|
Gazzetta ufficiale |
IT Serie L |
|
2025/848 |
7.5.2025 |
REGOLAMENTO DI ESECUZIONE (UE) 2025/848 DELLA COMMISSIONE
del 6 maggio 2025
recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la registrazione delle parti facenti affidamento sul portafoglio
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l’articolo 5 ter, paragrafo 11,
considerando quanto segue:
|
(1) |
Ai fini della registrazione delle parti facenti affidamento sulla certificazione che intendono avvalersi dei portafogli europei di identità digitale («portafogli») per la fornitura di servizi digitali pubblici o privati, come previsto dal regolamento (UE) n. 910/2014, gli Stati membri dovrebbero istituire e mantenere registri nazionali delle parti facenti affidamento sul portafoglio stabilite nel loro territorio. |
|
(2) |
La Commissione valuta periodicamente tecnologie, pratiche, norme e specifiche tecniche nuove. Al fine di garantire il massimo livello di armonizzazione tra gli Stati membri per lo sviluppo e la certificazione dei portafogli, le specifiche tecniche di cui al presente regolamento si fondano sul lavoro svolto nell’ambito della raccomandazione (UE) 2021/946 della Commissione (2), in particolare l’architettura e il quadro di riferimento che ne fanno parte. Conformemente al considerando 75 del regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (3), la Commissione dovrebbe riesaminare e, se necessario, aggiornare il presente regolamento per mantenerlo in linea con gli sviluppi globali, l’architettura e il quadro di riferimento e per seguire le migliori pratiche sul mercato interno. |
|
(3) |
Per garantire un ampio accesso ai registri e assicurare l’interoperabilità, gli Stati membri dovrebbero predisporre interfacce leggibili sia da utenti umani sia da dispositivi automatici che soddisfino le specifiche tecniche stabilite nel presente regolamento. Anche i fornitori di certificati di accesso della parte facente affidamento sul portafoglio e di certificati di registrazione della parte facente affidamento sul portafoglio, ove disponibili, dovrebbero poter avvalersi delle suddette interfacce ai fini del rilascio di tali certificati. |
|
(4) |
Poiché le politiche di registrazione forniscono alle parti facenti affidamento sul portafoglio orientamenti chiari in merito alla procedura di registrazione, gli Stati membri dovrebbero definire e pubblicare le politiche di registrazione applicabili ai registri nazionali istituiti nel proprio territorio. |
|
(5) |
La registrazione delle parti facenti affidamento sul portafoglio è intesa a rafforzare la fiducia nell’utilizzo dei portafogli attraverso una maggiore trasparenza. Gli Stati membri dovrebbero pertanto mettere a disposizione del pubblico le informazioni rilevanti in un formato leggibile sia da utenti umani sia da dispositivi automatici. A tal fine le parti facenti affidamento sul portafoglio dovrebbero fornire ai registri nazionali le informazioni necessarie, comprese le loro qualifiche. |
|
(6) |
Inoltre, ai fini di trasparenza, le parti facenti affidamento sul portafoglio dovrebbero dichiarare se intendono avvalersi dell’identificazione elettronica delle persone fisiche. |
|
(7) |
Per garantire che il processo di registrazione sia efficace in termini di costi e proporzionato al rischio, i conservatori dei registri dovrebbero istituire procedure di registrazione online e, se del caso, automatizzate per le parti facenti affidamento sul portafoglio, che siano di facile utilizzo. I conservatori dei registri dovrebbero verificare le domande di registrazione senza indebito ritardo. |
|
(8) |
Gli Stati membri sono tenuti a garantire che i portafogli siano in grado di autenticare parti facenti affidamento sul portafoglio indipendentemente dal luogo in cui sono stabilite nell’Unione. A tal fine, quando si identificano nei confronti delle unità di portafoglio, le parti facenti affidamento sul portafoglio dovrebbero utilizzare certificati di accesso della parte facente affidamento sul portafoglio. Per garantire l’interoperabilità di detti certificati su tutti i portafogli forniti nell’Unione, i certificati di accesso della parte facente affidamento sul portafoglio dovrebbero rispettare requisiti comuni definiti nell’allegato. La Commissione dovrebbe elaborare politiche di certificazione e dichiarazioni sulle pratiche di certificazione armonizzate che dovrebbero essere attuate dagli Stati membri. La Commissione, collaborando con gli Stati membri, dovrebbe monitorare attentamente lo sviluppo di norme nuove o alternative in base alle quali potrebbero essere implementati i certificati di accesso della parte facente affidamento sul portafoglio. In particolare dovrebbero essere valutati i modelli di fiducia che hanno dimostrato la loro efficacia e sicurezza negli Stati membri. |
|
(9) |
Come stabilito nel regolamento (UE) n. 910/2014, le parti facenti affidamento sul portafoglio non devono chiedere agli utenti di fornire dati diversi da quelli indicati per l’uso previsto dei portafogli durante la procedura di registrazione. Gli utenti del portafoglio dovrebbero essere in grado di verificare i dati di registrazione delle parti facenti affidamento sul portafoglio. Per consentire agli utenti del portafoglio di verificare che gli attributi richiesti dalla parte facente affidamento sul portafoglio rientrino nell’ambito di applicazione dei loro attributi registrati, gli Stati membri possono imporre il rilascio di certificati di registrazione della parte facente affidamento sul portafoglio alle parti facenti affidamento sul portafoglio registrate. Al fine di garantire l’interoperabilità dei certificati di registrazione della parte facente affidamento sul portafoglio, gli Stati membri dovrebbero provvedere affinché tali certificati rispettino i requisiti e le norme di cui all’allegato. In particolare, le parti facenti affidamento sul portafoglio dovrebbero dichiarare se intendono avvalersi dell’identificazione elettronica delle persone fisiche per soddisfare uno dei requisiti di cui all’articolo 6, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4) ai fini di trasparenza. Le parti facenti affidamento sulla certificazione non dovrebbero inoltre rifiutare l’uso di pseudonimi se l’identificazione dell’utente non è richiesta dal diritto dell’Unione o nazionale. |
|
(10) |
Per proteggere gli utenti dall’eccessiva condivisione di informazioni con le parti facenti affidamento sul portafoglio e avvertirli in tali casi, gli Stati membri dovrebbero includere, nelle proprie politiche di certificazione, politiche comuni di accesso che consentano a una soluzione di portafoglio di informare l’utente del portafoglio ogniqualvolta una parte facente affidamento sul portafoglio chieda più informazioni di quelle che ha registrato o a cui è stata autorizzata ad accedere. |
|
(11) |
Per proteggere gli utenti del portafoglio, i conservatori dei registri dovrebbero poter sospendere o cancellare la registrazione delle parti facenti affidamento sul portafoglio senza preavviso qualora abbiano motivo di ritenere che la registrazione contenga informazioni inesatte, obsolete o fuorvianti, che la parte facente affidamento sul portafoglio non rispetti la politica di registrazione; oppure che la parte facente affidamento sul portafoglio stia in altro modo agendo in violazione del diritto dell’Unione o nazionale o della dichiarazione europea sui diritti e i principi digitali per il decennio digitale (5) per quanto riguarda il proprio ruolo di parte facente affidamento sul portafoglio, ad esempio nel caso in cui la parte in questione non abbia doverosamente ridotto al minimo la serie di attributi a cui chiede accesso. Al fine di salvaguardare la stabilità dell’ecosistema dei portafogli europei di identità digitale («ecosistema dei portafogli»), la decisione di sospendere o cancellare una registrazione dovrebbe essere proporzionata alla perturbazione del servizio causata dalla sospensione o dalla cancellazione e ai relativi costi e disagi per il prestatore di servizi e l’utente. A norma dell’articolo 46 bis, paragrafo 4, lettera f), del regolamento (UE) n. 910/2014, anche gli organismi di vigilanza hanno il potere di sospendere o cancellare la registrazione, se necessario. |
|
(12) |
Ai fini del controllo ex post, delle indagini da parte delle autorità di contrasto e della gestione delle controversie, i conservatori dei registri dovrebbero conservare per 10 anni le registrazioni di tutte le informazioni fornite dalle parti facenti affidamento sul portafoglio nel proprio registro nazionale. |
|
(13) |
Il regolamento (UE) 2016/679 e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (6) si applicano a tutte le attività di trattamento di dati personali ai sensi del presente regolamento. |
|
(14) |
Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (7), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 31 gennaio 2025. |
|
(15) |
Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall’articolo 48 del regolamento (UE) n. 910/2014, |
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
Oggetto e ambito di applicazione
Il presente regolamento stabilisce le norme per la registrazione delle parti facenti affidamento sul portafoglio.
Articolo 2
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
|
(1) |
«parte facente affidamento sul portafoglio»: una parte facente affidamento sulla certificazione che intende fare affidamento sulle unità di portafoglio per la prestazione di servizi pubblici o privati mediante interazione digitale; |
|
(2) |
«unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio; |
|
(3) |
«soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio; |
|
(4) |
«istanza di portafoglio»: l’applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un’unità di portafoglio, e che l’utente del portafoglio utilizza per interagire con l’unità di portafoglio; |
|
(5) |
«applicazione crittografica sicura per il portafoglio»: un’applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l’uso di tali funzioni; |
|
(6) |
«dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all’applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l’esecuzione sicura di operazioni critiche; |
|
(7) |
«risorse critiche»: risorse all’interno di un’unità di portafoglio o ad essa relative, di importanza tale che un’eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull’unità di portafoglio; |
|
(8) |
«fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio; |
|
(9) |
«utente del portafoglio»: un utente che ha il controllo dell’unità di portafoglio; |
|
(10) |
«registro nazionale delle parti facenti affidamento sul portafoglio»: un registro elettronico nazionale utilizzato da uno Stato membro per rendere pubbliche le informazioni sulle parti facenti affidamento sul portafoglio registrate in tale Stato membro a norma dell’articolo 5 ter, paragrafo 5, del regolamento (UE) n. 910/2014; |
|
(11) |
«fornitore di certificati di accesso della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di accesso delle parti facenti affidamento sul portafoglio alle parti facenti affidamento sul portafoglio registrate in tale Stato membro; |
|
(12) |
«certificato di accesso della parte facente affidamento sul portafoglio»: un certificato per sigilli elettronici o firme elettroniche che autenticano e convalidano la parte facente affidamento sul portafoglio, rilasciato da un fornitore di certificati di accesso della parte facente affidamento sul portafoglio; |
|
(13) |
«fornitore di dati di identificazione personale»: la persona fisica o giuridica responsabile del rilascio e della revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un’unità di portafoglio; |
|
(14) |
«conservatore dei registri delle parti facenti affidamento sul portafoglio»: l’organismo incaricato di redigere e mantenere l’elenco delle parti facenti affidamento sul portafoglio registrate stabilite nel proprio territorio e che è stato designato da uno Stato membro; |
|
(15) |
«certificato di registrazione della parte facente affidamento sul portafoglio»: un oggetto di dati che descrive l’uso previsto della parte facente affidamento sulla certificazione e indica gli attributi che tale parte ha registrato e intende richiedere agli utenti; |
|
(16) |
«fornitore di certificati di registrazione della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di registrazione delle parti facenti affidamento sul portafoglio alle parti facenti affidamento sul portafoglio registrate in tale Stato membro. |
Articolo 3
Registri nazionali
1. Gli Stati membri istituiscono e mantengono almeno un registro nazionale delle parti facenti affidamento sul portafoglio contenente informazioni sulle parti facenti affidamento sul portafoglio registrate stabilite in tale Stato membro.
2. Il registro comprende almeno le informazioni indicate nell’allegato I.
3. Gli Stati membri designano almeno un conservatore dei registri per la gestione e il funzionamento di almeno un registro nazionale delle parti facenti affidamento sul portafoglio.
4. Gli Stati membri rendono pubbliche online le informazioni di cui all’allegato I sulle parti facenti affidamento sul portafoglio registrate, sia in un formato leggibile da utenti umani che in un formato adatto al trattamento automatizzato.
5. Le informazioni di cui al paragrafo 2 sono disponibili attraverso un’interfaccia di programmazione di un’applicazione («API») comune unica e un sito web nazionale. Esse sono firmate o sigillate elettronicamente dal conservatore dei registri o per suo conto, conformemente ai requisiti comuni per un’API unica di cui all’allegato II, sezione 1.
6. Gli Stati membri provvedono affinché l’API di cui al paragrafo 5 sia conforme ai requisiti comuni di cui all’allegato II, sezione 2.
7. Gli Stati membri provvedono affinché i registri siano conformi alle politiche di registrazione comuni pertinenti definite all’articolo 4.
Articolo 4
Politiche di registrazione
1. Gli Stati membri definiscono e pubblicano una o più politiche nazionali di registrazione applicabili ai registri nazionali istituiti nel loro territorio.
2. Gli Stati membri possono inserire o riutilizzare le politiche di registrazione settoriali o nazionali esistenti.
3. La politica nazionale di registrazione comprende almeno informazioni riguardanti:
|
a) |
le procedure di identificazione e autenticazione applicabili alle parti facenti affidamento sul portafoglio durante la procedura di registrazione; |
|
b) |
la documentazione giustificativa richiesta relativa all’identità, all’iscrizione nel registro delle imprese, alle qualifiche applicabili e alle altre informazioni pertinenti sulla parte facente affidamento sul portafoglio; |
|
c) |
le fonti autentiche o altre registrazioni elettroniche ufficiali e la possibilità di avvalersi di tali fonti o registrazioni per ottenere dati esatti; |
|
d) |
altre informazioni o altri elementi di prova richiesti nell’ambito della procedura di registrazione; |
|
e) |
se del caso, i mezzi automatizzati per consentire alle parti facenti affidamento sul portafoglio di registrarsi o di aggiornare una registrazione esistente; |
|
f) |
il meccanismo di ricorso a disposizione delle parti facenti affidamento sul portafoglio conformemente alle leggi e alle procedure dello Stato membro in cui è istituito il registro nazionale; |
|
g) |
le norme e le procedure per la verifica dell’identità delle parti facenti affidamento sul portafoglio registrate e di qualsiasi altra informazione rilevante fornita da tali parti. |
4. Le procedure e la documentazione di cui al paragrafo 3, lettere (a) e (b), consentono alle parti facenti affidamento sul portafoglio di indicare le qualifiche specifiche in forza delle quali operano, come indicato nell’allegato I.
5. Se del caso, i requisiti stabiliti nella politica nazionale di registrazione non ostacolano una procedura di registrazione automatizzata.
Articolo 5
Informazioni da fornire ai registri nazionali
1. Le parti facenti affidamento sul portafoglio forniscono ai registri nazionali almeno le informazioni indicate nell’allegato I.
2. Le parti facenti affidamento sul portafoglio garantiscono che le informazioni fornite siano esatte al momento della registrazione
3. Le parti facenti affidamento sul portafoglio aggiornano senza indebito ritardo eventuali informazioni precedentemente registrate nel registro nazionale delle parti facenti affidamento sul portafoglio.
Articolo 6
Procedure di registrazione
1. I conservatori dei registri istituiscono procedure di registrazione elettroniche e, ove possibile, automatizzate per le parti facenti affidamento sul portafoglio, che siano di facile utilizzo.
2. Essi trattano le domande di registrazione senza indebito ritardo e forniscono al richiedente una risposta in merito alla domanda di registrazione entro il termine definito nella politica di registrazione applicabile, utilizzando mezzi adeguati e conformemente alle leggi e alle procedure dello Stato membro in cui è istituito il registro nazionale.
3. Ove possibile, i conservatori dei registri verificano in modo automatizzato:
|
a) |
l’esattezza, la validità, l’autenticità e l’integrità delle informazioni richieste a norma dell’articolo 5; |
|
b) |
se del caso, la procura dei rappresentanti delle parti facenti affidamento sul portafoglio redatta e presentata conformemente alle leggi e alle procedure dello Stato membro in cui è istituito il registro nazionale; |
|
c) |
il tipo di qualifiche delle parti facenti affidamento sul portafoglio di cui all’allegato I; |
|
d) |
l’assenza di una registrazione esistente in un altro registro nazionale. |
4. I conservatori dei registri verificano le informazioni di cui al paragrafo 3 a fronte della documentazione giustificativa fornita dalle parti facenti affidamento sul portafoglio o di fonti autentiche adeguate o di altre registrazioni elettroniche ufficiali nello Stato membro in cui è istituito il registro nazionale e alle quali hanno accesso conformemente alle leggi e alle procedure nazionali applicabili.
5. La verifica delle qualifiche delle parti facenti affidamento sul portafoglio di cui al paragrafo 3, lettera (c) è effettuata conformemente all’allegato III.
6. Se non può verificare le informazioni conformemente ai paragrafi da 3 a 5, il conservatore dei registri rifiuta la registrazione.
7. Qualora non intenda più avvalersi di unità di portafoglio per la prestazione di servizi pubblici o privati nell’ambito di una registrazione specifica, una parte facente affidamento sul portafoglio ne informa senza indebito ritardo il conservatore dei registri competente e chiede la cancellazione di tale registrazione.
Articolo 7
Certificati di accesso della parte facente affidamento sul portafoglio
1. Gli Stati membri autorizzano almeno un’autorità di certificazione a rilasciare certificati di accesso della parte facente affidamento sul portafoglio.
2. Gli Stati membri provvedono affinché i fornitori di certificati di accesso della parte facente affidamento sul portafoglio rilascino tali certificati esclusivamente alle parti facenti affidamento sul portafoglio registrate.
3. Gli Stati membri attuano in modo armonizzato dal punto di vista sintattico e semantico le politiche di certificazione e le dichiarazioni sulle pratiche di certificazione per i certificati di accesso della parte facente affidamento sul portafoglio, conformemente ai requisiti di cui all’allegato IV.
Articolo 8
Certificati di registrazione della parte facente affidamento sul portafoglio
1. Gli Stati membri possono autorizzare almeno un’autorità di certificazione a rilasciare certificati di registrazione della parte facente affidamento sul portafoglio.
2. Se ha autorizzato il rilascio di un certificato di registrazione della parte facente affidamento sul portafoglio, lo Stato membro:
|
a) |
impone ai fornitori di certificati di registrazione della parte facente affidamento sul portafoglio di rilasciare tali certificati esclusivamente alle parti facenti affidamento sul portafoglio registrate; |
|
b) |
provvede affinché sui certificati di registrazione della parte facente affidamento sul portafoglio sia indicato ciascun uso previsto; |
|
c) |
provvede affinché nei certificati di registrazione della parte facente affidamento sul portafoglio sia inclusa una politica generale di accesso, armonizzata in tutta l’Unione dal punto di vista sintattico e semantico, che informi gli utenti che la parte facente affidamento sul portafoglio è autorizzata unicamente a richiedere i dati specificati nei certificati di registrazione per l’uso previsto registrato nei certificati stessi; |
|
d) |
provvede affinché i fornitori delle soluzioni di portafoglio stabiliti nel suo territorio rispettino la politica generale di accesso informando gli utenti quando una parte facente affidamento sul portafoglio richiede dati non specificati nei certificati di registrazione; |
|
e) |
implementa i certificati di registrazione della parte facente affidamento sul portafoglio in modo armonizzato dal punto di vista sintattico e semantico e conformemente ai requisiti di cui all’allegato V; |
|
f) |
implementa politiche di certificazione e dichiarazioni sulle pratiche di certificazione specifiche per i certificati di registrazione della parte facente affidamento sul portafoglio, conformemente ai requisiti di cui all’allegato V; |
|
g) |
provvede affinché le parti facenti affidamento sul portafoglio forniscano un URL dell’informativa sulla privacy relativa all’uso previsto. |
3. La politica di cui alla lettera g) è espressa nel certificato di registrazione della parte facente affidamento sul portafoglio.
Articolo 9
Sospensione e cancellazione della registrazione
1. I conservatori dei registri sospendono o cancellano la registrazione di una parte facente affidamento sul portafoglio qualora tale sospensione o cancellazione sia richiesta da un organismo di vigilanza a norma dell’articolo 46 bis, paragrafo 4, lettera f), del regolamento (UE) n. 910/2014.
2. I conservatori dei registri possono sospendere o cancellare la registrazione di una parte facente affidamento sul portafoglio se hanno motivo di ritenere che sussista uno dei casi seguenti:
|
a) |
la registrazione contiene informazioni inesatte, obsolete o fuorvianti; |
|
b) |
la parte facente affidamento sul portafoglio non rispetta la politica di registrazione; |
|
c) |
la parte facente affidamento sul portafoglio richiede più attributi di quelli registrati conformemente agli articoli 5 e 6; |
|
d) |
la parte facente affidamento sul portafoglio sta in altro modo agendo in violazione del diritto dell’Unione o nazionale per quanto riguarda il proprio ruolo di parte facente affidamento sul portafoglio. |
3. I conservatori dei registri sospendono o cancellano la registrazione di una parte facente affidamento sul portafoglio se la richiesta di cancellazione o sospensione è presentata dalla parte stessa.
4. Nel valutare la sospensione o la cancellazione conformemente al paragrafo 2, il conservatore dei registri effettua una valutazione della proporzionalità, tenendo conto dell’impatto sui diritti fondamentali, sulla sicurezza e sulla riservatezza degli utenti nell’ecosistema, nonché della gravità della perturbazione che si prevede sarebbe causata dalla sospensione o dalla cancellazione e dei relativi costi, sia per la parte facente affidamento sul portafoglio che per l’utente. Sulla base dell’esito di tale valutazione, il conservatore dei registri può sospendere o cancellare la registrazione dandone o meno preavviso alla parte facente affidamento sul portafoglio interessata.
5. Se la registrazione di una parte facente affidamento sul portafoglio è sospesa o cancellata, il conservatore dei registri ne informa il fornitore dei pertinenti certificati di accesso della parte facente affidamento sul portafoglio, il fornitore dei pertinenti certificati di registrazione della parte facente affidamento sul portafoglio e la parte facente affidamento sul portafoglio interessata, senza indebito ritardo e non oltre 24 ore dopo la sospensione o la cancellazione. Tale comunicazione comprende informazioni sui motivi della sospensione o della cancellazione e sui mezzi di ricorso o di impugnazione disponibili.
6. Il fornitore di certificati di accesso della parte facente affidamento sul portafoglio e il fornitore di certificati di registrazione della parte facente affidamento sul portafoglio revocano, se del caso, senza indebito ritardo, rispettivamente i certificati di accesso e i certificati di registrazione della parte facente affidamento sul portafoglio la cui registrazione è stata sospesa o cancellata.
Articolo 10
Obbligo di conservazione delle informazioni
I conservatori dei registri conservano per 10 anni le registrazioni delle informazioni fornite dalle parti facenti affidamento sul portafoglio e registrate conformemente all’allegato I ai fini della registrazione di una parte facente affidamento sul portafoglio e del rilascio dei certificati di accesso e dei certificati di registrazione della parte facente affidamento sul portafoglio, nonché di eventuali modifiche successive di tali informazioni.
Articolo 11
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Esso si applica a decorrere dal 24 dicembre 2026.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 6 maggio 2025
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 257 del 28.8.2014, pag. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Raccomandazione (UE) 2021/946 della Commissione, del 3 giugno 2021, relativa a un pacchetto di strumenti comuni dell’Unione per un approccio coordinato verso un quadro europeo relativo a un’identità digitale (GU L 210 del 14.6.2021, pag. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(3) Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) GU C 23 del 23.1.2023, pag. 1.
(6) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ALLEGATO I
Informazioni relative alle parti facenti affidamento sul portafoglio
|
1. |
Se del caso, il nome della parte facente affidamento sul portafoglio, quale appare in un documento ufficiale unitamente ai dati di identificazione di tale documento ufficiale.
|
|
2. |
Se del caso, un nome di facile utilizzo della parte facente affidamento sul portafoglio, che può essere un nome commerciale o il nome di un servizio riconoscibile dall’utente. |
|
3. |
Se del caso, uno o più identificativi della parte facente affidamento sul portafoglio, come appaiono in un documento ufficiale, unitamente ai dati di identificazione di tale documento ufficiale, espressi come:
|
|
4. |
Indirizzo fisico in cui la parte facente affidamento sul portafoglio è stabilita. |
|
5. |
Se del caso, un identificatore uniforme di risorse («URL») appartenente alla parte facente affidamento sul portafoglio. |
|
6. |
Se è espresso conformemente al punto 3, lettera a), d), f) o h), l’identificativo è preceduto dall’indicatore paese dello Stato membro in cui è stabilita la parte facente affidamento sul portafoglio, espresso utilizzando i codici ISO 3166-1 Alpha 2, fatta eccezione per la Grecia, il cui indicatore è «EL». |
|
7. |
Informazioni di contatto della parte facente affidamento sul portafoglio, tra cui almeno uno dei seguenti elementi:
|
|
8. |
Una descrizione del tipo di servizi forniti dalla parte facente affidamento sul portafoglio. |
|
9. |
Per ciascun uso previsto, un elenco dei dati, compresi attestati e attributi, che la parte facente affidamento sulla certificazione intende richiedere, un nome di facile utilizzo e un nome tecnico, il tipo di attestato e qualsiasi altra sintassi in base alla quale i dati sono raggruppati, in un formato leggibile da dispositivi automatici ai fini del trattamento automatizzato. |
|
10. |
Per ciascun uso previsto, una descrizione dell’uso previsto dei dati che la parte facente affidamento sul portafoglio intende richiedere alle unità di portafoglio. |
|
11. |
Un’indicazione che precisi se la parte facente affidamento sul portafoglio è un organismo del settore pubblico. |
|
12. |
La qualifica o le qualifiche della parte facente affidamento sul portafoglio, che sono espresse come segue:
|
|
13. |
per quanto riguarda il punto 12, lettera c), gli Stati membri possono prevedere ulteriori sottocategorie di qualifiche per indicare quali attestati devono essere rilasciati da uno specifico emittente non qualificato di attestati elettronici di attributi. |
|
14. |
Se del caso, l’indicazione che la parte facente affidamento sul portafoglio si avvale di un intermediario che agisce per conto della parte facente affidamento sulla certificazione che intende fare affidamento sul portafoglio. |
|
15. |
Se del caso, una associazione all’intermediario di cui si avvale la parte facente affidamento sul portafoglio e che agisce per conto della parte facente affidamento sulla certificazione che intende fare affidamento sul portafoglio. |
(1) Regolamento di esecuzione (UE) n. 1352/2013 della Commissione, del 4 dicembre 2013, che stabilisce i formulari di cui al regolamento (UE) n. 608/2013 del Parlamento europeo e del Consiglio relativo alla tutela dei diritti di proprietà intellettuale da parte delle autorità doganali (GU L 341 del 18.12.2013, pag. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).
(2) Regolamento di esecuzione (UE) 2022/1860 della Commissione, del 10 giugno 2022, che stabilisce norme tecniche di attuazione per l’applicazione del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio per quanto riguarda le norme, i formati, la frequenza, i metodi e le modalità di segnalazione (GU L 262 del 7.10.2022, pag. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).
(3) Regolamento (UE) n. 389/2012 del Consiglio, del 2 maggio 2012, relativo alla cooperazione amministrativa in materia di accise e che abroga il regolamento (CE) n. 2073/2004 (GU L 121 dell’8.5.2012, pag. 1, ELI: http://data.europa.eu/eli/reg/2012/389/oj).
(4) Regolamento di esecuzione (UE) 2021/1042 della Commissione, del 18 giugno 2021, che reca modalità di applicazione della direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio per quanto riguarda le specifiche tecniche e le procedure necessarie per il sistema di interconnessione dei registri e che abroga il regolamento di esecuzione (UE) 2020/2244 della Commissione (GU L 225 del 25.6.2021, pag. 7, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).
ALLEGATO II
1. REQUISITI PER LE FIRME ELETTRONICHE O I SIGILLI ELETTRONICI APPOSTI SULLE INFORMAZIONI MESSE A DISPOSIZIONE IN MERITO ALLE PARTI FACENTI AFFIDAMENTO SUL PORTAFOGLIO REGISTRATE DI CUI ALL’ARTICOLO 3
|
— |
JavaScript Object Notation («JSON»); |
|
— |
norma IETF 7515 per le firme web JSON. |
2. REQUISITI PER L’API COMUNE UNICA DI CUI ALL’ARTICOLO 3
|
1) |
L’API comune unica:
|
|
2) |
Le dichiarazioni di cui alla lettera c) sono espresse sotto forma di file JSON firmati o sigillati elettronicamente, con formato e struttura conformi ai requisiti in materia di firme elettroniche o sigilli elettronici di cui alla sezione 1. |
ALLEGATO III
Fonte delle prove documentali per la verifica delle qualifiche delle parti facenti affidamento sul portafoglio di cui all’articolo 6
|
1. |
La verifica che una parte facente affidamento sul portafoglio sia un fornitore di attestati elettronici qualificati di attributi, un fornitore di certificati qualificati di firme elettroniche o sigilli elettronici o un prestatore di servizi fiduciari qualificato per la gestione di dispositivi qualificati per la creazione di una firma elettronica o di un sigillo elettronico a distanza si basa sugli elenchi nazionali di fiducia pubblicati conformemente all’articolo 22 del regolamento (UE) n. 910/2014. |
|
2. |
La verifica che una parte facente affidamento sul portafoglio sia un fornitore di attestati elettronici non qualificati di attributi o un prestatore di servizi per la creazione a distanza di firme elettroniche o sigilli elettronici in qualità di servizio fiduciario non qualificato si basa, se del caso, sugli elenchi nazionali di fiducia pubblicati conformemente all’articolo 22 del regolamento (UE) n. 910/2014 oppure, per i prestatori di servizi fiduciari non qualificati che non sono registrati negli elenchi nazionali di fiducia, sulle procedure di verifica che gli Stati membri hanno stabilito nelle proprie politiche di registrazione di cui all’articolo 4. |
|
3. |
La verifica che una parte facente affidamento sul portafoglio sia un fornitore di dati di identificazione personale si basa sull’elenco dei fornitori di dati di identificazione personale pubblicato dalla Commissione conformemente all’articolo 5 bis, paragrafo 18, del regolamento (UE) n. 910/2014. |
|
4. |
La verifica che una parte facente affidamento sul portafoglio sia un fornitore di attestati elettronici di attributi rilasciati da un organismo pubblico responsabile di una fonte autentica o per suo conto si basa sull’elenco pubblicato dalla Commissione conformemente all’articolo 45 septies, paragrafo 3, del regolamento (UE) n. 910/2014. |
ALLEGATO IV
Requisiti per i certificati di accesso della parte facente affidamento sul portafoglio di cui all’articolo 7
|
1. |
La politica per i certificati di accesso della parte facente affidamento sul portafoglio applicabile alla fornitura di tali certificati descrive i requisiti di sicurezza che si applicano a tali certificati e le norme che ne indicano l’applicabilità, al fine di consentirne il rilascio alle parti facenti affidamento sul portafoglio, che ne possono fare uso nelle proprie interazioni con soluzioni di portafoglio. |
|
2. |
La dichiarazione sulla pratica di certificazione per i certificati di accesso della parte facente affidamento sul portafoglio, applicabile alla fornitura di tali certificati, descrive le pratiche utilizzate dal fornitore di certificati di accesso della parte facente affidamento sul portafoglio per il rilascio, la gestione, la revoca e il re-keying di tali certificati. |
|
3. |
La politica di certificazione e la dichiarazione sulla pratica di certificazione applicabili alla fornitura di certificati di accesso della parte facente affidamento sul portafoglio sono armonizzati in tutta l’Unione dal punto di vista sintattico e semantico, sono conformi, se del caso, almeno ai requisiti della Normalised Certificate Policy («NCP») specificati nella norma ETSI EN 319411-1 versione 1.4.1 (2023-10) e comprendono:
|
|
4. |
La revoca di cui al punto 3, lettera g), diventa immediatamente effettiva all’atto della pubblicazione. |
|
5. |
Le informazioni di cui al punto 3, lettera h), sono rese disponibili almeno per ogni certificato rilasciato, in qualsiasi momento e almeno oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente conformemente alla politica di certificazione. |
ALLEGATO V
Requisiti per i certificati di registrazione della parte facente affidamento sul portafoglio di cui all’articolo 8
|
1. |
La politica per i certificati di registrazione della parte facente affidamento sul portafoglio, applicabile alla fornitura di tali certificati, descrive i requisiti di sicurezza che si applicano a tali certificati e le norme che ne indicano l’applicabilità, ai fini del loro rilascio alle parti facenti affidamento sul portafoglio e del loro utilizzo da parte di queste ultime nelle proprie interazioni con soluzioni di portafoglio. La politica per i certificati di registrazione della parte facente affidamento sul portafoglio è pubblicata in un formato leggibile da utenti umani. |
|
2. |
La dichiarazione sulla pratica di certificazione per i certificati di registrazione della parte facente affidamento sul portafoglio, applicabile alla fornitura di tali certificati, descrive le pratiche utilizzate dal fornitore di certificati di registrazione della parte facente affidamento sul portafoglio per il rilascio, la gestione, la revoca e il re-keying di tali certificati e, se del caso, le modalità con cui sono legate ai certificati di accesso della parte facente affidamento sul portafoglio rilasciati a parti facenti affidamento sul portafoglio. La dichiarazione sulla pratica di certificazione per i certificati di registrazione della parte facente affidamento sul portafoglio è pubblicata in un formato leggibile da utenti umani. |
|
3. |
La politica di certificazione e la dichiarazione sulla pratica di certificazione per i certificati di registrazione della parte facente affidamento sul portafoglio, applicabili alla fornitura di tali certificati, sono armonizzate in tutta l’Unione dal punto di vista sintattico e semantico, sono conformi almeno ai requisiti NCP applicabili specificati nella norma ETSI EN 319411-1 versione 1.4.1 (2023-10) e comprendono:
|
|
4. |
Il formato di scambio dei dati per il certificato di registrazione della parte facente affidamento sulla certificazione è costituito dai token web JSON (IETF RFC 7519) firmati e dai token web CBOR (IETF RFC 8392). |
|
5. |
La revoca di cui al punto 3, lettera g), diventa immediatamente effettiva all’atto della pubblicazione. |
|
6. |
Le informazioni di cui al punto 3, lettera h), sono rese disponibili almeno per ogni certificato rilasciato, in qualsiasi momento e almeno oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente conformemente alla politica di certificazione. |
ELI: http://data.europa.eu/eli/reg_impl/2025/848/oj
ISSN 1977-0707 (electronic edition)