EIDAS 2014/0910 IT

b)	i mezzi di identificazione_elettronica nell’ambito del regime di identificazione_elettronica possono essere utilizzati per accedere almeno a un servizio che è fornito da un organismo_del_settore_pubblico e che richiede l’ identificazione_elettronica nello Stato membro notificante;

c)	il regime di identificazione_elettronica e i mezzi di identificazione_elettronica rilasciati conformemente alle sue disposizioni soddisfano i requisiti di almeno uno dei livelli di garanzia stabiliti nell’atto di esecuzione di cui all’articolo 8, paragrafo 3;

lo Stato membro notificante garantisce che i dati_di_identificazione_personale che rappresentano unicamente la persona in questione siano attribuiti, conformemente alle specifiche tecniche, norme e procedure relative al pertinente livello di garanzia definito nell’atto di esecuzione di cui all’articolo 8, paragrafo 3, alla persona fisica o giuridica di cui all’articolo 3, punto 1, al momento in cui è rilasciata l’ identificazione_elettronica nell’ambito di detto regime;

la parte che rilascia i mezzi di identificazione_elettronica nell’ambito di detto regime assicura che i mezzi di identificazione_elettronica siano attribuiti alla persona di cui alla lettera d) del presente articolo conformemente alle specifiche, norme e procedure tecniche relative al pertinente livello di garanzia definito nnell’atto di esecuzione di cui all’articolo 8, paragrafo 3;

lo Stato membro notificante garantisce la disponibilità dell’ autenticazione online, per consentire alle parti facenti affidamento sulla certificazione stabilite nel territorio di un altro Stato membro di confermare i dati_di_identificazione_personale che hanno ricevuto in forma elettronica.

Per le parti facenti affidamento sulla certificazione diverse dagli organismi del settore pubblico, lo Stato membro notificante può definire i termini di accesso a tale autenticazione. Quando l’ autenticazione transfrontaliera è effettuata in relazione a un servizio online prestato da un organismo_del_settore_pubblico, essa è fornita a titolo gratuito.

Gli Stati membri non impongono alcun requisito tecnico specifico sproporzionato alle parti facenti affidamento sulla certificazione che intendono effettuare tale autenticazione, qualora tali requisiti impediscano o ostacolino notevolmente l’interoperabilità dei regimi di identificazione_elettronica notificati;

almeno sei mesi prima della notifica di cui all’articolo 9, paragrafo 1, lo Stato membro notificante fornisce agli altri Stati membri, ai fini dell’obbligo previsto dall’articolo 12, paragrafo 5, una descrizione di detto regime conformemente alle modalità procedurali stabilite dagli atti di esecuzione di cui all’articolo 12, paragrafo 7;

h)	il regime di identificazione_elettronica soddisfa i requisiti definiti nell’atto di esecuzione di cui all’articolo 12, paragrafo 8.

Articolo 8

Livelli di garanzia dei regimi di identificazione_elettronica

1. Un regime di identificazione_elettronica notificato a norma dell’articolo 9, paragrafo 1, specifica livelli di garanzia basso, significativo e/o elevato per i mezzi di identificazione_elettronica rilasciati nell’ambito di detto regime.

2. I livelli di garanzia basso, significativo e elevato soddisfano rispettivamente i seguenti criteri:

il livello di garanzia basso si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità;

il livello di garanzia significativo si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;

il livello di garanzia elevato si riferisce a un mezzo di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce riguardo all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione_elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità.

3. Entro il 18 settembre 2015, tenendo conto delle norme internazionali pertinenti e fatto salvo il paragrafo 2, la Commissione, mediante atti di esecuzione, definisce le specifiche, norme e procedure tecniche minime in riferimento alle quali sono specificati i livelli di garanzia basso, significativo e elevato dei mezzi di identificazione_elettronica ai fini del paragrafo 1.

Le suddette specifiche, norme e procedure tecniche minime sono fissate facendo riferimento all’affidabilità e alla qualità dei seguenti elementi:

a)	della procedura di controllo e verifica dell’identità delle persone fisiche o giuridiche che chiedono il rilascio dei mezzi di identificazione_elettronica;

b)	della procedura di rilascio dei mezzi di identificazione_elettronica richiesti;

c)	del meccanismo di autenticazione mediante il quale la persona fisica o giuridica usa i mezzi di identificazione_elettronica per confermare la propria identità a una parte_facente_affidamento_sulla_certificazione;

d)	dell’entità che rilascia i mezzi di identificazione_elettronica;

e)	di qualsiasi altro organismo implicato nella domanda di rilascio dei mezzi di identificazione_elettronica; e

f)	delle specifiche tecniche e di sicurezza dei mezzi di identificazione_elettronica rilasciati.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 12

Cooperazione e interoperabilità

1. I regimi nazionali di identificazione_elettronica notificati a norma dell’articolo 9, paragrafo 1, sono interoperabili.

2. È istituito un quadro di interoperabilità ai fini del paragrafo 1.

3. Il quadro di interoperabilità risponde ai seguenti criteri:

a)	mira a essere neutrale dal punto di vista tecnologico e non comporta discriminazioni tra specifiche soluzioni tecniche nazionali per l’ identificazione_elettronica all’interno di uno Stato membro;

b)	segue, ove possibile, le norme europee e internazionali;

c)	facilita l’applicazione del principio della tutela della vita privata fin dalla progettazione (privacy by design); e

d)	garantisce che i dati personali siano trattati a norma della direttiva 95/46/CE.

4. Il quadro di interoperabilità è composto da:

a)	un riferimento ai requisiti tecnici minimi connessi ai livelli di garanzia di cui all’articolo 8;

b)	una mappatura dei livelli di garanzia nazionali dei regimi di identificazione_elettronica notificati in base ai livelli di garanzia di cui all’articolo 8;

c)	un riferimento ai requisiti tecnici minimi di interoperabilità;

d)	un riferimento a un insieme minimo di dati_di_identificazione_personale che rappresentano un’unica persona fisica o giuridica, disponibile nell’ambito dei regimi di identificazione_elettronica;

e)	norme di procedura;

f)	disposizioni per la risoluzione delle controversie; e

g)	norme di sicurezza operativa comuni.

5. Gli Stati membri cooperano per quanto riguarda:

a)	l’interoperabilità dei regimi di identificazione_elettronica notificati ai sensi dell’articolo 9, paragrafo 1, e dei regimi di identificazione_elettronica che gli Stati membri intendono notificare; e

b)	la sicurezza dei regimi di identificazione_elettronica.

6. La cooperazione fra gli Stati membri riguarda:

a)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i regimi di identificazione_elettronica e, in particolare, i requisiti tecnici connessi all’interoperabilità e ai livelli di garanzia;

b)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i metodi di lavoro con i livelli di garanzia dei regimi di identificazione_elettronica di cui all’articolo 8;

c)	la valutazione tra pari dei regimi di identificazione_elettronica che rientrano nel presente regolamento; e

d)	l’esame degli sviluppi pertinenti nel settore dell’ identificazione_elettronica.

7. Entro il 18 marzo 2015, la Commissione, mediante atti di esecuzione, fissa le modalità procedurali necessarie per facilitare la collaborazione fra gli Stati membri di cui ai paragrafi 5 e 6, al fine di promuovere un elevato livello di fiducia e di sicurezza, commisurato al grado di rischio esistente.

8. Entro il 18 settembre 2015, al fine di garantire condizioni uniformi di esecuzione del requisito di cui al paragrafo 1, la Commissione, fatti salvi i criteri di cui al paragrafo 3 e tenendo conto dei risultati della cooperazione fra gli Stati membri, adotta atti di esecuzione sul quadro di interoperabilità quale definito al paragrafo 4.

9. Gli atti di esecuzione di cui a paragrafi 7 e 8 sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

CAPO III

SERVIZI FIDUCIARI

SEZIONE 1

Disposizioni generali

Articolo 19

Requisiti di sicurezza relativi ai prestatori di servizi fiduciari

1. I prestatori di servizi fiduciari qualificati e non qualificati adottano le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati. Tenuto conto degli ultimi sviluppi tecnologici, tali misure assicurano un livello di sicurezza commisurato al grado di rischio esistente. In particolare, sono adottate misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti.

2. Senza indugio ma in ogni caso entro 24 ore dall’esserne venuti a conoscenza, i prestatori di servizi fiduciari qualificati e non qualificati notificano all’organismo di vigilanza e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.

Qualora sia probabile che la violazione della sicurezza o la perdita di integrità abbia effetti negativi su una persona fisica o giuridica a cui è stato prestato il servizio_fiduciario, il prestatore_di_servizi_fiduciari notifica senza indugio anche alla persona fisica o giuridica la violazione di sicurezza o la perdita di integrità.

Ove appropriato, in particolare qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza notificato ne informa gli organismi di vigilanza negli altri Stati membri interessati e l’ENISA.

L’organismo di vigilanza notificato informa il pubblico o impone al prestatore_di_servizi_fiduciari di farlo, ove accerti che la divulgazione della violazione della sicurezza o della perdita di integrità sia nell’interesse pubblico.

3. L’organismo di vigilanza trasmette all’ENISA, una volta all’anno, una sintesi delle notifiche di violazione di sicurezza e perdita di integrità pervenute dai prestatori di servizi fiduciari.

4. La Commissione può, mediante atti di esecuzione:

a)	specificare ulteriormente le misure di cui al paragrafo 1; e

b)	definire i formati e le procedure, comprese le scadenze, applicabili ai fini del paragrafo 2.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 3

Servizi fiduciari qualificati

Articolo 22

Elenchi di fiducia

1. Tutti gli Stati membri istituiscono, mantengono e pubblicano elenchi di fiducia, che includono le informazioni relative ai prestatori di servizi fiduciari qualificati per i quali sono responsabili, unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati.

2. Gli Stati membri istituiscono, mantengono e pubblicano, in modo sicuro, gli elenchi di fiducia di cui al paragrafo 1, firmati o sigillati elettronicamente in una forma adatta al trattamento automatizzato.

3. Gli Stati membri notificano alla Commissione, senza indugio, informazioni sull’organismo responsabile dell’istituzione, del mantenimento e della pubblicazione degli elenchi nazionali di fiducia, precisando dove gli elenchi sono pubblicati, e sui certificati utilizzati per firmare o sigillare tali elenchi di fiducia e le eventuali modifiche apportate.

4. La Commissione rende pubbliche, attraverso un canale sicuro, le informazioni di cui al paragrafo 3 in forma firmata o sigillata elettronicamente e adatta al trattamento automatizzato.

5. Entro il 18 settembre 2015, la Commissione, mediante atti di esecuzione, specifica le informazioni di cui al paragrafo 1 e definisce le specifiche tecniche e i formati per gli elenchi di fiducia applicabili ai fini dei paragrafi da 1 a 4. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

whereas

(16) I livelli di garanzia dovrebbero caratterizzare il grado di sicurezza con cui i mezzi di identificazione_elettronica stabiliscono l’identità di una persona, fornendo così la garanzia che la persona che pretende di avere una determinata identità è effettivamente la persona cui tale identità è stata assegnata.
Il livello di garanzia dipende dal grado di sicurezza fornito dai mezzi di identificazione_elettronica riguardo all’identità pretesa o dichiarata di una persona tenendo conto dei procedimenti (ad esempio, controllo e verifica dell’identità, e autenticazione), delle attività di gestione (ad esempio, l’entità che rilascia i mezzi di identificazione_elettronica e la procedura di rilascio di tali mezzi) e dei controlli tecnici messi in atto.
Come risultato dei progetti pilota su larga scala finanziati dall’Unione, della normazione e di attività a livello internazionale, esistono varie definizioni e descrizioni tecniche dei livelli di garanzia.
In particolare, il progetto pilota su larga scala STORK e la norma ISO 29115 fanno riferimento, tra l’altro, ai livelli 2, 3 e 4, che dovrebbero essere tenuti nella massima considerazione all’atto di stabilire le norme, le procedure e i requisiti tecnici minimi per i livelli di garanzia basso, significativo ed elevato ai sensi del presente regolamento, assicurando al contempo l’applicazione coerente del presente regolamento in particolare per quanto riguarda il livello di garanzia elevato in relazione al controllo dell’identità ai fini del rilascio di certificati qualificati.
I requisiti stabiliti dovrebbero essere neutrali dal punto di vista tecnologico.
Dovrebbe essere possibile soddisfare i requisiti di sicurezza necessari attraverso tecnologie differenti.

- = -

(29) In linea con gli obblighi assunti a norma della Convenzione delle Nazioni Unite per i diritti delle persone con disabilità, approvata con decisione 2010/48/CE del Consiglio (8), in particolare l’articolo 9 della Convenzione, le persone con disabilità dovrebbero poter utilizzare servizi fiduciari e prodotti destinati al consumatore finale impiegati nella prestazione di tali servizi alle stesse condizioni degli altri consumatori.
Ove fattibile, pertanto, i servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi dovrebbero essere resi accessibili alle persone con disabilità.
La valutazione di fattibilità dovrebbe includere considerazioni tecniche ed economiche.

- = -

(55) La certificazione della sicurezza delle tecnologie d’informazione basata su norme internazionali, come l’ISO 15408 e i metodi di valutazione e le disposizioni di riconoscimento reciproco connessi, è uno strumento importante per verificare la sicurezza dei dispositivi per la creazione di una firma_elettronica qualificata e dovrebbe essere promossa.
Soluzioni e servizi innovativi, quali la firma in cloud e la firma mobile, tuttavia, si basano su soluzioni tecniche e organizzative per dispositivi per la creazione di una firma_elettronica qualificata per i quali possono non essere ancora disponibili norme di sicurezza o per i quali può essere in corso la prima certificazione della sicurezza delle tecnologie d’informazione.
Il livello di sicurezza di tali dispositivi per la creazione di una firma_elettronica qualificata potrebbe essere valutato utilizzando procedure alternative solo se tali norme di sicurezza non sono disponibili o se la prima certificazione della sicurezza delle tecnologie d’informazione è in corso.
Tali processi dovrebbero essere comparabili alle norme per la certificazione della sicurezza delle tecnologie d’informazione sempre che i livelli di sicurezza siano equivalenti.
Tali processi potrebbero essere agevolati da una revisione tra pari.

- = -

(72) In sede di elaborazione degli atti delegati o di esecuzione, la Commissione dovrebbe tenere debito conto delle norme e delle specifiche tecniche elaborate da organizzazioni e organismi di normalizzazione europei e internazionali, in particolare il Comitato europeo di normalizzazione (CEN), l’Istituto europeo delle norme di telecomunicazione (ETSI), l’Organizzazione internazionale per la standardizzazione (ISO) e l’Unione internazionale delle telecomunicazioni (UIT), al fine di assicurare un livello elevato di sicurezza e interoperabilità dell’ identificazione_elettronica e dei servizi fiduciari.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT