
REGOLAMENTO DI ESECUZIONE (UE) 2025/848 DELLA COMMISSIONE, 6 maggio 2025
G.U.U.E. 7 maggio 2025, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la registrazione delle parti facenti affidamento sul portafoglio.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 27 maggio 2025
Applicabile dal: 24 dicembre 2026
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 5 ter, paragrafo 11,
considerando quanto segue:
1) Ai fini della registrazione delle parti facenti affidamento sulla certificazione che intendono avvalersi dei portafogli europei di identità digitale («portafogli») per la fornitura di servizi digitali pubblici o privati, come previsto dal regolamento (UE) n. 910/2014, gli Stati membri dovrebbero istituire e mantenere registri nazionali delle parti facenti affidamento sul portafoglio stabilite nel loro territorio.
2) La Commissione valuta periodicamente tecnologie, pratiche, norme e specifiche tecniche nuove. Al fine di garantire il massimo livello di armonizzazione tra gli Stati membri per lo sviluppo e la certificazione dei portafogli, le specifiche tecniche di cui al presente regolamento si fondano sul lavoro svolto nell'ambito della raccomandazione (UE) 2021/946 della Commissione (2), in particolare l'architettura e il quadro di riferimento che ne fanno parte. Conformemente al considerando 75 del regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (3), la Commissione dovrebbe riesaminare e, se necessario, aggiornare il presente regolamento per mantenerlo in linea con gli sviluppi globali, l'architettura e il quadro di riferimento e per seguire le migliori pratiche sul mercato interno.
3) Per garantire un ampio accesso ai registri e assicurare l'interoperabilità, gli Stati membri dovrebbero predisporre interfacce leggibili sia da utenti umani sia da dispositivi automatici che soddisfino le specifiche tecniche stabilite nel presente regolamento. Anche i fornitori di certificati di accesso della parte facente affidamento sul portafoglio e di certificati di registrazione della parte facente affidamento sul portafoglio, ove disponibili, dovrebbero poter avvalersi delle suddette interfacce ai fini del rilascio di tali certificati.
4) Poiché le politiche di registrazione forniscono alle parti facenti affidamento sul portafoglio orientamenti chiari in merito alla procedura di registrazione, gli Stati membri dovrebbero definire e pubblicare le politiche di registrazione applicabili ai registri nazionali istituiti nel proprio territorio.
5) La registrazione delle parti facenti affidamento sul portafoglio è intesa a rafforzare la fiducia nell'utilizzo dei portafogli attraverso una maggiore trasparenza. Gli Stati membri dovrebbero pertanto mettere a disposizione del pubblico le informazioni rilevanti in un formato leggibile sia da utenti umani sia da dispositivi automatici. A tal fine le parti facenti affidamento sul portafoglio dovrebbero fornire ai registri nazionali le informazioni necessarie, comprese le loro qualifiche.
6) Inoltre, ai fini di trasparenza, le parti facenti affidamento sul portafoglio dovrebbero dichiarare se intendono avvalersi dell'identificazione elettronica delle persone fisiche.
7) Per garantire che il processo di registrazione sia efficace in termini di costi e proporzionato al rischio, i conservatori dei registri dovrebbero istituire procedure di registrazione online e, se del caso, automatizzate per le parti facenti affidamento sul portafoglio, che siano di facile utilizzo. I conservatori dei registri dovrebbero verificare le domande di registrazione senza indebito ritardo.
8) Gli Stati membri sono tenuti a garantire che i portafogli siano in grado di autenticare parti facenti affidamento sul portafoglio indipendentemente dal luogo in cui sono stabilite nell'Unione. A tal fine, quando si identificano nei confronti delle unità di portafoglio, le parti facenti affidamento sul portafoglio dovrebbero utilizzare certificati di accesso della parte facente affidamento sul portafoglio. Per garantire l'interoperabilità di detti certificati su tutti i portafogli forniti nell'Unione, i certificati di accesso della parte facente affidamento sul portafoglio dovrebbero rispettare requisiti comuni definiti nell'allegato. La Commissione dovrebbe elaborare politiche di certificazione e dichiarazioni sulle pratiche di certificazione armonizzate che dovrebbero essere attuate dagli Stati membri. La Commissione, collaborando con gli Stati membri, dovrebbe monitorare attentamente lo sviluppo di norme nuove o alternative in base alle quali potrebbero essere implementati i certificati di accesso della parte facente affidamento sul portafoglio. In particolare dovrebbero essere valutati i modelli di fiducia che hanno dimostrato la loro efficacia e sicurezza negli Stati membri.
9) Come stabilito nel regolamento (UE) n. 910/2014, le parti facenti affidamento sul portafoglio non devono chiedere agli utenti di fornire dati diversi da quelli indicati per l'uso previsto dei portafogli durante la procedura di registrazione. Gli utenti del portafoglio dovrebbero essere in grado di verificare i dati di registrazione delle parti facenti affidamento sul portafoglio. Per consentire agli utenti del portafoglio di verificare che gli attributi richiesti dalla parte facente affidamento sul portafoglio rientrino nell'ambito di applicazione dei loro attributi registrati, gli Stati membri possono imporre il rilascio di certificati di registrazione della parte facente affidamento sul portafoglio alle parti facenti affidamento sul portafoglio registrate. Al fine di garantire l'interoperabilità dei certificati di registrazione della parte facente affidamento sul portafoglio, gli Stati membri dovrebbero provvedere affinché tali certificati rispettino i requisiti e le norme di cui all'allegato. In particolare, le parti facenti affidamento sul portafoglio dovrebbero dichiarare se intendono avvalersi dell'identificazione elettronica delle persone fisiche per soddisfare uno dei requisiti di cui all'articolo 6, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (4) ai fini di trasparenza. Le parti facenti affidamento sulla certificazione non dovrebbero inoltre rifiutare l'uso di pseudonimi se l'identificazione dell'utente non è richiesta dal diritto dell'Unione o nazionale.
10) Per proteggere gli utenti dall'eccessiva condivisione di informazioni con le parti facenti affidamento sul portafoglio e avvertirli in tali casi, gli Stati membri dovrebbero includere, nelle proprie politiche di certificazione, politiche comuni di accesso che consentano a una soluzione di portafoglio di informare l'utente del portafoglio ogniqualvolta una parte facente affidamento sul portafoglio chieda più informazioni di quelle che ha registrato o a cui è stata autorizzata ad accedere.
11) Per proteggere gli utenti del portafoglio, i conservatori dei registri dovrebbero poter sospendere o cancellare la registrazione delle parti facenti affidamento sul portafoglio senza preavviso qualora abbiano motivo di ritenere che la registrazione contenga informazioni inesatte, obsolete o fuorvianti, che la parte facente affidamento sul portafoglio non rispetti la politica di registrazione; oppure che la parte facente affidamento sul portafoglio stia in altro modo agendo in violazione del diritto dell'Unione o nazionale o della dichiarazione europea sui diritti e i principi digitali per il decennio digitale (5) per quanto riguarda il proprio ruolo di parte facente affidamento sul portafoglio, ad esempio nel caso in cui la parte in questione non abbia doverosamente ridotto al minimo la serie di attributi a cui chiede accesso. Al fine di salvaguardare la stabilità dell'ecosistema dei portafogli europei di identità digitale («ecosistema dei portafogli»), la decisione di sospendere o cancellare una registrazione dovrebbe essere proporzionata alla perturbazione del servizio causata dalla sospensione o dalla cancellazione e ai relativi costi e disagi per il prestatore di servizi e l'utente. A norma dell'articolo 46 bis, paragrafo 4, lettera f), del regolamento (UE) n. 910/2014, anche gli organismi di vigilanza hanno il potere di sospendere o cancellare la registrazione, se necessario.
12) Ai fini del controllo ex post, delle indagini da parte delle autorità di contrasto e della gestione delle controversie, i conservatori dei registri dovrebbero conservare per 10 anni le registrazioni di tutte le informazioni fornite dalle parti facenti affidamento sul portafoglio nel proprio registro nazionale.
13) Il regolamento (UE) 2016/679 e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (6) si applicano a tutte le attività di trattamento di dati personali ai sensi del presente regolamento.
14) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (7), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 31 gennaio 2025.
15) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Raccomandazione (UE) 2021/946 della Commissione, del 3 giugno 2021, relativa a un pacchetto di strumenti comuni dell'Unione per un approccio coordinato verso un quadro europeo relativo a un'identità digitale (GU L 210 del 14.6.2021, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
GU C 23 del 23.1.2023.
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto e ambito di applicazione
Il presente regolamento stabilisce le norme per la registrazione delle parti facenti affidamento sul portafoglio.
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «parte facente affidamento sul portafoglio»: una parte facente affidamento sulla certificazione che intende fare affidamento sulle unità di portafoglio per la prestazione di servizi pubblici o privati mediante interazione digitale;
2) «unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio;
3) «soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio;
4) «istanza di portafoglio»: l'applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un'unità di portafoglio, e che l'utente del portafoglio utilizza per interagire con l'unità di portafoglio;
5) «applicazione crittografica sicura per il portafoglio»: un'applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l'uso di tali funzioni;
6) «dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all'applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l'esecuzione sicura di operazioni critiche;
7) «risorse critiche»: risorse all'interno di un'unità di portafoglio o ad essa relative, di importanza tale che un'eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull'unità di portafoglio;
8) «fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio;
9) «utente del portafoglio»: un utente che ha il controllo dell'unità di portafoglio;
10) «registro nazionale delle parti facenti affidamento sul portafoglio»: un registro elettronico nazionale utilizzato da uno Stato membro per rendere pubbliche le informazioni sulle parti facenti affidamento sul portafoglio registrate in tale Stato membro a norma dell'articolo 5 ter, paragrafo 5, del regolamento (UE) n. 910/2014;
11) «fornitore di certificati di accesso della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di accesso delle parti facenti affidamento sul portafoglio alle parti facenti affidamento sul portafoglio registrate in tale Stato membro;
12) «certificato di accesso della parte facente affidamento sul portafoglio»: un certificato per sigilli elettronici o firme elettroniche che autenticano e convalidano la parte facente affidamento sul portafoglio, rilasciato da un fornitore di certificati di accesso della parte facente affidamento sul portafoglio;
13) «fornitore di dati di identificazione personale»: la persona fisica o giuridica responsabile del rilascio e della revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un'unità di portafoglio;
14) «conservatore dei registri delle parti facenti affidamento sul portafoglio»: l'organismo incaricato di redigere e mantenere l'elenco delle parti facenti affidamento sul portafoglio registrate stabilite nel proprio territorio e che è stato designato da uno Stato membro;
15) «certificato di registrazione della parte facente affidamento sul portafoglio»: un oggetto di dati che descrive l'uso previsto della parte facente affidamento sulla certificazione e indica gli attributi che tale parte ha registrato e intende richiedere agli utenti;
16) «fornitore di certificati di registrazione della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di registrazione delle parti facenti affidamento sul portafoglio alle parti facenti affidamento sul portafoglio registrate in tale Stato membro.
Registri nazionali
1. Gli Stati membri istituiscono e mantengono almeno un registro nazionale delle parti facenti affidamento sul portafoglio contenente informazioni sulle parti facenti affidamento sul portafoglio registrate stabilite in tale Stato membro.
2. Il registro comprende almeno le informazioni indicate nell'allegato I.
3. Gli Stati membri designano almeno un conservatore dei registri per la gestione e il funzionamento di almeno un registro nazionale delle parti facenti affidamento sul portafoglio.
4. Gli Stati membri rendono pubbliche online le informazioni di cui all'allegato I sulle parti facenti affidamento sul portafoglio registrate, sia in un formato leggibile da utenti umani che in un formato adatto al trattamento automatizzato.
5. Le informazioni di cui al paragrafo 2 sono disponibili attraverso un'interfaccia di programmazione di un'applicazione («API») comune unica e un sito web nazionale. Esse sono firmate o sigillate elettronicamente dal conservatore dei registri o per suo conto, conformemente ai requisiti comuni per un'API unica di cui all'allegato II, sezione 1.
6. Gli Stati membri provvedono affinché l'API di cui al paragrafo 5 sia conforme ai requisiti comuni di cui all'allegato II, sezione 2.
7. Gli Stati membri provvedono affinché i registri siano conformi alle politiche di registrazione comuni pertinenti definite all'articolo 4.
Politiche di registrazione
1. Gli Stati membri definiscono e pubblicano una o più politiche nazionali di registrazione applicabili ai registri nazionali istituiti nel loro territorio.
2. Gli Stati membri possono inserire o riutilizzare le politiche di registrazione settoriali o nazionali esistenti.
3. La politica nazionale di registrazione comprende almeno informazioni riguardanti:
a) le procedure di identificazione e autenticazione applicabili alle parti facenti affidamento sul portafoglio durante la procedura di registrazione;
b) la documentazione giustificativa richiesta relativa all'identità, all'iscrizione nel registro delle imprese, alle qualifiche applicabili e alle altre informazioni pertinenti sulla parte facente affidamento sul portafoglio;
c) le fonti autentiche o altre registrazioni elettroniche ufficiali e la possibilità di avvalersi di tali fonti o registrazioni per ottenere dati esatti;
d) altre informazioni o altri elementi di prova richiesti nell'ambito della procedura di registrazione;
e) se del caso, i mezzi automatizzati per consentire alle parti facenti affidamento sul portafoglio di registrarsi o di aggiornare una registrazione esistente;
f) il meccanismo di ricorso a disposizione delle parti facenti affidamento sul portafoglio conformemente alle leggi e alle procedure dello Stato membro in cui è istituito il registro nazionale;
g) le norme e le procedure per la verifica dell'identità delle parti facenti affidamento sul portafoglio registrate e di qualsiasi altra informazione rilevante fornita da tali parti.
4. Le procedure e la documentazione di cui al paragrafo 3, lettere (a) e (b), consentono alle parti facenti affidamento sul portafoglio di indicare le qualifiche specifiche in forza delle quali operano, come indicato nell'allegato I.
5. Se del caso, i requisiti stabiliti nella politica nazionale di registrazione non ostacolano una procedura di registrazione automatizzata.
Informazioni da fornire ai registri nazionali
1. Le parti facenti affidamento sul portafoglio forniscono ai registri nazionali almeno le informazioni indicate nell'allegato I.
2. Le parti facenti affidamento sul portafoglio garantiscono che le informazioni fornite siano esatte al momento della registrazione 3. Le parti facenti affidamento sul portafoglio aggiornano senza indebito ritardo eventuali informazioni precedentemente registrate nel registro nazionale delle parti facenti affidamento sul portafoglio.
Procedure di registrazione
1. I conservatori dei registri istituiscono procedure di registrazione elettroniche e, ove possibile, automatizzate per le parti facenti affidamento sul portafoglio, che siano di facile utilizzo.
2. Essi trattano le domande di registrazione senza indebito ritardo e forniscono al richiedente una risposta in merito alla domanda di registrazione entro il termine definito nella politica di registrazione applicabile, utilizzando mezzi adeguati e conformemente alle leggi e alle procedure dello Stato membro in cui è istituito il registro nazionale.
3. Ove possibile, i conservatori dei registri verificano in modo automatizzato:
a) l'esattezza, la validità, l'autenticità e l'integrità delle informazioni richieste a norma dell'articolo 5;
b) se del caso, la procura dei rappresentanti delle parti facenti affidamento sul portafoglio redatta e presentata conformemente alle leggi e alle procedure dello Stato membro in cui è istituito il registro nazionale;
c) il tipo di qualifiche delle parti facenti affidamento sul portafoglio di cui all'allegato I;
d) l'assenza di una registrazione esistente in un altro registro nazionale.
4. I conservatori dei registri verificano le informazioni di cui al paragrafo 3 a fronte della documentazione giustificativa fornita dalle parti facenti affidamento sul portafoglio o di fonti autentiche adeguate o di altre registrazioni elettroniche ufficiali nello Stato membro in cui è istituito il registro nazionale e alle quali hanno accesso conformemente alle leggi e alle procedure nazionali applicabili.
5. La verifica delle qualifiche delle parti facenti affidamento sul portafoglio di cui al paragrafo 3, lettera (c) è effettuata conformemente all'allegato III.
6. Se non può verificare le informazioni conformemente ai paragrafi da 3 a 5, il conservatore dei registri rifiuta la registrazione.
7. Qualora non intenda più avvalersi di unità di portafoglio per la prestazione di servizi pubblici o privati nell'ambito di una registrazione specifica, una parte facente affidamento sul portafoglio ne informa senza indebito ritardo il conservatore dei registri competente e chiede la cancellazione di tale registrazione.
Certificati di accesso della parte facente affidamento sul portafoglio
1. Gli Stati membri autorizzano almeno un'autorità di certificazione a rilasciare certificati di accesso della parte facente affidamento sul portafoglio.
2. Gli Stati membri provvedono affinché i fornitori di certificati di accesso della parte facente affidamento sul portafoglio rilascino tali certificati esclusivamente alle parti facenti affidamento sul portafoglio registrate.
3. Gli Stati membri attuano in modo armonizzato dal punto di vista sintattico e semantico le politiche di certificazione e le dichiarazioni sulle pratiche di certificazione per i certificati di accesso della parte facente affidamento sul portafoglio, conformemente ai requisiti di cui all'allegato IV.
Certificati di registrazione della parte facente affidamento sul portafoglio
1. Gli Stati membri possono autorizzare almeno un'autorità di certificazione a rilasciare certificati di registrazione della parte facente affidamento sul portafoglio.
2. Se ha autorizzato il rilascio di un certificato di registrazione della parte facente affidamento sul portafoglio, lo Stato membro:
a) impone ai fornitori di certificati di registrazione della parte facente affidamento sul portafoglio di rilasciare tali certificati esclusivamente alle parti facenti affidamento sul portafoglio registrate;
b) provvede affinché sui certificati di registrazione della parte facente affidamento sul portafoglio sia indicato ciascun uso previsto;
c) provvede affinché nei certificati di registrazione della parte facente affidamento sul portafoglio sia inclusa una politica generale di accesso, armonizzata in tutta l'Unione dal punto di vista sintattico e semantico, che informi gli utenti che la parte facente affidamento sul portafoglio è autorizzata unicamente a richiedere i dati specificati nei certificati di registrazione per l'uso previsto registrato nei certificati stessi;
d) provvede affinché i fornitori delle soluzioni di portafoglio stabiliti nel suo territorio rispettino la politica generale di accesso informando gli utenti quando una parte facente affidamento sul portafoglio richiede dati non specificati nei certificati di registrazione;
e) implementa i certificati di registrazione della parte facente affidamento sul portafoglio in modo armonizzato dal punto di vista sintattico e semantico e conformemente ai requisiti di cui all'allegato V;
f) implementa politiche di certificazione e dichiarazioni sulle pratiche di certificazione specifiche per i certificati di registrazione della parte facente affidamento sul portafoglio, conformemente ai requisiti di cui all'allegato V;
g) provvede affinché le parti facenti affidamento sul portafoglio forniscano un URL dell'informativa sulla privacy relativa all'uso previsto.
3. La politica di cui alla lettera g) è espressa nel certificato di registrazione della parte facente affidamento sul portafoglio.
Sospensione e cancellazione della registrazione
1. I conservatori dei registri sospendono o cancellano la registrazione di una parte facente affidamento sul portafoglio qualora tale sospensione o cancellazione sia richiesta da un organismo di vigilanza a norma dell'articolo 46 bis, paragrafo 4, lettera f), del regolamento (UE) n. 910/2014.
2. I conservatori dei registri possono sospendere o cancellare la registrazione di una parte facente affidamento sul portafoglio se hanno motivo di ritenere che sussista uno dei casi seguenti:
a) la registrazione contiene informazioni inesatte, obsolete o fuorvianti;
b) la parte facente affidamento sul portafoglio non rispetta la politica di registrazione;
c) la parte facente affidamento sul portafoglio richiede più attributi di quelli registrati conformemente agli articoli 5 e 6;
d) la parte facente affidamento sul portafoglio sta in altro modo agendo in violazione del diritto dell'Unione o nazionale per quanto riguarda il proprio ruolo di parte facente affidamento sul portafoglio.
3. I conservatori dei registri sospendono o cancellano la registrazione di una parte facente affidamento sul portafoglio se la richiesta di cancellazione o sospensione è presentata dalla parte stessa.
4. Nel valutare la sospensione o la cancellazione conformemente al paragrafo 2, il conservatore dei registri effettua una valutazione della proporzionalità, tenendo conto dell'impatto sui diritti fondamentali, sulla sicurezza e sulla riservatezza degli utenti nell'ecosistema, nonché della gravità della perturbazione che si prevede sarebbe causata dalla sospensione o dalla cancellazione e dei relativi costi, sia per la parte facente affidamento sul portafoglio che per l'utente. Sulla base dell'esito di tale valutazione, il conservatore dei registri può sospendere o cancellare la registrazione dandone o meno preavviso alla parte facente affidamento sul portafoglio interessata.
5. Se la registrazione di una parte facente affidamento sul portafoglio è sospesa o cancellata, il conservatore dei registri ne informa il fornitore dei pertinenti certificati di accesso della parte facente affidamento sul portafoglio, il fornitore dei pertinenti certificati di registrazione della parte facente affidamento sul portafoglio e la parte facente affidamento sul portafoglio interessata, senza indebito ritardo e non oltre 24 ore dopo la sospensione o la cancellazione. Tale comunicazione comprende informazioni sui motivi della sospensione o della cancellazione e sui mezzi di ricorso o di impugnazione disponibili.
6. Il fornitore di certificati di accesso della parte facente affidamento sul portafoglio e il fornitore di certificati di registrazione della parte facente affidamento sul portafoglio revocano, se del caso, senza indebito ritardo, rispettivamente i certificati di accesso e i certificati di registrazione della parte facente affidamento sul portafoglio la cui registrazione è stata sospesa o cancellata.
Obbligo di conservazione delle informazioni
I conservatori dei registri conservano per 10 anni le registrazioni delle informazioni fornite dalle parti facenti affidamento sul portafoglio e registrate conformemente all'allegato I ai fini della registrazione di una parte facente affidamento sul portafoglio e del rilascio dei certificati di accesso e dei certificati di registrazione della parte facente affidamento sul portafoglio, nonché di eventuali modifiche successive di tali informazioni.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere dal 24 dicembre 2026.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 6 maggio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO I
Informazioni relative alle parti facenti affidamento sul portafoglio
1. Se del caso, il nome della parte facente affidamento sul portafoglio, quale appare in un documento ufficiale unitamente ai dati di identificazione di tale documento ufficiale.
a) Se nessun elemento è applicabile, si utilizza il punto 2.
2. Se del caso, un nome di facile utilizzo della parte facente affidamento sul portafoglio, che può essere un nome commerciale o il nome di un servizio riconoscibile dall'utente.
3. Se del caso, uno o più identificativi della parte facente affidamento sul portafoglio, come appaiono in un documento ufficiale, unitamente ai dati di identificazione di tale documento ufficiale, espressi come:
a) numero di registrazione e identificazione degli operatori economici (EORI) di cui al regolamento di esecuzione (UE) n. 1352/2013 della Commissione [1];
b) numero di iscrizione in un registro nazionale delle imprese;
c) identificativo della persona giuridica (Legal Identity Identifier, LEI) di cui al regolamento di esecuzione (UE) 2022/1860 della Commissione [2];
d) numero di partita IVA;
e) numero di accisa di cui all'articolo 2, punto 12), del regolamento (UE) n. 389/2012 del Consiglio [3];
f) numero di riferimento fiscale;
g) identificativo unico europeo (European Unique Identifier, EUID) di cui al regolamento di esecuzione (UE) 2021/1042 della Commissione [4];
h) altri identificativi nazionali.
4. Indirizzo fisico in cui la parte facente affidamento sul portafoglio è stabilita.
5. Se del caso, un identificatore uniforme di risorse («URL») appartenente alla parte facente affidamento sul portafoglio.
6. Se è espresso conformemente al punto 3, lettera a), d), f) o h), l'identificativo è preceduto dall'indicatore paese dello Stato membro in cui è stabilita la parte facente affidamento sul portafoglio, espresso utilizzando i codici ISO 3166-1 Alpha 2, fatta eccezione per la Grecia, il cui indicatore è «EL».
7. Informazioni di contatto della parte facente affidamento sul portafoglio, tra cui almeno uno dei seguenti elementi:
a) un sito web su cui la parte facente affidamento sul portafoglio può essere contattata per questioni relative alla fornitura di servizi di helpdesk e assistenza;
b) un numero di telefono al quale la parte facente affidamento sul portafoglio può essere contattata per questioni relative alla sua registrazione e all'uso previsto delle unità di portafoglio;
c) un indirizzo di posta elettronica al quale la parte facente riferimento sul portafoglio può essere contattata per questioni relative alla sua registrazione e all'uso previsto dell'unità di portafoglio.
8. Una descrizione del tipo di servizi forniti dalla parte facente affidamento sul portafoglio.
9. Per ciascun uso previsto, un elenco dei dati, compresi attestati e attributi, che la parte facente affidamento sulla certificazione intende richiedere, un nome di facile utilizzo e un nome tecnico, il tipo di attestato e qualsiasi altra sintassi in base alla quale i dati sono raggruppati, in un formato leggibile da dispositivi automatici ai fini del trattamento automatizzato.
10. Per ciascun uso previsto, una descrizione dell'uso previsto dei dati che la parte facente affidamento sul portafoglio intende richiedere alle unità di portafoglio.
11. Un'indicazione che precisi se la parte facente affidamento sul portafoglio è un organismo del settore pubblico.
12. La qualifica o le qualifiche della parte facente affidamento sul portafoglio, che sono espresse come segue:
a) «Service_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi;
b) «QEAA_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari qualificato che rilascia attestati elettronici qualificati di attributi;
c) «Non_Q_EAA_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari che rilascia attestati elettronici non qualificati di attributi;
d) «PUB_EAA_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di fornitore di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto;
e) «PID_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di fornitore di dati di identificazione personale;
f) «QCert_for_ESeal_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari qualificato che rilascia certificati qualificati di sigilli elettronici;
g) «QCert_for_ESig_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari qualificato che rilascia certificati qualificati di firme elettroniche;
h) «rQSigCDs_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari qualificato che fornisce servizi fiduciari qualificati per la gestione di un dispositivo qualificato per la creazione di una firma elettronica a distanza;
i) «rQSealCDs_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari qualificato che fornisce servizi fiduciari qualificati per la gestione di un dispositivo qualificato per la creazione di un sigillo elettronico a distanza;
j) «ESig_ESeal_Creation_Provider»: parte facente affidamento sul portafoglio titolare della qualifica di prestatore di servizi fiduciari non qualificato che fornisce un servizio fiduciario non qualificato per la creazione di firme elettroniche o sigilli elettronici a distanza;
13. per quanto riguarda il punto 12, lettera c), gli Stati membri possono prevedere ulteriori sottocategorie di qualifiche per indicare quali attestati devono essere rilasciati da uno specifico emittente non qualificato di attestati elettronici di attributi.
14. Se del caso, l'indicazione che la parte facente affidamento sul portafoglio si avvale di un intermediario che agisce per conto della parte facente affidamento sulla certificazione che intende fare affidamento sul portafoglio.
15. Se del caso, una associazione all'intermediario di cui si avvale la parte facente affidamento sul portafoglio e che agisce per conto della parte facente affidamento sulla certificazione che intende fare affidamento sul portafoglio.
________________
[1] Regolamento di esecuzione (UE) n. 1352/2013 della Commissione, del 4 dicembre 2013, che stabilisce i formulari di cui al regolamento (UE) n. 608/2013 del Parlamento europeo e del Consiglio relativo alla tutela dei diritti di proprietà intellettuale da parte delle autorità doganali (GU L 341 del 18.12.2013, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).
[2] Regolamento di esecuzione (UE) 2022/1860 della Commissione, del 10 giugno 2022, che stabilisce norme tecniche di attuazione per l'applicazione del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio per quanto riguarda le norme, i formati, la frequenza, i metodi e le modalità di segnalazione (GU L 262 del 7.10.2022, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).
[3] Regolamento (UE) n. 389/2012 del Consiglio, del 2 maggio 2012, relativo alla cooperazione amministrativa in materia di accise e che abroga il regolamento (CE) n. 2073/2004 (GU L 121 dell'8.5.2012, ELI: http://data.europa.eu/eli/reg/2012/389/oj).
[4] Regolamento di esecuzione (UE) 2021/1042 della Commissione, del 18 giugno 2021, che reca modalità di applicazione della direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio per quanto riguarda le specifiche tecniche e le procedure necessarie per il sistema di interconnessione dei registri e che abroga il regolamento di esecuzione (UE) 2020/2244 della Commissione (GU L 225 del 25.6.2021, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).
ALLEGATO II
1. REQUISITI PER LE FIRME ELETTRONICHE O I SIGILLI ELETTRONICI APPOSTI SULLE INFORMAZIONI MESSE A DISPOSIZIONE IN MERITO ALLE PARTI FACENTI AFFIDAMENTO SUL PORTAFOGLIO REGISTRATE DI CUI ALL'ARTICOLO 3
- JavaScript Object Notation («JSON»);
- norma IETF 7515 per le firme web JSON.
2. REQUISITI PER L'API COMUNE UNICA DI CUI ALL'ARTICOLO 3
1) L'API comune unica:
a) è un'API REST, che supporta il formato JSON ed è firmata conformemente ai requisiti pertinenti di cui alla sezione 1;
b) consente a qualsiasi richiedente, senza autenticazione previa, di effettuare ricerche e richiedere al registro elenchi completi di informazioni sulle parti facenti affidamento sul portafoglio, con la possibilità di ottenere corrispondenze parziali basate su parametri definiti, tra cui, se del caso, il numero ufficiale o il numero di iscrizione nel registro delle imprese della parte facente affidamento sul portafoglio, il nome della parte facente affidamento sul portafoglio o le informazioni di cui all'articolo 8, paragrafo 2, lettera g), e all'allegato I, punti 12, 13, 14 e 15;
c) garantisce che le risposte alle richieste di cui alla lettera b) che corrispondono ad almeno una parte facente affidamento sul portafoglio comprendano una o più dichiarazioni relative a informazioni concernenti le parti facenti affidamento sul portafoglio registrate e le informazioni di cui all'allegato I, nonché i certificati di accesso e di registrazione, storici e attuali, della parte facente affidamento sul portafoglio, ma non comprendano le informazioni di contatto di cui all'allegato I, punto 4;
d) è pubblicata come OpenAPI versione 3, unitamente alla documentazione adeguata e a specifiche tecniche che garantiscano l'interoperabilità in tutta l'Unione;
e) offre funzioni di sicurezza, compresa la sicurezza predefinita e fin dalla progettazione, volte a garantire la disponibilità e l'integrità dell'API e la disponibilità delle informazioni ottenibili attraverso di essa.
2) Le dichiarazioni di cui alla lettera c) sono espresse sotto forma di file JSON firmati o sigillati elettronicamente, con formato e struttura conformi ai requisiti in materia di firme elettroniche o sigilli elettronici di cui alla sezione 1.
ALLEGATO III
Fonte delle prove documentali per la verifica delle qualifiche delle parti facenti affidamento sul portafoglio di cui all'articolo 6
1. La verifica che una parte facente affidamento sul portafoglio sia un fornitore di attestati elettronici qualificati di attributi, un fornitore di certificati qualificati di firme elettroniche o sigilli elettronici o un prestatore di servizi fiduciari qualificato per la gestione di dispositivi qualificati per la creazione di una firma elettronica o di un sigillo elettronico a distanza si basa sugli elenchi nazionali di fiducia pubblicati conformemente all'articolo 22 del regolamento (UE) n. 910/2014.
2. La verifica che una parte facente affidamento sul portafoglio sia un fornitore di attestati elettronici non qualificati di attributi o un prestatore di servizi per la creazione a distanza di firme elettroniche o sigilli elettronici in qualità di servizio fiduciario non qualificato si basa, se del caso, sugli elenchi nazionali di fiducia pubblicati conformemente all'articolo 22 del regolamento (UE) n. 910/2014 oppure, per i prestatori di servizi fiduciari non qualificati che non sono registrati negli elenchi nazionali di fiducia, sulle procedure di verifica che gli Stati membri hanno stabilito nelle proprie politiche di registrazione di cui all'articolo 4.
3. La verifica che una parte facente affidamento sul portafoglio sia un fornitore di dati di identificazione personale si basa sull'elenco dei fornitori di dati di identificazione personale pubblicato dalla Commissione conformemente all'articolo 5 bis, paragrafo 18, del regolamento (UE) n. 910/2014.
4. La verifica che una parte facente affidamento sul portafoglio sia un fornitore di attestati elettronici di attributi rilasciati da un organismo pubblico responsabile di una fonte autentica o per suo conto si basa sull'elenco pubblicato dalla Commissione conformemente all'articolo 45 septies, paragrafo 3, del regolamento (UE) n. 910/2014.
ALLEGATO IV
Requisiti per i certificati di accesso della parte facente affidamento sul portafoglio di cui all'articolo 7
1. La politica per i certificati di accesso della parte facente affidamento sul portafoglio applicabile alla fornitura di tali certificati descrive i requisiti di sicurezza che si applicano a tali certificati e le norme che ne indicano l'applicabilità, al fine di consentirne il rilascio alle parti facenti affidamento sul portafoglio, che ne possono fare uso nelle proprie interazioni con soluzioni di portafoglio.
2. La dichiarazione sulla pratica di certificazione per i certificati di accesso della parte facente affidamento sul portafoglio, applicabile alla fornitura di tali certificati, descrive le pratiche utilizzate dal fornitore di certificati di accesso della parte facente affidamento sul portafoglio per il rilascio, la gestione, la revoca e il re-keying di tali certificati.
3. La politica di certificazione e la dichiarazione sulla pratica di certificazione applicabili alla fornitura di certificati di accesso della parte facente affidamento sul portafoglio sono armonizzati in tutta l'Unione dal punto di vista sintattico e semantico, sono conformi, se del caso, almeno ai requisiti della Normalised Certificate Policy («NCP») specificati nella norma ETSI EN 319411-1 versione 1.4.1 (2023-10) e comprendono:
a) una chiara descrizione della gerarchia dell'infrastruttura a chiave pubblica e dei percorsi di certificazione a partire dai certificati di accesso della parte facente affidamento sul portafoglio relativi all'entità finale fino al vertice della gerarchia utilizzata per il loro rilascio, che indichi l'ancora o le ancore di fiducia (trust anchor) previste in tale gerarchia e in tali percorsi che devono basarsi sul quadro di fiducia stabilito conformemente all'articolo 5 bis, paragrafo 18, del regolamento (UE) n. 910/2014;
b) una descrizione completa delle procedure per il rilascio dei certificati di accesso della parte facente affidamento sul portafoglio, compresa la verifica dell'identità e qualsiasi altro attributo della parte facente affidamento sul portafoglio cui deve essere rilasciato un certificato della parte facente affidamento sul portafoglio;
c) l'obbligo in capo ai fornitori di certificati di accesso della parte facente affidamento sul portafoglio, all'atto del rilascio di tali certificati, di verificare quanto segue:
- che la parte facente affidamento sul portafoglio figuri, con una registrazione in corso di validità, nel registro nazionale delle parti facenti affidamento sul portafoglio dello Stato membro in cui tale parte è stabilita;
- che tutte le informazioni contenute nel certificato di accesso della parte facente affidamento sul portafoglio siano esatte e coerenti con le informazioni di registrazione disponibili in tale registro;
d) una descrizione completa delle procedure per la revoca dei certificati di accesso della parte facente affidamento sul portafoglio;
e) l'obbligo in capo ai fornitori di certificati di accesso della parte facente affidamento sul portafoglio di attuare misure e processi concernenti:
- il monitoraggio costante di qualsiasi variazione intervenuta nel registro nazionale delle parti facenti affidamento sul portafoglio in cui sono registrate le parti facenti affidamento sul portafoglio cui i fornitori hanno rilasciato certificati di accesso della parte facente affidamento sul portafoglio;
- la revoca, qualora le variazioni lo richiedano, di qualsiasi certificato della parte facente affidamento sul portafoglio che il fornitore ha rilasciato alla parte in questione, in particolare quando il contenuto del certificato non risulta più esatto e coerente con le informazioni registrate, o quando la registrazione della parte facente affidamento sul portafoglio è sospesa o cancellata;
f) una descrizione completa delle procedure e dei meccanismi per la convalida armonizzata in tutta l'Unione dei certificati di accesso della parte facente affidamento sul portafoglio;
g) l'obbligo in capo ai fornitori di certificati di accesso della parte facente affidamento sul portafoglio di consentire ai portatori di interessi pertinenti, comprese le parti facenti affidamento sul portafoglio per quanto riguarda i propri certificati, gli organismi di vigilanza competenti e le autorità per la protezione dei dati, di chiedere la revoca dei certificati di accesso della parte facenti affidamento sul portafoglio;
h) l'obbligo in capo ai fornitori di certificati di accesso della parte facente affidamento sul portafoglio di registrare tutte le revoche effettuate nella propria banca dati dei certificati e di pubblicare la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta di revoca;
i) l'obbligo in capo ai fornitori di certificati di accesso della parte facente affidamento sul portafoglio di fornire informazioni riguardo alla situazione di validità o di revoca dei certificati della parte facente affidamento sul portafoglio da essi rilasciati;
j) se del caso, una descrizione delle modalità con cui un fornitore di certificati di accesso della parte facente affidamento sul portafoglio registra tutti i certificati di accesso della parte facente affidamento sul portafoglio che ha rilasciato, conformemente alla richiesta di commenti (Request for Comments, RFC) 9162 Certificate Transparency versione 2.0 dell'Internet Engineering Task Force («IETF»);
k) l'obbligo di includere nei certificati di accesso della parte facente affidamento sul portafoglio quanto segue:
- l'ubicazione del certificato che supporta la firma elettronica avanzata o il sigillo elettronico avanzato apposta o apposto su tale certificato, affinché sia possibile ricostruire l'intero percorso di certificazione fino all'ancora di fiducia (trust anchor) prevista nella gerarchia dell'infrastruttura a chiave pubblica utilizzata dal fornitore;
- un riferimento, elaborabile automaticamente, alla politica di certificazione e alla dichiarazione sulla pratica di certificazione applicabili;
- le informazioni di cui all'allegato I, punti 1, 2, 3, 5, 6 e punto 7, lettere a), b) e c).
4. La revoca di cui al punto 3, lettera g), diventa immediatamente effettiva all'atto della pubblicazione.
5. Le informazioni di cui al punto 3, lettera h), sono rese disponibili almeno per ogni certificato rilasciato, in qualsiasi momento e almeno oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente conformemente alla politica di certificazione.
ALLEGATO V
Requisiti per i certificati di registrazione della parte facente affidamento sul portafoglio di cui all'articolo 8
1. La politica per i certificati di registrazione della parte facente affidamento sul portafoglio, applicabile alla fornitura di tali certificati, descrive i requisiti di sicurezza che si applicano a tali certificati e le norme che ne indicano l'applicabilità, ai fini del loro rilascio alle parti facenti affidamento sul portafoglio e del loro utilizzo da parte di queste ultime nelle proprie interazioni con soluzioni di portafoglio. La politica per i certificati di registrazione della parte facente affidamento sul portafoglio è pubblicata in un formato leggibile da utenti umani.
2. La dichiarazione sulla pratica di certificazione per i certificati di registrazione della parte facente affidamento sul portafoglio, applicabile alla fornitura di tali certificati, descrive le pratiche utilizzate dal fornitore di certificati di registrazione della parte facente affidamento sul portafoglio per il rilascio, la gestione, la revoca e il re-keying di tali certificati e, se del caso, le modalità con cui sono legate ai certificati di accesso della parte facente affidamento sul portafoglio rilasciati a parti facenti affidamento sul portafoglio. La dichiarazione sulla pratica di certificazione per i certificati di registrazione della parte facente affidamento sul portafoglio è pubblicata in un formato leggibile da utenti umani.
3. La politica di certificazione e la dichiarazione sulla pratica di certificazione per i certificati di registrazione della parte facente affidamento sul portafoglio, applicabili alla fornitura di tali certificati, sono armonizzate in tutta l'Unione dal punto di vista sintattico e semantico, sono conformi almeno ai requisiti NCP applicabili specificati nella norma ETSI EN 319411-1 versione 1.4.1 (2023-10) e comprendono:
a) una chiara descrizione della gerarchia dell'infrastruttura a chiave pubblica e dei percorsi di certificazione a partire dai certificati di registrazione della parte facente affidamento sul portafoglio relativi all'entità finale fino al vertice della gerarchia utilizzata per il loro rilascio, che indichi l'ancora o le ancore di fiducia (trust anchor) previste nella gerarchia e nei percorsi in questione;
b) una descrizione completa delle procedure per il rilascio dei certificati di registrazione della parte facente affidamento sul portafoglio, compresa la verifica dell'identità e di qualsiasi attributo della parte facente affidamento sul portafoglio cui deve essere rilasciato un certificato della parte facente affidamento sul portafoglio;
c) l'obbligo in capo al fornitore di certificati di registrazione della parte facente affidamento sul portafoglio, all'atto del rilascio di un certificato di registrazione della parte facente affidamento sul portafoglio, di verificare quanto segue:
- che la parte facente affidamento sul portafoglio figuri, con una registrazione in corso di validità, nel registro nazionale delle parti facenti affidamento sul portafoglio dello Stato membro in cui tale parte è stabilita;
- che le informazioni contenute nel certificato di registrazione della parte facente affidamento sul portafoglio siano esatte e coerenti con le informazioni di registrazione disponibili in tale registro;
- che il certificato di accesso della parte facente affidamento sul portafoglio sia valido;
- che la descrizione delle procedure per la revoca dei certificati di registrazione della parte facente affidamento sul portafoglio sia completa;
d) l'obbligo in capo al fornitore di certificati di registrazione della parte facente affidamento sul portafoglio di attuare misure e processi concernenti:
- il monitoraggio costante automatizzato di qualsiasi variazione intervenuta nel registro nazionale delle parti facenti affidamento sul portafoglio in cui sono registrate le parti facenti affidamento sul portafoglio cui i fornitori hanno rilasciato certificati di registrazione della parte facente affidamento sul portafoglio;
- il nuovo rilascio di un certificato di registrazione della parte facente affidamento sul portafoglio;
- la revoca, qualora tali variazioni lo richiedano, di qualsiasi certificato di registrazione della parte facente affidamento sul portafoglio che è stato rilasciato alla parte in questione, in particolare quando il contenuto del certificato non risulta più esatto e coerente con le informazioni registrate, o quando la registrazione della parte facente affidamento sul portafoglio è modificata, sospesa o cancellata;
e) una descrizione completa delle procedure e dei meccanismi per la convalida armonizzata dei certificati di registrazione della parte facente affidamento sul portafoglio;
f) l'obbligo in capo al fornitore di certificati di registrazione della parte facente affidamento sul portafoglio di consentire ai portatori di interessi pertinenti, comprese le parti facenti affidamento sul portafoglio per quanto riguarda i propri certificati, gli organismi di vigilanza competenti e le autorità per la protezione dei dati, di chiedere la revoca dei certificati di registrazione della parte facente affidamento sul portafoglio;
g) l'obbligo in capo al fornitore di certificati di registrazione della parte facente affidamento sul portafoglio di registrare tutte le revoche effettuate nella propria banca dati dei certificati e di pubblicare la situazione di revoca del certificato tempestivamente e, in ogni caso, entro 24 ore dal ricevimento della richiesta di revoca;
h) l'obbligo in capo ai fornitori di certificati di registrazione della parte facente affidamento sul portafoglio di fornire informazioni riguardo alla situazione di validità o di revoca dei certificati di registrazione della parte facente affidamento sul portafoglio da essi rilasciati;
i) se del caso, una descrizione delle modalità con cui un fornitore di certificati di registrazione della parte facente affidamento sul portafoglio registra tutti i certificati di registrazione della parte facente affidamento sul portafoglio che ha rilasciato;
j) l'obbligo che impone che i certificati di registrazione della parte facente affidamento sul portafoglio:
- indichino dove sono reperibili i dati di convalida della firma elettronica avanzata o del sigillo elettronico avanzato per il certificato utilizzato per firmare o sigillare il certificato di registrazione, affinché l'intera catena di fiducia possa essere ricostruita fino all'ancora di fiducia (trust anchor) prevista;
- includano un riferimento, leggibile da dispositivi automatici, alla politica di certificazione e alla dichiarazione sulla pratica di certificazione applicabili;
- includano le informazioni di cui all'allegato I, punti 1, 2, 3, 5, 6, 8, 9, 10, 11, 12, 13, 14 e 15;
- includano l'URL dell'informativa sulla privacy di cui all'articolo 8, paragrafo 2, lettera g);
- includano una politica generale di accesso di cui all'articolo 8, paragrafo 3;
4. Il formato di scambio dei dati per il certificato di registrazione della parte facente affidamento sulla certificazione è costituito dai token web JSON (IETF RFC 7519) firmati e dai token web CBOR (IETF RFC 8392).
5. La revoca di cui al punto 3, lettera g), diventa immediatamente effettiva all'atto della pubblicazione.
6. Le informazioni di cui al punto 3, lettera h), sono rese disponibili almeno per ogni certificato rilasciato, in qualsiasi momento e almeno oltre il periodo di validità del certificato, in modo automatizzato, affidabile, gratuito ed efficiente conformemente alla politica di certificazione.