EIDAS 2014/0910 IT

1. Ove il diritto o la prassi amministrativa nazionale richiedano l’impiego di un’ identificazione_elettronica mediante mezzi di identificazione e autenticazione elettroniche per accedere a un servizio prestato da un organismo_del_settore_pubblico online in uno Stato membro, i mezzi di identificazione_elettronica rilasciati in un altro Stato membro sono riconosciuti nel primo Stato membro ai fini dell’ autenticazione transfrontaliera di tale servizio online, purché soddisfino le seguenti condizioni:

a)	i mezzi di identificazione_elettronica sono rilasciati nell’ambito di un regime di identificazione_elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9;

il livello di garanzia dei mezzi di identificazione_elettronica corrisponde a un livello di garanzia pari o superiore al livello di garanzia richiesto dall’ organismo_del_settore_pubblico competente per accedere al servizio online in questione nel primo Stato membro, sempre che il livello di garanzia di tali mezzi di identificazione_elettronica corrisponda al livello di garanzia significativo o elevato;

c)	l’ organismo_del_settore_pubblico competente usa il livello di garanzia significativo o elevato in relazione all’accesso a tale servizio online.

Tale riconoscimento ha luogo non oltre 12 mesi dalla data in cui la Commissione pubblica l’elenco i di cui alla lettera a), primo comma.

2. Un mezzo di identificazione_elettronica rilasciato nell’ambito di un regime di identificazione_elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9 e che corrisponde al livello di garanzia basso può essere riconosciuto dagli organismi del settore pubblico ai fini dell’ autenticazione transfrontaliera del servizio prestato online da tali organismi.

Articolo 7

Ammissibilità alla notifica dei regimi di identificazione_elettronica

Un regime di identificazione_elettronica è ammesso alla notifica ai sensi dell’articolo 9, paragrafo 1, purché soddisfi tutte le seguenti condizioni:

i mezzi di identificazione_elettronica nell’ambito del regime di identificazione_elettronica sono rilasciati:

i)	dallo Stato membro notificante;

ii)	su incarico dello Stato membro notificante; o

iii)	a titolo indipendente dallo Stato membro notificante e sono riconosciuti da tale Stato membro;

b)	i mezzi di identificazione_elettronica nell’ambito del regime di identificazione_elettronica possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo_del_settore_pubblico e che richiede l’ identificazione_elettronica nello Stato membro notificante;

c)	il regime di identificazione_elettronica e i mezzi di identificazione_elettronica rilasciati conformemente alle sue disposizioni soddisfano i requisiti di almeno uno dei livelli di garanzia stabiliti nell’atto di esecuzione di cui all’articolo 8, paragrafo 3;

lo Stato membro notificante garantisce che i dati_di_identificazione_personale che rappresentano unicamente la persona in questione siano attribuiti, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia definito nell’atto di esecuzione di cui all’articolo 8, paragrafo 3, alla persona fisica o giuridica di cui all’articolo 3, punto 1, al momento in cui è rilasciata l’ identificazione_elettronica nell’ambito di detto regime;

la parte che rilascia i mezzi di identificazione_elettronica nell’ambito di detto regime assicura che i mezzi di identificazione_elettronica siano attribuiti alla persona di cui alla lettera d) del presente articolo conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia definito nnell’atto di esecuzione di cui all’articolo 8, paragrafo 3;

lo Stato membro notificante garantisce la disponibilità dell’ autenticazione online, per consentire alle parti facenti affidamento sulla certificazione stabilite nel territorio di un altro Stato membro di confermare i dati_di_identificazione_personale che hanno ricevuto in forma elettronica.

Per le parti facenti affidamento sulla certificazione diverse dagli organismi del settore pubblico, lo Stato membro notificante può definire i termini di accesso a tale autenticazione. Quando l’ autenticazione transfrontaliera è effettuata in relazione a un servizio online prestato da un organismo_del_settore_pubblico, essa è fornita a titolo gratuito.

Gli Stati membri non impongono alcun requisito tecnico specifico sproporzionato alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, qualora tali requisiti impediscano o ostacolino notevolmente l’interoperabilità dei regimi di identificazione_elettronica notificati;

almeno sei mesi prima della notifica di cui all’articolo 9, paragrafo 1, lo Stato membro notificante fornisce agli altri Stati membri, ai fini dell’obbligo previsto dall’articolo 12, paragrafo 5, una descrizione di detto regime conformemente alle modalità procedurali stabilite dagli atti di esecuzione di cui all’articolo 12, paragrafo 7;

h)	il regime di identificazione_elettronica soddisfa i requisiti definiti nell’atto di esecuzione di cui all’articolo 12, paragrafo 8.

Articolo 18

Assistenza reciproca

1. Gli organismi di vigilanza collaborano fra loro al fine di scambiarsi buone prassi.

Un organismo di vigilanza, previa ricezione di una richiesta giustificata da parte di un altro organismo di vigilanza, fornisce a quest’ultimo assistenza perché possano svolgere le attività di organismi di vigilanza in modo coerente. L’assistenza reciproca può coprire, in particolare, le richieste di informazioni e le misure di vigilanza, quali richieste di svolgere ispezioni in connessione con le relazioni di valutazione della conformità di cui agli articoli 20 e 21.

2. L’organismo di vigilanza cui è presentata una richiesta di assistenza può rifiutare tale richiesta per uno dei seguenti motivi:

a)	l’organismo di vigilanza non è competente a fornire l’assistenza richiesta;

b)	l’assistenza richiesta non è proporzionata alle attività di vigilanza dell’organismo di vigilanza svolte a norma dell’articolo 17;

c)	fornire l’assistenza richiesta sarebbe incompatibile con il presente regolamento.

3. Ove appropriato, gli Stati membri possono autorizzare i rispettivi organismi di vigilanza a svolgere indagini congiunte con la partecipazione di membri del personale di organismi di vigilanza di altri Stati membri. Le disposizioni e le procedure per tali indagini congiunte sono convenute e stabilite dagli Stati membri interessati conformemente al rispettivo diritto nazionale.

Articolo 30

Certificazione dei dispositivi per la creazione di una firma_elettronica qualificata

1. La conformità dei dispositivi per la creazione di una firma_elettronica qualificata con i requisiti stabiliti all’allegato II è certificata da appropriati organismi pubblici o privati designati dagli Stati membri.

2. Gli Stati membri notificano alla Commissione i nomi e gli indirizzi dell’organismo pubblico o privato di cui al paragrafo 1. La Commissione mette tali informazioni a disposizione degli Stati membri.

3. La certificazione di cui al paragrafo 1 si basa su uno dei seguenti elementi:

a)	un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse nell’elenco redatto conformemente al secondo comma; o

un processo diverso da quello di cui alla lettera a), a condizione che utilizzi livelli di sicurezza comparabili e che l’organismo pubblico o privato di cui al paragrafo 1 notifichi tale processo alla Commissione. Detto processo può essere utilizzato solo in assenza delle norme di cui alla lettera a) ovvero quando è in corso un processo di valutazione di sicurezza di cui alla lettera a).

La Commissione adotta, mediante atti di esecuzione, un elenco di norme per la valutazione di sicurezza dei prodotti delle tecnologie dell’informazione di cui alla lettera a). Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 48, paragrafo 2.

4. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 47 riguardo alla fissazione di criteri specifici che gli organismi designati di cui al paragrafo 1 del presente articolo devono soddisfare.

Articolo 31

Pubblicazione di un elenco di dispositivi per la creazione di una firma_elettronica qualificata certificati

1. Gli Stati membri notificano alla Commissione, senza indugio e in ogni caso non oltre un mese dopo la conclusione della certificazione, informazioni sui dispositivi per la creazione di una firma_elettronica qualificata certificati dagli organismi di cui all’articolo 30, paragrafo 1. Essi notificano inoltre alla Commissione, senza indugio e in ogni caso non oltre un mese dopo la cancellazione della certificazione, informazioni sui dispositivi per la creazione di una firma_elettronica che non sono più certificati.

2. Sulla base delle informazioni pervenutele, la Commissione redige, pubblica e mantiene un elenco di dispositivi per la creazione di una firma_elettronica qualificata certificati.

3. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

whereas

(11) Il presente regolamento dovrebbe essere applicato nel pieno rispetto dei principi relativi alla protezione dei dati personali ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio (7).
A tale riguardo, per quanto concerne il principio del riconoscimento reciproco stabilito dal presente regolamento, l’ autenticazione in un servizio online dovrebbe riguardare esclusivamente il trattamento di dati di identificazione che siano adeguati, pertinenti e non eccedenti per garantire l’accesso a detto servizio online.
Inoltre, gli obblighi previsti dalla direttiva 95/46/CE in materia di riservatezza e sicurezza dei trattamenti dovrebbero essere rispettati dai prestatori di servizi fiduciari e dagli organismi di vigilanza.

- = -

(12) Un obiettivo del presente regolamento è l’eliminazione delle barriere esistenti all’impiego transfrontaliero dei mezzi di identificazione_elettronica utilizzati negli Stati membri almeno per l’ autenticazione nei servizi pubblici.
Il presente regolamento non intende intervenire riguardo ai sistemi di gestione dell’identità elettronica e relative infrastrutture istituiti negli Stati membri.
Lo scopo del presente regolamento è garantire che per accedere ai servizi online transfrontalieri offerti dagli Stati membri si possa disporre di un’identificazione e un’ autenticazione elettronica sicura.

- = -

(50) Poiché attualmente le autorità competenti negli Stati membri utilizzano formati diversi di firme elettroniche avanzate per firmare elettronicamente i loro documenti, occorre garantire che almeno alcuni formati di firma_elettronica possano essere supportati tecnicamente dagli Stati membri allorché ricevono documenti firmati elettronicamente.
Analogamente, allorché le autorità competenti negli Stati membri fanno uso di sigilli elettronici, occorre garantire che supportino almeno alcuni formati di sigillo_elettronico avanzato.

- = -

(75) Le date di applicazione stabilite nel presente regolamento non pregiudicano gli obblighi esistenti già contratti dagli Stati membri in base al diritto dell’Unione, in particolare della direttiva 2006/123/CE.

- = -

(76) Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della portata dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea.
Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT