RELAZIONE

1.           CONTESTO DELLA PROPOSTA

La presente relazione illustra una proposta di quadro normativo destinata a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno.

Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico. La mancanza di fiducia scoraggia i consumatori, le imprese e le amministrazioni dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi.

L’Agenda digitale europea[1] individua barriere che si frappongono allo sviluppo digitale dell’Europa e propone l’adozione di norme sulle firme elettroniche (azione fondamentale 3) e sul riconoscimento reciproco dell'identificazione e dell'autenticazione elettronica (azione fondamentale 16), in modo da istituire un quadro normativo chiaro che elimini la frammentazione, promuova l’interoperabilità, sviluppi la cittadinanza digitale e prevenga la criminalità cibernetica. L’adozione di norme per garantire il riconoscimento reciproco dell’identificazione e dell’autenticazione elettronica in tutta l’UE e il riesame della direttiva sulle firme elettroniche sono un’azione fondamentale anche dell’Atto per il mercato unico[2], per la realizzazione del mercato unico. La Tabella di marcia per la stabilità e la crescita[3] sottolinea il ruolo fondamentale, per lo sviluppo dell’economia digitale, del futuro quadro normativo comune per il riconoscimento e l’accettazione reciproci dell’identificazione e dell’autenticazione elettronica attraverso le frontiere.

Il quadro normativo proposto, che consiste in un “regolamento del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno”, mira a consentire transazioni elettroniche sicure e omogenee fra imprese, cittadini e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

La normativa unionale esistente, vale a dire la direttiva 1999/93/CE relativa a un “quadro comunitario per le firme elettroniche”[4], si limita essenzialmente alle sole firme elettroniche. Non esiste un quadro unionale transfrontaliero e transettoriale completo per garantire transazioni elettroniche sicure, affidabili e di facile impiego, che comprenda l’identificazione, l’autenticazione e le firma elettronica.

L’obiettivo è quello di potenziare la normativa esistente e ampliarla per coprire il riconoscimento e l’accettazione reciproci a livello dell’UE dei regimi di identificazione elettronica notificata e di altri servizi fiduciari elettronici essenziali connessi.

2.           CONSULTAZIONE DELLE PARTI INTERESSATE E VALUTAZIONI D'IMPATTO

La presente iniziativa è il risultato di ampie consultazioni sul riesame dell’attuale quadro normativo sulle firme elettroniche, durante le quali la Commissione ha raccolto i contributi degli Stati membri, del Parlamento europeo e di altre parti interessate[5]. Una consultazione pubblica online è stata integrata da un “gruppo pilota di PMI” incaricato di individuare i punti di vista e le esigenze specifiche delle PMI e da altre consultazioni mirate delle parti interessate[6],[7]. La Commissione ha anche avviato una serie di studi sull’identificazione elettronica, sull'autenticazione elettronica, sulle firme elettroniche e sui servizi fiduciari connessi (eIAS).

Le consultazioni hanno evidenziato che un’ampia maggioranza di parti interessate si trova d’accordo sulla necessità di riesaminare il quadro attuale per colmare le lacune della direttiva sulle firme elettroniche. Tale approccio è infatti ritenuto migliore per rispondere alle sfide poste dal rapido sviluppo delle nuove tecnologie (in particolare per quanto riguarda l’accesso mobile e online) e dalla crescente globalizzazione, pur mantenendo la neutralità tecnologica del quadro giuridico.

In linea con l'approccio “Legiferare meglio”, la Commissione ha svolto una valutazione dell’impatto di misure alternative. Sono stati valutati tre gruppi di opzioni strategiche, che riguardavano in particolare: 1) il campo di applicazione del nuovo quadro, 2) lo strumento giuridico e 3) il livello di vigilanza necessario[8]. L’opzione prescelta consiste nel migliorare la certezza giuridica, stimolare il coordinamento della vigilanza nazionale, garantire il riconoscimento e l’accettazione reciproci dei regimi di identificazione elettronica e incorporare servizi fiduciari essenziali connessi. La valutazione d’impatto ha concluso che in tal modo si otterrebbero miglioramenti significativi della certezza giuridica, della sicurezza e della fiducia per quanto riguarda le transazioni elettroniche transfrontaliere, riducendo la frammentazione del mercato.

3.           ELEMENTI GIURIDICI DELLA PROPOSTA

3.1 Base giuridica

La proposta si basa sull’articolo 114 del TFUE, riguardante l’adozione di disposizioni per eliminare barriere esistenti al funzionamento del mercato interno. I cittadini, le imprese e le amministrazioni trarranno vantaggi dal riconoscimento e dall'accettazione reciproci dell'identificazione elettronica, dell'autenticazione elettronica, delle firme elettroniche e di altri servizi fiduciari attraverso le frontiere ove ciò si riveli necessario per avviare e completare procedimenti o transazioni elettroniche.

Si ritiene che un regolamento sia lo strumento giuridico più appropriato. Essendo direttamente applicabile a norma dell’articolo 288 del TFUE, un regolamento ridurrà la frammentazione normativa e fornirà una maggiore certezza giuridica introducendo un insieme armonizzato di regole fondamentali che contribuiranno al funzionamento del mercato interno.

3.2 Sussidiarietà e proporzionalità

Affinché l’azione a livello dell’Unione sia giustificata, deve essere rispettato il principio di sussidiarietà.

a) Natura transnazionale del problema (verifica di necessità)

Il carattere transnazionale degli eIAS richiede un’azione dell’UE. Da solo, un intervento interno (vale a dire nazionale) non basterebbe per raggiungere gli obiettivi e realizzare le mete indicate nella strategia Europa 2020[9]. D’altro canto, l’esperienza ha dimostrato che le misure nazionali hanno di fatto creato barriere all’interoperabilità delle firme elettroniche nell’Unione e hanno attualmente lo stesso effetto sull’identificazione elettronica, sull’autenticazione elettronica e sui servizi fiduciari connessi. È quindi necessario che l’UE crei un quadro che permetta di affrontare l’interoperabilità transfrontaliera e migliorare il coordinamento dei regimi nazionali di vigilanza. Tuttavia, l’identificazione elettronica non può essere disciplinata dal regolamento proposto secondo le stesse modalità generiche applicabili agli altri servizi fiduciari elettronici perché l’emissione di mezzi di identificazione è una prerogativa nazionale. La proposta s’incentra perciò esclusivamente sugli aspetti transfrontalieri dell’identificazione elettronica.

Il regolamento proposto crea condizioni eque di concorrenza per le imprese che prestano servizi fiduciari le quali attualmente operano in un contesto in cui le differenze fra le normative nazionali sono spesso fonte di incertezze giuridiche e oneri supplementari. La certezza del diritto risulta significativamente rafforzata da chiari obblighi di accettazione, da parte degli Stati membri, dei servizi fiduciari qualificati, che creano ulteriori incentivi per spingere le imprese ad estendere le loro attività oltre le frontiere del loro paese. Ad esempio, un’impresa potrà partecipare elettronicamente ad un appalto pubblico indetto dall'amministrazione di un altro Stato membro senza rischiare il blocco della sua firma elettronica a causa di requisiti nazionali specifici e di problemi di interoperabilità. Analogamente, un’impresa potrà firmare contratti elettronicamente con una controparte situata in un altro Stato membro senza doversi preoccupare di eventuali requisiti legali diversi per servizi fiduciari quali i sigilli elettronici, i documenti elettronici o la validazione temporale. Inoltre, le lettere di messa in mora potranno essere trasmesse da uno Stato membro all’altro con la certezza che saranno legalmente valide in entrambi. Da ultimo, il commercio online diventerà più affidabile quando i potenziali acquirenti avranno la possibilità di verificare che stanno effettivamente accedendo al sito del venditore prescelto e non a un sito contraffatto.

L’ampia accettazione dei mezzi di identificazione elettronica riconosciuti reciprocamente e delle firme elettroniche agevolerà la fornitura transfrontaliera di numerosi servizi nel mercato interno e consentirà alle imprese di espandersi al di là delle frontiere senza andare incontro ad ostacoli nelle interazioni con le autorità pubbliche. In pratica, ne deriveranno significativi guadagni di efficienza sia per le imprese che per i cittadini nell’adempimento delle formalità amministrative. Ad esempio, gli studenti potranno iscriversi elettronicamente ad un’università estera, i cittadini potranno trasmettere la dichiarazione dei redditi online a un altro Stato membro e i pazienti avranno accesso online alla loro cartella clinica. In assenza di mezzi di identificazione elettronica che godano di riconoscimento reciproco, i medici non potranno accedere alle informazioni mediche di cui hanno bisogno per prestare le cure al paziente e occorrerà ripetere esami di laboratorio già effettuati.

b) Valore aggiunto (verifica di efficacia)

Attualmente il coordinamento volontario fra Stati membri non è in grado di realizzare gli obiettivi sopra delineati e non è probabile che ciò avvenga in futuro. Ne derivano la duplicazione degli sforzi, l’istituzione di standard diversi, caratteristiche transnazionali delle ricadute generate dalle TIC e la complessità amministrativa inerente ad un coordinamento istituito mediante accordi bilaterali e multilaterali.

Inoltre, l’esigenza di superare problemi, quali a) l’assenza di certezza giuridica in presenza di disposizioni nazionali eterogenee derivanti da interpretazioni divergenti della direttiva sulle firme elettroniche e b) una mancanza di interoperabilità fra i sistemi di firma elettronica istituiti a livello nazionale in seguito all’applicazione non uniforme delle norme tecniche, richiede un tipo di coordinamento fra Stati membri che può realizzarsi in modo più efficace a livello dell’UE.

3.3 Illustrazione dettagliata della proposta

3.3.1      CAPO I – DISPOSIZIONI GENERALI

L'articolo 1 definisce l'oggetto del regolamento.

L’articolo 2 definisce il campo d’applicazione materiale del regolamento.

L’articolo 3 contiene le definizioni della terminologia utilizzata nel regolamento. Alcune definizioni sono state riprese dalla direttiva 1999/93/CE, altre sono state rese più chiare, integrate da elementi aggiuntivi o introdotte ex novo.

L’articolo 4 determina i principi del mercato interno in funzione dell’applicazione territoriale del regolamento. Si fa menzione esplicita dell’inesistenza di restrizioni alla libertà di prestazione di servizi e di circolazione dei prodotti.

3.3.2      CAPO II – IDENTIFICAZIONE ELETTRONICA

L’articolo 5 dispone il riconoscimento e l’accettazione reciproci dei mezzi di identificazione elettronica che rientrano in un regime da notificare alla Commissione alle condizioni fissate dal regolamento. La maggior parte degli Stati membri ha introdotto una qualche forma di sistema di identificazione elettronica. Tuttavia, tali sistemi differiscono fra loro per molti aspetti. La mancanza di una base giuridica comune che obblighi ogni Stato membro a riconoscere e accettare i mezzi di identificazione elettronica rilasciati in altri Stati membri per accedere a servizi online, insieme con l’inadeguatezza dell’interoperabilità transfrontaliera delle identificazioni elettroniche nazionali, crea barriere che impediscono ai cittadini e alle imprese di trarre pieno vantaggio dal mercato unico digitale. Il riconoscimento e l’accettazione reciproci di tutti i mezzi di identificazione elettronica che rientrano in un regime notificato ai sensi del presente regolamento elimina tali ostacoli giuridici.

Il regolamento non obbliga gli Stati membri a introdurre o notificare regimi di identificazione elettronica, ma a riconoscere ed accettare le identificazioni elettroniche notificate per quei servizi online il cui accesso richiede un’identificazione elettronica a livello nazionale. L’incremento potenziale delle economie di scala ottenute mediante l’impiego transfrontaliero di mezzi di identificazione elettronica e sistemi di autenticazione elettronica notificati potranno stimolare gli Stati membri a notificare i loro regimi di identificazione elettronica. L’articolo 6 fissa le cinque condizioni per la notifica dei regimi di identificazione elettronica:

gli Stati membri possono notificare i regimi di identificazione elettronica che essi accettano sotto la loro giurisdizione nei casi in cui l’identificazione elettronica è obbligatoria per servizi pubblici. Un ulteriore obbligo impone che i rispettivi mezzi di identificazione elettronica siano rilasciati direttamente dallo Stato membro che notifica un regime o a suo nome o almeno sotto la sua responsabilità.

Gli Stati membri devono garantire un legame univoco fra i dati di identificazione elettronica e la persona a cui questi si riferiscono. Tale obbligo non significa che una stessa persona non possa avere più mezzi di identificazione elettronica, ma questi ultimi devono essere tutti collegati alla stessa persona.

L’affidabilità di un'identificazione elettronica dipende dalla disponibilità di mezzi di autenticazione (ossia la possibilità di controllare la validità dei dati dell’identificazione elettronica). Il regolamento obbliga gli Stati membri notificanti a fornire l’autenticazione online gratuita ai terzi. La possibilità di autenticazione deve essere disponibile in modo ininterrotto. Non si possono imporre requisiti tecnici specifici, quali hardware o software, alle parti che ricorrono a tale autenticazione. Questa disposizione non si applica ad eventuali requisiti imposti agli utilizzatori (titolari) dei mezzi di identificazione elettronica che siano tecnicamente necessari per utilizzarli, quali lettori di carte.

Gli Stati membri devono accettare la responsabilità dell’univocità del legame (cioè del fatto che i dati di identificazione attribuiti ad una persona non siano collegati a nessun’altra persona) e della possibilità di autenticazione (ossia la possibilità di controllare la validità dei dati di identificazione elettronica). La responsabilità degli Stati membri non comprende altri aspetti del processo di identificazione né qualsiasi transazione che richiede l’identificazione.

L’articolo 7 contiene regole sulla notifica alla Commissione dei regimi di identificazione elettronica.

L’articolo 8 mira a garantire l’interoperabilità tecnica dei regimi di identificazione notificati, mediante un approccio coordinato che comprende atti delegati.

3.3.3      CAPO III – SERVIZI FIDUCIARI

3.3.3.1 Sezione 1 – Disposizioni generali

L’articolo 9 definisce i principi connessi alla responsabilità dei prestatori di servizi fiduciari qualificati e non qualificati. Esso si basa sull’articolo 6 della direttiva 1999/93/CE ed estende il diritto al risarcimento dei danni causati da un prestatore negligente di servizi fiduciari in seguito all’inosservanza di buone pratiche di sicurezza che diano luogo a una violazione della sicurezza con un impatto significativo sul servizio.

L’articolo 10 descrive il meccanismo di riconoscimento e accettazione dei servizi fiduciari qualificati prestati da un prestatore stabilito in un paese terzo. Esso si basa sull’articolo 7 della direttiva 1999/93/CE mantenendone solo l’unica opzione praticabile che consiste nel consentire tale riconoscimento in base a un accordo internazionale fra l’Unione europea e paesi terzi o organizzazioni internazionali.

L’articolo 11 definisce i principi della protezione e della limitazione dei dati. Si basa sull’articolo 8 della direttiva 1999/93/CE.

L’articolo 12 dispone che i servizi fiduciari siano accessibili alle persone disabili.

3.3.3.2 Sezione 2 – Vigilanza

L’articolo 13 obbliga gli Stati membri ad istituire organismi di vigilanza, sulla base dell’articolo 3, paragrafo 3, della direttiva 1999/93/CE, chiarendone ed ampliandone il mandato per quanto riguarda sia i prestatori di servizi fiduciari che i prestatori di servizi fiduciari qualificati.

L’articolo 14 introduce un meccanismo esplicito di mutua assistenza fra organismi di vigilanza negli Stati membri per facilitare la vigilanza transfrontaliera dei prestatori di servizi fiduciari. Introduce regole sulle operazioni congiunte e sul diritto delle autorità di vigilanza di parteciparvi.

L’articolo 15 introduce l’obbligo per i prestatori di servizi fiduciari qualificati e non qualificati di attuare provvedimenti tecnici e organizzativi appropriati per garantire la sicurezza delle loro attività. Inoltre, gli organismi competenti di vigilanza e le altre autorità pertinenti devono essere informati di tutte le violazioni della sicurezza. Se del caso, ne informano a loro volta gli organismi di vigilanza di altri Stati membri e – direttamente o attraverso il prestatore di servizi fiduciari interessato – il pubblico.

L’articolo 16 fissa le condizioni per la vigilanza dei prestatori di servizi fiduciari qualificati e dei servizi fiduciari qualificati da essi prestati. Obbliga i prestatori di servizi fiduciari qualificati a sottoporsi a una verifica annuale da parte di un organismo indipendente riconosciuto, per confermare all’organismo di vigilanza che adempiono gli obblighi sanciti dal regolamento. Inoltre, l’articolo 16, paragrafo 2, dà all’organismo di vigilanza il diritto di svolgere verifiche sul posto dei prestatori di servizi fiduciari qualificati, in qualsiasi momento. L’organismo di vigilanza ha anche la facoltà di emettere istruzioni vincolanti ai prestatori di servizi fiduciari qualificati per porre rimedio, in modo appropriato, ad eventuali inadempienze rilevate da una verifica di sicurezza.

L’articolo 17 riguarda le attività svolte dall’organismo di vigilanza su richiesta di un prestatore di servizi fiduciari che desideri avviare un servizio fiduciario qualificato.

L’articolo 18 dispone la preparazione di elenchi di fiducia[10] che contengono informazioni sui prestatori di servizi fiduciari soggetti a vigilanza e sui servizi qualificati da essi offerti. Tali informazioni devono essere rese pubbliche utilizzando un modello comune, per facilitarne l’impiego automatizzato e garantire un grado di dettaglio appropriato.

L’articolo 19 fissa i requisiti che i prestatori di servizi fiduciari qualificati devono soddisfare per essere riconosciuti come tali. Si basa sull’allegato II della direttiva 1999/93/CE.

3.3.3.3 Sezione 3 – Firma elettronica

L’articolo 20 sancisce le regole relative all’effetto giuridico delle firme elettroniche delle persone fisiche. Chiarisce ed estende l’articolo 5 della direttiva 1999/93/CE, introducendo l’obbligo esplicito di conferire alle firme elettroniche qualificate lo stesso effetto giuridico delle firme autografe. Inoltre, gli Stati membri devono garantire l’accettazione transfrontaliera delle firme elettroniche qualificate, nel contesto della fornitura di servizi pubblici, e non devono introdurre obblighi aggiuntivi che potrebbero trasformarsi in barriere all’impiego di tali firme.

L’articolo 21 fissa i requisiti per i certificati di firma qualificata. Chiarisce l’allegato I della direttiva 1999/93/CE ed elimina disposizioni che non hanno funzionato nella pratica (p. es. limiti al valore delle transazioni).

L’articolo 22 fissa i requisiti per i dispositivi per la creazione di firme elettroniche qualificate. Chiarisce i requisiti per i dispositivi per la creazione di una firma di cui all’articolo 3, paragrafo 5, della direttiva 1999/93/CE, che ora dovranno essere considerati dispositivi per la creazione di una firma qualificata ai sensi del regolamento proposto. Chiarisce anche che la portata di un dispositivo per la creazione di una firma qualificata può andare ben oltre un semplice contenitore di dati per la creazione di firme. La Commissione potrà anche stabilire un elenco di numeri di riferimento di norme applicabili ai requisiti di sicurezza sui dispositivi.

L’articolo 23, basato sull’articolo 3, paragrafo 4, della direttiva 1999/93/CE, introduce il concetto di certificazione dei dispositivi per la creazione di una firma elettronica qualificata per determinarne la conformità ai requisiti di sicurezza di cui all’allegato II. Tali dispositivi devono essere riconosciuti da tutti gli Stati membri quali conformi ai requisiti allorché un procedimento di certificazione è svolto da un organismo di certificazione designato da uno Stato membro. La Commissione pubblicherà un elenco positivo di tali dispositivi certificati ai sensi dell’articolo 24. La Commissione potrà anche elaborare un elenco di numeri di riferimento di norme applicabili alla valutazione di sicurezza dei prodotti delle tecnologie dell’informazione di cui all’articolo 23, paragrafo 1.

L’articolo 24 riguarda la pubblicazione di un elenco di dispositivi per la creazione di una firma elettronica qualificata, da parte della Commissione, previa notifica di conformità inviata dagli Stati membri.

L’articolo 25 si basa sulle raccomandazioni dell’allegato IV della direttiva 1999/93/CE per stabilire disposizioni vincolanti per la convalida di firme elettroniche qualificate, per migliorare la certezza giuridica di tali convalide.

L’articolo 26 fissa le condizioni per i servizi di convalida qualificati.

L’articolo 27 fissa le condizioni per la conservazione a lungo termine delle firme elettroniche qualificate. Tale conservazione è resa possibile dall’impiego di procedure e tecnologie in grado di estendere l’affidabilità dei dati di convalida delle firme elettroniche qualificate oltre il termine della loro validità tecnologica, quando la falsificazione potrebbe diventare più facile per i criminali cibernetici.

3.3.3.4 Sezione 4 – Sigilli elettronici

L’articolo 28 riguarda gli effetti giuridici dei sigilli elettronici delle persone giuridiche. Il sigillo elettronico qualificato dà luogo a una presunzione legale di garanzia dell’origine e dell’integrità dei documenti elettronici a cui è associato.

L’articolo 29 fissa i requisiti per i certificati qualificati di sigillo elettronico.

L’articolo 30 fissa i requisiti per i dispositivi per la creazione di un sigillo elettronico qualificato, per la loro certificazione e per la pubblicazione del relativo elenco.

L’articolo 31 stabilisce le condizioni di convalida e conservazione dei sigilli elettronici qualificati.

3.3.3.5 Sezione 5 – Validazione temporale elettronica

L’articolo 32 riguarda gli effetti giuridici della validazione temporale elettronica. La validazione temporale elettronica dà luogo a una presunzione legale relativa alla certezza della data e dell’ora.

L’articolo 33 fissa i requisiti per la validazione temporale elettronica qualificata.

3.3.3.6 Sezione 6 – Documenti elettronici

L’articolo 34 riguarda gli effetti giuridici e le condizioni di accettazione dei documenti elettronici. Esiste una presunzione legale specifica quanto all’autenticità e all’integrità dei documenti elettronici firmati con una firma elettronica qualificata o recanti un sigillo elettronico qualificato. Per quanto riguarda l’accettazione dei documenti elettronici, ove per la prestazione di un servizio pubblico si richieda un documento originale o una copia autenticata, sono accettati negli altri Stati membri senza requisiti aggiuntivi almeno i documenti elettronici rilasciati dalle persone competenti per rilasciare i documenti richiesti e considerati alla stregua di originali o di copie autenticate dalla normativa nazionale dello Stato membro di origine.

3.3.3.7 Sezione 7 – Servizi elettronici di recapito

L’articolo 35 verte sugli effetti giuridici dei dati inviati o ricevuti mediante un servizio elettronico di recapito. Per i servizi elettronici di recapito esiste la presunzione legale specifica quanto all’integrità dei dati inviati o ricevuti e all’accuratezza della data e dell’ora in cui tali dati sono inviati o ricevuti. È anche garantita l’accettazione reciproca dei servizi elettronici di recapito qualificati a livello dell’UE.

L’articolo 36 fissa i requisiti per i servizi elettronici di recapito qualificati.

3.3.3.8 Sezione 8 – Autenticazione dei siti web

Questa sezione mira ad assicurare la garanzia di autenticità di un sito web in relazione al suo proprietario.

L’articolo 37 stabilisce i requisiti per i certificati qualificati di autenticazione di sito web, che possono essere utilizzati per garantire l’autenticità di un sito web. Un certificato qualificato di autenticazione di sito web fornirà un insieme minimo di informazioni affidabili sul sito stesso e sull’esistenza legale del suo proprietario.

3.3.4      CAPO IV – ATTI DELEGATI

L’articolo 38 contiene le disposizioni standard per l’esercizio delle deleghe a norma dell’articolo 290 del TFUE (atti delegati), che dà la facoltà al legislatore di delegare alla Commissione il potere di adottare atti non legislativi di portata generale che integrano o modificano determinati elementi non essenziali di un atto legislativo.

3.3.5      CAPO V – ATTI DI ESECUZIONE

L’articolo 39 dispone la procedura di comitato necessaria per il conferimento delle competenze di esecuzione alla Commissione nei casi in cui, conformemente all’articolo 291 del TFUE, sono necessarie condizioni uniformi di esecuzione degli atti giuridicamente vincolanti dell’Unione. Si applica la procedura d’esame.

3.3.6      CAPO VI – DISPOSIZIONI FINALI

L’articolo 40 impone alla Commissione di valutare l’applicazione del regolamento e presentare relazioni al riguardo.

L’articolo 41 abroga la direttiva 1999/93/CE e contiene disposizioni per agevolare la transizione dall’infrastruttura esistente per le firme elettroniche ai nuovi requisiti del regolamento.

L'articolo 42 reca la data di entrata in vigore del regolamento.

4.           INCIDENZA SUL BILANCIO

Le specifiche implicazioni di bilancio della proposta riguardano i compiti assegnati alla Commissione europea, come indicato nella scheda finanziaria legislativa allegata alla presente proposta.

La proposta non ha ripercussioni sulle spese operative.

La scheda finanziaria legislativa che accompagna la presente proposta di regolamento ricomprende le incidenze di bilancio del regolamento stesso.

2012/0146 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo[11],

sentito il garante europeo della protezione dei dati[12],

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)       Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico. La mancanza di fiducia scoraggia i consumatori, le imprese e le amministrazioni dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi.

(2)       Il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno, consentendo interazioni elettroniche sicure e omogenee fra imprese, cittadini e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

(3)       La direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche[13], riguarda essenzialmente le firme elettroniche e non fornisce un quadro transfrontaliero e transettoriale completo per transazioni elettroniche sicure, affidabili e di facile impiego. Il presente regolamento rafforza ed estende l’acquis di tale direttiva.

(4)       L’Agenda digitale europea[14] della Commissione ha individuato nella frammentazione del mercato digitale, nella mancanza di interoperabilità e nell’aumento della criminalità cibernetica i grandi ostacoli al circolo virtuoso dell’economia digitale. Nella sua Relazione 2010 sulla cittadinanza dell’Unione, la Commissione ha ulteriormente sottolineato la necessità di risolvere i principali problemi che impediscono ai cittadini europei di godere dei vantaggi di un mercato unico digitale e di servizi digitali transfrontalieri[15].

(5)       Il Consiglio europeo ha invitato la Commissione a creare un mercato unico digitale entro il 2015[16], a fare rapidi progressi in settori essenziali dell’economia digitale ed a promuovere un mercato unico digitale pienamente integrato[17] favorendo l’impiego transfrontaliero dei servizi online, con particolare riguardo all’agevolazione dell’identificazione e dell’autenticazione elettronica sicura.

(6)       Il Consiglio ha invitato la Commissione a contribuire al mercato unico digitale creando le condizioni adatte per il riconoscimento reciproco transfrontaliero di funzioni essenziali quali l’identificazione elettronica, i documenti elettronici, le firme elettroniche e i servizi elettronici di recapito, nonché per l’interoperabilità dei servizi di eGovermnent in tutta l’Unione europea[18].

(7)       Il Parlamento europeo ha sottolineato l’importanza della sicurezza dei servizi elettronici, in particolare delle firme elettroniche, e della necessità di creare un’infrastruttura pubblica essenziale a livello paneuropeo ed ha invitato la Commissione ad allestire un Portale europeo delle autorità di convalida per garantire l’interoperabilità transfrontaliera delle firme elettroniche e per aumentare la sicurezza delle transazioni effettuate utilizzando internet[19].

(8)       La direttiva 2006/123/CE del Parlamento europeo e del Consiglio, del 12 dicembre 2006, relativa ai servizi nel mercato interno[20] dispone che gli Stati membri creino “sportelli unici” per garantire che tutte le procedure e formalità relative all’accesso a un’attività di servizi ed al suo svolgimento possano essere facilmente espletate a distanza ed elettronicamente attraverso lo sportello unico corrispondente e con le autorità competenti. Numerosi servizi online accessibili presso gli sportelli unici richiedono l’identificazione, l’autenticazione e la firma elettroniche.

(9)       In molti casi i prestatori di servizi stabiliti in un altro Stato membro non possono valersi della loro identificazione elettronica per accedere a tali servizi perché i regimi nazionali di identificazione elettronica del loro paese non sono riconosciuti e accettati in altri Stati membri. Si tratta di una barriera elettronica che impedisce ai prestatori di servizi di godere pienamente dei vantaggi del mercato interno. Disporre di mezzi di identificazione elettronica riconosciuti e accettati reciprocamente permetterà di agevolare la fornitura transfrontaliera di numerosi servizi nel mercato interno e consentirà alle imprese di espandersi al di là delle frontiere evitando molti ostacoli nelle interazioni con le autorità pubbliche.

(10)     La direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera[21], istituisce una rete di autorità nazionali responsabili dell’assistenza sanitaria online. Per migliorare la sicurezza e la continuità dell'assistenza sanitaria transfrontaliera, tale rete deve elaborare orientamenti sull’accesso transfrontaliero ai dati e ai servizi elettronici, anche sostenendo "misure comuni di identificazione e autenticazione per agevolare la trasferibilità dei dati nell'assistenza sanitaria transfrontaliera”. Il riconoscimento e l’accettazione reciproci dell’identificazione e dell’autenticazione elettronica sono fattori essenziali per realizzare l’assistenza sanitaria transfrontaliera per i cittadini europei. Quando i cittadini viaggiano per ottenere assistenza medica, la loro cartella clinica deve essere accessibile nel paese in cui si sottopongono alle cure. Ciò richiede un quadro di identificazione elettronica solido, sicuro e affidabile.

(11)     Un obiettivo del presente regolamento è l’eliminazione delle barriere esistenti all’impiego transfrontaliero dei mezzi di identificazione elettronica utilizzati negli Stati membri almeno per l’accesso ai servizi pubblici. Il presente regolamento non intende intervenire sui sistemi di gestione dell’identità elettronica e relative infrastrutture istituiti negli Stati membri. Lo scopo del presente regolamento è garantire che per l’accesso ai servizi online transfrontalieri offerti dagli Stati membri si possa disporre di un’identificazione e un’autenticazione elettronica sicura.

(12)     Occorre che gli Stati membri rimangano liberi di utilizzare o introdurre mezzi propri di accesso ai servizi online, a fini di identificazione, e che possano decidere dell’eventuale partecipazione del settore privato nell’offerta di tali mezzi. È opportuno che gli Stati membri non abbiano l’obbligo di notificare i loro regimi di identificazione elettronica. Spetta agli Stati membri decidere se notificare tutti, alcuni o nessuno dei regimi di identificazione elettronica utilizzati a livello nazionale per l’accesso almeno ai servizi pubblici online o a servizi specifici.

(13)     Occorre che il presente regolamento fissi talune condizioni in merito all’obbligo di accettazione dei mezzi di identificazione elettronica e alle modalità di notifica dei regimi. È opportuno che tali condizioni aiutino gli Stati membri a costruire la necessaria fiducia nei rispettivi regimi di identificazione elettronica e a riconoscere ed accettare reciprocamente i mezzi di identificazione elettronica che fanno parte dei regimi notificati. È opportuno che il principio del riconoscimento e dell’accettazione reciproci si applichi ove lo Stato membro notificante soddisfi le condizioni di notifica e la notifica sia stata pubblicata nella Gazzetta ufficiale dell’Unione europea. Tuttavia, occorre che l’accesso a tali servizi online e la loro fornitura finale al richiedente siano strettamente collegati al diritto ad usufruire di tali servizi alle condizioni stipulate dalla normativa nazionale.

(14)     Occorre che gli Stati membri possano decidere di coinvolgere il settore privato nell’emissione dei mezzi di identificazione elettronica e di consentire al settore privato l’impiego di mezzi di identificazione elettronica nell’ambito di un regime notificato a fini di identificazione ove necessario per servizi online o transazioni elettroniche. La facoltà di ricorrere a tali mezzi di identificazione elettronica consentirebbe al settore privato di avvalersi dell’identificazione e autenticazione elettroniche già ampiamente impiegate in molti Stati membri almeno per i servizi pubblici e di agevolare alle imprese e ai cittadini l’accesso transfrontaliero ai loro servizi online. Per facilitare l’impiego transfrontaliero di tali mezzi di identificazione elettronica da parte del settore privato, occorre che la possibilità di autenticazione offerta dagli Stati membri sia disponibile alle parti facenti affidamento sulla certificazione senza discriminare fra il settore pubblico e il settore privato.

(15)     L’impiego transfrontaliero di mezzi di identificazione elettronica nell’ambito di un regime notificato richiede che gli Stati membri collaborino nella fornitura dell’interoperabilità tecnica. Ciò esclude qualsiasi norma tecnica nazionale che imponga a soggetti di altri paesi, per esempio, di procurarsi specifici hardware o software per verificare e convalidare l’identificazione elettronica notificata. D’altro canto, è inevitabile l’imposizione di requisiti tecnici agli utilizzatori, derivanti dalle specifiche proprie del token utilizzato (p. es. smart card).

(16)     È opportuno che la cooperazione fra gli Stati membri sia funzionale all’interoperabilità tecnica dei regimi di identificazione elettronica notificati, al fine di promuovere un elevato livello di fiducia e sicurezza, in funzione del grado di rischio. Occorre che lo scambio di informazioni e la condivisione delle migliori pratiche fra Stati membri, finalizzati al riconoscimento reciproco dei regimi, facilitino tale cooperazione.

(17)     È anche opportuno che il presente regolamento istituisca un quadro giuridico generale per l’impiego dei servizi fiduciari elettronici. Tuttavia, non è opportuno che istituisca un obbligo generale di farne uso. In particolare, non è auspicabile che il regolamento copra la prestazione di servizi sulla base di accordi volontari di diritto privato, né aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici nei casi in cui la normativa nazionale o unionale preveda obblighi quanto alla forma.

(18)     Al fine di contribuire all’impiego transfrontaliero generale di servizi fiduciari elettronici, è opportuno che sia possibile presentarli come prove in procedimenti giudiziali in tutti gli Stati membri.

(19)     È opportuno che gli Stati membri mantengano la libertà di definire altri tipi di servizi fiduciari oltre a quelli inseriti nell’elenco ristretto di servizi fiduciari di cui al presente regolamento, ai fini del loro riconoscimento a livello nazionale quali servizi fiduciari qualificati.

(20)     In considerazione del ritmo dei mutamenti tecnologici, occorre che il presente regolamento adotti un approccio aperto alle innovazioni.

(21)     Occorre che il presente regolamento sia neutrale sotto il profilo tecnologico. È auspicabile che gli effetti giuridici prodotti dal presente regolamento siano ottenibili mediante qualsiasi modalità tecnica, purché siano soddisfatti i requisiti da esso previsti.

(22)     Al fine di migliorare la fiducia dei cittadini nel mercato interno e di promuovere l’impiego dei servizi e prodotti fiduciari, è opportuno introdurre le nozioni di servizi fiduciari qualificati e di prestatori di servizi fiduciari qualificati, per precisare i requisiti e gli obblighi volti a garantire un elevato livello di sicurezza di tutti i servizi e prodotti fiduciari qualificati impiegati o prestati.

(23)     In linea con gli obblighi assunti a norma della Convenzione ONU per i diritti delle persone con disabilità, entrata in vigore nell’Unione, occorre garantire che le persone con disabilità possano utilizzare servizi fiduciari e prodotti destinati al consumatore finale impiegati nella prestazione di tali servizi alle stesse condizioni degli altri consumatori.

(24)     Un prestatore di servizi fiduciari è responsabile del trattamento di dati personali e come tale deve adempiere agli obblighi di cui alla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati[22]. In particolare, è necessario ridurre al minimo possibile la raccolta di dati, tenendo conto dello scopo del servizio prestato.

(25)     È opportuno che gli organismi di vigilanza collaborino e scambino informazioni con le autorità di protezione dei dati per garantire l’applicazione corretta della normativa sulla protezione dei dati da parte dei prestatori di servizi. In particolare, è auspicabile che lo scambio di informazioni copra gli incidenti di sicurezza e le violazioni dei dati personali.

(26)     Occorre che tutti i prestatori di servizi fiduciari adottino buone pratiche di sicurezza in funzione dei rischi connessi con le loro attività, in modo da migliorare la fiducia degli utilizzatori nel mercato unico.

(27)     È opportuno che le disposizioni sull'uso degli pseudonimi nei certificati non impediscano agli Stati membri di chiedere l'identificazione delle persone in base alla normativa unionale o nazionale.

(28)     È necessario che tutti gli Stati membri si adeguino a requisiti essenziali comuni di vigilanza per garantire un livello paragonabile di sicurezza dei servizi fiduciari qualificati. Per facilitare l’applicazione coerente dei requisiti in tutta l’Unione è opportuno che gli Stati membri adottino procedure paragonabili e scambino informazioni sulle loro attività di vigilanza e sulle migliori pratiche del settore.

(29)     La notifica delle violazioni di sicurezza e delle valutazioni di rischio per la sicurezza è essenziale per fornire informazioni adeguate alle parti interessate in caso di violazione di sicurezza o perdita di integrità.

(30)     Per consentire alla Commissione e agli Stati membri di valutare l’efficacia del meccanismo di notifica delle violazioni di cui al presente regolamento, è opportuno fare obbligo agli organismi di vigilanza di fornire informazioni riassuntive alla Commissione e all’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA).

(31)     Per consentire alla Commissione e agli Stati membri di valutare l’impatto del presente regolamento, è opportuno che gli organismi di vigilanza abbiano l’obbligo di fornire statistiche sui servizi fiduciari qualificati e sulla loro utilizzazione.

(32)     Per consentire alla Commissione e agli Stati membri di valutare l’efficacia del meccanismo di vigilanza perfezionato di cui al presente regolamento, è opportuno richiedere agli organismi di vigilanza di riferire sulle loro attività. Ciò servirebbe ad agevolare lo scambio di buone pratiche fra organismi di vigilanza e consentirebbe di verificare l’applicazione coerente ed efficiente dei requisiti essenziali di vigilanza in tutti gli Stati membri.

(33)     Per garantire che i servizi fiduciari qualificati siano sostenibili e duraturi e migliorare la fiducia degli utilizzatori nella continuità di detti servizi, è opportuno che gli organismi di vigilanza garantiscano la conservazione dei dati dei prestatori di servizi fiduciari qualificati e li mantengano accessibili per un periodo di tempo appropriato, anche in caso di cessazione delle attività di un prestatore di servizi fiduciari qualificato.

(34)     Per facilitare la vigilanza sui prestatori di servizi fiduciari qualificati, ad esempio allorché un prestatore offre i suoi servizi sul territorio di uno Stato membro in cui non è soggetto a vigilanza o qualora i computer di un prestatore siano situati nel territorio di uno Stato membro diverso da quello in cui il prestatore è stabilito, è opportuno istituire un sistema di assistenza mutua fra gli organismi di vigilanza negli Stati membri.

(35)     Spetta ai prestatori di servizi fiduciari adempiere agli obblighi disposti dal presente regolamento per l’offerta di servizi fiduciari, in particolare per i servizi fiduciari qualificati. Gli organismi di vigilanza hanno la responsabilità di sorvegliare le modalità con cui i prestatori di servizi fiduciari adempiono a tali obblighi.

(36)     Per consentire un processo di avviamento efficiente, che conduca all’inclusione dei prestatori di servizi fiduciari qualificati e dei servizi fiduciari qualificati da essi offerti negli elenchi di fiducia, è opportuno incoraggiare interazioni preliminari fra gli aspiranti prestatori di servizi fiduciari qualificati e l’organismo di vigilanza competente, in vista di facilitare l’esercizio della dovuta diligenza nell'offerta di servizi fiduciari qualificati.

(37)     Gli elenchi di fiducia sono elementi essenziali per costruire la fiducia fra operatori di mercato perché indicano la condizione qualificata del prestatore di servizi al momento della vigilanza, ma non sono un requisito indispensabile per acquisire lo status di prestatore qualificato e offrire servizi fiduciari qualificati che derivano dall'osservanza delle disposizioni del presente regolamento.

(38)     Dopo essere stato oggetto di notifica, un servizio fiduciario qualificato non può essere rifiutato per l’espletamento di un procedimento o di una formalità amministrativa da parte dell’ente pubblico interessato per il fatto di non figurare in uno degli elenchi di fiducia elaborati dagli Stati membri. A tal fine, per ente pubblico si intende qualsiasi autorità pubblica o altra entità incaricata della fornitura di servizi di eGovernment quali dichiarazione fiscale online, richiesta di certificati di nascita, partecipazione ad appalti pubblici online, ecc.

(39)     Sebbene sia necessario un elevato livello di sicurezza per garantire il riconoscimento reciproco delle firme elettroniche, in casi specifici come nel contesto della decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l’uso di procedure per via elettronica mediante gli "sportelli unici” di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi del mercato interno[23], è opportuno che siano accettate anche firme elettroniche con una garanzia di sicurezza più debole.

(40)     È auspicabile che il firmatario possa affidare a terzi i dispositivi per la creazione di una firma elettronica qualificata, purché siano rispettati appropriati meccanismi e procedure per garantire che il firmatario mantenga il controllo esclusivo sull’uso dei suoi dati di creazione di firma elettronica e l’uso del dispositivo soddisfi i requisiti della firma elettronica.

(41)     Per garantire la certezza giuridica della validità della firma, è essenziale dettagliare quali componenti di una firma elettronica qualificata debbano essere valutati dalla parte facente affidamento sulla certificazione che effettua la convalida. Inoltre, è opportuno che attraverso la definizione degli obblighi dei prestatori di servizi fiduciari qualificati che possono offrire un servizio di convalida qualificata a parti facenti affidamento sulla certificazione che non vogliono o non possono effettuare esse stesse la convalida di firme elettroniche qualificate siano stimolati gli investimenti del settore privato o pubblico in tali servizi. È auspicabile che entrambi gli elementi rendano la convalida delle firme elettroniche qualificate semplice e agevole per tutte le parti a livello dell’Unione.

(42)     Qualora una transazione richieda un sigillo elettronico qualificato di una persona giuridica, è opportuno che sia accettabile anche la firma elettronica qualificata del rappresentante autorizzato della persona giuridica.

(43)     È opportuno che i sigilli elettronici fungano da prova dell’emissione di un documento elettronico da parte di una determinata persona giuridica, dando la certezza dell’origine e dell’integrità del documento stesso.

(44)     È opportuno che il presente regolamento garantisca la conservazione a lungo termine delle informazioni, ovvero la validità giuridica delle firme elettroniche e dei sigilli elettronici nel lungo periodo, assicurando che possano essere convalidati indipendentemente da futuri mutamenti tecnologici.

(45)     Per migliorare l’impiego transfrontaliero dei documenti elettronici, è opportuno che il presente regolamento disponga che i documenti elettronici generino effetti giuridici e siano considerati di pari valore ai documenti cartacei, in funzione della valutazione del rischio e purché ne siano garantite l'autenticità e l'integrità. È anche importante, per l’evoluzione futura delle transazioni elettroniche transfrontaliere nel mercato interno, che i documenti elettronici originali, o copie autenticate degli stessi, rilasciati da organi competenti in uno Stato membro in osservanza della normativa nazionale vigente siano accettati come tali anche negli altri Stati membri. È opportuno che il presente regolamento lasci impregiudicato il diritto degli Stati membri di determinare ciò che costituisce un originale o una copia a livello nazionale ma garantisca che essi possano essere utilizzati come tali anche in altri Stati membri.

(46)     Poiché attualmente le autorità competenti negli Stati membri utilizzano formati diversi di firme elettroniche avanzate per firmare elettronicamente i loro documenti, occorre garantire che almeno alcuni formati di firma elettronica possano essere supportati tecnicamente dagli Stati membri allorché ricevono documenti firmati elettronicamente. Analogamente, allorché le autorità competenti negli Stati membri fanno uso di sigilli elettronici, occorre garantire che supportino almeno alcuni formati di sigillo elettronico avanzato.

(47)     Oltre ad autenticare il documento rilasciato dalla persona giuridica, i sigilli elettronici possono anche servire ad autenticare qualsiasi bene digitale della persona giuridica stessa, quali codici di software o server.

(48)     Rendendo possibile l’autenticazione dei siti web e dei loro proprietari diventerebbe più difficile falsificarli e si ridurrebbero le frodi.

(49)     Per completare determinati aspetti tecnici dettagliati del presente regolamento in modo flessibile e veloce, occorre delegare alla Commissione il potere di adottare atti, ai sensi dell’articolo 290 del trattato sul funzionamento dell’Unione europea, riguardo all’interoperabilità dell’identificazione elettronica, alle misure di sicurezza obbligatorie per i prestatori di servizi fiduciari, agli organismi indipendenti riconosciuti responsabili della verifica dei prestatori di servizi, agli elenchi di fiducia, ai requisiti relativi ai livelli di sicurezza delle firme elettroniche, ai requisiti relativi ai certificati qualificati per le firme elettroniche e alla loro convalida e conservazione, agli organismi responsabili della certificazione dei dispositivi per la creazione di una firma elettronica qualificata, ai requisiti relativi ai livelli di sicurezza dei sigilli elettronici e ai certificati qualificati per i sigilli elettronici, all'interoperabilità fra servizi di recapito. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche presso esperti.

(50)     Nel contesto della preparazione e della stesura degli atti delegati, è necessario che la Commissione garantisca la trasmissione corretta, tempestiva e simultanea dei documenti pertinenti al Parlamento europeo e al Consiglio.

(51)     Per garantire condizioni uniformi di attuazione del presente regolamento, occorre attribuire alla Commissione competenze di esecuzione, in particolare per specificare i numeri di riferimento delle norme il cui impiego conferisce una presunzione di adempimento di determinati requisiti di cui al presente regolamento o definiti negli atti delegati. Occorre che tali competenze siano esercitate conformemente alle disposizioni del regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione[24].

(52)     Per motivi di certezza del diritto e di chiarezza occorre abrogare la direttiva 1999/93/CE.

(53)     Per assicurare la certezza giuridica agli operatori di mercato che già fanno uso di certificati qualificati rilasciati a norma della direttiva 1999/93/CE, è necessario prevedere un idoneo periodo transitorio. È altresì necessario dotare la Commissione dei mezzi per adottare atti di esecuzione e atti delegati prima di tale data.

(54)     Poiché gli obiettivi del presente regolamento non possono essere conseguiti in misura sufficiente dagli Stati membri e possono dunque, a motivo della portata dell’azione, essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo, segnatamente per quanto attiene al ruolo della Commissione di coordinatrice delle attività nazionali,

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

1. Il presente regolamento stabilisce le norme per l’identificazione elettronica e i servizi fiduciari elettronici per le transazioni elettroniche, allo scopo di garantire il buon funzionamento del mercato interno.

2. Il presente regolamento fissa le condizioni a cui gli Stati membri riconoscono e accettano i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano in un regime notificato di identificazione elettronica di un altro Stato membro.

3. Il presente regolamento istituisce un quadro giuridico per le firme elettroniche, i sigilli elettronici, la validazione temporale elettronica, i documenti elettronici, i servizi elettronici di recapito e l’autenticazione dei siti web.

4. Il presente regolamento garantisce che i servizi e prodotti fiduciari ad esso conformi sono autorizzati a circolare liberamente nel mercato interno.

Articolo 2

Campo di applicazione

1. Il presente regolamento si applica all’identificazione elettronica fornita dagli Stati membri o a loro nome o sotto la loro responsabilità, nonché ai prestatori di servizi fiduciari stabiliti nell’Unione.

2. Il presente regolamento non si applica alla prestazione di servizi fiduciari elettronici sulla base di accordi volontari di diritto privato.

3. Il presente regolamento non si applica agli aspetti legati alla conclusione e alla validità di contratti o di altri vincoli giuridici per i quali la normativa nazionale o unionale prevedano obblighi formali.

Articolo 3

Definizioni

Ai fini del presente regolamento si intende per:

1) “identificazione elettronica”, il processo per cui si fa uso di dati di identificazione personale in forma elettronica per rappresentare in modo univoco una persona fisica o giuridica;

2) “mezzi di identificazione elettronica”, un’unità materiale o immateriale contenente dati di cui al punto 1 del presente articolo, utilizzata per accedere ai servizi online di cui all’articolo 5;

3) “regime di identificazione elettronica”, un sistema di identificazione elettronica per cui si forniscono mezzi di identificazione elettronica a persone di cui al punto 1 del presente articolo;

4) “autenticazione”, un processo elettronico che consente di convalidare l’identificazione elettronica di una persona fisica o giuridica; oppure l’origine e l’integrità di dati elettronici;

5) “firmatario”, una persona fisica che crea una firma elettronica;

6) "firma elettronica", dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata dal firmatario per firmare;

7) "firma elettronica avanzata", una firma elettronica che soddisfi i seguenti requisiti:

(a) è connessa esclusivamente al firmatario;

(b) è idonea ad identificare il firmatario;

(c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e

(d) è collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati;

8) “firma elettronica qualificata”, una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche;

9) “dati per la creazione di una firma elettronica”, i dati unici utilizzati dal firmatario per creare una firma elettronica;

10) “certificato”, un attestato elettronico che collega al certificato i dati di convalida di una firma elettronica o di un sigillo elettronico di una persona fisica o giuridica, rispettivamente, e conferma i dati di detta persona;

11) “certificato qualificato di firma elettronica”, un attestato utilizzato a sostegno delle firme elettroniche, rilasciato da un prestatore di servizi fiduciari qualificato e conforme ai requisiti di cui all'allegato I;

12) “servizio fiduciario”, qualsiasi servizio elettronico che consiste nella creazione, verifica, convalida, nel trattamento e nella conservazione di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, servizi elettronici di recapito, autenticazione di siti web e certificati elettronici, compresi i certificati di firma elettronica e di sigillo elettronico;

13) “servizio fiduciario qualificato”, un servizio fiduciario che soddisfa i requisiti pertinenti di cui al presente regolamento;

14) “prestatore di servizi fiduciari”, una persona fisica o giuridica che presta uno o più servizi fiduciari;

15) “prestatore di servizi fiduciari qualificato”, un prestatore di servizi fiduciari che soddisfa i requisiti di cui al presente regolamento;

16) “prodotto”, un hardware o software o i suoi componenti, destinati ad essere utilizzati per la prestazione di servizi fiduciari;

17) “dispositivo per la creazione di una firma elettronica”, un software o hardware configurato utilizzato per creare una firma elettronica;

18) "dispositivo per la creazione di una firma elettronica qualificata", un dispositivo per la creazione di una firma elettronica che soddisfa i requisiti di cui all'allegato II;

19) “creatore di un sigillo”, una persona giuridica che crea un sigillo elettronico;

20) "sigillo elettronico", dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici per garantire l’origine e l’integrità dei dati associati;

21) "sigillo elettronico avanzato", un sigillo elettronico che soddisfi i seguenti requisiti:

(a) è connesso in maniera unica al creatore del sigillo;

(b) è idoneo a identificare il creatore del sigillo;

(c) è creato mediante dati per la creazione di un sigillo elettronico che il creatore del sigillo elettronico può, con un elevato livello di sicurezza, utilizzare sotto il proprio controllo per creare sigilli elettronici; e

(d) è collegato ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati;

22) “sigillo elettronico qualificato”, un sigillo elettronico avanzato, creato da un dispositivo per la creazione di un sigillo elettronico qualificato e basato su un certificato qualificato per sigilli elettronici;

23) “dati per la creazione di un sigillo elettronico”, i dati unici utilizzati dal creatore del sigillo elettronico per creare un sigillo elettronico;

24) “certificato qualificato di sigillo elettronico”, un attestato utilizzato a sostegno di un sigillo elettronico, rilasciato da un prestatore di servizi fiduciari qualificato e conforme ai requisiti di cui all'allegato III;

25) “validazione temporale elettronica”, dati in forma elettronica che collegano altri dati elettronici ad una particolare ora e data, così da provare che tali dati esistevano in quel momento;

26) “validazione temporale elettronica qualificata”, una validazione temporale elettronica che soddisfa i requisiti di cui all’articolo 33;

27) “documento elettronico”, un documento in formato elettronico;

28) “servizio elettronico di recapito”, un servizio che consente la trasmissione di dati per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto, danni o di modifiche non autorizzate;

29) “servizio elettronico di recapito qualificato”, un servizio elettronico di recapito che soddisfa i requisiti di cui all’articolo 36;

30) “certificato qualificato di autenticazione di sito web”, un attestato che consente di autenticare un sito web e collega il sito alla persona a cui il certificato è rilasciato; il certificato è rilasciato da un prestatore di servizi fiduciari qualificato e soddisfa i requisiti di cui all’allegato IV;

31) “dati di convalida”, dati utilizzati per convalidare una firma elettronica o un sigillo elettronico.

Articolo 4

Principio del mercato interno

1. Non sono imposte restrizioni alla prestazione di servizi fiduciari nel territorio di uno Stato membro da parte di un prestatore di servizi fiduciari stabilito in un altro Stato membro per motivi che rientrano negli ambiti di applicazione del presente regolamento.

2. I prodotti conformi al presente regolamento godono della libera circolazione nel mercato interno.

CAPO II

IDENTIFICAZIONE ELETTRONICA

Articolo 5

Riconoscimento e accettazione reciproci

Ove la normativa nazionale o la prassi amministrativa richiedano l’impiego di un’identificazione elettronica mediante mezzi di identificazione e autenticazione elettronica per accedere ad un servizio online, ogni mezzo di identificazione elettronica rilasciato in un altro Stato membro e che rientri in un regime compreso nell’elenco pubblicato dalla Commissione conformemente alla procedura di cui all’articolo 7 è riconosciuto e accettato ai fini dell’accesso a detto servizio.

Articolo 6

Condizioni di notifica dei regimi di identificazione elettronica

1. Un regime di identificazione elettronica è ammesso alla notifica ai sensi dell’articolo 7 se soddisfa tutte le seguenti condizioni:

(a) i mezzi di identificazione elettronica sono rilasciati dallo Stato membro notificante oppure a suo nome o sotto la sua responsabilità;

(b) i mezzi di identificazione elettronica possono essere utilizzati per accedere almeno ai servizi pubblici che richiedono l’identificazione elettronica nello Stato membro notificante;

(c) lo Stato membro notificante garantisce che i dati di identificazione personale siano attribuiti univocamente alla persona fisica o giuridica di cui all’articolo 3, punto 1;

(d) lo Stato membro notificante garantisce la disponibilità di una possibilità di autenticazione online, in qualsiasi momento e a titolo gratuito, per consentire agli utilizzatori di convalidare i dati di identificazione personale che hanno ricevuto in forma elettronica. Gli Stati membri non impongono alcun requisito tecnico specifico alle parti facenti affidamento sulla certificazione stabilite fuori del loro territorio che intendono effettuare tale autenticazione. In caso di violazione o parziale compromissione del regime di identificazione notificato o della possibilità di autenticazione, gli Stati membri sospendono o revocano senza indugio il regime di identificazione notificato o la possibilità di autenticazione o le loro parti compromesse e ne informano gli altri Stati membri e la Commissione ai sensi dell’articolo 7;

(e) lo Stato membro notificante è giuridicamente responsabile:

– i) dell’attribuzione univoca dei dati di identificazione personale di cui alla lettera c) e

– ii) della possibilità di autenticazione di cui alla lettera d).

2. La lettera e) del paragrafo 1 lascia impregiudicata la responsabilità delle parti di una transazione in cui sono utilizzati mezzi di identificazione elettronica che rientrano nel regime notificato.

Articolo 7

Notifica

1. Gli Stati membri che notificano un regime di identificazione elettronica inoltrano alla Commissione le informazioni seguenti e, senza indugio, qualsiasi successiva modifica:

(a) una descrizione del regime di identificazione elettronica notificato;

(b) le autorità responsabili del regime di identificazione elettronica notificato;

(c) informazioni su chi gestisce la registrazione degli identificatori personali univoci;

(d) una descrizione della possibilità di autenticazione;

(e) disposizioni per la sospensione o la revoca del regime di identificazione notificato o della possibilità di autenticazione o di parti compromesse dell’uno o dell’altra.

2. Sei mesi dopo l’entrata in vigore del regolamento, la Commissione pubblica nella Gazzetta ufficiale dell’Unione europea l’elenco dei regimi di identificazione elettronica notificati ai sensi del paragrafo 1 e le relative informazioni principali.

3. Se la Commissione riceve una notifica dopo la fine del periodo di cui al paragrafo 2, aggiorna l’elenco entro tre mesi.

4. La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure della notifica di cui ai paragrafi 1 e 3. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 8

Coordinamento

1. Gli Stati membri collaborano fra loro per garantire l’interoperabilità dei mezzi di identificazione elettronica che rientrano in un regime notificato e per promuoverne la sicurezza.

2. La Commissione, mediante atti di esecuzione, fissa le modalità necessarie per facilitare la collaborazione fra gli Stati membri di cui al paragrafo 1, al fine di promuovere un elevato livello di fiducia e di sicurezza, commisurato al grado di rischio esistente. Detti atti di esecuzione riguardano, in particolare, lo scambio di informazioni, di esperienze e di buone pratiche in materia di regimi di identificazione elettronica, la valutazione tra pari dei regimi di identificazione elettronica notificati e l’esame di sviluppi pertinenti verificatisi nel settore dell’identificazione elettronica da parte delle autorità competenti degli Stati membri. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

3. La Commissione ha il potere di adottare atti delegati a norma dell’articolo 38 riguardo all'agevolazione dell’interoperabilità transfrontaliera dei mezzi di identificazione elettronica, fissando requisiti tecnici minimi.

CAPO III

SERVIZI FIDUCIARI

Sezione 1

Disposizioni generali

Articolo 9

Responsabilità

1. I prestatori di servizi fiduciari sono responsabili di qualsiasi danno diretto causato a qualsiasi persona fisica o giuridica in seguito al mancato adempimento degli obblighi di cui all’articolo 15, paragrafo 1, salvo se possono dimostrare di non aver agito con negligenza.

2. I prestatori di servizi fiduciari qualificati sono responsabili di qualsiasi danno diretto causato a qualsiasi persona fisica o giuridica in seguito al mancato adempimento degli obblighi di cui al presente regolamento, in particolare all’articolo 19, salvo se possono dimostrare di non aver agito con negligenza.

Articolo 10

Prestatori di servizi fiduciari di paesi terzi

1. I servizi fiduciari qualificati e i certificati qualificati forniti da prestatori di servizi fiduciari qualificati stabiliti in un paese terzo sono accettati quali servizi fiduciari qualificati e certificati qualificati forniti da prestatori di servizi fiduciari qualificati stabiliti nel territorio dell’Unione purché i servizi fiduciari qualificati o i certificati qualificati aventi origine nel paese terzo siano riconosciuti a norma di un accordo fra l’Unione e paesi terzi od organizzazioni internazionali in conformità all’articolo 218 del TFUE.

2. In relazione al paragrafo 1, tali accordi garantiscono che i requisiti che si applicano ai servizi fiduciari qualificati e ai certificati qualificati forniti da prestatori di servizi fiduciari qualificati stabiliti nel territorio dell’Unione siano soddisfatti dai prestatori di servizi fiduciari nei paesi terzi o presso le organizzazioni internazionali, in particolare per quanto riguarda la protezione dei dati personali, la sicurezza e la vigilanza.

Articolo 11

Trattamento e protezione dei dati

1. I prestatori di servizi fiduciari e gli organismi di vigilanza garantiscono un trattamento dei dati personali leale e lecito ai sensi della direttiva 95/46/CE.

2. I prestatori di servizi fiduciari trattano i dati personali in conformità alla direttiva 95/46/CE. Il trattamento si limita rigorosamente ai dati minimi necessari per rilasciare e conservare un certificato o per prestare un servizio fiduciario.

3. I prestatori di servizi fiduciari garantiscono la riservatezza e l’integrità dei dati riferiti alla persona a cui il servizio fiduciario viene prestato.

4. Fatti salvi gli effetti giuridici che la legislazione nazionale attribuisce agli pseudonimi, gli Stati membri non vietano al prestatore di servizi fiduciari di riportare sui certificati di firma elettronica uno pseudonimo in luogo del nome del firmatario.

Articolo 12

Accessibilità per le persone con disabilità

I servizi fiduciari prestati e i prodotti destinati all’utilizzatore finale impiegati per la prestazione di detti servizi sono resi accessibili alle persone con disabilità in tutti i casi in cui ciò è possibile.

Sezione 2

Vigilanza

Articolo 13

Organismo di vigilanza

1. Gli Stati membri designano un organismo appropriato stabilito nel loro territorio o, di comune accordo, in un altro Stato membro sotto la responsabilità dello Stato membro designante. Agli organismi di vigilanza sono conferiti tutti i poteri di vigilanza e di indagine necessari per l’esercizio dei loro compiti.

2. L’organismo di vigilanza è responsabile dell’esecuzione dei seguenti compiti:

(a) monitorare i prestatori di servizi fiduciari stabiliti nel territorio dello Stato membro designante per assicurarsi che soddisfino i requisiti di cui all’articolo 15;

(b) svolgere la vigilanza dei prestatori di servizi fiduciari qualificati stabiliti nel territorio dello Stato membro designante e dei servizi fiduciari qualificati da essi prestati per assicurarsi che essi e i servizi fiduciari qualificati da essi prestati soddisfino i requisiti pertinenti stabiliti dal presente regolamento:

(c) assicurare che le informazioni e dati pertinenti di cui all’articolo 19, paragrafo 2, lettera g), registrati da prestatori di servizi fiduciari qualificati, siano conservati e mantenuti accessibili dopo la cessazione delle attività di un prestatore di servizi fiduciari qualificato, per un periodo di tempo appropriato onde garantire la continuità del servizio.

3. Ciascun organismo di vigilanza presenta alla Commissione e agli Stati membri una relazione annuale sulle attività di vigilanza svolte nell’ultimo anno civile, entro la fine del primo trimestre dell’anno successivo. La relazione comprende almeno:

(a) informazioni sulle attività di vigilanza;

(b) una sintesi delle notifiche di violazione ricevute da prestatori di servizi fiduciari a norma dell’articolo 15, paragrafo 2;

(c) statistiche sul mercato e sull’uso dei servizi fiduciari qualificati, comprese informazioni sui prestatori di servizi fiduciari qualificati, sui servizi fiduciari qualificati che essi prestano, sui prodotti che utilizzano e la descrizione generale dei loro clienti.

4. Gli Stati membri notificano alla Commissione e agli altri Stati membri i nomi e gli indirizzi dei rispettivi organismi di vigilanza designati.

5. La Commissione ha il potere di adottare atti delegati a norma dell'articolo 38 con riguardo alla definizione delle procedure applicabili ai compiti di cui al paragrafo 2.

6. La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure della relazione di cui al paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 14

Assistenza reciproca

1. Gli organismi di vigilanza collaborano fra loro al fine di scambiarsi buone pratiche e trasmettersi vicendevolmente, con la massima celerità, informazioni pertinenti e assistenza reciproca per poter svolgere le attività in modo coerente. L’assistenza reciproca copre, in particolare, le richieste di informazioni e le misure di vigilanza, quali richieste di svolgere ispezioni in connessione con verifiche di sicurezza di cui agli articoli 15, 16 e 17.

2. L’organismo di vigilanza cui è presentata una richiesta di assistenza non può rifiutare di darvi seguito, salvo che:

(a) non sia competente per trattarla, oppure

(b) l’intervento richiesto sia incompatibile con il presente regolamento.

3. Ove appropriato, gli organismi di vigilanza possono svolgere indagini congiunte con la partecipazione di membri del personale di organismi di vigilanza di altri Stati membri.

L'organismo di vigilanza dello Stato membro in cui si svolgerà l’indagine può, conformemente al proprio ordinamento nazionale, delegare compiti investigativi al personale dell’organismo di vigilanza assistito. Tali poteri possono essere esercitati solamente sotto la guida e in presenza del personale dell’organismo di vigilanza ospitante. Il personale dell'organismo di vigilanza assistito è soggetto alla legislazione nazionale dell’organismo di vigilanza ospitante. L’organismo di vigilanza ospitante assume la responsabilità delle azioni del personale dell’organismo di vigilanza assistito.

4. La Commissione può, mediante atti di esecuzione, specificare le modalità e le procedure dell'assistenza reciproca di cui al presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 15

Requisiti di sicurezza relativi ai prestatori di servizi fiduciari

1. I prestatori di servizi fiduciari stabiliti nel territorio dell’Unione adottano le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati. Tenuto conto delle attuali conoscenze in materia, dette misure assicurano un livello di sicurezza commisurato al grado di rischio esistente. In particolare, sono adottate misure per prevenire e minimizzare l’impatto degli incidenti di sicurezza e le parti interessate sono informate degli effetti negativi di eventuali incidenti.

Fatto salvo l’articolo 16, paragrafo 1, il prestatore di servizi fiduciari può presentare all’organismo di vigilanza la relazione di una verifica di sicurezza svolta da un organismo indipendente riconosciuto, per confermare l'avvenuta adozione di misure di sicurezza appropriate.

2. I prestatori di servizi fiduciari notificano all’organismo di vigilanza competente, all’organismo nazionale competente per la sicurezza dell’informazione e ad altre parti interessate quali le autorità di protezione dei dati, senza indugio e ove possibile entro 24 ore dall’esserne venuti a conoscenza, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati e sui dati personali ivi custoditi.

Ove appropriato, in particolare qualora la violazione di sicurezza o la perdita di integrità riguardi due o più Stati membri, l’organismo di vigilanza interessato ne informa gli organismi di vigilanza negli altri Stati membri e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA).

L’organismo di vigilanza interessato può anche informare il pubblico o imporre al prestatore di servizi fiduciari di farlo, ove accerti che la divulgazione della violazione sia nell’interesse pubblico.

3. L’organismo di vigilanza trasmette all’ENISA e alla Commissione, una volta all’anno, una sintesi delle notifiche di violazione pervenute dai prestatori di servizi fiduciari.

4. Al fine dell’attuazione dei paragrafi 1 e 2, l’organismo di vigilanza competente ha la facoltà di diramare istruzioni vincolanti ai prestatori di servizi fiduciari.

5. La Commissione ha il potere di adottare atti delegati a norma dell'articolo 38 con riguardo all’ulteriore specificazione delle misure di cui al paragrafo 1.

6. La Commissione può, mediante atti di esecuzione, definire le circostanze, le modalità e le procedure, comprese le scadenze, applicabili ai fini dei paragrafi da 1 a 3. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 16

Vigilanza dei prestatori di servizi fiduciari qualificati

1. I prestatori di servizi fiduciari qualificati sono sottoposti una volta all’anno ad una verifica da parte di un organismo indipendente riconosciuto, per confermare che essi e i servizi fiduciari qualificati da essi prestati soddisfano i requisiti di cui al presente regolamento, e presentano la relazione di verifica di sicurezza all’organismo di vigilanza.

2. Fatto salvo il paragrafo 1, l’organismo di vigilanza può in qualsiasi momento, su iniziativa propria o in risposta ad una richiesta della Commissione, condurre una verifica dei prestatori di servizi fiduciari qualificati per confermare che essi e i servizi fiduciari qualificati da essi prestati continuano a soddisfare le condizioni di cui al presente regolamento. L’organismo di vigilanza comunica alle autorità di protezione dei dati i risultati delle verifiche effettuate nei casi in cui siano state rilevate violazioni delle norme di protezione dei dati personali.

3. L’organismo di vigilanza ha la facoltà di diramare istruzioni vincolanti ai prestatori di servizi fiduciari qualificati per ingiungere che rimedino a qualsiasi mancato adempimento rilevato nella relazione di verifica di sicurezza.

4. Con riferimento al paragrafo 3, se il prestatore di servizi fiduciari qualificato non rimedia a un siffatto mancato adempimento entro un limite di tempo stabilito dall’organismo di vigilanza, esso perde la propria qualifica e l’organismo di vigilanza gli comunica che la sua situazione sarà modificata di conseguenza negli elenchi di fiducia di cui all'articolo 18.

5. La Commissione ha il potere di adottare atti delegati a norma dell’articolo 38 con riguardo alla specificazione delle condizioni per il riconoscimento dell’organismo indipendente che conduce la verifica di cui al paragrafo 1 del presente articolo, all'articolo 15, paragrafo 1, e all'articolo 17, paragrafo 1.

6. La Commissione può, mediante atti di esecuzione, definire le circostanze, le procedure e le modalità applicabili ai fini dei paragrafi 1, 2 e 4. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 17

Avviamento di un servizio fiduciario qualificato

1. I prestatori di servizi fiduciari qualificati notificano all’organismo di vigilanza la loro intenzione di iniziare a prestare un servizio fiduciario qualificato e presentano all’organismo di vigilanza una relazione di verifica di sicurezza effettuata da un organismo indipendente riconosciuto, a norma dell’articolo 16, paragrafo 1. I prestatori di servizi fiduciari possono iniziare a prestare il servizio fiduciario qualificato dopo aver presentato la notifica e la relazione di verifica di sicurezza all'organismo di vigilanza.

2. Una volta presentati i documenti richiesti all’organismo di vigilanza a norma del paragrafo 1, i prestatori di servizi qualificati sono inseriti negli elenchi di fiducia di cui all’articolo 18 per indicare l’avvenuta presentazione della notifica.

3. L’organismo di vigilanza verifica che il prestatore di servizi fiduciari qualificato e i servizi fiduciari qualificati da esso prestati soddisfino i requisiti del presente regolamento.

L’organismo di vigilanza registra la qualifica dei prestatori di servizi fiduciari qualificati e dei servizi fiduciari qualificati da essi prestati negli elenchi di fiducia in seguito all’esito positivo della verifica e non oltre un mese dopo l’avvenuta notifica a norma del paragrafo 1.

Se la verifica non si è conclusa entro un mese, l’organismo di vigilanza ne informa il prestatore di servizi fiduciari qualificato specificando i motivi del ritardo e il periodo necessario per concludere la verifica.

4. Un servizio fiduciario qualificato che abbia provveduto alla notifica di cui al paragrafo 1 non può essere rifiutato per l’espletamento di una procedura o formalità amministrativa da parte dell’ente pubblico interessato per il fatto di non essere incluso negli elenchi di cui al paragrafo 3.

5. La Commissione può, mediante atti di esecuzione, definire le circostanze, le modalità e le procedure applicabili ai fini dei paragrafi da 1 a 3. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 18

Elenchi di fiducia

1. Tutti gli Stati membri istituiscono, mantengono e pubblicano elenchi di fiducia con informazioni relative ai prestatori di servizi fiduciari qualificati per i quali sono competenti, unitamente ad informazioni relative ai servizi fiduciari qualificati da essi prestati.

2. Gli Stati membri istituiscono, mantengono e pubblicano, in modo sicuro, elenchi di fiducia di cui al paragrafo 1 firmati o sigillati elettronicamente in una forma adatta al trattamento automatizzato.

3. Gli Stati membri notificano alla Commissione senza indugio informazioni sull’organismo responsabile dell’istituzione, del mantenimento e della pubblicazione degli elenchi nazionali di fiducia precisando dove gli elenchi sono pubblicati e il certificato utilizzato per firmare o sigillare detti elenchi di fiducia e le eventuali modifiche apportate.

4. La Commissione rende pubbliche, attraverso un canale sicuro, le informazioni di cui al paragrafo 3 in forma firmata o sigillata elettronicamente e adatta al trattamento automatizzato.

5. La Commissione ha il potere di adottare atti delegati a norma dell'articolo 38 con riguardo alla definizione delle informazioni di cui al paragrafo 1.

6. La Commissione può, mediante atti di esecuzione, definire le specifiche tecniche e i formati per gli elenchi di fiducia applicabili ai fini dei paragrafi da 1 a 4. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 19

Requisiti per i prestatori di servizi fiduciari qualificati

1. Allorché rilascia un certificato qualificato, un prestatore di servizi fiduciari qualificato verifica, mediante mezzi appropriati e conformemente alla normativa nazionale, l’identità e se del caso eventuali attributi specifici della persona fisica o giuridica a cui il certificato qualificato viene rilasciato.

Tali informazioni sono verificate dal prestatore di servizi qualificato o da un terzo autorizzato che agisce sotto la responsabilità del prestatore di servizi qualificato:

(a) mediante la comparizione fisica della persona fisica o di un rappresentante autorizzato della persona giuridica o

(b) a distanza, mediante mezzi di identificazione elettronica nell’ambito di un regime notificato rilasciati conformemente alla lettera a).

2. I prestatori di servizi fiduciari qualificati che prestano servizi fiduciari qualificati:

(a) impiegano personale dotato delle competenze, dell’esperienza e delle qualifiche necessarie, che applica procedure amministrative e gestionali che corrispondono a standard europei o internazionali ed ha ricevuto formazioni appropriate in materia di sicurezza e di norme di protezione dei dati personali;

(b) si assumono la responsabilità civile per danni mantenendo risorse finanziarie adeguate o attraverso un regime assicurativo di responsabilità civile appropriato;

(c) prima di avviare una relazione contrattuale informano chiunque intenda utilizzare un servizio fiduciario qualificato dei termini e delle condizioni esatte per l'utilizzazione di tale servizio;

(d) utilizzano sistemi affidabili e prodotti protetti da alterazioni e che garantiscono la sicurezza tecnica e l’affidabilità del processo che assicurano;

(e) utilizzano sistemi affidabili per memorizzare i dati ad essi forniti, in modo verificabile affinché:

– siano accessibili alla consultazione del pubblico soltanto con il consenso della persona a cui i dati sono stati rilasciati,

– soltanto le persone autorizzate possano effettuare inserimenti e modifiche;

– l'autenticità delle informazioni sia verificabile;

(f) adottano misure contro le falsificazioni e i furti di dati;

(g) registrano per un congruo periodo di tempo tutte le informazioni pertinenti relative a dati rilasciati e ricevuti dal prestatore di servizi fiduciari qualificato, in particolare a fini di produzione di prove nell’ambito di procedimenti giudiziali. Tali registrazioni possono essere elettroniche;

(h) dispongono di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio conformemente alle disposizioni diramate dall’organismo di vigilanza a norma dell’articolo 13, paragrafo 2, lettera c);

(i) garantiscono il trattamento lecito dei dati personali a norma dell’articolo 11.

3. I prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati registrano nella loro banca dati dei certificati la revoca del certificato entro dieci minuti a decorrere dall’entrata in vigore della revoca.

4. In considerazione del paragrafo 3, i prestatori di servizi fiduciari qualificati che rilasciano certificati qualificati trasmettono alle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o revoca dei certificati qualificati da essi rilasciati. Queste informazioni sono rese disponibili in qualsiasi momento almeno per ogni certificato rilasciato, in modo automatizzato, affidabile, gratuito ed efficiente.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai sistemi e prodotti affidabili. Si presume che i requisiti di cui all’articolo 19 siano stati rispettati ove i sistemi e i prodotti affidabili adempiano a tali norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Sezione 3

Firma elettronica

Articolo 20

Effetti giuridici e accettazione delle firme elettroniche

1. Alla firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.

2. Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa.

3. Le firme elettroniche qualificate sono riconosciute e accettate in tutti gli Stati membri.

4. Ove si richieda una firma elettronica con un livello di garanzia di sicurezza inferiore a quello della firma elettronica qualificata, in particolare per l’accesso a un servizio online offerto da un ente pubblico sulla base di una valutazione appropriata dei rischi che detto servizio comporta, tutte le firme elettroniche che raggiungono almeno lo stesso livello di garanzia di sicurezza sono riconosciute e accettate.

5. Gli Stati membri non richiedono, per l’accesso transfrontaliero a un servizio online offerto da un ente pubblico, una firma elettronica dotata di un livello di garanzia di sicurezza più elevato di quello di una firma elettronica qualificata.

6. La Commissione ha il potere di adottare atti delegati a norma dell'articolo 38 per definire i diversi livelli di sicurezza della firma elettronica di cui al paragrafo 4.

7. La Commissione può, mediante atti di esecuzione, stabilire numeri di riferimento delle norme applicabili ai livelli di sicurezza della firma elettronica. Si presume che il livello di sicurezza definito in un atto delegato adottato ai sensi del paragrafo 6 sia stato rispettato ove una firma elettronica soddisfi dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 21

Certificati qualificati di firma elettronica

1. I certificati qualificati di firma elettronica soddisfano i requisiti di cui all’allegato I.

2. I certificati qualificati di firma elettronica non sono soggetti a requisiti obbligatori oltre ai requisiti di cui all'allegato I.

3. Qualora un certificato qualificato di firma elettronica sia stato revocato dopo l’iniziale attivazione, esso decade completamente della propria validità e la sua situazione non viene ripristinata in nessuna circostanza mediante un rinnovo della validità.

4. La Commissione ha il potere di adottare atti delegati conformemente all'articolo 38 con riguardo all’ulteriore specificazione dei requisiti di cui all'allegato I.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai certificati qualificati di firma elettronica. Si presume che i requisiti di cui all’allegato I siano stati rispettati ove un certificato qualificato di firma elettronica adempia a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 22

Requisiti relativi ai dispositivi per la creazione di una firma elettronica qualificata

1. I dispositivi per la creazione di una firma elettronica qualificata soddisfano i requisiti di cui all’allegato II.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai dispositivi per la creazione di una firma elettronica qualificata. Si presume che i requisiti di cui all’allegato II siano stati rispettati ove un dispositivo per la creazione di una firma elettronica qualificata risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 23

Certificazione dei dispositivi per la creazione di una firma elettronica qualificata

1. I dispositivi per la creazione di una firma elettronica qualificata possono essere certificati da appropriati organismi pubblici o privati designati dagli Stati membri purché siano stati sottoposti a un processo di valutazione di sicurezza condotto conformemente a una delle norme per la valutazione di sicurezza dei prodotti informatici incluse in un elenco da stabilire a cura della Commissione mediante atti di esecuzione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

2. Gli Stati membri notificano alla Commissione e agli altri Stati membri i nomi e gli indirizzi dell’organismo pubblico o privato da essi designato ai sensi del paragrafo 1.

3. La Commissione ha il potere di adottare atti delegati a norma dell'articolo 38 con riguardo alla fissazione di criteri specifici che gli organismi designati ai sensi del paragrafo 1 devono soddisfare.

Articolo 24

Pubblicazione di un elenco di dispositivi per la creazione di una firma elettronica qualificata certificati

1. Gli Stati membri notificano alla Commissione, senza indugio, informazioni sui dispositivi per la creazione di una firma elettronica qualificata certificati dagli organismi di cui all’articolo 23. Essi notificano inoltre alla Commissione, senza indugio, informazioni sui dispositivi per la creazione di una firma elettronica che non sono più certificati.

2. Sulla base delle informazioni pervenutele, la Commissione redige, pubblica e mantiene un elenco di dispositivi per la creazione di una firma elettronica qualificata certificati.

3. La Commissione può, mediante atti di esecuzione, definire le circostanze, i formati e le procedure applicabili ai fini del paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Articolo 25

Requisiti per la convalida delle firme elettroniche qualificate

1. Una firma elettronica qualificata è considerata valida purché sia possibile stabilire con un elevato grado di sicurezza che all’atto della firma:

(a) il certificato associato alla firma è un certificato di firma elettronica qualificata conforme alle disposizioni di cui all’allegato I;

(b) il certificato qualificato richiesto è autentico e valido;

(c) i dati di convalida della firma corrispondono ai dati trasmessi alla parte facente affidamento sulla certificazione;

(d) l’insieme di dati che rappresenta il firmatario in modo univoco è correttamente trasmesso alla parte facente affidamento sulla certificazione;

(e) l’impiego di un eventuale pseudonimo è chiaramente indicato alla parte facente affidamento sulla certificazione, se del caso;

(f) la firma elettronica è stata creata da un dispositivo per la creazione di una firma elettronica qualificata;

(g) l’integrità dei dati firmati non è stata compromessa;

(h) sono soddisfatti i requisiti di cui all’articolo 3, punto 7;

(i) il sistema utilizzato per convalidare la firma fornisce alla parte facente affidamento sulla certificazione il risultato corretto del processo di convalida e consente all’utilizzatore di rilevare eventuali questioni attinenti alla sicurezza.

2. La Commissione ha il potere di adottare atti delegati conformemente all'articolo 38 con riguardo all’ulteriore specificazione dei requisiti di cui al paragrafo 1.

3. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili alla convalida delle firme elettroniche qualificate. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove la convalida delle firme elettroniche qualificate risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 26

Servizio di convalida qualificato per le firme elettroniche qualificate

1. Un servizio di convalida qualificato delle firme elettroniche qualificate è prestato da un prestatore di servizi fiduciari qualificato che:

(a) fornisce la convalida a norma dell’articolo 25, paragrafo 1, e

(b) consente agli utilizzatori di ricevere il risultato del processo di convalida in un modo automatizzato che sia affidabile ed efficiente e rechi la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore del servizio di convalida qualificato.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al servizio di convalida qualificato di cui al paragrafo 1. Si presume che i requisiti di cui al paragrafo 1, lettera b), siano stati rispettati ove il servizio di convalida della firma elettronica qualificata risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 27

Conservazione delle firme elettroniche qualificate

1. Un servizio di conservazione delle firme elettroniche qualificate è prestato da un prestatore di servizi fiduciari qualificato che utilizza procedure e tecnologie in grado di estendere l’affidabilità dei dati di convalida della firma elettronica qualificata oltre il periodo di validità tecnologica.

2. La Commissione ha il potere di adottare atti delegati conformemente all'articolo 38 con riguardo all’ulteriore specificazione dei requisiti di cui al paragrafo 1.

3. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili alla conservazione delle firme elettroniche qualificate. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove le misure di conservazione delle firme elettroniche qualificate rispondano a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Sezione 4

Sigilli elettronici

Articolo 28

Effetti giuridici del sigillo elettronico

1. Al sigillo elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.

2. Un sigillo elettronico qualificato gode della presunzione legale di garanzia dell’origine e dell’integrità dei dati a cui è associato.

3. I sigilli elettronici qualificati sono riconosciuti e accettati in tutti gli Stati membri.

4. Ove si richieda un sigillo elettronico con un livello di garanzia di sicurezza inferiore a quello del sigillo elettronico qualificato, in particolare per l’accesso a un servizio online offerto da un ente pubblico sulla base di una valutazione appropriata dei rischi che detto servizio comporta, tutti i sigilli elettronici che raggiungono almeno lo stesso livello di garanzia di sicurezza sono accettati.

5. Gli Stati membri non richiedono, per l’accesso a un servizio online offerto da un ente pubblico, un sigillo elettronico dotato di un livello di garanzia di sicurezza più elevato di quello dei sigilli elettronici qualificati.

6. La Commissione ha il potere di adottare atti delegati a norma dell'articolo 38 per definire i diversi livelli di garanzia di sicurezza dei sigilli elettronici di cui al paragrafo 4.

7. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai livelli di garanzia di sicurezza dei sigilli elettronici. Si presume che il livello di garanzia di sicurezza definito in un atto delegato adottato ai sensi del paragrafo 6 sia stato rispettato se un sigillo elettronico soddisfa dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 29

Requisiti per i certificati qualificati di sigillo elettronico

1. I certificati qualificati di sigillo elettronico soddisfano i requisiti di cui all’allegato III.

2. I certificati qualificati di sigillo elettronico non sono soggetti a requisiti obbligatori oltre ai requisiti di cui all'allegato III.

3. Qualora un certificato qualificato di sigillo elettronico sia stato revocato dopo l’iniziale attivazione, esso perde la propria validità e il suo status non viene ripristinato in nessun caso mediante un rinnovo della validità.

4. La Commissione ha il potere di adottare atti delegati conformemente all'articolo 38 con riguardo all’ulteriore specificazione dei requisiti di cui all'allegato III.

5. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai certificati qualificati di sigillo elettronico. Si presume che i requisiti di cui all’allegato III siano stati rispettati ove un certificato qualificato di sigillo elettronico risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Articolo 30

Dispositivi per la creazione di un sigillo elettronico qualificato

1. L’articolo 22 si applica mutatis mutandis ai requisiti per i dispositivi per la creazione di un sigillo elettronico qualificato.

2. L’articolo 23 si applica mutatis mutandis alla certificazione dei dispositivi per la creazione di un sigillo elettronico qualificato.

3. L’articolo 24 si applica mutatis mutandis alla pubblicazione di un elenco di dispositivi per la creazione di un sigillo elettronico qualificato certificati.

Articolo 31

Convalida e conservazione dei sigilli elettronici qualificati

Gli articoli 25, 26 e 27 si applicano mutatis mutandis alla convalida e alla conservazione dei sigilli elettronici qualificati.

Sezione 5

Validazione temporale elettronica

Articolo 32

Effetto giuridico della validazione temporale elettronica

1. Alla validazione temporale elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica.

2. La validazione temporale elettronica gode della presunzione legale di garanzia dell’ora e della data che indica e dell’integrità dei dati a cui tale ora e data sono associate.

3. La validazione temporale elettronica qualificata è riconosciuta e accettata in tutti gli Stati membri.

Articolo 33

Requisiti per la validazione temporale elettronica qualificata

1. Una validazione temporale elettronica qualificata soddisfa i requisiti seguenti:

(a) è accuratamente collegata al tempo universale coordinato (UTC) in modo tale da escludere qualsiasi possibilità di modifica non rilevabile della data;

(b) si basa su una fonte accurata di misurazione del tempo;

(c) è rilasciata da un prestatore di servizi fiduciari qualificato;

(d) è apposta mediante una firma elettronica avanzata o un sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato o mediante un metodo equivalente.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili al collegamento preciso dell'ora e della data ai dati e a una fonte accurata di misurazione del tempo. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove un collegamento preciso della data e dell’ora ai dati e una fonte accurata di misurazione del tempo soddisfino dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Sezione 6

Documenti elettronici

Articolo 34

Effetti giuridici e accettazione dei documenti elettronici

1. Un documento elettronico è considerato equivalente a un documento cartaceo ed è ammissibile come prova nei procedimenti giudiziali, tenuto conto del suo livello di garanzia di autenticità e di integrità.

2. Un documento recante una firma elettronica qualificata o un sigillo elettronico qualificato della persona competente per rilasciarlo gode della presunzione legale di autenticità e di integrità, purché non contenga elementi dinamici in grado di modificarlo automaticamente.

3. Ove per la prestazione di un servizio online offerto da un ente pubblico si richieda un documento originale o una copia autenticata, negli altri Stati membri sono accettati senza requisiti aggiuntivi almeno documenti elettronici rilasciati dalle persone competenti per rilasciare i documenti richiesti e considerati alla stregua di originali o di copie autenticate dalla normativa nazionale dello Stato membro di origine.

4. La Commissione può, mediante atti di esecuzione, definire i formati delle firme elettroniche e dei sigilli elettronici che sono accettati ogniqualvolta uno Stato membro richieda un documento munito di firma o di sigillo per la fornitura di un servizio online offerto da un ente pubblico di cui al paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.

Sezione 7

Servizio elettronico di recapito qualificato

Articolo 35

Effetto legale di un servizio elettronico di recapito

1. I dati inviati o ricevuti mediante un servizio elettronico di recapito sono ammissibili come prova in procedimenti giudiziali per quanto riguarda l’integrità dei dati e la certezza dell’ora e della data in cui i dati sono stati inviati o ricevuti da uno specifico destinatario.

2. I dati inviati o ricevuti mediante un servizio elettronico di recapito qualificato godono della presunzione legale quanto all’integrità dei dati e all’accuratezza dell'ora e della data della spedizione o della ricezione dei dati indicate dal sistema elettronico di recapito qualificato.

3. La Commissione ha il potere di adottare atti delegati a norma dell’articolo 38 con riguardo alla specificazione di meccanismi per l’invio o la ricezione di dati mediante servizi elettronici di recapito da utilizzare per promuovere l’interoperabilità dei servizi elettronici di recapito.

Articolo 36

Requisiti per i servizi elettronici di recapito qualificati

1. I servizi elettronici di recapito qualificati soddisfano i requisiti seguenti:

(a) sono prestati da uno o più prestatori di servizi fiduciari qualificati;

(b) consentono l’identificazione univoca del mittente e, se del caso, del destinatario;

(c) il processo di invio e ricezione dei dati è garantito da una firma elettronica avanzata o da un sigillo elettronico avanzato di un prestatore di servizi fiduciari qualificato in modo da escludere la possibilità di modifiche non rilevabili dei dati;

(d) qualsiasi modifica ai dati necessaria al fine di inviarli o riceverli deve essere chiaramente indicata al mittente e al destinatario dei dati stessi;

(e) la data di invio e di ricezione e qualsiasi modifica dei dati devono essere indicate da una validazione temporale elettronica qualificata;

(f) qualora dei dati siano trasferiti fra due o più prestatori di servizi fiduciari qualificati, i requisiti di cui alle lettere da a) a e) si applicano a tutti i prestatori di servizi fiduciari qualificati.

2. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai processi di invio e ricezione dei dati. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove il processo di invio e ricezione dei dati sia conforme a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

Sezione 8

Autenticazione dei siti web

Articolo 37

Requisiti per i certificati qualificati di autenticazione di siti web

1. I certificati qualificati di autenticazione di siti web soddisfano i requisiti di cui all’allegato IV.

2. I certificati qualificati di autenticazione di siti web sono riconosciuti e accettati in tutti gli Stati membri.

3. La Commissione ha il potere di adottare atti delegati conformemente all'articolo 38 con riguardo all’ulteriore specificazione dei requisiti di cui all'allegato IV.

4. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai certificati qualificati di autenticazione di siti web. Si presume che i requisiti di cui all’allegato IV siano stati rispettati ove un certificato qualificato di autenticazione di sito web risponda a dette norme. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. La Commissione provvede a pubblicarli nella Gazzetta ufficiale dell’Unione europea.

CAPO IV

ATTI DELEGATI

Articolo 38

Esercizio della delega

1. Alla Commissione è conferito il potere di adottare atti delegati alle condizioni stabilite nel presente articolo.

2. Il potere di adottare atti delegati di cui all'articolo 8, paragrafo 3, all'articolo 13, paragrafo 5, all'articolo 15, paragrafo 5, all'articolo 16, paragrafo 5, all'articolo 18, paragrafo 5, all'articolo 20, paragrafo 6, all'articolo 21, paragrafo 4, all'articolo 23, paragrafo 3, all'articolo 25, paragrafo 2, all'articolo 27, paragrafo 2, all'articolo 28, paragrafo 6, all'articolo 29, paragrafo 4, all'articolo 30, paragrafo 2, all’articolo 31, all'articolo 35, paragrafo 3, e all'articolo 37, paragrafo 3, è conferito alla Commissione per un periodo indeterminato a decorrere dall’entrata in vigore del presente regolamento.

3. La delega di cui all'articolo 8, paragrafo 3, all'articolo 13, paragrafo 5, all'articolo 15, paragrafo 5, all'articolo 16, paragrafo 5, all'articolo 18, paragrafo 5, all'articolo 20, paragrafo 6, all'articolo 21, paragrafo 4, all'articolo 23, paragrafo 3, all'articolo 25, paragrafo 2, all'articolo 27, paragrafo 2, all'articolo 28, paragrafo 6, all'articolo 29, paragrafo 4, all'articolo 30, paragrafo 2, all’articolo 31, all'articolo 35, paragrafo 3, e all'articolo 37, paragrafo 3, può essere revocata in ogni momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega dei poteri precisati nella decisione medesima. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4. Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

5. L'atto delegato adottato a norma dell'articolo 8, paragrafo 3, dell'articolo 13, paragrafo 5, dell'articolo 15, paragrafo 5, dell'articolo 16, paragrafo 5, dell'articolo 18, paragrafo 5, dell'articolo 20, paragrafo 6, dell'articolo 21, paragrafo 4, dell'articolo 23, paragrafo 3, dell'articolo 25, paragrafo 2, dell'articolo 27, paragrafo 2, dell'articolo 28, paragrafo 6, dell'articolo 29, paragrafo 4, dell'articolo 30, paragrafo 2, dell’articolo 31, dell'articolo 35, paragrafo 3, e dell'articolo 37, paragrafo 3, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

CAPO V

ATTI DI ESECUZIONE

Articolo 39

Procedura di comitato

1. La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2. Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

CAPO VI

DISPOSIZIONI FINALI

Articolo 40

Relazione

La Commissione riferisce al Parlamento europeo e al Consiglio in merito all'applicazione del presente regolamento. La prima relazione è trasmessa entro quattro anni dall’entrata in vigore del presente regolamento. Le relazioni successive sono trasmesse ogni quattro anni.

Articolo 41

Abrogazione

1. La direttiva 1999/93/CE è abrogata.

2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento.

3. I dispositivi per la creazione di una firma sicura la cui conformità sia stata determinata a norma dell’articolo 3, paragrafo 4, della direttiva 1999/93/CE sono considerati dispositivi per la creazione di una firma qualificata ai sensi del presente regolamento.

4. I certificati qualificati rilasciati a norma della direttiva 1999/93/CE sono considerati certificati qualificati di firma elettronica a norma del presente regolamento fino alla loro scadenza, ma per non più di cinque anni dall’entrata in vigore del presente regolamento.

Articolo 42

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il

Per il Parlamento europeo                            Per il Consiglio

Il presidente                                                   La presidente

ALLEGATO I

Requisiti per i certificati qualificati di firma elettronica

I certificati qualificati di firma elettronica contengono:

(a) un'indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di firma elettronica;

(b) un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

– per una persona giuridica: il nome e il numero di registrazione quali appaiono nei documenti ufficiali,

– per una persona fisica: il nome;

(c) un insieme di dati che rappresentano in modo univoco il firmatario a cui è rilasciato il certificato e comprendono almeno il nome del firmatario o uno pseudonimo identificato come tale;

(d) i dati di convalida della firma elettronica che corrispondono ai dati per la creazione di una firma elettronica;

(e) l'indicazione dell’inizio e della fine del periodo di validità del certificato;

(f) il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;

(g) la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;

(h) il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

(i) l'ubicazione dei servizi competenti per lo status di validità dei certificato a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

(j) qualora i dati per la creazione di una firma elettronica connessi ai dati di convalida della firma elettronica siano ubicati in un dispositivo per la creazione di una firma elettronica qualificata, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO II

Requisiti relativi ai dispositivi per la creazione di una firma qualificata

1. I dispositivi per la creazione di una firma elettronica qualificata garantiscono, mediante mezzi tecnici e procedurali appropriati, almeno che:

(a) è assicurata la segretezza dei dati per la creazione di una firma elettronica utilizzati per generare una firma elettronica;

(b) i dati per la creazione di una firma elettronica utilizzati per generare una firma elettronica possono comparire una sola volta;

(c) i dati per la creazione di una firma elettronica utilizzati per generare una firma elettronica non possono, con un grado ragionevole di sicurezza, essere derivati e la firma elettronica è protetta da contraffazioni compiute con l'impiego di tecnologie attualmente disponibili;

(d) i dati per la creazione di una firma elettronica utilizzati nella generazione della stessa possono essere sufficientemente protetti dal firmatario legittimo contro l'uso da parte di terzi.

2. I dispositivi per la creazione di una firma elettronica qualificata non alterano i dati da firmare né impediscono che tali dati siano presentati al firmatario prima della firma.

3. La generazione o la gestione dei dati per la creazione di una firma elettronica per conto del firmatario sono effettuate da un prestatore di servizi fiduciari qualificato.

4. I prestatori di servizi fiduciari qualificati che gestiscono dati per la creazione di una firma elettronica per conto del firmatario possono duplicare i dati per la creazione di una firma elettronica a fini di back-up, purché rispettino i seguenti requisiti:

(a) la sicurezza degli insiemi di dati duplicati deve essere dello stesso livello della sicurezza degli insiemi di dati originali;

(b) il numero di insiemi di dati duplicati non eccede il minimo necessario per garantire la continuità del servizio.

ALLEGATO III

Requisiti per i certificati qualificati di sigillo elettronico

I certificati qualificati di sigillo elettronico contengono:

(a) un'indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di sigillo elettronico;

(b) un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

– per una persona giuridica: il nome e il numero di registrazione quali appaiono nei documenti ufficiali,

– per una persona fisica: il nome;

(c) un insieme di dati che rappresenta in modo univoco la persona giuridica a cui è rilasciato il certificato e include almeno il nome e il numero di registrazione quali appaiono nei documenti ufficiali;

(d) i dati di convalida del sigillo elettronico che corrispondono ai dati per la creazione di un sigillo elettronico;

(e) l'indicazione dell’inizio e della fine del periodo di validità del certificato;

(f) il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;

(g) la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;

(h) il luogo in cui il certificato relativo alla firma elettronica avanzata o al sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

(i) l'ubicazione dei servizi competenti per lo status di validità dei certificato a cui ci si può rivolgere per informarsi sulla validità del certificato qualificato;

(j) qualora i dati per la creazione di un sigillo elettronico connessi ai dati di convalida del sigillo elettronico siano ubicati in un dispositivo per la creazione di un sigillo elettronico qualificato, un’indicazione appropriata di questo fatto, almeno in una forma adatta al trattamento automatizzato.

ALLEGATO IV

Requisiti per i certificati qualificati di autenticazione di siti web

I certificati qualificati di autenticazione di siti web contengono:

(a) un'indicazione, almeno in una forma adatta al trattamento automatizzato, del fatto che il certificato è stato rilasciato quale certificato qualificato di autenticazione di sito web;

(b) un insieme di dati che rappresenta in modo univoco il prestatore di servizi fiduciari qualificato che rilascia i certificati qualificati e include almeno lo Stato membro in cui tale prestatore è stabilito e

– per una persona giuridica: il nome e il numero di registrazione quali appaiono nei documenti ufficiali,

– per una persona fisica: il nome;

(c) un insieme di dati che rappresenta in modo univoco la persona giuridica a cui è rilasciato il certificato e include almeno il nome e il numero di registrazione quali appaiono nei documenti ufficiali;

(d) elementi dell’indirizzo, fra cui almeno la città e lo Stato membro, della persona giuridica a cui è rilasciato il certificato quali appaiono nei documenti ufficiali;

(e) il nome del dominio o dei domini gestiti dalla persona giuridica a cui è rilasciato il certificato;

(f) l'indicazione dell’inizio e della fine del periodo di validità del certificato;

(g) il codice di identità del certificato che deve essere unico per il prestatore di servizi fiduciari qualificato;

(h) la firma elettronica avanzata o il sigillo elettronico avanzato del prestatore di servizi fiduciari qualificato che rilascia il certificato;

(i) il luogo in cui il certificato che avalla la firma elettronica avanzata o il sigillo elettronico avanzato di cui alla lettera g) è disponibile gratuitamente;

(j) l'ubicazione dei servizi competenti per lo status di validità del certificato a cui ci si può rivolgere per informarsi sulla validità dei certificato qualificato.

SCHEDA FINANZIARIA LEGISLATIVA

1.           CONTESTO DELLA PROPOSTA/INIZIATIVA

La presente scheda finanziaria illustra le esigenze, in termini di spese amministrative, dell’attuazione del proposto regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

In seguito alla procedura legislativa e alla discussione per l’adozione del regolamento proposto da parte del Parlamento europeo e del Consiglio, la Commissione necessiterà di dodici ETP per elaborare gli atti delegati e di esecuzione connessi, garantire la disponibilità delle norme organizzative e tecniche, trattare le informazioni notificate dagli Stati membri – in particolare per mantenere le informazioni connesse agli elenchi di fiducia –, garantire la sensibilizzazione delle parti interessate – in particolare cittadini e PMI – sui vantaggi dell’utilizzazione dell’identificazione elettronica, dell’autenticazione elettronica, delle firme elettroniche e dei servizi fiduciari connessi (eIAS) e intavolare discussioni con paesi terzi in vista di raggiungere l’interoperabilità eIAS a livello mondiale.

1.1.        Denominazione della proposta/iniziativa

Proposta della Commissione di regolamento in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

1.2.        Settori interessati nella struttura ABM/ABB[25]

09 SOCIETÀ DELL’INFORMAZIONE

1.3.        Natura della proposta/iniziativa

¨ La proposta/iniziativa riguarda una nuova azione

¨ La proposta/iniziativa riguarda una nuova azione a seguito di un progetto pilota/un'azione preparatoria[26]

¨ La proposta/iniziativa riguarda la proroga di un'azione esistente

þ La proposta/iniziativa riguarda un’azione riorientata verso una nuova azione

1.4.        Obiettivi

1.4.1.     Obiettivo/obiettivi strategici pluriennali della Commissione oggetto della proposta/iniziativa

Gli obiettivi generali della proposta sono quelli delle strategie generali dell’UE in cui essa si inserisce, quali la strategia Europa 2020, che mira a "trasformare l'UE in un'economia intelligente, sostenibile e inclusiva caratterizzata da alti livelli di occupazione, produttività e coesione sociale".

1.4.2.     Obiettivo/obiettivi specifici e attività ABM/ABB interessate

Migliorare la fiducia nelle transazioni elettroniche paneuropee e garantire il riconoscimento legale transfrontaliero dell'identificazione elettronica, dell'autenticazione elettronica, delle firme elettroniche e dei servizi fiduciari connessi, nonché un livello elevato di protezione dei dati e di responsabilizzazione degli utilizzatori nel mercato unico (cfr. l’Agenda digitale europea, azioni fondamentali 3 e 16).

Attività ABM/ABB interessate

09 02 – Quadro normativo dell’Agenda digitale europea

1.4.3.     Risultati e incidenza previsti

Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.

Creare un contesto regolamentare chiaro per i servizi eIAS in grado di migliorare la convenienza, la fiducia e la sicurezza degli utenti nel mondo digitale.

1.4.4.     Indicatori di risultato e di incidenza

Precisare gli indicatori che permettono di seguire la realizzazione della proposta/iniziativa.

1. L’esistenza di fornitori di eIAS che hanno attività in più Stati membri dell’UE;

2. il grado in cui i dispositivi diventano interoperabili (come i lettori di smart card) fra settori e paesi;

3. l'uso degli eIAS da parte di tutte le categorie di popolazione;

4. il grado in cui gli eIAS sono utilizzati dagli utilizzatori finali per le transazioni nazionali e internazionali (transfrontaliere);

5. il grado di armonizzazione fra Stati membri della normativa in materia di eIAS;

6. i regimi di identificazione elettronica notificati alla Commissione;

7. i servizi accessibili mediante mezzi di identificazione elettronica notificati nel settore pubblico (p. es. eGovernment, assistenza sanitaria online, eJustice, appalti pubblici elettronici);

8. i servizi accessibili mediante mezzi di identificazione elettronica notificati nel settore privato (p. es. servizi bancari online, commercio elettronico, giochi d’azzardo online, connessione a siti web, servizi internet più sicuri).

1.5.        Motivazione della proposta/iniziativa

1.5.1.     Necessità da coprire nel breve e lungo termine

Le differenze verificatesi fra Stati membri nel recepimento della direttiva sulle firme elettroniche, dovute a divergenze di interpretazione a livello nazionale, hanno portato a problemi transfrontalieri di interoperabilità e quindi a un panorama segmentato a livello di UE, con distorsioni nel mercato interno. A ciò si aggiunge la mancanza di fiducia nei sistemi elettronici, che impedisce ai cittadini europei di trarre vantaggio dagli stessi tipi di servizi del mondo digitale a cui hanno accesso nel mondo reale.

1.5.2.     Valore aggiunto dell'intervento dell'Unione europea

L’azione a livello dell’Unione europea produrrebbe vantaggi evidenti rispetto all’azione a livello degli Stati membri. L’esperienza ha dimostrato che le misure nazionali non solo sono insufficienti a rendere le transazioni elettroniche possibili attraverso le frontiere, ma hanno addirittura creato barriere all’interoperabilità delle firme elettroniche in tutta l’Unione e stanno sortendo attualmente lo stesso effetto per quanto riguarda l’identificazione elettronica, l’autenticazione elettronica e i servizi fiduciari connessi.

1.5.3.     Insegnamenti tratti da esperienze analoghe

La proposta si basa sull’esperienza acquisita con la direttiva sulle firme elettroniche e sui problemi causati da un recepimento e da un’applicazione frammentari di tale direttiva, che hanno impedito di raggiungerne gli obiettivi.

1.5.4.     Coerenza ed eventuale sinergia con altri strumenti pertinenti

La direttiva sulle firme elettroniche è interessata da numerose altre iniziative dell’UE istituite per eliminare i problemi di interoperabilità e di riconoscimento e accettazione transfrontaliera in connessione con alcuni tipi di transazioni elettroniche, quali la direttiva sui servizi, la direttiva sugli appalti pubblici, la direttiva IVA riveduta (fatture elettroniche) e il regolamento sull’iniziativa dei cittadini europei.

Inoltre, il regolamento proposto istituirà un quadro normativo propizio all’ampia diffusione dei progetti pilota su larga scala avviati a livello dell’UE per sostenere lo sviluppo di mezzi interoperabili e affidabili di comunicazione elettronica (fra cui SPOCS, a sostegno dell'attuazione della direttiva sui servizi; STORK, a sostegno dello sviluppo e dell’impiego di eID interoperabili; PEPPOL, a sostegno dello sviluppo e dell’impiego di soluzioni interoperabili per gli appalti elettronici; epSOS, a sostegno dello sviluppo e dell’impiego di soluzioni interoperabili per l’assistenza sanitaria online; eCodex, a sostegno dello sviluppo e dell’impiego di soluzioni interoperabili per l’eJustice).

1.6.        Durata e incidenza finanziaria

¨ Proposta/iniziativa di durata limitata

– ¨  Proposta/iniziativa in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA

– ¨  Incidenza finanziaria dal AAAA al AAAA

þ Proposta/iniziativa di durata illimitata

1.7.        Modalità di gestione previste[27]

þ Gestione centralizzata diretta da parte della Commissione

¨ Gestione centralizzata indiretta con delega delle funzioni di esecuzione a:

– ¨  agenzie esecutive

– ¨  organismi creati dalle Comunità[28]

– ¨  organismi pubblici nazionali/organismi investiti di attribuzioni di servizio pubblico

– ¨  persone incaricate di attuare azioni specifiche di cui al titolo V del trattato sull'Unione europea, che devono essere indicate nel pertinente atto di base ai sensi dell'articolo 49 del regolamento finanziario

¨ Gestione concorrente con gli Stati membri

¨ Gestione decentrata con paesi terzi

¨ Gestione congiunta con organizzazioni internazionali (specificare)

Se è indicata più di una modalità, fornire ulteriori informazioni alla voce "Osservazioni".

Osservazioni

[//]

2.           MISURE DI GESTIONE

2.1.        Disposizioni in materia di monitoraggio e di relazioni

Precisare frequenza e condizioni.

La prima valutazione avrà luogo 4 anni dopo l’entrata in vigore del regolamento. Il regolamento comprende una disposizione esplicita sulla relazione che la Commissione trasmetterà al Parlamento europeo e al Consiglio sull’applicazione del regolamento stesso. Le relazioni successive saranno trasmesse ogni quattro anni. Sarà applicata la metodologia della Commissione in materia di valutazione. Tali valutazioni saranno realizzate con l’aiuto di studi mirati relativi all’attuazione degli strumenti giuridici, questionari inviati alle autorità nazionali, discussioni con esperti, seminari, sondaggi Eurobarometro, ecc.

2.2.        Sistema di gestione e di controllo

2.2.1.     Rischi individuati

È stata effettuata una valutazione d’impatto che accompagna la proposta di regolamento. Il nuovo strumento giuridico disporrà il riconoscimento e l’accettazione reciproci dell’identificazione elettronica attraverso le frontiere, migliorerà l’attuale quadro sulle firme elettroniche, rafforzerà la vigilanza nazionale sui prestatori di servizi fiduciari e conferirà efficacia giuridica e riconoscimento legale ai servizi fiduciari connessi. Inoltre, esso introduce l’impiego di atti delegati e di esecuzione quale meccanismo per garantire la flessibilità nei confronti degli sviluppi tecnologici.

2.2.2.     Modalità di controllo previste

Gli stanziamenti supplementari saranno controllati secondo le modalità di controllo esistenti applicate dalla Commissione.

2.3.        Misure di prevenzione delle frodi e delle irregolarità

Precisare le misure di prevenzione e di tutela in vigore o previste.

Gli stanziamenti supplementari saranno soggetti alle esistenti misure di prevenzione delle frodi applicate dalla Commissione.

3.           INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA

3.1.        Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

· Linee di bilancio di spesa esistenti

Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.

Rubrica del quadro finanziario pluriennale || Linea di bilancio || Natura della spesa || Partecipazione

Numero [Denominazione…..…………………….….] || Diss./Non diss. ([29]) || di paesi EFTA[30] || di paesi candidati[31] || di paesi terzi || ai sensi dell'articolo 18, paragrafo 1, lettera a bis), del regolamento finanziario

5 || 09. 01 01 01 Spese relative al personale in attività di servizio nella DG Società dell’informazione e media || Non diss. || NO || NO || NO || NO

5 || 09. 01 02 01 Personale esterno || Non diss. || NO || NO || NO || NO

3.2.        Incidenza prevista sulle spese

3.2.1.     Sintesi dell’incidenza prevista sulle spese

Rubrica del quadro finanziario pluriennale: || Numero || [Rubrica 1. Crescita intelligente e inclusiva ……………...……………………………………………………………….]

DG: INFSO || || || Anno 2014 || Anno  2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE

Ÿ Stanziamenti operativi || || || || || || || ||

Numero della linea di bilancio – N.A. || Impegni || (1) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Pagamenti || (2) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Numero della linea di bilancio – N.A. || Impegni || (1a) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Pagamenti || (2a) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Stanziamenti di natura amministrativa finanziati  dalla dotazione di programmi specifici[32] || 0.000 || 0.000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Numero della linea di bilancio || || (3) || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

TOTALE degli stanziamenti per la DG INFSO || Impegni || =1+1a +3 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Pagamenti || =2+2a +3 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000 || 0,000

Rubrica del quadro finanziario pluriennale: || 5 || “Spese amministrative”

Mio EUR (al terzo decimale)

|| || || Anno 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE

DG: INFSO

Ÿ Risorse umane || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

Ÿ Altre spese amministrative || || || || || || || ||

TOTALE DG INFSO || Stanziamenti || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

TOTALE degli stanziamenti per la RUBRICA 5 del quadro finanziario pluriennale || (Totale impegni = Totale pagamenti) || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

Mio EUR (al terzo decimale)

|| || || Anno 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE

TOTALE degli stanziamenti per le RUBRICHE da 1 a 5 del quadro finanziario pluriennale || Impegni || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

Pagamenti || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

3.2.2.     Incidenza prevista sugli stanziamenti operativi

– þ  La proposta/iniziativa non comporta l'utilizzazione di stanziamenti operativi

– ¨  La proposta/iniziativa comporta l'utilizzazione di stanziamenti operativi, come spiegato di seguito:

3.2.3.     Incidenza prevista sugli stanziamenti di natura amministrativa

3.2.3.1.  Sintesi

– ¨  La proposta/iniziativa non comporta l'utilizzazione di stanziamenti amministrativi

– þ  La proposta/iniziativa comporta l'utilizzazione di stanziamenti amministrativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

|| Anno N 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020 || TOTALE

RUBRICA 5 del quadro finanziario pluriennale || || || || || || || ||

Risorse umane || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

Altre spese amministrative || || || || || || || ||

Totale parziale RUBRICA 5 del quadro finanziario pluriennale || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

Esclusa la RUBRICA 5[33] del quadro finanziario pluriennale || || || || || || || ||

Risorse umane || || || || || || || ||

Altre spese di natura amministrativa || || || || || || || ||

Totale parziale esclusa la RUBRICA 5 del quadro finanziario pluriennale || || || || || || || ||

TOTALE || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 1 344 || 9 408

3.2.3.2.  Fabbisogno previsto di risorse umane

– ¨  La proposta/iniziativa non comporta l'utilizzazione di risorse umane

– þ  La proposta/iniziativa comporta l'utilizzazione di risorse umane, come spiegato di seguito:

Stima da esprimere in numeri interi (o, al massimo, con un decimale)

|| Anno 2014 || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anno 2019 || Anno 2020

Ÿ Posti della tabella dell'organico (posti di funzionari e di agenti temporanei)

09 01 01 01 (in sede e negli uffici di rappresentanza della Commissione) || 9 || 9 || 9 || 9 || 9 || 9 || 9

XX 01 01 02 (nelle delegazioni) || || || || || || ||

XX 01 05 01 (ricerca indiretta) || || || || || || ||

10 01 05 01 (ricerca diretta) || || || || || || ||

Ÿ Personale esterno (in equivalenti a tempo pieno: ETP)[34]

09 01 02 01 (AC, INT, END della dotazione globale) || 3 || 3 || 3 || 3 || 3 || 3 || 3

XX 01 02 02 (AC, INT, JED, AL e END nelle delegazioni) || || || || || || ||

XX 01 04 yy[35] || - in sede[36] || || || || || || ||

- nelle delegazioni || || || || || || ||

XX 01 05 02 (AC, INT, END – ricerca indiretta) || || || || || || ||

10 01 05 02 (AC, INT, END – ricerca diretta) || || || || || || ||

Altre linee di bilancio (specificare) || || || || || || ||

TOTALE || 12 || 12 || 12 || 12 || 12 || 12 || 12

Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell'azione e/o riassegnato all'interno della stessa DG, integrato dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

Descrizione dei compiti da svolgere:

Funzionari e agenti temporanei || Gestire le procedure legislative per l’adozione, da parte del Parlamento europeo e del Consiglio, del regolamento previsto e dei relativi atti delegati / di esecuzione. Settori prioritari: 1.    Istituire un nuovo quadro normativo sui servizi fiduciari elettronici 2.    Promuovere l’adozione dei servizi fiduciari elettronici sensibilizzando maggiormente le PMI e i cittadini quanto al potenziale di tali servizi 3.    Dare proseguimento alla direttiva 1999/93/CE, compresi gli aspetti internazionali 4.    Sviluppare il potenziale dei progetti pilota su larga scala per accelerare la realizzazione concreta dell’obiettivo del nuovo quadro normativo

Personale esterno || Come sopra

3.2.4.     Compatibilità con il quadro finanziario pluriennale attuale

– þ  La proposta/iniziativa è compatibile con il quadro finanziario pluriennale attuale.

– ¨  La proposta/iniziativa implica una riprogrammazione della pertinente rubrica del quadro finanziario pluriennale.

Spiegare la riprogrammazione richiesta, precisando le linee di bilancio interessate e gli importi corrispondenti.

– ¨  La proposta/iniziativa richiede l'applicazione dello strumento di flessibilità o la revisione del quadro finanziario pluriennale[37].

Spiegare la necessità, precisando le rubriche e le linee di bilancio interessate e gli importi corrispondenti.

3.2.5.     Partecipazione di terzi al finanziamento

– þ La proposta/iniziativa non prevede il cofinanziamento da parte di terzi

– ¨ La proposta/iniziativa prevede il cofinanziamento indicato di seguito:

3.3.      Incidenza prevista sulle entrate

– þ  La proposta/iniziativa non ha alcuna incidenza finanziaria sulle entrate.

– ¨  La proposta/iniziativa ha la seguente incidenza finanziaria:

· ¨            sulle risorse proprie

· ¨            sulle entrate varie

[1]               COM(2010) 245 del 19.5.2010.

[2]               COM (2011) 206 definitivo del 13.4.2011.

[3]               COM(2011) 669 del 12.10.2011.

[4]               GU L 13 del 19.1.2000, pag. 12.

[5]               Per dettagli sulle consultazioni, cfr. http://ec.europa.eu/information_society/policy/esignature/eu_legislation/revision

[6]               Un seminario delle parti interessate si è tenuto il 10.3.2011 con rappresentanti dei settori pubblico e privato e del mondo accademico per discutere su quali provvedimenti normativi siano necessari per affrontare le sfide di domani. Si è trattato di un forum interattivo che ha permesso uno scambio di opinioni e la mappatura delle diverse posizioni sulle questioni sollevate nel corso della consultazione pubblica. Numerose organizzazioni hanno inviato spontaneamente dei documenti per illustrare le loro vedute.

[7]               In particolare, la presidenza polacca dell’UE ha organizzato una riunione con gli Stati membri sul tema delle firme elettroniche, tenutasi a Varsavia il 9.11.2011, e un’altra sull’identificazione elettronica, tenutasi a Poznan il 17.11.2011. Il 25.1.2012 la Commissione ha indetto un seminario con gli Stati membri per discutere le questioni in sospeso sull’identificazione, l’autenticazione e le firme elettroniche.

[8]               Nel primo gruppo, si sono esaminate quattro opzioni: abrogazione della direttiva sulle firme elettroniche; status quo; migliorare la certezza giuridica, stimolare il coordinamento della vigilanza nazionale e garantire il riconoscimento e l'accettazione reciproci delle eID; espansione per incorporare determinati servizi fiduciari connessi. Il secondo gruppo consisteva nella valutazione dei meriti relativi della possibilità di regolamentazione mediante uno o due strumenti e dell’opportunità di ricorrere a una direttiva piuttosto che a un regolamento. Il terzo gruppo ha raffrontato le implicazioni dell’attuazione di regimi nazionali di vigilanza basati su requisiti essenziali comuni di vigilanza, rispetto a un sistema di vigilanza unionale. Tutte le opzioni strategiche sono state valutate, con l’aiuto di un gruppo che comprendeva tutte le direzioni generali della Commissione interessate, sotto il profilo della loro efficacia per il raggiungimento degli obiettivi strategici, dell’impatto economico sulle parti interessate (compreso il bilancio delle istituzioni dell’UE), dell’impatto sociale e ambientale e degli effetti sugli oneri amministrativi.

[9]               Comunicazione della Commissione: Europa 2020. Una strategia per una crescita intelligente, sostenibile e inclusiva, COM(2010) 2020 del 3.3.2010.

[10]             Gli elenchi di fiducia di cui alla decisione 2009/767/CE della Commissione, modificata dalla decisione 2010/425/CE della Commissione, saranno la base di una nuova decisione della Commissione sugli elenchi di fiducia derivata dal presente regolamento.

[11]             GU C [...] del [...], pag.

[12]             GU C [...] del [...], pag.

[13]             GU L 13 del 19.1.2000, pag. 12.

[14]             COM(2010) 245 definitivo/2.

[15]             Relazione 2010 sulla cittadinanza dell’Unione – Eliminare gli ostacoli all’esercizio dei diritti dei cittadini dell’Unione, COM(2010) 603 definitivo, punto 2.2.2, pag. 13.

[16]             4/2/2011: EUCO 2/1/11.

[17]             23/10/2011: EUCO 52/1/11.

[18]             Conclusioni del Consiglio sul piano d’azione europeo per l’eGovernment 2011-2015, 3093a sessione del Consiglio Trasporti, Telecomunicazioni e Energia, Bruxelles, 27 maggio 2011.

[19]             Risoluzione del Parlamento europeo del 21 settembre 2010 sul completamento del mercato interno per il commercio elettronico, 21.9.2010, P7_TA(2010)0320, e risoluzione del Parlamento europeo del 15 giugno 2010 sulla governance di internet: le prossime tappe, P7_TA(2010)0208.

[20]             GU L 376 del 27.12.2006, pag. 36.

[21]             GU L 88 del 4.4.2011, pag. 45.

[22]             GU L 281 del 23.11.1995, pag. 31.

[23]             GU L 274 del 20.10.2009, pag. 36.

[24]             GU L 55 del 28.2.2011, pag. 13.

[25]             ABM: Activity Based Management – ABB: Activity Based Budgeting (bilancio per attività).

[26]             A norma dell'articolo 49, paragrafo 6, lettera a) o b), del regolamento finanziario.

[27]             Le spiegazioni sulle modalità di gestione e i riferimenti al regolamento finanziario sono disponibili sul sito BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[28]             A norma dell'articolo 185 del regolamento finanziario.

[29]             Diss. = Stanziamenti dissociati / Non diss. = Stanziamenti non dissociati.

[30]             EFTA: Associazione europea di libero scambio.

[31]             Paesi candidati e, se del caso, paesi potenziali candidati dei Balcani occidentali.

[32]             Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

[33]             Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

[34]             AC= agente contrattuale; INT = personale interinale (intérimaire); JED = giovane esperto in delegazione (jeune expert en délégation) ; AL= agente locale; END= esperto nazionale distaccato.

[35]             Sottomassimale per il personale esterno previsto dagli stanziamenti operativi (ex linee "BA").

[36]             Principalmente per i fondi strutturali, il Fondo europeo agricolo per lo sviluppo rurale (FEASR) e il Fondo europeo per la pesca (FEP).

[37]             Cfr. punti 19 e 24 dell'Accordo interistituzionale.