ISSN 1977-0707
Gazzetta ufficiale
dell'Unione europea
L 235
Edizione in lingua italiana
Legislazione
58° anno
9 settembre 2015
|
ISSN 1977-0707 |
||
|
Gazzetta ufficiale dell'Unione europea |
L 235 |
|
|
|
||
|
Edizione in lingua italiana |
Legislazione |
58° anno |
|
|
|
|
|
(1) Testo rilevante ai fini del SEE |
|
IT |
Gli atti i cui titoli sono stampati in caratteri chiari appartengono alla gestione corrente. Essi sono adottati nel quadro della politica agricola ed hanno generalmente una durata di validità limitata. I titoli degli altri atti sono stampati in grassetto e preceduti da un asterisco. |
II Atti non legislativi
REGOLAMENTI
|
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/1 |
REGOLAMENTO DI ESECUZIONE (UE) 2015/1501 DELLA COMMISSIONE
dell'8 settembre 2015
relativo al quadro di interoperabilità di cui all'articolo 12, paragrafo 8, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 12, paragrafo 8,
considerando quanto segue:
|
(1) |
L'articolo 12, paragrafo 2, del regolamento (UE) n. 910/2014 prevede l'istituzione di un quadro di interoperabilità ai fini dell'interoperabilità dei regimi nazionali di identificazione elettronica notificati a norma dell'articolo 9, paragrafo 1, di detto regolamento. |
|
(2) |
I nodi rivestono un ruolo centrale nell'interconnessione dei regimi di identificazione elettronica degli Stati membri. Il loro contributo è spiegato nella documentazione relativa al meccanismo per collegare l'Europa istituito dal regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio (2), che comprende una descrizione delle funzioni e dei componenti del «nodo eIDAS». |
|
(3) |
Qualora uno Stato membro o la Commissione fornisca un software per consentire l'autenticazione su un nodo gestito in un altro Stato membro, la parte che fornisce e aggiorna il software utilizzato per il meccanismo di autenticazione può concordare con la parte che ospita il software come gestire il funzionamento di tale meccanismo. È opportuno che tale accordo non imponga alla parte ospitante requisiti tecnici o costi sproporzionati (ivi inclusi i costi associati all'assistenza, alle responsabilità e all'hosting e altri costi). |
|
(4) |
Nella misura in cui l'attuazione del quadro di interoperabilità lo giustifichi, la Commissione può, in cooperazione con gli Stati membri e tenendo conto in particolare dei pareri della rete di cooperazione di cui all'articolo 14, lettera d), della decisione di esecuzione (UE) 2015/296 della Commissione (3), elaborare ulteriori specifiche tecniche che forniscano dettagli sui requisiti tecnici definiti nel presente regolamento. Tali specifiche dovrebbero essere elaborate nel quadro delle infrastrutture di servizi digitali di cui al regolamento (UE) n. 1316/2013 che fornisce gli strumenti per l'attuazione concreta di un elemento fondamentale dell'identificazione elettronica. |
|
(5) |
I requisiti tecnici definiti nel presente regolamento dovrebbero essere applicabili malgrado le eventuali modifiche apportate alle specifiche tecniche che potrebbero essere elaborate a norma dell'articolo 12. |
|
(6) |
Per stabilire l'organizzazione del quadro di interoperabilità di cui al presente regolamento sono stati tenuti nella massima considerazione sia il progetto pilota su vasta scala STORK, comprese le specifiche da esso elaborate, sia i principi e i concetti del quadro europeo di interoperabilità per i servizi pubblici europei. |
|
(7) |
Sono stati tenuti nella massima considerazione i risultati della cooperazione tra gli Stati membri. |
|
(8) |
Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Oggetto
Il presente regolamento stabilisce i requisiti tecnici e operativi del quadro di interoperabilità al fine di garantire l'interoperabilità dei regimi di identificazione elettronica che gli Stati membri notificano alla Commissione.
Detti requisiti comprendono in particolare:
|
a) |
i requisiti tecnici minimi relativi ai livelli di garanzia e alla mappatura dei livelli di garanzia nazionali dei mezzi di identificazione elettronica forniti nell'ambito dei regimi di identificazione elettronica notificati di cui all'articolo 8 del regolamento (UE) n. 910/2014, secondo quanto stabilito agli articoli 3 e 4; |
|
b) |
i requisiti tecnici minimi per l'interoperabilità, secondo quanto stabilito agli articoli 5 e 8; |
|
c) |
l'insieme minimo di dati di identificazione personale che rappresentano un'unica persona fisica o giuridica, come stabilito all'articolo 11 e nell'allegato; |
|
d) |
le norme di sicurezza operativa comuni di cui agli articoli 6, 7, 9 e 10; |
|
e) |
le disposizioni per la risoluzione delle controversie di cui all'articolo 13. |
Articolo 2
Definizioni
Ai fini del presente regolamento si intende per:
|
1) |
«nodo», il punto di connessione facente parte di un'architettura di interoperabilità dell'identificazione elettronica, che interviene nell'autenticazione transfrontaliera delle persone ed è in grado di riconoscere ed elaborare le trasmissioni o di inoltrarle ad altri nodi attraverso l'abilitazione dell'interfacciamento dell'infrastruttura di identificazione elettronica nazionale di uno Stato membro con le infrastrutture di identificazione elettronica nazionale di altri Stati membri; |
|
2) |
«operatore di nodo», l'entità responsabile di assicurare che il nodo svolga le sue funzioni di punto di connessione in modo corretto e affidabile. |
Articolo 3
Requisiti tecnici minimi relativi ai livelli di garanzia
I requisiti tecnici minimi relativi ai livelli di garanzia corrispondono a quelli definiti nel regolamento di esecuzione (UE) 2015/1502 della Commissione (4).
Articolo 4
Mappatura dei livelli di garanzia nazionali
La mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati è conforme ai requisiti stabiliti nel regolamento di esecuzione (UE) 2015/1502. I risultati della mappatura sono comunicati alla Commissione utilizzando il modello di notifica stabilito nella decisione di esecuzione (UE) 2015/1505 (5) della Commissione.
Articolo 5
Nodi
1. Un nodo in uno Stato membro è in grado di connettersi ai nodi di altri Stati membri.
2. I nodi sono in grado di distinguere attraverso mezzi tecnici tra gli organismi del settore pubblico e le altre parti che fanno affidamento sulla certificazione.
3. L'attuazione da parte di uno Stato membro dei requisiti tecnici di cui al presente regolamento non impone agli altri Stati membri requisiti tecnici o costi sproporzionati per poter interoperare con l'attuazione adottata dal primo Stato membro.
Articolo 6
Protezione dei dati personali e riservatezza dei dati
1. La tutela della vita privata, la riservatezza dei dati scambiati e il mantenimento dell'integrità dei dati tra i nodi sono assicurati grazie al ricorso alle migliori soluzioni tecniche e prassi di protezione disponibili.
2. I nodi non conservano i dati personali tranne per i fini di cui all'articolo 9, paragrafo 3.
Articolo 7
Integrità e autenticità dei dati per la comunicazione
La comunicazione tra i nodi garantisce l'integrità e l'autenticità dei dati al fine di assicurare che tutte le richieste e le risposte siano autentiche e che non siano manomesse. A tal fine, i nodi utilizzano soluzioni già impiegate con successo nel quadro di un uso operativo transfrontaliero.
Articolo 8
Formato dei messaggi per la comunicazione
I nodi utilizzano per la sintassi formati di messaggio comuni basati su norme già applicate più volte tra gli Stati membri e di cui è comprovato il funzionamento in ambiente operativo. La sintassi consente:
|
a) |
il trattamento corretto dell'insieme minimo di dati di identificazione personale che rappresentano un'unica persona fisica o giuridica; |
|
b) |
il trattamento corretto del livello di garanzia dei mezzi di identificazione elettronica; |
|
c) |
la distinzione tra organismi del settore pubblico e altre parti facenti affidamento sulla certificazione; |
|
d) |
la flessibilità per rispondere all'esigenza di attributi supplementari in relazione all'identificazione. |
Articolo 9
Gestione delle informazioni relative alla sicurezza e dei metadati
1. L'operatore di nodo comunica i metadati della gestione del nodo secondo modalità standardizzate idonee al trattamento meccanizzato e in modo sicuro e affidabile.
2. Almeno i parametri relativi alla sicurezza sono recuperati automaticamente.
3. L'operatore di nodo conserva i dati che, in caso di incidente, permettano di ricostruire la sequenza dello scambio di messaggi al fine di stabilire il luogo e la natura dell'incidente. I dati sono conservati per il periodo di tempo prescritto dalle disposizioni nazionali e comprendono almeno i seguenti elementi:
|
a) |
identificazione del nodo; |
|
b) |
identificazione del messaggio; |
|
c) |
data e ora del messaggio. |
Articolo 10
Norme in materia di garanzia di sicurezza delle informazioni
1. Gli operatori dei nodi che forniscono l'autenticazione provano che, per quanto riguarda i nodi partecipanti al quadro di interoperabilità, il nodo soddisfa i requisiti della norma ISO/CEI 27001 attraverso la certificazione o metodi di valutazione equivalenti ovvero attraverso il rispetto delle norme nazionali.
2. Gli operatori di nodo distribuiscono aggiornamenti critici della sicurezza senza indebiti ritardi.
Articolo 11
Dati di identificazione personale
1. Un insieme minimo di dati di identificazione personale che rappresentano un'unica persona fisica o giuridica soddisfa i requisiti elencati nell'allegato ove utilizzato in un contesto transfrontaliero.
2. Un insieme minimo di dati per una persona fisica che rappresenta una persona giuridica contiene la combinazione di attributi elencata nell'allegato per le persone fisiche e le persone giuridiche ove utilizzato in un contesto transfrontaliero.
3. I dati sono trasmessi sulla base dei caratteri originari e, se del caso, sono anche trascritti in caratteri latini.
Articolo 12
Specifiche tecniche
1. Ove ciò sia giustificato dal processo di attuazione del quadro di interoperabilità, la rete di cooperazione istituita dalla decisione di esecuzione (UE) 2015/296 può adottare pareri a norma dell'articolo 14, lettera d), di detta decisione sulla necessità di elaborare specifiche tecniche. Tali specifiche forniscono ulteriori dettagli sui requisiti tecnici di cui al presente regolamento.
2. Conformemente al parere di cui al paragrafo 1, la Commissione, in cooperazione con gli Stati membri, elabora le specifiche tecniche nel quadro delle infrastrutture di servizi digitali del regolamento (UE) n. 1316/2013.
3. La rete di cooperazione adotta un parere a norma dell'articolo 14, lettera d), della decisione di esecuzione (UE) 2015/296 in cui valuta se e in quale misura le specifiche tecniche elaborate conformemente al paragrafo 2 corrispondono alla necessità individuata nel parere di cui al paragrafo 1 o sono conformi ai requisiti definiti nel presente regolamento. Essa può raccomandare che gli Stati membri tengano conto delle specifiche tecniche nell'attuazione del quadro di interoperabilità.
4. La Commissione fornisce un'attuazione di riferimento come esempio di interpretazione delle specifiche tecniche. Gli Stati membri possono applicare tale attuazione di riferimento o utilizzarla come modello durante la prova di altre attuazioni delle specifiche tecniche.
Articolo 13
Risoluzione di controversie
1. Ove possibile, qualsiasi controversia riguardante il quadro di interoperabilità è risolta dagli Stati membri interessati mediante negoziazione.
2. Se non si giunge ad alcuna soluzione in conformità con il paragrafo 1, la rete di cooperazione istituita a norma dell'articolo 12 della decisione di esecuzione (UE) 2015/296 è competente per la controversia in conformità con il suo regolamento interno.
Articolo 14
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, l'8 settembre 2015
Per la Commissione
Il presidente
Jean-Claude JUNCKER
(1) GU L 257 del 28.8.2014, pag. 73.
(2) Regolamento (UE) n. 1316/2013 del Parlamento europeo e del Consiglio, dell'11 dicembre 2013, che istituisce il meccanismo per collegare l'Europa, che modifica il regolamento (UE) n. 913/2010 e che abroga i regolamenti (CE) n. 680/2007 e (CE) n. 67/2010 (GU L 348 del 20.12.2013, pag. 129).
(3) Decisione di esecuzione (UE) 2015/296 della Commissione, del 24 febbraio 2015, che stabilisce modalità procedurali per la cooperazione tra Stati membri in materia di identificazione elettronica a norma dell'articolo 12, paragrafo 7, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 53 del 25.2.2015, pag. 14).
(4) Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (cfr. pag. 7 della presente Gazzetta ufficiale).
(5) Decisione di esecuzione (UE) 2015/1505 della Commissione, dell'8 settembre 2015, che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (cfr. pag. 26 della presente Gazzetta ufficiale).
ALLEGATO
Requisiti relativi all'insieme minimo di dati di identificazione personale che rappresentano un'unica persona fisica o giuridica, di cui all'articolo 11
1. Insieme minimo di dati per una persona fisica
L'insieme minimo di dati per una persona fisica contiene tutti i seguenti attributi obbligatori:
|
a) |
cognome/i attuale/i; |
|
b) |
nome/i attuale/i; |
|
c) |
data di nascita; |
|
d) |
identificativo univoco creato dallo Stato membro d'invio conformemente alle specifiche tecniche ai fini dell'identificazione transfrontaliera, mantenuto quanto più a lungo possibile. |
L'insieme minimo di dati per una persona fisica può contenere uno o più dei seguenti attributi aggiuntivi:
|
a) |
nome/i e cognome/i alla nascita; |
|
b) |
luogo di nascita; |
|
c) |
indirizzo attuale; |
|
d) |
sesso. |
2. Insieme minimo di dati per una persona giuridica
L'insieme minimo di dati per una persona giuridica contiene tutti i seguenti attributi obbligatori:
|
a) |
ragione sociale attuale; |
|
b) |
identificativo univoco creato dallo Stato membro d'invio conformemente alle specifiche tecniche ai fini dell'identificazione transfrontaliera, mantenuto quanto più a lungo possibile. |
L'insieme minimo di dati per una persona giuridica può contenere uno o più dei seguenti attributi aggiuntivi:
|
a) |
indirizzo attuale; |
|
b) |
numero di partita IVA; |
|
c) |
numero di registrazione fiscale; |
|
d) |
l'identificativo di cui all'articolo 3, paragrafo 1, della direttiva 2009/101/CE del Parlamento europeo e del Consiglio (1); |
|
e) |
l'identificativo della persona giuridica (LEI) di cui al regolamento di esecuzione (UE) n. 1247/2012 della Commissione (2); |
|
f) |
il numero di registrazione e identificazione degli operatori economici (numero EORI) di cui al regolamento di esecuzione (UE) n. 1352/2013 della Commissione (3); |
|
g) |
il numero di accisa di cui all'articolo 2, paragrafo 12, del regolamento (UE) n. 389/2012 del Consiglio (4). |
(1) Direttiva 2009/101/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, intesa a coordinare, per renderle equivalenti, le garanzie che sono richieste, negli Stati membri, alle società a mente dell'articolo 48, secondo comma, del trattato per proteggere gli interessi dei soci e dei terzi (GU L 258 dell'1.10.2009, pag. 11).
(2) Regolamento di esecuzione (UE) n. 1247/2012 della Commissione, del 19 dicembre 2012, che stabilisce norme tecniche di attuazione per quanto riguarda il formato e la frequenza delle segnalazioni sulle negoziazioni ai repertori di dati sulle negoziazioni ai sensi del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 352 del 21.12.2012, pag. 20).
(3) Regolamento di esecuzione (UE) n. 1352/2013 della Commissione, del 4 dicembre 2013, che stabilisce i formulari di cui al regolamento (UE) n. 608/2013 del Parlamento europeo e del Consiglio relativo alla tutela dei diritti di proprietà intellettuale da parte delle autorità doganali (GU L 341 del 18.12.2013, pag. 10).
(4) Regolamento (UE) n. 389/2012 del Consiglio, del 2 maggio 2012, relativo alla cooperazione amministrativa in materia di accise e che abroga il regolamento (CE) n. 2073/2004 (GU L 121 dell'8.5.2012, pag. 1).
|
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/7 |
REGOLAMENTO DI ESECUZIONE (UE) 2015/1502 DELLA COMMISSIONE
dell'8 settembre 2015
relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 8, paragrafo 3,
considerando quanto segue:
|
(1) |
L'articolo 8 del regolamento (UE) n. 910/2014 prevede che un regime di identificazione elettronica notificato ai sensi dell'articolo 9, paragrafo 1, specifichi i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione elettronica rilasciati nell'ambito di detto regime. |
|
(2) |
La determinazione di specifiche, norme e procedure tecniche minime è essenziale per assicurare un'interpretazione comune dei dettagli dei livelli di garanzia e assicurare altresì, a norma dell'articolo 12, paragrafo 4, lettera b), del regolamento (UE) n. 910/2014, l'interoperabilità nella mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati in base ai livelli di garanzia di cui all'articolo 8 dello stesso. |
|
(3) |
Per le specifiche e le procedure fissate nel presente atto di esecuzione, la norma internazionale ISO/IEC 29115 è stata presa in considerazione come principale norma internazionale disponibile in materia di livelli di garanzia per i mezzi di identificazione elettronica. Tuttavia, il contenuto del regolamento (UE) n. 910/2014 differisce dalla suddetta norma internazionale, in particolare in relazione ai requisiti per il controllo e la verifica dell'identità e al modo in cui sono prese in considerazione le differenze tra le disposizioni degli Stati membri in materia di identità e gli strumenti esistenti nell'UE per le stesse finalità. Pertanto l'allegato, pur basandosi su tale norma internazionale, non dovrebbe fare riferimento ad alcun contenuto specifico della norma ISO/IEC 29115. |
|
(4) |
Il presente regolamento è stato elaborato in base a un approccio orientato ai risultati, ritenuto l'approccio più adeguato, che trova riscontro anche nelle definizioni utilizzate per precisare termini e concetti. Questi tengono conto dello scopo del regolamento (UE) n. 910/2014 in relazione ai livelli di garanzia dei mezzi di identificazione elettronica. Pertanto per stabilire le specifiche e le procedure fissate nel presente atto di esecuzione, si dovrebbero tenere nella massima considerazione sia il progetto pilota su vasta scala STORK, comprese le specifiche da esso elaborate, sia le definizioni e i concetti della norma ISO/IEC 29115. |
|
(5) |
In base al contesto in cui occorre verificare un elemento di prova dell'identità, le fonti autorevoli possono assumere varie forme, tra cui registri, documenti e organismi. Le fonti autorevoli possono variare da uno Stato membro all'altro, anche in presenza di un contesto analogo. |
|
(6) |
I requisiti per la prova e la verifica dell'identità dovrebbero tenere conto dei differenti sistemi e pratiche, garantendo allo stesso tempo un livello di garanzia sufficientemente elevato al fine di instaurare la fiducia necessaria. Pertanto l'accettazione di procedure utilizzate in precedenza per un fine diverso dal rilascio di mezzi di identificazione elettronica dovrebbe essere subordinata alla conferma della loro rispondenza ai requisiti previsti per il corrispondente livello di garanzia. |
|
(7) |
Sono generalmente utilizzati determinati fattori di autenticazione quali segreti condivisi, dispositivi fisici e attributi fisici. Tuttavia, al fine di aumentare la sicurezza del processo di autenticazione, dovrebbe essere promosso l'uso di un maggior numero di fattori di autenticazione, soprattutto appartenenti a categorie differenti. |
|
(8) |
Il presente regolamento non dovrebbe ledere i diritti di rappresentanza delle persone giuridiche. L'allegato tuttavia dovrebbe prevedere requisiti per la costituzione di un collegamento tra i mezzi di identificazione elettronica delle persone fisiche e delle persone giuridiche. |
|
(9) |
Dovrebbe essere riconosciuta l'importanza dei sistemi di gestione dei servizi e della sicurezza delle informazioni, nonché l'importanza del ricorso a metodologie riconosciute e dell'applicazione dei principi enunciati in norme quali quelle delle serie ISO/IEC 27000 e ISO/IEC 20000. |
|
(10) |
Dovrebbero essere prese in considerazione anche le buone prassi in relazione ai livelli di garanzia negli Stati membri. |
|
(11) |
La certificazione della sicurezza delle tecnologie informatiche basata su norme internazionali è uno strumento importante per la verifica della conformità dei prodotti ai requisiti di sicurezza previsti dal presente atto di esecuzione. |
|
(12) |
Il comitato di cui all'articolo 48 del regolamento (UE) n. 910/2014 non ha emesso un parere entro il termine stabilito dal suo presidente, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
1. I livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato sono determinati facendo riferimento alle specifiche e alle procedure fissate nell'allegato.
2. Le specifiche e le procedure fissate nell'allegato sono utilizzate per specificare il livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato determinando l'affidabilità e la qualità dei seguenti elementi:
|
a) |
la registrazione, di cui alla sezione 2.1 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera a), del regolamento (UE) n. 910/2014; |
|
b) |
la gestione dei mezzi di identificazione elettronica, di cui alla sezione 2.2 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere b) e f), del regolamento (UE) n. 910/2014; |
|
c) |
l'autenticazione, di cui alla sezione 2.3 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettera c), del regolamento (UE) n. 910/2014; |
|
d) |
la gestione e l'organizzazione, di cui alla sezione 2.4 dell'allegato del presente regolamento, a norma dell'articolo 8, paragrafo 3, lettere d) ed e), del regolamento (UE) n. 910/2014. |
3. Se i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato soddisfano un requisito elencato in un livello di garanzia superiore, si ritiene che essi soddisfino il requisito equivalente di un livello di garanzia inferiore.
4. Salvo indicazione contraria nella parte pertinente dell'allegato, ai fini della corrispondenza al livello di garanzia dichiarato devono essere soddisfatti tutti gli elementi elencati nell'allegato per lo specifico livello di garanzia dei mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato.
Articolo 2
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, l'8 settembre 2015
Per la Commissione
Il presidente
Jean-Claude JUNCKER
ALLEGATO
Specifiche e procedure tecniche per i livelli di garanzia basso, significativo ed elevato per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica notificato
1. Definizioni applicabili
Ai fini del presente allegato si intende per:
|
(1) |
«fonte autorevole», qualsiasi fonte, a prescindere dalla forma, sulla quale si possa fare affidamento per l'ottenimento di dati, informazioni e/o elementi di prova esatti da utilizzare per dimostrare l'identità; |
|
(2) |
«fattore di autenticazione», un fattore associato con certezza a una persona e rientrante in una delle seguenti categorie:
|
|
(3) |
«autenticazione dinamica», un processo elettronico che utilizza la crittografia o altre tecniche per fornire un mezzo che consente di creare su richiesta una prova elettronica che attesti il controllo o il possesso dei dati di identificazione da parte del soggetto e che cambia ad ogni interazione di autenticazione tra il soggetto e il sistema che ne verifica l'identità; |
|
(4) |
«sistema di gestione della sicurezza delle informazioni», un insieme di processi e procedure intesi a gestire a livelli accettabili i rischi connessi alla sicurezza delle informazioni. |
2. Specifiche e procedure tecniche
Gli elementi delle procedure e delle specifiche tecniche descritti nel presente allegato sono utilizzati per determinare in che modo sono applicati i requisiti e i criteri di cui all'articolo 8 del regolamento (UE) n. 910/2014 per i mezzi di identificazione elettronica rilasciati nell'ambito di un regime di identificazione elettronica.
2.1. Registrazione
2.1.1.
|
Livello di garanzia |
Elementi necessari |
||||||
|
Basso |
|
||||||
|
Significativo |
Come per il livello basso. |
||||||
|
Elevato |
Come per il livello basso. |
2.1.2.
|
Livello di garanzia |
Elementi necessari |
||||||||||
|
Basso |
|
||||||||||
|
Significativo |
Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 4:
|
||||||||||
|
Elevato |
Devono essere rispettati i requisiti di cui al punto 1 o 2.
|
2.1.3.
|
Livello di garanzia |
Elementi necessari |
||||||
|
Basso |
|
||||||
|
Significativo |
Livello basso, più una delle opzioni elencate di seguito ai punti da 1 a 3:
|
||||||
|
Elevato |
Livello significativo, più una delle opzioni elencate di seguito ai punti da 1 a 3:
|
2.1.4.
Ove applicabile, per stabilire un collegamento tra il mezzo di identificazione elettronica di una persona fisica e il mezzo di identificazione elettronica di una persona giuridica («collegamento»), si applicano le seguenti condizioni.
|
(1) |
Deve essere possibile sospendere e/o revocare un collegamento. Il ciclo di vita di un collegamento (ad esempio attivazione, sospensione, rinnovo, revoca) è gestito secondo procedure riconosciute a livello nazionale. |
|
(2) |
La persona fisica il cui mezzo di identificazione elettronica è collegato al mezzo di identificazione elettronica della persona giuridica può delegare l'esercizio del collegamento a un'altra persona fisica sulla base di procedure riconosciute a livello nazionale. Tuttavia la responsabilità continua a incombere alla persona fisica delegante. |
|
(3) |
Il collegamento è stabilito nel modo seguente:
|
2.2. Gestione dei mezzi di identificazione elettronica
2.2.1.
|
Livello di garanzia |
Elementi necessari |
||||
|
Basso |
|
||||
|
Significativo |
|
||||
|
Elevato |
Livello significativo, più:
|
2.2.2.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia ricevuto unicamente dal destinatario previsto. |
|
Significativo |
In seguito al rilascio, il mezzo di identificazione elettronica è consegnato tramite un meccanismo che consente di presumere che sia consegnato unicamente alla persona a cui appartiene. |
|
Elevato |
Il processo di attivazione verifica che il mezzo di identificazione elettronica sia stato consegnato unicamente alla persona a cui appartiene. |
2.2.3.
|
Livello di garanzia |
Elementi necessari |
||||||
|
Basso |
|
||||||
|
Significativo |
Come per il livello basso. |
||||||
|
Elevato |
Come per il livello basso. |
2.2.4.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
Tenendo conto dei rischi di variazione dei dati di identificazione personale, il rinnovo o la sostituzione deve soddisfare gli stessi requisiti di garanzia del controllo e della verifica dell'identità iniziali oppure si basa su un mezzo di identificazione elettronica valido che presenti lo stesso livello di garanzia o un livello superiore. |
|
Significativo |
Come per il livello basso. |
|
Elevato |
Livello basso, più: Se il rinnovo o la sostituzione si basa su un mezzo di identificazione elettronica valido, i dati identificativi sono verificati con una fonte autorevole. |
2.3. Autenticazione
La presente sezione verte sulle minacce associate all'uso del meccanismo di autenticazione ed elenca i requisiti per ciascun livello di garanzia. Ai fini della presente sezione i controlli si intendono proporzionati ai rischi che sussistono a un dato livello.
2.3.1.
Nella tabella riportata di seguito sono elencati i requisiti fissati per ciascun livello di garanzia in relazione al meccanismo di autenticazione, mediante il quale la persona fisica o giuridica utilizza il mezzo di identificazione elettronica per confermare la propria identità alla parte facente affidamento sulla certificazione.
|
Livello di garanzia |
Elementi necessari |
||||||
|
Basso |
|
||||||
|
Significativo |
Livello basso, più:
|
||||||
|
Elevato |
Livello significativo, più: Il meccanismo di autenticazione verifica il mezzo di identificazione elettronica attuando controlli di sicurezza che rendono altamente improbabile che tale meccanismo venga corrotto da attività quali gli attacchi di tipo guessing, le intercettazioni, gli attacchi di replicazione dati (replay) o la manipolazione di una comunicazione da parte di un aggressore con un potenziale di attacco elevato (High). |
2.4. Gestione e organizzazione
Tutti i partecipanti che forniscono un servizio correlato all'identificazione elettronica in un contesto transfrontaliero («fornitori») mettono in atto prassi documentate per la gestione della sicurezza delle informazioni, politiche, approcci alla gestione dei rischi e altri controlli riconosciuti in modo da dare agli opportuni organi di gestione responsabili dei regimi di identificazione elettronica nei rispettivi Stati membri la certezza dell'applicazione di prassi efficaci. Nell'intera sezione 2.4 tutti i requisiti/elementi si intendono come proporzionati ai rischi che sussistono a un dato livello.
2.4.1.
|
Livello di garanzia |
Elementi necessari |
||||||||||
|
Basso |
|
||||||||||
|
Significativo |
Come per il livello basso. |
||||||||||
|
Elevato |
Come per il livello basso. |
2.4.2.
|
Livello di garanzia |
Elementi necessari |
||||||
|
Basso |
|
||||||
|
Significativo |
Come per il livello basso. |
||||||
|
Elevato |
Come per il livello basso. |
2.4.3.
|
Livello di garanzia |
Elementi necessari |
|
Basso |
Esiste un efficace sistema di gestione della sicurezza delle informazioni per la gestione e il controllo dei rischi per la sicurezza delle informazioni. |
|
Significativo |
Livello basso, più: Il sistema di gestione della sicurezza delle informazioni si attiene a norme o principi comprovati per la gestione o il controllo dei rischi per la sicurezza delle informazioni. |
|
Elevato |
Come per il livello significativo. |
2.4.4.
|
Livello di garanzia |
Elementi necessari |
||||
|
Basso |
|
||||
|
Significativo |
Come per il livello basso. |
||||
|
Elevato |
Come per il livello basso. |
2.4.5.
Nella tabella riportata di seguito sono elencati i requisiti relativi alle strutture, al personale e ai subcontraenti, se del caso, che svolgono le funzioni disciplinate dal presente regolamento. La conformità a ciascuno dei requisiti è proporzionata al livello di rischio associato al livello di garanzia fornito.
|
Livello di garanzia |
Elementi necessari |
||||||||
|
Basso |
|
||||||||
|
Significativo |
Come per il livello basso. |
||||||||
|
Elevato |
Come per il livello basso. |
2.4.6.
|
Livello di garanzia |
Elementi necessari |
||||||||||
|
Basso |
|
||||||||||
|
Significativo |
Come per il livello basso, più: Il materiale crittografico sensibile utilizzato per il rilascio dei mezzi di identificazione elettronica e per fornire l'autenticazione è protetto dalla manomissione. |
||||||||||
|
Elevato |
Come per il livello significativo. |
2.4.7.
|
Livello di garanzia |
Elementi necessari |
||||
|
Basso |
Sono eseguite verifiche interne periodiche calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. |
||||
|
Significativo |
Sono eseguite periodicamente verifiche indipendenti interne o esterne calibrate in modo da includere tutte le parti che pertengono alla prestazione dei servizi forniti e intese ad accertarne la conformità alla politica pertinente. |
||||
|
Elevato |
|
(1) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).
|
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/21 |
REGOLAMENTO DI ESECUZIONE (UE) 2015/1503 DELLA COMMISSIONE
dell'8 settembre 2015
recante fissazione dei valori forfettari all'importazione ai fini della determinazione del prezzo di entrata di taluni ortofrutticoli
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il Regolamento (UE) n. 1308/2013 del Parlamento europeo e del Consiglio, del 17 dicembre 2013, recante organizzazione comune dei mercati dei prodotti agricoli e che abroga i regolamenti (CEE) n. 922/72, (CEE) n. 234/79, (CE) n. 1037/2001 e (CE) n. 1234/2007 del Consiglio (1),
visto il regolamento di esecuzione (UE) n. 543/2011 della Commissione, del 7 giugno 2011, recante modalità di applicazione del regolamento (CE) n. 1234/2007 del Consiglio nei settori degli ortofrutticoli freschi e degli ortofrutticoli trasformati (2), in particolare l'articolo 136, paragrafo 1,
considerando quanto segue:
|
(1) |
Il regolamento di esecuzione (UE) n. 543/2011 prevede, in applicazione dei risultati dei negoziati commerciali multilaterali dell'Uruguay round, i criteri per la fissazione da parte della Commissione dei valori forfettari all'importazione dai paesi terzi, per i prodotti e i periodi indicati nell'allegato XVI, parte A, del medesimo regolamento. |
|
(2) |
Il valore forfettario all'importazione è calcolato ciascun giorno feriale, in conformità dell'articolo 136, paragrafo 1, del regolamento di esecuzione (UE) n. 543/2011, tenendo conto di dati giornalieri variabili. Pertanto il presente regolamento entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale dell'Unione europea, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
I valori forfettari all'importazione di cui all'articolo 136 del regolamento di esecuzione (UE) n. 543/2011 sono quelli fissati nell'allegato del presente regolamento.
Articolo 2
Il presente regolamento entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, l'8 settembre 2015
Per la Commissione,
a nome del presidente
Jerzy PLEWA
Direttore generale dell'Agricoltura e dello sviluppo rurale
ALLEGATO
Valori forfettari all'importazione ai fini della determinazione del prezzo di entrata di taluni ortofrutticoli
|
(EUR/100 kg) |
||
|
Codice NC |
Codice dei paesi terzi (1) |
Valore forfettario all'importazione |
|
0702 00 00 |
MA |
173,3 |
|
MK |
48,7 |
|
|
XS |
41,5 |
|
|
ZZ |
87,8 |
|
|
0707 00 05 |
MK |
76,3 |
|
TR |
116,3 |
|
|
XS |
42,0 |
|
|
ZZ |
78,2 |
|
|
0709 93 10 |
TR |
133,1 |
|
ZZ |
133,1 |
|
|
0805 50 10 |
AR |
135,9 |
|
BO |
135,7 |
|
|
CL |
125,5 |
|
|
UY |
142,2 |
|
|
ZA |
136,9 |
|
|
ZZ |
135,2 |
|
|
0806 10 10 |
EG |
239,8 |
|
MK |
63,9 |
|
|
TR |
129,5 |
|
|
ZZ |
144,4 |
|
|
0808 10 80 |
AR |
188,7 |
|
BR |
93,9 |
|
|
CL |
134,4 |
|
|
NZ |
143,4 |
|
|
US |
112,5 |
|
|
UY |
110,5 |
|
|
ZA |
117,6 |
|
|
ZZ |
128,7 |
|
|
0808 30 90 |
AR |
131,9 |
|
CL |
100,0 |
|
|
TR |
122,9 |
|
|
ZA |
113,5 |
|
|
ZZ |
117,1 |
|
|
0809 30 10 , 0809 30 90 |
MK |
80,1 |
|
TR |
141,7 |
|
|
ZZ |
110,9 |
|
|
0809 40 05 |
BA |
54,8 |
|
IL |
336,8 |
|
|
MK |
44,1 |
|
|
XS |
70,3 |
|
|
ZZ |
126,5 |
|
(1) Nomenclatura dei paesi stabilita dal Regolamento (UE) n. 1106/2012 della Commissione, del 27 novembre 2012, che attua il regolamento (CE) n. 471/2009 del Parlamento europeo e del Consiglio, relativo alle statistiche comunitarie del commercio estero con i paesi terzi, per quanto riguarda l'aggiornamento della nomenclatura dei paesi e territori (GU L 328 del 28.11.2012, pag. 7). Il codice «ZZ» corrisponde a «altre origini».
DECISIONI
|
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/24 |
DECISIONE DI ESECUZIONE (UE) 2015/1504 DELLA COMMISSIONE
del 7 settembre 2015
sulla concessione di deroghe ad alcuni Stati membri in merito alla fornitura di statistiche a norma del regolamento (CE) n. 1099/2008 del Parlamento europeo e del Consiglio relativo alle statistiche dell'energia
[notificata con il numero C(2015) 6105]
(I testi in lingua estone, greca, francese, neerlandese e slovacca sono i soli facenti fede)
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (CE) n. 1099/2008 del Parlamento europeo e del Consiglio, del 22 ottobre 2008, relativo alle statistiche dell'energia (1), in particolare l'articolo 5, paragrafo 4, e l'articolo 10, paragrafo 2,
considerando quanto segue:
|
(1) |
A norma dell'articolo 5, paragrafo 4, del regolamento (CE) n. 1099/2008, su richiesta debitamente motivata di uno Stato membro possono essere concesse deroghe per quelle parti delle statistiche nazionali per le quali la rilevazione comporterebbe oneri eccessivi per i rispondenti. |
|
(2) |
Il Belgio, l'Estonia, Cipro e la Slovacchia hanno presentato domanda per ottenere delle deroghe in merito alla trasmissione di statistiche relative al consumo energetico delle famiglie dettagliato per tipo di utilizzazione finale e per determinati anni di riferimento. |
|
(3) |
Le informazioni fornite da tali Stati membri giustificano la concessione di tali deroghe. |
|
(4) |
Le misure di cui alla presente decisione sono conformi al parere del comitato del sistema statistico europeo, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Sono concesse le seguenti deroghe alle disposizioni del regolamento (CE) n. 1099/2008:
|
1) |
Il Belgio disporrà di una deroga dal fornire i risultati per l'anno di riferimento 2015 per il punto 1.2.3, voci da 4.2.1 a 4.2.5, il punto 2.2.3, voci da 4.2.1 a 4.2.5, il punto 3.2.3, voci da 3.1 a 3.6, il punto 4.2.3, voci da 7.2.1 a 7.2.5 e il punto 5.2.4, voci da 4.2.1 a 4.2.5 dell'allegato B sulle statistiche che riguardano il consumo energetico delle famiglie dettagliato per tipo di utilizzazione finale (come definito al punto 2.3, voce 26 «Altri settori — Settore residenziale» dell'allegato A). |
|
2) |
L'Estonia disporrà di una deroga dal fornire i risultati per gli anni di riferimento 2015, 2016 e 2017 per il punto 1.2.3, voci da 4.2.1 a 4.2.5, il punto 2.2.3, voci da 4.2.1 a 4.2.5, il punto 3.2.3, voci da 3.1 a 3.6, il punto 4.2.3, voci da 7.2.1 a 7.2.5 e il punto 5.2.4, voci da 4.2.1 a 4.2.5 dell'allegato B sulle statistiche che riguardano il consumo energetico delle famiglie dettagliato per tipo di utilizzazione finale (come definito al punto 2.3, voce 26 «Altri settori — Settore residenziale» dell'allegato A). |
|
3) |
Cipro disporrà di una deroga dal fornire i risultati per gli anni di riferimento 2015, 2016 e 2017 per il punto 1.2.3, voci da 4.2.1 a 4.2.5, il punto 2.2.3, voci da 4.2.1 a 4.2.5, il punto 3.2.3, voci da 3.1 a 3.6 e il punto 5.2.4, voci da 4.2.1 a 4.2.5 dell'allegato B sulle statistiche che riguardano il consumo energetico delle famiglie per tipo di utilizzazione finale (come definito al punto 2.3, voce 26 «Altri settori — Settore residenziale» dell'allegato A). |
|
4) |
La Slovacchia disporrà di una deroga dal fornire i risultati per gli anni di riferimento 2015 e 2016 per il punto 1.2.3, voci da 4.2.1 a 4.2.5, il punto 2.2.3, voci da 4.2.1 a 4.2.5, il punto 3.2.3, voci da 3.1 a 3.6, il punto 4.2.3, voci da 7.2.1 a 7.2.5 e il punto 5.2.4, voci da 4.2.1 a 4.2.5 dell'allegato B sulle statistiche che riguardano il consumo energetico delle famiglie per tipo di utilizzazione finale (come definito al punto 2.3, voce 26 «Altri settori — Settore residenziale» dell'allegato A). |
Articolo 2
Sono destinatari della presente decisione il Regno del Belgio, la Repubblica di Estonia, la Repubblica di Cipro e la Repubblica slovacca.
Fatto a Bruxelles, il 7 settembre 2015
Per la Commissione
Marianne THYSSEN
Membro della Commissione
|
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/26 |
DECISIONE DI ESECUZIONE (UE) 2015/1505 DELLA COMMISSIONE
dell'8 settembre 2015
che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 22, paragrafo 5,
considerando quanto segue:
|
(1) |
Gli elenchi di fiducia sono essenziali per instaurare la fiducia tra gli operatori di mercato perché indicano lo status del prestatore di servizi al momento della vigilanza. |
|
(2) |
La decisione 2009/767/CE della Commissione (2) ha facilitato l'uso transfrontaliero delle firme elettroniche fissando l'obbligo per gli Stati membri di elaborare, aggiornare e pubblicare elenchi di fiducia contenenti informazioni relative ai prestatori di servizi di certificazione che rilasciano al pubblico certificati qualificati in conformità alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio (3) e che sono soggetti a supervisione e a accreditamento da parte degli Stati membri. |
|
(3) |
L'articolo 22 del regolamento (UE) n. 910/2014 prevede l'obbligo per gli Stati membri di istituire, mantenere e pubblicare, in modo sicuro e in una forma adatta al trattamento automatizzato, elenchi di fiducia firmati o sigillati elettronicamente e di notificare alla Commissione gli organismi responsabili dell'istituzione degli elenchi di fiducia nazionali. |
|
(4) |
Un prestatore di servizi fiduciari e i servizi fiduciari da esso forniti dovrebbero essere considerati qualificati quando nell'elenco di fiducia è associato al prestatore lo status qualificato. Al fine di garantire che gli altri obblighi derivanti dal regolamento (UE) n. 910/2014, in particolare quelli previsti dagli articoli 27 e 37, possano essere facilmente rispettati dai prestatori di servizi a distanza e per via elettronica e al fine di rispondere alle legittime aspettative di altri prestatori di servizi di certificazione che non rilasciano certificati qualificati ma forniscono servizi relativi alle firme elettroniche a norma della direttiva 1999/93/CE e sono catalogati entro il 30 giugno 2016, dovrebbe essere possibile per gli Stati membri aggiungere, su base volontaria e a livello nazionale, servizi di fiducia diversi da quelli qualificati negli elenchi di fiducia, purché sia chiaramente indicato che non sono qualificati a norma del regolamento (UE) n. 910/2014. |
|
(5) |
Conformemente al considerando 25 del regolamento (UE) n. 910/2014, gli Stati membri possono aggiungere tipi di servizi di fiducia definiti a livello nazionale diversi da quelli definiti all'articolo 3, paragrafo 16, del medesimo regolamento purché sia chiaramente indicato che non sono qualificati a norma dello stesso. |
|
(6) |
Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Gli Stati membri redigono, pubblicano e aggiornano elenchi di fiducia contenenti informazioni sui prestatori di servizi fiduciari qualificati su cui esercitano la vigilanza, nonché informazioni sui servizi fiduciari qualificati che essi forniscono. Tali elenchi sono conformi alle specifiche tecniche fissate nell'allegato I.
Articolo 2
Gli Stati membri possono includere negli elenchi di fiducia informazioni sui prestatori di servizi fiduciari non qualificati, insieme a informazioni relative ai servizi fiduciari non qualificati da essi forniti. L'elenco indica chiaramente quali prestatori di servizi fiduciari e servizi fiduciari da essi forniti non sono qualificati.
Articolo 3
(1) A norma dell'articolo 22, paragrafo 2, del regolamento (UE) n. 910/2014, gli Stati membri firmano o sigillano elettronicamente i propri elenchi di fiducia in una forma adatta al trattamento automatizzato, conformemente alle specifiche tecniche di cui all'allegato I.
(2) Se pubblica elettronicamente l'elenco di fiducia in una forma leggibile in chiaro, lo Stato membro fa in modo che esso contenga gli stessi dati figuranti nell'elenco redatto nella forma adatta al trattamento automatizzato e lo firma o lo sigilla elettronicamente, conformemente alle specifiche tecniche di cui all'allegato I.
Articolo 4
(1) Gli Stati membri notificano alla Commissione le informazioni di cui all'articolo 22, paragrafo 3, del regolamento (UE) n. 910/2014 utilizzando il modello figurante nell'allegato II.
(2) Le informazioni di cui al paragrafo 1 includono due o più certificati a chiave pubblica del gestore del regime, con periodi di validità sfasati di almeno tre mesi, corrispondenti alle chiavi private che possono essere usate per firmare o sigillare elettronicamente sia l'elenco di fiducia nella forma adatta al trattamento automatizzato sia l'elenco di fiducia nella forma leggibile in chiaro al momento della pubblicazione.
(3) A norma dell'articolo 22, paragrafo 4, del regolamento (UE) n. 910/2014, la Commissione rende pubbliche, attraverso un canale sicuro su un server web autenticato, le informazioni di cui ai paragrafi 1 e 2, notificate dagli Stati membri, in una forma adatta al trattamento automatizzato firmata o sigillata.
(4) La Commissione rende pubbliche, attraverso un canale sicuro su un server web autenticato, le informazioni di cui ai paragrafi 1 e 2, notificate dagli Stati membri, in una forma leggibile in chiaro firmata o sigillata.
Articolo 5
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
La presente decisione è obbligatoria in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, l'8 settembre 2015
Per la Commissione
Il presidente
Jean-Claude JUNCKER
(1) GU L 257 del 28.8.2014, pag. 73.
(2) Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l'uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).
(3) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).
ALLEGATO I
SPECIFICHE TECNICHE RELATIVE A UN MODELLO COMUNE PER GLI ELENCHI DI FIDUCIA
CAPITOLO I
REQUISITI GENERALI
Gli elenchi di fiducia includono sia le informazioni correnti sia quelle storiche, a partire dall'inclusione di un prestatore di servizi fiduciari in tali elenchi, sullo status dei servizi fiduciari elencati.
Nelle presenti specifiche le espressioni «soggetto ad approvazione», «soggetto ad accreditamento» e/o «soggetto a vigilanza» coprono anche i regimi nazionali di approvazione, ma gli Stati membri forniscono nei rispettivi elenchi di fiducia informazioni supplementari sulla natura di tali regimi nazionali, compresi chiarimenti sulle eventuali differenze rispetto ai regimi di vigilanza applicati ai prestatori di servizi fiduciari qualificati e ai servizi fiduciari qualificati da essi prestati.
Le informazioni fornite nell'elenco di fiducia sono finalizzate innanzi tutto a facilitare la convalida dei token dei servizi fiduciari qualificati, ossia degli oggetti (logici) fisici o binari generati o rilasciati a seguito dell'uso di un servizio fiduciario qualificato, ad esempio le firme/i sigilli elettronici qualificati, le firme/i sigilli elettronici avanzati basati su un certificato qualificato, le validazioni temporali qualificate, le prove di consegna elettronica qualificate e così via.
CAPITOLO II
SPECIFICHE DETTAGLIATE RELATIVE AL MODELLO COMUNE PER GLI ELENCHI DI FIDUCIA
Le presenti specifiche si basano sulle specifiche e sui requisiti di cui alle specifiche tecniche 119 612 v2.1.1 dell'ETSI (di seguito ETSI TS 119 612).
Qualora nelle presenti specifiche non siano stabiliti requisiti specifici, si applicano integralmente i requisiti delle clausole 5 e 6 delle ETSI TS 119 612. Se invece nelle presenti specifiche sono stabiliti requisiti specifici, questi prevalgono sui corrispondenti requisiti delle ETSI TS 119 612. In caso di discrepanza tra le presenti specifiche e le ETSI TS 119 612 prevalgono le presenti specifiche.
Scheme name (clausola 5.3.6)
Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.6 delle ETSI TS 119 612 e per il regime è utilizzata la seguente denominazione:
«EN_name_value»= «Elenco di fiducia contenente informazioni relative ai prestatori di servizi fiduciari qualificati soggetti alla vigilanza dello Stato membro emittente, unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati, conformemente alle pertinenti disposizioni del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.»
Scheme information URI (clausola 5.3.7)
Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.7 delle ETSI TS 119 612; le «informazioni appropriate sul regime» includono come minimo:
|
a) |
Informazioni introduttive generali, comuni a tutti gli Stati membri, relative all'ambito di applicazione e al contesto dell'elenco di fiducia, al regime soggiacente di vigilanza e, se del caso, il/i regime/i nazionale/i di approvazione (ad esempio per l'accreditamento). Il testo comune da utilizzare è il testo seguente, in cui la stringa di caratteri «[nome del pertinente Stato membro]» è sostituita dal nome del pertinente Stato membro: «Il presente elenco è l'elenco di fiducia che contiene informazioni relative ai prestatori di servizi fiduciari qualificati soggetti alla vigilanza di/dell'/del/della [nome del pertinente Stato membro], unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati, conformemente alle pertinenti disposizioni del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. L'uso transfrontaliero delle firme elettroniche è stato facilitato con la decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che ha fissato l'obbligo per gli Stati membri di elaborare, aggiornare e pubblicare elenchi di fiducia contenenti informazioni relative ai prestatori di servizi di certificazione che rilasciano al pubblico certificati qualificati in conformità alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche, e che sono soggetti a vigilanza/accreditamento da parte degli Stati membri. L'attuale elenco di fiducia è la continuazione dell'elenco di fiducia stabilito con la decisione 2009/767/CE.» Gli elenchi di fiducia sono elementi essenziali per l'instaurazione della fiducia tra gli operatori del mercato elettronico, in quanto consentono agli utenti di determinare lo status qualificato e la cronologia dello status dei prestatori di servizi fiduciari e dei servizi da essi prestati. Gli elenchi di fiducia degli Stati membri includono, come minimo, le informazioni di cui agli articoli 1 e 2 della decisione di esecuzione (UE) 2015/1505. Gli Stati membri possono includere negli elenchi di fiducia informazioni sui prestatori di servizi fiduciari non qualificati, assieme a informazioni relative ai servizi fiduciari non qualificati da essi prestati. È chiaramente indicato che essi non sono qualificati a norma del regolamento (UE) n. 910/2014. Gli Stati membri possono includere negli elenchi di fiducia informazioni sui tipi di servizi fiduciari definiti a livello nazionale diversi da quelli di cui all'articolo 3, punto 16, del regolamento (UE) n. 910/2014. È chiaramente indicato che essi non sono qualificati a norma del regolamento (UE) n. 910/2014. |
|
b) |
Informazioni specifiche sul regime soggiacente di vigilanza e, se del caso, il/i regime/i nazionale/i di approvazione (ad esempio per l'accreditamento), in particolare (1):
Per ognuno dei regimi soggiacenti sopraelencati dette informazioni specifiche includono quantomeno:
|
Scheme type/community/rules (clausola 5.3.9)
Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.9 delle ETSI TS 119 612.
Accetta solo URI in inglese britannico.
Comprende almeno due URI:
|
1) |
un URI comune agli elenchi di fiducia di tutti gli Stati membri che punta a un testo descrittivo applicabile a tutti gli elenchi di fiducia, come nel seguente esempio: URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon Testo descrittivo: «Participation in a scheme Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission. Policy/rules for the assessment of the listed services Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation. The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision (EU) 2015/1505. The trusted lists include both current and historical information about the status of listed trust services. Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed. Interpretation of the Trusted List The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows: The “qualified” status of a trust service is indicated by the combination of the “Service type identifier” (“Sti”) value in a service entry and the status according to the “Service current status” field value as from the date indicated in the “Current status starting date and time”. Historical information about such a qualified status is similarly provided when applicable. Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication: A “CA/QC” “Service type identifier” (“Sti”) entry (possibly further qualified as being a “RootCA-QC” through the use of the appropriate “Service information extension” (“Sie”) additionalServiceInformation Extension)
“Service digital identifiers” are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information. The general rule for interpretation of any other “Sti” type entry is that, for that “Sti” identified service type, the listed service named according to the “Service name” field value and uniquely identified by the “Service digital identity” field value has the current qualified or approval status according to the “Service current status” field value as from the date indicated in the “Current status starting date and time”. Specific interpretation rules for any additional information with regard to a listed service (e.g. “Service information extensions” field) may be found, when applicable, in the Member State specific URI as part of the present “Scheme type/community/rules” field. Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.»; |
|
2) |
un URI specifico per l'elenco di fiducia di ogni Stato membro che punta a un testo descrittivo applicabile all'elenco di fiducia dello Stato membro in questione: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC dove CC = codice paese ISO 3166-1 (2) alpha-2 utilizzato nel campo «Scheme territory» (clausola 5.3.10)
Gli Stati membri POSSONO definire e utilizzare URI supplementari per espandere l'URI specifico dello Stato membro di cui sopra (ossia URI definiti a partire da tale URI gerarchico specifico). |
TSL policy/legal notice (clausola 5.3.11)
Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.11 delle ETSI TS 119 612; l'avviso legale/sulla politica concernente lo status giuridico del regime o i requisiti giuridici soddisfatti dal regime nell'ordinamento in cui è stabilito e/o le eventuali limitazioni e condizioni in virtù delle quali l'elenco di fiducia è aggiornato e pubblicato sono una stringa di caratteri multilingue (cfr. clausola 5.1.4) che fornisce, in inglese britannico come lingua obbligatoria e facoltativamente in una o più lingue nazionali, il testo effettivo di tale avviso o politica secondo la struttura indicata di seguito:
|
(1) |
Una prima parte obbligatoria, comune agli elenchi di fiducia di tutti gli Stati membri, che indica il quadro giuridico applicabile e corrisponde alla seguente versione inglese: The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. Testo nella o nelle lingue ufficiali degli Stati membri: Il quadro giuridico applicabile al presente elenco di fiducia è il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. |
|
(2) |
Una seconda parte facoltativa, specifica per ciascun elenco di fiducia, che indica i riferimenti agli specifici quadri normativi nazionali applicabili. |
Service current status (clausola 5.5.4)
Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.5.4 delle ETSI TS 119 612.
La migrazione del valore «Service current status» dei servizi elencati nell'elenco di fiducia degli Stati membri dell'UE il giorno precedente la data di applicazione del regolamento (UE) n. 910/2014 (ossia, il 30 giugno 2016) è eseguita il giorno in cui è applicato il regolamento (ossia il 1o luglio 2016), come specificato nell'allegato J delle ETSI TS 119 612.
CAPITOLO III
CONTINUITÀ DEGLI ELENCHI DI FIDUCIA
I certificati da notificare alla Commissione a norma dell'articolo 4, paragrafo 2, della presente decisione sono conformi ai requisiti della clausola 5.7.1 delle ETSI TS 119 612 e sono rilasciati in modo da:
|
— |
essere sfasati di almeno tre mesi per data limite di validità («non oltre»); |
|
— |
essere creati su nuove coppie di chiavi. Le coppie di chiavi utilizzate in precedenza non possono essere nuovamente certificate. |
In caso di scadenza di uno dei certificati a chiave pubblica utilizzabile per convalidare la firma o il sigillo dell'elenco di fiducia e che è stato notificato alla Commissione e pubblicato nell'elenco centrale di puntatori della Commissione, gli Stati membri:
|
— |
se l'elenco di fiducia attualmente pubblicato è stato firmato o sigillato con una chiave privata il cui certificato a chiave pubblica è scaduto, ripubblicano senza indugio un nuovo elenco di fiducia firmato o sigillato con una chiave privata il cui certificato a chiave pubblica notificato non sia scaduto; |
|
— |
se richiesto, generano nuove coppie di chiavi utilizzabili per firmare o sigillare l'elenco di fiducia e per generare i corrispondenti certificati a chiave pubblica; |
|
— |
notificano tempestivamente alla Commissione il nuovo elenco di certificati a chiave pubblica corrispondenti alle chiavi private utilizzabili per firmare o sigillare l'elenco di fiducia. |
In caso di compromissione o disattivazione di una delle chiavi private corrispondenti a uno dei certificati a chiave pubblica utilizzabili per convalidare la firma o il sigillo dell'elenco di fiducia e che è stato notificato alla Commissione e pubblicato nell'elenco centrale di puntatori della Commissione, gli Stati membri:
|
— |
nel caso in cui l'elenco di fiducia pubblicato sia stato firmato o sigillato con una chiave privata compromessa o disattivata, ripubblicano senza indugio un nuovo elenco di fiducia firmato o sigillato con una chiave privata non compromessa; |
|
— |
se richiesto, generano nuove coppie di chiavi utilizzabili per firmare o sigillare l'elenco di fiducia e per generare i corrispondenti certificati a chiave pubblica; |
|
— |
notificano tempestivamente alla Commissione il nuovo elenco di certificati a chiave pubblica corrispondenti alle chiavi private utilizzabili per firmare o sigillare l'elenco di fiducia. |
In caso di compromissione o disattivazione di tutte le chiavi private corrispondenti ai certificati a chiave pubblica utilizzabili per convalidare la firma dell'elenco di fiducia e che sono stati notificati alla Commissione e pubblicati nell'elenco centrale di puntatori della Commissione, gli Stati membri:
|
— |
generano nuove coppie di chiavi utilizzabili per firmare o sigillare l'elenco di fiducia e per generare i corrispondenti certificati a chiave pubblica; |
|
— |
ripubblicano senza indugio un nuovo elenco di fiducia firmato o sigillato con una delle nuove chiavi private, il cui corrispondente certificato a chiave pubblica deve essere notificato; |
|
— |
notificano tempestivamente alla Commissione il nuovo elenco di certificati a chiave pubblica corrispondenti alle chiavi private utilizzabili per firmare o sigillare l'elenco di fiducia. |
CAPITOLO IV
SPECIFICHE PER LA FORMA LEGGIBILE IN CHIARO DELL'ELENCO DI FIDUCIA
Se prodotta e pubblicata, la forma leggibile in chiaro dell'elenco di fiducia è un documento PDF (Portable Document Format) conforme a ISO 32000 (3), da formattare conformemente al profilo PDF/A (ISO 19005 (4)).
Il contenuto della forma leggibile in chiaro dell'elenco di fiducia basata sul PDF/A è conforme ai seguenti requisiti:
|
— |
la struttura della forma leggibile in chiaro riflette il modello logico descritto nelle ETSI TS 119 612; |
|
— |
ogni campo presente è visibile e indica:
|
|
— |
nella forma leggibile in chiaro sono visibili almeno i seguenti campi e i corrispondenti valori dei certificati digitali (5), se presenti nel campo «Service digital identity»:
|
|
— |
la forma leggibile in chiaro è facile da stampare; |
|
— |
la forma leggibile in chiaro è firmata o sigillata dal gestore del regime in base alla firma avanzata PDF di cui agli articoli 1 e 3 della decisione di esecuzione (UE) 2015/1505 della Commissione. |
(1) Queste serie di informazioni rivestono un'importanza cruciale per le parti facenti affidamento sulla certificazione, in quanto consentono loro di valutare la qualità e il livello di sicurezza dei regimi. Tali serie di informazioni sono fornite nell'elenco di fiducia mediante l'uso dei seguenti campi: «Scheme information URI» (clausola 5.3.7, informazioni fornite dagli Stati membri), «Scheme type/community/rules» (clausola 5.3.9, testo comune a tutti gli Stati membri) e «TSL policy/legal notice» (clausola 5.3.11, testo comune a tutti gli Stati membri, con la possibilità per ciascuno di essi di aggiungere testi/riferimenti ad esso specifici). Informazioni supplementari su tali regimi per i servizi fiduciari non qualificati e i servizi fiduciari (qualificati) definiti a livello nazionale possono essere fornite a livello del servizio, se pertinente e richiesto (ad esempio per distinguere tra livelli diversi di qualità/sicurezza), mediante l'uso del campo «Scheme service definition URI» (clausola 5.5.6).
(2) ISO 3166-1:2006: «Codes for the representation of names of countries and their subdivisions — Part 1: Country codes».
(3) ISO 32000-1:2008: Document management -- Portable document format -- Part 1: PDF 1.7
(4) ISO 19005-2:2011: Document management -- Electronic document file format for long-term preservation -- Part 2: Use of ISO 32000-1 (PDF/A-2)
(5) Raccomandazione ITU-T X.509 | ISO/IEC 9594-8: Information technology — Open systems interconnection — The Directory: Public-key and attribute certificate frameworks (cfr. http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)
(6) PDF 5280: certificato Internet X. 509 PKI e profilo CRL
(7) PDF 3739: Internet X.509 PKI: Profilo di certificato qualificato.
ALLEGATO II
MODELLO PER LE NOTIFICHE DEGLI STATI MEMBRI
Le informazioni da notificare agli Stati membri a norma dell'articolo 4, paragrafo 1, della presente decisione contengono i dati seguenti e le eventuali modifiche ad essi apportate:
|
(1) |
Stato membro, utilizzando i codici ISO 3166-1 (1) Alpha 2 con le seguenti eccezioni:
|
|
(2) |
Organismo o organismi responsabili dell'istituzione, dell'aggiornamento e della pubblicazione degli elenchi di fiducia nella forma adatta al trattamento automatizzato e nella forma leggibile in chiaro:
|
|
(3) |
Luogo in cui è pubblicato l'elenco di fiducia nella forma adatta al trattamento automatizzato (luogo in cui è pubblicato l'elenco di fiducia corrente). |
|
(4) |
Se del caso, luogo in cui è pubblicato l'elenco di fiducia nella forma leggibile in chiaro (luogo in cui è pubblicato l'elenco di fiducia corrente). Nel caso in cui un elenco di fiducia leggibile in chiaro non sia più pubblicato, indicazione in merito. |
|
(5) |
Certificati a chiave pubblica corrispondenti alle chiave private utilizzabili per firmare o sigillare elettronicamente l'elenco di fiducia nella forma adatta al trattamento automatizzato e gli elenchi di fiducia nella forma leggibile in chiaro: tali certificati sono forniti come certificati DER codificati Privacy Enhanced Mail Base64. Per una notifica di variazione, ulteriori informazioni nel caso in cui un nuovo certificato debba sostituire un certificato specifico nell'elenco della Commissione e nel caso in cui il certificato notificato debba essere aggiunto a quello/i esistente/i senza effettuare alcuna sostituzione. |
|
(6) |
Data di trasmissione dei dati notificati di cui ai punti da (1) a (5). |
I dati notificati di cui ai punti (1), (2) (a), (3), (4) e (5) sono inclusi nell'elenco compilato dalla Commissione europea degli elenchi di fiducia in sostituzione delle informazioni notificate in precedenza incluse in detto elenco compilato.
(1) ISO 3166-1: «Codes for the representation of names of countries and their subdivisions — Part 1: Country codes».
|
9.9.2015 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 235/37 |
DECISIONE DI ESECUZIONE (UE) 2015/1506 DELLA COMMISSIONE
dell'8 settembre 2015
che stabilisce le specifiche relative ai formati delle firme elettroniche avanzate e dei sigilli avanzati che gli organismi del settore pubblico devono riconoscere, di cui all'articolo 27, paragrafo 5, e all'articolo 37, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 27, paragrafo 5, e l'articolo 37, paragrafo 5,
considerando quanto segue:
|
(1) |
È indispensabile che gli Stati membri si dotino degli strumenti tecnici necessari al trattamento dei documenti firmati elettronicamente che sono richiesti quando si utilizza un servizio online offerto da un organismo del settore pubblico o per suo conto. |
|
(2) |
Il regolamento (UE) n. 910/2014 obbliga gli Stati membri che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per l'uso di un servizio online offerto da un organismo del settore pubblico, o per suo conto, a riconoscere le firme e i sigilli elettronici avanzati, le firme e i sigilli elettronici avanzati basati su un certificato qualificato e le firme e i sigilli elettronici qualificati aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento. |
|
(3) |
Per definire i formati e i metodi di riferimento specifici, è opportuno tenere conto delle prassi, delle norme e degli atti giuridici dell'Unione esistenti. |
|
(4) |
La decisione di esecuzione 2014/148/UE (2) della Commissione ha definito una serie di formati di firma elettronica avanzata più comuni che gli Stati membri sono tenuti a supportare tecnicamente, qualora siano necessarie firme elettroniche avanzate per una procedura amministrativa online. La definizione di formati di riferimento è intesa a facilitare la convalida transfrontaliera delle firme elettroniche e a migliorare l'interoperabilità transfrontaliera delle procedure elettroniche. |
|
(5) |
Le norme elencate nell'allegato della presente decisione sono le norme esistenti in materia di formati di firma elettronica avanzata. A causa della revisione in corso, da parte degli enti di normazione, delle forme di archiviazione a lungo termine dei formati di riferimento, le norme relative all'archiviazione a lungo termine sono escluse dal campo di applicazione della presente decisione. Quando sarà disponibile la nuova versione delle norme di riferimento, i riferimenti alle norme e alle clausole sull'archiviazione a lungo termine saranno modificati. |
|
(6) |
Le firme elettroniche avanzate e i sigilli elettronici avanzati sono simili dal punto di vista tecnico. Pertanto le norme per i formati delle firme elettroniche avanzate dovrebbero applicarsi mutatis mutandis ai formati per i sigilli elettronici avanzati. |
|
(7) |
Qualora, per l'apposizione di una firma o di un sigillo, vengano utilizzati formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati dal punto di vista tecnico, dovrebbero essere forniti mezzi di convalida che consentano la verifica transfrontaliera di tali firme o sigilli. Al fine di consentire allo Stato membro ricevente di poter fare affidamento sugli strumenti di convalida di un altro Stato membro, è necessario fornire informazioni facilmente accessibili su tali mezzi inserendole nei documenti elettronici, nelle firme elettroniche o nei contenitori dei documenti elettronici. |
|
(8) |
Se nei servizi pubblici di uno Stato membro sono disponibili possibilità di convalida della firma elettronica o del sigillo elettronico idonee al trattamento automatico, esse dovrebbero essere rese disponibili e fornite nello Stato membro ricevente. Tuttavia, nel caso in cui non sia possibile il trattamento automatico delle possibilità di convalida per metodi alternativi, la presente decisione non dovrebbe impedire l'applicazione dell'articolo 27, paragrafi 1 e 2, e dell'articolo 37, paragrafi 1 e 2, del regolamento (UE) n. 910/2014. |
|
(9) |
Al fine di fornire requisiti analoghi per la convalida e accrescere la fiducia nelle possibilità di convalida offerte dagli Stati membri per formati di firma elettronica o di sigillo elettronico diversi da quelli comunemente supportati, i requisiti fissati nella presente decisione per gli strumenti di convalida derivano dai requisiti per la convalida delle firme elettroniche qualificate e dei sigilli elettronici qualificati di cui agli articoli 32 e 40 del regolamento (UE) n. 910/2014. |
|
(10) |
Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, secondo quanto disposto dall'articolo 27, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono la firma elettronica avanzata XML, CMS o PDF al livello di conformità B, T o LT o tramite contenitore con firma associata, purché tali firme siano conformi alle specifiche tecniche riportate nell'allegato.
Articolo 2
1. Gli Stati membri che richiedono una firma elettronica avanzata o una firma elettronica avanzata basata su un certificato qualificato, secondo quanto disposto dall'articolo 27, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono formati di firma elettronica diversi da quelli di cui all'articolo 1 della presente decisione, a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal firmatario offra agli altri Stati membri possibilità di convalida della firma, idonee ove possibile al trattamento automatico.
2. Le possibilità di convalida della firma:
|
a) |
permettono agli altri Stati membri di convalidare online, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute; |
|
b) |
sono indicate nel documento firmato, nella firma elettronica o nel contenitore del documento elettronico; |
|
c) |
confermano la validità della firma elettronica avanzata, purché:
|
Articolo 3
Gli Stati membri che richiedono un sigillo elettronico avanzato o un sigillo elettronico avanzato basato su un certificato qualificato, secondo quanto disposto dall'articolo 37, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono il sigillo elettronico avanzato XML, CMS o PDF al livello di conformità B, T o LT o tramite contenitore con sigillo associato, purché tali sigilli siano conformi alle specifiche tecniche riportate nell'allegato.
Articolo 4
1. Gli Stati membri che richiedono un sigillo elettronico avanzato o un sigillo elettronico avanzato basato su un certificato qualificato, secondo quanto disposto dall'articolo 37, paragrafi 1 e 2, del regolamento (UE) n. 910/2014, riconoscono formati di sigillo elettronico diversi da quelli di cui all'articolo 3 della presente decisione, a condizione che lo Stato membro in cui è stabilito il prestatore di servizi fiduciari utilizzato dal creatore del sigillo offra agli altri Stati membri possibilità di convalida del sigillo, idonee ove possibile al trattamento automatico.
2. Le possibilità di convalida del sigillo:
|
a) |
permettono agli altri Stati membri di convalidare online, gratuitamente e in modo comprensibile per i non madrelingua, i sigilli elettronici ricevuti; |
|
b) |
sono indicate nel documento sigillato, nel sigillo elettronico o nel contenitore del documento elettronico; |
|
c) |
confermano la validità del sigillo elettronico avanzato, purché:
|
Articolo 5
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
La presente decisione è obbligatoria in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, l'8 settembre 2015
Per la Commissione
Il presidente
Jean-Claude JUNCKER
(1) GU L 257 del 28.8.2014, pag. 73.
(2) Decisione di esecuzione 2014/148/UE della Commissione, del 17 marzo 2014, che modifica la decisione 2011/130/UE che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 80 del 19.3.2014, pag. 7).
ALLEGATO
Elenco delle specifiche tecniche per le firme elettroniche avanzate XML, CMS o PDF e per il contenitore con firma associata
Le firme elettroniche avanzate di cui all'articolo 1 della decisione devono rispettare una delle seguenti specifiche tecniche ETSI, ad eccezione della clausola 9:
|
Profilo di base XAdES |
ETSI TS 103171 v.2.1.1. (1) |
|
Profilo di base CAdES |
ETSI TS 103173 v.2.2.1. (2) |
|
Profilo di base PAdES |
ETSI TS 103172 v.2.2.2. (3) |
Il contenitore con firma associata di cui all'articolo 1 della decisione deve rispettare le seguenti specifiche tecniche ETSI:
|
Profilo di base del contenitore con firma associata |
ETSI TS 103174 v.2.2.1. (4) |
Elenco delle specifiche tecniche per i sigilli elettronici avanzati XML, CMS o PDF e per il contenitore con sigillo associato
I sigilli elettronici avanzati di cui all'articolo 3 della decisione devono rispettare una delle seguenti specifiche tecniche ETSI, ad eccezione della clausola 9:
|
Profilo di base XAdES |
ETSI TS 103171 v.2.1.1. |
|
Profilo di base CAdES |
ETSI TS 103173 v.2.2.1. |
|
Profilo di base PAdES |
ETSI TS 103172 v.2.2.2. |
Il contenitore con sigillo associato di cui all'articolo 3 della decisione deve rispettare le seguenti specifiche tecniche ETSI:
|
Profilo di base del contenitore con sigillo associato |
ETSI TS 103174 v.2.2.1. |
(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf
(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf
(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf
(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf