EIDAS 2014/0910 IT

1. Ove il diritto o la prassi amministrativa nazionale richiedano l’impiego di un’ identificazione_elettronica mediante mezzi di identificazione e autenticazione elettroniche per accedere a un servizio prestato da un organismo_del_settore_pubblico online in uno Stato membro, i mezzi di identificazione_elettronica rilasciati in un altro Stato membro sono riconosciuti nel primo Stato membro ai fini dell’ autenticazione transfrontaliera di tale servizio online, purché soddisfino le seguenti condizioni:

a)	i mezzi di identificazione_elettronica sono rilasciati nell’ambito di un regime di identificazione_elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9;

il livello di garanzia dei mezzi di identificazione_elettronica corrisponde a un livello di garanzia pari o superiore al livello di garanzia richiesto dall’ organismo_del_settore_pubblico competente per accedere al servizio online in questione nel primo Stato membro, sempre che il livello di garanzia di tali mezzi di identificazione_elettronica corrisponda al livello di garanzia significativo o elevato;

c)	l’ organismo_del_settore_pubblico competente usa il livello di garanzia significativo o elevato in relazione all’accesso a tale servizio online.

Tale riconoscimento ha luogo non oltre 12 mesi dalla data in cui la Commissione pubblica l’elenco i di cui alla lettera a), primo comma.

2. un mezzo di identificazione_elettronica rilasciato nell’ambito di un regime di identificazione_elettronica compreso nell’elenco pubblicato dalla Commissione a norma dell’articolo 9 e che corrisponde al livello di garanzia basso può essere riconosciuto dagli organismi del settore pubblico ai fini dell’ autenticazione transfrontaliera del servizio prestato online da tali organismi.

Articolo 8

Livelli di garanzia dei regimi di identificazione_elettronica

1. un regime di identificazione_elettronica notificato a norma dell’articolo 9, paragrafo 1, specifica livelli di garanzia basso, significativo e/o elevato per i mezzi di identificazione_elettronica rilasciati nell’ambito di detto regime.

2. I livelli di garanzia basso, significativo e elevato soddisfano rispettivamente i seguenti criteri:

il livello di garanzia basso si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità;

il livello di garanzia significativo si riferisce a mezzi di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità;

il livello di garanzia elevato si riferisce a un mezzo di identificazione_elettronica nel contesto di un regime di identificazione_elettronica che fornisce riguardo all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione_elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità.

3. Entro il 18 settembre 2015, tenendo conto delle norme internazionali pertinenti e fatto salvo il paragrafo 2, la Commissione, mediante atti di esecuzione, definisce le specifiche, norme e procedure tecniche minime in riferimento alle quali sono specificati i livelli di garanzia basso, significativo e elevato dei mezzi di identificazione_elettronica ai fini del paragrafo 1.

Le suddette specifiche, norme e procedure tecniche minime sono fissate facendo riferimento all’affidabilità e alla qualità dei seguenti elementi:

a)	della procedura di controllo e verifica dell’identità delle persone fisiche o giuridiche che chiedono il rilascio dei mezzi di identificazione_elettronica;

b)	della procedura di rilascio dei mezzi di identificazione_elettronica richiesti;

c)	del meccanismo di autenticazione mediante il quale la persona fisica o giuridica usa i mezzi di identificazione_elettronica per confermare la propria identità a una parte_facente_affidamento_sulla_certificazione;

d)	dell’entità che rilascia i mezzi di identificazione_elettronica;

e)	di qualsiasi altro organismo implicato nella domanda di rilascio dei mezzi di identificazione_elettronica; e

f)	delle specifiche tecniche e di sicurezza dei mezzi di identificazione_elettronica rilasciati.

Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 9

Notifica

1. Lo Stato membro notificante rende note alla Commissione le informazioni seguenti e, senza indugio, qualsiasi loro successiva modifica:

a)	una descrizione del regime di identificazione_elettronica, con indicazione dei suoi livelli di garanzia e della o delle entità che rilasciano i mezzi di identificazione_elettronica nell’ambito del regime;

il regime di vigilanza e il regime di informazioni sulla responsabilità applicabili per quanto riguarda:

i)	la parte che rilascia i mezzi di identificazione_elettronica; e

ii)	la parte che gestisce la procedura di autenticazione;

c)	l’autorità o le autorità responsabili del regime di identificazione_elettronica;

d)	informazioni sull’entità o sulle entità che gestiscono la registrazione dei dati unici di identificazione personale;

e)	una descrizione di come sono soddisfatti i requisiti definiti negli atti di esecuzione di cui all’articolo 12, paragrafo 8;

f)	una descrizione dell’ autenticazione di cui all’articolo 7, lettera f);

g)	disposizioni per la sospensione o la revoca del regime di identificazione_elettronica notificato o dell’ autenticazione oppure di parti compromesse dell’uno o dell’altra.

2. un anno dopo la data di applicazione degli atti di esecuzione di cui all’articolo 8, paragrafo 3, e all’articolo 12, paragrafo 8, la Commissione pubblica nella Gazzetta ufficiale dell’Unione europea un elenco dei regimi di identificazione_elettronica notificati ai sensi del paragrafo 1 del presente articolo e le informazioni fondamentali al riguardo.

3. Se la Commissione riceve una notifica dopo lo scadere del periodo di cui al paragrafo 2, pubblica nella Gazzetta ufficiale dell’Unione europea le modifiche dell’elenco di cui al paragrafo 2 entro due mesi dalla data di ricezione di tale notifica.

4. uno Stato membro può presentare alla Commissione una richiesta di eliminazione del regime di identificazione_elettronica da esso notificato dall’elenco di cui al paragrafo 2. La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea le corrispondenti modifiche dell’elenco entro un mese dalla data di ricezione della richiesta dello Stato membro.

5. La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure delle notifiche a norma del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 10

Violazione della sicurezza

1. In caso di violazione o parziale compromissione del regime di identificazione_elettronica notificato ai sensi dell’articolo 9, paragrafo 1, o dell’ autenticazione di cui all’articolo 7, lettera f), con limitazione dell’affidabilità dell’ autenticazione transfrontaliera di tale regime, lo Stato membro notificante senza indugio sospende o revoca tale autenticazione transfrontaliera o le sue parti compromesse e ne informa gli altri Stati membri e la Commissione.

2. una volta posto rimedio alla violazione o alla compromissione di cui al paragrafo 1, lo Stato membro notificante ristabilisce l’ autenticazione transfrontaliera e informa senza indugio gli altri Stati membri e la Commissione.

3. Qualora non sia posto rimedio alla violazione o alla compromissione di cui al paragrafo 1 entro tre mesi dalla sospensione o dalla revoca, lo Stato membro notificante notifica agli altri Stati membri e alla Commissione il ritiro del regime di identificazione_elettronica.

La Commissione pubblica senza indebito ritardo le corrispondenti modifiche dell’elenco di cui all’articolo 9, paragrafo 2, nella Gazzetta ufficiale dell’Unione europea.

Articolo 24

Requisiti per i prestatori di servizi fiduciari qualificati

1. Allorché rilascia un certificato qualificato per un servizio_fiduciario, un prestatore_di_servizi_fiduciari qualificato verifica, mediante mezzi appropriati e conformemente al diritto nazionale, l’identità e, se del caso, eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato è rilasciato.

Le informazioni di cui al primo comma sono verificate dal prestatore_di_servizi_fiduciari qualificato direttamente o ricorrendo a un terzo conformemente al diritto nazionale:

a)	mediante la presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica; o

a distanza, mediante mezzi di identificazione_elettronica, con cui prima del rilascio del certificato qualificato è stata garantita una presenza concreta della persona fisica o di un rappresentante autorizzato della persona giuridica e che soddisfano i requisiti fissati all’articolo 8 riguardo ai livelli di garanzia «significativo» o «elevato»; o

c)	mediante un certificato di una firma_elettronica qualificata o di un sigillo_elettronico qualificato rilasciato a norma della lettera a) o b); o

d)	mediante altri metodi di identificazione riconosciuti a livello nazionale che forniscono una garanzia equivalente sotto il profilo dell’afffidabilità alla presenza fisica. La garanzia equivalente è confermata da un organismo_di_valutazione_della_conformità.

2. un prestatore_di_servizi_fiduciari qualificato che presta servizi fiduciari qualificati:

a)	informa l’organismo di vigilanza di eventuali cambiamenti nella prestazione dei propri servizi fiduciari qualificati e dell’intenzione di cessare tali attività;

impiega personale e, ove applicabile, subcontraenti dotati delle competenze, dell’affidabilità, dell’esperienza e delle qualifiche necessarie e che hanno ricevuto una formazione adeguata in materia di norme di sicurezza e di protezione dei dati personali e applica procedure amministrative e gestionali, che corrispondono a norme europee o internazionali;

c)	riguardo alla responsabilità civile per danni a norma dell’articolo 13, mantiene risorse finanziarie adeguate e/o si procura un’assicurazione di responsabilità civile appropriata, conformemente al diritto nazionale;

d)	prima di avviare una relazione contrattuale informa, in modo chiaro e completo, chiunque intenda utilizzare un servizio_fiduciario qualificato dei termini e delle condizioni esatte per l’utilizzo di tale servizio, comprese eventuali limitazioni del suo utilizzo;

e)	utilizza sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità dei processi che assicurano;

utilizza sistemi affidabili per memorizzare i dati a esso forniti, in modo verificabile, affinché:

i)	siano accessibili alla consultazione del pubblico soltanto con il consenso della persona a cui i dati fanno riferimento;

ii)	soltanto le persone autorizzate possano effettuare inserimenti e modifiche ai dati memorizzati;

iii)	l’autenticità dei dati sia verificabile;

g)	adotta misure adeguate contro le falsificazioni e i furti di dati;

registra e mantiene accessibili per un congruo periodo di tempo, anche dopo la cessazione delle attività del prestatore_di_servizi_fiduciari qualificato, tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore_di_servizi_fiduciari qualificato, in particolare a fini di produzione di prove nell’ambito di procedimenti giudiziali e per assicurare la continuità del servizio. Tali registrazioni possono essere elettroniche;

i)	dispone di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni verificate dall’organismo di vigilanza a norma dell’articolo 17, paragrafo 4, lettera i);

j)	garantisce il trattamento lecito dei dati personali a norma della direttiva 95/46/CE;

k)	se i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati, istituiscono una banca dati dei certificati aggiornata.

3. Se un prestatore_di_servizi_fiduciari qualificato che rilascia certificati qualificati decide di revocare un certificato, registra tale revoca nella propria banca dati dei certificati e pubblica la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta. La revoca diventa immediatamente effettiva all’atto della pubblicazione.

4. In considerazione del paragrafo 3, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati trasmettono alle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o revoca dei certificati qualificati da essi rilasciati. Queste informazioni sono rese disponibili almeno per ogni certificato rilasciato in qualsiasi momento e oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sistemi e prodotti affidabili, che soddisfano i requisiti di cui al paragrafo 2, lettere e) ed f), del presente articolo. Si presume che i requisiti di cui al presente articolo siano stati rispettati ove i sistemi e i prodotti affidabili adempiano a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 4

Firme elettroniche

Articolo 25

Effetti giuridici delle firme elettroniche

1. A una firma_elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate.

2. una firma_elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.

3. una firma_elettronica qualificata basata su un certificato qualificato rilasciato in uno Stato membro è riconosciuta quale firma_elettronica qualificata in tutti gli altri Stati membri.

Articolo 33

Servizio di convalida qualificato delle firme elettroniche qualificate

1. un servizio di convalida qualificato delle firme elettroniche qualificate può essere prestato soltanto da un prestatore_di_servizi_fiduciari qualificato che:

a)	fornisce la convalida a norma dell’articolo 32, paragrafo 1; e

b)	consente alle parti facenti affidamento sulla certificazione di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma_elettronica avanzata o il sigillo_elettronico avanzato del prestatore del servizio di convalida qualificato.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al servizio di convalida qualificato di cui al paragrafo 1. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il servizio di convalida di una firma_elettronica qualificata risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

Articolo 34

Servizio di conservazione qualificato delle firme elettroniche qualificate

1. un servizio di conservazione qualificato delle firme elettroniche qualificate può essere prestato soltanto da un prestatore_di_servizi_fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità della firma_elettronica qualificata oltre il periodo di validità tecnologica.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al servizio di conservazione qualificato delle firme elettroniche qualificate. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove le modalità del servizio di conservazione qualificato delle firme elettroniche qualificate rispondano a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 5

Sigilli elettronici

Articolo 35

Effetti giuridici dei sigilli elettronici

1. A un sigillo_elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i sigilli elettronici qualificati.

2. un sigillo_elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo_elettronico qualificato è associato.

3. un sigillo_elettronico qualificato basato su un certificato qualificato rilasciato in uno Stato membro è riconosciuto quale sigillo_elettronico qualificato in tutti gli altri Stati membri.

Articolo 41

Effetti giuridici della validazione_temporale_elettronica

1. Alla validazione temporanea elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata.

2. una validazione_temporale_elettronica qualificata gode della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate.

3. una validazione_temporale_elettronica rilasciata in uno Stato membro è riconosciuta quale validazione_temporale_elettronica qualificata in tutti gli Stati membri.

Articolo 42

Requisiti per la validazione_temporale_elettronica qualificata

1. una validazione_temporale_elettronica qualificata soddisfa i requisiti seguenti:

a)	collega la data e l’ora ai dati in modo da escludere ragionevolmente la possibilità di modifiche non rilevabili dei dati;

b)	si basa su una fonte accurata di misurazione del tempo collegata al tempo universale coordinato; e

c)	è apposta mediante una firma_elettronica avanzata o sigillata con un sigillo_elettronico avanzato del prestatore_di_servizi_fiduciari qualificato o mediante un metodo equivalente.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al collegamento della data e dell’ora ai dati e a fonti accurate di misurazione del tempo. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il collegamento della data e dell’ora ai dati e alla fonte accurata di misurazione del tempo rispondano a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.

SEZIONE 7

Servizi elettronici di recapito certificato

Articolo 51

Disposizioni transitorie

1. I dispositivi per la creazione di una firma sicura la cui conformità sia stata determinata a norma dell’articolo 3, paragrafo 4, della direttiva 1999/93/CE sono considerati dispositivi per la creazione di una firma_elettronica qualificata a norma del presente regolamento.

2. I certificati qualificati rilasciati a persone fisiche a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma_elettronica a norma del presente regolamento fino alla loro scadenza.

3. un prestatore di servizi di certificazione che rilascia certificati qualificati a norma della direttiva 1999/93/CE presenta una relazione di valutazione della conformità all’organismo di vigilanza quanto prima e, comunque, non oltre il 1o luglio 2017. Fino alla presentazione della suddetta relazione di valutazione della conformità e fino a che l’organismo di vigilanza non ne abbia completato la valutazione, il prestatore di servizi di certificazione è considerato un prestatore_di_servizi_fiduciari qualificato a norma del presente regolamento.

4. Se un prestatore di servizi di certificazione che rilascia certificati qualificati a norma della direttiva 1999/93/CE non presenta una relazione di valutazione della conformità all’organismo di vigilanza entro i termini di cui al paragrafo 3, egli non è considerato un prestatore_di_servizi_fiduciari qualificato a norma del presente regolamento a decorrere dal 2 luglio 2017.

whereas

keyboard_tab EIDAS 2014/0910 IT

EIDAS 2014/0910 IT