EIDAS 2014/0910 IT

1. Un regime di identificazione_elettronica notificato a norma dell’articolo 9, paragrafo 1, specifica livelli di garanzia basso, significativo e/o elevato per i mezzi di identificazione_elettronica rilasciati nell’ambito di detto regime.

2. I livelli di garanzia basso, significativo e elevato soddisfano rispettivamente i seguenti criteri:

il livello di garanzia basso si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità;

il livello di garanzia significativo si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;

il livello di garanzia elevato si riferisce a un mezzo di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce riguardo all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione_elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità.

3. Entro il 18 settembre 2015, tenendo conto delle norme internazionali pertinenti e fatto salvo il paragrafo 2, la Commissione, mediante atti di esecuzione, definisce le specifiche, norme e procedure tecniche minime in riferimento alle quali sono specificati i livelli di garanzia basso, significativo e elevato dei mezzi di identificazione_elettronica ai fini del paragrafo 1.

Le suddette specifiche, norme e procedure tecniche minime sono fissate facendo riferimento all’affidabilità e alla qualità dei seguenti elementi:

a)	della procedura di controllo e verifica dell’identità delle persone fisiche o giuridiche che chiedono il rilascio dei mezzi di identificazione_elettronica;

b)	della procedura di rilascio dei mezzi di identificazione_elettronica richiesti;

c)	del meccanismo di autenticazione mediante il quale la persona fisica o giuridica usa i mezzi di identificazione_elettronica per confermare la propria identità a una parte_facente_affidamento_sulla_certificazione;

d)	dell’entità che rilascia i mezzi di identificazione_elettronica;

e)	di qualsiasi altro organismo implicato nella domanda di rilascio dei mezzi di identificazione_elettronica; e

f)	delle specifiche tecniche e di sicurezza dei mezzi di identificazione_elettronica rilasciati.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 12

Cooperazione e interoperabilità

1. I regimi nazionali di identificazione_elettronica notificati a norma dell’articolo 9, paragrafo 1, sono interoperabili.

2. È istituito un quadro di interoperabilità ai fini del paragrafo 1.

3. Il quadro di interoperabilità risponde ai seguenti criteri:

a)	mira a essere neutrale dal punto di vista tecnologico e non comporta discriminazioni tra specifiche soluzioni tecniche nazionali per l’ identificazione_elettronica all’interno di uno Stato membro;

b)	segue, ove possibile, le norme europee e internazionali;

c)	facilita l’applicazione del principio della tutela della vita privata fin dalla progettazione (privacy by design); e

d)	garantisce che i dati personali siano trattati a norma della direttiva 95/46/CE.

4. Il quadro di interoperabilità è composto da:

a)	un riferimento ai requisiti tecnici minimi connessi ai livelli di garanzia di cui all’articolo 8;

b)	una mappatura dei livelli di garanzia nazionali dei regimi di identificazione_elettronica notificati in base ai livelli di garanzia di cui all’articolo 8;

c)	un riferimento ai requisiti tecnici minimi di interoperabilità;

d)	un riferimento a un insieme minimo di dati_di_identificazione_personale che rappresentano un’unica persona fisica o giuridica, disponibile nell’ambito dei regimi di identificazione_elettronica;

e)	norme di procedura;

f)	disposizioni per la risoluzione delle controversie; e

g)	norme di sicurezza operativa comuni.

5. Gli Stati membri cooperano per quanto riguarda:

a)	l’interoperabilità dei regimi di identificazione_elettronica notificati ai sensi dell’articolo 9, paragrafo 1, e dei regimi di identificazione_elettronica che gli Stati membri intendono notificare; e

b)	la sicurezza dei regimi di identificazione_elettronica.

6. La cooperazione fra gli Stati membri riguarda:

a)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i regimi di identificazione_elettronica e, in particolare, i requisiti tecnici connessi all’interoperabilità e ai livelli di garanzia;

b)	lo scambio di informazioni, esperienze e buone prassi per quanto riguarda i metodi di lavoro con i livelli di garanzia dei regimi di identificazione_elettronica di cui all’articolo 8;

c)	la valutazione tra pari dei regimi di identificazione_elettronica che rientrano nel presente regolamento; e

d)	l’esame degli sviluppi pertinenti nel settore dell’ identificazione_elettronica.

7. Entro il 18 marzo 2015, la Commissione, mediante atti di esecuzione, fissa le modalità procedurali necessarie per facilitare la collaborazione fra gli Stati membri di cui ai paragrafi 5 e 6, al fine di promuovere un elevato livello di fiducia e di sicurezza, commisurato al grado di rischio esistente.

8. Entro il 18 settembre 2015, al fine di garantire condizioni uniformi di esecuzione del requisito di cui al paragrafo 1, la Commissione, fatti salvi i criteri di cui al paragrafo 3 e tenendo conto dei risultati della cooperazione fra gli Stati membri, adotta atti di esecuzione sul quadro di interoperabilità quale definito al paragrafo 4.

9. Gli atti di esecuzione di cui a paragrafi 7 e 8 sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

CAPO III

SERVIZI FIDUCIARI

SEZIONE 1

Disposizioni generali

Articolo 52

Entrata in vigore

1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

2. Il presente regolamento si applica a decorrere dal 1o luglio 2016, a eccezione delle seguenti disposizioni:

articolo 8, paragrafo 3, articolo 9, paragrafo 5, articolo 12, paragrafi da 2 a 9, articolo 17, paragrafo 8, articolo 19, paragrafo 4, articolo 20, paragrafo 4, articolo 21, paragrafo 4, articolo 22, paragrafo 5, articolo 23, paragrafo 3, articolo 24, paragrafo 5, articolo 27, paragrafi 4 e 5, articolo 28, paragrafo 6, articolo 29, paragrafo 2, articolo 30, paragrafi 3 e 4, articolo 31, paragrafo 3, articolo 32, paragrafo 3, articolo 33, paragrafo 2, articolo 34, paragrafo 2, articolo 37, paragrafi 4 e 5, articolo 38, paragrafo 6, articolo 42, paragrafo 2, articolo 44, paragrafo 2, articolo 45, paragrafo 2, articolo 47 e articolo 48, che si applicano dal 17 settembre 2014;

b)	l’articolo 7, l’articolo 8, paragrafi 1 e 2, gli articoli 9, 10, 11 e l’articolo 12, paragrafo 1, si applicano a decorrere dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8;

c)	l’articolo 6 si applica a decorrere da tre anni dalla data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8.

3. Quando il regime di identificazione_elettronica notificato è compreso nell’elenco pubblicato dalla Commissione ai sensi dell’articolo 9 prima della data di cui al paragrafo 2, lettera c), del presente articolo, il riconoscimento dei mezzi di identificazione_elettronica in virtù di tale regime ai sensi dell’articolo 6 ha luogo non oltre 12 mesi dopo la pubblicazione di detto regime ma non prima della data di cui al paragrafo 2, lettera c), del presente articolo.

4. Nonostante il paragrafo 2, lettera c), del presente articolo, uno Stato membro può decidere che i mezzi di identificazione_elettronica a norma del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, da un altro Stato membro, siano riconosciuti nel primo Stato membro a decorrere dalla data di pubblicazione degli atti di esecuzione di cui agli articoli 8, paragrafo 3, e 12, paragrafo 8. Gli Stati membri interessati ne informano la Commissione. La Commissione rende pubbliche tali informazioni.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 23 luglio 2014

Per il Parlamento europeo

Il presidente

M. SCHULZ

Per il Consiglio

Il presidente

S. GOZI

(1) GU C 351 del 15.11.2012, pag. 73.

(2) Posizione del Parlamento europeo del 3 aprile 2014 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 23 luglio 2014.

(3) Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).

(4) GU C 50 E del 21.2.2012, pag. 1.

(5) Direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno (GU L 376 del 27.12.2006, pag. 36).

(6) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(7) Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995, pag. 31).

(8) Decisione 2010/48/CE del Consiglio, del 26 novembre 2009, relativa alla conclusione, da parte della Comunità europea, della convenzione delle Nazioni Unite sui diritti delle persone con disabilità (GU L 23 del 27.1.2010, pag. 35).

(9) Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

(10) Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l’uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).

(11) Decisione 2011/130/UE della Commissione, del 25 febbraio 2011, che istituisce requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 53 del 26.2.2011, pag. 66).

(12) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(13) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(14) GU C 28 del 30.1.2013, pag. 6.

(15) Direttiva 2014/24/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sugli appalti pubblici e che abroga la direttiva 2004/18/CE (GU L 94 del 28.3.2014, pag. 65).

ALLEGATO I

REQUISITI PER I CERTIFICATI QUALIFICATI DI FIRMA ELETTRONICA

I certificati qualificati di firma_elettronica contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma_elettronica;

un insieme di dati che rappresenta in modo univoco il prestatore_di_servizi_fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali figurano nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	è chiaramente indicato almeno il nome del firmatario, o uno pseudonimo, qualora sia usato uno pseudonimo;

d)	i dati_di_ convalida della firma_elettronica che corrispondono ai dati per la creazione di una firma_elettronica;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

j)	qualora i dati per la creazione di una firma_elettronica connessi ai dati_di_ convalida della firma_elettronica siano ubicati in un dispositivo per la creazione di una firma_elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO II

REQUISITI PER I DISPOSITIVI PER LA CREAZIONE DI UNA FIRMA ELETTRONICA QUALIFICATA

I dispositivi per la creazione di una firma_elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno quanto segue:

a)	è ragionevolmente assicurata la riservatezza dei dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica;

b)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica possono comparire in pratica una sola volta;

c)	i dati per la creazione di una firma_elettronica utilizzati per creare una firma_elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma_elettronica è attendibilmente protetta da contraffazioni compiute con l’impiego di tecnologie attualmente disponibili;

d)	i dati per la creazione di una firma_elettronica utilizzati nella creazione della stessa possono essere attendibilmente protetti dal firmatario legittimo contro l’uso da parte di terzi.

I dispositivi per la creazione di una firma_elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.

La generazione o la gestione dei dati per la creazione di una firma_elettronica per conto del firmatario può essere effettuata solo da un prestatore_di_servizi_fiduciari qualificato.

Fatto salvo il punto 1, lettera d), i prestatori di servizi fiduciari qualificati che gestiscono dati per la creazione di una firma_elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma_elettronica solo a fini di back-up, purché rispettino i seguenti requisiti:

a)	la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

b)	il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

ALLEGATO III

REQUISITI PER I CERTIFICATI QUALIFICATI DEI SIGILLI ELETTRONICI

I certificati qualificati dei sigilli elettronici contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo_elettronico;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

c)	almeno il nome del creatore del sigillo e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	i dati_di_ convalida del sigillo_elettronico che corrispondono ai dati per la creazione di un sigillo_elettronico;

e)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

f)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

g)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

h)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

i)	l’ubicazione dei servizi a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

qualora i dati per la creazione di un sigillo_elettronico connessi ai dati_di_ convalida del sigillo_elettronico siano ubicati in un dispositivo per la creazione di un sigillo_elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO IV

REQUISITI PER I CERTIFICATI QUALIFICATI DI AUTENTICAZIONE DI SITI WEB

I certificati qualificati di autenticazione di siti web contengono:

a)	un’indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;

—	per una persona giuridica: il nome e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali,

—	per una persona fisica: il nome della persona;

per le persone fisiche: almeno il nome della persona a cui è stato rilasciato il certificato, o uno pseudonimo. Qualora sia usato uno pseudonimo, ciò è chiaramente indicato;

per le persone giuridiche: almeno il nome della persona giuridica cui è stato rilasciato il certificato e, se del caso, il numero di registrazione quali appaiono nei documenti ufficiali;

d)	elementi dell’indirizzo, fra cui almeno la città e lo Stato, della persona fisica o giuridica cui è rilasciato il certificato e, se del caso, quali appaiono nei documenti ufficiali;

e)	il nome del dominio o dei domini gestiti dalla persona fisica o giuridica cui è rilasciato il certificato;

f)	l’indicazione dell’inizio e della fine del periodo di validità del certificato;

g)	il codice di identità del certificato che deve essere unico per il prestatore_di_servizi_fiduciari qualificato;

h)	la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato che rilascia il certificato;

i)	il luogo in cui il certificato relativo alla firma_elettronica avanzata o al sigillo_elettronico avanzato di cui alla lettera h) è disponibile gratuitamente;

j)	l’ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato.

whereas

(16) I livelli di garanzia dovrebbero caratterizzare il grado di sicurezza con cui i mezzi di identificazione_elettronica stabiliscono l’identità di una persona, fornendo così la garanzia che la persona che pretende di avere una determinata identità è effettivamente la persona cui tale identità è stata assegnata.
Il livello di garanzia dipende dal grado di sicurezza fornito dai mezzi di identificazione_elettronica riguardo all’identità pretesa o dichiarata di una persona tenendo conto dei procedimenti (ad esempio, controllo e verifica dell’identità, e autenticazione), delle attività di gestione (ad esempio, l’entità che rilascia i mezzi di identificazione_elettronica e la procedura di rilascio di tali mezzi) e dei controlli tecnici messi in atto.
Come risultato dei progetti pilota su larga scala finanziati dall’Unione, della normazione e di attività a livello internazionale, esistono varie definizioni e descrizioni tecniche dei livelli di garanzia.
In particolare, il progetto pilota su larga scala STORK e la norma ISO 29115 fanno riferimento, tra l’altro, ai livelli 2, 3 e 4, che dovrebbero essere tenuti nella massima considerazione all’atto di stabilire le norme, le procedure e i requisiti tecnici minimi per i livelli di garanzia basso, significativo ed elevato ai sensi del presente regolamento, assicurando al contempo l’applicazione coerente del presente regolamento in particolare per quanto riguarda il livello di garanzia elevato in relazione al controllo dell’identità ai fini del rilascio di certificati qualificati.
I requisiti stabiliti dovrebbero essere neutrali dal punto di vista tecnologico.
Dovrebbe essere possibile soddisfare i requisiti di sicurezza necessari attraverso tecnologie differenti.

- = -

(19) La sicurezza dei regimi di identificazione_elettronica è fondamentale per un affidabile riconoscimento reciproco transfrontaliero dei mezzi di identificazione_elettronica.
In tale contesto, gli Stati membri dovrebbero cooperare in materia di sicurezza e interoperabilità dei regimi di identificazione_elettronica a livello dell’Unione.
Ogniqualvolta i regimi di identificazione_elettronica richiedano alle parti che fanno affidamento sulla certificazione di utilizzare hardware o software specifici a livello nazionale, l’interoperabilità transfrontaliera richiede che tali Stati membri non impongano tali requisiti e le spese relative alle parti facenti affidamento sulla certificazione stabilite al di fuori del loro territorio.
In tal caso si dovrebbero esaminare ed elaborare soluzioni appropriate nell’ambito del quadro di interoperabilità.
Tuttavia, sono inevitabili i requisiti tecnici derivanti dalle specifiche inerenti ai mezzi di identificazione_elettronica nazionali e suscettibili di avere ripercussioni per i detentori di tali mezzi elettronici (ad esempio, le smart card).

- = -

(23) Nella misura in cui il presente regolamento disponga l’obbligo di riconoscere un servizio_fiduciario, tale servizio_fiduciario può essere rifiutato solo qualora il destinatario dell’obbligo non sia in grado di leggerlo o verificarlo per motivi tecnici che sfuggono al suo immediato controllo.
Tuttavia, tale obbligo non dovrebbe di per se stesso esigere che un organismo pubblico ottenga l’hardware e il software necessari per la leggibilità tecnica di tutti i servizi fiduciari esistenti.

- = -

(70) Al fine di completare determinati aspetti tecnici dettagliati del presente regolamento in modo flessibile e veloce, dovrebbe essere delegato alla Commissione il potere di adottare atti conformemente all’articolo 290 TFUE riguardo ai criteri che devono soddisfare gli organismi responsabili della certificazione dei dispositivi per la creazione di una firma_elettronica qualificata. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti.
Nella preparazione e nell’elaborazione degli atti delegati, la Commissione dovrebbe provvedere alla contestuale, tempestiva e appropriata trasmissione dei documenti pertinenti al Parlamento europeo e al Consiglio.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT