EIDAS 2014/0910 IT

1. Dopo la registrazione della qualifica di cui all’articolo 21, paragrafo 2, secondo comma, nell’elenco di fiducia di cui all’articolo 22, paragrafo 1, i prestatori di servizi fiduciari qualificati possono utilizzare il marchio di fiducia UE per presentare in modo semplice, riconoscibile e chiaro i servizi fiduciari qualificati da essi prestati.

2. Quando utilizzano il marchio di fiducia UE per i servizi fiduciari qualificati di cui al paragrafo 1, i prestatori di servizi fiduciari qualificati garantiscono che sul loro sito web sia disponibile un link all’elenco di fiducia pertinente.

3. Entro il 1o luglio 2015 la Commissione, mediante atti di esecuzione, fornisce criteri specifici relativi alla forma e, in particolare, alla presentazione, alla composizione, alla dimensione e al disegno del marchio di fiducia UE per i servizi fiduciari qualificati. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 24

Requisiti per i prestatori di servizi fiduciari qualificati

1. Allorché rilascia un certificato qualificato per un servizio_fiduciario, un prestatore_di_servizi_fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.

Le informazioni di cui al primo comma sono verificate dal prestatore_di_servizi_fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:

a)	mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica; o

a distanza, mediante mezzi di identificazione_elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»; o

c)	mediante un certificato di una firma_elettronica qualificata o di un sigillo_elettronico qualificato rilasciato a norma della lettera a) o b); o

d)	mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’afffidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo_di_valutazione_della_conformità.

2. Un prestatore_di_servizi_fiduciari qualificato che presta servizi fiduciari qualificati:

a)	informa l’organismo di vigilanza di eventuali cambiamenti nella prestazione dei propri servizi fiduciari qualificati e dell’intenzione di cessare tali attività;

impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali;

c)	riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale;

d)	prima di avviare una relazione contrattuale informa, in modo chiaro e completo, chiunque intenda utilizzare un servizio_fiduciario qualificato dei termini e delle condizioni esatte per l’utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo;

e)	utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano;

utilizza sistemi affidabili per memorizzare i dati a esso forniti, in modo verificabile, affinché:

i)	siano accessibili alla consultazione del pubblico soltanto con il consenso della persona a cui i dati fanno riferimento;

ii)	soltanto le persone autorizzate possano effettuare inserimenti e modifiche ai dati memorizzati;

iii)	l’autenticità dei dati sia verificabile;

g)	adotta misure adeguate contro le falsificazioni e i furti di dati;

registra e mantiene accessibili per un congruo periodo di tempo, anche dopo la cessazione delle attività del prestatore_di_servizi_fiduciari qualificato, tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore_di_servizi_fiduciari qualificato, in particolare a fini di produzione di prove nell’ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche;

i)	dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 17, paragrafo 4, lettera i);

j)	garantisce il trattamento lecito dei dati personali a norma della direttiva 95/46/CE;

k)	se i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati, istituiscono una banca dati dei certificati aggiornata.

3. Se un prestatore_di_servizi_fiduciari qualificato che rilascia certificati qualificati decide di revocare un certificato, registra tale revoca nella propria banca dati dei certificati e pubblica la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta. La revoca diventa immediatamente effettiva all’atto della pubblicazione.

4. In considerazione del paragrafo 3, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati trasmettono alle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o revoca dei certificati qualificati da essi rilasciati. Queste informazioni sono rese disponibili almeno per ogni certificato rilasciato in qualsiasi momento e oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sistemi e prodotti affidabili, che soddisfano i requisiti di cui al paragrafo 2, lettere e) ed f), del presente articolo. Si presume che i requisiti di cui al presente articolo siano stati rispettati ove i sistemi e i prodotti affidabili adempiano a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 4

Firme elettroniche

Articolo 26

Requisiti di una firma_elettronica avanzata

Una firma_elettronica avanzata soddisfa i seguenti requisiti:

a)	è connessa unicamente al firmatario;

b)	è idonea a identificare il firmatario;

c)	è creata mediante dati per la creazione di una firma_elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e

d)	è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Articolo 27

Firme elettroniche nei servizi pubblici

1. Se uno Stato membro richiede una firma_elettronica avanzata per utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce le firme elettroniche avanzate, le firme elettroniche avanzate basate su un certificato qualificato di firma_elettronica e le firme elettroniche qualificate che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

2. Se uno Stato membro richiede una firma_elettronica avanzata basata su un certificato qualificato per utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce le firme elettroniche avanzate basate su un certificato qualificato e le firme elettroniche qualificate che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

3. Gli Stati membri non richiedono, per un utilizzo transfrontaliero in un servizio online offerto da un organismo_del_settore_pubblico, una firma_elettronica dotata di un livello di garanzia di sicurezza più elevato di quello della firma_elettronica qualificata.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili alle firme elettroniche avanzate. Si presume che i requisiti per le firme elettroniche avanzate di cui ai paragrafi 1 e 2 del presente articolo e all’articolo 26, siano rispettati ove una firma_elettronica avanzata soddisfi dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

5. Entro il 18 settembre 2015, e tenendo conto delle prassi, delle norme e degli atti giuridici dell’Unione vigenti, la Commissione, mediante atti di esecuzione, definisce i formati di riferimento delle firme elettroniche avanzate o i metodi di riferimento nel caso in cui siano utilizzati formati alternativi. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 37

Sigilli elettronici nei servizi pubblici

1. Se uno Stato membro richiede un sigillo_elettronico avanzato per poter utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce i sigilli elettronici avanzati, i sigilli elettronici avanzati basati su un certificato qualificato di sigillo_elettronico e i sigilli elettronici qualificati che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

2. Se uno Stato membro richiede un sigillo_elettronico avanzato basato su un certificato qualificato per poter utilizzare i servizi online offerti da un organismo_del_settore_pubblico, o per suo conto, tale Stato membro riconosce i sigilli elettronici avanzati basati su un certificato qualificato e i sigilli elettronici qualificati che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione di cui al paragrafo 5.

3. Gli Stati membri non richiedono, per l’utilizzo transfrontaliero in un servizio online offerto da un organismo_del_settore_pubblico, un sigillo_elettronico dotato di un livello di garanzia di sicurezza più elevato di quello del sigillo_elettronico qualificato.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sigilli elettronici avanzati. Si presume che i requisiti per i sigilli elettronici avanzati di cui ai paragrafi 1 e 2 del presente articolo e all’articolo 36 siano rispettati ove un sigillo_elettronico avanzato soddisfi dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

5. Entro il 18 settembre 2015, e tenendo conto delle prassi, delle norme e degli atti giuridici dell’Unione vigenti, la Commissione, mediante atti di esecuzione, definisce i formati di riferimento dei sigilli elettronici avanzati o i metodi di riferimento nel caso in cui siano utilizzati formati alternativi. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

whereas

(13) È opportuno che gli Stati membri rimangano liberi di utilizzare o di introdurre mezzi propri di accesso ai servizi online, a fini di identificazione_elettronica, e che possano decidere dell’eventuale partecipazione del settore privato nell’offerta di tali mezzi. È opportuno che gli Stati membri non abbiano l’obbligo di notificare i loro regimi di identificazione_elettronica alla Commissione.
Spetta agli Stati membri decidere se notificare alla Commissione tutti, alcuni o nessuno dei regimi di identificazione_elettronica utilizzati a livello nazionale per l’accesso almeno ai servizi pubblici online o a servizi specifici.

- = -

(19) La sicurezza dei regimi di identificazione_elettronica è fondamentale per un affidabile riconoscimento reciproco transfrontaliero dei mezzi di identificazione_elettronica.
In tale contesto, gli Stati membri dovrebbero cooperare in materia di sicurezza e interoperabilità dei regimi di identificazione_elettronica a livello dell’Unione.
Ogniqualvolta i regimi di identificazione_elettronica richiedano alle parti che fanno affidamento sulla certificazione di utilizzare hardware o software specifici a livello nazionale, l’interoperabilità transfrontaliera richiede che tali Stati membri non impongano tali requisiti e le spese relative alle parti facenti affidamento sulla certificazione stabilite al di fuori del loro territorio.
In tal caso si dovrebbero esaminare ed elaborare soluzioni appropriate nell’ambito del quadro di interoperabilità.
Tuttavia, sono inevitabili i requisiti tecnici derivanti dalle specifiche inerenti ai mezzi di identificazione_elettronica nazionali e suscettibili di avere ripercussioni per i detentori di tali mezzi elettronici (ad esempio, le smart card).

- = -

(22) Al fine di contribuire al loro impiego transfrontaliero generale, è opportuno che sia possibile utilizzare i servizi fiduciari come prove in procedimenti giudiziali in tutti gli Stati membri.
Spetta al diritto nazionale definire gli effetti giuridici dei servizi fiduciari, salvo che il presente regolamento provveda altrimenti.

- = -

(29) In linea con gli obblighi assunti a norma della Convenzione delle Nazioni Unite per i diritti delle persone con disabilità, approvata con decisione 2010/48/CE del Consiglio (8), in particolare l’articolo 9 della Convenzione, le persone con disabilità dovrebbero poter utilizzare servizi fiduciari e prodotti destinati al consumatore finale impiegati nella prestazione di tali servizi alle stesse condizioni degli altri consumatori.
Ove fattibile, pertanto, i servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi dovrebbero essere resi accessibili alle persone con disabilità.
La valutazione di fattibilità dovrebbe includere considerazioni tecniche ed economiche.

- = -

(52) Visti i suoi molteplici vantaggi economici, sarà ulteriormente sviluppata la creazione di firme elettroniche a distanza, qualora l’ambiente di creazione di firma_elettronica sia gestito da un prestatore_di_servizi_fiduciari a nome del firmatario.
Tuttavia, per garantire che alle firme elettroniche sia attribuito lo stesso riconoscimento giuridico delle firme elettroniche create con un ambiente interamente gestito dall’utente, i prestatori che offrono servizi di firma_elettronica a distanza dovrebbero applicare procedure di sicurezza di gestione e amministrative specifiche e utilizzare sistemi e prodotti affidabili, che in particolare comprendano canali di comunicazione elettronici sicuri per garantire l’affidabilità dell’ambiente di creazione di firma_elettronica e assicurare che sia utilizzato sotto il controllo esclusivo del firmatario.
Nel caso di una firma_elettronica qualificata creata mediante un dispositivo di creazione di firma_elettronica a distanza, dovrebbero applicarsi i requisiti applicabili ai prestatori di servizi fiduciari qualificati, stabiliti dal presente regolamento.

- = -

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT