EIDAS 2014/0910 IT

Allo scopo di garantire il buon funzionamento del mercato interno perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione_elettronica e dei servizi fiduciari, il presente regolamento:

a)	fissa le condizioni a cui gli Stati membri riconoscono i mezzi di identificazione_elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione_elettronica di un altro Stato membro,

b)	stabilisce le norme relative ai servizi fiduciari, in particolare per le transazioni elettroniche; e

c)	istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, le validazioni temporali elettroniche, i documenti elettronici, i servizi elettronici di recapito certificato e i servizi relativi ai certificati di autenticazione di siti web.

Articolo 2

Ambito di applicazione

1. Il presente regolamento si applica ai regimi di identificazione_elettronica che sono stati notificati da uno Stato membro, nonché ai prestatori di servizi fiduciari che sono stabiliti nell’Unione.

2. Il presente regolamento non si applica alla prestazione di servizi fiduciari che sono utilizzati esclusivamente nell’ambito di sistemi chiusi contemplati dal diritto nazionale o da accordi conclusi tra un insieme definito di partecipanti.

3. Il presente regolamento non pregiudica il diritto nazionale o unionale legato alla conclusione e alla validità di contratti o di altri vincoli giuridici o procedurali relativi alla forma.

Articolo 3

Definizioni

Ai fini del presente regolamento si intende per:

1)	« identificazione_elettronica», il processo per cui si fa uso di dati_di_identificazione_personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica;

2)	«mezzi di identificazione_elettronica», un’unità materiale e/o immateriale contenente dati_di_identificazione_personale e utilizzata per l’ autenticazione per un servizio online;

3)	« dati_di_identificazione_personale», un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica;

4)	«regime di identificazione_elettronica», un sistema di identificazione_elettronica per cui si forniscono mezzi di identificazione_elettronica alle persone fisiche o giuridiche, o alle persone fisiche che rappresentano persone giuridiche;

5)	« autenticazione», un processo elettronico che consente di confermare l’ identificazione_elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica;

6)	« parte_facente_affidamento_sulla_certificazione», una persona fisica o giuridica che fa affidamento su un’ identificazione_elettronica o su un servizio_fiduciario;

« organismo_del_settore_pubblico», un’autorità statale, regionale o locale, un organismo_di_diritto_pubblico o un’associazione formata da una o più di tali autorità o da uno o più di tali organismi di diritto pubblico, oppure un soggetto privato incaricato da almeno un’autorità, un organismo o un’associazione di cui sopra di fornire servizi pubblici, quando agisce in base a tale mandato;

8)	« organismo_di_diritto_pubblico», un organismo definito all’articolo 2, paragrafo 1, punto 4, della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (15);

9)	« firmatario», una persona fisica che crea una firma_elettronica;

10)	« firma_elettronica», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;

11)	« firma_elettronica avanzata», una firma_elettronica che soddisfi i requisiti di cui all’articolo 26;

12)	« firma_elettronica qualificata», una firma_elettronica avanzata creata da un dispositivo per la creazione di una firma_elettronica qualificata e basata su un certificato qualificato per firme elettroniche;

13)	«dati per la creazione di una firma_elettronica», i dati unici utilizzati dal firmatario per creare una firma_elettronica;

14)	«certificato di firma_elettronica», un attestato elettronico che collega i dati_di_ convalida di una firma_elettronica a una persona fisica e conferma almeno il nome o lo pseudonimo di tale persona;

15)	«certificato qualificato di firma_elettronica», un certificato di firma_elettronica che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I;

16)

« servizio_fiduciario», un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

a)	creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure

b)	creazione, verifica e convalida di certificati di autenticazione di siti web; o

c)	conservazione di firme, sigilli o certificati elettronici relativi a tali servizi;

17)	« servizio_fiduciario qualificato», un servizio_fiduciario che soddisfa i requisiti pertinenti stabiliti nel presente regolamento;

18)

« organismo_di_valutazione_della_conformità», un organismo ai sensi dell’articolo 2, punto 13, del regolamento (CE) n. 765/2008, che è accreditato a norma di detto regolamento come competente a effettuare la valutazione della conformità del prestatore_di_servizi_fiduciari qualificato e dei servizi fiduciari qualificati da esso prestati;

19)	« prestatore_di_servizi_fiduciari», una persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore_di_servizi_fiduciari qualificato o come prestatore_di_servizi_fiduciari non qualificato;

20)	« prestatore_di_servizi_fiduciari qualificato», un prestatore_di_servizi_fiduciari che presta uno o più servizi fiduciari qualificati e cui l’organismo di vigilanza assegna la qualifica di prestatore_di_servizi_fiduciari qualificato;

21)	« prodotto», un hardware o software o i loro componenti pertinenti, destinati a essere utilizzati per la prestazione di servizi fiduciari;

22)	«dispositivo per la creazione di una firma_elettronica», un software o hardware configurato utilizzato per creare una firma_elettronica;

23)	«dispositivo per la creazione di una firma_elettronica qualificata», un dispositivo per la creazione di una firma_elettronica che soddisfa i requisiti di cui all’allegato II;

24)	« creatore_di_un_sigillo», una persona giuridica che crea un sigillo_elettronico;

25)	« sigillo_elettronico», dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati in forma elettronica per garantire l’origine e l’integrità di questi ultimi;

26)	« sigillo_elettronico avanzato», un sigillo_elettronico che soddisfi i requisiti sanciti all’articolo 36;

27)	« sigillo_elettronico qualificato», un sigillo_elettronico avanzato creato da un dispositivo per la creazione di un sigillo_elettronico qualificato e basato su un certificato qualificato per sigilli elettronici;

28)	«dati per la creazione di un sigillo_elettronico», i dati unici utilizzati dal creatore del sigillo_elettronico per creare un sigillo_elettronico;

29)	«certificato di sigillo_elettronico», un attestato elettronico che collega i dati_di_ convalida di un sigillo_elettronico a una persona giuridica e conferma il nome di tale persona;

30)	«certificato qualificato di sigillo_elettronico», un certificato di sigillo_elettronico che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato III;

31)	«dispositivo per la creazione di un sigillo_elettronico», un software o hardware configurato utilizzato per creare un sigillo_elettronico;

32)	«dispositivo per la creazione di un sigillo_elettronico qualificato», un dispositivo per la creazione di un sigillo_elettronico che soddisfa mutatis mutandis i requisiti di cui all’allegato II;

33)	« validazione_temporale_elettronica», dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento;

34)	« validazione_temporale_elettronica qualificata», una validazione_temporale_elettronica che soddisfa i requisiti di cui all’articolo 42;

35)	« documento_elettronico», qualsiasi contenuto conservato in forma elettronica, in particolare testo o registrazione sonora, visiva o audiovisiva;

36)

« servizio_elettronico_di_recapito_certificato», un servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;

37)	« servizio_elettronico_di_recapito_qualificato_certificato», un servizio_elettronico_di_recapito_certificato che soddisfa i requisiti di cui all’articolo 44;

38)	«certificato di autenticazione di sito web», un attestato che consente di autenticare un sito web e collega il sito alla persona fisica o giuridica a cui il certificato è rilasciato;

39)	«certificato qualificato di autenticazione di sito web», un certificato di autenticazione di sito web che è rilasciato da un prestatore_di_servizi_fiduciari qualificato ed è conforme ai requisiti di cui all’allegato IV;

40)	« dati_di_ convalida», dati utilizzati per convalidare una firma_elettronica o un sigillo_elettronico;

41)	« convalida», il processo di verifica e conferma della validità di una firma o di un sigillo_elettronico.

Articolo 4

Principio del mercato interno

1. Non sono imposte restrizioni alla prestazione di servizi fiduciari nel territorio di uno Stato membro da parte di un prestatore_di_servizi_fiduciari stabilito in un altro Stato membro per motivi che rientrano negli ambiti di applicazione del presente regolamento.

2. I prodotti e i servizi fiduciari conformi al presente regolamento godono della libera circolazione nel mercato interno.

Articolo 12

Cooperazione e interoperabilità

1. I regimi nazionali di identificazione_elettronica notificati a norma dell’articolo 9, paragrafo 1, sono interoperabili.

2. È istituito un quadro di interoperabilità ai fini del paragrafo 1.

3. Il quadro di interoperabilità risponde ai seguenti criteri:

a)	mira a essere neutrale dal punto di vista tecnologico e non comporta discriminazioni tra specifiche soluzioni tecniche nazionali per l’ identificazione_elettronica all’interno di uno Stato membro;

b)	segue, ove possibile, le norme europee e internazionali;

c)	facilita l’applicazione del principio della tutela della vita privata fin dalla progettazione (privacy by design); e

d)	garantisce che i dati personali siano trattati a norma della direttiva 95/46/CE.

4. Il quadro di interoperabilità è composto da:

a)	un riferimento ai requisiti tecnici minimi connessi ai livelli di garanzia di cui all’articolo 8;

b)	una mappatura dei livelli di garanzia nazionali dei regimi di identificazione_elettronica notificati in base ai livelli di garanzia di cui all’articolo 8;

c)	un riferimento ai requisiti tecnici minimi di interoperabilità;

d)	un riferimento a un insieme minimo di dati_di_identificazione_personale che rappresentano un’unica persona fisica o giuridica, disponibile nell’ambito dei regimi di identificazione_elettronica;

e)	norme di procedura;

f)	disposizioni per la risoluzione delle controversie; e

g)	norme di sicurezza operativa comuni.

5. Gli Stati membri cooperano per quanto riguarda:

a)	l’interoperabilità dei regimi di identificazione_elettronica notificati ai sensi dell’articolo 9, paragrafo 1, e dei regimi di identificazione_elettronica che gli Stati membri intendono notificare; e

b)	la sicurezza dei regimi di identificazione_elettronica.

6. La cooperazione fra gli Stati membri riguarda:

a)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i regimi di identificazione_elettronica e, in particolare, i requisiti tecnici connessi all’interoperabilità e ai livelli di garanzia;

b)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i metodi di lavoro con i livelli di garanzia dei regimi di identificazione_elettronica di cui all’articolo 8;

c)	la valutazione tra pari dei regimi di identificazione_elettronica che rientrano nel presente regolamento; e

d)	l’esame degli sviluppi pertinenti nel settore dell’ identificazione_elettronica.

7. Entro il 18 marzo 2015, la Commissione, mediante atti di esecuzione, fissa le modalità procedurali necessarie per facilitare la collaborazione fra gli Stati membri di cui ai paragrafi 5 e 6, al fine di promuovere un elevato livello di fiducia e di sicurezza, commisurato al grado di rischio esistente.

8. Entro il 18 settembre 2015, al fine di garantire condizioni uniformi di esecuzione del requisito di cui al paragrafo 1, la Commissione, fatti salvi i criteri di cui al paragrafo 3 e tenendo conto dei risultati della cooperazione fra gli Stati membri, adotta atti di esecuzione sul quadro di interoperabilità quale definito al paragrafo 4.

9. Gli atti di esecuzione di cui a paragrafi 7 e 8 sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

CAPO III

SERVIZI FIDUCIARI

SEZIONE 1

Disposizioni generali

Articolo 13

Responsabilità e onere della prova

1. Fatto salvo il paragrafo 2, i prestatori di servizi fiduciari sono responsabili di danni causati, con dolo o per negligenza, a qualsiasi persona fisica o giuridica in seguito a un mancato adempimento degli obblighi di cui al presente regolamento.

L’onere di dimostrare il dolo o la negligenza di un prestatore_di_servizi_fiduciari non qualificato ricade sulla persona fisica o giuridica che denuncia il danno di cui al primo comma.

Si presume il dolo o la negligenza di un prestatore_di_servizi_fiduciari qualificato, salvo se questi dimostra che il danno di cui al primo comma si è verificato senza suo dolo o negligenza.

2. Se i prestatori di servizi fiduciari informano debitamente e preventivamente i loro clienti delle limitazioni d’uso dei servizi da essi forniti e se tali limitazioni sono riconoscibili da parte di terzi, non sono responsabili dei danni che derivano dall’utilizzo di servizi oltre i limiti indicati.

3. I paragrafi 1 e 2 si applicano conformemente alle norme nazionali in materia di responsabilità.

Articolo 16

Sanzioni

Gli Stati membri stabiliscono norme relative alle sanzioni da applicare in caso di violazioni del presente regolamento. Le sanzioni previste sono effettive, proporzionate e dissuasive.

SEZIONE 2

Vigilanza

Articolo 17

Organismo di vigilanza

1. Gli Stati membri designano un organismo di vigilanza stabilito nel loro territorio o, di comune accordo con un altro Stato membro, un organismo di vigilanza stabilito in tale altro Stato membro. Tale organismo è responsabile di compiti di vigilanza nello Stato membro designante.

Agli organismi di vigilanza sono conferiti i poteri necessari e le risorse adeguate per l’esercizio dei loro compiti.

2. Gli Stati membri notificano alla Commissione i nomi e gli indirizzi dei rispettivi organismi di vigilanza designati.

3. Il ruolo dell’organismo di vigilanza è il seguente:

a)	vigilare sui prestatori di servizi fiduciari qualificati stabiliti nel territorio dello Stato membro designante per assicurarsi, mediante attività di vigilanza ex ante e ex post, che essi e i servizi fiduciari qualificati da essi prestati rispondano ai requisiti di cui al presente regolamento;

adottare misure, ove necessario, in relazione a prestatori di servizi fiduciari non qualificati stabiliti nel territorio dello Stato membro designante, mediante attività di vigilanza ex post, qualora sia informato che tali prestatori di servizi fiduciari non qualificati o i servizi fiduciari da essi prestati presumibilmente non soddisfano i requisiti stabiliti dal presente regolamento.

4. Ai fini del paragrafo 3 e fatte salve le limitazioni ivi previste, l’organismo di vigilanza ha, in particolare, i compiti seguenti:

a)	cooperare con altri organismi di vigilanza e assisterli a norma dell’articolo 18;

b)	analizzare le relazioni di valutazione della conformità di cui all’articolo 20, paragrafo 1, e all’articolo 21, paragrafo 1;

c)	informare gli altri organismi di vigilanza e il pubblico in merito a violazioni della sicurezza o perdita di integrità a norma dell’articolo 19, paragrafo 2;

d)	riferire alla Commissione in merito alle sue principali attività a norma del paragrafo 6 del presente articolo;

e)	svolgere verifiche o chiedere a un organismo_di_valutazione_della_conformità di effettuare una valutazione di conformità dei prestatori di servizi fiduciari qualificati a norma dell’articolo 20, paragrafo 2;

f)	cooperare con le autorità di protezione, in particolare informandole senza indugio dei dati in merito ai risultati di verifiche di prestatori di servizi fiduciari qualificati, laddove siano state rilevate violazioni delle norme di protezione dei dati personali;

g)	concedere la qualifica ai prestatori di servizi fiduciari e ai servizi da essi prestati e ritirare tale qualifica a norma degli articoli 20 e 21;

h)	informare l’organismo responsabile dell’elenco nazionale di fiducia di cui all’articolo 22, paragrafo 3, in merito alle proprie decisioni di concedere o ritirare la qualifica, salvo se tale organismo è anche l’organismo di vigilanza;

i)	verificare l’esistenza e la corretta applicazione delle disposizioni sui piani di cessazione nei casi in cui il prestatore_di_servizi_fiduciari qualificati cessa le sue attività, inclusi i modi in cui le informazioni sono mantenute accessibili a norma dell’articolo 24, paragrafo 2, lettera h);

j)	imporre ai prestatori di servizi fiduciari di rimediare a qualsiasi mancato adempimento dei requisiti di cui al presente regolamento.

5. Gli Stati membri possono imporre che l’organismo di vigilanza istituisca, mantenga e aggiorni un’infrastruttura fiduciaria secondo le condizioni di cui al diritto nazionale.

6. Entro il 31 marzo di ogni anno, ogni organismo di vigilanza presenta alla Commissione una relazione sulle sue principali attività del precedente anno civile insieme a una sintesi delle notifiche di violazione ricevute da prestatori di servizi fiduciari a norma dell’articolo 19, paragrafo 2.

7. La Commissione mette a disposizione degli Stati membri la relazione annuale di cui al paragrafo 6.

8. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure della relazione di cui al paragrafo 6. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 18

Assistenza reciproca

1. Gli organismi di vigilanza collaborano fra loro al fine di scambiarsi buone prassi.

Un organismo di vigilanza, previa ricezione di una richiesta giustificata da parte di un altro organismo di vigilanza, fornisce a quest’ultimo assistenza perché possano svolgere le attività di organismi di vigilanza in modo coerente. L’assistenza reciproca può coprire, in particolare, le richieste di informazioni e le misure di vigilanza, quali richieste di svolgere ispezioni in connessione con le relazioni di valutazione della conformità di cui agli articoli 20 e 21.

2. L’organismo di vigilanza cui è presentata una richiesta di assistenza può rifiutare tale richiesta per uno dei seguenti motivi:

a)	l’organismo di vigilanza non è competente a fornire l’assistenza richiesta;

b)	l’assistenza richiesta non è proporzionata alle attività di vigilanza dell’organismo di vigilanza svolte a norma dell’articolo 17;

c)	fornire l’assistenza richiesta sarebbe incompatibile con il presente regolamento.

3. Ove appropriato, gli Stati membri possono autorizzare i rispettivi organismi di vigilanza a svolgere indagini congiunte con la partecipazione di membri del personale di organismi di vigilanza di altri Stati membri. Le disposizioni e le procedure per tali indagini congiunte sono convenute e stabilite dagli Stati membri interessati conformemente al rispettivo diritto nazionale.

Articolo 20

Vigilanza dei prestatori di servizi fiduciari qualificati

1. I prestatori di servizi fiduciari qualificati sono sottoposti, a proprie spese almeno ogni 24 mesi, a una verifica da parte di un organismo_di_valutazione_della_conformità. Lo scopo della verifica è di confermare che i prestatori di servizi fiduciari qualificati e i servizi fiduciari qualificati da essi prestati soddisfano i requisiti di cui al presente regolamento. I prestatori di servizi fiduciari qualificati presentano la pertinente relazione di valutazione di conformità all’organismo di vigilanza entro il termine di tre giorni lavorativi dalla sua ricezione.

2. Fatto salvo il paragrafo 1, l’organismo di vigilanza può, in qualsiasi momento, condurre una verifica o chiedere a un organismo_di_valutazione_della_conformità di eseguire una valutazione di conformità dei prestatori di servizi fiduciari qualificati, a spese di tali prestatori di servizi fiduciari, per confermare che essi e i servizi fiduciari qualificati da essi prestati rispondono ai requisiti di cui al presente regolamento. Laddove siano state rilevate violazioni delle norme di protezione dei dati personali, l’organismo di vigilanza comunica alle autorità di protezione dei dati i risultati delle verifiche.

3. Ove l’organismo di vigilanza imponga al prestatore_di_servizi_fiduciari qualificato di rimediare agli eventuali mancati adempimenti dei requisiti di cui al presente regolamento e ove il prestatore non agisca di conseguenza e, se applicabile, entro un limite di tempo stabilito dall’organismo di vigilanza, quest’ultimo, tenendo conto in particolare della dimensione, della durata e delle conseguenze di tale mancato adempimento, può ritirare la qualifica di tale prestatore o del servizio interessato da esso prestato e informare l’organismo di cui all’articolo 22, paragrafo 3, al fine di aggiornare gli elenchi di fiducia di cui all’articolo 22, paragrafo 1. L’organismo di vigilanza comunica al prestatore_di_servizi_fiduciari qualificato la revoca della sua qualifica o della qualifica del servizio interessato.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento per le seguenti norme:

a)	accreditamento degli organismi di valutazione della conformità e per la relazione di valutazione di conformità di cui al paragrafo 1;

b)	regole in materia di audit in base alle quali gli organismi di valutazione effettueranno le loro valutazioni della conformità dei prestatori di servizi fiduciari qualificati di cui al paragrafo 1.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 21

Avviamento di un servizio_fiduciario qualificato

1. Qualora i prestatori di servizi fiduciari, privi di qualifica, intendano avviare la prestazione di servizi fiduciari qualificati, trasmettono all’organismo di vigilanza una notifica della loro intenzione insieme a una relazione di valutazione della conformità rilasciata da un organismo_di_valutazione_della_conformità.

2. L’organismo di vigilanza verifica se il prestatore_di_servizi_fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al presente regolamento e, in particolare, i requisiti per i prestatori di servizi fiduciari qualificati e per i servizi fiduciari qualificati da essi prestati.

Se conclude che il prestatore_di_servizi_fiduciari e i servizi fiduciari da esso prestati rispettano i requisiti di cui al primo comma, l’organismo di vigilanza concede la qualifica al prestatore_di_servizi_fiduciari e ai servizi fiduciari da esso prestati e informa l’organismo di cui all’articolo 22, paragrafo 3, affinché aggiorni gli elenchi di fiducia di cui all’articolo 22, paragrafo 1, non oltre tre mesi dopo la notifica a norma del paragrafo 1 del presente articolo.

Se la verifica non si è conclusa entro tre mesi dalla notifica, l’organismo di vigilanza ne informa il prestatore_di_servizi_fiduciari specificando i motivi del ritardo e il periodo necessario per concludere la verifica.

3. I prestatori di servizi fiduciari qualificati possono iniziare a prestare il servizio_fiduciario qualificato dopo che la qualifica è stata registrata negli elenchi di fiducia di cui all’articolo 22, paragrafo 1.

4. La Commissione può, mediante atti di esecuzione, definire i formati e le procedure della relazione di cui ai paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 48

Procedura di comitato

1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

CAPO VI

DISPOSIZIONI FINALI

Articolo 49

Riesame

La Commissione riesamina l’applicazione del presente regolamento e presenta una relazione in proposito al Parlamento europeo e al Consiglio entro il 1o luglio 2020. La Commissione valuta in particolare se sia opportuno modificare l’ambito di applicazione del presente regolamento o sue disposizioni specifiche, compresi l’articolo 6, l’articolo 7, lettera f), e gli articoli 34, 43, 44 e 45, tenendo conto dell’esperienza acquisita nell’applicazione del regolamento stesso e dei progressi tecnologici, dell’evoluzione del mercato e degli sviluppi giuridici.

La relazione di cui al primo comma è corredata, se necessario, di proposte legislative.

Ogni quattro anni dopo la relazione di cui al primo paragrafo la Commissione presenta inoltre al Parlamento europeo e al Consiglio una relazione sui progressi compiuti nella realizzazione degli obiettivi del presente regolamento.

Articolo 50

Abrogazione

1. La direttiva 1999/93/CEE è abrogata con effetto dal 1o luglio 2016.

2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento.

Articolo 51

Disposizioni transitorie

1. I dispositivi per la creazione di una firma sicura la cui conformità sia stata determinata a norma dell’articolo 3, paragrafo 4, della direttiva 1999/93/CE sono considerati dispositivi per la creazione di una firma_elettronica qualificata a norma del presente regolamento.

2. I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma_elettronica a norma del presente regolamento fino alla loro scadenza.

3. Un prestatore di servizi di certificazione che rilascia certificati qualificati a norma della direttiva 1999/93/CE presenta una relazione di valutazione della conformità all’organismo di vigilanza quanto prima e, comunque, non oltre il 1o luglio 2017. Fino alla presentazione della suddetta relazione di valutazione della conformità e fino a che l’organismo di vigilanza non ne abbia completato la valutazione, il prestatore di servizi di certificazione è considerato un prestatore_di_servizi_fiduciari qualificato a norma del presente regolamento.

4. Se un prestatore di servizi di certificazione che rilascia certificati qualificati a norma della direttiva 1999/93/CE non presenta una relazione di valutazione della conformità all’organismo di vigilanza entro i termini di cui al paragrafo 3, egli non è considerato un prestatore_di_servizi_fiduciari qualificato a norma del presente regolamento a decorrere dal 2 luglio 2017.

Articolo 52

Entrata in vigore

1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2. Il presente regolamento si applica a decorrere dal 1o luglio 2016, a eccezione delle seguenti disposizioni:

articolo 8, paragrafo 3, articolo 9, paragrafo 5, articolo 12, paragrafi da 2 a 9, articolo 17, paragrafo 8, articolo 19, paragrafo 4, articolo 20, paragrafo 4, articolo 21, paragrafo 4, articolo 22, paragrafo 5, articolo 23, paragrafo 3, articolo 24, paragrafo 5, articolo 27, paragrafi 4 e 5, articolo 28, paragrafo 6, articolo 29, paragrafo 2, articolo 30, paragrafi 3 e 4, articolo 31, paragrafo 3, articolo 32, paragrafo 3, articolo 33, paragrafo 2, articolo 34, paragrafo 2, articolo 37, paragrafi 4 e 5, articolo 38, paragrafo 6, articolo 42, paragrafo 2, articolo 44, paragrafo 2, articolo 45, paragrafo 2, articolo 47 e articolo 48, che si applicano dal 17 settembre 2014;

b)	l’articolo 7, l’articolo 8, paragrafi 1 e 2, gli articoli 9, 10, 11 e l’articolo 12, paragrafo 1, si applicano a decorrere dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8;

c)	l’articolo 6 si applica a decorrere da tre anni dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8.

3. Quando il regime di identificazione_elettronica notificato è compreso nell’elenco pubblicato dalla Commissione ai sensi dell’articolo 9 prima della data di cui al paragrafo 2, lettera c), del presente articolo, il riconoscimento dei mezzi di identificazione_elettronica in virtù di tale regime ai sensi dell’articolo 6 ha luogo non oltre 12 mesi dopo la pubblicazione di detto regime ma non prima della data di cui al paragrafo 2, lettera c), del presente articolo.

4. Nonostante il paragrafo 2, lettera c), del presente articolo, uno Stato membro può decidere che i mezzi di identificazione_elettronica a norma del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, da un altro Stato membro, siano riconosciuti nel primo Stato membro a decorrere dalla data di pubblicazione degli atti di esecuzione di cui agli articoli 8, paragrafo 3, e 12, paragrafo 8. Gli Stati membri interessati ne informano la Commissione. La Commissione rende pubbliche tali informazioni.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 23 luglio 2014

Per il Parlamento europeo

Il presidente

M. SCHULZ

Per il Consiglio

Il presidente

S. GOZI

(1) GU C 351 del 15.11.2012, pag. 73.

(2) Posizione del Parlamento europeo del 3 aprile 2014 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 23 luglio 2014.

(3) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).

(4) GU C 50 E del 21.2.2012, pag. 1.

(5) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(6) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(7) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

(8) Decisione 2010/48/CE del Consiglio, del 26 novembre 2009, relativa alla conclusione, da parte della Comunità europea, della convenzione delle Nazioni Unite sui diritti delle persone con disabilità (GU L 23 del 27.1.2010, pag. 35).

(9) regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

(10) Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l’uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).

(11) Decisione 2011/130/UE della Commissione, del 25 febbraio 2011, che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 53 del 26.2.2011, pag. 66).

(12) regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(13) regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(14) GU C 28 del 30.1.2013, pag. 6.

(15) Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).

ALLEGATO I

REQUISITI PER I CERTIFICATI QUALIFICATI DI FIRMA ELETTRONICA

I certificati qualificati di firma_elettronica contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma_elettronica;

un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali figurano nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	è chiaramente indicato almeno il nome del firmatario, o uno pseudonimo, qualora sia usato uno pseudonimo;

d)	i dati_di_ convalida della firma_elettronica che corrispondono ai dati per la creazione di una firma_elettronica;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

j)	qualora i dati per la creazione di una firma_elettronica connessi ai dati_di_ convalida della firma_elettronica siano ubicati in un dispositivo per la creazione di una firma_elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO II

REQUISITI PER I DISPOSITIVI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA QUALIFICATA

I dispositivi per la creazione di una firma_elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:

a)	è ragionevolmente assicurata la riservatezza dei dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica;

b)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica possono comparire in pratica una sola volta;

c)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma_elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili;

d)	i dati per la creazione di una firma_elettronica utilizzati nella creazione della stessa possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi.

I dispositivi per la creazione di una firma_elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.

La generazione o la gestione dei dati per la creazione di una firma_elettronica per conto del firmatario può essere effettuata solo da un prestatore_di_servizi_fiduciari qualificato.

Fatto salvo il punto 1, lettera d), i prestatori di servizi fiduciari qualificati che gestiscono dati per la creazione di una firma_elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma_elettronica solo a fini di back-up, purché rispettino i seguenti requisiti:

a)	la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

b)	il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

ALLEGATO III

REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI

I certificati qualificati dei sigilli elettronici contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo_elettronico;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	i dati_di_ convalida del sigillo_elettronico che corrispondono ai dati per la creazione di un sigillo_elettronico;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

qualora i dati per la creazione di un sigillo_elettronico connessi ai dati_di_ convalida del sigillo_elettronico siano ubicati in un dispositivo per la creazione di un sigillo_elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO IV

REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB

I certificati qualificati di autenticazione di siti web contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

per le persone fisiche: almeno il nome della persona a cui è stato rilasciato il certificato, o uno pseudonimo. Qualora sia usato uno pseudonimo, ciò è chiaramente indicato;

per le persone giuridiche: almeno il nome della persona giuridica cui è stato rilasciato il certificato e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato e, se del caso, quali appaiono nei documenti ufficiali;

e)	il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato;

f)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

g)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

h)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

i)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera h) è disponibile gratuitamente;

j)	l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato.

whereas

(2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

- = -

(3) La direttiva 1999/93/CE del Parlamento europeo e del Consiglio (3) trattava le firme elettroniche senza fornire un quadro transfrontaliero e transettoriale completo per transazioni elettroniche sicure, affidabili e di facile impiego.
Il presente regolamento rafforza ed estende l’acquis di tale direttiva.

- = -

(11) Il presente regolamento dovrebbe essere applicato nel pieno rispetto dei principi relativi alla protezione dei dati personali ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio (7).
A tale riguardo, per quanto concerne il principio del riconoscimento reciproco stabilito dal presente regolamento, l’ autenticazione in un servizio online dovrebbe riguardare esclusivamente il trattamento di dati di identificazione che siano adeguati, pertinenti e non eccedenti per garantire l’accesso a detto servizio online.
Inoltre, gli obblighi previsti dalla direttiva 95/46/CE in materia di riservatezza e sicurezza dei trattamenti dovrebbero essere rispettati dai prestatori di servizi fiduciari e dagli organismi di vigilanza.

- = -

(12) Un obiettivo del presente regolamento è l’eliminazione delle barriere esistenti all’impiego transfrontaliero dei mezzi di identificazione_elettronica utilizzati negli Stati membri almeno per l’ autenticazione nei servizi pubblici.
Il presente regolamento non intende intervenire riguardo ai sistemi di gestione dell’identità elettronica e relative infrastrutture istituiti negli Stati membri.
Lo scopo del presente regolamento è garantire che per accedere ai servizi online transfrontalieri offerti dagli Stati membri si possa disporre di un’identificazione e un’ autenticazione elettronica sicura.

- = -

(14) Occorre che il presente regolamento fissi talune condizioni in merito all’obbligo di riconoscimento dei mezzi di identificazione_elettronica e alle modalità di notifica dei regimi di identificazione_elettronica. È opportuno che tali condizioni aiutino gli Stati membri a costruire la necessaria fiducia nei rispettivi regimi di identificazione_elettronica e a riconoscere reciprocamente i mezzi di identificazione_elettronica che fanno parte dei regimi notificati. È opportuno che il principio del riconoscimento reciproco si applichi ove il regime di identificazione_elettronica dello Stato membro notificante soddisfi le condizioni di notifica e la notifica sia stata pubblicata nella Gazzetta ufficiale dell’Unione europea.
Tuttavia, il principio del riconoscimento reciproco dovrebbe riguardare esclusivamente l’ autenticazione nei servizi online. È opportuno che l’accesso a tali servizi online e la loro fornitura finale al richiedente siano strettamente collegati al diritto a usufruire di tali servizi alle condizioni fissate nel diritto nazionale.

- = -

(16) I livelli di garanzia dovrebbero caratterizzare il grado di sicurezza con cui i mezzi di identificazione_elettronica stabiliscono l’identità di una persona, fornendo così la garanzia che la persona che pretende di avere una determinata identità è effettivamente la persona cui tale identità è stata assegnata.
Il livello di garanzia dipende dal grado di sicurezza fornito dai mezzi di identificazione_elettronica riguardo all’identità pretesa o dichiarata di una persona tenendo conto dei procedimenti (ad esempio, controllo e verifica dell’identità, e autenticazione), delle attività di gestione (ad esempio, l’entità che rilascia i mezzi di identificazione_elettronica e la procedura di rilascio di tali mezzi) e dei controlli tecnici messi in atto.
Come risultato dei progetti pilota su larga scala finanziati dall’Unione, della normazione e di attività a livello internazionale, esistono varie definizioni e descrizioni tecniche dei livelli di garanzia.
In particolare, il progetto pilota su larga scala STORK e la norma ISO 29115 fanno riferimento, tra l’altro, ai livelli 2, 3 e 4, che dovrebbero essere tenuti nella massima considerazione all’atto di stabilire le norme, le procedure e i requisiti tecnici minimi per i livelli di garanzia basso, significativo ed elevato ai sensi del presente regolamento, assicurando al contempo l’applicazione coerente del presente regolamento in particolare per quanto riguarda il livello di garanzia elevato in relazione al controllo dell’identità ai fini del rilascio di certificati qualificati.
I requisiti stabiliti dovrebbero essere neutrali dal punto di vista tecnologico.
Dovrebbe essere possibile soddisfare i requisiti di sicurezza necessari attraverso tecnologie differenti.

- = -

(18) Il presente regolamento dovrebbe prevedere la responsabilità dello Stato membro notificante, della parte che rilascia i mezzi di identificazione_elettronica e della parte che gestisce la procedura di autenticazione per mancato rispetto degli obblighi pertinenti a norma del presente regolamento.
Tuttavia, il presente regolamento dovrebbe essere applicato conformemente alle norme nazionali in materia di responsabilità.
Pertanto esso non pregiudica tali norme nazionali in ordine, ad esempio, alla definizione dei danni o alle pertinenti norme procedurali applicabili, incluso l’onere della prova.

- = -

(21) È anche opportuno che il presente regolamento istituisca un quadro giuridico generale per l’impiego dei servizi fiduciari.
Tuttavia, non è opportuno che istituisca un obbligo generale di farne uso o che installi un punto di accesso per tutti i servizi fiduciari esistenti.
In particolare, non è auspicabile che il regolamento copra la prestazione di servizi fiduciari usati esclusivamente nell’ambito di sistemi chiusi da un insieme definito di partecipanti che non hanno ripercussioni su terzi.
Ad esempio, i sistemi istituiti in imprese o amministrazioni pubbliche per la gestione delle procedure interne che fanno uso di servizi fiduciari non dovrebbero essere soggetti ai requisiti previsti dal presente regolamento.
Solo i servizi fiduciari prestati al pubblico aventi ripercussioni su terzi dovrebbero soddisfare i requisiti previsti dal presente regolamento.
Non è neanche auspicabile che il presente regolamento copra aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici nei casi in cui la normativa nazionale o unionale stabilisca obblighi quanto alla forma.
Inoltre, non dovrebbe avere ripercussioni sugli obblighi di forma nazionali relativi ai registri pubblici, in particolare i registri commerciali e catastali.

- = -

(22) Al fine di contribuire al loro impiego transfrontaliero generale, è opportuno che sia possibile utilizzare i servizi fiduciari come prove in procedimenti giudiziali in tutti gli Stati membri.
Spetta al diritto nazionale definire gli effetti giuridici dei servizi fiduciari, salvo che il presente regolamento provveda altrimenti.

- = -

(23) Nella misura in cui il presente regolamento disponga l’obbligo di riconoscere un servizio_fiduciario, tale servizio_fiduciario può essere rifiutato solo qualora il destinatario dell’obbligo non sia in grado di leggerlo o verificarlo per motivi tecnici che sfuggono al suo immediato controllo.
Tuttavia, tale obbligo non dovrebbe di per se stesso esigere che un organismo pubblico ottenga l’hardware e il software necessari per la leggibilità tecnica di tutti i servizi fiduciari esistenti.

- = -

(24) Gli Stati membri possono mantenere o introdurre disposizioni nazionali, conformemente al diritto dell’Unione, in materia di servizi fiduciari, nella misura in cui detti servizi non siano pienamente armonizzati dal presente regolamento.
Tuttavia, i servizi fiduciari conformi al presente regolamento dovrebbero godere della libera circolazione nel mercato interno.

- = -

(25) È opportuno che gli Stati membri mantengano la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari di cui al presente regolamento, ai fini del loro riconoscimento a livello nazionale quali servizi fiduciari qualificati.

- = -

(26) In considerazione del ritmo dei mutamenti tecnologici, occorre che il presente regolamento adotti un approccio aperto all’innovazione.

- = -

(27) È opportuno che il presente regolamento sia neutrale sotto il profilo tecnologico. È auspicabile che gli effetti giuridici prodotti dal presente regolamento siano ottenibili mediante qualsiasi modalità tecnica, purché siano soddisfatti i requisiti da esso previsti.

- = -

(30) Gli Stati membri dovrebbero designare uno o più organismi di vigilanza per lo svolgimento delle attività di vigilanza previste dal presente regolamento.
Gli Stati membri dovrebbero altresì avere facoltà di decidere, di comune accordo con un altro Stato membro, di designare un organismo di vigilanza nel territorio di tale altro Stato membro.

- = -

(35) Tutti i prestatori di servizi fiduciari dovrebbero essere soggetti ai requisiti del presente regolamento, in particolare a quelli in materia di sicurezza e responsabilità, al fine di garantire la dovuta diligenza, la trasparenza e l’attendibilità delle loro operazioni e servizi.
Tuttavia, tenendo conto del tipo di servizi fornito dai prestatori di servizi fiduciari, per quanto riguarda tali requisiti è opportuno distinguere tra servizi fiduciari qualificati e non qualificati.

- = -

(36) L’istituzione di un regime di vigilanza per tutti i prestatori di servizi fiduciari dovrebbe assicurare parità di condizioni per la sicurezza e l’attendibilità delle loro operazioni e servizi, contribuendo in tal modo alla tutela degli utenti e al funzionamento del mercato interno.
I prestatori di servizi fiduciari non qualificati dovrebbero essere soggetti ad attività di vigilanza ex post semplificate e reattive, giustificate dalla natura dei loro servizi e delle loro operazioni.
Pertanto l’organismo di sorveglianza non dovrebbe avere un obbligo generale di vigilanza sui prestatori di servizi non qualificati.
L’organismo di sorveglianza dovrebbe adottare misure solo quando viene informato (ad esempio, dallo stesso prestatore_di_servizi_fiduciari non qualificati, da un altro organismo di sorveglianza, mediante la notifica di un utente o di un partner commerciale o in base a sue indagine proprie) che un prestatore_di_servizi_fiduciari non qualificato non soddisfa i requisiti del presente regolamento.

- = -

(37) Il presente regolamento dovrebbe prevedere la responsabilità di tutti i prestatori di servizi fiduciari.
In particolare, stabilisce il regime di responsabilità in base al quale tutti i prestatori di servizi fiduciari dovrebbero essere responsabili dei danni provocati a persone fisiche o giuridiche a causa del mancato rispetto degli obblighi previsti dal presente regolamento.
Al fine di agevolare la valutazione del rischio finanziario che i prestatori di servizi fiduciari possano dover sostenere o che debbano coprire con polizze assicurative, il presente regolamento autorizza i prestatori di servizi fiduciari a stabilire limiti, a talune condizioni, all’uso dei servizi da essi prestati e non essere pertanto responsabili dei danni derivanti dall’uso dei servizi oltre i suddetti limiti.
I clienti dovrebbero essere debitamente e anticipatamente informati di tali limiti.
Tali limiti dovrebbero essere riconoscibili per i terzi, ad esempio inserendo informazioni sui limiti nei termini e nelle condizioni del servizio prestato o attraverso altri mezzi riconoscibili.
Allo scopo di dare effetto a tali principi, il presente regolamento dovrebbe essere applicato conformemente alle norme nazionali sulla responsabilità.
Pertanto, il presente regolamento non pregiudica tali norme nazionali in ordine, ad esempio, alla definizione dei danni, del dolo, della negligenza o alle pertinenti norme procedurali applicabili.

- = -

(39) Per consentire alla Commissione e agli Stati membri di valutare l’efficacia del meccanismo di notifica delle violazioni di cui al presente regolamento, è opportuno imporre l’obbligo agli organismi di vigilanza di fornire informazioni riassuntive alla Commissione e all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA).

- = -

(40) Per consentire alla Commissione e agli Stati membri di valutare l’efficacia del meccanismo di vigilanza perfezionato di cui al presente regolamento, è opportuno chiedere agli organismi di vigilanza di riferire sulle loro attività.
Ciò servirebbe ad agevolare lo scambio di buone prassi fra organismi di vigilanza e consentirebbe di verificare l’applicazione coerente ed efficiente dei requisiti essenziali di vigilanza in tutti gli Stati membri.

- = -

(43) Al fine di assicurare la conformità dei prestatori di servizi fiduciari qualificati e dei servizi da essi prestati ai requisiti stabiliti dal presente regolamento, un organismo_di_valutazione_della_conformità dovrebbe effettuare una valutazione della conformità; i prestatori di servizi fiduciari qualificati dovrebbero trasmettere all’organismo di vigilanza le relazioni di valutazione di conformità risultanti.
Ogniqualvolta l’organismo di vigilanza richieda a un prestatore_di_servizi_fiduciari qualificato di presentare una relazione di valutazione di conformità ad hoc, l’organismo di vigilanza dovrebbe rispettare in particolare i principi di buona amministrazione, compreso l’obbligo di fornire le motivazioni delle sue decisioni, nonché il principio di proporzionalità.
Pertanto, l’organismo di vigilanza dovrebbe debitamente giustificare la propria decisione di imporre una valutazione di conformità ad hoc.

- = -

(44) Il presente regolamento mira a garantire un quadro coerente affinché i servizi fiduciari siano dotati di un livello elevato di sicurezza e certezza giuridica.
A tale riguardo, nel trattare la valutazione di conformità di prodotti e servizi, la Commissione dovrebbe, ove opportuno, cercare sinergie con i pertinenti regimi europei e internazionali vigenti, quali il regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (9) che sancisce gli obblighi in materia di accreditamento degli organismi di valutazione della conformità e vigilanza del mercato di prodotti.

- = -

(47) La fiducia nei servizi online e la loro agevolezza sono essenziali perché gli utilizzatori possano beneficiare a pieno dei servizi elettronici e avvalersi consapevolmente di essi.
A tale scopo si dovrebbe creare un marchio di fiducia UE per individuare i servizi fiduciari qualificati prestati da prestatori di servizi fiduciari qualificati.
Tale marchio di fiducia UE per i servizi fiduciari qualificati distinguerebbe chiaramente i servizi fiduciari qualificati da altri servizi fiduciari, contribuendo così alla trasparenza sul mercato.
L’utilizzo di un marchio di fiducia UE da parte dei prestatori di servizi fiduciari qualificati dovrebbe essere volontario e non dovrebbe implicare requisiti aggiuntivi diversi da quelli previsti dal presente regolamento.

- = -

(49) Il presente regolamento dovrebbe stabilire il principio secondo il quale alla firma_elettronica non dovrebbero essere negati gli effetti giuridici per il motivo della sua forma elettronica o perché non soddisfa i requisiti della firma_elettronica qualificata.
Tuttavia, spetta al diritto nazionale definire gli effetti giuridici delle firme elettroniche, fatto salvo per i requisiti previsti dal presente regolamento secondo cui una firma_elettronica qualificata dovrebbe avere un effetto giuridico equivalente a quello di una firma autografa.

- = -

(52) Visti i suoi molteplici vantaggi economici, sarà ulteriormente sviluppata la creazione di firme elettroniche a distanza, qualora l’ambiente di creazione di firma_elettronica sia gestito da un prestatore_di_servizi_fiduciari a nome del firmatario.
Tuttavia, per garantire che alle firme elettroniche sia attribuito lo stesso riconoscimento giuridico delle firme elettroniche create con un ambiente interamente gestito dall’utente, i prestatori che offrono servizi di firma_elettronica a distanza dovrebbero applicare procedure di sicurezza di gestione e amministrative specifiche e utilizzare sistemi e prodotti affidabili, che in particolare comprendano canali di comunicazione elettronici sicuri per garantire l’affidabilità dell’ambiente di creazione di firma_elettronica e assicurare che sia utilizzato sotto il controllo esclusivo del firmatario.
Nel caso di una firma_elettronica qualificata creata mediante un dispositivo di creazione di firma_elettronica a distanza, dovrebbero applicarsi i requisiti applicabili ai prestatori di servizi fiduciari qualificati, stabiliti dal presente regolamento.

- = -

(53) La sospensione dei certificati qualificati è una prassi operativa abituale dei prestatori di servizi fiduciari in una serie di Stati membri, che è diversa dalla revoca e comporta la perdita di validità temporanea di un certificato.
La certezza del diritto richiede che la situazione di sospensione di un certificato sia sempre indicata chiaramente.
A tale scopo i prestatori di servizi fiduciari dovrebbero avere la responsabilità di indicare chiaramente la situazione del certificato e, in caso di sospensione, il periodo di tempo esatto durante il quale il certificato è sospeso. È opportuno che il presente regolamento non imponga ai prestatori di servizi fiduciari o agli Stati membri l’utilizzo della sospensione, ma preveda norme di trasparenza nei casi in cui tale prassi è disponibile.

- = -

(54) L’interoperabilità transfrontaliera e il riconoscimento dei certificati qualificati è una condizione essenziale per il riconoscimento transfrontaliero delle firme elettroniche qualificate.
Pertanto, i certificati qualificati non dovrebbero essere soggetti a requisiti obbligatori oltre ai requisiti di cui al presente regolamento.
Tuttavia, a livello nazionale, dovrebbe essere consentita l’inclusione di attributi specifici, quali identificatori unici, nei certificati qualificati, purché tali attributi specifici non ostacolino l’interoperabilità transfrontaliera e il riconoscimento dei certificati e delle firme elettroniche qualificati.

- = -

(56) Il presente regolamento dovrebbe stabilire i requisiti relativi a dispositivi per la creazione di una firma_elettronica qualificata al fine di assicurare la funzionalità delle firme elettroniche avanzate.
Il presente regolamento non dovrebbe contemplare la globalità dell’ambiente del sistema in cui tali dispositivi operano.
Pertanto, l’ambito di applicazione della certificazione dei dispositivi per la creazione di una firma qualificata dovrebbe essere limitato all’hardware e al software di sistema utilizzato per gestire e proteggere i dati per la creazione di una firma_elettronica creati, memorizzati o trattati nel dispositivo di creazione di una firma.
Come specificato nelle norme pertinenti, l’ambito di applicazione dell’obbligo di certificazione dovrebbe escludere le applicazioni relative alla creazione di una firma.

- = -

(61) È opportuno che il presente regolamento garantisca la conservazione a lungo termine delle informazioni, al fine di assicurare la validità giuridica delle firme elettroniche e dei sigilli elettronici nel lungo periodo, garantendo che possano essere convalidati indipendentemente da futuri mutamenti tecnologici.

- = -

(62) Al fine di garantire la sicurezza della validazione_temporale_elettronica qualificata, il presente regolamento dovrebbe richiedere l’uso di un sigillo_elettronico avanzato o di una firma_elettronica avanzata o di altri metodi equivalenti. È prevedibile che l’innovazione produca nuove tecnologie in grado di assicurare alla validazione temporale un livello di sicurezza equivalente.
Ogni qualvolta venga utilizzato un metodo diverso dal sigillo_elettronico avanzato o dalla firma_elettronica avanzata, dovrebbe spettare al prestatore_di_servizi_fiduciari qualificato dimostrare, nella relazione di valutazione di conformità, che tale metodo garantisce un livello equivalente di sicurezza e soddisfa gli obblighi previsti nel presente regolamento.

- = -

(63) I documenti elettronici sono importanti per l’evoluzione futura delle transazioni elettroniche transfrontaliere nel mercato interno.
Il presente regolamento dovrebbe stabilire il principio secondo cui a un documento_elettronico non dovrebbero essere negati gli effetti giuridici per il motivo nella sua forma elettronica al fine di assicurare che una transazione elettronica non possa essere respinta per il solo motivo che un documento è in forma elettronica.

- = -

(67) I servizi di autenticazione dei siti web prevedono un mezzo tramite il quale il visitatore di un sito può accertarsi che dietro a quel sito web vi è un’entità reale e legittima.
Tali servizi contribuiscono a diffondere sicurezza e fiducia nelle transazioni commerciali on line, in quanto gli utenti si fideranno di un sito web che è stato autenticato.
La fornitura e l’uso di servizi di autenticazione dei siti web sono interamente volontari.
Tuttavia, affinché l’ autenticazione dei siti web divenga un mezzo per rafforzare la fiducia, fornire un’esperienza migliore all’utente e promuovere la crescita nel mercato interno, è opportuno che il presente regolamento stabilisca obblighi minimi in materia di sicurezza e responsabilità per i prestatori e i loro servizi.
A tal fine, si è tenuto conto dei risultati delle iniziative industriali esistenti, ad esempio, il Forum Autorità di certificazione/Browser (CA/B Forum).
Inoltre, il presente regolamento non dovrebbe impedire l’uso di altri mezzi o metodi di autenticazione di un sito web non rientranti nel presente regolamento e non dovrebbe vietare ai prestatori di servizi di autenticazione dei siti web di paesi terzi di prestare i propri servizi ai clienti dell’Unione.
Tuttavia, i servizi di autenticazione dei siti web di un prestatore di un paese terzo dovrebbero essere riconosciuti come qualificati ai sensi del presente regolamento solo se è stato concluso un accordo internazionale tra l’Unione e il paese di stabilimento di detto prestatore.

- = -

(69) Le istituzioni, gli organi, gli uffici e le agenzie dell’Unione sono incoraggiate a riconoscere l’ identificazione_elettronica e i servizi fiduciari contemplati dal presente regolamento ai fini dell’amministrazione cooperativa facendo tesoro, in particolare, delle buone prassi esistenti e dei risultati dei progetti in corso nei settori contemplati dal presente regolamento.

- = -

(70) Al fine di completare determinati aspetti tecnici dettagliati del presente regolamento in modo flessibile e veloce, dovrebbe essere delegato alla Commissione il potere di adottare atti conformemente all’articolo 290 TFUE riguardo ai criteri che devono soddisfare gli organismi responsabili della certificazione dei dispositivi per la creazione di una firma_elettronica qualificata. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti.
Nella preparazione e nell’elaborazione degli atti delegati, la Commissione dovrebbe provvedere alla contestuale, tempestiva e appropriata trasmissione dei documenti pertinenti al Parlamento europeo e al Consiglio.

- = -

(71) Al fine di garantire condizioni uniformi di esecuzione del presente regolamento, dovrebbero essere attribuite alla Commissione competenze di esecuzione, in particolare per specificare i numeri di riferimento delle norme il cui impiego conferisce una presunzione di adempimento di determinati requisiti stabiliti nel presente regolamento.
Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (12).

- = -

(75) Le date di applicazione stabilite nel presente regolamento non pregiudicano gli obblighi esistenti già contratti dagli Stati membri in base al diritto dell’Unione, in particolare della direttiva 2006/123/CE.

- = -

(76) Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della portata dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea.
Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

- = -

(77) Il garante europeo della protezione dei dati è stato consultato a norma dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (13) e ha espresso un parere il 27 settembre 2012 (14),

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT