keyboard_tab EIDAS 2014/0910 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Articolo 1 Oggetto
- 1 Articolo 8 Livelli di garanzia dei regimi di identificazione elettronica
- 2 Articolo 9 Notifica
- 1 Articolo 10 Violazione della sicurezza
- 1 Articolo 11 Responsabilità
- 2 Articolo 19 Requisiti di sicurezza relativi ai prestatori di servizi fiduciari
- 1 Articolo 47 Esercizio della delega
CAPO I
DISPOSIZIONI GENERALI
CAPO II
IDENTIFICAZIONE ELETTRONICA
CAPO III
SERVIZI FIDUCIARI
SEZIONE 1
Disposizioni generali
SEZIONE 2
Vigilanza
SEZIONE 3
Servizi fiduciari qualificati
SEZIONE 4
Firme elettroniche
SEZIONE 5
Sigilli elettronici
SEZIONE 6
Validazione temporale elettronica
SEZIONE 7
Servizi elettronici di recapito certificato
SEZIONE 8
Autenticazione dei siti web
CAPO IV
DOCUMENTI ELETTRONICI
CAPO V
DELEGA DI POTERE E DISPOSIZIONI DI ESECUZIONE
CAPO VI
DISPOSIZIONI FINALI
- identificazione elettronica
- mezzi di identificazione elettronica
- dati di identificazione personale
- regime di identificazione elettronica
- autenticazione
- parte facente affidamento sulla certificazione
- organismo del settore pubblico
- organismo di diritto pubblico
- firmatario
- firma elettronica
- firma elettronica avanzata
- firma elettronica qualificata
- dati per la creazione di una firma elettronica
- certificato di firma elettronica
- certificato qualificato di firma elettronica
- servizio fiduciario
- servizio fiduciario qualificato
- organismo di valutazione della conformità
- prestatore di servizi fiduciari
- prestatore di servizi fiduciari qualificato
- prodotto
- dispositivo per la creazione di una firma elettronica
- dispositivo per la creazione di una firma elettronica qualificata
- creatore di un sigillo
- sigillo elettronico
- sigillo elettronico avanzato
- sigillo elettronico qualificato
- dati per la creazione di un sigillo elettronico
- certificato di sigillo elettronico
- certificato qualificato di sigillo elettronico
- dispositivo per la creazione di un sigillo elettronico
- dispositivo per la creazione di un sigillo elettronico qualificato
- validazione temporale elettronica
- validazione temporale elettronica qualificata
- documento elettronico
- servizio elettronico di recapito certificato
- servizio elettronico di recapito qualificato certificato
- certificato di autenticazione di sito web
- certificato qualificato di autenticazione di sito web
- dati di convalida
- convalida
- identificazione_elettronica 36
- certificato 27
- firma_elettronica 26
- dati 26
- persona 22
- regime 21
- sicurezza 20
- mezzi 20
- all’articolo 18
- consiglio 18
- servizi 18
- qualificato 17
- europeo 17
- parlamento 17
- creazione 17
- qualificati 15
- autenticazione 14
- atti 14
- membro 14
- almeno 14
- prestatore_di_servizi_fiduciari 12
- sigillo_elettronico 12
- esecuzione 11
- notificato 11
- lettera 11
- nome 11
- certificati 10
- fiduciari 10
- data 10
- garanzia 9
- giuridica 9
- membri 9
- stati 9
- norme 9
- rilascia 9
- presente 9
- violazione 9
- documenti 8
- fisica 8
- procedure 8
- trattamento 8
- fatto 8
- //ce 8
- validità 8
- caso 8
- tecniche 7
- rilasciato 7
- paragrafi 7
- transfrontaliera 7
- significativo 7
Articolo 1
Oggetto
Allo scopo di garantire il buon funzionamento del mercato interno perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione_elettronica e dei servizi fiduciari, il presente regolamento:
| a) | fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione_elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione_elettronica di un altro Stato membro, |
| b) | stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche; e |
| c) | istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web. |
Articolo 8
Livelli di garanzia dei regimi di identificazione_elettronica
1. Un regime di identificazione_elettronica notificato a norma dell’articolo 9, paragrafo 1, specifica livelli di garanzia basso, significativo e/o elevato per i mezzi di identificazione_elettronica rilasciati nell’ambito di detto regime.
2. I livelli di garanzia basso, significativo e elevato soddisfano rispettivamente i seguenti criteri:
| a) | il livello di garanzia basso si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità; |
| b) | il livello di garanzia significativo si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità; |
| c) | il livello di garanzia elevato si riferisce a un mezzo di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce riguardo all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione_elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità. |
3. Entro il 18 settembre 2015, tenendo conto delle norme internazionali pertinenti e fatto salvo il paragrafo 2, la Commissione, mediante atti di esecuzione, definisce le specifiche, norme e procedure tecniche minime in riferimento alle quali sono specificati i livelli di garanzia basso, significativo e elevato dei mezzi di identificazione_elettronica ai fini del paragrafo 1.
Le suddette specifiche, norme e procedure tecniche minime sono fissate facendo riferimento all’affidabilità e alla qualità dei seguenti elementi:
| a) | della procedura di controllo e verifica dell’identità delle persone fisiche o giuridiche che chiedono il rilascio dei mezzi di identificazione_elettronica; |
| b) | della procedura di rilascio dei mezzi di identificazione_elettronica richiesti; |
| c) | del meccanismo di autenticazione mediante il quale la persona fisica o giuridica usa i mezzi di identificazione_elettronica per confermare la propria identità a una parte_facente_affidamento_sulla_certificazione; |
| d) | dell’entità che rilascia i mezzi di identificazione_elettronica; |
| e) | di qualsiasi altro organismo implicato nella domanda di rilascio dei mezzi di identificazione_elettronica; e |
| f) | delle specifiche tecniche e di sicurezza dei mezzi di identificazione_elettronica rilasciati. |
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 9
Notifica
1. Lo Stato membro notificante rende note alla Commissione le informazioni seguenti e, senza indugio, qualsiasi loro successiva modifica:
| a) | una descrizione del regime di identificazione_elettronica, con indicazione dei suoi livelli di garanzia e della o delle entità che rilasciano i mezzi di identificazione_elettronica nell’ambito del regime; |
| b) | il regime di vigilanza e il regime di informazioni sulla responsabilità applicabili per quanto riguarda:
|
| c) | l’autorità o le autorità responsabili del regime di identificazione_elettronica; |
| d) | informazioni sull’entità o sulle entità che gestiscono la registrazione dei dati unici di identificazione personale; |
| e) | una descrizione di come sono soddisfatti i requisiti definiti negli atti di esecuzione di cui all’articolo 12, paragrafo 8; |
| f) | una descrizione dell’ autenticazione di cui all’articolo 7, lettera f); |
| g) | disposizioni per la sospensione o la revoca del regime di identificazione_elettronica notificato o dell’ autenticazione oppure di parti compromesse dell’uno o dell’altra. |
2. Un anno dopo la data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8, la Commissione pubblica nella Gazzetta ufficiale dell’Unione europea un elenco dei regimi di identificazione_elettronica notificati ai sensi del paragrafo 1 del presente articolo e le informazioni fondamentali al riguardo.
3. Se la Commissione riceve una notifica dopo lo scadere del periodo di cui al paragrafo 2, pubblica nella Gazzetta ufficiale dell’Unione europea le modifiche dell’elenco di cui al paragrafo 2 entro due mesi dalla data di ricezione di tale notifica.
4. Uno Stato membro può presentare alla Commissione una richiesta di eliminazione del regime di identificazione_elettronica da esso notificato dall’elenco di cui al paragrafo 2. La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea le corrispondenti modifiche dell’elenco entro un mese dalla data di ricezione della richiesta dello Stato membro.
5. La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure delle notifiche a norma del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
Articolo 10
Violazione della sicurezza
1. In caso di violazione o parziale compromissione del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, o dell’ autenticazione di cui all’articolo 7, lettera f), con limitazione dell’affidabilità dell’ autenticazione transfrontaliera di tale regime, lo Stato membro notificante senza indugio sospende o revoca tale autenticazione transfrontaliera o le sue parti compromesse e ne informa gli altri Stati membri e la Commissione.
2. Una volta posto rimedio alla violazione o alla compromissione di cui al paragrafo 1, lo Stato membro notificante ristabilisce l’ autenticazione transfrontaliera e informa senza indugio gli altri Stati membri e la Commissione.
3. Qualora non sia posto rimedio alla violazione o alla compromissione di cui al paragrafo 1 entro tre mesi dalla sospensione o dalla revoca, lo Stato membro notificante notifica agli altri Stati membri e alla Commissione il ritiro del regime di identificazione_elettronica.
La Commissione pubblica senza indebito ritardo le corrispondenti modifiche dell’elenco di cui all’articolo 9, paragrafo 2, nella Gazzetta ufficiale dell’Unione europea.
Articolo 11
Responsabilità
1. Lo Stato membro notificante è responsabile per i danni causati, con dolo o per negligenza, a qualsiasi persona fisica o giuridica in seguito al mancato adempimento dei suoi obblighi di cui all’articolo 7, lettere d) e f), in una transazione transfrontaliera.
2. La parte che rilascia i mezzi di identificazione_elettronica è responsabile di danni causati con dolo o per negligenza a qualsiasi persona fisica o giuridica in seguito al mancato adempimento dell’obbligo di cui all’articolo 7, lettera e), in una transazione transfrontaliera.
3. La parte che gestisce la procedura di autenticazione è responsabile di danni causati con dolo o per negligenza a qualsiasi persona fisica o giuridica per non avere garantito la corretta gestione dell’ autenticazione di cui all’articolo 7, lettera f), in una transazione transfrontaliera.
4. I paragrafi 1, 2 e 3 si applicano conformemente alle norme nazionali in materia di responsabilità.
5. I paragrafi 1, 2 e 3 lasciano impregiudicata la responsabilità conformemente al diritto nazionale delle parti di una transazione in cui sono utilizzati mezzi di identificazione_elettronica che rientrano nel regime di identificazione_elettronica notificato a norma dell’articolo 9, paragrafo 1.
Articolo 19
Requisiti di sicurezza relativi ai prestatori di servizi fiduciari
1. I prestatori di servizi fiduciari qualificati e non qualificati adottano le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati. Tenuto conto degli ultimi sviluppi tecnologici, tali misure assicurano un livello di sicurezza commisurato al grado di rischio esistente. In particolare, sono adottate misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti.
2. Senza indugio ma in ogni caso entro 24 ore dall’esserne venuti a conoscenza, i prestatori di servizi fiduciari qualificati e non qualificati notificano all’organismo di vigilanza e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.
Qualora sia probabile che la violazione della sicurezza o la perdita di integrità abbia effetti negativi su una persona fisica o giuridica a cui è stato prestato il servizio_fiduciario, il prestatore_di_servizi_fiduciari notifica senza indugio anche alla persona fisica o giuridica la violazione di sicurezza o la perdita di integrità.
Ove appropriato, in particolare qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza notificato ne informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA.
L’organismo di vigilanza notificato informa il pubblico o impone al prestatore_di_servizi_fiduciari di farlo, ove accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico.
3. L’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari.
4. La Commissione può, mediante atti di esecuzione:
| a) | specificare ulteriormente le misure di cui al paragrafo 1; e |
| b) | definire i formati e le procedure, comprese le scadenze, applicabili ai fini del paragrafo 2. |
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.
SEZIONE 3
Servizi fiduciari qualificati
Articolo 47
Esercizio della delega
1. Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.
2. Il potere di adottare gli atti delegati di cui all’articolo 30, paragrafo 4, è conferito alla Commissione per un periodo indeterminato a decorrere dal 17 settembre 2014.
3. La delega di potere di cui all’articolo 30, paragrafo 4, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.
4. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.
5. L’atto delegato adottato ai sensi dell’articolo 30, paragrafo 4, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.
Articolo 52
Entrata in vigore
1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. Il presente regolamento si applica a decorrere dal 1o luglio 2016, a eccezione delle seguenti disposizioni:
| a) | articolo 8, paragrafo 3, articolo 9, paragrafo 5, articolo 12, paragrafi da 2 a 9, articolo 17, paragrafo 8, articolo 19, paragrafo 4, articolo 20, paragrafo 4, articolo 21, paragrafo 4, articolo 22, paragrafo 5, articolo 23, paragrafo 3, articolo 24, paragrafo 5, articolo 27, paragrafi 4 e 5, articolo 28, paragrafo 6, articolo 29, paragrafo 2, articolo 30, paragrafi 3 e 4, articolo 31, paragrafo 3, articolo 32, paragrafo 3, articolo 33, paragrafo 2, articolo 34, paragrafo 2, articolo 37, paragrafi 4 e 5, articolo 38, paragrafo 6, articolo 42, paragrafo 2, articolo 44, paragrafo 2, articolo 45, paragrafo 2, articolo 47 e articolo 48, che si applicano dal 17 settembre 2014; |
| b) | l’articolo 7, l’articolo 8, paragrafi 1 e 2, gli articoli 9, 10, 11 e l’articolo 12, paragrafo 1, si applicano a decorrere dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8; |
| c) | l’articolo 6 si applica a decorrere da tre anni dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8. |
3. Quando il regime di identificazione_elettronica notificato è compreso nell’elenco pubblicato dalla Commissione ai sensi dell’articolo 9 prima della data di cui al paragrafo 2, lettera c), del presente articolo, il riconoscimento dei mezzi di identificazione_elettronica in virtù di tale regime ai sensi dell’articolo 6 ha luogo non oltre 12 mesi dopo la pubblicazione di detto regime ma non prima della data di cui al paragrafo 2, lettera c), del presente articolo.
4. Nonostante il paragrafo 2, lettera c), del presente articolo, uno Stato membro può decidere che i mezzi di identificazione_elettronica a norma del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, da un altro Stato membro, siano riconosciuti nel primo Stato membro a decorrere dalla data di pubblicazione degli atti di esecuzione di cui agli articoli 8, paragrafo 3, e 12, paragrafo 8. Gli Stati membri interessati ne informano la Commissione. La Commissione rende pubbliche tali informazioni.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 23 luglio 2014
Per il Parlamento europeo
Il presidente
M. SCHULZ
Per il Consiglio
Il presidente
S. GOZI
(1) GU C 351 del 15.11.2012, pag. 73.
(2) Posizione del Parlamento europeo del 3 aprile 2014 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 23 luglio 2014.
(3) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).
(4) GU C 50 E del 21.2.2012, pag. 1.
(5) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).
(6) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).
(7) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).
(8) Decisione 2010/48/CE del Consiglio, del 26 novembre 2009, relativa alla conclusione, da parte della Comunità europea, della convenzione delle Nazioni Unite sui diritti delle persone con disabilità (GU L 23 del 27.1.2010, pag. 35).
(9) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).
(10) Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l’uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).
(11) Decisione 2011/130/UE della Commissione, del 25 febbraio 2011, che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 53 del 26.2.2011, pag. 66).
(12) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).
(13) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).
(14) GU C 28 del 30.1.2013, pag. 6.
(15) Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).
ALLEGATO I
REQUISITI PER I CERTIFICATI QUALIFICATI DI FIRMA ELETTRONICA
I certificati qualificati di firma_elettronica contengono:
| a) | un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma_elettronica; |
| b) | un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
|
| c) | è chiaramente indicato almeno il nome del firmatario, o uno pseudonimo, qualora sia usato uno pseudonimo; |
| d) | i dati_di_ convalida della firma_elettronica che corrispondono ai dati per la creazione di una firma_elettronica; |
| e) | l’indicazione dell’inizio e della fine del periodo di validità del certificato; |
| f) | il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato; |
| g) | la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato; |
| h) | il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente; |
| i) | l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato; |
| j) | qualora i dati per la creazione di una firma_elettronica connessi ai dati_di_ convalida della firma_elettronica siano ubicati in un dispositivo per la creazione di una firma_elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato. |
ALLEGATO II
REQUISITI PER I DISPOSITIVI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA QUALIFICATA
| 1. | I dispositivi per la creazione di una firma_elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:
|
| 2. | I dispositivi per la creazione di una firma_elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma. |
| 3. | La generazione o la gestione dei dati per la creazione di una firma_elettronica per conto del firmatario può essere effettuata solo da un prestatore_di_servizi_fiduciari qualificato. |
| 4. | Fatto salvo il punto 1, lettera d), i prestatori di servizi fiduciari qualificati che gestiscono dati per la creazione di una firma_elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma_elettronica solo a fini di back-up, purché rispettino i seguenti requisiti:
|
ALLEGATO III
REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI
I certificati qualificati dei sigilli elettronici contengono:
| a) | un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo_elettronico; |
| b) | un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
|
| c) | almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali; |
| d) | i dati_di_ convalida del sigillo_elettronico che corrispondono ai dati per la creazione di un sigillo_elettronico; |
| e) | l’indicazione dell’inizio e della fine del periodo di validità del certificato; |
| f) | il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato; |
| g) | la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato; |
| h) | il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente; |
| i) | l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato; |
| j) | qualora i dati per la creazione di un sigillo_elettronico connessi ai dati_di_ convalida del sigillo_elettronico siano ubicati in un dispositivo per la creazione di un sigillo_elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato. |
ALLEGATO IV
REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB
I certificati qualificati di autenticazione di siti web contengono:
| a) | un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web; |
| b) | un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e
|
| c) | per le persone fisiche: almeno il nome della persona a cui è stato rilasciato il certificato, o uno pseudonimo. Qualora sia usato uno pseudonimo, ciò è chiaramente indicato; per le persone giuridiche: almeno il nome della persona giuridica cui è stato rilasciato il certificato e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali; |
| d) | elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato e, se del caso, quali appaiono nei documenti ufficiali; |
| e) | il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato; |
| f) | l’indicazione dell’inizio e della fine del periodo di validità del certificato; |
| g) | il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato; |
| h) | la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato; |
| i) | il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera h) è disponibile gratuitamente; |
| j) | l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato. |
whereas