02014R0910 — IT — 18.10.2024 — 002.001
Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 (GU L 257 del 28.8.2014, pag. 73) |
Modificato da:
|
|
Gazzetta ufficiale |
||
n. |
pag. |
data |
||
DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 |
L 333 |
80 |
27.12.2022 |
|
REGOLAMENTO (UE) 2024/1183 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO dell’11 aprile 2024 |
L 1183 |
1 |
30.4.2024 |
Rettificato da:
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 23 luglio 2014
in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE
CAPO I
DISPOSIZIONI GENERALI
Articolo 1
Oggetto
Il presente regolamento mira a garantire il buon funzionamento del mercato interno e a fornire un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari utilizzati in tutta l’Unione, al fine di consentire e facilitare l’esercizio, da parte delle persone fisiche e giuridiche, del diritto di partecipare in modo sicuro alla società digitale e di accedere ai servizi pubblici e privati online in tutta l’Unione. A tal fine, il presente regolamento:
fissa le condizioni alle quali gli Stati membri riconoscono i mezzi di identificazione elettronica delle persone fisiche e giuridiche, che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro e forniscono e riconoscono i portafogli europei di identità digitale;
stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche;
istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato, i servizi relativi ai certificati di autenticazione di siti web, l’archiviazione elettronica, gli attestati elettronici di attributi, i dispositivi per la creazione di una firma elettronica, i dispositivi per la creazione di sigilli elettronici e i registri elettronici.
Articolo 2
Ambito di applicazione
Articolo 3
Definizioni
Ai fini del presente regolamento si intende per:
«identificazione elettronica», il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta un’altra persona fisica o una persona giuridica;
«mezzi di identificazione elettronica», un’unità materiale e/o immateriale contenente dati di identificazione personale e utilizzata per l’autenticazione per un servizio online o, se del caso, per un servizio offline;
«dati di identificazione personale», un insieme di dati che è rilasciato conformemente al diritto dell’Unione o nazionale e che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta un’altra persona fisica o una persona giuridica;
«regime di identificazione elettronica», un sistema di identificazione elettronica per mezzo del quale si forniscono mezzi di identificazione elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano altre persone fisiche o persone giuridiche;
«autenticazione», un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure di confermare l’origine e l’integrità di dati in forma elettronica;
«utente», una persona fisica o giuridica, o una persona fisica che rappresenta un’altra persona fisica o una persona giuridica, che utilizza servizi fiduciari o mezzi di identificazione elettronica, forniti a norma del presente regolamento;
«parte facente affidamento sulla certificazione», una persona fisica o giuridica che fa affidamento sull’identificazione elettronica, sui portafogli europei di identità digitale o su altri mezzi di identificazione elettronica, oppure su un servizio fiduciario;
«organismo del settore pubblico», un’autorità statale, regionale o locale, un organismo di diritto pubblico o un’associazione formata da una o più di tali autorità o da uno o più di tali organismi di diritto pubblico, oppure un soggetto privato incaricato da almeno un’autorità, un organismo o un’associazione di cui sopra di fornire servizi pubblici, quando agisce in base a tale mandato;
«organismo di diritto pubblico», un organismo definito all’articolo 2, paragrafo 1, punto 4, della direttiva 2014/24/UE del Parlamento europeo e del Consiglio ( 2 );
«firmatario», una persona fisica che crea una firma elettronica;
«firma elettronica», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;
«firma elettronica avanzata», una firma elettronica che soddisfi i requisiti di cui all’articolo 26;
«firma elettronica qualificata», una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;
«dati per la creazione di una firma elettronica», i dati unici utilizzati dal firmatario per creare una firma elettronica;
«certificato di firma elettronica», un attestato elettronico che collega i dati di convalida di una firma elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona;
«certificato qualificato di firma elettronica», un certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I;
«servizio fiduciario», un servizio elettronico prestato normalmente dietro remunerazione e consistente in uno qualsiasi degli elementi seguenti:
il rilascio di certificati di firma elettronica, certificati di sigilli elettronici, certificati di autenticazione di siti web o certificati di prestazione di altri servizi fiduciari;
la convalida di certificati di firma elettronica, certificati di sigilli elettronici, certificati di autenticazione di siti web o certificati di prestazione di altri servizi fiduciari;
la creazione di firme elettroniche o sigilli elettronici;
la convalida di firme elettroniche o sigilli elettronici;
la conservazione di firme elettroniche, sigilli elettronici, certificati di firme elettroniche o certificati di sigilli elettronici;
la gestione di dispositivi per la creazione di una firma elettronica a distanza o di dispositivi per la creazione di un sigillo elettronico a distanza;
il rilascio di attestati elettronici di attributi;
la convalida di attestati elettronici di attributi;
la creazione di validazioni temporali elettroniche;
la convalida di validazioni temporali elettroniche;
la prestazione di servizi elettronici di recapito certificato;
la convalida dei dati trasmessi tramite servizi elettronici di recapito certificato e relative prove;
l’archiviazione elettronica di dati elettronici e di documenti elettronici;
la registrazione di dati elettronici in un registro elettronico;
«servizio fiduciario qualificato», un servizio fiduciario che soddisfa i requisiti pertinenti stabiliti nel presente regolamento;
«organismo di valutazione della conformità», un organismo di valutazione della conformità ai sensi dell’articolo 2, punto 13, del regolamento (CE) n. 765/2008, che è accreditato a norma di tale regolamento come competente a effettuare la valutazione della conformità del prestatore di servizi fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati o come competente a effettuare la certificazione dei portafogli europei di identità digitale o dei mezzi di identificazione elettronica;
«prestatore di servizi fiduciari», una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato;
«prestatore di servizi fiduciari qualificato», un prestatore di servizi fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore di servizi fiduciari qualificato;
«prodotto», un hardware o software o i pertinenti componenti di hardware o software destinati a essere utilizzati per la prestazione di servizi di identificazione elettronica e servizi fiduciari;
«dispositivo per la creazione di una firma elettronica», un software o hardware configurato utilizzato per creare una firma elettronica;
«dispositivo per la creazione di una firma elettronica qualificata», un dispositivo per la creazione di una firma elettronica che soddisfa i requisiti di cui all’allegato II;
«dispositivo qualificato per la creazione di una firma elettronica a distanza», un dispositivo qualificato per la creazione di una firma elettronica, che è gestito da un prestatore di servizi fiduciari qualificato conformemente all’articolo 29 bis per conto di un firmatario;
«dispositivo qualificato per la creazione di un sigillo elettronico a distanza», un dispositivo qualificato per la creazione di un sigillo elettronico, che è gestito da un prestatore di servizi fiduciari qualificato conformemente all’articolo 39 bis per conto di un creatore di un sigillo;
«creatore di un sigillo», una persona giuridica che crea un sigillo elettronico;
«sigillo elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi;
«sigillo elettronico avanzato», un sigillo elettronico che soddisfi i requisiti sanciti all’articolo 36;
«sigillo elettronico qualificato», un sigillo elettronico avanzato creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici;
«dati per la creazione di un sigillo elettronico», i dati unici utilizzati dal creatore del sigillo elettronico per creare un sigillo elettronico;
«certificato di sigillo elettronico», un attestato elettronico che collega i dati di convalida di un sigillo elettronico a una persona giuridica e conferma il nome di tale persona;
«certificato qualificato di sigillo elettronico», un certificato di sigillo elettronico che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato III;
«dispositivo per la creazione di un sigillo elettronico», un software o hardware configurato utilizzato per creare un sigillo elettronico;
«dispositivo per la creazione di un sigillo elettronico qualificato», un dispositivo per la creazione di un sigillo elettronico che soddisfa mutatis mutandis i requisiti di cui all’allegato II;
«validazione temporale elettronica», dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento;
«validazione temporale elettronica qualificata», una validazione temporale elettronica che soddisfa i requisiti di cui all’articolo 42;
«documento elettronico», qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva;
«servizio elettronico di recapito certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;
«servizio elettronico di recapito certificato qualificato», un servizio elettronico di recapito certificato che soddisfa i requisiti di cui all'articolo 44;
«certificato di autenticazione di sito web», un attestato elettronico che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato;
«certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV;
«dati di convalida», dati utilizzati per convalidare una firma elettronica o un sigillo elettronico;
«convalida», il processo di verifica e conferma della validità dei dati in forma elettronica conformemente al presente regolamento;
«Portafoglio europeo di identità digitale», un mezzo di identificazione elettronica che consente all’utente di conservare, gestire e convalidare in modo sicuro dati di identità personale e attestati elettronici di attributi al fine di fornirli alle parti facenti affidamento sulla certificazione e agli altri utenti dei portafogli europei di identità digitale, e di firmare mediante firme elettroniche qualificate o apporre sigilli mediante sigilli elettronici qualificati;
«attributo», la caratteristica, la qualità, il diritto o l’autorizzazione di una persona fisica o giuridica o di un oggetto;
«attestato elettronico di attributi», un attestato in forma elettronica che consente l’autenticazione di attributi;
«attestato elettronico di attributi qualificato», un attestato elettronico di attributi che è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all’allegato V;
«attestato elettronico di attributi rilasciato da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto», un attestato elettronico di attributi rilasciato da un organismo del settore pubblico responsabile di una fonte autentica o da un organismo del settore pubblico designato dallo Stato membro per rilasciare tali attestati di attributi per conto di organismi del settore pubblico responsabili di fonti autentiche in conformità dell’articolo 45 septies e che soddisfa i requisiti di cui all’allegato VII;
«fonte autentica», un archivio o un sistema, tenuto sotto la responsabilità di un organismo del settore pubblico o di un soggetto privato, che contiene e fornisce gli attributi relativi a una persona fisica o giuridica o a un oggetto e che è considerato una fonte primaria di tali informazioni o la cui autenticità è riconosciuta conformemente al diritto dell’Unione o nazionale, inclusa la prassi amministrativa;
«archiviazione elettronica», un servizio che consente la ricezione, la conservazione, la consultazione e la cancellazione di dati elettronici e documenti elettronici al fine di garantirne la durabilità e leggibilità nonché di preservarne l’integrità, la riservatezza e la prova dell’origine per tutto il periodo di conservazione;
«servizio di archiviazione elettronica qualificato», un servizio di archiviazione elettronica fornito da un prestatore di servizi fiduciari qualificato e che soddisfa i requisiti di cui all’articolo 45 undecies;
«marchio di fiducia UE per i portafogli di identità digitale», un’indicazione verificabile, semplice e riconoscibile, comunicata in modo chiaro, del fatto che un portafoglio europeo di identità digitale è stato fornito conformemente al presente regolamento;
«autenticazione forte dell’utente», un’autenticazione basata sull’uso di almeno due fattori di autenticazione appartenenti a diverse categorie, della conoscenza qualcosa che solo l’utente conosce, del possesso, qualcosa che solo l’utente possiede, o dell’inerenza, qualcosa che caratterizza l’utente, che sono indipendenti, in modo tale che la violazione di uno degli elementi non comprometta l’affidabilità degli altri, e progettata in maniera tale da proteggere la riservatezza dei dati di autenticazione;
«registro elettronico», una sequenza di registrazioni di dati elettronici che garantisce l’integrità di tali registrazioni e l’accuratezza dell’ordine cronologico di tali registrazioni;
«registro elettronico qualificato», un registro elettronico fornito da un prestatore di servizi fiduciari qualificato e che soddisfa i requisiti di cui all’articolo 45 terdecies;
«dati personali», qualsiasi informazione quale definita all’articolo 4, punto 1, del regolamento (UE) 2016/679;
«corrispondenza dell’identità», un processo in cui i dati di identificazione personale o i mezzi di identificazione elettronica sono abbinati o collegati a un account esistente appartenente alla stessa persona;
«registrazione di dati», dati elettronici registrati con i metadati connessi che supportano il trattamento dei dati;
«modalità offline», per quanto riguarda l’uso dei portafogli europei di identità digitale, un’interazione tra un utente e un terzo in un luogo fisico per mezzo di tecnologie di prossimità, laddove il portafoglio europeo di identità digitale non è tenuto ad accedere a sistemi a distanza tramite reti di comunicazione elettronica ai fini dell’interazione.
Articolo 4
Principio del mercato interno
Articolo 5
Pseudonimi nelle transazioni elettroniche
Fatti salvi le norme specifiche del diritto dell’Unione o nazionale che impongono agli utenti di identificarsi o gli effetti giuridici che il diritto nazionale attribuisce agli pseudonimi, l’uso di pseudonimi scelti dall’utente non è vietato.
CAPO II
IDENTIFICAZIONE ELETTRONICA
SEZIONE 1
Portafoglio europeo di identità digitale
Articolo 5 bis
Portafogli europei di identità digitale
I portafogli europei di identità digitale sono forniti in almeno uno dei modi seguenti:
direttamente da uno Stato membro;
su incarico di uno Stato membro;
indipendentemente da uno Stato membro pur essendo riconosciuti da quest’ultimo.
I portafogli europei di identità digitale consentono all’utente, in modo intuitivo, trasparente e tracciabile da quest’ultimo, di:
richiedere, ottenere, selezionare, combinare, conservare, cancellare, condividere e presentare in modo sicuro, con il controllo esclusivo dell’utente, dati di identificazione personale e, se del caso, in combinazione con attestati elettronici di attributi, necessari per l’autenticazione delle parti facenti affidamento sulla certificazione online e, se del caso, in modalità offline, al fine di accedere ai servizi pubblici e privati, garantendo nel contempo che sia possibile la divulgazione selettiva dei dati;
generare pseudonimi e conservarli in modo cifrato e locale all’interno del portafoglio europeo di identità digitale;
autenticare in modo sicuro il portafoglio europeo di identità digitale di un’altra persona e ricevere e condividere dati di identificazione personale e attestati elettronici di attributi in modo sicuro tra i due portafogli europei di identità digitale;
accedere a un registro di tutte le transazioni effettuate mediante il portafoglio europeo di identità digitale attraverso un pannello di gestione comune che consente all’utente di:
visualizzare un elenco aggiornato delle parti facenti affidamento sulla certificazione con le quali l’utente ha stabilito una connessione e, se del caso, tutti i dati scambiati;
chiedere facilmente che una parte facente affidamento sulla certificazione cancelli i dati personali a norma dell’articolo 17 del regolamento (UE) 2016/679;
segnalare facilmente la parte facente affidamento sulla certificazione all’autorità nazionale di protezione dei dati competente qualora sia ricevuta una richiesta di dati personali presumibilmente illecita o sospetta;
firmare mediante firme elettroniche qualificate o apporre sigilli mediante sigilli elettronici qualificati;
scaricare, nella misura in cui ciò sia tecnicamente possibile, i dati dell’utente, gli attestati elettronici di attributi e le configurazioni;
esercitare il diritto dell’utente alla portabilità dei dati.
In particolare, i portafogli europei di identità digitale:
sostengono protocolli e interfacce comuni:
per il rilascio di dati di identificazione personale, attestati elettronici qualificati e non qualificati di attributi o certificati qualificati e non qualificati al portafoglio europeo di identità digitale;
per le parti facenti affidamento sulla certificazione ai fini della richiesta e della convalida dei dati di identificazione personale e degli attestati elettronici di attributi;
per la condivisione e la presentazione alle parti facenti affidamento sulla certificazione di dati di identificazione personale, attestati elettronici di attributi o dati correlati divulgati selettivamente online e, se del caso, in modalità offline;
affinché l’utente possa consentire l’interazione con il portafoglio europeo di identità digitale e visualizzare un marchio di fiducia UE per i portafogli di identità digitale;
per garantire in modo sicuro l’onboarding dell’utente utilizzando mezzi di identificazione elettronica a norma dell’articolo 5 bis, paragrafo 24;
per l’interazione tra i portafogli europei di identità digitale di due persone, al fine di ricevere, convalidare e condividere dati di identificazione personale e attestati elettronici di attributi in modo sicuro;
per l’autenticazione e l’identificazione delle parti facenti affidamento sulla certificazione mediante l’attuazione di meccanismi di autenticazione a norma dell’articolo 5 ter;
affinché le parti facenti affidamento sulla certificazione verifichino l’autenticità e la validità dei portafogli europei di identità digitale;
per chiedere a una parte facente affidamento sulla certificazione la cancellazione dei dati personali a norma dell’articolo 17 del regolamento (UE) 2016/679;
per segnalare una parte facente affidamento sulla certificazione all’autorità nazionale di protezione dei dati competente in caso di ricezione di una richiesta di dati presumibilmente illecita o sospetta;
per la creazione, mediante dispositivi per la creazione di firme elettroniche qualificate o sigilli elettronici qualificati, di sigilli elettronici qualificati o firme elettroniche qualificate;
non forniscono ai prestatori di servizi fiduciari che forniscono attestati elettronici di attributi alcuna informazione sull’uso di tali attestati elettronici;
garantiscono che l’identità delle parti facenti affidamento sulla certificazione possa essere autenticata e identificata mediante l’attuazione di meccanismi di autenticazione a norma dell’articolo 5 ter;
soddisfano i requisiti di cui all’articolo 8 per quanto riguarda il livello di garanzia elevato, in particolare in relazione ai requisiti per il controllo e la verifica dell’identità e alla gestione e autenticazione dei mezzi di identificazione elettronica;
nel caso di attestato elettronico di attributi con politiche di divulgazione incorporate, attuano il meccanismo appropriato per informare l’utente che la parte facente affidamento sulla certificazione o l’utente del portafoglio europeo di identità digitale che richiede tale attestato elettronico di attributi ha il permesso di accedervi;
garantiscono che i dati di identificazione personale, disponibili dal regime di identificazione elettronica nell’ambito del quale è fornito il portafoglio europeo di identità digitale, rappresentino in modo univoco la persona fisica, la persona giuridica o la persona fisica che le rappresenta e siano associati a tale portafoglio europeo di identità digitale;
offrono a tutte le persone fisiche la possibilità di firmare mediante firme elettroniche qualificate per impostazione predefinita e gratuitamente.
Fatto salvo il primo comma, lettera g), gli Stati membri possono prevedere misure proporzionate per garantire che l’uso gratuito di firme elettroniche qualificate da parte di persone fisiche sia limitato a scopi non professionali.
Gli Stati membri prevedono meccanismi di convalida gratuiti per:
garantire che sia possibile verificare l’autenticità e la validità dei portafogli europei di identità digitale;
consentire agli utenti di verificare l’autenticità e la validità dell’identità delle parti facenti affidamento sulla certificazione registrate a norma dell’articolo 5 ter.
Gli Stati membri provvedono affinché la validità del portafoglio europeo di identità digitale possa essere revocata nelle circostanze seguenti:
su esplicita richiesta dell’utente;
qualora la sicurezza del portafoglio europeo di identità digitale sia stata compromessa;
alla morte dell’utente o alla cessazione dell’attività della persona giuridica.
Il quadro tecnico del portafoglio europeo di identità digitale:
non consente ai fornitori di attestati elettronici di attributi o a qualsiasi altra parte, dopo il rilascio dell’attestato di attributi, di ottenere dati che consentano di tracciare, collegare o correlare le transazioni o il comportamento dell’utente o di venirne in altro modo a conoscenza, salvo esplicita autorizzazione dell’utente;
rende possibili tecniche di tutela della vita privata che impediscono i collegamenti, laddove l’attestato di attributi non richieda l’identificazione dell’utente.
Gli Stati membri notificano alla Commissione, senza indebito ritardo, informazioni riguardanti:
l’organismo responsabile dell’elaborazione e del mantenimento dell’elenco delle parti facenti affidamento sulla certificazione registrate che si avvalgono dei portafogli europei di identità digitale a norma dell’articolo 5 ter, paragrafo 5, e l’ubicazione di tale elenco;
gli organismi responsabili della fornitura dei portafogli europei di identità digitale a norma dell’articolo 5 bis, paragrafo 1;
gli organismi responsabili di garantire che i dati di identificazione personale siano associati al portafoglio europeo di identità digitale a norma dell’articolo 5 bis, paragrafo 5, lettera f);
il meccanismo che consente la convalida dei dati di identificazione personale di cui all’articolo 5 bis, paragrafo 5, lettera f), e dell’identità delle parti facenti affidamento sulla certificazione;
il meccanismo di convalida dell’autenticità e della validità dei portafogli europei di identità digitale.
La Commissione mette a disposizione del pubblico le informazioni notificate a norma del presente comma attraverso un canale sicuro, in forma firmata o sigillata elettronicamente e adatta al trattamento automatizzato.
Articolo 5 ter
Parti facenti affidamento sulla certificazione dei portafogli europei di identità digitale
La procedura di registrazione è efficace sotto il profilo dei costi e proporzionata al rischio. La parte facente affidamento sulla certificazione fornisce almeno:
le informazioni necessarie per autenticarsi nei portafogli europei di identità digitale, che comprendono almeno:
lo Stato membro in cui la parte facente affidamento sulla certificazione è stabilita; e
il nome della parte facente affidamento sulla certificazione e, se del caso, il suo numero di registrazione quale appare in un documento ufficiale, unitamente ai dati di identificazione di tale documento ufficiale;
i dati di contatto della parte facente affidamento sulla certificazione;
l’uso previsto dei portafogli europei di identità digitale, compresa una indicazione dei dati che la parte facente affidamento sulla certificazione deve richiedere agli utenti.
Articolo 5 quater
Certificazione dei portafogli europei di identità digitale
Articolo 5 quinquies
Pubblicazione di un elenco dei portafogli europei di identità digitale certificati
Fatto salvo l’articolo 5 bis, paragrafo 18, le informazioni fornite dagli Stati membri di cui al paragrafo 1 del presente articolo comprendono almeno:
il certificato e la relazione di valutazione della certificazione del portafoglio europeo di identità digitale certificato;
una descrizione del regime di identificazione elettronica nell’ambito del quale è fornito il portafoglio europeo di identità digitale;
il regime di vigilanza applicabile e informazioni sul regime di responsabilità per quanto riguarda la parte che fornisce il portafoglio europeo di identità digitale;
l’autorità o le autorità responsabili del regime di identificazione elettronica;
disposizioni per la sospensione o la revoca del regime di identificazione elettronica o dell’autenticazione oppure di parti compromesse dell’uno o dell’altra.
Articolo 5 sexies
Violazione della sicurezza dei portafogli europei di identità digitale
Se giustificato dalla gravità della violazione della sicurezza o della compromissione di cui al primo comma, lo Stato membro ritira i portafogli europei di identità digitale senza indebito ritardo.
Lo Stato membro informa di conseguenza gli utenti interessati, i punti di contatto unici designati a norma dell’articolo 46 quater, paragrafo 1, le parti facenti affidamento sulla certificazione e la Commissione.
Articolo 5 septies
Ricorso transfrontaliero ai portafogli europei di identità digitale
SEZIONE 2
Regimi di identificazione elettronica
Articolo 6
Riconoscimento reciproco
Ove il diritto o la prassi amministrativa nazionale richiedano l’impiego di un’identificazione elettronica mediante mezzi di identificazione e autenticazione elettroniche per accedere a un servizio prestato da un organismo del settore pubblico online in uno Stato membro, i mezzi di identificazione elettronica rilasciati in un altro Stato membro sono riconosciuti nel primo Stato membro ai fini dell’autenticazione transfrontaliera di tale servizio online, purché soddisfino le seguenti condizioni:
i mezzi di identificazione elettronica sono rilasciati nell’ambito di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9;
il livello di garanzia dei mezzi di identificazione elettronica corrisponde a un livello di garanzia pari o superiore al livello di garanzia richiesto dall’organismo del settore pubblico competente per accedere al servizio online in questione nel primo Stato membro, sempre che il livello di garanzia di tali mezzi di identificazione elettronica corrisponda al livello di garanzia significativo o elevato;
l’organismo del settore pubblico competente usa il livello di garanzia significativo o elevato in relazione all’accesso a tale servizio online.
Tale riconoscimento ha luogo non oltre 12 mesi dalla data in cui la Commissione pubblica l’elenco i di cui alla lettera a), primo comma.
Articolo 7
Ammissibilità alla notifica dei regimi di identificazione elettronica
Un regime di identificazione elettronica è ammesso alla notifica ai sensi dell’articolo 9, paragrafo 1, purché soddisfi tutte le seguenti condizioni:
i mezzi di identificazione elettronica nell’ambito del regime di identificazione elettronica sono rilasciati:
dallo Stato membro notificante;
su incarico dello Stato membro notificante; o
a titolo indipendente dallo Stato membro notificante e sono riconosciuti da tale Stato membro;
i mezzi di identificazione elettronica nell’ambito del regime di identificazione elettronica possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo del settore pubblico e che richiede l’identificazione elettronica nello Stato membro notificante;
il regime di identificazione elettronica e i mezzi di identificazione elettronica rilasciati conformemente alle sue disposizioni soddisfano i requisiti di almeno uno dei livelli di garanzia stabiliti nell’atto di esecuzione di cui all’articolo 8, paragrafo 3;
lo Stato membro notificante garantisce che i dati di identificazione personale che rappresentano unicamente la persona in questione siano attribuiti, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia definito nell’atto di esecuzione di cui all’articolo 8, paragrafo 3, alla persona fisica o giuridica di cui all’articolo 3, punto 1, al momento in cui è rilasciata l’identificazione elettronica nell’ambito di detto regime;
la parte che rilascia i mezzi di identificazione elettronica nell’ambito di detto regime assicura che i mezzi di identificazione elettronica siano attribuiti alla persona di cui alla lettera d) del presente articolo conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia definito nnell’atto di esecuzione di cui all’articolo 8, paragrafo 3;
lo Stato membro notificante garantisce la disponibilità dell’autenticazione online, per consentire alle parti facenti affidamento sulla certificazione stabilite nel territorio di un altro Stato membro di confermare i dati di identificazione personale che hanno ricevuto in forma elettronica.
Per le parti facenti affidamento sulla certificazione diverse dagli organismi del settore pubblico, lo Stato membro notificante può definire i termini di accesso a tale autenticazione. Quando l’autenticazione transfrontaliera è effettuata in relazione a un servizio online prestato da un organismo del settore pubblico, essa è fornita a titolo gratuito.
Gli Stati membri non impongono alcun requisito tecnico specifico sproporzionato alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, qualora tali requisiti impediscano o ostacolino notevolmente l’interoperabilità dei regimi di identificazione elettronica notificati;
almeno sei mesi prima della notifica di cui all’articolo 9, paragrafo 1, lo Stato membro notificante fornisce agli altri Stati membri, ai fini dell’articolo 12, paragrafo 5, una descrizione di tale regime conformemente alle modalità procedurali stabilite dagli atti di esecuzione adottati a norma dell’articolo 12, paragrafo 6;
il regime di identificazione elettronica soddisfa i requisiti definiti nell’atto di esecuzione di cui all’articolo 12, paragrafo 8.
Articolo 8
Livelli di garanzia dei regimi di identificazione elettronica
I livelli di garanzia basso, significativo e elevato soddisfano rispettivamente i seguenti criteri:
il livello di garanzia basso si riferisce a mezzi di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità;
il livello di garanzia significativo si riferisce a mezzi di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;
il livello di garanzia elevato si riferisce a un mezzo di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce riguardo all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità.
Le suddette specifiche, norme e procedure tecniche minime sono fissate facendo riferimento all’affidabilità e alla qualità dei seguenti elementi:
della procedura di controllo e verifica dell’identità delle persone fisiche o giuridiche che chiedono il rilascio dei mezzi di identificazione elettronica;
della procedura di rilascio dei mezzi di identificazione elettronica richiesti;
del meccanismo di autenticazione mediante il quale la persona fisica o giuridica usa i mezzi di identificazione elettronica per confermare la propria identità a una parte facente affidamento sulla certificazione;
dell’entità che rilascia i mezzi di identificazione elettronica;
di qualsiasi altro organismo implicato nella domanda di rilascio dei mezzi di identificazione elettronica; e
delle specifiche tecniche e di sicurezza dei mezzi di identificazione elettronica rilasciati.
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 9
Notifica
Lo Stato membro notificante rende note alla Commissione le informazioni seguenti e, senza indugio, qualsiasi loro successiva modifica:
una descrizione del regime di identificazione elettronica, con indicazione dei suoi livelli di garanzia e della o delle entità che rilasciano i mezzi di identificazione elettronica nell’ambito del regime;
il regime di vigilanza e il regime di informazioni sulla responsabilità applicabili per quanto riguarda:
la parte che rilascia i mezzi di identificazione elettronica; e
la parte che gestisce la procedura di autenticazione;
l’autorità o le autorità responsabili del regime di identificazione elettronica;
informazioni sull’entità o sulle entità che gestiscono la registrazione dei dati unici di identificazione personale;
una descrizione di come sono soddisfatti i requisiti definiti negli atti di esecuzione di cui all’articolo 12, paragrafo 8;
una descrizione dell’autenticazione di cui all’articolo 7, lettera f);
disposizioni per la sospensione o la revoca del regime di identificazione elettronica notificato o dell’autenticazione oppure di parti compromesse dell’uno o dell’altra.
Articolo 10
Violazione della sicurezza dei regimi di identificazione elettronica
La Commissione pubblica senza indebito ritardo le corrispondenti modifiche dell’elenco di cui all’articolo 9, paragrafo 2, nella Gazzetta ufficiale dell’Unione europea.
Articolo 11
Responsabilità
Articolo 11 bis
Corrispondenza dell’identità a livello transfrontaliero
Articolo 12
Interoperabilità
Il quadro di interoperabilità risponde ai seguenti criteri:
mira a essere neutrale dal punto di vista tecnologico e non comporta discriminazioni tra specifiche soluzioni tecniche nazionali per l’identificazione elettronica all’interno di uno Stato membro;
segue, ove possibile, le norme europee e internazionali;
facilita l’applicazione della tutela della vita privata e della sicurezza fin dalla progettazione;
▼M2 —————
Il quadro di interoperabilità è composto da:
un riferimento ai requisiti tecnici minimi connessi ai livelli di garanzia di cui all’articolo 8;
una mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati in base ai livelli di garanzia di cui all’articolo 8;
un riferimento ai requisiti tecnici minimi di interoperabilità;
un riferimento a un insieme minimo di dati di identificazione personale necessari a rappresentare in modo univoco una persona fisica o giuridica, una persona fisica che rappresenta un’altra persona fisica o una persona giuridica disponibile nell’ambito dei regimi di identificazione elettronica;
norme di procedura;
disposizioni per la risoluzione delle controversie; e
norme di sicurezza operativa comuni.
▼M2 —————
Articolo 12 bis
Certificazione dei regimi di identificazione elettronica
Articolo 12 ter
Accesso a componenti hardware e software
Se i fornitori di portafogli europei di identità digitale e gli emittenti di mezzi di identificazione elettronica notificati che agiscono a titolo commerciale o professionale e utilizzano i servizi di piattaforma di base definiti all’articolo 2, punto 2, del regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio ( 7 ) ai fini della fornitura, agli utenti finali, di servizi del portafoglio europeo di identità digitale e di mezzi di identificazione elettronica, o nello svolgimento di tale attività, sono utenti commerciali ai sensi dell’articolo 2, punto 21, di tale regolamento, i gatekeeper consentono loro, in particolare, l’effettiva interoperabilità, nonché l’accesso, ai fini dell’interoperabilità, allo stesso sistema operativo e alle stesse componenti hardware o software. Tale interoperabilità effettiva e tale accesso sono consentiti a titolo gratuito e indipendentemente dal fatto che le componenti hardware o software che sono disponibili per il gatekeeper, o da esso utilizzati, al momento della fornitura di tali servizi, siano parte del sistema operativo, ai sensi dell’articolo 6, paragrafo 7, del regolamento (UE) 2022/1925. Il presente articolo non pregiudica l’articolo 5 bis, paragrafo 14, del presente regolamento.
CAPO III
SERVIZI FIDUCIARI
SEZIONE 1
Disposizioni generali
Articolo 13
Responsabilità e onere della prova
L’onere di dimostrare il dolo o la negligenza di un prestatore di servizi fiduciari non qualificato ricade sulla persona fisica o giuridica che denuncia il danno di cui al primo comma.
Si presume il dolo o la negligenza da parte di un prestatore di servizi fiduciari qualificato, salvo che questi dimostri che il danno di cui al primo comma si è verificato senza suo dolo o sua negligenza.
Articolo 14
Aspetti internazionali
Gli atti di esecuzione di cui al primo comma sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 15
Accessibilità per le persone con disabilità ed esigenze particolari
La fornitura di mezzi di identificazione elettronica, di servizi fiduciari e di prodotti destinati all’utente finale impiegati per la prestazione di tali servizi è resa disponibile in un linguaggio semplice e comprensibile, conformemente alla Convenzione delle Nazioni Unite sui diritti delle persone con disabilità e ai requisiti di accessibilità di cui alla direttiva (UE) 2019/882, recando in tal modo beneficio anche alle persone con limitazioni funzionali, come le persone anziane, e alle persone con un accesso limitato alle tecnologie digitali.
Articolo 16
Sanzioni
Gli Stati membri provvedono affinché tali violazioni del presente regolamento da parte di prestatori di servizi fiduciari qualificati e non qualificati siano soggette a sanzioni amministrative pari a un importo massimo di almeno:
EUR 5 000 000 se il prestatore di servizi fiduciari è una persona fisica; oppure
se il prestatore di servizi fiduciari è una persona giuridica, EUR 5 000 000 o pari all’1 % del fatturato mondiale totale annuo dell’impresa a cui apparteneva il prestatore di servizi fiduciari nell’esercizio precedente l’anno in cui si è verificata la violazione, se superiore.
SEZIONE 2
Servizi fiduciari non qualificati
▼M2 —————
▼M1 —————
Articolo 19 bis
Requisiti per i prestatori di servizi fiduciari non qualificati
Un prestatore di servizi fiduciari non qualificato che presta servizi fiduciari non qualificati:
dispone di politiche adeguate e adotta misure corrispondenti per la gestione dei rischi giuridici, commerciali, operativi e di altro tipo, sia diretti che indiretti, per la prestazione del servizio fiduciario non qualificato, le quali, fatto salvo l’articolo 21 della direttiva (UE) 2022/2555, comprendono almeno misure relative:
alla registrazione a un servizio fiduciario e alle relative procedure di onboarding;
ai controlli procedurali o amministrativi necessari per prestare servizi fiduciari;
alla gestione e all’attuazione dei servizi fiduciari;
alla notifica, senza indebito ritardo ma in ogni caso entro 24 ore dall’essere venuto a conoscenza di violazioni della sicurezza o perturbazioni, all’organismo di vigilanza, alle persone interessate identificabili, al pubblico se è di pubblico interesse e, ove applicabile, ad altre autorità competenti interessate, di tutte le eventuali violazioni della sicurezza o perturbazioni connesse alla prestazione del servizio o all’attuazione delle misure di cui alla lettera a), punti i), ii) o iii), aventi un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.
SEZIONE 3
Servizi fiduciari qualificati
Articolo 20
Vigilanza dei prestatori di servizi fiduciari qualificati
Qualora tale prestatore non rimedi e, ove applicabile, non rispetti il termine fissato dall’organismo di vigilanza, quest’ultimo, se ciò è giustificato in particolare dalla portata, dalla durata e dalle conseguenze di tale inadempienza, revoca la qualifica di tale prestatore o del servizio interessato da esso prestato.
Entro il 21 maggio 2025 la Commissione, mediante atti di esecuzione, stabilisce un elenco di norme di riferimento e, se necessario, stabilisce specifiche e procedure riguardo a quanto segue:
l’accreditamento degli organismi di valutazione della conformità e la relazione di valutazione della conformità di cui al paragrafo 1;
i requisiti di verifica in base ai quali gli organismi di valutazione della conformità effettueranno le loro valutazioni della conformità, comprese valutazioni composite, dei prestatori di servizi fiduciari qualificati di cui al paragrafo 1;
i regimi di valutazione della conformità per l’esecuzione della valutazione della conformità dei prestatori di servizi fiduciari qualificati da parte degli organismi di valutazione della conformità e per la presentazione della relazione di cui al paragrafo 1.
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 21
Avviamento di un servizio fiduciario qualificato
Al fine di verificare il rispetto dei requisiti di cui all’articolo 21 della direttiva (UE) 2022/2555 da parte del prestatore di servizi fiduciari, l’organismo di vigilanza chiede alle autorità competenti designate o stabilite a norma dell’articolo 8, paragrafo 1, di tale direttiva di svolgere azioni di vigilanza in tal senso e di fornire informazioni sui risultati senza indebito ritardo e in ogni caso entro due mesi dal ricevimento della richiesta. Se la verifica non si è conclusa entro due mesi dalla notifica, tali autorità competenti ne informano l’organismo di vigilanza specificando i motivi del ritardo e il periodo necessario per concludere la verifica.
Se conclude che il prestatore di servizi fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al presente regolamento, l’organismo di vigilanza concede la qualifica al prestatore di servizi fiduciari e ai servizi fiduciari da esso prestati e informa l’organismo di cui all’articolo 22, paragrafo 3, affinché aggiorni gli elenchi di fiducia di cui all’articolo 22, paragrafo 1, entro tre mesi dalla notifica conformemente al paragrafo 1 del presente articolo.
Se la verifica non si è conclusa entro tre mesi dalla notifica, l’organismo di vigilanza ne informa il prestatore di servizi fiduciari specificando i motivi del ritardo e il periodo necessario per concludere la verifica.
Articolo 22
Elenchi di fiducia
Articolo 23
Marchio di fiducia UE per i servizi fiduciari qualificati
Articolo 24
Requisiti per i prestatori di servizi fiduciari qualificati
La verifica dell’identità di cui al paragrafo 1 è effettuata, con mezzi adeguati, dal prestatore di servizi fiduciari qualificato, direttamente o tramite un terzo, sulla base di uno dei metodi seguenti o, ove necessario, di una combinazione degli stessi, conformemente agli atti di esecuzione di cui al paragrafo 1 quater:
mediante il portafoglio europeo di identità digitale o un mezzo di identificazione elettronica notificato che rispetta i requisiti di cui all’articolo 8 per quanto riguarda il livello di garanzia elevato;
mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato conformemente alla lettera a), c) o d);
mediante altri metodi di identificazione che garantiscono l’identificazione della persona con un elevato livello di sicurezza, la conformità dei quali è confermata da un organismo di valutazione della conformità;
mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica, sulla base di adeguate prove e procedure, conformemente al diritto nazionale.
La verifica degli attributi di cui al paragrafo 1 è effettuata, con mezzi adeguati, dal prestatore di servizi fiduciari qualificato, direttamente o tramite un terzo, sulla base di uno dei metodi seguenti o una combinazione degli stessi, ove necessario, conformemente agli atti di esecuzione di cui al paragrafo 1 quater:
mediante il portafoglio europeo di identità digitale o un mezzo di identificazione elettronica notificato che rispetta i requisiti di cui all’articolo 8 per quanto riguarda il livello di garanzia elevato;
mediante un certificato di una firma elettronica qualificata o di un sigillo elettronico qualificato rilasciato in conformità del paragrafo 1 bis, lettera a), c) o d);
mediante un attestato elettronico di attributi qualificato;
mediante altri metodi che garantiscono la verifica degli attributi con un elevato livello di sicurezza, la conformità dei quali è confermata da un organismo di valutazione della conformità;
mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica, sulla base di adeguate prove e procedure, conformemente al diritto nazionale.
Un prestatore di servizi fiduciari qualificato che presta servizi fiduciari qualificati:
informa l’organismo di vigilanza almeno un mese prima dell’attuazione di qualsiasi modifica nella prestazione dei suoi servizi fiduciari qualificati o con almeno tre mesi di anticipo qualora intenda cessare tali attività.
impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali;
riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale;
prima di avviare una relazione contrattuale informa, in modo chiaro, completo e facilmente accessibile, in uno spazio accessibile al pubblico e individualmente, chiunque intenda utilizzare un servizio fiduciario qualificato in merito ai termini e alle condizioni precisi per l’utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo;
utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano, anche ricorrendo a tecniche crittografiche adeguate;
utilizza sistemi affidabili per memorizzare i dati a esso forniti, in modo verificabile, affinché:
siano accessibili alla consultazione del pubblico soltanto con il consenso della persona a cui i dati fanno riferimento;
soltanto le persone autorizzate possano effettuare inserimenti e modifiche ai dati memorizzati;
l’autenticità dei dati sia verificabile;
fatto salvo l’articolo 21 della direttiva (UE) 2022/2555, dispone di politiche adeguate e adotta misure corrispondenti per la gestione dei rischi giuridici, commerciali, operativi e di altro tipo, sia diretti che indiretti, per la prestazione del servizio fiduciario qualificato, comprese almeno misure connesse ai seguenti aspetti:
registrazione a un servizio e relative procedure di onboarding;
controlli procedurali o amministrativi;
gestione e attuazione dei servizi;
senza indebito ritardo ma in ogni caso entro 24 ore dall’incidente, notifica all’organismo di vigilanza, alle persone interessate identificabili, agli altri organismi competenti interessati se applicabile e, su richiesta dell’organismo di vigilanza, al pubblico se è di pubblico interesse tutte le violazioni della sicurezza o perturbazioni connesse alla prestazione del servizio o all’attuazione delle misure di cui alla lettera f bis), punti i), ii) o iii), aventi un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi;
adotta misure adeguate contro la falsificazione, il furto o l’appropriazione indebita di dati o contro l’atto, compiuto senza diritto, di cancellarli, alterarli o renderli inaccessibili;
registra e mantiene accessibili per tutto il tempo necessario dopo la cessazione delle attività del prestatore di servizi fiduciari qualificato tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore di servizi fiduciari qualificato, a fini di produzione di prove nell’ambito di procedimenti giudiziari e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche;
dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 46 ter, paragrafo 4, lettera i);
▼M2 —————
se i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati, istituiscono una banca dati dei certificati aggiornata.
L’organismo di vigilanza può chiedere informazioni in aggiunta alle informazioni notificate a norma del primo comma, lettera a), o il risultato di una valutazione della conformità e può subordinare a condizioni la concessione dell’autorizzazione ad attuare le modifiche previste ai servizi fiduciari qualificati. Se la verifica non si è conclusa entro tre mesi dalla notifica, l’organismo di vigilanza ne informa il prestatore di servizi fiduciari specificando i motivi del ritardo e il periodo necessario per concludere la verifica.
Articolo 24 bis
Riconoscimento dei servizi fiduciari qualificati
SEZIONE 4
Firme elettroniche
Articolo 25
Effetti giuridici delle firme elettroniche
▼M2 —————
Articolo 26
Requisiti di una firma elettronica avanzata
Una firma elettronica avanzata soddisfa i seguenti requisiti:
è connessa unicamente al firmatario;
è idonea a identificare il firmatario;
è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e
è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.
Articolo 27
Firme elettroniche nei servizi pubblici
▼M2 —————
Articolo 28
Certificati qualificati di firme elettroniche
Fatte salve le condizioni seguenti, gli Stati membri possono fissare norme nazionali in merito alla sospensione temporanea di un certificato qualificato di firma elettronica:
in caso di temporanea sospensione di un certificato qualificato di firma elettronica, il certificato perde la sua validità per il periodo della sospensione;
il periodo di sospensione è indicato chiaramente nella banca dati dei certificati e la situazione di sospensione è visibile, durante il periodo di sospensione, dal servizio che fornisce le informazioni sulla situazione del certificato.
Articolo 29
Requisiti relativi ai dispositivi per la creazione di una firma elettronica qualificata
Articolo 29 bis
Requisiti relativi ai servizi qualificati per la gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza
La gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza come servizio qualificato è effettuata solo da un prestatore di servizi fiduciari qualificato che:
genera o gestisce dati per la creazione di una firma elettronica per conto del firmatario;
fatto salvo l’allegato II, punto 1, lettera d), duplica i dati per la creazione di una firma elettronica solo a fini di back-up, a condizione che siano soddisfatti i requisiti seguenti:
la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;
il numero di insiemi di dati duplicati non deve eccedere il minimo necessario per garantire la continuità del servizio;
soddisfa i requisiti indicati nella relazione di certificazione dello specifico dispositivo qualificato per la creazione di una firma elettronica a distanza, rilasciata a norma dell’articolo 30.
Articolo 30
Certificazione dei dispositivi per la creazione di una firma elettronica qualificata
La certificazione di cui al paragrafo 1 si basa su uno dei seguenti elementi:
un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco redatto conformemente al secondo comma; o
un processo diverso da quello di cui alla lettera a), a condizione che utilizzi livelli di sicurezza comparabili e che l’organismo pubblico o privato di cui al paragrafo 1 notifichi tale processo alla Commissione. Detto processo può essere utilizzato solo in assenza delle norme di cui alla lettera a) ovvero quando è in corso un processo di valutazione di sicurezza di cui alla lettera a).
La Commissione adotta, mediante atti di esecuzione, un elenco di norme per la valutazione di sicurezza dei prodotti delle tecnologie dell’informazione di cui alla lettera a). Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 48, paragrafo 2.
Articolo 31
Pubblicazione di un elenco di dispositivi per la creazione di una firma elettronica qualificata certificati
Articolo 32
Requisiti per la convalida delle firme elettroniche qualificate
Il processo di convalida di una firma elettronica qualificata conferma la validità di una firma elettronica qualificata purché:
il certificato associato alla firma fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all’allegato I;
il certificato qualificato sia stato rilasciato da un prestatore di servizi fiduciari qualificato e fosse valido al momento della firma;
i dati di convalida della firma corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione;
l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione;
l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo era utilizzato al momento della firma;
la firma elettronica sia stata creata da un dispositivo per la creazione di una firma elettronica qualificata;
l’integrità dei dati firmati non sia stata compromessa;
i requisiti di cui all’articolo 26 fossero soddisfatti al momento della firma;
Si presume che i requisiti di cui al primo comma del presente paragrafo siano stati rispettati ove la convalida delle firme elettroniche qualificate sia conforme alle norme, alle specifiche e alle procedure di cui al paragrafo 3
Articolo 32 bis
Requisiti per la convalida delle firme elettroniche avanzate basate su certificati qualificati
Il processo di convalida di una firma elettronica avanzata basata su un certificato qualificato conferma la validità di una firma elettronica avanzata basata su un certificato qualificato a condizione che:
il certificato associato alla firma fosse, al momento della firma, un certificato qualificato di firma elettronica conforme all’allegato I;
il certificato qualificato sia stato rilasciato da un prestatore di servizi fiduciari qualificato e fosse valido al momento della firma;
i dati di convalida della firma corrispondano ai dati trasmessi alla parte facente affidamento sulla certificazione;
l’insieme unico di dati che rappresenta il firmatario nel certificato sia correttamente trasmesso alla parte facente affidamento sulla certificazione;
l’impiego di un eventuale pseudonimo sia chiaramente indicato alla parte facente affidamento sulla certificazione, se uno pseudonimo era stato utilizzato al momento della firma;
l’integrità dei dati firmati non sia stata compromessa;
i requisiti di cui all’articolo 26 fossero soddisfatti al momento della firma.
Articolo 33
Servizio di convalida qualificato delle firme elettroniche qualificate
Un servizio di convalida qualificato delle firme elettroniche qualificate può essere prestato soltanto da un prestatore di servizi fiduciari qualificato che:
fornisce la convalida a norma dell’articolo 32, paragrafo 1; e
consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato.
Articolo 34
Servizio di conservazione qualificato delle firme elettroniche qualificate
SEZIONE 5
Sigilli elettronici
Articolo 35
Effetti giuridici dei sigilli elettronici
▼M2 —————
Articolo 36
Requisiti dei sigilli elettronici avanzati
Un sigillo elettronico avanzato soddisfa i seguenti requisiti:
è connesso unicamente al creatore del sigillo;
è idoneo a identificare il creatore del sigillo;
è creato mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, usare sotto il proprio controllo per creare sigilli elettronici; e
è collegato ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati.
Articolo 37
Sigilli elettronici nei servizi pubblici
▼M2 —————
Articolo 38
Certificati qualificati di sigilli elettronici
Fatte salve le condizioni seguenti, gli Stati membri possono fissare norme nazionali in merito alla sospensione temporanea dei certificati qualificati di sigilli elettronici:
in caso di temporanea sospensione di un certificato qualificato di sigillo elettronico, il certificato perde la sua validità per il periodo della sospensione;
il periodo di sospensione è indicato chiaramente nella banca dati dei certificati e la situazione di sospensione è visibile, durante il periodo di sospensione, dal servizio che fornisce le informazioni sulla situazione del certificato.
Articolo 39
Dispositivi per la creazione di un sigillo elettronico qualificato
Articolo 39 bis
Requisiti relativi ai servizi qualificati per la gestione di dispositivi qualificati per la creazione di un sigillo elettronico a distanza
L’articolo 29 bis si applica mutatis mutandis ai servizi qualificati per la gestione di dispositivi qualificati per la creazione di un sigillo elettronico a distanza.
Articolo 40
Convalida e conservazione dei sigilli elettronici qualificati
Gli articoli 32, 33 e 34 si applicano mutatis mutandis alla convalida e alla conservazione dei sigilli elettronici qualificati.
Articolo 40 bis
Requisiti per la convalida dei sigilli elettronici avanzati basati su certificati qualificati
L’articolo 32 bis si applica mutatis mutandis alla convalida dei sigilli elettronici avanzati basati su certificati qualificati.
SEZIONE 6
Validazione temporale elettronica
Articolo 41
Effetti giuridici della validazione temporale elettronica
▼M2 —————
Articolo 42
Requisiti per la validazione temporale elettronica qualificata
Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti:
collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati;
si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato; e
è apposta mediante una firma elettronica avanzata o sigillata con un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente.
SEZIONE 7
Servizi elettronici di recapito certificato
Articolo 43
Effetti giuridici di un servizio elettronico di recapito certificato
Articolo 44
Requisiti per i servizi elettronici di recapito certificato qualificati
I servizi elettronici di recapito certificato qualificati soddisfano i requisiti seguenti:
sono forniti da uno o più prestatori di servizi fiduciari qualificati;
garantiscono con un elevato livello di sicurezza l’identificazione del mittente;
garantiscono l’identificazione del destinatario prima della trasmissione dei dati;
l’invio e la ricezione dei dati sono garantiti da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;
qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli è chiaramente indicata al mittente e al destinatario dei dati stessi;
la data e l’ora di invio e di ricezione e qualsiasi modifica dei dati sono indicate da una validazione temporale elettronica qualificata.
Qualora i dati siano trasferiti fra due o più prestatori di servizi fiduciari qualificati, i requisiti di cui alle lettere da a) a f) si applicano a tutti i prestatori di servizi fiduciari qualificati.
SEZIONE 8
Autenticazione dei siti web
Articolo 45
Requisiti per i certificati qualificati di autenticazione di siti web
Articolo 45 bis
Misure precauzionali in materia di cibersicurezza
SEZIONE 9
Attestati elettronici di attributi
Articolo 45 ter
Effetti giuridici degli attestati elettronici di attributi
Articolo 45 quater
Attestati elettronici di attributi nei servizi pubblici
Qualora il diritto nazionale richieda l’identificazione elettronica mediante un mezzo di identificazione e di autenticazione elettroniche per accedere a un servizio online prestato da un organismo del settore pubblico, i dati di identificazione personale contenuti nell’attestato elettronico di attributi non sostituiscono l’identificazione elettronica mediante mezzi di identificazione e autenticazione elettroniche finalizzati all’identificazione elettronica, a meno che ciò non sia specificamente consentito dallo Stato membro . In tal caso sono accettati anche gli attestati elettronici qualificati di attributi provenienti da altri Stati membri.
Articolo 45 quinquies
Requisiti per gli attestati elettronici qualificati di attributi
Articolo 45 sexies
Verifica degli attributi rispetto a fonti autentiche
Articolo 45 septies
Requisiti per gli attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto
Un attestato elettronico di attributi rilasciato da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto soddisfa i requisiti seguenti:
i requisiti di cui all’allegato VII;
il certificato qualificato a supporto della firma elettronica qualificata o del sigillo elettronico qualificato dell’organismo del settore pubblico di cui all’articolo 3, punto 46, identificato come l’emittente di cui all’allegato VII, lettera b), contenente una serie specifica di attributi certificati in una forma adatta al trattamento automatizzato in cui:
si indica che l’organismo emittente è stabilito conformemente al diritto dell’Unione o nazionale come il responsabile della fonte autentica in base alla quale è rilasciato l’attestato elettronico di attributi oppure come l’organismo designato ad agire per suo conto;
si fornisce un insieme di dati che rappresenta senza ambiguità la fonte autentica di cui al punto i); e
si individua il diritto dell’Unione o nazionale di cui al punto i).
Articolo 45 octies
Rilascio di attestati elettronici di attributi ai portafogli europei di identità digitale
Articolo 45 nonies
Norme supplementari per la prestazione di servizi di attestazione elettronica di attributi
SEZIONE 10
Servizi di archiviazione elettronica
Articolo 45 decies
Effetti giuridici dei servizi di archiviazione elettronica
Articolo 45 undecies
Requisiti per i servizi di archiviazione elettronica qualificati
I servizi di archiviazione elettronica qualificati soddisfano i requisiti seguenti:
sono forniti da prestatori di servizi fiduciari qualificati;
utilizzano procedure e tecnologie in grado di garantire la durabilità e la leggibilità dei dati elettronici e dei documenti elettronici oltre il periodo di validità tecnologica e almeno per tutto il periodo di conservazione legale o contrattuale, preservandone nel contempo l’integrità e l’esattezza dell’origine;
assicurano che tali dati elettronici e tali documenti elettronici siano conservati in modo tale da essere protetti dal rischio di perdita e alterazione, ad eccezione delle modifiche riguardanti il loro supporto o il loro formato elettronico;
consentono alle parti autorizzate facenti affidamento sulla certificazione di ricevere una relazione in un modo automatizzato in cui si conferma che i dati elettronici e i documenti elettronici consultati da un archivio elettronico qualificato godono della presunzione di integrità dei dati dall’inizio del periodo di conservazione fino al momento della consultazione.
La relazione di cui alla lettera d) del primo comma è fornita in modo affidabile ed efficiente e reca la firma elettronica qualificata o il sigillo elettronico qualificato del prestatore del servizio di archiviazione elettronica qualificato.
SEZIONE 11
Registri elettronici
Articolo 45 duodecies
Effetti giuridici dei registri elettronici
Articolo 45 terdecies
Requisiti per i registri elettronici qualificati
I registri elettronici qualificati soddisfano i requisiti seguenti:
sono creati e gestiti da uno o più prestatori di servizi fiduciari qualificati;
stabiliscono l’origine delle registrazioni di dati nel registro;
garantiscono l’ordine cronologico sequenziale univoco delle registrazioni di dati nel registro;
registrano i dati in modo tale che sia possibile individuare immediatamente qualsiasi successiva modifica degli stessi, garantendone l’integrità nel tempo.
CAPO IV
DOCUMENTI ELETTRONICI
Articolo 46
Effetti giuridici dei documenti elettronici
A un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.
CAPO IV bis
QUADRO DI GOVERNANCE
Articolo 46 bis
Vigilanza sul quadro relativo al portafoglio europeo di identità digitale
Agli organismi di vigilanza designati a norma del primo comma sono conferiti i poteri necessari e le risorse adeguate per l’esercizio dei loro compiti in modo efficace, efficiente e indipendente.
Il ruolo degli organismi di vigilanza designati a norma del paragrafo 1 è il seguente:
vigilare sui fornitori di portafogli europei di identità digitale stabiliti nello Stato membro designante e assicurarsi, mediante attività di vigilanza ex ante e ex post, che tali fornitori e i portafogli europei di identità digitale da essi forniti rispondano ai requisiti di cui al presente regolamento;
intervenire, se necessario, in relazione ai fornitori di portafogli europei di identità digitale stabiliti nel territorio dello Stato membro designante, mediante attività di vigilanza ex post, qualora siano informati che i fornitori o i portafogli europei di identità digitale da essi forniti violano il presente regolamento.
I compiti degli organismi di vigilanza designati a norma del paragrafo 1 comprendono, in particolare, i seguenti:
cooperare con altri organismi di vigilanza e assisterli a norma degli articoli 46 quater e 46 sexies;
chiedere le informazioni necessarie per monitorare la conformità al presente regolamento;
informare le pertinenti autorità competenti degli Stati membri interessati, designate o istituite a norma dell’articolo 8, paragrafo 1, della direttiva (UE) 2022/2555, in merito a violazioni significative della sicurezza o a perdite di integrità di cui vengono a conoscenza nello svolgimento dei loro compiti e, in caso di violazione significativa della sicurezza o di perdita di integrità che riguarda altri Stati membri, informare il punto di contatto unico dello Stato membro interessato, designato o istituito a norma dell’articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, e i punti di contatto unici degli altri Stati membri interessati, designati a norma dell’articolo 46 quater, paragrafo 1, del presente regolamento, nonché informare il pubblico o imporre al fornitore del portafoglio europeo di identità digitale di farlo, ove l’organismo di vigilanza accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico;
effettuare ispezioni in loco e supervisione a distanza;
imporre ai fornitori di portafogli europei di identità digitale di rimediare a qualsiasi mancato soddisfacimento dei requisiti di cui al presente regolamento;
sospendere o cancellare la registrazione e l’inclusione delle parti facenti affidamento sulla certificazione nel meccanismo di cui all’articolo 5 ter, paragrafo 7, in caso di uso illecito o fraudolento del portafoglio europeo di identità digitale;
cooperare con le competenti autorità di controllo istituite a norma dell’articolo 51 del regolamento (UE) 2016/679, in particolare informandole senza indebito ritardo laddove siano state rilevate violazioni delle norme in materia di protezione dei dati personali e in merito alle violazioni della sicurezza che sembrano costituire violazioni dei dati personali.
Articolo 46 ter
Vigilanza dei servizi fiduciari
Agli organismi di vigilanza designati a norma del primo comma sono conferiti i poteri necessari e le risorse adeguate per l’esercizio dei loro compiti.
Il ruolo degli organismi di vigilanza designati a norma del paragrafo 1 è il seguente:
vigilare sui prestatori di servizi fiduciari qualificati stabiliti nel territorio dello Stato membro designante e assicurarsi, mediante attività di vigilanza ex ante e ex post, che essi e i servizi fiduciari qualificati da essi prestati rispondano ai requisiti di cui al presente regolamento;
adottare misure, ove necessario, in relazione a prestatori di servizi fiduciari non qualificati stabiliti nel territorio dello Stato membro designante, mediante attività di vigilanza ex post, qualora siano informati che tali prestatori di servizi fiduciari non qualificati o i servizi fiduciari da essi prestati presumibilmente non soddisfano i requisiti stabiliti dal presente regolamento.
I compiti dell’organismo di vigilanza designato a norma del paragrafo 1 comprendono, in particolare, i seguenti:
informare le pertinenti autorità competenti degli Stati membri interessati, designate o istituite a norma dell’articolo 8, paragrafo 1, della direttiva (UE) 2022/2555, in merito a violazioni significative della sicurezza o a perdite di integrità di cui venga a conoscenza nello svolgimento dei suoi compiti e, in caso di violazione significativa della sicurezza o di perdita di integrità che riguarda altri Stati membri, informare il punto di contatto unico dello Stato membro interessato, designato o istituito a norma dell’articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, e i punti di contatto unici degli altri Stati membri interessati, designati a norma dell’articolo 46 quater, paragrafo 1, del presente regolamento, nonché informare il pubblico o imporre al prestatore di servizi fiduciari di farlo, ove l’organismo di vigilanza accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico;
cooperare con altri organismi di vigilanza e assisterli a norma degli articoli 46 quater e 46 sexies;
analizzare le relazioni di valutazione della conformità di cui all’articolo 20, paragrafo 1, e all’articolo 21, paragrafo 1;
riferire alla Commissione in merito alle sue principali attività a norma del paragrafo 6 del presente articolo;
svolgere verifiche o chiedere a un organismo di valutazione della conformità di effettuare una valutazione di conformità dei prestatori di servizi fiduciari qualificati a norma dell’articolo 20, paragrafo 2;
cooperare con le competenti autorità di controllo istituite a norma dell’articolo 51 del regolamento (UE) 2016/679, in particolare informandole senza indebito ritardo laddove siano state rilevate violazioni delle norme in materia di protezione dei dati personali e in merito alle violazioni della sicurezza che sembrano costituire violazioni dei dati personali;
concedere la qualifica ai prestatori di servizi fiduciari e ai servizi da essi prestati e revocare tale qualifica a norma degli articoli 20 e 21;
informare l’organismo responsabile dell’elenco nazionale di fiducia di cui all’articolo 22, paragrafo 3, in merito alle proprie decisioni di concedere o revocare la qualifica, salvo se tale organismo è anche l’organismo di vigilanza designato a norma del paragrafo 1 del presente articolo;
verificare l’esistenza e la corretta applicazione delle disposizioni sui piani di cessazione qualora il prestatore di servizi fiduciari qualificato cessi le sue attività, inclusi i modi in cui le informazioni sono mantenute accessibili a norma dell’articolo 24, paragrafo 2, lettera h);
imporre ai prestatori di servizi fiduciari di rimediare a qualsiasi mancato soddisfacimento dei requisiti di cui al presente regolamento;
indagare sulle dichiarazioni presentate dai fornitori di browser web a norma dell’articolo 45 bis e intervenire se necessario.
Articolo 46 quater
Punti di contatto unici
Articolo 46 quinquies
Assistenza reciproca
L’assistenza reciproca implica almeno quanto segue:
l’organismo di vigilanza che applica misure di vigilanza e di esecuzione in uno Stato membro informa e consulta l’organismo di vigilanza dell’altro Stato membro interessato;
un organismo di vigilanza può chiedere all’organismo di vigilanza di un altro Stato membro interessato di adottare misure di vigilanza o di esecuzione, anche, per esempio, mediante richieste di effettuare ispezioni connesse alle relazioni di valutazione della conformità di cui agli articoli 20 e 21 per quanto riguarda la prestazione di servizi fiduciari;
se del caso, gli organismi di vigilanza possono svolgere indagini congiunte con gli organismi di vigilanza di altri Stati membri.
Le disposizioni e le procedure per le indagini congiunte di cui al primo comma, sono convenute e stabilite dagli Stati membri interessati conformemente al rispettivo diritto nazionale.
L’organismo di vigilanza cui è presentata una richiesta di assistenza può rifiutare tale richiesta per uno dei seguenti motivi:
l’assistenza richiesta non è proporzionata alle attività di vigilanza dell’organismo di vigilanza svolte a norma degli articoli 46 bis e 46 ter;
l’organismo di vigilanza non è competente a fornire l’assistenza richiesta;
fornire l’assistenza richiesta sarebbe incompatibile con il presente regolamento.
Articolo 46 sexies
Gruppo di cooperazione per l’identità digitale europea
Il gruppo di cooperazione svolge i compiti seguenti:
scambia consulenze e coopera con la Commissione in materia di iniziative strategiche emergenti nel settore dei portafogli di identità digitale, dei mezzi di identificazione elettronica e dei servizi fiduciari;
fornisce consulenza alla Commissione, se del caso, nella fase precoce dell’elaborazione di progetti di atti delegati e di atti esecuzione da adottare a norma del presente regolamento;
al fine di sostenere gli organismi di vigilanza nell’attuazione delle disposizioni del presente regolamento:
scambia migliori pratiche e informazioni sull’attuazione delle disposizioni del presente regolamento;
valuta i pertinenti sviluppi nei settori del portafoglio di identità digitale, dell’identificazione elettronica e dei servizi fiduciari;
organizza riunioni congiunte con le pertinenti parti interessate di tutta l’Unione per discutere delle attività svolte dal gruppo di cooperazione e raccoglie contributi sulle sfide strategiche emergenti;
con il sostegno dell’ENISA, scambia opinioni, migliori pratiche e informazioni su questioni pertinenti in materia di cibersicurezza in relazioni ai portafogli europei di identità digitale, ai regimi di identificazione elettronica e ai servizi fiduciari;
scambia migliori pratiche in relazione allo sviluppo e all’attuazione di politiche in materia di notifica delle violazioni della sicurezza e misure comuni di cui agli articoli 5 sexies e 10;
organizza riunioni congiunte con il gruppo di cooperazione NIS istituito a norma dell’articolo 14, paragrafo 1, della direttiva (UE) 2022/2555 per scambiare informazioni pertinenti in relazione a minacce informatiche, incidenti e vulnerabilità associati ai servizi fiduciari e all’identificazione elettronica, iniziative di sensibilizzazione, formazioni, esercitazioni e competenze, sviluppo delle capacità, capacità in materia di norme e specifiche tecniche, nonché norme e specifiche tecniche;
discute, su richiesta di un organismo di vigilanza, delle richieste specifiche di assistenza reciproca di cui all’articolo 46 quinquies;
facilita lo scambio di informazioni tra gli organismi di vigilanza fornendo orientamenti sugli aspetti organizzativi e sulle procedure per l’assistenza reciproca di cui all’articolo 46 quinquies;
organizza valutazioni tra pari dei regimi di identificazione elettronica da notificare ai sensi del presente regolamento.
CAPO V
DELEGA DI POTERE E DISPOSIZIONI DI ESECUZIONE
Articolo 47
Esercizio della delega
Articolo 48
Procedura di comitato
CAPO VI
DISPOSIZIONI FINALI
Articolo 48 bis
Obblighi di comunicazione
Le statistiche raccolte conformemente al paragrafo 1 comprendono:
il numero di persone fisiche e giuridiche in possesso di un portafoglio europeo di identità digitale valido;
il numero e il tipo di servizi che accettano l’uso dei portafogli europei di identità digitale;
il numero di reclami presentati dagli utenti e di incidenti relativi alla protezione dei consumatori o dei dati relativi alle parti facenti affidamento sulla certificazione e ai servizi fiduciari qualificati;
una relazione di sintesi che include dati riguardanti gli incidenti che impediscono l’uso dei portafogli europei di identità digitale;
una sintesi degli incidenti di sicurezza significativi, delle violazioni dei dati e degli utenti interessati dei portafogli europei di identità digitale o dei servizi fiduciari qualificati.
Articolo 49
Riesame
Articolo 50
Abrogazione
Articolo 51
Misure transitorie
Articolo 52
Entrata in vigore
Il presente regolamento si applica a decorrere dal 1o luglio 2016, a eccezione delle seguenti disposizioni:
articolo 8, paragrafo 3, articolo 9, paragrafo 5, articolo 12, paragrafi da 2 a 9, articolo 17, paragrafo 8, articolo 19, paragrafo 4, articolo 20, paragrafo 4, articolo 21, paragrafo 4, articolo 22, paragrafo 5, articolo 23, paragrafo 3, articolo 24, paragrafo 5, articolo 27, paragrafi 4 e 5, articolo 28, paragrafo 6, articolo 29, paragrafo 2, articolo 30, paragrafi 3 e 4, articolo 31, paragrafo 3, articolo 32, paragrafo 3, articolo 33, paragrafo 2, articolo 34, paragrafo 2, articolo 37, paragrafi 4 e 5, articolo 38, paragrafo 6, articolo 42, paragrafo 2, articolo 44, paragrafo 2, articolo 45, paragrafo 2, articolo 47 e articolo 48, che si applicano dal 17 settembre 2014;
l’articolo 7, l’articolo 8, paragrafi 1 e 2, gli articoli 9, 10, 11 e l’articolo 12, paragrafo 1, si applicano a decorrere dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8;
l’articolo 6 si applica a decorrere da tre anni dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
ALLEGATO I
REQUISITI PER I CERTIFICATI QUALIFICATI DI FIRMA ELETTRONICA
I certificati qualificati di firma elettronica contengono:
un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma elettronica;
un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
è chiaramente indicato almeno il nome del firmatario, o uno pseudonimo, qualora sia usato uno pseudonimo;
i dati di convalida della firma elettronica che corrispondono ai dati per la creazione di una firma elettronica;
l’indicazione dell’inizio e della fine del periodo di validità del certificato;
il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;
la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;
il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;
le informazioni relative alla validità del certificato qualificato o l’ubicazione dei servizi cui è possibile rivolgersi per informarsi in merito;
qualora i dati per la creazione di una firma elettronica connessi ai dati di convalida della firma elettronica siano ubicati in un dispositivo per la creazione di una firma elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.
ALLEGATO II
REQUISITI PER I DISPOSITIVI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA QUALIFICATA
1. I dispositivi per la creazione di una firma elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:
è ragionevolmente assicurata la riservatezza dei dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica;
i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica possono comparire in pratica una sola volta;
i dati per la creazione di una firma elettronica utilizzati per creare una firma elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili;
i dati per la creazione di una firma elettronica utilizzati nella creazione della stessa possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi.
2. I dispositivi per la creazione di una firma elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.
▼M2 —————
ALLEGATO III
REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI
I certificati qualificati dei sigilli elettronici contengono:
un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo elettronico;
un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;
i dati di convalida del sigillo elettronico che corrispondono ai dati per la creazione di un sigillo elettronico;
l’indicazione dell’inizio e della fine del periodo di validità del certificato;
il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;
la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;
il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;
le informazioni relative alla validità del certificato qualificato o l’ubicazione dei servizi cui è possibile rivolgersi per informarsi in merito;
qualora i dati per la creazione di un sigillo elettronico connessi ai dati di convalida del sigillo elettronico siano ubicati in un dispositivo per la creazione di un sigillo elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.
ALLEGATO IV
REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB
I certificati qualificati di autenticazione di siti web contengono:
un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;
un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
per le persone fisiche: almeno il nome della persona a cui è stato rilasciato il certificato, o uno pseudonimo; qualora sia usato uno pseudonimo, ciò è chiaramente indicato;
per le persone giuridiche: un insieme unico di dati che rappresenta senza ambiguità la persona giuridica cui è stato rilasciato il certificato, con almeno il nome della persona giuridica cui è stato rilasciato il certificato e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;
elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato e, se del caso, quali appaiono nei documenti ufficiali;
il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato;
l’indicazione dell’inizio e della fine del periodo di validità del certificato;
il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;
la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;
il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera h) è disponibile gratuitamente;
le informazioni relative alla validità del certificato qualificato o l’ubicazione dei servizi cui è possibile rivolgersi per informarsi in merito.
ALLEGATO V
REQUISITI PER GLI ATTESTATI ELETTRONICI QUALIFICATI DI ATTRIBUTI
Gli attestati elettronici qualificati di attributi contengono:
un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che l’attestato è stato rilasciato quale attestato elettronico di attributi qualificato;
un insieme di dati che rappresenta senza ambiguità il prestatore di servizi fiduciari qualificato che rilascia l’attestato elettronico di attributi qualificato e include almeno lo Stato membro in cui tale prestatore è stabilito e
per una persona giuridica: il nome e, ove applicabile, il numero di registrazione quali appaiono nei documenti ufficiali,
per una persona fisica: il nome della persona;
un insieme di dati che rappresenta senza ambiguità il soggetto cui si riferiscono gli attributi attestati; qualora sia usato uno pseudonimo, ciò è chiaramente indicato;
l’attributo o gli attributi attestati, comprese, ove applicabile, le informazioni necessarie per individuare l’ambito di applicazione di tali attributi;
l’indicazione dell’inizio e della fine del periodo di validità dell’attestato;
il codice di identità dell’attestato, che deve essere unico per il prestatore di servizi fiduciari qualificato, e, se applicabile, l’indicazione del regime per gli attestati di cui fa parte l’attestato di attributi;
la firma elettronica qualificata o il sigillo elettronico qualificato del prestatore di servizi fiduciari qualificato che rilascia l’attestato;
il luogo in cui il certificato relativo alla firma elettronica qualificata o al sigillo elettronico qualificato di cui alla lettera g) è disponibile gratuitamente;
le informazioni relative alla validità dell’attestato qualificato o l’ubicazione dei servizi a cui è possibile rivolgersi per informarsi in merito.
ALLEGATO VI
ELENCO MINIMO DI ATTRIBUTI
A norma dell’articolo 45 sexies, gli Stati membri garantiscono l’adozione di misure volte a consentire ai prestatori di servizi fiduciari qualificati di attestati elettronici di attributi di verificare mediante mezzi elettronici, su richiesta dell’utente, l’autenticità dei seguenti attributi rispetto alla pertinente fonte autentica a livello nazionale, direttamente o mediante intermediari designati riconosciuti a livello nazionale, conformemente al diritto dell’Unione o al diritto nazionale e qualora tali attributi facciano affidamento su fonti autentiche all’interno del settore pubblico:
indirizzo;
età;
genere;
stato civile;
composizione del nucleo familiare;
nazionalità o cittadinanza;
titoli e licenze di studio;
qualifiche e licenze professionali;
poteri e mandati di rappresentanza di persone fisiche o giuridiche
permessi e licenze pubblici;
per le persone giuridiche, i dati societari e finanziari.
ALLEGATO VII
REQUISITI PER GLI ATTESTATI ELETTRONICI DI ATTRIBUTI RILASCIATI DA UN ORGANISMO DEL SETTORE PUBBLICO RESPONSABILE DI UNA FONTE AUTENTICA O PER SUO CONTO
Un attestato elettronico di attributi rilasciato da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto contiene:
un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che l’attestato è stato rilasciato quale attestato elettronico di attributi rilasciato da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto;
un insieme di dati che rappresenta senza ambiguità l’organismo del settore pubblico che rilascia l’attestato elettronico di attributi e include almeno lo Stato membro in cui tale organismo del settore pubblico è stabilito nonché il suo nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;
un insieme di dati che rappresenta in modo senza ambiguità il soggetto cui si riferiscono gli attributi attestati; qualora sia usato uno pseudonimo, ciò è chiaramente indicato;
l’attributo o gli attributi attestati, comprese, ove applicabile, le informazioni necessarie per individuare l’ambito di applicazione di tali attributi;
l’indicazione dell’inizio e della fine del periodo di validità dell’attestato;
il codice di identità dell’attestato, che deve essere unico per l’organismo del settore pubblico che rilascia l’attestato, e, se applicabile, l’indicazione del regime per gli attestati di cui fa parte l’attestato di attributi;
la firma elettronica qualificata o il sigillo elettronico qualificato dell’organismo emittente;
il luogo in cui il certificato relativo alla firma elettronica qualificata o al sigillo elettronico qualificato di cui alla lettera g) è disponibile gratuitamente;
le informazioni relative alla validità dell’attestato o l’ubicazione dei servizi a cui è possibile rivolgersi per informarsi in merito.
( 1 ) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
( 2 ) Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).
( 3 ) Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).
( 4 ) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (“regolamento sulla cibersicurezza”) (GU L 151 del 7.6.2019, pag. 15).
( 5 ) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36).
( 6 ) Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (GU L 277 del 27.10.2022, pag. 1).
( 7 ) Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio, del 14 settembre 2022, relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali) (GU L 265 del 12.10.2022, pag. 1).
( 8 ) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).