EIDAS 2014/0910 IT

1)	« identificazione_elettronica», il processo per cui si fa uso di dati_di_identificazione_personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica;

2)	«mezzi di identificazione_elettronica», un’unità materiale e/o immateriale contenente dati_di_identificazione_personale e utilizzata per l’ autenticazione per un servizio online;

3)	« dati_di_identificazione_personale», un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica;

4)	«regime di identificazione_elettronica», un sistema di identificazione_elettronica per cui si forniscono mezzi di identificazione_elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche;

5)	« autenticazione», un processo elettronico che consente di confermare l’ identificazione_elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica;

6)	« parte_facente_affidamento_sulla_certificazione», una persona fisica o giuridica che fa affidamento su un’ identificazione_elettronica o su un servizio_fiduciario;

« organismo_del_settore_pubblico», un’autorità statale, regionale o locale, un organismo_di_diritto_pubblico o un’associazione formata da una o più di tali autorità o da uno o più di tali organismi di diritto pubblico, oppure un soggetto privato incaricato da almeno un’autorità, un organismo o un’associazione di cui sopra di fornire servizi pubblici, quando agisce in base a tale mandato;

8)	« organismo_di_diritto_pubblico», un organismo definito all’articolo 2, paragrafo 1, punto 4, della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (15);

9)	« firmatario», una persona fisica che crea una firma_elettronica;

10)	« firma_elettronica», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;

11)	« firma_elettronica avanzata», una firma_elettronica che soddisfi i requisiti di cui all’articolo 26;

12)	« firma_elettronica qualificata», una firma_elettronica avanzata creata da un dispositivo per la creazione di una firma_elettronica qualificata e basata su un certificato qualificato per firme elettroniche;

13)	«dati per la creazione di una firma_elettronica», i dati unici utilizzati dal firmatario per creare una firma_elettronica;

14)	«certificato di firma_elettronica», un attestato elettronico che collega i dati_di_ convalida di una firma_elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona;

15)	«certificato qualificato di firma_elettronica», un certificato di firma_elettronica che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I;

16)

« servizio_fiduciario», un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

a)	creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure

b)	creazione, verifica e convalida di certificati di autenticazione di siti web; o

c)	conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

17)	« servizio_fiduciario qualificato», un servizio_fiduciario che soddisfa i requisiti pertinenti stabiliti nel presente regolamento;

18)

« organismo_di_valutazione_della_conformità», un organismo ai sensi dell’articolo 2, punto 13, del regolamento (CE) n. 765/2008, che è accreditato a norma di detto regolamento come competente a effettuare la valutazione della conformità del prestatore_di_servizi_fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati;

19)	« prestatore_di_servizi_fiduciari», una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore_di_servizi_fiduciari qualificato o come prestatore_di_servizi_fiduciari non qualificato;

20)	« prestatore_di_servizi_fiduciari qualificato», un prestatore_di_servizi_fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore_di_servizi_fiduciari qualificato;

21)	« prodotto», un hardware o software o i loro componenti pertinenti, destinati a essere utilizzati per la prestazione di servizi fiduciari;

22)	«dispositivo per la creazione di una firma_elettronica», un software o hardware configurato utilizzato per creare una firma_elettronica;

23)	«dispositivo per la creazione di una firma_elettronica qualificata», un dispositivo per la creazione di una firma_elettronica che soddisfa i requisiti di cui all’allegato II;

24)	« creatore_di_un_sigillo», una persona giuridica che crea un sigillo_elettronico;

25)	« sigillo_elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi;

26)	« sigillo_elettronico avanzato», un sigillo_elettronico che soddisfi i requisiti sanciti all’articolo 36;

27)	« sigillo_elettronico qualificato», un sigillo_elettronico avanzato creato da un dispositivo per la creazione di un sigillo_elettronico qualificato e basato su un certificato qualificato per sigilli elettronici;

28)	«dati per la creazione di un sigillo_elettronico», i dati unici utilizzati dal creatore del sigillo_elettronico per creare un sigillo_elettronico;

29)	«certificato di sigillo_elettronico», un attestato elettronico che collega i dati_di_ convalida di un sigillo_elettronico a una persona giuridica e conferma il nome di tale persona;

30)	«certificato qualificato di sigillo_elettronico», un certificato di sigillo_elettronico che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato III;

31)	«dispositivo per la creazione di un sigillo_elettronico», un software o hardware configurato utilizzato per creare un sigillo_elettronico;

32)	«dispositivo per la creazione di un sigillo_elettronico qualificato», un dispositivo per la creazione di un sigillo_elettronico che soddisfa mutatis mutandis i requisiti di cui all’allegato II;

33)	« validazione_temporale_elettronica», dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento;

34)	« validazione_temporale_elettronica qualificata», una validazione_temporale_elettronica che soddisfa i requisiti di cui all’articolo 42;

35)	« documento_elettronico», qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva;

36)

« servizio_elettronico_di_recapito_certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;

37)	« servizio_elettronico_di_recapito_qualificato_certificato», un servizio_elettronico_di_recapito_certificato che soddisfa i requisiti di cui all’articolo 44;

38)	«certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato;

39)	«certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV;

40)	« dati_di_ convalida», dati utilizzati per convalidare una firma_elettronica o un sigillo_elettronico;

41)	« convalida», il processo di verifica e conferma della validità di una firma o di un sigillo_elettronico.

Articolo 12

Cooperazione e interoperabilità

1. I regimi nazionali di identificazione_elettronica notificati a norma dell’articolo 9, paragrafo 1, sono interoperabili.

2. È istituito un quadro di interoperabilità ai fini del paragrafo 1.

3. Il quadro di interoperabilità risponde ai seguenti criteri:

a)	mira a essere neutrale dal punto di vista tecnologico e non comporta discriminazioni tra specifiche soluzioni tecniche nazionali per l’ identificazione_elettronica all’interno di uno Stato membro;

b)	segue, ove possibile, le norme europee e internazionali;

c)	facilita l’applicazione del principio della tutela della vita privata fin dalla progettazione (privacy by design); e

d)	garantisce che i dati personali siano trattati a norma della direttiva 95/46/CE.

4. Il quadro di interoperabilità è composto da:

a)	un riferimento ai requisiti tecnici minimi connessi ai livelli di garanzia di cui all’articolo 8;

b)	una mappatura dei livelli di garanzia nazionali dei regimi di identificazione_elettronica notificati in base ai livelli di garanzia di cui all’articolo 8;

c)	un riferimento ai requisiti tecnici minimi di interoperabilità;

d)	un riferimento a un insieme minimo di dati_di_identificazione_personale che rappresentano un’unica persona fisica o giuridica, disponibile nell’ambito dei regimi di identificazione_elettronica;

e)	norme di procedura;

f)	disposizioni per la risoluzione delle controversie; e

g)	norme di sicurezza operativa comuni.

5. Gli Stati membri cooperano per quanto riguarda:

a)	l’interoperabilità dei regimi di identificazione_elettronica notificati ai sensi dell’articolo 9, paragrafo 1, e dei regimi di identificazione_elettronica che gli Stati membri intendono notificare; e

b)	la sicurezza dei regimi di identificazione_elettronica.

6. La cooperazione fra gli Stati membri riguarda:

a)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i regimi di identificazione_elettronica e, in particolare, i requisiti tecnici connessi all’interoperabilità e ai livelli di garanzia;

b)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i metodi di lavoro con i livelli di garanzia dei regimi di identificazione_elettronica di cui all’articolo 8;

c)	la valutazione tra pari dei regimi di identificazione_elettronica che rientrano nel presente regolamento; e

d)	l’esame degli sviluppi pertinenti nel settore dell’ identificazione_elettronica.

7. Entro il 18 marzo 2015, la Commissione, mediante atti di esecuzione, fissa le modalità procedurali necessarie per facilitare la collaborazione fra gli Stati membri di cui ai paragrafi 5 e 6, al fine di promuovere un elevato livello di fiducia e di sicurezza, commisurato al grado di rischio esistente.

8. Entro il 18 settembre 2015, al fine di garantire condizioni uniformi di esecuzione del requisito di cui al paragrafo 1, la Commissione, fatti salvi i criteri di cui al paragrafo 3 e tenendo conto dei risultati della cooperazione fra gli Stati membri, adotta atti di esecuzione sul quadro di interoperabilità quale definito al paragrafo 4.

9. Gli atti di esecuzione di cui a paragrafi 7 e 8 sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

CAPO III

SERVIZI FIDUCIARI

SEZIONE 1

Disposizioni generali

Articolo 20

Vigilanza dei prestatori di servizi fiduciari qualificati

1. I prestatori di servizi fiduciari qualificati sono sottoposti, a proprie spese almeno ogni 24 mesi, a una verifica da parte di un organismo_di_valutazione_della_conformità. Lo scopo della verifica è di confermare che i prestatori di servizi fiduciari qualificati e i servizi fiduciari qualificati da essi prestati soddisfano i requisiti di cui al presente regolamento. I prestatori di servizi fiduciari qualificati presentano la pertinente relazione di valutazione di conformità all’organismo di vigilanza entro il termine di tre giorni lavorativi dalla sua ricezione.

2. Fatto salvo il paragrafo 1, l’organismo di vigilanza può, in qualsiasi momento, condurre una verifica o chiedere a un organismo_di_valutazione_della_conformità di eseguire una valutazione di conformità dei prestatori di servizi fiduciari qualificati, a spese di tali prestatori di servizi fiduciari, per confermare che essi e i servizi fiduciari qualificati da essi prestati rispondono ai requisiti di cui al presente regolamento. Laddove siano state rilevate violazioni delle norme di protezione dei dati personali, l’organismo di vigilanza comunica alle autorità di protezione dei dati i risultati delle verifiche.

3. Ove l’organismo di vigilanza imponga al prestatore_di_servizi_fiduciari qualificato di rimediare agli eventuali mancati adempimenti dei requisiti di cui al presente regolamento e ove il prestatore non agisca di conseguenza e, se applicabile, entro un limite di tempo stabilito dall’organismo di vigilanza, quest’ultimo, tenendo conto in particolare della dimensione, della durata e delle conseguenze di tale mancato adempimento, può ritirare la qualifica di tale prestatore o del servizio interessato da esso prestato e informare l’organismo di cui all’articolo 22, paragrafo 3, al fine di aggiornare gli elenchi di fiducia di cui all’articolo 22, paragrafo 1. L’organismo di vigilanza comunica al prestatore_di_servizi_fiduciari qualificato la revoca della sua qualifica o della qualifica del servizio interessato.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento per le seguenti norme:

a)	accreditamento degli organismi di valutazione della conformità e per la relazione di valutazione di conformità di cui al paragrafo 1;

b)	regole in materia di audit in base alle quali gli organismi di valutazione effettueranno le loro valutazioni della conformità dei prestatori di servizi fiduciari qualificati di cui al paragrafo 1.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 31

Pubblicazione di un elenco di dispositivi per la creazione di una firma_elettronica qualificata certificati

1. Gli Stati membri notificano alla Commissione, senza indugio e in ogni caso non oltre un mese dopo la conclusione della certificazione, informazioni sui dispositivi per la creazione di una firma_elettronica qualificata certificati dagli organismi di cui all’articolo 30, paragrafo 1. Essi notificano inoltre alla Commissione, senza indugio e in ogni caso non oltre un mese dopo la cancellazione della certificazione, informazioni sui dispositivi per la creazione di una firma_elettronica che non sono più certificati.

2. Sulla base delle informazioni pervenutele, la Commissione redige, pubblica e mantiene un elenco di dispositivi per la creazione di una firma_elettronica qualificata certificati.

3. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

whereas

(2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

- = -

(9) In molti casi i cittadini non possono valersi della loro identificazione_elettronica per autenticarsi in un altro Stato membro perché i regimi nazionali di identificazione_elettronica del loro paese non sono riconosciuti in altri Stati membri.
Tale barriera elettronica impedisce ai prestatori di servizi di godere pienamente dei vantaggi del mercato interno.
Disporre di mezzi di identificazione_elettronica riconosciuti reciprocamente permetterà di agevolare la fornitura transfrontaliera di numerosi servizi nel mercato interno e consentirà alle imprese di operare su base transfrontaliera evitando molti ostacoli nelle interazioni con le autorità pubbliche.

- = -

(33) È opportuno che le disposizioni sull’uso degli pseudonimi nei certificati non impediscano agli Stati membri di chiedere l’identificazione delle persone in base alla normativa unionale o nazionale.

- = -

(36) L’istituzione di un regime di vigilanza per tutti i prestatori di servizi fiduciari dovrebbe assicurare parità di condizioni per la sicurezza e l’attendibilità delle loro operazioni e servizi, contribuendo in tal modo alla tutela degli utenti e al funzionamento del mercato interno.
I prestatori di servizi fiduciari non qualificati dovrebbero essere soggetti ad attività di vigilanza ex post semplificate e reattive, giustificate dalla natura dei loro servizi e delle loro operazioni.
Pertanto l’organismo di sorveglianza non dovrebbe avere un obbligo generale di vigilanza sui prestatori di servizi non qualificati.
L’organismo di sorveglianza dovrebbe adottare misure solo quando viene informato (ad esempio, dallo stesso prestatore_di_servizi_fiduciari non qualificati, da un altro organismo di sorveglianza, mediante la notifica di un utente o di un partner commerciale o in base a sue indagine proprie) che un prestatore_di_servizi_fiduciari non qualificato non soddisfa i requisiti del presente regolamento.

- = -

(37) Il presente regolamento dovrebbe prevedere la responsabilità di tutti i prestatori di servizi fiduciari.
In particolare, stabilisce il regime di responsabilità in base al quale tutti i prestatori di servizi fiduciari dovrebbero essere responsabili dei danni provocati a persone fisiche o giuridiche a causa del mancato rispetto degli obblighi previsti dal presente regolamento.
Al fine di agevolare la valutazione del rischio finanziario che i prestatori di servizi fiduciari possano dover sostenere o che debbano coprire con polizze assicurative, il presente regolamento autorizza i prestatori di servizi fiduciari a stabilire limiti, a talune condizioni, all’uso dei servizi da essi prestati e non essere pertanto responsabili dei danni derivanti dall’uso dei servizi oltre i suddetti limiti.
I clienti dovrebbero essere debitamente e anticipatamente informati di tali limiti.
Tali limiti dovrebbero essere riconoscibili per i terzi, ad esempio inserendo informazioni sui limiti nei termini e nelle condizioni del servizio prestato o attraverso altri mezzi riconoscibili.
Allo scopo di dare effetto a tali principi, il presente regolamento dovrebbe essere applicato conformemente alle norme nazionali sulla responsabilità.
Pertanto, il presente regolamento non pregiudica tali norme nazionali in ordine, ad esempio, alla definizione dei danni, del dolo, della negligenza o alle pertinenti norme procedurali applicabili.

- = -

(75) Le date di applicazione stabilite nel presente regolamento non pregiudicano gli obblighi esistenti già contratti dagli Stati membri in base al diritto dell’Unione, in particolare della direttiva 2006/123/CE.

- = -

(76) Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della portata dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea.
Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT