COMMISSIONE EUROPEA

Bruxelles, 3.6.2021

COM(2021) 281 final

2021/0136(COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione di un quadro per un'identità digitale europea

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}

RELAZIONE

1.CONTESTO DELLA PROPOSTA

•Motivi e obiettivi della proposta

La presente relazione accompagna la proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS) 1 . Ai fini dell'uso transfrontaliero, il presente strumento giuridico mira a:

–fornire accesso a soluzioni di identità elettronica altamente sicure e affidabili;

–assicurare che i servizi pubblici e privati possano contare su soluzioni affidabili e sicure di identità digitale;

–assicurare che le persone fisiche e giuridiche abbiano la facoltà di utilizzare soluzioni di identità digitale;

–assicurare che tali soluzioni siano legate a una serie di attributi e consentano la condivisione mirata di dati di identità limitati alle esigenze del servizio specifico richiesto;

–assicurare l'accettazione di servizi fiduciari qualificati nell'UE nonché parità di condizioni per la loro prestazione.

•Coerenza con le disposizioni vigenti nel settore normativo interessato

•Coerenza con le altre normative dell'Unione

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

•BASE GIURIDICA

La presente iniziativa mira a sostenere la trasformazione dell'Unione verso un mercato unico digitale. In ragione della crescente digitalizzazione dei servizi pubblici e privati transfrontalieri che si basano sull'utilizzo di soluzioni di identità digitale, esiste il rischio che nel contesto dell'attuale quadro giuridico i cittadini continuino a incontrare ostacoli e non siano in grado di utilizzare appieno i servizi online senza soluzione di continuità in tutta l'UE e di preservarne la riservatezza. Esiste altresì il rischio che le carenze dell'attuale quadro giuridico per i servizi fiduciari aumentino la frammentazione e riducano la fiducia se a farsene carico sono i soli Stati membri. Di conseguenza l'articolo 114 TFUE viene identificato come base giuridica pertinente per la presente iniziativa.

•Sussidiarietà (per la competenza non esclusiva)

I cittadini e le imprese dovrebbero poter beneficiare della disponibilità di soluzioni di identità digitale altamente sicure e affidabili che possono essere utilizzate in tutta l'UE e della portabilità degli attestati elettronici di attributi legati all'identità. I recenti sviluppi tecnologici, il mercato e la domanda degli utenti richiedono la disponibilità di soluzioni transfrontaliere più facili da utilizzare che consentano l'accesso a servizi online in tutta l'UE, una disponibilità che il regolamento eIDAS nella sua forma attuale non è in grado di offrire.

Gli utenti sono inoltre sempre più abituati a soluzioni disponibili a livello globale, ad esempio mediante l'utilizzo di soluzioni di accesso unico (single sign-on) fornite dalle maggiori piattaforme di social media per accedere ai servizi online. Gli Stati membri non possono affrontare da soli le sfide che tale situazione crea in termini di potere di mercato dei prestatori di grandi dimensioni, poiché per farlo sono necessari l'interoperabilità e regimi di identificazione elettronica affidabili a livello dell'UE. Inoltre gli attestati elettronici di attributi rilasciati e accettati in uno Stato membro, come un certificato sanitario elettronico, spesso non sono legalmente riconosciuti e accettati in altri Stati membri. Ciò crea il rischio che gli Stati membri continuino a sviluppare soluzioni nazionali frammentate che non possono funzionare oltre confine.

Per quanto riguarda la prestazione di servizi fiduciari, sebbene in gran parte regolamentata e funzionante in conformità con l'attuale quadro giuridico, le prassi nazionali creano altresì il rischio di una maggiore frammentazione.

L'intervento a livello dell'Unione è in definitiva il più adatto a fornire ai cittadini e alle imprese i mezzi per l'identificazione transfrontaliera e lo scambio di attributi e credenziali di identità personale utilizzando soluzioni di identità digitale altamente sicure e affidabili, nel rispetto delle norme in materia di protezione dei dati dell'UE. Ciò richiede un'identificazione elettronica affidabile e sicura e un quadro normativo che la colleghi ad attributi e credenziali a livello dell'UE. Soltanto un intervento a livello dell'Unione può stabilire le condizioni armonizzate che assicurino agli utenti l'accesso a servizi digitali online transfrontalieri e il controllo degli stessi e un quadro di interoperabilità che renda facile per i servizi online fare affidamento sull'utilizzo di soluzioni di identità digitale sicure, indipendentemente dal luogo nell'UE in cui sono state rilasciate o dal luogo in cui risiede un cittadino. Come ampiamente rispecchiato nel riesame del regolamento eIDAS, è improbabile che l'intervento nazionale sia altrettanto efficiente ed efficace.

•Proporzionalità

La presente iniziativa è proporzionata agli obiettivi perseguiti, poiché mette a disposizione uno strumento adeguato per definire la struttura di interoperabilità necessaria per la creazione di un ecosistema dell'Unione per l'identità digitale basato sulle identità giuridiche rilasciate dagli Stati membri nonché sulla fornitura di attributi di identità digitale qualificati e non qualificati. Fornisce un contributo evidente all'obiettivo di migliorare il mercato unico digitale attraverso un quadro giuridico più armonizzato. I portafogli europei di identità digitale armonizzati che saranno emessi dagli Stati membri sulla base di norme tecniche comuni forniscono altresì un approccio comune dell'UE a beneficio degli utenti e delle parti che fanno affidamento sulla disponibilità di soluzioni di identità elettronica transfrontaliere sicure. L'iniziativa affronta i limiti dell'attuale infrastruttura di interoperabilità dell'identificazione elettronica basata sul riconoscimento reciproco di regimi nazionali di identificazione elettronica. Tenendo conto degli obiettivi fissati, la presente iniziativa è considerata sufficientemente proporzionata e i costi saranno probabilmente commisurati ai benefici potenziali. La proposta di regolamento darà luogo a costi finanziari e amministrativi, che devono essere sostenuti dagli Stati membri in qualità di emittenti dei portafogli europei di identità digitale, nonché dai prestatori di servizi fiduciari e servizi online. Tuttavia tali costi sarebbero probabilmente superati dai significativi benefici potenziali per i cittadini e gli utenti derivanti direttamente da un aumento del riconoscimento e dell'accettazione a livello transfrontaliero di servizi di identità e attributi elettronici.

I costi derivanti dalla creazione e dall'allineamento alle nuove norme per i prestatori di servizi fiduciari e di servizi online non possono essere evitati se si vuole conseguire l'obiettivo dell'usabilità e dell'accessibilità. L'iniziativa intende sfruttare l'investimento già effettuato dagli Stati membri nei loro regimi nazionali di identità e basarsi sullo stesso. Inoltre i costi aggiuntivi generati dalla proposta sono concepiti per sostenere l'armonizzazione e giustificati dall'aspettativa che, nel lungo termine, ridurranno gli oneri amministrativi e i costi di conformità. Anche i costi legati all'accettazione nei settori regolamentati degli attributi di autenticazione dell'identità digitale possono essere considerati necessari e proporzionati nella misura in cui sostengono l'obiettivo generale e forniscono i mezzi con cui i settori regolamentati possono adempiere gli obblighi giuridici di identificare giuridicamente un utente.

•Scelta dell'atto giuridico

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

•Valutazioni ex post /Vaglio di adeguatezza della legislazione vigente

•Consultazioni dei portatori di interessi

•Assunzione e uso di perizie

•Valutazione d'impatto

•Efficienza normativa e semplificazione

•Diritti fondamentali

Poiché i dati personali rientrano nell'ambito di applicazione di alcuni elementi del regolamento, le misure sono concepite per rispettare pienamente la legislazione in materia di protezione dei dati. La proposta migliora ad esempio le opzioni per condividere i dati e consentire la divulgazione discrezionale. Utilizzando il portafoglio europeo di identità digitale, gli utenti saranno in grado di controllare la quantità di dati forniti alle parti facenti affidamento sulla certificazione e saranno informati in merito agli attributi richiesti per l'erogazione di un servizio specifico. I prestatori di servizi devono informare gli Stati membri della loro intenzione di fare affidamento su un portafoglio europeo di identità digitale, circostanza questa che consentirebbe agli Stati membri di controllare che gli insiemi di dati sensibili, relativi ad esempio alla salute, siano richiesti dai prestatori di servizi soltanto in conformità con il diritto nazionale.

4.INCIDENZA SUL BILANCIO

Al fine di conseguire in maniera ottimale gli obiettivi della presente iniziativa, è necessario finanziare una serie di azioni tanto a livello di Commissione, dove è prevista l'assegnazione di circa 60 equivalenti a tempo pieno (ETP) nel periodo 2022-2027, quanto a livello di Stati membri attraverso la loro partecipazione attiva in seno ai gruppi di esperti e ai comitati legati al lavoro dell'iniziativa e che sono composti dai rappresentanti degli Stati membri. Le risorse finanziarie totali necessarie per l'attuazione della proposta nel periodo 2022-2027 ammonteranno fino a 30,825 milioni di EUR, di cui 8,825 milioni di EUR di costi amministrativi e fino a 22 milioni di EUR di spese operative coperte dal programma Europa digitale (in attesa di accordo). Il finanziamento sosterrà i costi legati al mantenimento, allo sviluppo, all'hosting, al funzionamento e al supporto degli elementi costitutivi dell'identità elettronica e dei servizi fiduciari, e potrà inoltre sostenere sovvenzioni per il collegamento di servizi all'ecosistema dei portafogli europei di identità digitale e lo sviluppo di norme e specifiche tecniche. Infine il finanziamento sosterrà anche la realizzazione di indagini annuali e studi sull'efficacia e sull'efficienza del regolamento nel conseguimento dei suoi obiettivi. La scheda finanziaria collegata alla presente iniziativa fornisce una panoramica dettagliata dei costi previsti.

5.ALTRI ELEMENTI

•Piani attuativi e modalità di monitoraggio, valutazione e informazione

•Illustrazione dettagliata delle singole disposizioni della proposta

All'articolo 6 bis la proposta di regolamento dispone che gli Stati membri rilascino un portafoglio europeo di identità digitale nel quadro di un regime di identificazione elettronica notificato in linea con norme tecniche comuni, a seguito di una valutazione obbligatoria della conformità e di una certificazione volontaria nel contesto del quadro europeo di certificazione della cibersicurezza, come stabilito dal regolamento sulla cibersicurezza. L'articolo comprende disposizioni volte a garantire che le persone fisiche e giuridiche abbiano la possibilità di richiedere e ottenere, conservare, combinare e utilizzare in maniera sicura i dati di identificazione personale e gli attestati elettronici di attributi per l'autenticazione online e offline nonché per accedere a beni e a servizi pubblici e privati online, con il pieno controllo dell'utente. La certificazione non pregiudica il regolamento generale sulla protezione dei dati nel senso che i trattamenti di dati personali relativi al portafoglio europeo di identità digitale possono essere certificati soltanto a norma degli articoli 42 e 43 di detto regolamento.

All'articolo 6 ter la proposta stabilisce disposizioni specifiche relative ai requisiti applicabili alle parti facenti affidamento sulla certificazione al fine di prevenire le frodi e assicurare l'autenticazione dei dati di identificazione personale e degli attestati elettronici di attributi provenienti dal portafoglio europeo di identità digitale.

Al fine di rendere disponibili più mezzi di identificazione elettronica per l'uso transfrontaliero e migliorare l'efficienza del processo di riconoscimento reciproco dei regimi di identificazione elettronica notificati, l'articolo 7 prevede l'obbligo di notifica di almeno un regime di identificazione elettronica da parte degli Stati membri. Inoltre all'articolo 11 bis sono state aggiunte disposizioni volte a facilitare l'identificazione univoca al fine di assicurare l'identificazione univoca e persistente delle persone fisiche. Ciò riguarda i casi in cui l'identificazione è richiesta dalla legge, come nel settore della sanità, in quello della finanza per l'adempimento di obblighi antiriciclaggio, oppure per uso giudiziario. A tal fine gli Stati membri saranno tenuti a includere un identificatore unico e persistente nell'insieme minimo di dati di identificazione personale. La possibilità per gli Stati membri di affidarsi alla certificazione per garantire la conformità con il regolamento, sostituendo così il processo di valutazione tra pari, migliora l'efficienza del riconoscimento reciproco.

La sezione 3 presenta nuove disposizioni sul ricorso transfrontaliero al portafoglio europeo di identità digitale al fine di assicurare che gli utenti possano fare affidamento sull'uso del portafoglio europeo di identità digitale per accedere a servizi online prestati da organismi del settore pubblico e da prestatori privati di servizi che richiedono l'uso di un'autenticazione forte dell'utente.

Al capo III dedicato ai servizi fiduciari, l'articolo 14 sugli aspetti internazionali è modificato per consentire alla Commissione la possibilità di adottare decisioni di esecuzione che attestino l'equivalenza dei requisiti applicati ai servizi fiduciari stabiliti in paesi terzi e ai servizi da essi prestati, oltre alla possibilità di ricorrere ad accordi di riconoscimento reciproco conformemente all'articolo 218 TFUE.

Per quanto concerne le disposizioni generali applicabili ai servizi fiduciari, compresi i prestatori di servizi fiduciari qualificati, gli articoli 17, 18, 20, 21 e 24 sono modificati per allinearli alle norme applicabili alla sicurezza delle reti e dell'informazione nell'UE. Per quanto riguarda i metodi che i prestatori di servizi fiduciari qualificati devono impiegare per verificare l'identità di persone fisiche o giuridiche alle quali vengono rilasciati i certificati qualificati, le disposizioni sull'uso dei mezzi di identificazione a distanza sono state armonizzate e chiarite al fine di garantire che le stesse regole siano applicate in tutta l'UE.

Il capo III presenta un nuovo articolo 29 bis che definisce i requisiti di un servizio qualificato per la gestione di dispositivi per la creazione di una firma elettronica a distanza. Il nuovo servizio fiduciario qualificato sarebbe direttamente collegato alle misure citate e valutate nella valutazione d'impatto e basato su di esse, in particolare le misure relative all'armonizzazione del processo di certificazione per la firma elettronica a distanza e altre misure che richiedono l'armonizzazione delle pratiche di vigilanza da parte degli Stati membri.

Al fine di assicurare che gli utenti possano identificare chi c'è dietro un sito web, l'articolo 45 è modificato per richiedere ai fornitori di browser web di facilitare l'uso di certificati qualificati di autenticazione di siti web.

Il capo III presenta tre nuove sezioni.

La nuova sezione 9 prevede l'aggiunta di disposizioni relative agli effetti giuridici degli attestati elettronici di attributi, al loro utilizzo in settori definiti e ai requisiti per gli attestati di attributi qualificati. Per assicurare un livello elevato di fiducia, nell'articolo 45 quinquies è stata inserita una disposizione sulla verifica degli attributi rispetto a fonti autentiche. Al fine di assicurare che gli utenti del portafoglio europeo di identità digitale possano beneficiare della disponibilità di attestati elettronici di attributi e del rilascio di tali attestati nell'ambito del portafoglio europeo di identità digitale, viene inserito un apposito requisito nell'articolo 45 sexies. L'articolo 45 septies contiene invece norme aggiuntive per la prestazione di servizi di attestazione elettronica di attributi, anche in materia di protezione dei dati personali.

La nuova sezione 10 consente la prestazione di servizi di archiviazione elettronica qualificati a livello dell'UE. L'articolo 45 octies sui servizi di archiviazione elettronica qualificati integra gli articoli 34 e 40 sui servizi di conservazione qualificati per le firme elettroniche qualificate e i sigilli elettronici qualificati.

La nuova sezione 11 stabilisce un quadro per i servizi fiduciari per quanto riguarda la creazione e il mantenimento di registri elettronici e di registri elettronici qualificati. Un registro elettronico combina la validazione temporale e il sequenziamento dei dati con la certezza riguardo al loro originatore, in maniera simile alla firma elettronica, con l'ulteriore vantaggio di consentire una governance maggiormente decentrata adatta alla cooperazione multilaterale. Questo aspetto è importante per vari casi d'uso che possono basarsi sui registri elettronici.

I registri elettronici aiutano le imprese a risparmiare rendendo il coordinamento multilaterale più efficiente e più sicuro, e facilitano la vigilanza regolamentare. In assenza di una regolamentazione europea, sussiste il rischio che i legislatori nazionali stabiliscano norme nazionali divergenti. Al fine di evitare la frammentazione è necessario definire un quadro paneuropeo unico che consenta il riconoscimento transfrontaliero dei servizi fiduciari che sostengono il funzionamento dei registri elettronici. Tale standard paneuropeo per gli operatori di nodi si applicherà fatte salve le altre norme di diritto derivato dell'UE. Laddove i registri elettronici siano utilizzati per sostenere l'emissione e/o la negoziazione di obbligazioni o per le cripto-attività, i casi d'uso dovrebbero essere compatibili con tutte le norme finanziarie applicabili, ad esempio con la direttiva relativa ai mercati degli strumenti finanziari 11 , la direttiva relativa ai servizi di pagamento 12 e il futuro regolamento relativo ai mercati delle cripto-attività 13 . Qualora i casi d'uso contemplino dati personali, i prestatori di servizi dovranno rispettare il regolamento generale sulla protezione dei dati.

Nel 2017 il 75 % di tutti i casi d'uso per i registri elettronici era relativo al settore bancario e finanziario. I casi d'uso per i registri elettronici sono oggi sempre più disparati: il 17 % riguarda la comunicazione e i media, il 15 % il settore manifatturiero e le risorse naturali, il 10 % il settore governativo, l'8 % il settore delle assicurazioni, il 5 % la vendita al dettaglio, il 6 % i trasporti e il 5 % i servizi pubblici 14 .

Infine il capo VI presenta un nuovo articolo, l'articolo 48 ter, volto ad assicurare la raccolta di statistiche sull'uso del portafoglio europeo di identità digitale al fine di monitorare l'efficacia del regolamento modificato.

2021/0136 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione di un quadro per un'identità digitale europea

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 15 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)Nella comunicazione della Commissione del 19 febbraio 2020 intitolata "Plasmare il futuro digitale dell'Europa" 16 si annunciava la revisione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio con l'obiettivo di migliorarne l'efficacia, estenderne i benefici al settore privato e promuovere identità digitali affidabili per tutti gli europei.

(2)Nelle sue conclusioni dell'1-2 ottobre 2020 17 , il Consiglio europeo ha chiesto alla Commissione di proporre lo sviluppo di un quadro a livello dell'UE per l'identificazione elettronica pubblica e sicura, ivi incluse le firme digitali interoperabili, che garantisca alle persone il controllo della loro identità e dei loro dati online e consenta l'accesso a servizi digitali pubblici, privati e transfrontalieri.

(3)Nella comunicazione della Commissione del 9 marzo 2021 intitolata "Bussola per il digitale 2030: il modello europeo per il decennio digitale" 18 è fissato l'obiettivo di un quadro dell'Unione che, entro il 2030, porti a un'ampia diffusione di un'identità affidabile e controllata dagli utenti, che consenta a ciascun cittadino di controllare le proprie interazioni e la propria presenza online.

(4)Un approccio maggiormente armonizzato all'identificazione digitale dovrebbe ridurre i rischi e i costi dell'attuale frammentazione dovuta all'uso di soluzioni nazionali divergenti e rafforzerà il mercato unico consentendo ai cittadini, agli altri residenti quali definiti dalle legislazioni nazionali e alle imprese di identificarsi online in modo pratico e uniforme in tutta l'Unione. Tutti dovrebbero poter accedere in modo sicuro a servizi pubblici e privati che fanno affidamento su un ecosistema migliorato per i servizi fiduciari e su prove dell'identità e attestati di attributi verificati, come un diploma universitario legalmente riconosciuto e accettato in tutta l'Unione. L'obiettivo del quadro per un'identità digitale europea è il passaggio dalla dipendenza esclusiva da soluzioni di identità digitale nazionali alla fornitura di attestati elettronici di attributi validi a livello europeo. I fornitori di attestati elettronici di attributi dovrebbero beneficiare di un insieme di regole chiaro e uniforme, e le amministrazioni pubbliche dovrebbero potersi avvalere di documenti elettronici in un formato prestabilito.

(5)Al fine di sostenere la competitività delle imprese europee, i prestatori di servizi online dovrebbero potersi avvalere di soluzioni di identità digitale riconosciute in tutta l'Unione, indipendentemente dallo Stato membro in cui sono state emesse, traendo in tal modo vantaggio da un approccio europeo armonizzato in materia di fiducia, sicurezza e interoperabilità. Tanto gli utenti quanto i prestatori di servizi dovrebbero poter beneficiare in tutta l'Unione dello stesso valore giuridico conferito agli attestati elettronici di attributi.

(6)Il regolamento (UE) 2016/679 19 si applica al trattamento dei dati personali nell'attuazione del presente regolamento. Il presente regolamento dovrebbe pertanto stabilire garanzie specifiche al fine di impedire ai fornitori di mezzi di identificazione elettronica e di attestati elettronici di attributi di combinare i dati personali provenienti da altri servizi con i dati personali relativi ai servizi che rientrano nell'ambito di applicazione del presente regolamento.

(7)È necessario stabilire le condizioni armonizzate per l'istituzione di un quadro per i portafogli europei di identità digitale che saranno emessi dagli Stati membri, che dovrebbero consentire a tutti i cittadini dell'Unione e agli altri residenti quali definiti dalle legislazioni nazionali di condividere in sicurezza i dati relativi alla loro identità in modo pratico e intuitivo e con il controllo esclusivo dell'utente. Le tecnologie utilizzate per conseguire tali obiettivi dovrebbero essere sviluppate cercando di ottenere il massimo livello di sicurezza, praticità per gli utenti e ampia usabilità. Gli Stati membri dovrebbero garantire a tutti i loro cittadini e residenti la parità di accesso all'identificazione digitale.

(8)Al fine di garantire la conformità al diritto dell'Unione o al diritto nazionale conforme al diritto dell'Unione, i prestatori di servizi dovrebbero comunicare agli Stati membri la loro intenzione di avvalersi dei portafogli europei di identità digitale. Ciò consentirà agli Stati membri di proteggere gli utenti dalle frodi e impedire l'uso illecito dei dati di identità e degli attestati elettronici di attributi, nonché di garantire che il trattamento dei dati sensibili, quali i dati sanitari, possa essere verificato dalle parti facenti affidamento sulla certificazione conformemente al diritto dell'Unione o nazionale.

(9)Tutti i portafogli europei di identità digitale dovrebbero consentire agli utenti di identificarsi e autenticarsi elettronicamente online e offline a livello transfrontaliero per accedere a un'ampia gamma di servizi pubblici e privati. Fatte salve le prerogative degli Stati membri per quanto riguarda l'identificazione dei loro cittadini e residenti, i portafogli possono anche rispondere alle esigenze istituzionali delle amministrazioni pubbliche, delle organizzazioni internazionali e delle istituzioni, degli organi e degli organismi dell'Unione. L'uso offline sarebbe importante in molti settori, compreso il settore sanitario nel quale i servizi sono spesso forniti mediante interazioni faccia a faccia, e per le ricette elettroniche dovrebbe essere possibile avvalersi di codici QR o tecnologie simili che consentano di verificarne l'autenticità. Contando su un livello di garanzia "elevato", i portafogli europei di identità digitale dovrebbero sfruttare il potenziale offerto da soluzioni a prova di manomissione quali gli elementi sicuri al fine di rispettare i requisiti di sicurezza di cui al presente regolamento. I portafogli europei di identità digitale dovrebbero inoltre consentire agli utenti di creare e utilizzare firme e sigilli elettronici qualificati accettati in tutta l'UE. Al fine di conseguire vantaggi in termini di semplificazione e riduzione dei costi per le persone e le imprese in tutta l'UE, anche mediante la concessione di poteri di rappresentanza e mandati elettronici, gli Stati membri dovrebbero emettere portafogli europei di identità digitale basati su norme comuni per garantire un'interoperabilità senza soluzione di continuità e un elevato livello di sicurezza. Solo le autorità competenti degli Stati membri possono fornire un grado elevato di sicurezza nella determinazione dell'identità di una persona e garantire quindi che la persona che rivendica o afferma una determinata identità sia effettivamente colui o colei che dice di essere. È pertanto necessario che i portafogli europei di identità digitale si basino sull'identità giuridica dei cittadini, degli altri residenti o delle entità giuridiche. La fiducia nei portafogli europei di identità digitale aumenterebbe se i soggetti emittenti fossero tenuti ad attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato ai rischi per i diritti e le libertà delle persone fisiche, conformemente al regolamento (UE) 2016/679.

(10)Al fine di conseguire un livello elevato di sicurezza e fiducia, il presente regolamento stabilisce i requisiti per i portafogli europei di identità digitale. La conformità dei portafogli europei di identità digitale a tali requisiti dovrebbe essere certificata da organismi accreditati del settore pubblico o privato designati dagli Stati membri. L'impiego di un sistema di certificazione basato sulla disponibilità di norme definite di comune accordo con gli Stati membri dovrebbe garantire un livello elevato di fiducia e interoperabilità. La certificazione dovrebbe basarsi in particolare sui pertinenti sistemi europei di certificazione della cibersicurezza istituiti a norma del regolamento (UE) 2019/881 20 . Tale certificazione dovrebbe lasciare impregiudicata la certificazione relativa al trattamento dei dati personali a norma del regolamento (UE) 2016/679.

(11)I portafogli europei di identità digitale dovrebbero garantire il massimo livello di sicurezza per i dati personali utilizzati per l'autenticazione, indipendentemente dal fatto che tali dati siano conservati localmente o attraverso soluzioni basate sul cloud, tenendo conto dei diversi livelli di rischio. L'uso di dati biometrici per l'autenticazione è uno dei metodi di identificazione che offrono un elevato livello di sicurezza, in particolare se utilizzato in combinazione con altri elementi di autenticazione. Poiché i dati biometrici rappresentano una caratteristica unica di una persona, il loro utilizzo richiede misure organizzative e di sicurezza commisurate al rischio che il trattamento di tali dati può comportare per i diritti e le libertà delle persone fisiche, e conformi al regolamento (UE) 2016/679.

(12)Al fine di garantire che il quadro per un'identità digitale europea sia aperto all'innovazione e agli sviluppi tecnologici e adatto alle esigenze future, gli Stati membri dovrebbero essere incoraggiati a istituire spazi di sperimentazione comuni per testare le soluzioni innovative in un ambiente controllato e sicuro, in particolare per migliorare la funzionalità, la protezione dei dati personali, la sicurezza e l'interoperabilità delle soluzioni e disporre di dati su cui basare i futuri aggiornamenti dei riferimenti tecnici e dei requisiti giuridici. Tale ambiente dovrebbe favorire l'inclusione delle piccole e medie imprese, delle start-up e dei singoli innovatori e ricercatori europei.

(13) Il regolamento (UE) 2019/1157 21 rafforza la sicurezza delle carte d'identità mediante caratteristiche di sicurezza rafforzate entro agosto 2021. Gli Stati membri dovrebbero valutare se sia fattibile notificarle nell'ambito dei regimi di identificazione elettronica al fine di estendere la disponibilità transfrontaliera dei mezzi di identificazione elettronica.

(14)Il processo di notifica dei regimi di identificazione elettronica dovrebbe essere semplificato e accelerato al fine di promuovere l'accesso a soluzioni di autenticazione e identificazione pratiche, affidabili, sicure e innovative e, ove opportuno, di incoraggiare i gestori di identità (identity provider) privati a offrire regimi di identificazione elettronica alle autorità degli Stati membri affinché siano notificati come regimi nazionali per le carte d'identità elettroniche a norma del regolamento (UE) n. 910/2014.

(15)La razionalizzazione delle attuali procedure di notifica e valutazione tra pari eviterà approcci eterogenei alla valutazione dei vari regimi di identificazione elettronica notificati e faciliterà la creazione di un clima di fiducia tra gli Stati membri. I nuovi meccanismi semplificati dovrebbero promuovere la cooperazione tra gli Stati membri in materia di sicurezza e interoperabilità dei rispettivi regimi di identificazione elettronica notificati.

(16)Gli Stati membri dovrebbero beneficiare di strumenti nuovi e flessibili per garantire il rispetto dei requisiti di cui al presente regolamento e ai pertinenti atti di esecuzione. Il presente regolamento dovrebbe consentire agli Stati membri di utilizzare relazioni e valutazioni realizzate da organismi di valutazione della conformità accreditati o sistemi volontari di certificazione della sicurezza delle TIC, quali i sistemi di certificazione che devono essere istituiti a livello dell'Unione a norma del regolamento (UE) 2019/881, a sostegno delle loro dichiarazioni di conformità dei regimi, o di parti di essi, ai requisiti di cui al regolamento in materia di interoperabilità e sicurezza dei regimi di identificazione elettronica notificati.

(17)I prestatori di servizi utilizzano i dati di identità forniti dall'insieme di dati di identificazione personale disponibili nell'ambito dei regimi di identificazione elettronica a norma del regolamento (UE) n. 910/2014 al fine di stabilire una corrispondenza tra gli utenti di un altro Stato membro e la loro identità giuridica. Nonostante l'uso dell'insieme di dati eIDAS, in molti casi per garantire una corrispondenza accurata sono tuttavia necessarie ulteriori informazioni relative all'utente e procedure di identificazione univoca specifiche a livello nazionale. Per sostenere ulteriormente l'usabilità dei mezzi di identificazione elettronica, il presente regolamento dovrebbe imporre agli Stati membri di adottare misure specifiche per garantire una corretta corrispondenza con l'identità durante il processo di identificazione elettronica. Allo stesso scopo, il presente regolamento dovrebbe anche ampliare l'insieme minimo di dati obbligatorio e imporre l'uso di un identificatore elettronico unico e persistente conformemente al diritto dell'Unione nei casi in cui sia necessario identificare giuridicamente l'utente, su sua richiesta, in maniera univoca e persistente.

(18)Conformemente alla direttiva (UE) 2019/882 22 , le persone con disabilità dovrebbero poter utilizzare in condizioni di parità con gli altri utenti i portafogli europei di identità digitale, i servizi fiduciari e i prodotti destinati all'utilizzatore finale impiegati per la prestazione di tali servizi.

(19)Il presente regolamento non dovrebbe contemplare aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici nei casi in cui il diritto nazionale o dell'Unione stabilisca obblighi quanto alla forma. Non dovrebbe inoltre avere ripercussioni sugli obblighi di forma nazionali relativi ai registri pubblici, in particolare i registri commerciali e catastali.

(20)La prestazione e l'uso di servizi fiduciari stanno acquisendo una sempre maggiore importanza per il commercio e la cooperazione internazionali. I partner internazionali dell'UE stanno istituendo quadri fiduciari che si ispirano al regolamento (UE) n. 910/2014. Pertanto, al fine di facilitare il riconoscimento di tali servizi e dei relativi prestatori, la normativa di attuazione può fissare le condizioni alle quali i quadri fiduciari dei paesi terzi potrebbero essere considerati equivalenti ai quadri fiduciari per i servizi fiduciari qualificati e i relativi prestatori di cui al presente regolamento, a integrazione della possibilità di riconoscimento reciproco dei servizi fiduciari e dei relativi prestatori stabiliti nell'Unione e in paesi terzi conformemente all'articolo 218 del trattato.

(21)Il presente regolamento dovrebbe basarsi sugli atti dell'Unione che garantiscono mercati equi e contendibili nel settore digitale. Esso si basa in particolare sul regolamento XXX/XXXX [legge sui mercati digitali], che introduce norme per i fornitori di servizi di piattaforma di base designati come gatekeeper e, tra l'altro, impedisce ai gatekeeper di imporre agli utenti commerciali l'utilizzo o l'offerta di un servizio di identificazione del gatekeeper, o l'interoperabilità con lo stesso, nel contesto dei servizi offerti dagli utenti commerciali che si avvalgono dei servizi di piattaforma di base di tale gatekeeper. A norma dell'articolo 6, paragrafo 1, lettera f), del regolamento XXX/XXXX [legge sui mercati digitali], i gatekeeper sono tenuti a consentire agli utenti commerciali e ai fornitori di servizi ausiliari l'accesso allo stesso sistema operativo e alle stesse componenti hardware o software disponibili o utilizzati nella fornitura di servizi ausiliari da parte del gatekeeper e l'interoperabilità con gli stessi. Conformemente all'articolo 2, punto 15, del [legge sui mercati digitali], i servizi di identificazione sono un tipo di servizi ausiliari. Agli utenti commerciali e ai fornitori di servizi ausiliari dovrebbe quindi essere garantito l'accesso a componenti hardware o software, quali gli elementi sicuri degli smartphone, e l'interoperabilità con gli stessi mediante i portafogli europei di identità digitale o i mezzi di identificazione elettronica notificati degli Stati membri.

(22)Al fine di razionalizzare gli obblighi in materia di cibersicurezza imposti ai prestatori di servizi fiduciari, nonché di consentire a tali prestatori e alle rispettive autorità competenti di beneficiare del quadro giuridico istituito dalla direttiva XXXX/XXXX (direttiva NIS2), a norma di tale direttiva i servizi fiduciari sono tenuti ad adottare misure tecniche e organizzative adeguate, quali misure per far fronte a guasti del sistema, errori umani, azioni malevole o fenomeni naturali, per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali prestatori utilizzano nella prestazione dei loro servizi, nonché per notificare incidenti significativi e minacce informatiche conformemente alla medesima direttiva. Per quanto riguarda la segnalazione di incidenti, i prestatori di servizi fiduciari dovrebbero notificare eventuali incidenti che abbiano un impatto significativo sulla prestazione dei loro servizi, compresi quelli causati dal furto o dalla perdita di dispositivi o da danni ai cavi di rete, o quelli verificatisi nel contesto dell'identificazione di persone. Le prescrizioni in materia di gestione e segnalazione dei rischi di cibersicurezza a norma della direttiva XXXX/XXXX [NIS2] dovrebbero essere considerate complementari agli obblighi imposti ai prestatori di servizi fiduciari a norma del presente regolamento. Ove opportuno, le autorità competenti designate a norma della direttiva XXXX/XXXX (direttiva NIS2) dovrebbero continuare ad applicare le prassi o gli orientamenti nazionali consolidati per quanto riguarda l'attuazione delle prescrizioni in materia di sicurezza e comunicazione e la vigilanza della conformità a tali prescrizioni a norma del regolamento (UE) n. 910/2014. Le prescrizioni a norma del presente regolamento fanno salvo l'obbligo di notificare le violazioni dei dati personali a norma del regolamento (UE) 2016/679.

(23)È opportuno prestare la dovuta attenzione per garantire una cooperazione efficace tra le autorità NIS ed eIDAS. Qualora gli organismi di vigilanza a norma del presente regolamento siano diversi dalle autorità competenti designate a norma della direttiva XXXX/XXXX [NIS2], tali autorità dovrebbero cooperare strettamente e in maniera puntuale scambiandosi le pertinenti informazioni al fine di garantire un'efficace vigilanza dei prestatori di servizi fiduciari e il rispetto da parte loro dei requisiti di cui al presente regolamento e alla direttiva XXXX/XXXX [NIS2]. In particolare, gli organismi di vigilanza a norma del presente regolamento dovrebbero poter richiedere alle autorità competenti a norma della direttiva XXXX/XXXX [NIS2] di fornire le pertinenti informazioni necessarie per concedere la qualifica e svolgere azioni di vigilanza volte a verificare la conformità dei prestatori di servizi fiduciari alle pertinenti prescrizioni di cui alla direttiva NIS2 o a imporre loro di rimediare alla mancata conformità.

(24)È essenziale prevedere un quadro giuridico per agevolare il riconoscimento transfrontaliero tra gli ordinamenti giuridici nazionali esistenti relativi ai servizi elettronici di recapito certificato. Tale quadro potrebbe aprire inoltre per i prestatori di servizi fiduciari dell'Unione nuove opportunità di mercato per l'offerta di nuovi servizi elettronici di recapito certificato paneuropei e assicurare che l'identificazione dei destinatari sia garantita con un livello di sicurezza più elevato rispetto all'identificazione del mittente.

(25)Nella maggior parte dei casi i cittadini e gli altri residenti non possono scambiare digitalmente e a livello transfrontaliero, in modo sicuro e con un livello elevato di protezione dei dati, informazioni relative alla loro identità quali indirizzi, età e qualifiche professionali, patenti di guida e altri permessi e dati di pagamento.

(26)Dovrebbe essere possibile emettere e gestire attributi digitali affidabili e contribuire a ridurre gli oneri amministrativi, consentendo ai cittadini e agli altri residenti di utilizzare tali attributi nelle loro transazioni pubbliche e private. I cittadini e gli altri residenti dovrebbero poter, ad esempio, dimostrare di possedere una patente di guida in corso di validità rilasciata dall'autorità di uno Stato membro, che possa essere verificata e ritenuta affidabile dalle autorità competenti di altri Stati membri, e dovrebbero potersi inoltre avvalere in un contesto transfrontaliero delle proprie credenziali relative alla previdenza sociale o di futuri documenti di viaggio digitali.

(27)Qualsiasi soggetto che raccolga, crei e rilasci attributi attestati quali diplomi, licenze o certificati di nascita dovrebbe poter diventare un fornitore di attestati elettronici di attributi Le parti facenti affidamento sulla certificazione dovrebbero utilizzare gli attestati elettronici di attributi come equivalenti agli attestati in formato cartaceo. Agli attestati elettronici di attributi non dovrebbero pertanto essere negati gli effetti giuridici a motivo della loro forma elettronica o perché non soddisfano i requisiti degli attestati elettronici di attributi qualificati. A tal fine è opportuno stabilire requisiti generali per garantire che gli effetti giuridici degli attestati elettronici di attributi qualificati siano equivalenti a quelli degli attestati in formato cartaceo rilasciati legalmente. Tali requisiti dovrebbero tuttavia applicarsi fatta salva la normativa dell'Unione o nazionale che definisce ulteriori requisiti di forma settoriali aventi effetti giuridici e, in particolare, il riconoscimento transfrontaliero degli attestati elettronici di attributi qualificati, ove opportuno.

(28)Per essere ampiamente disponibili e usabili, i portafogli europei di identità digitale devono essere accettati dai prestatori di servizi privati. Le parti private facenti affidamento sulla certificazione che prestano servizi nei settori dei trasporti, dell'energia, dei servizi bancari e finanziari, della previdenza sociale, della sanità, dell'acqua potabile, dei servizi postali, dell'infrastruttura digitale, dell'istruzione o delle telecomunicazioni dovrebbero accettare l'uso dei portafogli europei di identità digitale per la prestazione di servizi per i quali la normativa dell'Unione o nazionale o gli obblighi contrattuali impongono un'autenticazione forte dell'utente per l'identificazione online. Qualora le piattaforme online di dimensioni molto grandi quali definite all'articolo 25, paragrafo 1, del regolamento [riferimento alla legge sui servizi digitali] impongano agli utenti di autenticarsi per accedere ai servizi online, tali piattaforme dovrebbero essere tenute ad accettare l'uso dei portafogli europei di identità digitale su richiesta volontaria dell'utente. Gli utenti non dovrebbero essere obbligati a usare il portafoglio per accedere ai servizi privati, ma qualora desiderassero usarlo le piattaforme online di dimensioni molto grandi dovrebbero accettare l'impiego del portafoglio europeo di identità digitale a tale scopo nel rispetto del principio della minimizzazione dei dati. Si tratta di un aspetto necessario al fine di aumentare la tutela degli utenti dalle frodi e garantire un livello elevato di protezione dei dati, considerata l'importanza che le piattaforme online di dimensioni molto grandi rivestono per via del loro raggio d'azione, espresso in particolare come numero di destinatari del servizio e di transazioni economiche. È opportuno elaborare codici di condotta di autoregolamentazione a livello dell'Unione ("codici di condotta") per contribuire all'ampia disponibilità e usabilità dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale che rientrano nell'ambito di applicazione del presente regolamento. I codici di condotta dovrebbero agevolare la diffusa accettazione dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale, da parte dei prestatori di servizi che non sono considerati piattaforme di dimensioni molto grandi e che si avvalgono di servizi di identificazione elettronica di terzi per l'autenticazione degli utenti. Tali codici dovrebbero essere elaborati entro 12 mesi dall'adozione del presente regolamento. La Commissione dovrebbe valutare l'efficacia delle disposizioni volte a garantire la disponibilità e l'usabilità dei portafogli europei di identità digitale per gli utenti dopo 18 mesi dalla loro introduzione e, alla luce di tale valutazione, procedere alla revisione di tali disposizioni mediante atti delegati al fine di garantirne l'accettazione.

(29)Il portafoglio europeo di identità digitale dovrebbe consentire, a livello tecnico, la divulgazione selettiva degli attributi alle parti facenti affidamento sulla certificazione. Tale caratteristica dovrebbe diventare una caratteristica di progettazione di base, rafforzando in tal modo la praticità e la tutela dei dati personali, compresa la minimizzazione del trattamento di questi ultimi.

(30)Gli attributi forniti dai prestatori di servizi fiduciari qualificati nell'ambito degli attestati di attributi qualificati dovrebbero essere verificati rispetto alle fonti autentiche, direttamente dal prestatore di servizi fiduciari qualificato oppure tramite intermediari designati riconosciuti a livello nazionale conformemente al diritto nazionale o dell'Unione ai fini dello scambio sicuro di attributi attestati tra i gestori di identità o i prestatori di servizi di attestazione di attributi e le parti facenti affidamento sulla certificazione.

(31)L'identificazione elettronica sicura e la fornitura di attestati di attributi dovrebbero offrire al settore dei servizi finanziari una maggiore flessibilità e ulteriori soluzioni per consentire l'identificazione di clienti e lo scambio di attributi specifici necessari per rispettare, ad esempio, le prescrizioni in materia di adeguata verifica della clientela di cui al regolamento antiriciclaggio [riferimento da aggiungere dopo l'adozione della proposta] o i requisiti di idoneità derivanti dalla normativa in materia di protezione degli investitori, oppure per sostenere l'adempimento delle prescrizioni in materia di autenticazione forte del cliente per l'accesso all'account e l'avvio di transazioni nel settore dei servizi di pagamento.

(32)I servizi di autenticazione dei siti web offrono agli utenti la garanzia che dietro a quei siti web vi sono entità reali e legittime. Tali servizi contribuiscono a diffondere sicurezza e fiducia nelle transazioni commerciali online, in quanto gli utenti si fideranno di un sito web che è stato autenticato. L'uso dei servizi di autenticazione dei siti web da parte di questi ultimi è volontario. Tuttavia, affinché l'autenticazione dei siti web divenga un mezzo per rafforzare la fiducia, fornire un'esperienza migliore all'utente e promuovere la crescita nel mercato interno, il presente regolamento stabilisce obblighi minimi in materia di sicurezza e responsabilità per i prestatori di servizi di autenticazione dei siti web e i loro servizi. A tal fine i browser web dovrebbero garantire il supporto dei certificati qualificati di autenticazione di siti web e l'interoperabilità con gli stessi a norma del regolamento (UE) n. 910/2014. I browser web dovrebbero riconoscere e visualizzare i certificati qualificati di autenticazione di siti web al fine di fornire un livello di garanzia elevato, consentendo ai proprietari di siti web di dichiarare la propria identità di proprietari di siti web e agli utenti di identificare i proprietari di siti web con un elevato grado di certezza. Le autorità pubbliche degli Stati membri dovrebbero valutare la possibilità di integrare nei loro siti web i certificati qualificati di autenticazione di siti web al fine di promuoverne ulteriormente l'utilizzo.

(33)Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un'archiviazione digitale sicura e affidabile al fine di consentire la conservazione a lungo termine di documenti elettronici e per i servizi fiduciari associati. Al fine di garantire la certezza del diritto e la fiducia è fondamentale fornire un quadro giuridico che agevoli il riconoscimento transfrontaliero dei servizi di archiviazione elettronica qualificati. Tale quadro potrebbe inoltre aprire nuove opportunità di mercato per i prestatori di servizi fiduciari dell'Unione.

(34)I registri elettronici qualificati registrano dati in maniera tale da garantirne l'unicità, l'autenticità e il corretto sequenziamento senza possibilità di manomissioni. I registri elettronici combinano l'efficacia della validazione temporale dei dati e la certezza riguardo al loro originatore, in maniera simile alla firma elettronica, con l'ulteriore vantaggio di consentire modelli di governance maggiormente decentrati, adatti alle cooperazioni multilaterali. Tali registri creano ad esempio una pista di controllo affidabile per quanto riguarda la provenienza delle merci nel commercio transfrontaliero, sostengono la tutela dei diritti di proprietà intellettuale, consentono mercati della flessibilità nel settore dell'energia elettrica, forniscono le basi per soluzioni avanzate di identità autosovrana e sostengono servizi pubblici più efficienti e trasformativi. Al fine di evitare la frammentazione del mercato interno è importante definire un quadro giuridico paneuropeo che consenta il riconoscimento transfrontaliero dei servizi fiduciari per la registrazione dei dati nei registri elettronici.

(35)La certificazione dei prestatori di servizi fiduciari qualificati dovrebbe fornire certezza giuridica per i casi d'uso basati sui registri elettronici. Il servizio fiduciario per i registri elettronici e i registri elettronici qualificati e la certificazione dei prestatori di servizi fiduciari qualificati per i registri elettronici dovrebbero fare salva la necessità che i casi d'uso siano conformi al diritto dell'Unione o al diritto nazionale conforme al diritto dell'Unione. I casi d'uso che comportano il trattamento di dati personali devono rispettare il regolamento (UE) 2016/679. I casi d'uso che riguardano cripto-attività dovrebbero essere conformi a tutte le norme finanziarie applicabili, ad esempio la direttiva relativa ai mercati degli strumenti finanziari 23 , la direttiva relativa ai servizi di pagamento 24 e il futuro regolamento relativo ai mercati delle cripto-attività 25 .

(36)Al fine di evitare la frammentazione e gli ostacoli dovuti a norme divergenti e restrizioni tecniche e di garantire un processo coordinato per non compromettere l'attuazione del futuro quadro per un'identità digitale europea, è necessario un processo per la cooperazione stretta e strutturata tra la Commissione, gli Stati membri e il settore privato. Per conseguire tale obiettivo gli Stati membri dovrebbero cooperare nell'ambito del quadro istituito dalla raccomandazione XXX/XXXX della Commissione [relativa a un pacchetto di strumenti comuni dell'Unione per un approccio coordinato verso un quadro europeo relativo a un'identità digitale] 26 al fine di individuare un pacchetto di strumenti per un quadro per un'identità digitale europea. Il pacchetto di strumenti dovrebbe comprendere un'architettura tecnica completa e un quadro di riferimento, un insieme comune di norme e di riferimenti tecnici e una serie di orientamenti e descrizioni di migliori prassi che contemplino almeno tutti gli aspetti relativi alle funzionalità e all'interoperabilità dei portafogli europei di identità digitale, comprese le firme elettroniche, e del servizio fiduciario qualificato per gli attestati di attributi di cui al presente regolamento. In tale contesto, gli Stati membri dovrebbero anche raggiungere un accordo in merito agli elementi comuni di un modello di business e di una struttura tariffaria per i portafogli europei di identità digitale al fine di agevolarne l'adozione, in particolare da parte delle piccole e medie imprese in un contesto transfrontaliero. Il contenuto del pacchetto di strumenti dovrebbe evolvere di pari passo con i risultati della discussione e del processo di adozione del quadro per un'identità digitale europea e rispecchiare tali risultati.

(37)Il Garante europeo della protezione dei dati è stato consultato a norma dell'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 27 .

(38)È pertanto opportuno modificare di conseguenza il regolamento (UE) n. 910/2014,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Il regolamento (UE) n. 910/2014 è così modificato:

1)l'articolo 1 è sostituito dal seguente:

"Il presente regolamento mira a garantire il buon funzionamento del mercato interno e a fornire un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari. A tal fine, il presente regolamento:

a)fissa le condizioni alle quali gli Stati membri forniscono e riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime di identificazione elettronica notificato di un altro Stato membro;

b)stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche;

c)istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato, i servizi relativi ai certificati di autenticazione di siti web, l'archiviazione elettronica e gli attestati elettronici di attributi, la gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza e i registri elettronici;

d)stabilisce le condizioni per l'emissione di portafogli europei di identità digitale da parte degli Stati membri.";

2)l'articolo 2 è così modificato:

a)il paragrafo 1 è sostituito dal seguente:

"1.    Il presente regolamento si applica ai regimi di identificazione elettronica che sono stati notificati da uno Stato membro, ai portafogli europei di identità elettronica emessi dagli Stati membri e ai prestatori di servizi fiduciari che sono stabiliti nell'Unione.";

b)il paragrafo 3 è sostituito dal seguente:

"3.    Il presente regolamento non pregiudica il diritto nazionale o dell'Unione relativo alla conclusione e alla validità di contratti o altri vincoli giuridici o procedurali relativi a requisiti di forma settoriali aventi effetti giuridici.";

3)l'articolo 3 è così modificato:

a)il punto 2 è sostituito dal seguente:

"2)    "mezzi di identificazione elettronica", un'unità materiale e/o immateriale, compresi i portafogli europei di identità digitale o le carte d'identità a norma del regolamento (UE) 2019/1157, contenente dati di identificazione personale e utilizzata per l'autenticazione per un servizio online o offline;";

b)il punto 4 è sostituito dal seguente:

"4)    "regime di identificazione elettronica", un sistema di identificazione elettronica nell'ambito del quale si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche;";

c)il punto 14 è sostituito dal seguente:

"14)    "certificato di firma elettronica", un attestato elettronico o un insieme di attestati elettronici che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona;";

d)il punto 16 è sostituito dal seguente:

"16)    "servizio fiduciario", un servizio elettronico prestato di norma a pagamento e consistente nei seguenti elementi:

a)creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato, attestati elettronici di attributi e certificati relativi a tali servizi;

b)creazione, verifica e convalida di certificati di autenticazione di siti web;

c)conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

d) archiviazione elettronica di documenti elettronici;

e)gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza;

f)registrazione di dati elettronici in un registro elettronico.";

e)il punto 21 è sostituito dal seguente:

"21)    "prodotto", un hardware o software o i pertinenti componenti di hardware e/o software destinati a essere utilizzati per la prestazione di servizi di identificazione elettronica e servizi fiduciari;";

f)sono inseriti i seguenti punti 23 bis e 23 ter:

"23 bis)    "dispositivo qualificato per la creazione di una firma a distanza", un dispositivo qualificato per la creazione di una firma elettronica in cui un prestatore di servizi fiduciari qualificato genera, gestisce o duplica i dati per la creazione di una firma elettronica per conto di un firmatario;

23 ter)    "dispositivo qualificato per la creazione di un sigillo a distanza", un dispositivo qualificato per la creazione di un sigillo elettronico in cui un prestatore di servizi fiduciari qualificato genera, gestisce o duplica i dati per la creazione di una firma elettronica per conto di un creatore di un sigillo;";

g)il punto 29 è sostituito dal seguente:

"29)    "certificato di sigillo elettronico", un attestato elettronico o un insieme di attestati elettronici che collega i dati di convalida di un sigillo elettronico a una persona giuridica e conferma il nome di tale persona;";

h)il punto 41 è sostituito dal seguente:

"41)    "convalida", il processo di verifica e conferma della validità di una firma elettronica, di un sigillo elettronico, dei dati di identificazione personale o di un attestato elettronico di attributi;";

i)sono inseriti i seguenti punti da 42 a 55:

"42)    "portafoglio europeo di identità digitale", un prodotto e servizio che consente all'utente di conservare dati di identità, credenziali e attributi collegati alla sua identità, fornirli su richiesta alle parti facenti affidamento sulla certificazione e utilizzarli per l'autenticazione, online e offline, per un servizio, conformemente all'articolo 6 bis, nonché per creare firme elettroniche qualificate e sigilli elettronici qualificati;

43)    "attributo", una prerogativa, una caratteristica o una qualità di una persona fisica o giuridica o di un'entità, in forma elettronica;

44)    "attestato elettronico di attributi", un attestato in forma elettronica che consente l'autenticazione di attributi;

45)    "attestato elettronico di attributi qualificato", un attestato elettronico di attributi che è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all'allegato V;

46)    "fonte autentica", un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene gli attributi relativi a una persona fisica o giuridica ed è considerato la fonte primaria di tali informazioni o la cui autenticità è riconosciuta dal diritto nazionale;

47)    "archiviazione elettronica", un servizio che consente la ricezione, la conservazione, la cancellazione e la trasmissione di dati o documenti elettronici al fine di garantire l'integrità, l'esattezza dell'origine e le caratteristiche giuridiche di tali dati o documenti per tutto il periodo di conservazione;

48)    "servizio di archiviazione elettronica qualificato", un servizio che soddisfa i requisiti di cui all'articolo 45 octies;

49)    "marchio di fiducia UE per i portafogli di identità digitale", un'indicazione semplice, riconoscibile e chiara del fatto che un portafoglio di identità digitale è stato emesso conformemente al presente regolamento;

50)    "autenticazione forte dell'utente", un'autenticazione basata sull'uso di due o più elementi che sono classificati nelle categorie della conoscenza e del possesso dell'utente e dell'inerenza allo stesso e sono indipendenti, in modo tale che la violazione di uno degli elementi non comprometta l'affidabilità degli altri, e progettata in maniera tale da proteggere la riservatezza dei dati di autenticazione;

51)    "account utente", un meccanismo che consente a un utente di accedere a servizi pubblici o privati secondo i termini e le condizioni stabiliti dal prestatore del servizio;

52)    "credenziale", una prova delle abilità, dell'esperienza, dei diritti o dei permessi di una persona;

53)    "registro elettronico", un registro elettronico di dati a prova di manomissione, che garantisce l'autenticità e l'integrità dei dati che contiene, nonché l'accuratezza della data e dell'ora e dell'ordine cronologico di tali dati;

54)    "dati personali", qualsiasi informazione di cui all'articolo 4, punto 1, del regolamento (UE) 2016/679;

55)    "identificazione univoca", un processo in cui i dati di identificazione personale o i mezzi di identificazione personale sono abbinati o collegati a un account esistente appartenente alla stessa persona.";

4)l'articolo 5 è sostituito dal seguente:

"Articolo 5

Pseudonimi nelle transazioni elettroniche

Fatti salvi gli effetti giuridici che il diritto nazionale attribuisce agli pseudonimi, l'uso di pseudonimi nelle transazioni elettroniche non è vietato.";

5)al capo II il titolo è sostituito dal seguente:

"SEZIONE I

IDENTIFICAZIONE ELETTRONICA";

6)l'articolo 6 è soppresso;

7)sono inseriti gli articoli 6 bis, 6 ter, 6 quater e 6 quinquies seguenti:

"Articolo 6 bis

Portafogli europei di identità digitale

1.    Al fine di garantire che tutte le persone fisiche e giuridiche nell'Unione abbiano un accesso sicuro, affidabile e senza soluzione di continuità a servizi pubblici e privati transfrontalieri, ciascuno Stato membro emette un portafoglio europeo di identità digitale entro 12 mesi dall'entrata in vigore del presente regolamento.

2.    I portafogli europei di identità digitale sono emessi:

a)dagli Stati membri;

b)su incarico degli Stati membri;

c)a titolo indipendente ma sono riconosciuti dagli Stati membri.

3.    I portafogli europei di identità digitale consentono all'utente di:

a)richiedere e ottenere, conservare, selezionare, combinare e condividere in modo sicuro, trasparente per l'utente e tracciabile da quest'ultimo, i dati giuridici di identificazione personale e gli attestati elettronici di attributi necessari per l'autenticazione online e offline al fine di utilizzare servizi pubblici e privati online;

b)firmare mediante firme elettroniche qualificate.

4.    In particolare, i portafogli europei di identità digitale:

a)forniscono un'interfaccia comune:

1)ai prestatori di servizi fiduciari qualificati e non qualificati che rilasciano attestati elettronici di attributi qualificati e non qualificati o altri certificati qualificati e non qualificati ai fini del rilascio di tali attestati e certificati al portafoglio europeo di identità digitale;

2) alle parti facenti affidamento sulla certificazione ai fini della richiesta e della convalida dei dati di identificazione personale e degli attestati elettronici di attributi;

3)per la presentazione alle parti facenti affidamento sulla certificazione di dati di identificazione personale, attestati elettronici di attributi o altri dati quali credenziali in modalità locale senza necessità di un accesso a internet per il portafoglio;

4)affinché l'utente possa consentire l'interazione con il portafoglio europeo di identità digitale e visualizzare un "marchio di fiducia UE per i portafogli di identità digitale";

b)garantiscono che i prestatori di servizi fiduciari che forniscono attestati di attributi qualificati non possano ricevere informazioni relative all'uso di tali attributi;

c)soddisfano i requisiti di cui all'articolo 8 per quanto riguarda il livello di garanzia "elevato", in particolare in relazione ai requisiti per il controllo e la verifica dell'identità e alla gestione e autenticazione dei mezzi di identificazione elettronica;

d)forniscono un meccanismo per garantire che la parte facente affidamento sulla certificazione possa autenticare l'utente e ricevere gli attestati elettronici di attributi;

e)garantiscono che i dati di identificazione personale di cui all'articolo 12, paragrafo 4, lettera d), rappresentino in modo univoco e persistente la persona fisica o giuridica ad essi associata.

5.    Gli Stati membri prevedono meccanismi di convalida per i portafogli europei di identità digitale:

a)per garantire che sia possibile verificarne l'autenticità e la validità;

b)per consentire alle parti facenti affidamento sulla certificazione di verificare la validità degli attestati di attributi;

c)per consentire alle parti facenti affidamento sulla certificazione e ai prestatori di servizi fiduciari qualificati di verificare l'autenticità e la validità dei dati di identificazione personale attribuiti.

6.    I portafogli europei di identità digitale sono emessi nell'ambito di un regime di identificazione elettronica notificato il cui livello di garanzia è "elevato". L'uso dei portafogli europei di identità digitale è gratuito per le persone fisiche.

7.    L'utente ha il pieno controllo del portafoglio europeo di identità digitale. L'emittente del portafoglio europeo di identità digitale non raccoglie informazioni relative all'uso del portafoglio che non sono necessarie per la prestazione dei servizi del portafoglio, né combina i dati di identificazione personale e gli altri dati personali conservati nel portafoglio europeo di identità digitale o relativi al suo uso con i dati personali provenienti da altri servizi offerti da tale emittente o da servizi di terzi che non sono necessari per la prestazione dei servizi del portafoglio, a meno che l'utente non l'abbia richiesto espressamente. I dati personali relativi alla fornitura dei portafogli europei di identità digitale sono tenuti fisicamente e logicamente separati dagli altri dati detenuti. Se il portafoglio europeo di identità digitale è fornito da soggetti privati conformemente al paragrafo 1, lettere b) e c), si applicano mutatis mutandis le disposizioni di cui all'articolo 45 septies, paragrafo 4.

8.    L'articolo 11 si applica mutatis mutandis al portafoglio europeo di identità digitale.

9.    L'articolo 24, paragrafo 2, lettere b), e), g) e h), si applica mutatis mutandis agli Stati membri che emettono portafogli europei di identità digitale.

10.    Il portafoglio europeo di identità digitale è reso accessibile alle persone con disabilità conformemente ai requisiti di accessibilità di cui all'allegato I della direttiva (UE) 2019/882.

11.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante un atto di esecuzione relativo all'implementazione del portafoglio europeo di identità digitale, stabilisce specifiche tecniche e operative e norme di riferimento applicabili ai requisiti di cui ai paragrafi 3, 4 e 5. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.

Articolo 6 ter

Parti facenti affidamento sulla certificazione dei portafogli europei di identità digitale

1.    Qualora intendano avvalersi dei portafogli europei di identità digitale emessi conformemente al presente regolamento, le parti facenti affidamento sulla certificazione lo comunicano agli Stati membri in cui sono stabilite al fine di garantire il rispetto delle prescrizioni del diritto dell'Unione o nazionale per la prestazione di servizi specifici. Quando comunicano la loro intenzione di avvalersi dei portafogli europei di identità digitale, esse forniscono anche informazioni in merito all'uso previsto.

2.    Gli Stati membri attuano un meccanismo comune per l'autenticazione delle parti facenti affidamento sulla certificazione.

3.    Le parti facenti affidamento sulla certificazione sono responsabili dell'esecuzione della procedura di autenticazione dei dati di identificazione personale e degli attestati elettronici di attributi provenienti dai portafogli europei di identità digitale.

4.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante un atto di esecuzione relativo all'implementazione dei portafogli europei di identità digitale di cui all'articolo 6 bis, paragrafo 10, stabilisce specifiche tecniche e operative per i requisiti di cui ai paragrafi 1 e 2.

Articolo 6 quater

Certificazione dei portafogli europei di identità digitale

1.    I portafogli europei di identità digitale che sono stati certificati o per i quali è stata rilasciata una dichiarazione di conformità nell'ambito di un sistema di certificazione della cibersicurezza a norma del regolamento (UE) 2019/881 e i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea sono considerati conformi ai pertinenti requisiti in materia di cibersicurezza di cui all'articolo 6 bis, paragrafi 3, 4 e 5, nella misura in cui il certificato di cibersicurezza o la dichiarazione di conformità o parti di essi contemplino tali requisiti.

2.    La conformità ai requisiti di cui all'articolo 6 bis, paragrafi 3, 4 e 5, relativi alle operazioni di trattamento dei dati personali effettuate dagli emittenti dei portafogli europei di identità digitale è certificata a norma del regolamento (UE) 2016/679.

3.    La conformità dei portafogli europei di identità digitale ai requisiti di cui all'articolo 6 bis, paragrafi 3, 4 e 5 è certificata da organismi pubblici o privati accreditati designati dagli Stati membri.

4.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, redige un elenco di norme applicabili alla certificazione dei portafogli europei di identità digitale di cui al paragrafo 3.

5.    Gli Stati membri comunicano alla Commissione i nomi e gli indirizzi degli organismi pubblici o privati di cui al paragrafo 3. La Commissione mette tali informazioni a disposizione degli Stati membri.

6.    Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 47 riguardo alla fissazione di criteri specifici che gli organismi designati di cui al paragrafo 3 devono soddisfare.

Articolo 6 quinquies

Pubblicazione di un elenco dei portafogli europei di identità digitale certificati

1.    Gli Stati membri informano senza indugio la Commissione in merito ai portafogli europei di identità digitale che sono stati emessi a norma dell'articolo 6 bis e certificati dagli organismi di cui all'articolo 6 quater, paragrafo 3. Essi informano inoltre senza indugio la Commissione dell'eventuale annullamento della certificazione.

2.    Sulla base delle informazioni pervenutele, la Commissione redige, pubblica e mantiene un elenco dei portafogli europei di identità digitale certificati.

3.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante un atto di esecuzione relativo all'implementazione dei portafogli europei di identità digitale di cui all'articolo 6 bis, paragrafo 10, definisce i formati e le procedure applicabili ai fini del paragrafo 1.";

8)prima dell'articolo 7 è inserito il titolo seguente:

"SEZIONE II

REGIMI DI IDENTIFICAZIONE ELETTRONICA";

9)la frase introduttiva dell'articolo 7 è così modificata:

"A norma dell'articolo 9, paragrafo 1, entro 12 mesi dall'entrata in vigore del presente regolamento gli Stati membri notificano almeno un regime di identificazione elettronica, comprendente almeno un mezzo di identificazione:";

10)all'articolo 9, i paragrafi 2 e 3 sono sostituiti dai seguenti:

"2.    La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea un elenco dei regimi di identificazione elettronica notificati a norma del paragrafo 1 del presente articolo e le informazioni fondamentali al riguardo.

3.    La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea le modifiche dell'elenco di cui al paragrafo 2 entro un mese dalla ricezione delle notifiche.";

11)è inserito il seguente articolo 10 bis:

"Articolo 10 bis

Violazione della sicurezza dei portafogli europei di identità digitale

1.    In caso di violazione o parziale compromissione dei portafogli europei di identità digitale emessi a norma dell'articolo 6 bis e dei meccanismi di convalida di cui all'articolo 6 bis, paragrafo 5, lettere a), b) e c), tale da pregiudicare la loro affidabilità o l'affidabilità degli altri portafogli europei di identità digitale, lo Stato membro emittente, senza indugio, sospende l'emissione e revoca la validità del portafoglio europeo di identità digitale, informando di conseguenza gli altri Stati membri e la Commissione.

2.    Una volta posto rimedio alla violazione o alla compromissione di cui al paragrafo 1, lo Stato membro emittente ristabilisce l'emissione e l'utilizzo del portafoglio europeo di identità digitale e informa senza indugio gli altri Stati membri e la Commissione.

3.    Qualora non sia posto rimedio alla violazione o alla compromissione di cui al paragrafo 1 entro tre mesi dalla sospensione o dalla revoca, lo Stato membro interessato ritira il portafoglio europeo di identità digitale in questione e informa di conseguenza gli altri Stati membri e la Commissione di tale ritiro. Qualora ciò sia giustificato dalla gravità della violazione, il passaporto europeo di identità digitale interessato è ritirato senza indugio.

4.    La Commissione pubblica senza indugio le corrispondenti modifiche dell'elenco di cui all'articolo 6 quinquies nella Gazzetta ufficiale dell'Unione europea.

5.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante un atto di esecuzione relativo all'implementazione dei portafogli europei di identità digitale di cui all'articolo 6 bis, paragrafo 10, specifica ulteriormente le misure di cui ai paragrafi 1 e 3.";

12)è inserito il seguente articolo 11 bis:

"Articolo 11 bis

Identificazione univoca

1.    Quando i mezzi di identificazione elettronica notificati e i portafogli europei di identità digitale sono usati per l'autenticazione, gli Stati membri garantiscono un'identificazione univoca.

2.    Ai fini del presente regolamento, gli Stati membri includono nell'insieme minimo di dati di identificazione personale di cui all'articolo 12, paragrafo 4, lettera d), un identificatore unico e persistente conformemente al diritto dell'Unione, al fine di identificare l'utente, su sua richiesta, nei casi in cui l'identificazione dell'utente sia prescritta dalla legge.

3.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante un atto di esecuzione relativo all'implementazione dei portafogli europei di identità digitale di cui all'articolo 6 bis, paragrafo 10, specifica ulteriormente le misure di cui ai paragrafi 1 e 2.";

13)l'articolo 12 è così modificato:

a)al paragrafo 3, le lettere c) e d) sono soppresse;

b)al paragrafo 4, la lettera d) è sostituita dalla seguente:

"d)    un riferimento a un insieme minimo di dati di identificazione personale necessari a rappresentare in modo univoco e persistente una persona fisica o giuridica;";

c)al paragrafo 6, la lettera a) è sostituita dalla seguente:

"a)    lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i regimi di identificazione elettronica e, in particolare, i requisiti tecnici connessi all'interoperabilità, all'identificazione univoca e ai livelli di garanzia;";

14)è inserito il seguente articolo 12 bis:

"Articolo 12 bis

Certificazione dei regimi di identificazione elettronica

1.    La conformità dei regimi di identificazione elettronica notificati ai requisiti di cui agli articoli 6 bis, 8 e 10 può essere certificata da organismi pubblici o privati designati dagli Stati membri.

2.    La valutazione tra pari dei regimi di identificazione elettronica di cui all'articolo 12, paragrafo 6, lettera c), non si applica ai regimi di identificazione elettronica, o a parti di essi, certificati conformemente al paragrafo 1. Per dimostrare la conformità di tali regimi ai requisiti in materia di livelli di garanzia dei regimi di identificazione elettronica di cui all'articolo 8, paragrafo 2, gli Stati membri possono utilizzare un certificato o una dichiarazione UE di conformità rilasciati conformemente a un sistema europeo di certificazione della cibersicurezza istituito a norma del regolamento (UE) 2019/881.

3.    Gli Stati membri notificano alla Commissione i nomi e gli indirizzi degli organismi pubblici o privati di cui al paragrafo 1. La Commissione mette tali informazioni a disposizione degli Stati membri.";

15)dopo l'articolo 12 bis è inserito il titolo seguente:

"SEZIONE III

RICORSO TRANSFRONTALIERO AI MEZZI DI IDENTIFICAZIONE ELETTRONICA";

16)sono inseriti i seguenti articoli 12 ter e 12 quater:

"Articolo 12 ter

Ricorso transfrontaliero ai portafogli europei di identità digitale

1.    Qualora a norma del diritto o della prassi amministrativa nazionale gli Stati membri richiedano l'identificazione elettronica mediante un mezzo di identificazione elettronica e un'autenticazione per accedere a servizi online prestati da un organismo del settore pubblico, essi accettano anche i portafogli europei di identità nazionale emessi conformemente al presente regolamento.

2.    Qualora a norma del diritto nazionale o dell'Unione le parti private facenti affidamento sulla certificazione siano tenute a utilizzare l'autenticazione forte dell'utente per l'identificazione online, o qualora l'identificazione forte dell'utente sia richiesta per obbligo contrattuale, anche nei settori dei trasporti, dell'energia, dei servizi bancari e finanziari, della previdenza sociale, della sanità, dell'acqua potabile, dei servizi postali, dell'infrastruttura digitale, dell'istruzione o delle telecomunicazioni, le parti private facenti affidamento sulla certificazione accettano anche l'uso dei portafogli europei di identità digitale emessi conformemente all'articolo 6 bis.

3.    Qualora le piattaforme online di dimensioni molto grandi quali definite all'articolo 25, paragrafo 1, del regolamento [riferimento alla legge sui servizi digitali] impongano agli utenti di autenticarsi per accedere ai servizi online, esse accettano anche l'uso dei portafogli europei di identità digitale emessi conformemente all'articolo 6 bis, rigorosamente su richiesta volontaria dell'utente e per quanto riguarda gli attributi minimi necessari per lo specifico servizio online per il quale è richiesta l'autenticazione, come la prova dell'età.

4.    La Commissione incoraggia e facilita l'elaborazione di codici di condotta di autoregolamentazione a livello dell'Unione ("codici di condotta") per contribuire all'ampia disponibilità e usabilità dei portafogli europei di identità digitale che rientrano nell'ambito di applicazione del presente regolamento. Tali codici di condotta garantiscono l'accettazione dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale che rientrano nell'ambito di applicazione del presente regolamento, in particolare da parte di prestatori di servizi facenti affidamento su servizi di identificazione elettronica di terzi per l'autenticazione degli utenti. La Commissione faciliterà l'elaborazione di tali codici di condotta in stretta collaborazione con tutti i pertinenti portatori di interessi e incoraggerà i prestatori di servizi a ultimare l'elaborazione dei codici di condotta entro 12 mesi dall'adozione del presente regolamento e ad attuarli efficacemente entro 18 mesi dall'adozione del presente regolamento.

5.    Entro 18 mesi dall'introduzione dei portafogli europei di identità digitale la Commissione valuta se, sulla base dei dati relativi alla loro disponibilità e usabilità, sia opportuno imporre ad altri prestatori privati di servizi online di accettare l'uso dei portafogli europei di identità digitale, rigorosamente su richiesta volontaria dell'utente. I criteri di valutazione possono includere le dimensioni della base utenti, la presenza transfrontaliera dei prestatori di servizi, gli sviluppi tecnologici e l'evoluzione dei modelli di utilizzo. Alla Commissione è conferito il potere di adottare atti delegati basati su tale valutazione, relativi alla revisione dei requisiti per il riconoscimento dei portafogli europei di identità digitale di cui ai paragrafi da 1 a 4 del presente articolo.

6.    Ai fini del presente articolo, i portafogli europei di identità digitale non sono soggetti ai requisiti di cui agli articoli 7 e 9.

Articolo 12 quater

Riconoscimento reciproco di altri mezzi di identificazione elettronica

1.    Qualora il diritto o la prassi amministrativa nazionale richiedano l'identificazione elettronica mediante un mezzo di identificazione elettronica e un'autenticazione per accedere a un servizio online prestato da un organismo del settore pubblico in uno Stato membro, i mezzi di identificazione elettronica rilasciati in un altro Stato membro sono riconosciuti nel primo Stato membro ai fini dell'autenticazione transfrontaliera per tale servizio online, purché siano soddisfatte le seguenti condizioni:

a)i mezzi di identificazione elettronica sono rilasciati nell'ambito di un regime di identificazione elettronica compreso nell'elenco di cui all'articolo 9;

b)il livello di garanzia dei mezzi di identificazione elettronica corrisponde a un livello di garanzia pari o superiore al livello di garanzia richiesto dall'organismo del settore pubblico competente per l'accesso al servizio online in questione nello Stato membro interessato, e in ogni caso non è inferiore a un livello di garanzia "significativo";

c)l'organismo del settore pubblico competente dello Stato membro interessato usa il livello di garanzia "significativo" o "elevato" in relazione all'accesso a tale servizio online.

Tale riconoscimento ha luogo entro 6 mesi dalla data in cui la Commissione pubblica l'elenco di cui al paragrafo 1, lettera a).

2.    Un mezzo di identificazione elettronica rilasciato nell'ambito di un regime di identificazione elettronica compreso nell'elenco di cui all'articolo 9 e che corrisponde al livello di garanzia "basso" può essere riconosciuto dagli organismi del settore pubblico ai fini dell'autenticazione transfrontaliera del servizio online prestato da tali organismi.";

17)all'articolo 13, il paragrafo 1 è sostituito dal seguente:

"1.    Fatto salvo il paragrafo 2 del presente articolo, i prestatori di servizi fiduciari sono responsabili di danni causati, intenzionalmente o per negligenza, a qualsiasi persona fisica o giuridica in seguito a un mancato adempimento degli obblighi di cui al presente regolamento e degli obblighi in materia di gestione dei rischi di cibersicurezza di cui all'articolo 18 della direttiva XXXX/XXXX [NIS2].";

18)l'articolo 14 è sostituito dal seguente:

"Articolo 14

Aspetti internazionali

1.    La Commissione può adottare atti di esecuzione, conformemente all'articolo 48, paragrafo 2, che stabiliscono le condizioni alle quali i requisiti di un paese terzo applicabili ai prestatori di servizi fiduciari stabiliti nel suo territorio e ai servizi fiduciari da essi prestati possono essere considerati equivalenti ai requisiti applicabili ai prestatori di servizi fiduciari qualificati stabiliti nell'Unione e ai servizi fiduciari qualificati da essi prestati.

2.    Qualora la Commissione abbia adottato un atto di esecuzione a norma del paragrafo 1 o abbia concluso un accordo internazionale sul riconoscimento reciproco dei servizi fiduciari conformemente all'articolo 218 del trattato, i servizi fiduciari prestati dai prestatori stabiliti nel paese terzo interessato sono considerati equivalenti ai servizi fiduciari qualificati prestati dai prestatori di servizi fiduciari qualificati stabiliti nell'Unione.";

19)l'articolo 15 è sostituito dal seguente:

"Articolo 15

Accessibilità per le persone con disabilità

La fornitura di servizi fiduciari e di prodotti destinati all'utilizzatore finale impiegati per la prestazione di tali servizi è resa accessibile alle persone con disabilità conformemente ai requisiti di accessibilità di cui all'allegato I della direttiva (UE) 2019/882 sui requisiti di accessibilità dei prodotti e dei servizi.";

20)l'articolo 17 è così modificato:

a)il paragrafo 4 è così modificato:

1)al paragrafo 4, la lettera c) è sostituita dalla seguente:

"c)    informare le pertinenti autorità nazionali competenti degli Stati membri interessati, designate a norma della direttiva (UE) XXXX/XXXX [NIS2], in merito a violazioni significative della sicurezza o a perdite di integrità di cui vengono a conoscenza nello svolgimento dei loro compiti. Qualora la violazione significativa della sicurezza o la perdita di integrità riguardi altri Stati membri, l'organismo di vigilanza informa il punto di contatto unico dello Stato membro interessato designato a norma della direttiva (UE) XXXX/XXXX [NIS2];";

2)la lettera f) è sostituita dalla seguente:

"f)    cooperare con le autorità di controllo istituite a norma del regolamento (UE) 2016/679, in particolare informandole senza indugio in merito ai risultati di verifiche dei prestatori di servizi fiduciari qualificati, laddove le norme in materia di protezione dei dati personali siano state violate, e in merito alle violazioni della sicurezza che costituiscono violazioni dei dati personali;";

b)il paragrafo 6 è sostituito dal seguente:

"6.    Entro il 31 marzo di ogni anno ciascun organismo di vigilanza presenta alla Commissione una relazione sulle sue principali attività del precedente anno civile.";

c)il paragrafo 8 è sostituito dal seguente:

"8.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, specifica ulteriormente i compiti delle autorità di vigilanza di cui al paragrafo 4 e definisce i formati e le procedure relativi alla relazione di cui al paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

21)l'articolo 18 è così modificato:

a)il titolo dell'articolo 18 è sostituito dal seguente:

"Assistenza reciproca e cooperazione";

b)il paragrafo 1 è sostituito dal seguente:

"1.    Gli organismi di vigilanza collaborano fra loro al fine di scambiarsi buone prassi e informazioni relative alla prestazione di servizi fiduciari.";

c)sono aggiunti i seguenti paragrafi 4 e 5:

"4.    Gli organismi di vigilanza e le autorità nazionali competenti a norma della direttiva (UE) XXXX/XXXX del Parlamento europeo e del Consiglio [NIS2] cooperano e si assistono reciprocamente al fine di garantire che i prestatori di servizi fiduciari rispettino i requisiti di cui al presente regolamento e alla direttiva (UE) XXXX/XXXX [NIS2]. L'organismo di vigilanza chiede all'autorità nazionale competente a norma della direttiva XXXX/XXXX [NIS2] di svolgere azioni di vigilanza per verificare il rispetto, da parte dei prestatori di servizi fiduciari, dei requisiti di cui alla direttiva XXXX/XXXX (NIS2), di imporre ai prestatori di servizi fiduciari di rimediare a eventuali mancati adempimenti di tali requisiti, di fornire tempestivamente i risultati di eventuali attività di vigilanza connesse ai prestatori di servizi fiduciari e di informare gli organismi di vigilanza in merito a pertinenti incidenti notificati conformemente alla direttiva XXXX/XXXX [NIS2].

5.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce le modalità procedurali necessarie per facilitare la cooperazione tra le autorità di vigilanza di cui al paragrafo 1.";

22)l'articolo 20 è così modificato:

a)il paragrafo 1 è sostituito dal seguente:

"1.    I prestatori di servizi fiduciari qualificati sono sottoposti, a proprie spese almeno ogni 24 mesi, a una verifica da parte di un organismo di valutazione della conformità. Lo scopo della verifica è confermare che i prestatori di servizi fiduciari qualificati e i servizi fiduciari qualificati da essi prestati rispettano i requisiti di cui al presente regolamento e all'articolo 18 della direttiva (UE) XXXX/XXXX [NIS2]. I prestatori di servizi fiduciari qualificati presentano la pertinente relazione di valutazione della conformità all'organismo di vigilanza entro tre giorni lavorativi dalla sua ricezione.";

b)al paragrafo 2, l'ultima frase è sostituita dalla seguente:

"Qualora siano state rilevate violazioni delle norme in materia di protezione dei dati personali, l'organismo di vigilanza informa le autorità di controllo a norma del regolamento (UE) 2016/679 in merito ai risultati delle verifiche.";

c)i paragrafi 3 e 4 sono sostituiti dai seguenti:

"3.    Qualora il prestatore di servizi fiduciari qualificato non adempia uno qualsiasi dei requisiti di cui al presente regolamento, l'organismo di vigilanza gli impone di rimediare entro un termine stabilito, ove applicabile.

Qualora tale prestatore non rimedi e, ove applicabile, non rispetti il termine fissato dall'organismo di vigilanza, quest'ultimo, tenendo conto in particolare della portata, della durata e delle conseguenze di tale inadempienza, può revocare la qualifica di tale prestatore o del servizio interessato da esso prestato e imporgli di conformarsi ai requisiti di cui alla direttiva XXXX/XXXX [NIS2], ove applicabile entro un termine stabilito. L'organismo di vigilanza informa l'organismo di cui all'articolo 22, paragrafo 3, ai fini dell'aggiornamento degli elenchi di fiducia di cui all'articolo 22, paragrafo 1.

L'organismo di vigilanza comunica al prestatore di servizi fiduciari qualificato la revoca della sua qualifica o della qualifica del servizio interessato.

4.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle seguenti norme applicabili a:

a)l'accreditamento degli organismi di valutazione della conformità e la relazione di valutazione della conformità di cui al paragrafo 1;

b)i requisiti in materia di verifiche in base ai quali gli organismi di valutazione della conformità effettueranno le loro valutazioni della conformità dei prestatori di servizi fiduciari qualificati di cui al paragrafo 1;

c)i regimi di valutazione della conformità per l'esecuzione della valutazione della conformità dei prestatori di servizi fiduciari qualificati da parte degli organismi di valutazione della conformità e per la presentazione della relazione di valutazione della conformità di cui al paragrafo 1.

Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

23)l'articolo 21 è così modificato:

a)il paragrafo 2 è sostituito dal seguente:

"2.    L'organismo di vigilanza verifica se il prestatore di servizi fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al presente regolamento e, in particolare, i requisiti per i prestatori di servizi fiduciari qualificati e per i servizi fiduciari qualificati da essi prestati.

Al fine di verificare il rispetto dei requisiti di cui all'articolo 18 della direttiva XXXX [NIS2] da parte del prestatore di servizi fiduciari, l'organismo di vigilanza chiede alle autorità competenti di cui alla direttiva XXXX [NIS2] di svolgere azioni di vigilanza in tal senso e di fornire informazioni sui risultati entro tre giorni dal loro completamento.

Se conclude che il prestatore di servizi fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al primo comma, l'organismo di vigilanza concede la qualifica al prestatore di servizi fiduciari e ai servizi fiduciari da esso prestati e informa l'organismo di cui all'articolo 22, paragrafo 3, affinché aggiorni gli elenchi di fiducia di cui all'articolo 22, paragrafo 1, entro tre mesi dalla notifica conformemente al paragrafo 1 del presente articolo.

Se la verifica non si è conclusa entro tre mesi dalla notifica, l'organismo di vigilanza ne informa il prestatore di servizi fiduciari specificando i motivi del ritardo e il periodo necessario per concludere la verifica.";

b)il paragrafo 4 è sostituito dal seguente:

"4.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, definisce i formati e le procedure relativi alla notifica e alla verifica ai fini dei paragrafi 1 e 2 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

24)all'articolo 23 è inserito il seguente paragrafo 2 bis:

"2 bis.    I paragrafi 1 e 2 si applicano anche ai prestatori di servizi fiduciari stabiliti in paesi terzi e ai servizi da essi prestati, a condizione che siano stati riconosciuti nell'Unione conformemente all'articolo 14.";

25)l'articolo 24 è così modificato:

a)il paragrafo 1 è sostituito dal seguente:

"1.    Allorché rilascia un certificato qualificato o un attestato elettronico di attributi qualificato per un servizio fiduciario, un prestatore di servizi fiduciari qualificato verifica l'identità e, se opportuno, eventuali attributi specifici della persona fisica o giuridica a cui è rilasciato il certificato qualificato o l'attestato elettronico di attributi qualificato.

Le informazioni di cui al primo comma sono verificate dal prestatore di servizi fiduciari qualificato, direttamente o ricorrendo a un terzo, in uno qualsiasi dei modi seguenti:

a)mediante un mezzo di identificazione elettronica notificato che rispetta i requisiti di cui all'articolo 8 per quanto riguarda i livelli di garanzia "significativo" o "elevato";

b)mediante un attestato elettronico di attributi qualificato o un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato conformemente alla lettera a), c) o d);

c)mediante altri metodi di identificazione che garantiscono l'identificazione della persona fisica con un elevato livello di sicurezza, la conformità dei quali è confermata da un organismo di valutazione della conformità;

d)se non sono disponibili altri mezzi, mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica secondo procedure adeguate e conformemente alla legislazione nazionale.";

b)è aggiunto il seguente paragrafo 1 bis:

"1 bis.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce specifiche tecniche minime, norme e procedure relative alla verifica dell'identità e degli attributi conformemente al paragrafo 1, lettera c). Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

c)il paragrafo 2 è così modificato:

1)la lettera d) è sostituita dalla seguente:

"d)    prima di avviare una relazione contrattuale informa chiunque intenda utilizzare un servizio fiduciario qualificato, in modo chiaro, completo e facilmente accessibile, in uno spazio accessibile al pubblico e individualmente, in merito ai termini e alle condizioni precisi per l'utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo;";

2)sono inserite le nuove lettere f bis) e f ter):

"f bis)    dispone di politiche adeguate e adotta misure corrispondenti per la gestione dei rischi giuridici, commerciali, operativi e di altro genere, sia diretti che indiretti, per la prestazione del servizio fiduciario qualificato. Fatte salve le disposizioni di cui all'articolo 18 della direttiva (UE) XXXX/XXX [NIS2], tali misure comprendono almeno:

i) misure relative alla registrazione a un servizio e alle relative procedure di onboarding;

ii) misure relative ai controlli procedurali o amministrativi;

iii) misure relative alla gestione e all'attuazione dei servizi;

f ter)    notifica all'organismo di vigilanza e, se opportuno, agli altri organismi pertinenti eventuali violazioni o perturbazioni connesse all'attuazione delle misure di cui alla lettera f bis), punti i), ii) e iii), aventi un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi;";

3)le lettere g) e h) sono sostituite dalle seguenti:

"g)    adotta misure adeguate contro la falsificazione, il furto o l'appropriazione indebita di dati o contro l'atto, compiuto senza diritto, di cancellarli, alterarli o renderli inaccessibili;

h)    registra e mantiene accessibili per tutto il tempo necessario dopo la cessazione delle attività del prestatore di servizi fiduciari qualificato tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore di servizi fiduciari qualificato, a fini di produzione di prove nell'ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche;";

4)la lettera j) è soppressa;

d)è aggiunto il seguente paragrafo 4 bis:

"4 bis.    I paragrafi 3 e 4 si applicano in maniera analoga alla revoca di attestati elettronici di attributi.";

e)il paragrafo 5 è sostituito dal seguente:

"5.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai requisiti di cui al paragrafo 2. Si presume che i requisiti di cui al presente articolo siano stati rispettati ove i sistemi e i prodotti affidabili adempiano tali norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

f)è inserito il seguente paragrafo 6:

"6.    Alla Commissione è conferito il potere di adottare atti delegati relativi alle misure supplementari di cui al paragrafo 2, lettera f bis).";

26)all'articolo 28, il paragrafo 6 è sostituito dal seguente:

"6.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai certificati qualificati di firma elettronica. Si presume che i requisiti di cui all'allegato I siano stati rispettati ove un certificato qualificato di firma elettronica adempia tali norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

27)all'articolo 29 è aggiunto il seguente paragrafo 1 bis:

"1 bis.    La generazione, la gestione e la duplicazione dei dati per la creazione di una firma elettronica per conto del firmatario possono essere effettuate solo da un prestatore di servizi fiduciari qualificato che presta un servizio fiduciario qualificato per la gestione di un dispositivo qualificato per la creazione di una firma elettronica a distanza.";

28)è inserito il seguente articolo 29 bis:

"Articolo 29 bis

Requisiti relativi ai servizi qualificati per la gestione di dispositivi per la creazione di una firma elettronica a distanza

1.    La gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza come servizio qualificato può essere effettuata solo da un prestatore di servizi fiduciari qualificato che:

a)genera o gestisce dati per la creazione di una firma elettronica per conto del firmatario;

b)fatto salvo l'allegato II, punto 1, lettera d), duplica i dati per la creazione di una firma elettronica solo a fini di back-up, a condizione che siano soddisfatti i seguenti requisiti:

la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio;

c)soddisfa i requisiti indicati nella relazione di certificazione dello specifico dispositivo qualificato per la creazione di una firma a distanza, rilasciata a norma dell'articolo 30.

2.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce le specifiche tecniche e i numeri di riferimento delle norme applicabili ai fini del paragrafo 1.";

29)all'articolo 30 è inserito il seguente paragrafo 3 bis:

"3 bis.    La certificazione di cui al paragrafo 1 ha una validità di cinque anni, subordinatamente a una valutazione delle vulnerabilità periodica effettuata ogni due anni. Qualora siano individuate vulnerabilità a cui non è posto rimedio, la certificazione è revocata.";

30)all'articolo 31, il paragrafo 3 è sostituito dal seguente:

"3.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, definisce i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

31)l'articolo 32 è così modificato:

a)al paragrafo 1 è aggiunto il seguente comma:

"Si presume che i requisiti di cui al primo comma siano stati rispettati ove la convalida delle firme elettroniche qualificate adempia le norme di cui al paragrafo 3.";

b)il paragrafo 3 è sostituito dal seguente:

"3.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili alla convalida delle firme elettroniche qualificate. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

32)l'articolo 34 è sostituito dal seguente:

"Articolo 34

Servizio di conservazione qualificato delle firme elettroniche qualificate

1.    Un servizio di conservazione qualificato delle firme elettroniche qualificate può essere prestato soltanto da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l'affidabilità della firma elettronica qualificata oltre il periodo di validità tecnologica.

2.    Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove le modalità del servizio di conservazione qualificato delle firme elettroniche qualificate adempiano le norme di cui al paragrafo 3.

3.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili al servizio di conservazione qualificato delle firme elettroniche qualificate. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

33)l'articolo 37 è così modificato:

a)è inserito il seguente paragrafo 2 bis:

"2 bis.    Si presume che i requisiti dei sigilli elettronici avanzati di cui all'articolo 36 e al paragrafo 5 del presente articolo siano rispettati ove un sigillo elettronico avanzato adempia le norme di cui al paragrafo 4.";

b)il paragrafo 4 è sostituito dal seguente:

"4.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai sigilli elettronici avanzati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

34)l'articolo 38 è così modificato:

a)il paragrafo 1 è sostituito dal seguente:

"1.    I certificati qualificati dei sigilli elettronici soddisfano i requisiti di cui all'allegato III. Si presume che i requisiti di cui all'allegato III siano stati rispettati ove un certificato qualificato di sigillo elettronico adempia le norme di cui al paragrafo 6.";

b)il paragrafo 6 è sostituito dal seguente:

"6.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai certificati qualificati dei sigilli elettronici. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

35)è inserito il seguente articolo 39 bis:

"Articolo 39 bis

Requisiti relativi ai servizi qualificati per la gestione di dispositivi per la creazione di un sigillo elettronico a distanza

L'articolo 29 bis si applica mutatis mutandis ai servizi qualificati per la gestione di dispositivi per la creazione di un sigillo elettronico a distanza.";

36)l'articolo 42 è così modificato:

a)è inserito il seguente paragrafo 1 bis:

"1 bis.    Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il collegamento della data e dell'ora ai dati e la fonte accurata di misurazione del tempo adempiano le norme di cui al paragrafo 2.";

b)il paragrafo 2 è sostituito dal seguente:

"2.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili sia al collegamento della data e dell'ora ai dati sia a fonti accurate di misurazione del tempo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

37)l'articolo 44 è così modificato:

a)è aggiunto il seguente paragrafo 1 bis:

"1 bis.    Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il processo di invio e ricezione dei dati adempia le norme di cui al paragrafo 2.";

b)il paragrafo 2 è sostituito dal seguente:

"2.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai processi di invio e ricezione dei dati. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

38)l'articolo 45 è sostituito dal seguente:

"Articolo 45

Requisiti per i certificati qualificati di autenticazione di siti web

1.    I certificati qualificati di autenticazione di siti web rispettano i requisiti di cui all'allegato IV. I certificati qualificati di autenticazione di siti web sono considerati conformi ai requisiti di cui all'allegato IV se adempiono le norme di cui al paragrafo 3.

2.    I certificati qualificati di autenticazione di siti web di cui al paragrafo 1 sono riconosciuti dai browser web. A tal fine i browser web garantiscono che i dati di identità forniti mediante uno qualsiasi dei metodi siano visualizzati in maniera tale da risultare facilmente consultabili. I browser web garantiscono il supporto dei certificati qualificati di autenticazione di siti web di cui al paragrafo 1 e l'interoperabilità con gli stessi, a eccezione delle imprese considerate microimprese e piccole imprese conformemente alla raccomandazione 2003/361/CE della Commissione nei loro primi cinque anni di attività come prestatori di servizi di navigazione in rete.

3.    Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce le specifiche e i numeri di riferimento delle norme applicabili ai certificati qualificati di autenticazione di siti web di cui al paragrafo 1."; Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

39)dopo l'articolo 45 sono inserite le seguenti sezioni 9, 10 e 11:

"SEZIONE 9

ATTESTATI ELETTRONICI DI ATTRIBUTI

Articolo 45 bis

Effetti giuridici degli attestati elettronici di attributi

1.    A un attestato elettronico di attributi non sono negati gli effetti giuridici e l'ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.

2.    Un attestato elettronico di attributi qualificato ha gli stessi effetti giuridici degli attestati in formato cartaceo rilasciati legalmente.

3.    Un attestato elettronico di attributi qualificato rilasciato in uno Stato membro è riconosciuto quale attestato elettronico di attributi qualificato in tutti gli altri Stati membri.

Articolo 45 ter

Attestati elettronici di attributi nei servizi pubblici

Qualora il diritto nazionale richieda l'identificazione elettronica mediante un mezzo di identificazione elettronica e un'autenticazione per accedere a un servizio online prestato da un organismo del settore pubblico, i dati di identificazione personale contenuti nell'attestato elettronico di attributi non sostituiscono, ai fini dell'identificazione elettronica, l'identificazione elettronica mediante un mezzo di identificazione elettronica e un'autenticazione, a meno che ciò non sia specificamente consentito dallo Stato membro o dall'organismo del settore pubblico. In tal caso sono accettati anche gli attestati elettronici di attributi qualificati provenienti da altri Stati membri.

Articolo 45 quater

Requisiti per gli attestati di attributi qualificati

1.    Gli attestati elettronici di attributi qualificati rispettano i requisiti di cui all'allegato V. Gli attestati elettronici di attributi qualificati sono considerati conformi ai requisiti di cui all'allegato V se adempiono le norme di cui al paragrafo 4.

2.    Gli attestati elettronici di attributi qualificati non sono soggetti a requisiti obbligatori oltre ai requisiti di cui all'allegato V.

3.    Qualora un attestato elettronico di attributi qualificato sia stato revocato dopo l'iniziale rilascio, esso decade della propria validità dal momento della revoca e la sua situazione non è ripristinata in nessuna circostanza.

4.    Entro 6 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante un atto di esecuzione relativo all'implementazione dei portafogli europei di identità digitale di cui all'articolo 6 bis, paragrafo 10, stabilisce i numeri di riferimento delle norme applicabili agli attestati elettronici di attributi qualificati.";

Articolo 45 quinquies

Verifica degli attributi rispetto a fonti autentiche

1.    Gli Stati membri provvedono affinché, almeno per gli attributi elencati nell'allegato VI, qualora tali attributi facciano affidamento su fonti autentiche all'interno del settore pubblico, siano adottate misure volte a consentire ai fornitori qualificati di attestati elettronici di attributi di verificare mediante mezzi elettronici, su richiesta dell'utente, l'autenticità dell'attributo rispetto alla pertinente fonte autentica a livello nazionale, direttamente o mediante intermediari designati riconosciuti a livello nazionale conformemente al diritto nazionale o dell'Unione.

2.    Entro 6 mesi dall'entrata in vigore del presente regolamento, tenendo conto delle pertinenti norme internazionali, la Commissione, mediante un atto di esecuzione relativo all'implementazione dei portafogli europei di identità digitale di cui all'articolo 6 bis, paragrafo 10, stabilisce le specifiche tecniche minime, le norme e le procedure per quanto riguarda il catalogo di attributi e i regimi per gli attestati di attributi e le procedure di verifica degli attestati elettronici di attributi qualificati.

Articolo 45 sexies

Rilascio di attestati elettronici di attributi ai portafogli europei di identità digitale

I fornitori di attestati elettronici di attributi qualificati forniscono un'interfaccia con i portafogli europei di identità digitale emessi conformemente all'articolo 6 bis.

Articolo 45 septies

Norme supplementari per la prestazione di servizi di attestazione elettronica di attributi

1.    I prestatori di servizi di attestazione elettronica di attributi qualificati e non qualificati non combinano i dati personali relativi alla prestazione di tali servizi con i dati personali provenienti da qualsiasi altro servizio da essi prestato.

2.    I dati personali relativi alla prestazione di servizi di attestazione elettronica di attributi sono tenuti logicamente separati dagli altri dati detenuti.

3.    I dati personali relativi alla prestazione di servizi di attestazione elettronica di attributi qualificati sono tenuti fisicamente e logicamente separati dagli altri dati detenuti.

4.    I prestatori di servizi di attestazione elettronica di attributi qualificati prestano tali servizi tramite un'entità giuridica distinta.

SEZIONE 10

SERVIZI DI ARCHIVIAZIONE ELETTRONICA QUALIFICATI

Articolo 45 octies

Servizi di archiviazione elettronica qualificati

Un servizio di archiviazione elettronica qualificato per documenti elettronici può essere prestato soltanto da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l'affidabilità del documento elettronico oltre il periodo di validità tecnologica.

Entro 12 mesi dall'entrata in vigore del presente regolamento la Commissione, mediante atti di esecuzione, stabilisce i numeri di riferimento delle norme applicabili ai servizi di archiviazione elettronica. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.

SEZIONE 11

REGISTRI ELETTRONICI

Articolo 45 nonies

Effetti giuridici dei registri elettronici

1.    A un registro elettronico non possono essere negati gli effetti giuridici e l'ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i registri elettronici qualificati.

2.    Un registro elettronico qualificato gode della presunzione dell'unicità e dell'autenticità dei dati in esso contenuti, nonché dell'accuratezza della data e dell'ora di tali dati e del loro ordine cronologico sequenziale all'interno del registro.

Articolo 45 decies

Requisiti per i registri elettronici qualificati

1. I registri elettronici qualificati soddisfano i requisiti seguenti:

a)sono creati da uno o più prestatori di servizi fiduciari qualificati;

b)garantiscono l'unicità, l'autenticità e il corretto sequenziamento dei dati inseriti nel registro;

c)garantiscono il corretto ordine cronologico sequenziale dei dati nel registro e l'accuratezza della data e dell'ora degli stessi;

d)registrano i dati in modo tale che sia possibile individuare immediatamente qualsiasi successiva modifica degli stessi.

2.    Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove un registro elettronico adempia le norme di cui al paragrafo 3.

3.    La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai processi di esecuzione e registrazione di un insieme di dati in un registro elettronico qualificato e alla creazione di tale registro. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";

40)è inserito il seguente articolo 48 bis:

"Articolo 48 bis

Obblighi di comunicazione

1.    Gli Stati membri provvedono affinché siano raccolte statistiche relative al funzionamento dei portafogli europei di identità digitale e dei servizi fiduciari qualificati.

2.    Le statistiche raccolte conformemente al paragrafo 1 comprendono:

a)il numero di persone fisiche e giuridiche in possesso di un portafoglio europeo di identità digitale valido;

b)il numero e il tipo di servizi che accettano l'uso dei portafogli europei di identità digitale;

c)gli incidenti e i tempi di interruzione sull'infrastruttura a livello nazionale che impediscono l'uso delle app del portafoglio di identità digitale.

3.    Le statistiche di cui al paragrafo 2 sono messe a disposizione del pubblico in un formato aperto, di uso comune e leggibile meccanicamente.

4.    Entro marzo di ogni anno gli Stati membri presentano alla Commissione una relazione sulle statistiche raccolte conformemente al paragrafo 2.";

41)l'articolo 49 è sostituito dal seguente:

"Articolo 49

Riesame

1.    La Commissione riesamina l'applicazione del presente regolamento e presenta una relazione in proposito al Parlamento europeo e al Consiglio entro 24 mesi dalla sua entrata in vigore. La Commissione valuta in particolare se sia opportuno modificare l'ambito di applicazione del presente regolamento o sue disposizioni specifiche, tenendo conto dell'esperienza acquisita nell'applicazione del regolamento stesso nonché dei progressi tecnologici, dell'evoluzione del mercato e degli sviluppi giuridici. Se necessario, la relazione è corredata di una proposta di modifica del presente regolamento.

2.    La relazione di valutazione comprende una valutazione della disponibilità e dell'usabilità dei mezzi di identificazione, compresi i passaporti europei di identità digitale che rientrano nell'ambito di applicazione del presente regolamento, ed esamina se sia necessario imporre a tutti i prestatori di servizi privati online che fanno affidamento su servizi di identificazione elettronica di terzi per l'autenticazione degli utenti di accettare l'utilizzo di mezzi di identificazione elettronica notificati e dei portafogli europei di identità digitale.

3.    Ogni quattro anni dopo la presentazione della relazione di cui al paragrafo 1 la Commissione presenta inoltre al Parlamento europeo e al Consiglio una relazione sui progressi compiuti nel conseguimento degli obiettivi del presente regolamento.

42)l'articolo 51 è sostituito dal seguente:

"Articolo 51

Disposizioni transitorie

1.    I dispositivi per la creazione di una firma sicura la cui conformità sia stata determinata conformemente all'articolo 3, paragrafo 4, della direttiva 1999/93/CE continuano a essere considerati dispositivi qualificati per la creazione di una firma elettronica a norma del presente regolamento fino al [data – Ufficio delle pubblicazioni, inserire un periodo di quattro anni dopo l'entrata in vigore del presente regolamento].

2.    I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE continuano a essere considerati certificati qualificati di firme elettroniche a norma del presente regolamento fino al [data – Ufficio delle pubblicazioni, inserire un periodo di quattro anni dopo l'entrata in vigore del presente regolamento].";

43)l'allegato I è modificato conformemente all'allegato I del presente regolamento;

44)l'allegato II è sostituito dal testo figurante nell'allegato II del presente regolamento;

45)l'allegato III è modificato conformemente all'allegato III del presente regolamento;

46)l'allegato IV è modificato conformemente all'allegato IV del presente regolamento;

47)è aggiunto un nuovo allegato V il cui testo figura nell'allegato V del presente regolamento;

48)è aggiunto un nuovo allegato VI al presente regolamento.

Articolo 2

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il

SCHEDA FINANZIARIA LEGISLATIVA

1.CONTESTO DELLA PROPOSTA/INIZIATIVA 

1.1.Titolo della proposta/iniziativa

1.2.Settore/settori interessati 

1.3.La proposta/iniziativa riguarda: 

 una nuova azione 

 una nuova azione a seguito di un progetto pilota/un'azione preparatoria 28  

la proroga di un'azione esistente 

 la fusione o il riorientamento di una o più azioni verso un'altra/una nuova azione 

1.4.Obiettivi

1.4.1.Obiettivi generali

1.4.2.Obiettivi specifici

1.4.3.Risultati e incidenza previsti

Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.

1.4.4.Indicatori di prestazione

Precisare gli indicatori con cui monitorare progressi e risultati

1.5.Motivazione della proposta/iniziativa 

1.5.1.Necessità nel breve e lungo termine, compreso un calendario dettagliato per fasi di attuazione dell'iniziativa

1.5.2.Valore aggiunto dell'intervento dell'Unione (che può derivare da diversi fattori, ad es. un miglior coordinamento, la certezza del diritto o un'efficacia e una complementarità maggiori). Ai fini del presente punto, per "valore aggiunto dell'intervento dell'Unione" si intende il valore derivante dall'intervento dell'Unione che va ad aggiungersi al valore che avrebbero altrimenti generato gli Stati membri se avessero agito da soli.

1.5.3.Insegnamenti tratti da esperienze analoghe

1.5.4.Compatibilità con il quadro finanziario pluriennale ed eventuali sinergie con altri strumenti pertinenti

1.5.5.Valutazione delle varie opzioni di finanziamento disponibili, comprese le possibilità di riassegnazione

1.6.Durata e incidenza finanziaria della proposta/iniziativa

 durata limitata

    in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA

    incidenza finanziaria dal AAAA al AAAA per gli stanziamenti di impegno e dal AAAA al AAAA per gli stanziamenti di pagamento.

 durata illimitata

Attuazione con un periodo di avviamento dal AAAA al AAAA

e successivo funzionamento a pieno ritmo

1.7.Modalità di gestione previste 29  

 Gestione diretta a opera della Commissione

 a opera dei suoi servizi, compreso il suo personale presso le delegazioni dell'Unione;

    a opera delle agenzie esecutive.

 Gestione concorrente con gli Stati membri

 Gestione indiretta affidando compiti di esecuzione del bilancio:

 a paesi terzi o organismi da questi designati;

 a organizzazioni internazionali e loro agenzie (specificare);

 alla BEI e al Fondo europeo per gli investimenti;

 agli organismi di cui agli articoli 70 e 71 del regolamento finanziario;

 a organismi di diritto pubblico;

 a organismi di diritto privato investiti di attribuzioni di servizio pubblico nella misura in cui sono dotati di sufficienti garanzie finanziarie;

 a organismi di diritto privato di uno Stato membro preposti all'attuazione di un partenariato pubblico-privato e che sono dotati di sufficienti garanzie finanziarie;

 alle persone incaricate di attuare azioni specifiche della PESC a norma del titolo V TUE e indicate nel pertinente atto di base.

Se è indicata più di una modalità, fornire ulteriori informazioni alla voce "Osservazioni".

Osservazioni

2.MISURE DI GESTIONE 

2.1.Disposizioni in materia di monitoraggio e di relazioni 

Precisare frequenza e condizioni.

2.2.Sistema di gestione e di controllo 

2.2.1.Giustificazione della o delle modalità di gestione, del meccanismo o dei meccanismi di attuazione del finanziamento, delle modalità di pagamento e della strategia di controllo proposti

2.2.2.Informazioni concernenti i rischi individuati e il sistema o i sistemi di controllo interno per ridurli

2.2.3.Stima e giustificazione del rapporto costo/efficacia dei controlli (rapporto "costi del controllo ÷ valore dei fondi gestiti") e valutazione dei livelli di rischio di errore previsti (al pagamento e alla chiusura) 

2.3.Misure di prevenzione delle frodi e delle irregolarità 

Precisare le misure di prevenzione e tutela in vigore o previste, ad esempio strategia antifrode.

3.INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA 

3.1.Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate 

Linee di bilancio esistenti

Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio

Nuove linee di bilancio di cui è chiesta la creazione

Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio

3.2.Incidenza finanziaria prevista della proposta sugli stanziamenti 

3.2.1.Sintesi dell'incidenza prevista sugli stanziamenti operativi 

    La proposta/iniziativa non comporta l'utilizzo di stanziamenti operativi.

    La proposta/iniziativa comporta l'utilizzo di stanziamenti operativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

DG: CNECT				Anno  2022	Anno  2023	Anno  2024	Anno  2025	Anno  2026	Anno  2027		TOTALE
□ Stanziamenti operativi					L'assegnazione del bilancio sarà decisa durante la formulazione dei programmi di lavoro. I numeri indicati rappresentano il minimo necessario per il mantenimento e l'aggiornamento 33 .
Linea di bilancio 34 02 04 05	Impegni	(1a)		2,000	4,000	4,000	4,000	4,000	4,000		22,000
	Pagamenti	(2a)		1,000	3,000	4,000	4,000	4,000	4,000	2,000	22,000
Linea di bilancio	Impegni	(1b)
	Pagamenti	(2b)
Stanziamenti amministrativi finanziati dalla dotazione di programmi specifici 35
Linea di bilancio 02 01 03 01		(3)		0,048	0,144	0,144	0,072	0,072	0,072		0,552
TOTALE stanziamenti  per la DG CNECT	Impegni	=1a+1b +3		2,048	4,144	4,144	4,072	4,072	4,072		22,552
	Pagamenti	=2a+2b +3		1,048	3,144	4,144	4,072	4,072	4,072	2,000	22,552

Sezione da compilare utilizzando i "dati di bilancio di natura amministrativa" che saranno introdotti nell'allegato della scheda finanziaria legislativa (allegato V delle norme interne), caricato su DECIDE a fini di consultazione interservizi.

Mio EUR (al terzo decimale)

TOTALE stanziamenti  per la RUBRICA 7  del quadro finanziario pluriennale

(Totale impegni = Totale pagamenti)

0,782

1,557

1,557

1,557

1,486

1,334

8,273

Mio EUR (al terzo decimale)

3.2.2.Risultati previsti finanziati con gli stanziamenti operativi 

Stanziamenti di impegno in Mio EUR (al terzo decimale)

3.2.3.Sintesi dell'incidenza prevista sugli stanziamenti amministrativi 

    La proposta/iniziativa non comporta l'utilizzo di stanziamenti amministrativi.

    La proposta/iniziativa comporta l'utilizzo di stanziamenti amministrativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

RUBRICA 7  del quadro finanziario pluriennale
Risorse umane	0,776	1,470	1,470	1,470	1,470	1,318	7,974
Altre spese amministrative	0,006	0,087	0,087	0,087	0,0162	0,0162	0,299
Totale parziale RUBRICA 7  del quadro finanziario pluriennale	0,782	1,557	1,557	1,557	1,486	1,334	8,273

Esclusa la RUBRICA 7 38   del quadro finanziario pluriennale
Risorse umane
Altre spese amministrative Indicare i costi amministrativi nel quadro del programma Europa digitale	0,048	0,144	0,144	0,072	0,072	0,072	0,552
Totale parziale esclusa la RUBRICA 7  del quadro finanziario pluriennale	0,048	0,144	0,144	0,072	0,072	0,072	0,552

TOTALE

0,830

1,701

1,701

1,629

1,558

1,406

8,825

Il fabbisogno di stanziamenti relativi alle risorse umane e alle altre spese amministrative è coperto dagli stanziamenti della DG già assegnati alla gestione dell'azione e/o riassegnati all'interno della stessa DG, integrati dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

3.2.4.Fabbisogno previsto di risorse umane

    La proposta/iniziativa non comporta l'utilizzo di risorse umane.

    La proposta/iniziativa comporta l'utilizzo di risorse umane, come spiegato di seguito:

Stima da esprimere in equivalenti a tempo pieno

XX è il settore o il titolo di bilancio interessato.

Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell'azione e/o riassegnato all'interno della stessa DG, integrato dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

Descrizione dei compiti da svolgere:

3.2.5.Compatibilità con il quadro finanziario pluriennale attuale 

La proposta/iniziativa:

    può essere interamente finanziata mediante riassegnazione all'interno della pertinente rubrica del quadro finanziario pluriennale (QFP).

    comporta l'uso del margine non assegnato della pertinente rubrica del QFP e/o l'uso degli strumenti speciali definiti nel regolamento QFP.

    comporta una revisione del QFP.

3.2.6.Partecipazione di terzi al finanziamento 

La proposta/iniziativa:

    non prevede cofinanziamenti da terzi

    prevede il cofinanziamento da terzi indicato di seguito:

Stanziamenti in Mio EUR (al terzo decimale)

3.3.Incidenza prevista sulle entrate 

    La proposta/iniziativa non ha incidenza finanziaria sulle entrate.

    La proposta/iniziativa ha la seguente incidenza finanziaria:

    sulle risorse proprie

    su altre entrate

indicare se le entrate sono destinate a linee di spesa specifiche     

Mio EUR (al terzo decimale)

Per quanto riguarda le entrate con destinazione specifica, precisare la o le linee di spesa interessate.

Altre osservazioni (ad es. formula/metodo per calcolare l'incidenza sulle entrate o altre informazioni)

ALLEGATO 
della SCHEDA FINANZIARIA LEGISLATIVA

Nome della proposta/iniziativa:

1.QUANTITÀ e COSTO delle RISORSE UMANE CONSIDERATE NECESSARIE

2.COSTO delle ALTRE SPESE AMMINISTRATIVE

3.TOTALE COSTI AMMINISTRATIVI

4.METODI di CALCOLO UTILIZZATI per STIMARE I COSTI

4.1.Risorse umane

4.2.Altre spese amministrative

(1)Costo delle risorse umane considerate necessarie

    La proposta/iniziativa non comporta l'utilizzo di risorse umane.

    La proposta/iniziativa comporta l'utilizzo di risorse umane, come spiegato di seguito:

Mio EUR (al terzo decimale)

4.3.Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell'azione e/o riassegnato all'interno della stessa DG, integrato dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

4.4.

4.5.

Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell'azione e/o riassegnato all'interno della stessa DG, integrato dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

4.6.Costo delle altre spese amministrative

4.7.La proposta/iniziativa non comporta l'utilizzo di stanziamenti operativi.

4.8.La proposta/iniziativa comporta l'utilizzo di stanziamenti operativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

Mio EUR (al terzo decimale)

5.Totale costi amministrativi (tutte le rubriche del QFP)

Mio EUR (al terzo decimale)

1)Gli stanziamenti amministrativi richiesti saranno coperti dagli stanziamenti già assegnati alla gestione dell'azione e/o riassegnati, integrati dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio esistenti.

6.Metodi di calcolo utilizzati per stimare i costi

a) Risorse umane

Questa parte stabilisce il metodo di calcolo utilizzato per stimare le risorse umane considerate necessarie (ipotesi sul carico di lavoro, anche in relazione agli impieghi specifici (profili professionali Sysper 2), le categorie di personale e i costi medi corrispondenti)

1.RUBRICA 7 del quadro finanziario pluriennale

2.NB: i costi medi per ciascuna categoria di personale in sede sono disponibili sul sito BudgWeb: 3. https://myintracomm.ec.europa.eu/budgweb/EN/pre/legalbasis/Pages/pre-040-020_preparation.aspx .

4.□ Funzionari e agenti temporanei 5.7 funzionari AD (di cui 1 da CNECT/F.3 nel 2023-2024) x 152 000 EUR/anno nel periodo 2023-2027 (importo dimezzato nel 2022 in ragione dell'adozione prevista a metà del 2022); 6.1 funzionario AST x 152 000 EUR/anno nel periodo 2023-2027 (importo dimezzato nel 2022 in ragione dell'adozione prevista a metà del 2022) 7.

8.□ Personale esterno 9.AC: 1 x 82 000 EUR/anno nel periodo 2023-2027 (importo dimezzato nel 2022 in ragione dell'adozione prevista a metà del 2022) (fattore di indicizzazione applicato); 10.2 END x 86 000 EUR/anno nel periodo 2023-2027 (importo dimezzato nel 2022 in ragione dell'adozione prevista a metà del 2022) (fattore di indicizzazione applicato); 11.

12.Esclusa la RUBRICA 7 del quadro finanziario pluriennale

13.□ Soltanto posti a carico del bilancio della ricerca  14.

15.□ Personale esterno 16.

7.Altre spese amministrative

Precisare il metodo di calcolo utilizzato per ciascuna linea di bilancio,

in particolare le ipotesi su cui si basa (ad esempio, il numero di riunioni all'anno, i costi medi ecc.)

21.Esclusa la RUBRICA 7 del quadro finanziario pluriennale 22.Le riunioni del gruppo di esperti sono a carico della linea amministrativa del programma Europa digitale. 23.Durante la preparazione dell'atto di esecuzione (metà del 2022-2024) sono previste riunioni mensili (12 000 EUR), mentre al di fuori di tale periodo di tempo sono previste riunioni bimestrali per assicurare il coordinamento a livello dell'UE in relazione all'attuazione tecnica.

24.

(1)    GU L 257 del 28.8.2014, pag. 73.

(2)    [Aggiungere il riferimento in seguito all'adozione].

(3)    https://www.consilium.europa.eu/media/45923/021020-euco-final-conclusions-it.pdf.

(4)    Discorso sullo stato dell'Unione del 16 settembre 2020, cfr. https://ec.europa.eu/commission/presscorner/detail/it/SPEECH_20_1655.

(5)    Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, "Plasmare il futuro digitale dell'Europa" (COM(2020) 67 final).

(6)    Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, "Bussola per il digitale 2030: il modello europeo per il decennio digitale" (COM(2021) 118 final).

(7)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(8)    https://ec.europa.eu/commission/presscorner/detail/it/IP_20_2391.

(9)    Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi (GU L 295 del 21.11.2018, pag. 1).

(10)    Piano d'azione per la democrazia europea (COM(2020) 790 final).

(11)    Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).

(12)    Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

(13)    Proposta di regolamento del Parlamento europeo e del Consiglio relativo ai mercati delle cripto-attività e che modifica la direttiva (UE) 2019/1937 (COM(2020) 593 final).

(14)    Gartner, Blockchain Evolution, 2020.

(15)    GU C del [...], pag.[...].

(16)    COM(2020) 67 final.

(17)    https://www.consilium.europa.eu/it/press/press-releases/2020/10/02/european-council-conclusions-1-2-october-2020/.

(18)    COM(2021) 118 final/2.

(19)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(20)    Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") ( GU L 151 del 7.6.2019, pag. 15).

(21)    Regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d'identità dei cittadini dell'Unione e dei titoli di soggiorno rilasciati ai cittadini dell'Unione e ai loro familiari che esercitano il diritto di libera circolazione (GU L 188 del 12.7.2019, pag. 67).

(22)    Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).

(23)    Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).

(24)    Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (GU L 337 del 23.12.2015, pag. 35).

(25)    Proposta di regolamento del Parlamento europeo e del Consiglio relativo ai mercati delle cripto-attività e che modifica la direttiva (UE) 2019/1937 (COM(2020) 593 final).

(26)    [Inserire riferimento dopo l'adozione].

(27)    Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(28)    A norma dell'articolo 58, paragrafo 2, lettera a) o b), del regolamento finanziario.

(29)    Le spiegazioni sulle modalità di gestione e i riferimenti al regolamento finanziario sono disponibili sul sito BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx .

(30)    Diss. = stanziamenti dissociati / Non diss. = stanziamenti non dissociati.

(31)    EFTA: Associazione europea di libero scambio.

(32)    Paesi candidati e, se del caso, potenziali candidati dei Balcani occidentali.

(33)    Qualora il costo effettivo dovesse superare gli importi indicati, i costi saranno finanziati dalla linea 02 04 05 01.

(34)    Secondo la nomenclatura di bilancio ufficiale.

(35)    Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(36)    I risultati sono i prodotti e i servizi da fornire (ad es. numero di scambi di studenti finanziati, numero di km di strada costruiti ecc.).

(37)    Come descritto nella sezione 1.4.2. "Obiettivi specifici...".

(38)    Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(39)    Sottomassimale per il personale esterno previsto dagli stanziamenti operativi (ex linee "BA").

(40)    L'anno N è l'anno in cui inizia a essere attuata la proposta/iniziativa Sostituire "N" con il primo anno di attuazione previsto (ad es. 2021) e così per gli anni a seguire.

(41)    Per le risorse proprie tradizionali (dazi doganali, contributi zucchero), indicare gli importi netti, cioè gli importi lordi al netto del 20 % per spese di riscossione.

(42)    Scegliere la linea di bilancio pertinente o specificarne un'altra se necessario; qualora siano interessate più linee di bilancio, il personale dovrebbe essere differenziato per ogni linea di bilancio interessata.

(43)    Scegliere la linea di bilancio pertinente o specificarne un'altra se necessario; qualora siano interessate più linee di bilancio, il personale dovrebbe essere differenziato per ogni linea di bilancio interessata.

(44)    Precisare il tipo di comitato e il gruppo cui appartiene.

(45)    È necessario il parere del gruppo Investimenti della DG DIGIT – IT (cfr. orientamenti sul finanziamento delle tecnologie dell'informazione, C(2020) 6126 final del 10.9.2020, pag. 7).

(46)    È necessario il parere del gruppo Investimenti della DG DIGIT – IT (cfr. orientamenti sul finanziamento delle tecnologie dell'informazione, C(2020) 6126 final del 10.9.2020, pag. 7).

(47)    Questa voce comprende i sistemi amministrativi locali e i contributi al cofinanziamento dei sistemi informatici istituzionali (cfr. gli orientamenti sul finanziamento delle tecnologie dell'informazione, C(2020) 6126 final del 10.9.2020).

COMMISSIONE EUROPEA

Bruxelles, 3.6.2021

COM(2021) 281 final

ALLEGATO

della proposta di

regolamento del Parlamento europeo e del Consiglio

che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione di un quadro per un'identità digitale europea

{SEC(2021) 228 final} - {SWD(2021) 124 final} - {SWD(2021) 125 final}

ALLEGATO I

Nell'allegato I, la lettera i) è sostituita dalla seguente:

"i)    le informazioni relative alla validità del certificato qualificato o l'ubicazione dei servizi cui è possibile rivolgersi per informarsi in merito;".

ALLEGATO II

REQUISITI RELATIVI AI DISPOSITIVI QUALIFICATI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA

1.    I dispositivi qualificati per la creazione di una firma elettronica garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:

(a)la riservatezza dei dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica è ragionevolmente assicurata;

(b)i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono comparire in pratica una sola volta;

(c)i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l'impiego di tecnologie attualmente disponibili;

(d)i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono essere attendibilmente protetti dal firmatario legittimo contro l'uso da parte di terzi.

2.    I dispositivi qualificati per la creazione di una firma elettronica non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.

ALLEGATO III

Nell'allegato III, la lettera i) è sostituita dalla seguente:

"i)    le informazioni relative alla validità del certificato qualificato o l'ubicazione dei servizi cui è possibile rivolgersi per informarsi in merito;".

ALLEGATO IV

Nell'allegato IV, la lettera j) è sostituita dalla seguente:

"j)    le informazioni relative alla validità del certificato qualificato o l'ubicazione dei servizi cui è possibile rivolgersi per informarsi in merito.".

ALLEGATO V

REQUISITI PER GLI ATTESTATI ELETTRONICI DI ATTRIBUTI QUALIFICATI

Gli attestati elettronici di attributi qualificati contengono:

(a)un'indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che l'attestato è stato rilasciato quale attestato elettronico di attributi qualificato;

(b)un insieme di dati che rappresenta senza ambiguità il prestatore di servizi fiduciari qualificato che rilascia l'attestato elettronico di attributi qualificato e include almeno lo Stato membro in cui tale prestatore è stabilito e

–per una persona giuridica: il nome e, ove applicabile, il numero di registrazione quali appaiono nei documenti ufficiali,

–per una persona fisica: il nome della persona;

(c)un insieme di dati che rappresenta in modo senza ambiguità il soggetto cui si riferiscono gli attributi attestati; qualora sia usato uno pseudonimo, ciò è chiaramente indicato;

(d)l'attributo o gli attributi attestati, comprese, ove applicabile, le informazioni necessarie per individuare l'ambito di applicazione di tali attributi;

(e)l'indicazione dell'inizio e della fine del periodo di validità dell'attestato;

(f)il codice di identità dell'attestato, che deve essere unico per il prestatore di servizi fiduciari qualificato, e, se applicabile, l'indicazione del regime per gli attestati di cui fa parte l'attestato di attributi;

(g)la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia l'attestato;

(h)il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera f) è disponibile gratuitamente;

(i)le informazioni relative alla validità dell'attestato qualificato o l'ubicazione dei servizi a cui è possibile rivolgersi per informarsi in merito.

ALLEGATO VI

ELENCO MINIMO DI ATTRIBUTI

A norma dell'articolo 45 quinquies, gli Stati membri garantiscono l'adozione di misure volte a consentire ai fornitori qualificati di attestati elettronici di attributi di verificare mediante mezzi elettronici, su richiesta dell'utente, l'autenticità dei seguenti attributi rispetto alla pertinente fonte autentica a livello nazionale, direttamente o mediante intermediari designati riconosciuti a livello nazionale, conformemente al diritto nazionale o dell'Unione e qualora tali attributi facciano affidamento su fonti autentiche all'interno del settore pubblico:

1.indirizzo;

2.età;

3.genere;

4.stato civile;

5.composizione del nucleo familiare;

6.nazionalità;

7.titoli e licenze di studio;

8.qualifiche e licenze professionali;

9.licenze e permessi pubblici;

10.dati societari e finanziari.