REGOLAMENTO DI ESECUZIONE (UE) 2024/1942 DELLA COMMISSIONE, 5 luglio 2024
G.U.U.E. 20 dicembre 2024, Serie L
Regolamento che stabilisce procedure comuni e norme dettagliate per l'accesso alle informazioni elettroniche sul trasporto merci e il relativo trattamento da parte delle autorità competenti conformemente al regolamento (UE) 2020/1056 del Parlamento europeo e del Consiglio. (Testo rilevante ai fini del SEE)
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 9 gennaio 2025
Applicabile dal: 9 gennaio 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2020/1056 del Parlamento europeo e del Consiglio, del 15 luglio 2020, relativo alle informazioni elettroniche sul trasporto merci (1), in particolare l'articolo 8,
considerando quanto segue:
1) Il regolamento (UE) 2020/1056 impone agli Stati membri di garantire che tutte le loro autorità competenti abbiano accesso alle informazioni elettroniche sul trasporto merci («eFTI») in linea con procedure comuni e norme dettagliate, comprese le specifiche tecniche e le procedure comuni per il trattamento delle informazioni regolamentari e per comunicare con gli operatori economici in relazione a tali informazioni.
2) Al fine di stabilire tali procedure comuni e norme, a norma dell'articolo 8 del regolamento (UE) 2020/1056, la Commissione dovrebbe elencare i principali componenti delle tecnologie dell'informazione e della comunicazione («TIC») dell'ambiente di scambio eFTI che gli Stati membri devono fornire e determinarne in maniera dettagliata le specifiche funzionali e tecniche.
3) Per garantire la flessibilità nell'applicazione di tali procedure comuni e norme dettagliate, gli Stati membri dovrebbero poter decidere come organizzare la fornitura dei componenti TIC, a condizione che tali componenti siano conformi alle rispettive specifiche funzionali e tecniche stabilite nel presente regolamento di esecuzione. Più specificamente, gli Stati membri possono decidere di configurare tali componenti come componenti separati oppure integrati in un unico componente o in più componenti distinti che svolgono le rispettive funzionalità. Essi possono altresì creare più componenti che svolgono la medesima serie di funzionalità.
4) Gli Stati membri dovrebbero essere in grado di riutilizzare i componenti TIC esistenti che hanno già sviluppato per altri servizi pubblici digitali, nella misura in cui tali componenti forniscono già o siano adattati per fornire le funzionalità richieste in linea con le specifiche, comprese le prescrizioni tecniche, se del caso, stabilite nel presente regolamento di esecuzione. Gli Stati membri dovrebbero altresì poter scegliere di creare, sviluppare e mantenere uno o più componenti TIC previsti dal presente regolamento congiuntamente ad altri Stati membri.
5) Ciascuno Stato membro dovrebbe essere responsabile della manutenzione e della sicurezza dei componenti TIC che ha creato o di cui è competente, anche al fine di garantire la sicurezza e la riservatezza delle informazioni trattate all'interno di tali componenti. Se più Stati membri decidono di istituire e gestire congiuntamente alcuni di questi componenti, è opportuno che essi provvedano affinché le rispettive responsabilità siano stabilite in opportuni accordi o protocolli d'intesa.
6) Ai sensi del regolamento (UE) 2020/1056, tutte le comunicazioni nell'ambiente di scambio eFTI devono avvenire mediante connessioni sicure tra parti debitamente identificate e autorizzate. Di conseguenza le specifiche funzionali e tecniche comuni di cui al presente regolamento di esecuzione dovrebbero garantire che tali prescrizioni siano soddisfatte per tutte le comunicazioni che avvengono tra i partecipanti all'ambiente di scambio eFTI per mezzo di componenti TIC, comprese le piattaforme eFTI.
7) Si prevede che il numero di partecipanti all'ambiente di scambio eFTI sarà elevato, a livello tanto di autorità competenti quanto di operatori economici interessati, che saranno liberi di utilizzare le piattaforme eFTI di loro scelta. Dovrebbe pertanto essere stabilito e mantenuto un numero adeguato di connessioni sicure, autenticate e autorizzate tra i componenti TIC dell'ambiente di scambio eFTI. Al fine di ridurre i costi associati a un numero così elevato di connessioni, alcuni dei componenti TIC dell'ambiente di scambio eFTI che gli Stati membri dovranno creare dovrebbero facilitare tale scambio svolgendo una funzione di gateway, mantenendo nel contempo un livello elevato di sicurezza e di conformità alle autorizzazioni applicabili.
8) Tali gateway, o «gate eFTI», dovrebbero facilitare lo scambio di informazioni regolamentari sul trasporto merci tra gli operatori economici interessati e le autorità competenti. I gate eFTI dovrebbero garantire connessioni sicure e autenticate ai componenti TIC che facilitano l'accesso dei singoli agenti a livello delle autorità competenti in uno specifico Stato membro, da un lato, e alle piattaforme eFTI che contengono i dati a cui tali agenti dovrebbero avere accesso, dall'altro. Essi non dovrebbero memorizzare o trattare dati eFTI, fatta eccezione per i metadati connessi al trattamento di dati eFTI, quali gli identificativi o i registri delle operazioni, ed esclusivamente per finalità legittime quali l'instradamento, la convalida o l'adattamento del formato e per finalità di monitoraggio o statistiche.
9) Inoltre, al fine di ridurre i costi legati alla creazione di connessioni tra le piattaforme eFTI e un gate eFTI, in particolare per gli operatori economici, ma anche per le autorità competenti, come previsto dall'articolo 8, paragrafo 2, del regolamento (UE) 2020/1056, le piattaforme eFTI dovrebbero essere tenute a stabilire e mantenere una connessione sicura e autenticata a un solo gate eFTI. Tale gate eFTI dovrebbe poi facilitare la connessione a tutte le autorità competenti in tutti gli Stati membri, mediante una rete di connessioni sicure e autenticate tra i diversi gate eFTI.
10) In considerazione della prescrizione di cui all'articolo 11 del regolamento (UE) 2020/1056, che impone agli Stati membri di conservare un elenco aggiornato delle piattaforme eFTI titolari di una certificazione valida rilasciata da un organismo di valutazione della conformità accreditato nel rispettivo Stato membro, tale connessione unica di una piattaforma eFTI alla rete di gate eFTI dovrebbe essere stabilita con il gate eFTI dello Stato membro in cui è stata rilasciata la certificazione di detta piattaforma. Ciò faciliterebbe e renderebbe meno costoso il processo di verifica della validità della certificazione di una piattaforma eFTI, nel contesto del processo volto a garantire la sicurezza e l'autenticità della comunicazione con una piattaforma eFTI. Tuttavia, per far fronte a situazioni in cui nessun organismo di valutazione della conformità è stato accreditato per certificare piattaforme eFTI in uno Stato membro, le piattaforme eFTI dovrebbero essere in grado di stabilire la loro connessione unica al gate eFTI di tale Stato membro, anche se hanno ottenuto la certificazione in altri Stati membri.
11) Al fine di assicurare un livello elevato di fiducia nell'ambiente di scambio eFTI, è opportuno che resti in capo agli Stati membri la responsabilità di garantire che tutti gli accessi all'ambiente di scambio eFTI da parte delle loro autorità competenti siano debitamente identificati, autenticati e autorizzati. Gli Stati membri dovrebbero provvedere affinché l'accesso da parte delle autorità competenti ai dati messi a disposizione dagli operatori economici sulle piattaforme eFTI e il trattamento di tali dati da parte di dette autorità siano consentiti soltanto dopo la debita identificazione e autenticazione dell'identità degli agenti responsabili, nonché dopo il rilascio di una debita autorizzazione basata sui diritti di accesso e di trattamento riconosciuti agli agenti, in base alle rispettive responsabilità in relazione alle disposizioni dell'UE e nazionali che rientrano nell'ambito di applicazione del regolamento (UE) 2020/1056. A tal fine, gli Stati membri dovrebbero garantire che tutte le autorità competenti stabiliscano e mantengano registri aggiornati dei diritti di accesso e di trattamento di ciascun agente responsabile e che tutte le richieste di accesso e trattamento in relazione ai dati eFTI includano riferimenti ai diritti di accesso e di trattamento dell'agente responsabile della richiesta. Tali diritti di accesso e di trattamento dovrebbero essere espressi come riferimenti codificati al fine di ridurre al minimo il trasferimento dei dati personali degli agenti, ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2). Gli Stati membri dovrebbero inoltre garantire che le loro autorità competenti adottino tutte le misure necessarie, quali collaudi, formazione e verifiche, al fine di assicurare che i loro agenti accedano ai dati e li trattino nel rispetto delle norme dell'UE e nazionali applicabili in materia di protezione dei dati personali e riservatezza commerciale.
12) Il regolamento (UE) 2020/1056 impone agli operatori economici interessati di comunicare alle autorità competenti l'«unico collegamento elettronico di identificazione» ai dati eFTI leggibili da dispositivo automatico corrispondenti alle informazioni regolamentari. Dal punto di vista procedurale, tale comunicazione dovrebbe avvenire in due modi e i componenti TIC che gli Stati membri devono predisporre dovrebbero consentire entrambe le procedure. Le autorità competenti dovrebbero poter scegliere l'una o l'altra procedura quando richiedono l'accesso a dati eFTI per effettuare controlli delle informazioni regolamentari.
13) Innanzitutto, in linea con le attuali procedure cartacee di controllo della conformità, gli operatori economici interessati dovrebbero essere in grado di comunicare direttamente all'autorità competente l'unico collegamento elettronico di identificazione durante i controlli effettuati in presenza fisica, nel corso tanto dell'operazione di trasporto quanto dei controlli effettuati presso i locali dell'operatore economico, laddove le disposizioni applicabili dell'UE o nazionali prevedano la possibilità di effettuare controlli dopo il completamento delle operazioni di trasporto. Al fine di facilitare il trattamento da parte delle autorità competenti, l'unico collegamento elettronico di identificazione dovrebbe essere comunicato in un formato leggibile da dispositivo automatico, come un codice a barre o un codice QR, visualizzato sullo schermo di un dispositivo elettronico portatile quale un telefono cellulare o un tablet, oppure stampato su carta. Le autorità degli Stati membri dovrebbero poter decidere di accettare che, durante i controlli fisici delle operazioni di trasporto in corso, l'operatore economico possa, in via eccezionale, comunicare l'unico collegamento elettronico di identificazione tramite posta elettronica o un'altra applicazione di messaggistica elettronica, in situazioni nelle quali detto collegamento non possa essere visualizzato direttamente dall'operatore su uno schermo o su carta. Per i controlli effettuati presso i locali degli operatori economici, quando il numero di operazioni di trasporto da ispezionare è sostanzialmente più elevato, le autorità competenti dovrebbero poter scegliere di ricevere gli unici collegamenti elettronici di identificazione tramite posta elettronica o un'altra applicazione di messaggistica elettronica, al fine di facilitare e ottimizzare il trattamento di tali collegamenti. La scelta di tali ulteriori mezzi di comunicazione dovrebbe spettare alle rispettive autorità competenti.
14) In secondo luogo, e in modo più compatibile con un futuro in cui i processi saranno sempre più automatizzati, gli operatori economici dovrebbero comunicare l'unico collegamento elettronico di identificazione pubblicandolo in un archivio o registro elettronico, unitamente a determinati identificativi, quali l'identificazione univoca del mezzo di trasporto, ricavati dall'insieme di dati eFTI associati a tale unico collegamento elettronico di identificazione. Le autorità competenti potrebbero quindi recuperare tale collegamento dal registro eseguendo un'interrogazione basata su tali identificativi. Ciò consentirebbe alle autorità competenti di controllare le informazioni sulle merci trasportate su un camion, un treno o una chiatta senza fermare fisicamente i mezzi di trasporto o salirvi a bordo e, se del caso, di applicare le conseguenti misure conformemente al diritto nazionale. Ciò permetterebbe inoltre alle autorità competenti di recuperare più facilmente o in modo affidabile le informazioni su più operazioni di trasporto effettuate da un determinato mezzo di trasporto, in un determinato periodo di tempo, come nel caso dei controlli sul cabotaggio stradale, in linea con le disposizioni di cui al regolamento (CE) n. 1072/2009 del Parlamento europeo e del Consiglio (3).
15) Per garantire l'interoperabilità e la sicurezza dello scambio di informazioni tra i gate eFTI istituiti dai diversi Stati membri e tra i gate eFTI e le piattaforme eFTI, è opportuno utilizzare all'interno dell'ambiente eFTI una serie di norme armonizzate e specifiche per quanto riguarda lo scambio di messaggi, compresa la configurazione di accordi di scambio di messaggi, i processi aziendali, i formati di dati, gli identificativi e i certificati di sicurezza. Gli Stati membri dovrebbero inoltre concordare procedure sicure per lo scambio dei certificati di sicurezza, ad esempio mediante un sistema personalizzato o un protocollo di trasferimento sicuro dei file.
16) Al fine di ridurre i costi e i tempi di creazione dei gate eFTI e degli altri componenti TIC, gli Stati membri, per quanto possibile, dovrebbero basarsi su standard aperti gestiti da organizzazioni europee o internazionali e su soluzioni riutilizzabili. Per quanto concerne i formati di scambio dei messaggi, gli standard aperti più diffusi e accettati a livello internazionale sono l"XML e il JSON. Mentre il JSON è un formato più recente e, per certi aspetti, più semplice da attuare, l"XML è il formato più comunemente utilizzato dai sistemi TIC delle autorità competenti nella maggior parte degli Stati membri. Di conseguenza, al fine di consentire agli Stati membri di riutilizzare le soluzioni esistenti e ridurre così i costi iniziali di attuazione, tutte le comunicazioni tra i gate eFTI e tra questi ultimi e le piattaforme eFTI dovrebbero essere effettuate utilizzando un unico formato di scambio di messaggi, ossia l"XML. Analogamente, gli standard per gli scambi di messaggi sicuri gestiti dalla Commissione come parte dell'elemento costitutivo digitale di eDelivery (4), e in particolare del profilo eDelivery AS4, forniscono una soluzione tecnica efficiente sotto il profilo dei costi in relazione alla quale gli Stati membri hanno già acquisito esperienza in termini di attuazione.
17) Allo stesso tempo, oltre ad eDelivery, gli Stati membri dovrebbero essere in grado di riutilizzare gli standard e le soluzioni per lo scambio di messaggi già in uso in altri servizi pubblici digitali per la comunicazione tra il gate eFTI e le piattaforme eFTI istituiti nello Stato membro in questione. Le prescrizioni dettagliate e gli standard alla base di tali soluzioni dovrebbero essere resi pubblicamente disponibili al fine di consentirne l'attuazione da parte dei programmatori di piattaforme eFTI interessati nonché di permettere agli organismi di valutazione della conformità accreditati di valutarne la conformità rispetto alle specifiche.
18) Analogamente, per consentire agli agenti delle autorità competenti di utilizzare i componenti TIC che costituiscono il punto di accesso, o i «punti di accesso per l'autorità», all'ambiente eFTI, gli Stati membri dovrebbero poter utilizzare le soluzioni elettroniche esistenti che garantiscono l'identificazione e l'autenticazione dell'identità di tali agenti quando accedono ad altri servizi pubblici digitali nazionali che danno accesso a dati personali o commerciali di terzi. Tali soluzioni dovrebbero fondarsi, laddove disponibili, sui mezzi di identificazione elettronica di cui al regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (5).
19) Nello stesso spirito, gli Stati membri dovrebbero poter riutilizzare qualsiasi altro componente esistente dei sistemi TIC delle loro autorità competenti che svolga funzioni analoghe a quelle specificate nel presente regolamento, come i registri delle autorizzazioni, a condizione che siano adattati in linea con le prescrizioni specifiche stabilite nel presente regolamento.
20) Per facilitare al massimo l'utilizzo dell'ambiente di scambio eFTI da parte degli agenti delle autorità competenti e per agevolare la loro analisi dei dati eFTI messi a disposizione dagli operatori economici su una piattaforma eFTI, gli Stati membri dovrebbero poter adattare l'applicazione utente e la sua interfaccia grafica utente alle esigenze dei loro agenti. Gli Stati membri dovrebbero inoltre poter introdurre funzionalità aggiuntive che devono essere sostenute dalle applicazioni utente, quali l'uso di algoritmi intelligenti in grado di pretrattare i dati eFTI, combinando anche informazioni provenienti da altre fonti elettroniche, qualora intendano procedere in tal senso.
21) Il funzionamento continuo e agevole dell'ambiente eFTI richiede la rapida risoluzione di qualsiasi questione operativa legata ai componenti TIC predisposti dagli Stati membri. Al fine di garantire ciò, gli Stati membri e la Commissione dovrebbero istituire una rete di sostegno tecnico, costituita da helpdesk dedicati rispettivamente a livello nazionale e di Unione. Tale rete dovrebbe stabilire procedure chiare di comunicazione e garantire periodi minimi di disponibilità sincronizzati per consentire una reazione rapida a eventuali incidenti e tempi di inattività che possono incidere sul funzionamento dell'ambiente di scambio eFTI. I punti di contatto per il sostegno tecnico dovrebbero disporre dei poteri e di risorse umane e finanziarie sufficienti per consentire loro di svolgere i propri compiti. Sulla base delle relazioni sulle attività, gli helpdesk possono pubblicare informazioni aggregate sui pannelli di gestione dedicati degli helpdesk. I periodi minimi di disponibilità comune degli helpdesk dovrebbero essere riveduti periodicamente, al fine di consentire l'adeguamento della loro attività e l'allocazione efficiente delle risorse.
22) I componenti TIC che gli Stati membri devono creare funzioneranno come componenti integrali del più ampio ambiente di scambio eFTI. Ciò significa che la creazione e la manutenzione di tali componenti dovrebbe basarsi su sforzi coordinati, fondati su un'interpretazione armonizzata delle specifiche stabilite nel presente regolamento. A tal fine gli Stati membri dovrebbero altresì creare una rete di sostegno operativo, in collaborazione con la Commissione, sotto forma di un gruppo di esperti dedicato. Per sfruttare le competenze e l'esperienza sviluppate all'interno del Forum per la logistica e il trasporto digitale (Digital Transport and Logistics Forum, DTLF), ossia il gruppo di esperti istituito dalla Commissione (6) per fornire assistenza nello sviluppo e nell'attuazione delle attività e dei programmi dell'Unione finalizzati alla digitalizzazione del settore dei trasporti e della logistica, detto gruppo di esperti dovrebbe essere istituito come sottogruppo del DTLF.
23) Al fine di facilitare gli sforzi di attuazione degli Stati membri e garantire un'applicazione uniforme delle presenti specifiche, si prevede di integrare il presente regolamento mediante documenti di sostegno tecnico più dettagliati e non vincolanti, preparati dalla Commissione in collaborazione con gli Stati membri nel contesto di tale gruppo dedicato di esperti.
24) Le misure di cui al presente regolamento sono conformi al parere del comitato per un'agevolazione digitale dei trasporti e del commercio,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 249 del 31.7.2020.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016).
Regolamento (CE) n. 1072/2009 del Parlamento europeo e del Consiglio, del 21 ottobre 2009, che fissa norme comuni per l'accesso al mercato internazionale del trasporto di merci su strada (GU L 300 del 14.11.2009).
https://ec.europa.eu/digital-building-blocks/wikis/display/DIGITAL/eDelivery.
Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014).
Commission Decision C(2018) 5921 of 13 September 2018 setting up the group of experts on digital freight transport and logistics: the Digital Transport and Logistics Forum (DTLF).
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «ambiente di scambio eFTI»: l'insieme dei componenti delle tecnologie dell'informazione e della comunicazione (TIC) utilizzati per lo scambio di dati conformemente al regolamento (UE) 2020/1056 e agli atti di esecuzione e delegati adottati a norma di tale regolamento;
2) «componente TIC»: un'unità materiale (hardware) o immateriale (software) o un insieme di tali unità utilizzate per svolgere funzionalità specifiche atte a consentire la comunicazione elettronica di dati;
3) «agente dell'autorità competente»: una persona fisica autorizzata ad accedere alle prescrizioni relative alle informazioni regolamentari di cui all'articolo 2, paragrafo 1, del regolamento (UE) 2020/1056 e a trattarle per conto di un'autorità competente in uno Stato membro;
4) «dati eFTI»: i dati corrispondenti alle informazioni regolamentari, quando resi disponibili dagli operatori economici su una piattaforma eFTI conformemente al regolamento (UE) 2020/1056;
5) «richiesta di accesso a dati eFTI»: una richiesta presentata a nome di un'autorità competente al fine di ricevere i dati eFTI messi a disposizione dagli operatori economici su una piattaforma eFTI;
6) «comunicazione di follow-up»: la comunicazione tra le autorità competenti e gli operatori economici interessati in merito alle informazioni rese disponibili dagli operatori economici su una piattaforma eFTI, a seguito di un controllo, da parte di un agente dell'autorità competente, della conformità di tali informazioni fornite in risposta a una richiesta di accesso a dati eFTI. Tale comunicazione di follow-up può consistere in una richiesta di dati eFTI mancanti o in informazioni relative alle azioni di follow-up intraprese dall'autorità competente in conformità alle disposizioni nazionali applicabili;
7) «diritti di accesso»: le autorizzazioni concesse a un agente dell'autorità competente affinché svolga operazioni in relazione a uno o più sottoinsiemi di dati eFTI;
8) «diritti di trattamento»: le operazioni o gli insiemi di operazioni che un agente dell'autorità competente è autorizzato a svolgere in relazione a uno specifico sottoinsieme di dati eFTI ricevuto in risposta a una richiesta di accesso a dati eFTI;
9) «mezzi di identificazione elettronica»: un'unità materiale o immateriale contenente dati di identificazione personale e utilizzata per l'autenticazione per un servizio online;
10) «riferimenti di identificazione»: un numero di identificazione personale o un riferimento codificato che consente l'identificazione univoca di un agente dell'autorità competente;
11) «punto di accesso per le autorità» (authority access point, «AAP»): un componente TIC o un insieme di componenti TIC che svolgono le funzionalità di cui all'articolo 4;
12) «gate eFTI»: un componente TIC o un insieme di componenti TIC che svolgono le funzionalità di cui all'articolo 6;
13) «gate richiedente»: un gate eFTI che elabora una richiesta di accesso a dati eFTI presentata tramite un AAP connesso a tale gate eFTI o integrato in esso;
14) «gate ricevente»: un gate eFTI che elabora una richiesta di accesso a dati eFTI ricevuta da un gate richiedente;
15) «eDelivery»: una serie di specifiche tecniche e di norme per lo scambio di messaggi elettronici sviluppate dalla Commissione nell'ambito del programma del meccanismo per collegare l'Europa (1) e proseguite nel contesto del programma Europa digitale (2);
16) «punto di accesso eDelivery»: un componente di comunicazione che fa parte del servizio elettronico di recapito eDelivery basato su specifiche tecniche e norme;
17) «individuazione statica»: un meccanismo che consente a un punto di accesso eDelivery di ottenere i dettagli di connessione di un altro punto di accesso eDelivery senza ricorrere a sistemi di terzi;
18) «individuazione dinamica»: un meccanismo che consente a un punto di accesso eDelivery di ottenere i dettagli di connessione di un altro punto di accesso eDelivery consultandoli in un sistema di terzi;
19) «chiavi di sicurezza»: coppie di chiavi crittografiche pubbliche e private, generate da algoritmi crittografici sotto forma di numeri molto lunghi che hanno una relazione univoca tra loro;
20) «certificato di sicurezza»: un documento digitale rilasciato da un'autorità di certificazione che viene utilizzato per stabilire un canale di comunicazione elettronica sicuro tra due parti; include la chiave pubblica di sicurezza e le informazioni sull'oggetto del certificato;
21) «autorità di certificazione»: un soggetto che gestisce il ciclo di vita dei certificati digitali, che può includere processi di registrazione e processi di rilascio, consegna, attivazione, sospensione, revoca, rinnovo o riattivazione dei certificati di sicurezza;
22) «applicazione utente»: un componente TIC che svolge le funzionalità di cui all'articolo 7;
23) «documenti tecnici di orientamento»: una serie di documenti tecnici dettagliati e non vincolanti, preparati dalla Commissione in collaborazione con gli Stati membri nel quadro del gruppo di lavoro di cui all'articolo 13.
https://digital-strategy.ec.europa.eu/it/activities/cef-digital.
https://digital-strategy.ec.europa.eu/it/activities/digital-programme.
Misure comuni
1. Gli Stati membri provvedono affinché le loro autorità competenti abbiano accesso a sistemi TIC che siano in grado di elaborare gli unici collegamenti elettronici di identificazione (unique electronic identifying link, UIL) comunicati dagli operatori economici ai sensi dell'articolo 4, paragrafo 3, del regolamento (UE) 2020/1056 e che consentano agli agenti delle loro autorità competenti di accedere ai dati eFTI e di trattarli nel contesto di una delle procedure seguenti:
a) mediante trattamento diretto dell'UIL, se comunicato dall'operatore economico in un formato leggibile da dispositivo automatico, visualizzandolo a schermo su un dispositivo elettronico o stampato su un supporto fisico quale la carta oppure, se l'autorità competente sceglie di consentire tale comunicazione, anche inviandolo tramite posta elettronica o un'altra applicazione di messaggistica elettronica;
b) recuperando innanzitutto l'UIL, come comunicato dagli operatori economici attraverso la pubblicazione su un apposito registro, per mezzo di un identificativo unico associato a un'operazione di trasporto.
2. Gli Stati membri provvedono affinché i sistemi TIC di cui al paragrafo 1 forniscano quanto meno le funzionalità seguenti:
a) identificazione debitamente autenticata e debita autorizzazione degli agenti delle autorità competenti, ogni volta che un agente presenta una richiesta di accesso a dati eFTI;
b) facilitazione delle richieste di accesso a dati eFTI presentate dagli agenti delle autorità competenti, compreso il recupero delle informazioni richieste dalla piattaforma o dalle piattaforme eFTI appropriate, mediante connessioni sicure a tali piattaforme.
3. Al fine di attuare le funzionalità che figurano al paragrafo 2, tali sistemi TIC comprendono quanto meno i componenti seguenti:
a) punti di accesso per le autorità (AAP);
b) un registro delle autorizzazioni;
c) gate eFTI;
d) un meccanismo di ricerca;
e) un'applicazione utente.
4. Gli Stati membri provvedono affinché i componenti che figurano al paragrafo 3 siano conformi alle prescrizioni di cui al capo II. Gli Stati membri sono responsabili della creazione, dell'allocazione, dello sviluppo, della disponibilità, del monitoraggio, dell'aggiornamento e della manutenzione di tali componenti, così come della sicurezza delle informazioni trattate nell'ambito di tali componenti. Qualora creino o sviluppino congiuntamente uno o più di tali componenti, due o più Stati membri sono congiuntamente responsabili della creazione, dell'allocazione, dello sviluppo, della disponibilità, del monitoraggio, dell'aggiornamento, della manutenzione e della sicurezza di detti componenti.
5. Resta in capo agli Stati membri la responsabilità di garantire che l'accesso ai dati eFTI e il relativo trattamento da parte delle autorità competenti avvenga esclusivamente per controllare la conformità alle disposizioni giuridiche dell'UE e nazionali applicabili, e conformemente alle disposizioni dell'UE e nazionali applicabili che stabiliscono le condizioni per l'esecuzione di tali controlli di conformità, nonché alle norme sul rispetto della protezione dei dati personali e della riservatezza dei dati commerciali.
Richieste di accesso a dati eFTI, risposte e comunicazioni di follow-up
1. Gli agenti dell'autorità competente presentano tutte le richieste di accesso a dati eFTI attraverso il componente AAP descritto all'articolo 4, per mezzo dell'applicazione utente di cui all'articolo 7.
2. Una richiesta di accesso a dati eFTI comprende le informazioni seguenti:
a) l'UIL dei dati eFTI a cui si richiede l'accesso, o uno o più identificativi che consentano di recuperare tale UIL dal registro degli identificativi di cui all'articolo 11. Tali informazioni sono fornite dall'agente dell'autorità competente responsabile della richiesta;
b) i riferimenti ai diritti di accesso dell'agente dell'autorità competente responsabile della presentazione della richiesta, come registrati nel registro delle autorizzazioni di cui all'articolo 5. Tali informazioni sono aggiunte automaticamente dall'applicazione utente;
c) il numero di identificazione unico della richiesta, rilasciato dall'AAP. Tale informazione è aggiunta automaticamente dall'applicazione utente.
3. Le risposte a una richiesta di accesso a dati eFTI possono assumere una delle forme seguenti:
a) dati eFTI, trasmessi da una piattaforma eFTI sulla base delle informazioni contenute in una richiesta, e metadati o identificativi di scambio di messaggi associati, necessari per consentire ai gate eFTI riceventi o ai punti di accesso per le autorità di mappare i dati eFTI in relazione alla rispettiva richiesta;
b) messaggi di errore, contenenti specifiche testuali brevi o codificate del tipo di errore quando un gate eFTI o una piattaforma eFTI non è in grado di fornire i dati eFTI richiesti per motivi tecnici o di processo aziendale;
c) un messaggio indicante che non sono disponibili dati, che deve essere emesso da un gate eFTI ricevente quando elabora una richiesta contenente identificativi e il meccanismo di ricerca del gate non rileva alcun UIL attivo collegato a tali identificativi nel suo registro degli identificativi;
d) un messaggio di «nessuna risposta», trasmesso da un gate eFTI o da una piattaforma eFTI quando tale gate eFTI o piattaforma eFTI conferma la ricezione della richiesta ma non invia un messaggio contenente i dati eFTI richiesti entro 60 secondi dalla conferma della ricezione.
4. Se l'agente dell'autorità competente stabilisce che le informazioni messe a disposizione da un operatore economico su una piattaforma eFTI, e recuperate in risposta a una richiesta di accesso a dati eFTI, sono incomplete o non rispettano in altro modo le prescrizioni relative alle informazioni regolamentari in base alle quali è stata presentata la richiesta, l'agente può comunicare tale conclusione all'operatore economico presentando una specifica comunicazione di follow-up per tali informazioni. Tale comunicazione di follow-up è conforme alle prescrizioni giuridiche nazionali applicabili alle azioni conseguenti ai controlli di conformità normativa.
5. Quando viene presentata una specifica comunicazione di follow-up di cui al paragrafo 4, l'autorità competente la trasmette anche attraverso il componente AAP, per mezzo dell'applicazione utente. Essa contiene:
a) le informazioni che l'autorità competente deve comunicare all'operatore economico, in formato testo libero o come documento allegato;
b) l'UIL dei dati eFTI e il numero di identificazione unico della richiesta di accesso a tali dati per la quale viene presentata la comunicazione di follow-up.
Punti di accesso per le autorità
1. I componenti AAP consentono l'accesso da parte degli agenti delle autorità competenti all'ambiente di scambio eFTI e costituiscono l'unico punto di accesso di un agente a tale ambiente.
2. Un AAP svolge le funzionalità seguenti:
a) autenticazione dell'identità degli agenti dell'autorità competente o garanzia dell'autenticazione dell'identità degli agenti dell'autorità competente;
b) autorizzazione della richiesta di accesso a dati eFTI degli agenti dell'autorità competente, sulla base dei rispettivi diritti di accesso memorizzati nel registro delle autorizzazioni, o respingimento della richiesta se l'agente dell'autorità competente non dispone di diritti di accesso attivi registrati;
c) registrazione delle richieste di accesso a dati eFTI autorizzate rilasciando un numero di identificazione unico per ciascuna richiesta e registrazione di almeno le informazioni seguenti per ciascuna richiesta:
i) i riferimenti di identificazione dell'agente responsabile della presentazione della richiesta;
ii) l'UIL dei dati eFTI a cui si richiede l'accesso, o l'identificativo o gli identificativi forniti dall'agente al momento della presentazione della richiesta;
iii) i riferimenti ai diritti di accesso dell'agente dell'autorità competente responsabile della presentazione della richiesta, come registrati nel registro delle autorizzazioni;
iv) la data e l'ora di presentazione della richiesta;
d) trasmissione delle richieste di accesso a dati eFTI autorizzate al gate eFTI per l'elaborazione, fornendo le informazioni seguenti:
i) il numero di identificazione unico della richiesta;
ii) l'UIL dei dati eFTI a cui si richiede l'accesso, o l'identificativo o gli identificativi forniti dall'agente al momento della presentazione della richiesta;
iii) i riferimenti ai diritti di trattamento dell'agente dell'autorità competente responsabile della presentazione della richiesta, come registrati nel registro delle autorizzazioni;
e) ricezione delle risposte alle richieste trasmesse dal gate eFTI e loro messa a disposizione dell'agente dell'autorità competente responsabile della richiesta attraverso l'applicazione utente;
f) mantenimento di una traccia di controllo delle risposte ricevute per ciascuna richiesta, registrando almeno le informazioni seguenti:
i) il numero di identificazione unico della richiesta per la quale è stata ricevuta la risposta;
ii) la data e l'ora in cui la risposta è stata ricevuta dall'AAP;
iii) la data e l'ora in cui la risposta è stata inoltrata dall'AAP all'agente responsabile della rispettiva richiesta;
g) conservazione di un archivio delle richieste di accesso a dati eFTI e del registro delle risposte ricevute per un periodo di due anni o, qualora le disposizioni nazionali applicabili in materia di disponibilità di prove per l'applicazione delle disposizioni per cui è richiesto l'accesso a dati eFTI prevedano un periodo di tempo più lungo, per tale periodo di tempo;
h) quando viene presentata una comunicazione di follow-up ai sensi dell'articolo 3, paragrafo 4, registrazione della comunicazione di follow-up rilasciando un numero di identificazione unico per la comunicazione di follow-up e registrazione di almeno le informazioni seguenti per tale comunicazione di follow-up:
i) i riferimenti di identificazione dell'agente responsabile della presentazione della comunicazione di follow-up;
ii) l'UIL dei dati eFTI e il numero di identificazione unico della richiesta di accesso a tali dati per la quale è stata presentata la comunicazione di follow-up;
iii) la data e l'ora in cui è stata presentata la comunicazione di follow-up;
iv) il contenuto della comunicazione di follow-up;
i) trasmissione delle comunicazioni di follow-up al gate eFTI per l'elaborazione, fornendo le informazioni seguenti:
i) l'UIL dei dati eFTI e il numero di identificazione unico della richiesta di accesso a tali dati per la quale è stata presentata la comunicazione di follow-up;
ii) il contenuto della comunicazione di follow-up.
3. Per fornire le funzionalità di cui al paragrafo 2, l'AAP:
a) utilizza mezzi di identificazione elettronica adeguati che consentano l'identificazione e l'autenticazione affidabili degli agenti delle autorità competenti o che consentano di verificare che l'identificazione e l'autenticazione di tali agenti sia garantita da un altro componente TIC appropriato;
b) utilizza un registro delle autorizzazioni;
c) stabilisce e mantiene una connessione sicura a un gate eFTI;
d) consente una connessione sicura all'applicazione utente.
4. Gli Stati membri possono creare AAP al di fuori del gate eFTI, nel contesto di sistemi TIC esistenti delle rispettive autorità competenti, oppure integrati nel rispettivo gate eFTI.
Registro delle autorizzazioni
Gli Stati membri provvedono affinché i diritti degli agenti delle loro autorità competenti di accedere a dati eFTI e di trattarli siano registrati e aggiornati in un registro delle autorizzazioni. Il registro delle autorizzazioni comprende, per ciascun agente dell'autorità competente, almeno gli elementi seguenti:
a) i riferimenti di identificazione unici dell'agente;
b) i diritti di accesso del rispettivo agente, espressi come elenco dei riferimenti degli atti giuridici dell'Unione e nazionali che prevedono la comunicazione di informazioni regolamentari in relazione ai quali il rispettivo agente ha competenze e, più specificamente, come elenco dei rispettivi identificativi dei sottoinsiemi di dati eFTI corrispondenti a tali disposizioni, come stabilito nell'allegato, sezioni 3 e 4, del regolamento delegato (UE) 2024/2024 (1);
c) i diritti di trattamento del rispettivo agente, espressi come riferimenti codificati alle operazioni di trattamento che l'agente ha il diritto di svolgere in relazione a ciascuno dei rispettivi sottoinsiemi di dati eFTI, in linea con la legislazione dell'Unione o nazionale applicabile che determina le competenze di tale agente;
d) un registro delle modifiche dei diritti di accesso e di trattamento di tale agente.
Regolamento delegato (UE) 2024/2024 della Commissione, del 26 luglio 2024, che integra il regolamento (UE) 2020/1056 stabilendo l'insieme di dati comuni eFTI e i sottoinsiemi di dati eFTI (GU L, 2024/2024, 20.12.2024, ELI: http://data.europa.eu/eli/reg_del/2024/2024/oj).
Gate eFTI
1. I gate eFTI assicurano, direttamente o tramite connessione ad altri gate eFTI, che:
a) le richieste di accesso a dati eFTI autorizzate siano trasmesse alla piattaforma eFTI e contengano le informazioni specifiche richieste;
b) per ciascuna richiesta, la risposta ricevuta dalla rispettiva piattaforma eFTI sia trasmessa all'applicazione utente dell'agente dell'autorità competente responsabile di tale richiesta, direttamente o tramite un AAP, a seconda dei casi; e
c) se presentata, la comunicazione di follow-up a tale richiesta sia trasmessa alla piattaforma eFTI che contiene i dati eFTI per i quali è stata formulata la richiesta e fornita la risposta.
2. Un gate eFTI fornisce le funzionalità seguenti:
a) convalida della richiesta di accesso a dati eFTI e, se presentata, della comunicazione di follow-up, in uno dei seguenti modi:
i) quando svolge la funzione di «gate richiedente», laddove l'AAP sia costituito come componente distinto al di fuori del gate eFTI, verificando la chiave di sicurezza dell'AAP attraverso cui è stata presentata la richiesta o la comunicazione di follow-up;
ii) quando svolge la funzione di «gate ricevente», verificando la chiave di sicurezza del gate eFTI da cui ha ricevuto la richiesta o la comunicazione di follow-up;
iii) quando la convalida della chiave di sicurezza del rispettivo gate eFTI non riesce, inviando un messaggio di errore al «gate richiedente», all'AAP o all'agente dell'autorità competente responsabile della richiesta o della comunicazione di follow-up, a seconda dei casi;
b) elaborazione della richiesta di accesso a dati eFTI e, se presentata, della comunicazione di follow-up, mediante il meccanismo di ricerca conformemente all'articolo 8 e, su tale base, inoltro della richiesta o della comunicazione di follow-up, a seconda dei casi:
i) alla piattaforma eFTI appropriata o al/ai gate eFTI, quando svolge la funzione di «gate richiedente»;
ii) alla piattaforma eFTI appropriata, quando svolge la funzione di «gate ricevente»;
c) mantenimento di una traccia di controllo di tutte le richieste di accesso a dati eFTI o delle comunicazioni di follow-up che ha elaborato, registrando almeno le informazioni seguenti:
i) il numero di identificazione unico della richiesta di accesso a dati eFTI o della comunicazione di follow-up;
ii) l'identificativo dell'AAP o del «gate eFTI richiedente» da cui ha ricevuto tale richiesta o comunicazione di follow-up;
iii) la data e l'ora di ricezione di tale richiesta;
d) convalida della risposta ricevuta a una richiesta elaborata, come segue:
i) quando riceve la risposta direttamente dalla piattaforma eFTI, controllando la chiave di sicurezza e lo stato di certificazione della piattaforma eFTI, sulla base del registro di cui al paragrafo 3, lettera e);
ii) quando riceve la risposta da un «gate eFTI ricevente», controllando la chiave di sicurezza di tale gate eFTI sulla base del registro di cui al paragrafo 3, lettera f);
iii) quando la convalida della chiave di sicurezza del rispettivo gate eFTI o della rispettiva piattaforma eFTI non riesce, inviando un messaggio di errore corrispondente al «gate richiedente», all'AAP o all'applicazione utente dell'agente dell'autorità competente responsabile della richiesta, a seconda dei casi;
e) inoltro della risposta ricevuta a una richiesta elaborata attraverso lo stesso percorso della richiesta inoltrata, in sequenza inversa, a seconda dei casi:
i) al «gate eFTI richiedente»; o ii) all'applicazione utente dell'agente dell'autorità competente responsabile della richiesta in questione, direttamente o attraverso l'AAP;
f) quando riceve una conferma di ricezione della richiesta ma non riceve nessun'altra risposta entro 60 secondi da tale conferma, trasmissione di un messaggio di «nessuna risposta» al «gate richiedente», all'AAP o all'applicazione utente dell'agente dell'autorità competente responsabile della richiesta, a seconda dei casi;
g) mantenimento di una traccia di controllo di tutte le risposte alle richieste di accesso inoltrate, registrando almeno le informazioni seguenti:
i) l'UIL dell'insieme di dati eFTI ricevuto in risposta alla richiesta in questione;
ii) il numero di identificazione unico della piattaforma eFTI o del «gate eFTI ricevente» da cui ha ricevuto la risposta;
iii) la data e l'ora di ricezione di tale risposta;
iv) se non è stata ricevuta alcuna risposta, un'indicazione in tal senso;
h) archiviazione e mantenimento a disposizione a fini di verifica dei registri di cui alle lettere c) e g) per un periodo di due anni o, se le disposizioni nazionali in materia di disponibilità di prove per l'applicazione delle disposizioni per cui è richiesto l'accesso a dati eFTI prevedono un periodo di tempo più lungo, per tale periodo di tempo.
3. Al fine di consentire le funzionalità di cui al paragrafo 2, un gate eFTI:
a) utilizza un meccanismo di ricerca, conformemente all'articolo 8;
b) stabilisce e mantiene una connessione sicura agli AAP che facilitano l'accesso all'ambiente di scambio eFTI degli agenti dell'autorità competente dello Stato membro che ha istituito il rispettivo gate eFTI;
c) nel caso in cui gli AAP siano costituiti come componenti integrati nel gate eFTI, stabilisce e mantiene una connessione sicura all'applicazione o alle applicazioni utente, a seconda dei casi, degli agenti dell'autorità competente dello Stato membro che ha istituito il rispettivo gate eFTI;
d) nel caso in cui gli AAP siano costituiti come componenti distinti rispetto al gate eFTI, stabilisce e mantiene un registro aggiornato contenente i numeri di identificazione unici e i certificati di sicurezza di tali AAP;
e) stabilisce e mantiene una connessione sicura a tutti gli altri gate eFTI, nonché un registro aggiornato contenente i numeri di identificazione unici e i certificati di sicurezza di tali gate eFTI;
f) stabilisce e mantiene una connessione sicura a tutte le piattaforme eFTI che hanno ricevuto la certificazione nello Stato membro o negli Stati membri che hanno istituito il rispettivo gate eFTI, nonché un registro aggiornato contenente i numeri di identificazione unici, le chiavi di sicurezza e lo stato di certificazione di tali piattaforme eFTI;
g) è in grado di utilizzare servizi o artefatti comunemente definiti, quali la configurazione, i codici di errore, le tassonomie o gli elenchi di codici nell'ambiente di scambio eFTI, laddove tali servizi o artefatti siano concordati nel contesto della rete di sostegno operativo di cui all'articolo 13.
4. Se in uno Stato membro non è accreditato alcun organismo di valutazione della conformità atto a certificare le piattaforme eFTI ai sensi dell'articolo 11 del regolamento (UE) 2020/1056, tale Stato membro provvede affinché il proprio gate eFTI stabilisca e mantenga la connessione sicura e il registro aggiornato di cui al paragrafo 3, lettera f), per le piattaforme eFTI che hanno ricevuto la certificazione da organismi di valutazione della conformità accreditati in altri Stati membri. Tale Stato membro procede in tal senso su richiesta dell'operatore economico o del prestatore di servizi eFTI che gestisce tale piattaforma e dopo aver chiesto e ricevuto dallo Stato membro in cui la piattaforma eFTI ha ricevuto la certificazione una conferma del fatto che non gli sono pervenute altre richieste di conferma per la stessa piattaforma eFTI da un altro Stato membro. Ciò solleva il gate eFTI dello Stato membro in cui la piattaforma eFTI ha ricevuto la certificazione dall'obbligo di stabilire e mantenere una connessione sicura a tale piattaforma.
Applicazione utente
1. L'applicazione utente consente a un agente dell'autorità competente di interagire con l'AAP.
2. Un'applicazione utente fornisce quanto meno le funzionalità seguenti:
a) generazione di richieste di accesso a dati eFTI, sulla base delle informazioni fornite da un agente dell'autorità competente, una volta che l'agente responsabile è stato debitamente identificato, autenticato e autorizzato dall'AAP;
b) ricezione e visualizzazione, a fini di visione da parte dell'agente dell'autorità competente responsabile della richiesta, dei corrispondenti dati eFTI forniti dalla o dalle rispettive piattaforme eFTI in risposta a tale richiesta o dei messaggi di «nessuna risposta» o di errore trasmessi dall'AAP o dal «gate eFTI ricevente»;
c) agevolazione di altri trattamenti dei dati eFTI ricevuti da parte dell'agente dell'autorità competente responsabile della richiesta, in linea con i diritti di trattamento di tale agente;
d) laddove consentito dalle disposizioni nazionali applicabili, generazione di comunicazioni di follow-up, sulla base delle informazioni fornite da un agente dell'autorità competente.
3. Al fine di consentire le funzionalità di cui al paragrafo 2, un'applicazione utente provvede come minimo a:
a) fornire un'interfaccia grafica utente agli agenti delle autorità competenti;
b) stabilire e mantenere una connessione sicura a un AAP o a un gate eFTI, a seconda dei casi;
c) per il trattamento dei dati, utilizzare come riferimento i sottoinsiemi di dati corrispondenti alle disposizioni degli atti giuridici dell'Unione e nazionali, come stabilito dal regolamento delegato (UE) 2024/2024, in relazione ai quali gli agenti delle autorità competenti hanno competenze.
Meccanismo di ricerca
1. Il meccanismo di ricerca è un componente integrato in un gate eFTI che, come funzionalità principale, elabora le informazioni incluse nella richiesta o nella comunicazione di follow-up, come segue:
a) dall'UIL dei dati eFTI, recupera l'identificativo della piattaforma eFTI che conserva i dati eFTI per i quali è stata effettuata la richiesta di accesso oppure la comunicazione di follow-up e, rispettivamente, l'identificativo del gate eFTI a cui tale piattaforma è connessa;
b) se la richiesta di informazioni include uno o più degli identificativi di cui all'articolo 11, paragrafo 3, ricerca nel registro degli identificativi un valore corrispondente e
i) se viene individuata una corrispondenza, recupera l'UIL o l'insieme di UIL attivi connessi ai rispettivi identificativi, quindi elabora le informazioni contenute nei rispettivi UIL, conformemente alla lettera a);
ii) se non viene individuata alcuna corrispondenza, ne dà notifica al gate eFTI di conseguenza.
2. Al fine di consentire la funzionalità di cui al paragrafo 1, il meccanismo di ricerca:
a) gestisce un registro di identificativi, conformemente all'articolo 11;
b) utilizza un registro Service Metadata Publisher (SMP) e un servizio Service Metadata Locator (SML) in conformità alle specifiche eDelivery o un servizio di registro con capacità analoghe, al fine di consentire l'individuazione di piattaforme eFTI, sulla base delle informazioni contenute nella richiesta o nella comunicazione di follow-up.
Scambio di messaggi
1. Gli Stati membri provvedono affinché i gate eFTI da loro istituiti, così come gli AAP e le applicazioni utente delle loro autorità competenti, comunichino e siano in grado di ricevere comunicazioni in un formato di scambio di messaggi standardizzato. La comunicazione tra i gate eFTI e tra questi ultimi e le piattaforme eFTI avviene utilizzando il formato XML.
2. Tutte le comunicazioni tra i gate eFTI avvengono sotto forma di scambi di messaggi attraverso i punti di accesso eDelivery, conformemente alle specifiche di scambio di messaggi eDelivery, e utilizzando il meccanismo di individuazione statica di eDelivery.
3. Lo scambio di messaggi attraverso i punti di accesso eDelivery, conformemente alle specifiche di scambio di messaggi eDelivery, e utilizzando il meccanismo di individuazione dinamica di eDelivery, è abilitato anche per la comunicazione tra i gate eFTI e le piattaforme eFTI.
4. Qualora uno Stato membro abbia già predisposto specifiche equivalenti, definite a livello nazionale, per lo scambio di messaggi sicuri per i servizi pubblici digitali, esso può decidere di consentire che la comunicazione tra le piattaforme eFTI e il gate eFTI istituito da detto Stato membro possa avvenire anche sulla base di tali specifiche equivalenti per lo scambio di messaggi. In tal caso, gli Stati membri provvedono affinché tali specifiche, debitamente dettagliate e aggiornate, siano rese pubblicamente disponibili.
Certificati di sicurezza
1. Gli Stati membri rilasciano certificati di sicurezza, mediante un'autorità di certificazione, ai punti di accesso eDelivery integrati nei gate eFTI da essi istituiti e ai punti di accesso eDelivery o, se del caso, al punto di accesso equivalente per lo scambio di messaggi di ciascuna piattaforma eFTI che ha ricevuto la certificazione da un organismo di valutazione della conformità accreditato nel rispettivo Stato membro.
2. Gli Stati membri provvedono affinché le chiavi di sicurezza private del punto di accesso eDelivery integrato nel o nei gate eFTI siano conservate in modo sicuro e che i certificati digitali corrispondenti siano trasmessi in modo sicuro tra i gate eFTI e tra un gate eFTI e le piattaforme eFTI connesse a tale gate.
3. Gli Stati membri garantiscono meccanismi sicuri per la ricezione, la registrazione, il recupero e la convalida delle chiavi pubbliche o dei certificati di sicurezza delle piattaforme eFTI connesse al loro gate eFTI. Se uno Stato membro istituisce un registro SMP in linea con le specifiche SMP di eDelivery, con adeguati meccanismi di sicurezza, può essere utilizzato un registro SMP a tal fine.
Registro degli identificativi
1. Il registro degli identificativi di cui all'articolo 8, paragrafo 2, lettera a), consente agli operatori economici di caricare, mediante una piattaforma eFTI, l'UIL di un insieme di dati eFTI unitamente agli identificativi che consentono di recuperare in modo univoco tale UIL, come elencato al paragrafo 3. Il registro degli identificativi consente il caricamento, l'attivazione, la disattivazione o la cancellazione dell'UIL di un insieme di dati eFTI e dei rispettivi identificativi.
2. La composizione dell'UIL consente di recuperare l'identificativo del gate eFTI, l'identificativo della piattaforma eFTI e l'identificativo univoco dell'insieme di dati eFTI corrispondente alle informazioni regolamentari rese disponibili dagli operatori economici sulla rispettiva piattaforma eFTI, fermo restando che:
a) l'identificativo del gate eFTI è costituito da un identificativo che consente di individuarlo in modo univoco nell'ambiente eFTI;
b) l'identificativo della piattaforma eFTI è costituito da un identificativo che consente di individuarla in modo univoco nell'ambiente eFTI;
c) l'identificazione univoca dell'insieme di dati eFTI è costituita da un numero univoco nel formato di un identificativo univoco universale (Universal Unique Identifier, UUID) assegnato automaticamente dalla piattaforma eFTI.
3. Gli identificativi che il registro deve consentire sono costituiti da quanto segue:
a) gli elementi di dati dell'insieme di dati eFTI corrispondenti alle informazioni regolamentari messe a disposizione dagli operatori economici, di cui all'allegato, sezione 2, del regolamento delegato (UE) 2024/2024, con i numeri di identificazione seguenti:
i) eFTI39;
ii) eFTI188;
iii) eFTI374;
iv) eFTI378;
v) eFTI448;
vi) eFTI581;
vii) eFTI578;
viii) eFTI618;
ix) eFTI620;
x) eFTI987;
xi) eFTI1000;
b) un elemento di dati che indica se sono trasportate o no merci pericolose, da identificare con le caratteristiche seguenti: identificativo dell'elemento di dati «eFTI1451»; nome «Indicatore di merci pericolose a bordo»; definizione «Indicazione se sono trasportate o no merci pericolose conformemente a ADR/ADN/RID. "Sì" significa che a bordo dell'unità di trasporto vi sono merci pericolose; "No" significa che le merci trasportate non figurano nell'elenco ADR/ADN/RID delle merci pericolose o che le merci pericolose sono esentate dagli obblighi di informazione di cui ai punti 3.5.6, 5.1.5.4.2, 5.4.1, 5.5.2.4.1 o 5.5.3.7 di ADR/ADN/RID.».
4. Il registro degli identificativi attiva l'UIL, al fine di renderlo disponibile per le interrogazioni, subito dopo il caricamento e lo disattiva quando viene caricato l'identificativo di cui al paragrafo 3, lettera a), punto ii), del presente articolo. Al fine di consentire i controlli in conformità alle disposizioni di cui al regolamento (CE) n. 1072/2009, per ciascun UIL per il quale l'identificativo di cui al paragrafo 3, lettera a), punto vi), del presente articolo presenta il valore «3», corrispondente a «trasporto su strada», il registro degli identificativi disattiva gli UIL soltanto dopo il periodo di tempo di cui all'articolo 8, paragrafo 2, del regolamento (CE) n. 1072/2009. Subito dopo la disattivazione, il registro cancella l'UIL e gli identificativi ad esso collegati.
Rete di sostegno tecnico
1. Gli Stati membri istituiscono helpdesk a due livelli distinti:
a) un helpdesk di «livello 1» è disponibile per fornire sostegno tecnico agli agenti delle autorità competenti in caso di questioni operative;
b) un helpdesk di «livello 2» è disponibile per fornire sostegno:
i) agli helpdesk di «livello 1» che sostengono gli agenti addetti ai controlli;
ii) agli helpdesk di «livello 1» istituiti dai proprietari delle piattaforme eFTI al fine di fornire sostegno tecnico agli operatori economici.
2. La Commissione istituisce un helpdesk di «livello 3» che:
a) fornisce sostegno tecnico agli helpdesk di «livello 2» per risolvere questioni operative legate al funzionamento dell'ambiente di scambio eFTI nel suo complesso, comprese le norme, le procedure e le specifiche funzionali e tecniche di attuazione, nonché l'insieme di dati comuni eFTI e i sottoinsiemi di dati eFTI di cui agli atti di esecuzione e delegati adottati a norma del regolamento (UE) 2020/1056;
b) svolge un ruolo di facilitatore per le questioni operative che riguardano due o più Stati membri e per le quali è necessario un coordinamento a livello di Unione, comprese l'interoperabilità tecnica dei gate eFTI e la comunicazione tra i gate eFTI;
c) interagisce con i servizi della Commissione che forniscono software dedicato o specifiche dei prodotti utilizzati dall'ambiente di scambio eFTI, come eDelivery.
3. Gli helpdesk di «livello 1» e di «livello 2» si mettono anche in contatto tra loro per risolvere questioni di interesse comune ai rispettivi livelli.
4. La disponibilità degli helpdesk è sincronizzata in tutta l'Unione al fine di garantire un periodo minimo di disponibilità comune durante i giorni lavorativi tra le ore 10:00 e le ore 16:00 secondo l'ora dell'Europa centrale (CET/CEST), fatta eccezione per le festività nazionali. Durante i finesettimana e le festività nazionali è disponibile un servizio di emergenza in cui almeno un membro del personale soggetto a reperibilità sarà disponibile per questioni urgenti che compromettono gravemente il funzionamento dell'ambiente di scambio eFTI a livello nazionale o di Unione.
5. Tutti gli helpdesk utilizzano strumenti di assistenza dedicati che consentono di identificare in modo univoco e seguire ogni richiesta di assistenza tecnica, anche quando la risoluzione di una richiesta comporta una comunicazione tra gli helpdesk.
6. Gli helpdesk tengono un registro di tutte le richieste di assistenza e del loro storico e compilano regolarmente relazioni sulle loro attività.
7. Gli Stati membri comunicano tra loro e alla Commissione i dati di contatto dei rispettivi helpdesk di «livello 2».
8. La data di inizio della disponibilità degli helpdesk è la data di cui all'articolo 5, paragrafo 1, del regolamento (UE) 2020/1056. L'adeguatezza del periodo minimo di disponibilità comune degli helpdesk è valutata entro dodici mesi da tale data.
Rete di sostegno operativo
1. E' istituito un gruppo di lavoro specifico come sottogruppo del gruppo di esperti istituito ai sensi della decisione C(2018) 5921 della Commissione, avente il mandato di garantire che le operazioni eFTI si svolgano secondo il livello di qualità richiesto.
2. I membri del gruppo di lavoro nominati dagli Stati membri agiscono anche in qualità di «punti di contatto nazionali eFTI».
3. I membri del gruppo di lavoro collaborano e si riuniscono regolarmente al fine, tra l'altro, di:
a) fornire aggiornamenti sullo stato operativo dell'ambiente di scambio eFTI;
b) fornire assistenza ai servizi della Commissione nei loro sforzi volti a risolvere le questioni tecniche e operative segnalate dagli Stati membri o dall"helpdesk di «livello 3» che richiedono coordinamento e orientamenti operativi a livello di Unione;
c) fornire assistenza alla Commissione nella redazione di documenti tecnici di orientamento a sostegno dell'attuazione del presente regolamento.
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento si applica a decorrere dalla data della sua entrata in vigore.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 5 luglio 2024
Per la Commissione
La presidente
URSULA VON DER LEYEN