EIDAS 2014/0910 IT

Allo scopo di garantire il buon funzionamento del mercato interno perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione_elettronica e dei servizi fiduciari, il presente regolamento:

a)	fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione_elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione_elettronica di un altro Stato membro,

b)	stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche; e

c)	istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.

Articolo 3

Definizioni

Ai fini del presente regolamento si intende per:

1)	« identificazione_elettronica», il processo per cui si fa uso di dati_di_identificazione_personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica;

2)	«mezzi di identificazione_elettronica», un’unità materiale e/o immateriale contenente dati_di_identificazione_personale e utilizzata per l’ autenticazione per un servizio online;

3)	« dati_di_identificazione_personale», un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica;

4)	«regime di identificazione_elettronica», un sistema di identificazione_elettronica per cui si forniscono mezzi di identificazione_elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche;

5)	« autenticazione», un processo elettronico che consente di confermare l’ identificazione_elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica;

6)	« parte_facente_affidamento_sulla_certificazione», una persona fisica o giuridica che fa affidamento su un’ identificazione_elettronica o su un servizio_fiduciario;

« organismo_del_settore_pubblico», un’autorità statale, regionale o locale, un organismo_di_diritto_pubblico o un’associazione formata da una o più di tali autorità o da uno o più di tali organismi di diritto pubblico, oppure un soggetto privato incaricato da almeno un’autorità, un organismo o un’associazione di cui sopra di fornire servizi pubblici, quando agisce in base a tale mandato;

8)	« organismo_di_diritto_pubblico», un organismo definito all’articolo 2, paragrafo 1, punto 4, della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (15);

9)	« firmatario», una persona fisica che crea una firma_elettronica;

10)	« firma_elettronica», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;

11)	« firma_elettronica avanzata», una firma_elettronica che soddisfi i requisiti di cui all’articolo 26;

12)	« firma_elettronica qualificata», una firma_elettronica avanzata creata da un dispositivo per la creazione di una firma_elettronica qualificata e basata su un certificato qualificato per firme elettroniche;

13)	«dati per la creazione di una firma_elettronica», i dati unici utilizzati dal firmatario per creare una firma_elettronica;

14)	«certificato di firma_elettronica», un attestato elettronico che collega i dati_di_ convalida di una firma_elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona;

15)	«certificato qualificato di firma_elettronica», un certificato di firma_elettronica che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I;

16)

« servizio_fiduciario», un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

a)	creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure

b)	creazione, verifica e convalida di certificati di autenticazione di siti web; o

c)	conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

17)	« servizio_fiduciario qualificato», un servizio_fiduciario che soddisfa i requisiti pertinenti stabiliti nel presente regolamento;

18)

« organismo_di_valutazione_della_conformità», un organismo ai sensi dell’articolo 2, punto 13, del regolamento (CE) n. 765/2008, che è accreditato a norma di detto regolamento come competente a effettuare la valutazione della conformità del prestatore_di_servizi_fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati;

19)	« prestatore_di_servizi_fiduciari», una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore_di_servizi_fiduciari qualificato o come prestatore_di_servizi_fiduciari non qualificato;

20)	« prestatore_di_servizi_fiduciari qualificato», un prestatore_di_servizi_fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore_di_servizi_fiduciari qualificato;

21)	« prodotto», un hardware o software o i loro componenti pertinenti, destinati a essere utilizzati per la prestazione di servizi fiduciari;

22)	«dispositivo per la creazione di una firma_elettronica», un software o hardware configurato utilizzato per creare una firma_elettronica;

23)	«dispositivo per la creazione di una firma_elettronica qualificata», un dispositivo per la creazione di una firma_elettronica che soddisfa i requisiti di cui all’allegato II;

24)	« creatore_di_un_sigillo», una persona giuridica che crea un sigillo_elettronico;

25)	« sigillo_elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi;

26)	« sigillo_elettronico avanzato», un sigillo_elettronico che soddisfi i requisiti sanciti all’articolo 36;

27)	« sigillo_elettronico qualificato», un sigillo_elettronico avanzato creato da un dispositivo per la creazione di un sigillo_elettronico qualificato e basato su un certificato qualificato per sigilli elettronici;

28)	«dati per la creazione di un sigillo_elettronico», i dati unici utilizzati dal creatore del sigillo_elettronico per creare un sigillo_elettronico;

29)	«certificato di sigillo_elettronico», un attestato elettronico che collega i dati_di_ convalida di un sigillo_elettronico a una persona giuridica e conferma il nome di tale persona;

30)	«certificato qualificato di sigillo_elettronico», un certificato di sigillo_elettronico che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato III;

31)	«dispositivo per la creazione di un sigillo_elettronico», un software o hardware configurato utilizzato per creare un sigillo_elettronico;

32)	«dispositivo per la creazione di un sigillo_elettronico qualificato», un dispositivo per la creazione di un sigillo_elettronico che soddisfa mutatis mutandis i requisiti di cui all’allegato II;

33)	« validazione_temporale_elettronica», dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento;

34)	« validazione_temporale_elettronica qualificata», una validazione_temporale_elettronica che soddisfa i requisiti di cui all’articolo 42;

35)	« documento_elettronico», qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva;

36)

« servizio_elettronico_di_recapito_certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;

37)	« servizio_elettronico_di_recapito_qualificato_certificato», un servizio_elettronico_di_recapito_certificato che soddisfa i requisiti di cui all’articolo 44;

38)	«certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato;

39)	«certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV;

40)	« dati_di_ convalida», dati utilizzati per convalidare una firma_elettronica o un sigillo_elettronico;

41)	« convalida», il processo di verifica e conferma della validità di una firma o di un sigillo_elettronico.

Articolo 7

Ammissibilità alla notifica dei regimi di identificazione_elettronica

Un regime di identificazione_elettronica è ammesso alla notifica ai sensi dell’articolo 9, paragrafo 1, purché soddisfi tutte le seguenti condizioni:

i mezzi di identificazione_elettronica nell’ambito del regime di identificazione_elettronica sono rilasciati:

i)	dallo Stato membro notificante;

ii)	su incarico dello Stato membro notificante; o

iii)	a titolo indipendente dallo Stato membro notificante e sono riconosciuti da tale Stato membro;

b)	i mezzi di identificazione_elettronica nell’ambito del regime di identificazione_elettronica possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo_del_settore_pubblico e che richiede l’ identificazione_elettronica nello Stato membro notificante;

c)	il regime di identificazione_elettronica e i mezzi di identificazione_elettronica rilasciati conformemente alle sue disposizioni soddisfano i requisiti di almeno uno dei livelli di garanzia stabiliti nell’atto di esecuzione di cui all’articolo 8, paragrafo 3;

lo Stato membro notificante garantisce che i dati_di_identificazione_personale che rappresentano unicamente la persona in questione siano attribuiti, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia definito nell’atto di esecuzione di cui all’articolo 8, paragrafo 3, alla persona fisica o giuridica di cui all’articolo 3, punto 1, al momento in cui è rilasciata l’ identificazione_elettronica nell’ambito di detto regime;

la parte che rilascia i mezzi di identificazione_elettronica nell’ambito di detto regime assicura che i mezzi di identificazione_elettronica siano attribuiti alla persona di cui alla lettera d) del presente articolo conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia definito nnell’atto di esecuzione di cui all’articolo 8, paragrafo 3;

lo Stato membro notificante garantisce la disponibilità dell’ autenticazione online, per consentire alle parti facenti affidamento sulla certificazione stabilite nel territorio di un altro Stato membro di confermare i dati_di_identificazione_personale che hanno ricevuto in forma elettronica.

Per le parti facenti affidamento sulla certificazione diverse dagli organismi del settore pubblico, lo Stato membro notificante può definire i termini di accesso a tale autenticazione. Quando l’ autenticazione transfrontaliera è effettuata in relazione a un servizio online prestato da un organismo_del_settore_pubblico, essa è fornita a titolo gratuito.

Gli Stati membri non impongono alcun requisito tecnico specifico sproporzionato alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, qualora tali requisiti impediscano o ostacolino notevolmente l’interoperabilità dei regimi di identificazione_elettronica notificati;

almeno sei mesi prima della notifica di cui all’articolo 9, paragrafo 1, lo Stato membro notificante fornisce agli altri Stati membri, ai fini dell’obbligo previsto dall’articolo 12, paragrafo 5, una descrizione di detto regime conformemente alle modalità procedurali stabilite dagli atti di esecuzione di cui all’articolo 12, paragrafo 7;

h)	il regime di identificazione_elettronica soddisfa i requisiti definiti nell’atto di esecuzione di cui all’articolo 12, paragrafo 8.

Articolo 9

Notifica

1. Lo Stato membro notificante rende note alla Commissione le informazioni seguenti e, senza indugio, qualsiasi loro successiva modifica:

a)	una descrizione del regime di identificazione_elettronica, con indicazione dei suoi livelli di garanzia e della o delle entità che rilasciano i mezzi di identificazione_elettronica nell’ambito del regime;

il regime di vigilanza e il regime di informazioni sulla responsabilità applicabili per quanto riguarda:

i)	la parte che rilascia i mezzi di identificazione_elettronica; e

ii)	la parte che gestisce la procedura di autenticazione;

c)	l’autorità o le autorità responsabili del regime di identificazione_elettronica;

d)	informazioni sull’entità o sulle entità che gestiscono la registrazione dei dati unici di identificazione personale;

e)	una descrizione di come sono soddisfatti i requisiti definiti negli atti di esecuzione di cui all’articolo 12, paragrafo 8;

f)	una descrizione dell’ autenticazione di cui all’articolo 7, lettera f);

g)	disposizioni per la sospensione o la revoca del regime di identificazione_elettronica notificato o dell’ autenticazione oppure di parti compromesse dell’uno o dell’altra.

2. Un anno dopo la data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8, la Commissione pubblica nella Gazzetta ufficiale dell’Unione europea un elenco dei regimi di identificazione_elettronica notificati ai sensi del paragrafo 1 del presente articolo e le informazioni fondamentali al riguardo.

3. Se la Commissione riceve una notifica dopo lo scadere del periodo di cui al paragrafo 2, pubblica nella Gazzetta ufficiale dell’Unione europea le modifiche dell’elenco di cui al paragrafo 2 entro due mesi dalla data di ricezione di tale notifica.

4. Uno Stato membro può presentare alla Commissione una richiesta di eliminazione del regime di identificazione_elettronica da esso notificato dall’elenco di cui al paragrafo 2. La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea le corrispondenti modifiche dell’elenco entro un mese dalla data di ricezione della richiesta dello Stato membro.

5. La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure delle notifiche a norma del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 10

Violazione della sicurezza

1. In caso di violazione o parziale compromissione del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, o dell’ autenticazione di cui all’articolo 7, lettera f), con limitazione dell’affidabilità dell’ autenticazione transfrontaliera di tale regime, lo Stato membro notificante senza indugio sospende o revoca tale autenticazione transfrontaliera o le sue parti compromesse e ne informa gli altri Stati membri e la Commissione.

2. Una volta posto rimedio alla violazione o alla compromissione di cui al paragrafo 1, lo Stato membro notificante ristabilisce l’ autenticazione transfrontaliera e informa senza indugio gli altri Stati membri e la Commissione.

3. Qualora non sia posto rimedio alla violazione o alla compromissione di cui al paragrafo 1 entro tre mesi dalla sospensione o dalla revoca, lo Stato membro notificante notifica agli altri Stati membri e alla Commissione il ritiro del regime di identificazione_elettronica.

La Commissione pubblica senza indebito ritardo le corrispondenti modifiche dell’elenco di cui all’articolo 9, paragrafo 2, nella Gazzetta ufficiale dell’Unione europea.

Articolo 11

Responsabilità

1. Lo Stato membro notificante è responsabile per i danni causati, con dolo o per negligenza, a qualsiasi persona fisica o giuridica in seguito al mancato adempimento dei suoi obblighi di cui all’articolo 7, lettere d) e f), in una transazione transfrontaliera.

2. La parte che rilascia i mezzi di identificazione_elettronica è responsabile di danni causati con dolo o per negligenza a qualsiasi persona fisica o giuridica in seguito al mancato adempimento dell’obbligo di cui all’articolo 7, lettera e), in una transazione transfrontaliera.

3. La parte che gestisce la procedura di autenticazione è responsabile di danni causati con dolo o per negligenza a qualsiasi persona fisica o giuridica per non avere garantito la corretta gestione dell’ autenticazione di cui all’articolo 7, lettera f), in una transazione transfrontaliera.

4. I paragrafi 1, 2 e 3 si applicano conformemente alle norme nazionali in materia di responsabilità.

5. I paragrafi 1, 2 e 3 lasciano impregiudicata la responsabilità conformemente al diritto nazionale delle parti di una transazione in cui sono utilizzati mezzi di identificazione_elettronica che rientrano nel regime di identificazione_elettronica notificato a norma dell’articolo 9, paragrafo 1.

Articolo 12

Cooperazione e interoperabilità

1. I regimi nazionali di identificazione_elettronica notificati a norma dell’articolo 9, paragrafo 1, sono interoperabili.

2. È istituito un quadro di interoperabilità ai fini del paragrafo 1.

3. Il quadro di interoperabilità risponde ai seguenti criteri:

a)	mira a essere neutrale dal punto di vista tecnologico e non comporta discriminazioni tra specifiche soluzioni tecniche nazionali per l’ identificazione_elettronica all’interno di uno Stato membro;

b)	segue, ove possibile, le norme europee e internazionali;

c)	facilita l’applicazione del principio della tutela della vita privata fin dalla progettazione (privacy by design); e

d)	garantisce che i dati personali siano trattati a norma della direttiva 95/46/CE.

4. Il quadro di interoperabilità è composto da:

a)	un riferimento ai requisiti tecnici minimi connessi ai livelli di garanzia di cui all’articolo 8;

b)	una mappatura dei livelli di garanzia nazionali dei regimi di identificazione_elettronica notificati in base ai livelli di garanzia di cui all’articolo 8;

c)	un riferimento ai requisiti tecnici minimi di interoperabilità;

d)	un riferimento a un insieme minimo di dati_di_identificazione_personale che rappresentano un’unica persona fisica o giuridica, disponibile nell’ambito dei regimi di identificazione_elettronica;

e)	norme di procedura;

f)	disposizioni per la risoluzione delle controversie; e

g)	norme di sicurezza operativa comuni.

5. Gli Stati membri cooperano per quanto riguarda:

a)	l’interoperabilità dei regimi di identificazione_elettronica notificati ai sensi dell’articolo 9, paragrafo 1, e dei regimi di identificazione_elettronica che gli Stati membri intendono notificare; e

b)	la sicurezza dei regimi di identificazione_elettronica.

6. La cooperazione fra gli Stati membri riguarda:

a)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i regimi di identificazione_elettronica e, in particolare, i requisiti tecnici connessi all’interoperabilità e ai livelli di garanzia;

b)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i metodi di lavoro con i livelli di garanzia dei regimi di identificazione_elettronica di cui all’articolo 8;

c)	la valutazione tra pari dei regimi di identificazione_elettronica che rientrano nel presente regolamento; e

d)	l’esame degli sviluppi pertinenti nel settore dell’ identificazione_elettronica.

7. Entro il 18 marzo 2015, la Commissione, mediante atti di esecuzione, fissa le modalità procedurali necessarie per facilitare la collaborazione fra gli Stati membri di cui ai paragrafi 5 e 6, al fine di promuovere un elevato livello di fiducia e di sicurezza, commisurato al grado di rischio esistente.

8. Entro il 18 settembre 2015, al fine di garantire condizioni uniformi di esecuzione del requisito di cui al paragrafo 1, la Commissione, fatti salvi i criteri di cui al paragrafo 3 e tenendo conto dei risultati della cooperazione fra gli Stati membri, adotta atti di esecuzione sul quadro di interoperabilità quale definito al paragrafo 4.

9. Gli atti di esecuzione di cui a paragrafi 7 e 8 sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

CAPO III

SERVIZI FIDUCIARI

SEZIONE 1

Disposizioni generali

Articolo 14

Relazioni internazionali

1. I servizi fiduciari prestati da prestatori di servizi fiduciari stabiliti in un paese terzo sono riconosciuti giuridicamente equivalenti ai servizi fiduciari qualificati prestati da prestatori di servizi fiduciari qualificati stabiliti nell’Unione qualora i servizi fiduciari aventi origine nel paese terzo siano riconosciuti a norma di un accordo concluso fra l’Unione e il paese terzo in questione o un’organizzazione internazionale a norma dell’articolo 218 TFUE.

2. Gli accordi di cui al paragrafo 1 garantiscono, in particolare, che:

i requisiti che si applicano ai prestatori di servizi fiduciari qualificati stabiliti nell’Unione e ai servizi fiduciari qualificati che prestano siano soddisfatti dai prestatori di servizi fiduciari nel paese terzo o presso le organizzazioni internazionali con cui è concluso l’accordo, nonché dai servizi fiduciari da essi prestati;

i servizi fiduciari qualificati prestati da prestatori di servizi fiduciari qualificati stabiliti nell’Unione sono riconosciuti come giuridicamente equivalenti ai servizi fiduciari prestati da prestatori di servizi fiduciari nel paese terzo o presso l’organizzazione internazionale con cui è concluso l’accordo.

Articolo 17

Organismo di vigilanza

1. Gli Stati membri designano un organismo di vigilanza stabilito nel loro territorio o, di comune accordo con un altro Stato membro, un organismo di vigilanza stabilito in tale altro Stato membro. Tale organismo è responsabile di compiti di vigilanza nello Stato membro designante.

Agli organismi di vigilanza sono conferiti i poteri necessari e le risorse adeguate per l’esercizio dei loro compiti.

2. Gli Stati membri notificano alla Commissione i nomi e gli indirizzi dei rispettivi organismi di vigilanza designati.

3. Il ruolo dell’organismo di vigilanza è il seguente:

a)	vigilare sui prestatori di servizi fiduciari qualificati stabiliti nel territorio dello Stato membro designante per assicurarsi, mediante attività di vigilanza ex ante e ex post, che essi e i servizi fiduciari qualificati da essi prestati rispondano ai requisiti di cui al presente regolamento;

adottare misure, ove necessario, in relazione a prestatori di servizi fiduciari non qualificati stabiliti nel territorio dello Stato membro designante, mediante attività di vigilanza ex post, qualora sia informato che tali prestatori di servizi fiduciari non qualificati o i servizi fiduciari da essi prestati presumibilmente non soddisfano i requisiti stabiliti dal presente regolamento.

4. Ai fini del paragrafo 3 e fatte salve le limitazioni ivi previste, l’organismo di vigilanza ha, in particolare, i compiti seguenti:

a)	cooperare con altri organismi di vigilanza e assisterli a norma dell’articolo 18;

b)	analizzare le relazioni di valutazione della conformità di cui all’articolo 20, paragrafo 1, e all’articolo 21, paragrafo 1;

c)	informare gli altri organismi di vigilanza e il pubblico in merito a violazioni della sicurezza o perdita di integrità a norma dell’articolo 19, paragrafo 2;

d)	riferire alla Commissione in merito alle sue principali attività a norma del paragrafo 6 del presente articolo;

e)	svolgere verifiche o chiedere a un organismo_di_valutazione_della_conformità di effettuare una valutazione di conformità dei prestatori di servizi fiduciari qualificati a norma dell’articolo 20, paragrafo 2;

f)	cooperare con le autorità di protezione, in particolare informandole senza indugio dei dati in merito ai risultati di verifiche di prestatori di servizi fiduciari qualificati, laddove siano state rilevate violazioni delle norme di protezione dei dati personali;

g)	concedere la qualifica ai prestatori di servizi fiduciari e ai servizi da essi prestati e ritirare tale qualifica a norma degli articoli 20 e 21;

h)	informare l’organismo responsabile dell’elenco nazionale di fiducia di cui all’articolo 22, paragrafo 3, in merito alle proprie decisioni di concedere o ritirare la qualifica, salvo se tale organismo è anche l’organismo di vigilanza;

i)	verificare l’esistenza e la corretta applicazione delle disposizioni sui piani di cessazione nei casi in cui il prestatore_di_servizi_fiduciari qualificati cessa le sue attività, inclusi i modi in cui le informazioni sono mantenute accessibili a norma dell’articolo 24, paragrafo 2, lettera h);

j)	imporre ai prestatori di servizi fiduciari di rimediare a qualsiasi mancato adempimento dei requisiti di cui al presente regolamento.

5. Gli Stati membri possono imporre che l’organismo di vigilanza istituisca, mantenga e aggiorni un’infrastruttura fiduciaria secondo le condizioni di cui al diritto nazionale.

6. Entro il 31 marzo di ogni anno, ogni organismo di vigilanza presenta alla Commissione una relazione sulle sue principali attività del precedente anno civile insieme a una sintesi delle notifiche di violazione ricevute da prestatori di servizi fiduciari a norma dell’articolo 19, paragrafo 2.

7. La Commissione mette a disposizione degli Stati membri la relazione annuale di cui al paragrafo 6.

8. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure della relazione di cui al paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 18

Assistenza reciproca

1. Gli organismi di vigilanza collaborano fra loro al fine di scambiarsi buone prassi.

Un organismo di vigilanza, previa ricezione di una richiesta giustificata da parte di un altro organismo di vigilanza, fornisce a quest’ultimo assistenza perché possano svolgere le attività di organismi di vigilanza in modo coerente. L’assistenza reciproca può coprire, in particolare, le richieste di informazioni e le misure di vigilanza, quali richieste di svolgere ispezioni in connessione con le relazioni di valutazione della conformità di cui agli articoli 20 e 21.

2. L’organismo di vigilanza cui è presentata una richiesta di assistenza può rifiutare tale richiesta per uno dei seguenti motivi:

a)	l’organismo di vigilanza non è competente a fornire l’assistenza richiesta;

b)	l’assistenza richiesta non è proporzionata alle attività di vigilanza dell’organismo di vigilanza svolte a norma dell’articolo 17;

c)	fornire l’assistenza richiesta sarebbe incompatibile con il presente regolamento.

3. Ove appropriato, gli Stati membri possono autorizzare i rispettivi organismi di vigilanza a svolgere indagini congiunte con la partecipazione di membri del personale di organismi di vigilanza di altri Stati membri. Le disposizioni e le procedure per tali indagini congiunte sono convenute e stabilite dagli Stati membri interessati conformemente al rispettivo diritto nazionale.

Articolo 19

Requisiti di sicurezza relativi ai prestatori di servizi fiduciari

1. I prestatori di servizi fiduciari qualificati e non qualificati adottano le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati. Tenuto conto degli ultimi sviluppi tecnologici, tali misure assicurano un livello di sicurezza commisurato al grado di rischio esistente. In particolare, sono adottate misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti.

2. Senza indugio ma in ogni caso entro 24 ore dall’esserne venuti a conoscenza, i prestatori di servizi fiduciari qualificati e non qualificati notificano all’organismo di vigilanza e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.

Qualora sia probabile che la violazione della sicurezza o la perdita di integrità abbia effetti negativi su una persona fisica o giuridica a cui è stato prestato il servizio_fiduciario, il prestatore_di_servizi_fiduciari notifica senza indugio anche alla persona fisica o giuridica la violazione di sicurezza o la perdita di integrità.

Ove appropriato, in particolare qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza notificato ne informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA.

L’organismo di vigilanza notificato informa il pubblico o impone al prestatore_di_servizi_fiduciari di farlo, ove accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico.

3. L’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari.

4. La Commissione può, mediante atti di esecuzione:

a)	specificare ulteriormente le misure di cui al paragrafo 1; e

b)	definire i formati e le procedure, comprese le scadenze, applicabili ai fini del paragrafo 2.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 3

Servizi fiduciari qualificati

Articolo 20

Vigilanza dei prestatori di servizi fiduciari qualificati

1. I prestatori di servizi fiduciari qualificati sono sottoposti, a proprie spese almeno ogni 24 mesi, a una verifica da parte di un organismo_di_valutazione_della_conformità. Lo scopo della verifica è di confermare che i prestatori di servizi fiduciari qualificati e i servizi fiduciari qualificati da essi prestati soddisfano i requisiti di cui al presente regolamento. I prestatori di servizi fiduciari qualificati presentano la pertinente relazione di valutazione di conformità all’organismo di vigilanza entro il termine di tre giorni lavorativi dalla sua ricezione.

2. Fatto salvo il paragrafo 1, l’organismo di vigilanza può, in qualsiasi momento, condurre una verifica o chiedere a un organismo_di_valutazione_della_conformità di eseguire una valutazione di conformità dei prestatori di servizi fiduciari qualificati, a spese di tali prestatori di servizi fiduciari, per confermare che essi e i servizi fiduciari qualificati da essi prestati rispondono ai requisiti di cui al presente regolamento. Laddove siano state rilevate violazioni delle norme di protezione dei dati personali, l’organismo di vigilanza comunica alle autorità di protezione dei dati i risultati delle verifiche.

3. Ove l’organismo di vigilanza imponga al prestatore_di_servizi_fiduciari qualificato di rimediare agli eventuali mancati adempimenti dei requisiti di cui al presente regolamento e ove il prestatore non agisca di conseguenza e, se applicabile, entro un limite di tempo stabilito dall’organismo di vigilanza, quest’ultimo, tenendo conto in particolare della dimensione, della durata e delle conseguenze di tale mancato adempimento, può ritirare la qualifica di tale prestatore o del servizio interessato da esso prestato e informare l’organismo di cui all’articolo 22, paragrafo 3, al fine di aggiornare gli elenchi di fiducia di cui all’articolo 22, paragrafo 1. L’organismo di vigilanza comunica al prestatore_di_servizi_fiduciari qualificato la revoca della sua qualifica o della qualifica del servizio interessato.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento per le seguenti norme:

a)	accreditamento degli organismi di valutazione della conformità e per la relazione di valutazione di conformità di cui al paragrafo 1;

b)	regole in materia di audit in base alle quali gli organismi di valutazione effettueranno le loro valutazioni della conformità dei prestatori di servizi fiduciari qualificati di cui al paragrafo 1.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 21

Avviamento di un servizio_fiduciario qualificato

1. Qualora i prestatori di servizi fiduciari, privi di qualifica, intendano avviare la prestazione di servizi fiduciari qualificati, trasmettono all’organismo di vigilanza una notifica della loro intenzione insieme a una relazione di valutazione della conformità rilasciata da un organismo_di_valutazione_della_conformità.

2. L’organismo di vigilanza verifica se il prestatore_di_servizi_fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al presente regolamento e, in particolare, i requisiti per i prestatori di servizi fiduciari qualificati e per i servizi fiduciari qualificati da essi prestati.

Se conclude che il prestatore_di_servizi_fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al primo comma, l’organismo di vigilanza concede la qualifica al prestatore_di_servizi_fiduciari e ai servizi fiduciari da esso prestati e informa l’organismo di cui all’articolo 22, paragrafo 3, affinché aggiorni gli elenchi di fiducia di cui all’articolo 22, paragrafo 1, non oltre tre mesi dopo la notifica a norma del paragrafo 1 del presente articolo.

Se la verifica non si è conclusa entro tre mesi dalla notifica, l’organismo di vigilanza ne informa il prestatore_di_servizi_fiduciari specificando i motivi del ritardo e il periodo necessario per concludere la verifica.

3. I prestatori di servizi fiduciari qualificati possono iniziare a prestare il servizio_fiduciario qualificato dopo che la qualifica è stata registrata negli elenchi di fiducia di cui all’articolo 22, paragrafo 1.

4. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure della relazione di cui ai paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 23

Marchio di fiducia UE per i servizi fiduciari qualificati

1. Dopo la registrazione della qualifica di cui all’articolo 21, paragrafo 2, secondo comma, nell’elenco di fiducia di cui all’articolo 22, paragrafo 1, i prestatori di servizi fiduciari qualificati possono utilizzare il marchio di fiducia UE per presentare in modo semplice, riconoscibile e chiaro i servizi fiduciari qualificati da essi prestati.

2. Quando utilizzano il marchio di fiducia UE per i servizi fiduciari qualificati di cui al paragrafo 1, i prestatori di servizi fiduciari qualificati garantiscono che sul loro sito web sia disponibile un link all’elenco di fiducia pertinente.

3. Entro il 1o luglio 2015 la Commissione, mediante atti di esecuzione, fornisce criteri specifici relativi alla forma e, in particolare, alla presentazione, alla composizione, alla dimensione e al disegno del marchio di fiducia UE per i servizi fiduciari qualificati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 24

Requisiti per i prestatori di servizi fiduciari qualificati

1. Allorché rilascia un certificato qualificato per un servizio_fiduciario, un prestatore_di_servizi_fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.

Le informazioni di cui al primo comma sono verificate dal prestatore_di_servizi_fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:

a)	mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica; o

a distanza, mediante mezzi di identificazione_elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»; o

c)	mediante un certificato di una firma_elettronica qualificata o di un sigillo_elettronico qualificato rilasciato a norma della lettera a) o b); o

d)	mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’afffidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo_di_valutazione_della_conformità.

2. Un prestatore_di_servizi_fiduciari qualificato che presta servizi fiduciari qualificati:

a)	informa l’organismo di vigilanza di eventuali cambiamenti nella prestazione dei propri servizi fiduciari qualificati e dell’intenzione di cessare tali attività;

impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali;

c)	riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale;

d)	prima di avviare una relazione contrattuale informa, in modo chiaro e completo, chiunque intenda utilizzare un servizio_fiduciario qualificato dei termini e delle condizioni esatte per l’utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo;

e)	utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano;

utilizza sistemi affidabili per memorizzare i dati a esso forniti, in modo verificabile, affinché:

i)	siano accessibili alla consultazione del pubblico soltanto con il consenso della persona a cui i dati fanno riferimento;

ii)	soltanto le persone autorizzate possano effettuare inserimenti e modifiche ai dati memorizzati;

iii)	l’autenticità dei dati sia verificabile;

g)	adotta misure adeguate contro le falsificazioni e i furti di dati;

registra e mantiene accessibili per un congruo periodo di tempo, anche dopo la cessazione delle attività del prestatore_di_servizi_fiduciari qualificato, tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore_di_servizi_fiduciari qualificato, in particolare a fini di produzione di prove nell’ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche;

i)	dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 17, paragrafo 4, lettera i);

j)	garantisce il trattamento lecito dei dati personali a norma della direttiva 95/46/CE;

k)	se i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati, istituiscono una banca dati dei certificati aggiornata.

3. Se un prestatore_di_servizi_fiduciari qualificato che rilascia certificati qualificati decide di revocare un certificato, registra tale revoca nella propria banca dati dei certificati e pubblica la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta. La revoca diventa immediatamente effettiva all’atto della pubblicazione.

4. In considerazione del paragrafo 3, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati trasmettono alle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o revoca dei certificati qualificati da essi rilasciati. Queste informazioni sono rese disponibili almeno per ogni certificato rilasciato in qualsiasi momento e oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sistemi e prodotti affidabili, che soddisfano i requisiti di cui al paragrafo 2, lettere e) ed f), del presente articolo. Si presume che i requisiti di cui al presente articolo siano stati rispettati ove i sistemi e i prodotti affidabili adempiano a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 4

Firme elettroniche

Articolo 33

Servizio di convalida qualificato delle firme elettroniche qualificate

1. Un servizio di convalida qualificato delle firme elettroniche qualificate può essere prestato soltanto da un prestatore_di_servizi_fiduciari qualificato che:

a)	fornisce la convalida a norma dell’articolo 32, paragrafo 1; e

b)	consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore del servizio di convalida qualificato.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al servizio di convalida qualificato di cui al paragrafo 1. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il servizio di convalida di una firma_elettronica qualificata risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 49

Riesame

La Commissione riesamina l’applicazione del presente regolamento e presenta una relazione in proposito al Parlamento europeo e al Consiglio entro il 1o luglio 2020. La Commissione valuta in particolare se sia opportuno modificare l’ambito di applicazione del presente regolamento o sue disposizioni specifiche, compresi l’articolo 6, l’articolo 7, lettera f), e gli articoli 34, 43, 44 e 45, tenendo conto dell’esperienza acquisita nell’applicazione del regolamento stesso e dei progressi tecnologici, dell’evoluzione del mercato e degli sviluppi giuridici.

La relazione di cui al primo comma è corredata, se necessario, di proposte legislative.

Ogni quattro anni dopo la relazione di cui al primo paragrafo la Commissione presenta inoltre al Parlamento europeo e al Consiglio una relazione sui progressi compiuti nella realizzazione degli obiettivi del presente regolamento.

whereas

(1) Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale.
La mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi.

- = -

(5) Nelle conclusioni del 4 febbraio 2011 e del 23 ottobre 2011 il Consiglio europeo ha invitato la Commissione a creare un mercato unico digitale entro il 2015, a fare rapidi progressi in settori essenziali dell’economia digitale e a promuovere un mercato unico digitale pienamente integrato favorendo l’impiego transfrontaliero dei servizi online, con particolare riguardo all’agevolazione dell’identificazione e dell’ autenticazione elettronica sicura.

- = -

(7) Nella risoluzione del 21 settembre 2010 sul completamento del mercato interno per il commercio elettronico (4), il Parlamento europeo ha sottolineato l’importanza della sicurezza dei servizi elettronici, in particolare delle firme elettroniche, e della necessità di creare un’infrastruttura pubblica essenziale a livello paneuropeo ed ha invitato la Commissione ad allestire un Portale europeo delle autorità di convalida per garantire l’interoperabilità transfrontaliera delle firme elettroniche e per aumentare la sicurezza delle transazioni effettuate utilizzando Internet.

- = -

(16) I livelli di garanzia dovrebbero caratterizzare il grado di sicurezza con cui i mezzi di identificazione_elettronica stabiliscono l’identità di una persona, fornendo così la garanzia che la persona che pretende di avere una determinata identità è effettivamente la persona cui tale identità è stata assegnata.
Il livello di garanzia dipende dal grado di sicurezza fornito dai mezzi di identificazione_elettronica riguardo all’identità pretesa o dichiarata di una persona tenendo conto dei procedimenti (ad esempio, controllo e verifica dell’identità, e autenticazione), delle attività di gestione (ad esempio, l’entità che rilascia i mezzi di identificazione_elettronica e la procedura di rilascio di tali mezzi) e dei controlli tecnici messi in atto.
Come risultato dei progetti pilota su larga scala finanziati dall’Unione, della normazione e di attività a livello internazionale, esistono varie definizioni e descrizioni tecniche dei livelli di garanzia.
In particolare, il progetto pilota su larga scala STORK e la norma ISO 29115 fanno riferimento, tra l’altro, ai livelli 2, 3 e 4, che dovrebbero essere tenuti nella massima considerazione all’atto di stabilire le norme, le procedure e i requisiti tecnici minimi per i livelli di garanzia basso, significativo ed elevato ai sensi del presente regolamento, assicurando al contempo l’applicazione coerente del presente regolamento in particolare per quanto riguarda il livello di garanzia elevato in relazione al controllo dell’identità ai fini del rilascio di certificati qualificati.
I requisiti stabiliti dovrebbero essere neutrali dal punto di vista tecnologico.
Dovrebbe essere possibile soddisfare i requisiti di sicurezza necessari attraverso tecnologie differenti.

- = -

(17) È opportuno che gli Stati membri incoraggino il settore privato a impiegare volontariamente mezzi di identificazione_elettronica nell’ambito di un regime notificato a fini di identificazione ove necessario per servizi online o transazioni elettroniche.
La facoltà di ricorrere a tali mezzi di identificazione_elettronica consentirebbe al settore privato di avvalersi dell’identificazione e autenticazione elettroniche già ampiamente impiegate in molti Stati membri almeno per i servizi pubblici e di agevolare alle imprese e ai cittadini l’accesso transfrontaliero ai loro servizi online.
Per facilitare l’impiego transfrontaliero di tali mezzi di identificazione_elettronica da parte del settore privato, è opportuno che la possibilità di autenticazione offerta da uno Stato membro sia disponibile alle parti del settore privato facenti affidamento sulla certificazione stabilite al di fuori del territorio di detto Stato membro alle stesse condizioni applicate alle parti del settore privato facenti affidamento sulla certificazione stabilite nel suddetto Stato membro.
Di conseguenza, per quanto riguarda le parti del settore privato facenti affidamento sulla certificazione, lo Stato membro notificante può definire termini di accesso ai mezzi di autenticazione.
Detti termini di accesso possono indicare se i mezzi di autenticazione relativi al regime notificato sono attualmente disponibili alle parti del settore privato facenti affidamento sulla certificazione.

- = -

(19) La sicurezza dei regimi di identificazione_elettronica è fondamentale per un affidabile riconoscimento reciproco transfrontaliero dei mezzi di identificazione_elettronica.
In tale contesto, gli Stati membri dovrebbero cooperare in materia di sicurezza e interoperabilità dei regimi di identificazione_elettronica a livello dell’Unione.
Ogniqualvolta i regimi di identificazione_elettronica richiedano alle parti che fanno affidamento sulla certificazione di utilizzare hardware o software specifici a livello nazionale, l’interoperabilità transfrontaliera richiede che tali Stati membri non impongano tali requisiti e le spese relative alle parti facenti affidamento sulla certificazione stabilite al di fuori del loro territorio.
In tal caso si dovrebbero esaminare ed elaborare soluzioni appropriate nell’ambito del quadro di interoperabilità.
Tuttavia, sono inevitabili i requisiti tecnici derivanti dalle specifiche inerenti ai mezzi di identificazione_elettronica nazionali e suscettibili di avere ripercussioni per i detentori di tali mezzi elettronici (ad esempio, le smart card).

- = -

(21) È anche opportuno che il presente regolamento istituisca un quadro giuridico generale per l’impiego dei servizi fiduciari.
Tuttavia, non è opportuno che istituisca un obbligo generale di farne uso o che installi un punto di accesso per tutti i servizi fiduciari esistenti.
In particolare, non è auspicabile che il regolamento copra la prestazione di servizi fiduciari usati esclusivamente nell’ambito di sistemi chiusi da un insieme definito di partecipanti che non hanno ripercussioni su terzi.
Ad esempio, i sistemi istituiti in imprese o amministrazioni pubbliche per la gestione delle procedure interne che fanno uso di servizi fiduciari non dovrebbero essere soggetti ai requisiti previsti dal presente regolamento.
Solo i servizi fiduciari prestati al pubblico aventi ripercussioni su terzi dovrebbero soddisfare i requisiti previsti dal presente regolamento.
Non è neanche auspicabile che il presente regolamento copra aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici nei casi in cui la normativa nazionale o unionale stabilisca obblighi quanto alla forma.
Inoltre, non dovrebbe avere ripercussioni sugli obblighi di forma nazionali relativi ai registri pubblici, in particolare i registri commerciali e catastali.

- = -

(28) Al fine di migliorare in particolare la fiducia delle piccole e medie imprese (PMI) e dei consumatori nel mercato interno e di promuovere l’impiego dei servizi e prodotti fiduciari, è opportuno introdurre le nozioni di servizi fiduciari qualificati e di prestatori di servizi fiduciari qualificati, per precisare i requisiti e gli obblighi che garantiscano un elevato livello di sicurezza di tutti i servizi e prodotti fiduciari qualificati impiegati o prestati.

- = -

(29) In linea con gli obblighi assunti a norma della Convenzione delle Nazioni Unite per i diritti delle persone con disabilità, approvata con decisione 2010/48/CE del Consiglio (8), in particolare l’articolo 9 della Convenzione, le persone con disabilità dovrebbero poter utilizzare servizi fiduciari e prodotti destinati al consumatore finale impiegati nella prestazione di tali servizi alle stesse condizioni degli altri consumatori.
Ove fattibile, pertanto, i servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi dovrebbero essere resi accessibili alle persone con disabilità.
La valutazione di fattibilità dovrebbe includere considerazioni tecniche ed economiche.

- = -

(31) Gli organismi di vigilanza dovrebbero cooperare con le autorità di protezione dei dati, ad esempio informandole in merito ai risultati di verifiche di prestatori di servizi fiduciari qualificati, laddove siano state rilevate violazioni delle norme di protezione dei dati personali.
In particolare, è opportuno che la trasmissione di informazioni copra gli incidenti di sicurezza e le violazioni dei dati personali.

- = -

(35) Tutti i prestatori di servizi fiduciari dovrebbero essere soggetti ai requisiti del presente regolamento, in particolare a quelli in materia di sicurezza e responsabilità, al fine di garantire la dovuta diligenza, la trasparenza e l’attendibilità delle loro operazioni e servizi.
Tuttavia, tenendo conto del tipo di servizi fornito dai prestatori di servizi fiduciari, per quanto riguarda tali requisiti è opportuno distinguere tra servizi fiduciari qualificati e non qualificati.

- = -

(37) Il presente regolamento dovrebbe prevedere la responsabilità di tutti i prestatori di servizi fiduciari.
In particolare, stabilisce il regime di responsabilità in base al quale tutti i prestatori di servizi fiduciari dovrebbero essere responsabili dei danni provocati a persone fisiche o giuridiche a causa del mancato rispetto degli obblighi previsti dal presente regolamento.
Al fine di agevolare la valutazione del rischio finanziario che i prestatori di servizi fiduciari possano dover sostenere o che debbano coprire con polizze assicurative, il presente regolamento autorizza i prestatori di servizi fiduciari a stabilire limiti, a talune condizioni, all’uso dei servizi da essi prestati e non essere pertanto responsabili dei danni derivanti dall’uso dei servizi oltre i suddetti limiti.
I clienti dovrebbero essere debitamente e anticipatamente informati di tali limiti.
Tali limiti dovrebbero essere riconoscibili per i terzi, ad esempio inserendo informazioni sui limiti nei termini e nelle condizioni del servizio prestato o attraverso altri mezzi riconoscibili.
Allo scopo di dare effetto a tali principi, il presente regolamento dovrebbe essere applicato conformemente alle norme nazionali sulla responsabilità.
Pertanto, il presente regolamento non pregiudica tali norme nazionali in ordine, ad esempio, alla definizione dei danni, del dolo, della negligenza o alle pertinenti norme procedurali applicabili.

- = -

(38) La notifica delle violazioni di sicurezza e delle valutazioni di rischio per la sicurezza è essenziale per fornire informazioni adeguate alle parti interessate in caso di violazione di sicurezza o perdita di integrità.

- = -

(43) Al fine di assicurare la conformità dei prestatori di servizi fiduciari qualificati e dei servizi da essi prestati ai requisiti stabiliti dal presente regolamento, un organismo_di_valutazione_della_conformità dovrebbe effettuare una valutazione della conformità; i prestatori di servizi fiduciari qualificati dovrebbero trasmettere all’organismo di vigilanza le relazioni di valutazione di conformità risultanti.
Ogniqualvolta l’organismo di vigilanza richieda a un prestatore_di_servizi_fiduciari qualificato di presentare una relazione di valutazione di conformità ad hoc, l’organismo di vigilanza dovrebbe rispettare in particolare i principi di buona amministrazione, compreso l’obbligo di fornire le motivazioni delle sue decisioni, nonché il principio di proporzionalità.
Pertanto, l’organismo di vigilanza dovrebbe debitamente giustificare la propria decisione di imporre una valutazione di conformità ad hoc.

- = -

(52) Visti i suoi molteplici vantaggi economici, sarà ulteriormente sviluppata la creazione di firme elettroniche a distanza, qualora l’ambiente di creazione di firma_elettronica sia gestito da un prestatore_di_servizi_fiduciari a nome del firmatario.
Tuttavia, per garantire che alle firme elettroniche sia attribuito lo stesso riconoscimento giuridico delle firme elettroniche create con un ambiente interamente gestito dall’utente, i prestatori che offrono servizi di firma_elettronica a distanza dovrebbero applicare procedure di sicurezza di gestione e amministrative specifiche e utilizzare sistemi e prodotti affidabili, che in particolare comprendano canali di comunicazione elettronici sicuri per garantire l’affidabilità dell’ambiente di creazione di firma_elettronica e assicurare che sia utilizzato sotto il controllo esclusivo del firmatario.
Nel caso di una firma_elettronica qualificata creata mediante un dispositivo di creazione di firma_elettronica a distanza, dovrebbero applicarsi i requisiti applicabili ai prestatori di servizi fiduciari qualificati, stabiliti dal presente regolamento.

- = -

(57) Per garantire la certezza giuridica della validità della firma, è essenziale specificare i componenti di una firma_elettronica qualificata, che dovrebbero essere valutati dalla parte_facente_affidamento_sulla_certificazione che effettua la convalida.
Inoltre, è opportuno che attraverso la specificazione degli obblighi dei prestatori di servizi fiduciari qualificati che possono offrire un servizio di convalida qualificata a parti facenti affidamento sulla certificazione che non vogliono o non possono effettuare esse stesse la convalida di firme elettroniche qualificate siano stimolati gli investimenti del settore privato e pubblico in tali servizi. È opportuno che entrambi gli elementi rendano la convalida delle firme elettroniche qualificate semplice e agevole per tutte le parti a livello dell’Unione.

- = -

(64) Nel trattare i formati delle firme e dei sigilli elettronici avanzati, la Commissione dovrebbe basarsi sulle prassi, sulle norme e sulla legislazione esistente, in particolare la decisione 2011/130/UE della Commissione (11).

- = -

(69) Le istituzioni, gli organi, gli uffici e le agenzie dell’Unione sono incoraggiate a riconoscere l’ identificazione_elettronica e i servizi fiduciari contemplati dal presente regolamento ai fini dell’amministrazione cooperativa facendo tesoro, in particolare, delle buone prassi esistenti e dei risultati dei progetti in corso nei settori contemplati dal presente regolamento.

- = -

(70) Al fine di completare determinati aspetti tecnici dettagliati del presente regolamento in modo flessibile e veloce, dovrebbe essere delegato alla Commissione il potere di adottare atti conformemente all’articolo 290 TFUE riguardo ai criteri che devono soddisfare gli organismi responsabili della certificazione dei dispositivi per la creazione di una firma_elettronica qualificata. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti.
Nella preparazione e nell’elaborazione degli atti delegati, la Commissione dovrebbe provvedere alla contestuale, tempestiva e appropriata trasmissione dei documenti pertinenti al Parlamento europeo e al Consiglio.

- = -

(71) Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione, in particolare per specificare i numeri di riferimento delle norme il cui impiego conferisce una presunzione di adempimento di determinati requisiti stabiliti nel presente regolamento.
Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (12).

- = -

(72) In sede di elaborazione degli atti delegati o di esecuzione, la Commissione dovrebbe tenere debito conto delle norme e delle specifiche tecniche elaborate da organizzazioni e organismi di normalizzazione europei e internazionali, in particolare il Comitato europeo di normalizzazione (CEN), l’Istituto europeo delle norme di telecomunicazione (ETSI), l’Organizzazione internazionale per la standardizzazione (ISO) e l’Unione internazionale delle telecomunicazioni (UIT), al fine di assicurare un livello elevato di sicurezza e interoperabilità dell’ identificazione_elettronica e dei servizi fiduciari.

- = -

(75) Le date di applicazione stabilite nel presente regolamento non pregiudicano gli obblighi esistenti già contratti dagli Stati membri in base al diritto dell’Unione, in particolare della direttiva 2006/123/CE.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT