/CE del Consiglio (2); il Regno Unito non partecipa pertanto alla sua adozione, non è da essa vincolato né è soggetto alla sua applicazione.

(10)	La presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen a cui l'Irlanda non partecipa, a norma della decisione 2002/192/CE del Consiglio (3); l'Irlanda non partecipa pertanto alla sua adozione, non è da essa vincolata né è soggetta alla sua applicazione.

(11)

Per quanto riguarda l'Islanda e la Norvegia, la presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia relativo all'associazione di questi due Stati all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (4), che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE del Consiglio (5).

(12)

Per quanto riguarda la Svizzera, la presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione di quest'ultima all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (6) che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l'articolo 3 della decisione 2008/146/CE del Consiglio (7).

(13)

Per quanto riguarda il Liechtenstein, la presente decisione costituisce uno sviluppo delle disposizioni dell'acquis di Schengen ai sensi del protocollo sottoscritto tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (8), che rientrano nel settore di cui all'articolo 1, lettera A, della decisione 1999/437/CE, in combinato disposto con l'articolo 3 della decisione 2011/350/UE del Consiglio (9).

(14)	Il garante europeo della protezione dei dati è stato consultato il 28 gennaio 2019 e ha espresso un parere l'8 febbraio 2019,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Accesso al servizio di account sicuro

1. Il servizio di account sicuro è accessibile tramite:

a)	l'apposito sito web pubblico di cui all'articolo 16 del regolamento (UE) 2018/1240;

b)	l'applicazione per dispositivi mobili di cui all'articolo 16 del regolamento (UE) 2018/1240;

c)	un collegamento ipertestuale inviato tramite il servizio di posta elettronica ETIAS di cui all'articolo 6, paragrafo 2, lettera f), del regolamento (UE) 2018/1240.

2. Il servizio di account sicuro è accessibile:

a)	fino alla presentazione definitiva delle informazioni o dei documenti aggiuntivi confermata dal richiedente; o

b)	fino alla scadenza del termine di cui all'articolo 27, paragrafo 2, del regolamento (UE) 2018/1240; o

c)	sino alla fine del periodo stabilito dall'unità nazionale ETIAS in conformità dell'articolo 44 del regolamento (UE) 2018/1240.

Articolo 2

Autenticazione a due fattori per l'accesso al servizio di account sicuro

1. La connessione al servizio di account sicuro è subordinata a un'autenticazione a due fattori.

2. La prima autenticazione comporta l'inserimento dei dati seguenti:

a)	numero della domanda;

b)	numero del documento di viaggio.

3. Se il richiedente non indica il numero della domanda, la prima autenticazione comporta l'inserimento dei dati seguenti:

a)	numero del documento di viaggio;

b)	paese di rilascio del documento di viaggio, da selezionare in un elenco prestabilito;

c)	data di rilascio e di scadenza del documento di viaggio; e

d)	nomi di entrambi i genitori.

4. Il numero della domanda è quello inviato al richiedente mediante il servizio di posta elettronica ETIAS alla presentazione della domanda. Gli altri dati indicati dal richiedente a norma del paragrafo 2 o del paragrafo 3 sono quelli che ha indicato alla presentazione della domanda.

5. La seconda autenticazione consiste nell'inserimento di un codice univoco nel servizio di account sicuro per confermare l'autenticazione.

6. Alla trasmissione delle informazioni previste al paragrafo 2 o al paragrafo 3 è generato automaticamente il codice univoco di cui al paragrafo 4, che è inviato al richiedente mediante il servizio di posta elettronica di cui all'articolo 6, paragrafo 2, lettera f), del regolamento (UE) 2018/1240.

7. Il codice univoco è inviato all'indirizzo di posta elettronica indicato nella domanda.

8. Il codice univoco scade dopo un periodo breve di tempo. L'invio al richiedente di un nuovo codice univoco invalida i codici univoci inviatigli in precedenza.

9. Il codice univoco è monouso.

Articolo 3

Presentazione delle informazioni o dei documenti aggiuntivi nel servizio di account sicuro

1. Ai fini dell'articolo 27 del regolamento (UE) 2018/1240 il richiedente presenta le informazioni o i documenti aggiuntivi in uno dei formati seguenti:

a)	Portable Document Format (PDF);

b)	Joint Photographic Experts Group (JPEG); o

c)	Portable Network Graphics (PNG).

2. Il servizio di account sicuro accetta il caricamento finale di 20 file al massimo per una quantità totale di informazioni non superiore a 50 MB.

3. Il richiedente può salvare le operazioni di presentazione delle informazioni o dei documenti aggiuntivi nel servizio di account sicuro e riprenderle entro il termine di cui dispone a norma dell'articolo 27, paragrafo 2, del regolamento (UE) 2018/1240 o entro il termine stabilito dall'unità nazionale ETIAS se si applica l'articolo 44 del medesimo regolamento. Il servizio di account sicuro consente al richiedente di indicare chiaramente se la presentazione è definitiva o no. Il servizio di account sicuro consente al richiedente di verificare se i documenti sono caricati correttamente prima di confermare la presentazione.

4. Prima di confermare la presentazione definitiva il richiedente può sopprimere i documenti caricati entro il termine di cui dispone a norma dell'articolo 27, paragrafo 2, del regolamento (UE) 2018/1240 o entro il termine stabilito dall'unità nazionale ETIAS se si applica l'articolo 44 del medesimo regolamento.

5. Il richiedente conferma la presentazione tramite barratura dell'apposita casella nel servizio di account sicuro.

Articolo 4

Dati in uscita dal servizio di account sicuro

1. Alla presentazione definitiva delle informazioni e/o dei documenti aggiuntivi:

a)	è messa a disposizione una loro versione in sola lettura, marcata come «presentata»;

il richiedente riceve, tramite il servizio di posta elettronica ETIAS, un messaggio di conferma della presentazione che riepiloga il nome e il formato dei diversi documenti caricati, la marcatura temporale della presentazione definitiva e un valore alfanumerico di lunghezza fissa che identifica in modo univoco i dati («valore hash») dei file trasmessi.

2. Dopo che ha presentato le informazioni e/o i documenti aggiuntivi, il richiedente non ha più accesso al servizio di account sicuro.

3. È integrata nel servizio di account sicuro una soluzione tecnica che concorre a garantire che i documenti conservati nel fascicolo di domanda siano quelli che il richiedente ha caricato nel servizio di account sicuro.

Articolo 5

Comunicazione fra il servizio di account sicuro e il sistema centrale ETIAS

1. Quando un'unità nazionale ETIAS chiede informazioni o documenti aggiuntivi a norma dell'articolo 27 o dell'articolo 44 del regolamento (UE) 2018/1240, il sistema centrale ETIAS ne informa immediatamente il servizio di account sicuro tramite il servizio web sicuro di cui all'articolo 6, paragrafo 2, lettera l), del regolamento (UE) 2018/1240.

2. Quando il richiedente presenta le informazioni o i documenti aggiuntivi, il servizio di account sicuro:

a)	calcola i valori hash dei file presentati; e

b)	trasmette le informazioni o i documenti aggiuntivi al sistema centrale ETIAS tramite il servizio web sicuro.

3. Prima di trasmettere i documenti al sistema centrale ETIAS il servizio web sicuro effettua le necessarie verifiche sulla loro sicurezza.

4. Il sistema centrale ETIAS registra e conserva le informazioni e/o i documenti aggiuntivi nel fascicolo di domanda in conformità all'articolo 27, paragrafo 9, e dell'articolo 44, paragrafo 3, del regolamento (UE) 2018/1240.

Articolo 6

Formato dei messaggi, norme e protocolli

Il formato dei messaggi e i protocolli da implementare sono stabiliti nelle specifiche tecniche di cui all'articolo 73, paragrafo 3, del regolamento (UE) 2018/1240.

Articolo 7

Specificità di sicurezza

1. Il servizio di account sicuro è progettato e implementato in modo da impedire qualsiasi accesso illecito. A tal fine il servizio di account sicuro limita il numero di tentativi di accesso possibili con lo stesso numero di documento di viaggio, lo stesso numero di domanda o lo stesso codice univoco. Nel servizio sono integrate protezioni contro le manovre non riconducibili a un essere umano.

2. Il servizio di account sicuro chiude la sessione per scadenza del tempo massimo dopo alcuni minuti di inattività.

3. Agli ulteriori elementi della riservatezza, integrità e disponibilità dei dati trattati si applicano le specifiche tecniche di cui all'articolo 73, paragrafo 3, del regolamento (UE) 2018/1240.

Articolo 8

Registrazioni

1. Il servizio di account sicuro conserva registrazioni delle attività, contenenti:

a)	i dati di autenticazione, compreso se l'autenticazione ha avuto esito positivo o no;

b)	la data e l'ora in cui è stato inviato il codice univoco;

c)	la data e l'ora dell'accesso;

d)	il numero di documenti caricati;

e)	la verifica di sicurezza sui documenti.

2. Per ogni documento caricato sono conservate inoltre le registrazioni seguenti:

a)	data e ora;

nome;

c)	dimensione;

d)	valore hash.

3. Le registrazioni delle attività e dei documenti del servizio di account sicuro sono copiate nel sistema centrale. Sono conservate al massimo per un anno dopo la fine del periodo di conservazione del fascicolo di domanda, sempreché non siano necessarie per procedure di monitoraggio già avviate. Trascorso tale periodo sono soppresse automaticamente.

Le registrazioni possono essere utilizzate soltanto per le finalità previste all'articolo 69, paragrafo 4, del regolamento (UE) 2018/1240.

Articolo 9

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Fatto a Bruxelles, il 26 febbraio 2019

Per la Commissione

Il Presidente

Jean-Claude JUNCKER

(1) GU L 236 del 19.9.2018, pag. 1.

(2) Decisione 2000/365/CE del Consiglio, del 29 maggio 2000, riguardante la richiesta del Regno Unito di Gran Bretagna e Irlanda del Nord di partecipare ad alcune disposizioni dell'acquis di Schengen (GU L 131 dell'1.6.2000, pag. 43).

(3) Decisione 2002/192/CE del Consiglio, del 28 febbraio 2002, riguardante la richiesta dell'Irlanda di partecipare ad alcune disposizioni dell'acquis di Schengen (GU L 64 del 7.3.2002, pag. 20).

(4) GU L 176 del 10.7.1999, pag. 36.

(5) Decisione 1999/437/CE del Consiglio, del 17 maggio 1999, relativa a talune modalità di applicazione dell'accordo concluso dal Consiglio dell'Unione europea con la Repubblica d'Islanda e il Regno di Norvegia sull'associazione di questi due Stati all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 176 del 10.7.1999, pag. 31).

(6) GU L 53 del 27.2.2008, pag. 52.

(7) Decisione 2008/146/CE del Consiglio, del 28 gennaio 2008, relativa alla conclusione, a nome della Comunità europea, dell'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera, riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen (GU L 53 del 27.2.2008, pag. 1).

(8) GU L 160 del 18.6.2011, pag. 21.

(9) Decisione 2011/350/UE del Consiglio, del 7 marzo 2011, sulla conclusione, a nome dell'Unione europea, del protocollo tra l'Unione europea, la Comunità europea, la Confederazione svizzera e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra l'Unione europea, la Comunità europea e la Confederazione svizzera riguardante l'associazione della Confederazione svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen, con particolare riguardo alla soppressione dei controlli alle frontiere interne e alla circolazione delle persone (GU L 160 del 18.6.2011, pag. 19).