EIDAS 2014/0910 IT

1. In caso di violazione o parziale compromissione del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, o dell’ autenticazione di cui all’articolo 7, lettera f), con limitazione dell’affidabilità dell’ autenticazione transfrontaliera di tale regime, lo Stato membro notificante senza indugio sospende o revoca tale autenticazione transfrontaliera o le sue parti compromesse e ne informa gli altri Stati membri e la Commissione.

2. Una volta posto rimedio alla violazione o alla compromissione di cui al paragrafo 1, lo Stato membro notificante ristabilisce l’ autenticazione transfrontaliera e informa senza indugio gli altri Stati membri e la Commissione.

3. Qualora non sia posto rimedio alla violazione o alla compromissione di cui al paragrafo 1 entro tre mesi dalla sospensione o dalla revoca, lo Stato membro notificante notifica agli altri Stati membri e alla Commissione il ritiro del regime di identificazione_elettronica.

La Commissione pubblica senza indebito ritardo le corrispondenti modifiche dell’elenco di cui all’articolo 9, paragrafo 2, nella Gazzetta ufficiale dell’Unione europea.

Articolo 16

Sanzioni

Gli Stati membri stabiliscono norme relative alle sanzioni da applicare in caso di violazioni del presente regolamento. Le sanzioni previste sono effettive, proporzionate e dissuasive.

SEZIONE 2

Vigilanza

Articolo 19

Requisiti di sicurezza relativi ai prestatori di servizi fiduciari

1. I prestatori di servizi fiduciari qualificati e non qualificati adottano le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati. Tenuto conto degli ultimi sviluppi tecnologici, tali misure assicurano un livello di sicurezza commisurato al grado di rischio esistente. In particolare, sono adottate misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti.

2. Senza indugio ma in ogni caso entro 24 ore dall’esserne venuti a conoscenza, i prestatori di servizi fiduciari qualificati e non qualificati notificano all’organismo di vigilanza e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.

Qualora sia probabile che la violazione della sicurezza o la perdita di integrità abbia effetti negativi su una persona fisica o giuridica a cui è stato prestato il servizio_fiduciario, il prestatore_di_servizi_fiduciari notifica senza indugio anche alla persona fisica o giuridica la violazione di sicurezza o la perdita di integrità.

Ove appropriato, in particolare qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza notificato ne informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA.

L’organismo di vigilanza notificato informa il pubblico o impone al prestatore_di_servizi_fiduciari di farlo, ove accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico.

3. L’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari.

4. La Commissione può, mediante atti di esecuzione:

a)	specificare ulteriormente le misure di cui al paragrafo 1; e

b)	definire i formati e le procedure, comprese le scadenze, applicabili ai fini del paragrafo 2.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 3

Servizi fiduciari qualificati

Articolo 24

Requisiti per i prestatori di servizi fiduciari qualificati

1. Allorché rilascia un certificato qualificato per un servizio_fiduciario, un prestatore_di_servizi_fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.

Le informazioni di cui al primo comma sono verificate dal prestatore_di_servizi_fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:

a)	mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica; o

a distanza, mediante mezzi di identificazione_elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»; o

c)	mediante un certificato di una firma_elettronica qualificata o di un sigillo_elettronico qualificato rilasciato a norma della lettera a) o b); o

d)	mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’afffidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo_di_valutazione_della_conformità.

2. Un prestatore_di_servizi_fiduciari qualificato che presta servizi fiduciari qualificati:

a)	informa l’organismo di vigilanza di eventuali cambiamenti nella prestazione dei propri servizi fiduciari qualificati e dell’intenzione di cessare tali attività;

impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali;

c)	riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale;

d)	prima di avviare una relazione contrattuale informa, in modo chiaro e completo, chiunque intenda utilizzare un servizio_fiduciario qualificato dei termini e delle condizioni esatte per l’utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo;

e)	utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano;

utilizza sistemi affidabili per memorizzare i dati a esso forniti, in modo verificabile, affinché:

i)	siano accessibili alla consultazione del pubblico soltanto con il consenso della persona a cui i dati fanno riferimento;

ii)	soltanto le persone autorizzate possano effettuare inserimenti e modifiche ai dati memorizzati;

iii)	l’autenticità dei dati sia verificabile;

g)	adotta misure adeguate contro le falsificazioni e i furti di dati;

registra e mantiene accessibili per un congruo periodo di tempo, anche dopo la cessazione delle attività del prestatore_di_servizi_fiduciari qualificato, tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore_di_servizi_fiduciari qualificato, in particolare a fini di produzione di prove nell’ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche;

i)	dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 17, paragrafo 4, lettera i);

j)	garantisce il trattamento lecito dei dati personali a norma della direttiva 95/46/CE;

k)	se i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati, istituiscono una banca dati dei certificati aggiornata.

3. Se un prestatore_di_servizi_fiduciari qualificato che rilascia certificati qualificati decide di revocare un certificato, registra tale revoca nella propria banca dati dei certificati e pubblica la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta. La revoca diventa immediatamente effettiva all’atto della pubblicazione.

4. In considerazione del paragrafo 3, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati trasmettono alle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o revoca dei certificati qualificati da essi rilasciati. Queste informazioni sono rese disponibili almeno per ogni certificato rilasciato in qualsiasi momento e oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sistemi e prodotti affidabili, che soddisfano i requisiti di cui al paragrafo 2, lettere e) ed f), del presente articolo. Si presume che i requisiti di cui al presente articolo siano stati rispettati ove i sistemi e i prodotti affidabili adempiano a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 4

Firme elettroniche

Articolo 27

Firme elettroniche nei servizi pubblici

1. Se uno Stato membro richiede una firma_elettronica avanzata per utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce le firme elettroniche avanzate, le firme elettroniche avanzate basate su un certificato qualificato di firma_elettronica e le firme elettroniche qualificate che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

2. Se uno Stato membro richiede una firma_elettronica avanzata basata su un certificato qualificato per utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce le firme elettroniche avanzate basate su un certificato qualificato e le firme elettroniche qualificate che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

3. Gli Stati membri non richiedono, per un utilizzo transfrontaliero in un servizio online offerto da un organismo_del_settore_pubblico, una firma_elettronica dotata di un livello di garanzia di sicurezza più elevato di quello della firma_elettronica qualificata.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili alle firme elettroniche avanzate. Si presume che i requisiti per le firme elettroniche avanzate di cui ai paragrafi 1 e 2 del presente articolo e all’articolo 26, siano rispettati ove una firma_elettronica avanzata soddisfi dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

5. Entro il 18 settembre 2015, e tenendo conto delle prassi, delle norme e degli atti giuridici dell’Unione vigenti, la Commissione, mediante atti di esecuzione, definisce i formati di riferimento delle firme elettroniche avanzate o i metodi di riferimento nel caso in cui siano utilizzati formati alternativi. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 28

Certificati qualificati di firme elettroniche

1. I certificati qualificati di firme elettroniche soddisfano i requisiti di cui all’allegato I.

2. I certificati qualificati di firme elettroniche non sono soggetti a requisiti obbligatori oltre ai requisiti di cui all’allegato I.

3. I certificati qualificati di firme elettroniche possono includere attributi specifici aggiuntivi non obbligatori. Tali attributi non pregiudicano l’interoperabilità e il riconoscimento delle firme elettroniche qualificate.

4. Qualora un certificato qualificato di firme elettroniche sia stato revocato dopo l’iniziale attivazione, esso decade della propria validità dal momento della revoca e la sua situazione non è ripristinata in nessuna circostanza.

5. Fatte salve le condizioni seguenti, gli Stati membri possono fissare norme nazionali in merito alla sospensione temporanea di un certificato qualificato di firma_elettronica:

a)	in caso di temporanea sospensione di un certificato qualificato di firma_elettronica, il certificato perde la sua validità per il periodo della sospensione;

b)	il periodo di sospensione è indicato chiaramente nella banca dati dei certificati e la situazione di sospensione è visibile, durante il periodo di sospensione, dal servizio che fornisce le informazioni sulla situazione del certificato.

6. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai certificati qualificati di firma_elettronica. Si presume che i requisiti di cui all’allegato I siano stati rispettati ove un certificato qualificato di firma_elettronica risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 31

Pubblicazione di un elenco di dispositivi per la creazione di una firma_elettronica qualificata certificati

1. Gli Stati membri notificano alla Commissione, senza indugio e in ogni caso non oltre un mese dopo la conclusione della certificazione, informazioni sui dispositivi per la creazione di una firma_elettronica qualificata certificati dagli organismi di cui all’articolo 30, paragrafo 1. Essi notificano inoltre alla Commissione, senza indugio e in ogni caso non oltre un mese dopo la cancellazione della certificazione, informazioni sui dispositivi per la creazione di una firma_elettronica che non sono più certificati.

2. Sulla base delle informazioni pervenutele, la Commissione redige, pubblica e mantiene un elenco di dispositivi per la creazione di una firma_elettronica qualificata certificati.

3. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 37

Sigilli elettronici nei servizi pubblici

1. Se uno Stato membro richiede un sigillo_elettronico avanzato per poter utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce i sigilli elettronici avanzati, i sigilli elettronici avanzati basati su un certificato qualificato di sigillo_elettronico e i sigilli elettronici qualificati che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

2. Se uno Stato membro richiede un sigillo_elettronico avanzato basato su un certificato qualificato per poter utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce i sigilli elettronici avanzati basati su un certificato qualificato e i sigilli elettronici qualificati che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

3. Gli Stati membri non richiedono, per l’utilizzo transfrontaliero in un servizio online offerto da un organismo_del_settore_pubblico, un sigillo_elettronico dotato di un livello di garanzia di sicurezza più elevato di quello del sigillo_elettronico qualificato.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sigilli elettronici avanzati. Si presume che i requisiti per i sigilli elettronici avanzati di cui ai paragrafi 1 e 2 del presente articolo e all’articolo 36 siano rispettati ove un sigillo_elettronico avanzato soddisfi dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

5. Entro il 18 settembre 2015, e tenendo conto delle prassi, delle norme e degli atti giuridici dell’Unione vigenti, la Commissione, mediante atti di esecuzione, definisce i formati di riferimento dei sigilli elettronici avanzati o i metodi di riferimento nel caso in cui siano utilizzati formati alternativi. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 38

Certificati qualificati di sigilli elettronici

1. I certificati qualificati di sigilli elettronici soddisfano i requisiti di cui all’allegato III.

2. I certificati qualificati di sigilli elettronici non sono soggetti a requisiti obbligatori oltre ai requisiti di cui all’allegato III.

3. I certificati qualificati di sigilli elettronici possono includere attributi specifici aggiuntivi non obbligatori. Tali attributi non pregiudicano l’interoperabilità e il riconoscimento dei sigilli elettronici qualificati.

4. Qualora un certificato qualificato di un sigillo_elettronico sia stato revocato dopo l’iniziale attivazione, esso decade della propria validità dal momento della revoca e la sua situazione non è ripristinata in nessuna circostanza.

5. Fatte salve le condizioni seguenti, gli Stati membri possono fissare norme nazionali in merito alla sospensione temporanea dei certificati qualificati di sigilli elettronici:

a)	in caso di temporanea sospensione di un certificato qualificato di sigillo_elettronico, il certificato perde la sua validità per il periodo della sospensione;

b)	il periodo di sospensione è indicato chiaramente nella banca dati dei certificati e la situazione di sospensione è visibile, durante il periodo di sospensione, dal servizio che fornisce le informazioni sulla situazione del certificato.

6. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai certificati qualificati di sigilli elettronici. Si presume che i requisiti di cui all’allegato III siano stati rispettati ove un certificato qualificato di sigillo_elettronico risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 52

Entrata in vigore

1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2. Il presente regolamento si applica a decorrere dal 1o luglio 2016, a eccezione delle seguenti disposizioni:

articolo 8, paragrafo 3, articolo 9, paragrafo 5, articolo 12, paragrafi da 2 a 9, articolo 17, paragrafo 8, articolo 19, paragrafo 4, articolo 20, paragrafo 4, articolo 21, paragrafo 4, articolo 22, paragrafo 5, articolo 23, paragrafo 3, articolo 24, paragrafo 5, articolo 27, paragrafi 4 e 5, articolo 28, paragrafo 6, articolo 29, paragrafo 2, articolo 30, paragrafi 3 e 4, articolo 31, paragrafo 3, articolo 32, paragrafo 3, articolo 33, paragrafo 2, articolo 34, paragrafo 2, articolo 37, paragrafi 4 e 5, articolo 38, paragrafo 6, articolo 42, paragrafo 2, articolo 44, paragrafo 2, articolo 45, paragrafo 2, articolo 47 e articolo 48, che si applicano dal 17 settembre 2014;

b)	l’articolo 7, l’articolo 8, paragrafi 1 e 2, gli articoli 9, 10, 11 e l’articolo 12, paragrafo 1, si applicano a decorrere dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8;

c)	l’articolo 6 si applica a decorrere da tre anni dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8.

3. Quando il regime di identificazione_elettronica notificato è compreso nell’elenco pubblicato dalla Commissione ai sensi dell’articolo 9 prima della data di cui al paragrafo 2, lettera c), del presente articolo, il riconoscimento dei mezzi di identificazione_elettronica in virtù di tale regime ai sensi dell’articolo 6 ha luogo non oltre 12 mesi dopo la pubblicazione di detto regime ma non prima della data di cui al paragrafo 2, lettera c), del presente articolo.

4. Nonostante il paragrafo 2, lettera c), del presente articolo, uno Stato membro può decidere che i mezzi di identificazione_elettronica a norma del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, da un altro Stato membro, siano riconosciuti nel primo Stato membro a decorrere dalla data di pubblicazione degli atti di esecuzione di cui agli articoli 8, paragrafo 3, e 12, paragrafo 8. Gli Stati membri interessati ne informano la Commissione. La Commissione rende pubbliche tali informazioni.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 23 luglio 2014

Per il Parlamento europeo

Il presidente

M. SCHULZ

Per il Consiglio

Il presidente

S. GOZI

(1) GU C 351 del 15.11.2012, pag. 73.

(2) Posizione del Parlamento europeo del 3 aprile 2014 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 23 luglio 2014.

(3) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).

(4) GU C 50 E del 21.2.2012, pag. 1.

(5) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(6) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(7) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

(8) Decisione 2010/48/CE del Consiglio, del 26 novembre 2009, relativa alla conclusione, da parte della Comunità europea, della convenzione delle Nazioni Unite sui diritti delle persone con disabilità (GU L 23 del 27.1.2010, pag. 35).

(9) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

(10) Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l’uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).

(11) Decisione 2011/130/UE della Commissione, del 25 febbraio 2011, che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 53 del 26.2.2011, pag. 66).

(12) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(13) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(14) GU C 28 del 30.1.2013, pag. 6.

(15) Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).

ALLEGATO I

REQUISITI PER I CERTIFICATI QUALIFICATI DI FIRMA ELETTRONICA

I certificati qualificati di firma_elettronica contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma_elettronica;

un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali figurano nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	è chiaramente indicato almeno il nome del firmatario, o uno pseudonimo, qualora sia usato uno pseudonimo;

d)	i dati_di_ convalida della firma_elettronica che corrispondono ai dati per la creazione di una firma_elettronica;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

j)	qualora i dati per la creazione di una firma_elettronica connessi ai dati_di_ convalida della firma_elettronica siano ubicati in un dispositivo per la creazione di una firma_elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO II

REQUISITI PER I DISPOSITIVI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA QUALIFICATA

I dispositivi per la creazione di una firma_elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:

a)	è ragionevolmente assicurata la riservatezza dei dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica;

b)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica possono comparire in pratica una sola volta;

c)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma_elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili;

d)	i dati per la creazione di una firma_elettronica utilizzati nella creazione della stessa possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi.

I dispositivi per la creazione di una firma_elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.

La generazione o la gestione dei dati per la creazione di una firma_elettronica per conto del firmatario può essere effettuata solo da un prestatore_di_servizi_fiduciari qualificato.

Fatto salvo il punto 1, lettera d), i prestatori di servizi fiduciari qualificati che gestiscono dati per la creazione di una firma_elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma_elettronica solo a fini di back-up, purché rispettino i seguenti requisiti:

a)	la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

b)	il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

ALLEGATO III

REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI

I certificati qualificati dei sigilli elettronici contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo_elettronico;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	i dati_di_ convalida del sigillo_elettronico che corrispondono ai dati per la creazione di un sigillo_elettronico;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

qualora i dati per la creazione di un sigillo_elettronico connessi ai dati_di_ convalida del sigillo_elettronico siano ubicati in un dispositivo per la creazione di un sigillo_elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO IV

REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB

I certificati qualificati di autenticazione di siti web contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

per le persone fisiche: almeno il nome della persona a cui è stato rilasciato il certificato, o uno pseudonimo. Qualora sia usato uno pseudonimo, ciò è chiaramente indicato;

per le persone giuridiche: almeno il nome della persona giuridica cui è stato rilasciato il certificato e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato e, se del caso, quali appaiono nei documenti ufficiali;

e)	il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato;

f)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

g)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

h)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

i)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera h) è disponibile gratuitamente;

j)	l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato.

whereas

(19) La sicurezza dei regimi di identificazione_elettronica è fondamentale per un affidabile riconoscimento reciproco transfrontaliero dei mezzi di identificazione_elettronica.
In tale contesto, gli Stati membri dovrebbero cooperare in materia di sicurezza e interoperabilità dei regimi di identificazione_elettronica a livello dell’Unione.
Ogniqualvolta i regimi di identificazione_elettronica richiedano alle parti che fanno affidamento sulla certificazione di utilizzare hardware o software specifici a livello nazionale, l’interoperabilità transfrontaliera richiede che tali Stati membri non impongano tali requisiti e le spese relative alle parti facenti affidamento sulla certificazione stabilite al di fuori del loro territorio.
In tal caso si dovrebbero esaminare ed elaborare soluzioni appropriate nell’ambito del quadro di interoperabilità.
Tuttavia, sono inevitabili i requisiti tecnici derivanti dalle specifiche inerenti ai mezzi di identificazione_elettronica nazionali e suscettibili di avere ripercussioni per i detentori di tali mezzi elettronici (ad esempio, le smart card).

- = -

(38) La notifica delle violazioni di sicurezza e delle valutazioni di rischio per la sicurezza è essenziale per fornire informazioni adeguate alle parti interessate in caso di violazione di sicurezza o perdita di integrità.

- = -

(41) Per garantire che i servizi fiduciari qualificati siano sostenibili e duraturi e migliorare la fiducia degli utilizzatori nella continuità di detti servizi, è opportuno che gli organismi di vigilanza verifichino l’esistenza e la corretta applicazione delle disposizioni sui piani di cessazione nel caso in cui prestatori di servizi fiduciari qualificati cessino le loro attività.

- = -

(52) Visti i suoi molteplici vantaggi economici, sarà ulteriormente sviluppata la creazione di firme elettroniche a distanza, qualora l’ambiente di creazione di firma_elettronica sia gestito da un prestatore_di_servizi_fiduciari a nome del firmatario.
Tuttavia, per garantire che alle firme elettroniche sia attribuito lo stesso riconoscimento giuridico delle firme elettroniche create con un ambiente interamente gestito dall’utente, i prestatori che offrono servizi di firma_elettronica a distanza dovrebbero applicare procedure di sicurezza di gestione e amministrative specifiche e utilizzare sistemi e prodotti affidabili, che in particolare comprendano canali di comunicazione elettronici sicuri per garantire l’affidabilità dell’ambiente di creazione di firma_elettronica e assicurare che sia utilizzato sotto il controllo esclusivo del firmatario.
Nel caso di una firma_elettronica qualificata creata mediante un dispositivo di creazione di firma_elettronica a distanza, dovrebbero applicarsi i requisiti applicabili ai prestatori di servizi fiduciari qualificati, stabiliti dal presente regolamento.

- = -

(53) La sospensione dei certificati qualificati è una prassi operativa abituale dei prestatori di servizi fiduciari in una serie di Stati membri, che è diversa dalla revoca e comporta la perdita di validità temporanea di un certificato.
La certezza del diritto richiede che la situazione di sospensione di un certificato sia sempre indicata chiaramente.
A tale scopo i prestatori di servizi fiduciari dovrebbero avere la responsabilità di indicare chiaramente la situazione del certificato e, in caso di sospensione, il periodo di tempo esatto durante il quale il certificato è sospeso. È opportuno che il presente regolamento non imponga ai prestatori di servizi fiduciari o agli Stati membri l’utilizzo della sospensione, ma preveda norme di trasparenza nei casi in cui tale prassi è disponibile.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT