REGOLAMENTO DI ESECUZIONE (UE) 2025/849 DELLA COMMISSIONE, 6 maggio 2025
G.U.U.E. 7 maggio 2025, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la trasmissione di informazioni alla Commissione e al gruppo di cooperazione in merito all'elenco dei portafogli europei di identità digitale certificati.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 27 maggio 2025
Applicabile dal: 27 maggio 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 5 quinquies, paragrafo 7,
considerando quanto segue:
1) Il quadro europeo relativo a un'identità digitale («quadro») definito nel regolamento (UE) n. 910/2014 costituisce un componente essenziale per la creazione di un ecosistema per l'identità digitale sicuro e interoperabile in tutta l'Unione. Il quadro, di cui i portafogli europei di identità digitale («portafogli») sono la pietra angolare, mira a facilitare l'accesso dei cittadini, dei residenti e delle imprese ai servizi online in tutti gli Stati membri, garantendo nel contempo la protezione dei dati personali e della vita privata.
2) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (3) si applicano a tutte le attività di trattamento di dati personali a norma del presente regolamento.
3) Al fine di redigere, pubblicare nella Gazzetta ufficiale dell'Unione europea e mantenere, in un formato leggibile meccanicamente, un elenco delle informazioni trasmesse dagli Stati membri in merito ai portafogli certificati, la Commissione dovrebbe stabilire i formati e le procedure per la trasmissione e l'aggiornamento, da parte degli Stati membri, delle informazioni richieste dalla Commissione e dal gruppo di cooperazione per l'identità digitale europea istituito a norma dell'articolo 46 sexies, paragrafo 1, del regolamento (UE) n. 910/2014 («gruppo di cooperazione»). Considerando che le informazioni trasmesse sono destinate a essere utilizzate dalla Commissione, dal gruppo di cooperazione e dal pubblico, gli Stati membri dovrebbero trasmetterle almeno in inglese, in quanto ciò ne facilita l'ampia accessibilità, valutazione e comprensione, rafforzando nel contempo la cooperazione.
4) Le informazioni sui portafogli certificati che gli Stati membri dovrebbero trasmettere sono essenziali per garantire la fiducia, la trasparenza e l'armonizzazione nell'ecosistema dei portafogli, promuovendo la fiducia degli utenti dei portafogli, dei fornitori dei portafogli e delle autorità di regolamentazione. Dovrebbero pertanto includere una descrizione della soluzione di portafoglio e del regime di identificazione elettronica nell'ambito del quale tale soluzione è fornita. Tale descrizione dovrebbe comprendere informazioni dettagliate sull'autorità o sulle autorità responsabili della soluzione di portafoglio e del regime di identificazione elettronica, sul regime di vigilanza applicabile, sul regime di responsabilità per quanto riguarda la parte che fornisce la soluzione di portafoglio, sulle disposizioni per la sospensione o la revoca del regime di identificazione elettronica, della soluzione di portafoglio fornita nell'ambito di tale regime oppure di parti compromesse di uno o dell'altra, e sul certificato e la relazione di valutazione della certificazione relativi alla fornitura e al funzionamento di soluzioni di portafoglio e ai regimi di identificazione elettronica nell'ambito dei quali sono forniti. Le informazioni dovrebbero essere sufficienti per consentire alla Commissione di redigere, pubblicare nella Gazzetta ufficiale dell'Unione europea e mantenere, in un formato leggibile meccanicamente, un elenco dei portafogli certificati. Il canale elettronico sicuro utilizzato per la trasmissione delle informazioni relative ai portafogli certificati dovrebbe evitare le doppie trasmissioni delle stesse informazioni da parte degli Stati membri.
5) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 31 gennaio 2025.
6) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito all'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto
Il presente regolamento stabilisce i formati e le procedure per la trasmissione alla Commissione e al gruppo di cooperazione, da parte degli Stati membri, delle informazioni relative all'elenco dei portafogli certificati a norma dell'articolo 5 quinquies del regolamento (UE) n. 910/2014, da aggiornare periodicamente per tenere conto degli sviluppi tecnologici e della normazione e del lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione (1), in particolare dell'architettura e del quadro di riferimento.
Raccomandazione (UE) 2021/946 della Commissione, del 3 giugno 2021, relativa a un pacchetto di strumenti comuni dell'Unione per un approccio coordinato verso un quadro europeo relativo a un'identità digitale (GU L 210 del 14.6.2021, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) «soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio;
2) «istanza di portafoglio»: l'applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un'unità di portafoglio, e che l'utente del portafoglio utilizza per interagire con l'unità di portafoglio;
3) «unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio;
4) «fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio;
5) «utente del portafoglio» un utente che ha il controllo dell'unità di portafoglio;
6) «applicazione crittografica sicura per il portafoglio»: un'applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l'uso di tali funzioni;
7) «dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all'applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l'esecuzione sicura di operazioni critiche;
8) «risorse critiche»: risorse all'interno di un'unità di portafoglio o ad essa relative, di importanza tale che un'eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull'unità di portafoglio;
9) «fornitore di dati di identificazione personale»: la persona fisica o giuridica responsabile del rilascio e della revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un'unità di portafoglio.
Formato, procedura per le trasmissioni e informazioni che gli Stati membri devono trasmettere alla Commissione
1. Gli Stati membri trasmettono le informazioni di cui all'allegato alla Commissione e al gruppo di cooperazione attraverso un canale elettronico sicuro messo a disposizione dalla Commissione.
2. Gli Stati membri trasmettono le informazioni richieste a norma del paragrafo 1 almeno in inglese.
3. In caso di modifiche delle informazioni trasmesse, comprese modifiche dello stato di certificazione dei portafogli, gli Stati membri trasmettono le informazioni aggiornate attraverso il canale di cui al paragrafo 1.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 6 maggio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO
Informazioni che devono essere trasmesse dagli Stati membri
1. Scopo della trasmissione di informazioni, a scelta tra uno dei seguenti:
a) portafoglio fornito e certificato;
b) modifica di una qualsiasi informazione relativa a un portafoglio trasmessa in precedenza;
c) richiesta di eliminazione di un portafoglio dall'elenco dei portafogli forniti e certificati.
2. Informazioni da trasmettere in merito a un portafoglio fornito e certificato:
a) una descrizione della soluzione di portafoglio, comprendente:
- il nome della soluzione di portafoglio;
- l'identificativo unico di riferimento della soluzione di portafoglio;
- il nome, la denominazione commerciale (se del caso) e l'indirizzo del fornitore del portafoglio, corredati di informazioni supplementari, se opportuno;
- una descrizione della gestione della soluzione di portafoglio, comprendente:
- caratteristiche e progettazione;
- rilascio, consegna e attivazione;
- sospensione, revoca e riattivazione;
- recupero e backup, se del caso;
- rinnovo e sostituzione;
- pratiche di gestione per le registrazioni delle transazioni del portafoglio;
b) una descrizione del regime di identificazione elettronica nell'ambito del quale è fornita e certificata la soluzione di portafoglio, comprendente:
- il titolo del regime di identificazione elettronica;
- un identificativo unico del regime di identificazione elettronica;
- il nome dell'autorità o i nomi delle autorità responsabili del regime di identificazione elettronica;
- una descrizione della gestione e dell'organizzazione del regime di identificazione elettronica;
- il nome, la denominazione commerciale (se del caso) e l'indirizzo del fornitore o dei fornitori di dati di identificazione personale, corredati di informazioni supplementari, se opportuno;
- per ciascun fornitore di dati di identificazione personale:
- la o le serie di dati di identificazione personale forniti a persone fisiche o giuridiche nell'ambito del regime di identificazione elettronica;
- una descrizione della o delle serie di dati di identificazione personale di cui lo Stato membro garantisce l'unicità;
- una descrizione del regime di vigilanza conformemente all'articolo 46 bis del regolamento (UE) n. 910/2014, per quanto riguarda:
- i fornitori di dati di identificazione personale, compresa l'identificazione dell'organismo di vigilanza;
- il fornitore del portafoglio, compresa l'identificazione dell'organismo di vigilanza;
- una descrizione del regime di responsabilità conformemente all'articolo 5 bis, paragrafo 19, del regolamento (UE) n. 910/2014, per quanto riguarda:
- il fornitore o i fornitori di dati di identificazione personale;
- il fornitore del portafoglio;
- una descrizione del processo di registrazione, compresa la descrizione:
- della procedura di richiesta di unità di portafoglio e di dati di identificazione personale;
- della registrazione degli utenti dei portafogli;
- se del caso, del controllo e della verifica dell'identità delle persone fisiche;
- se del caso, del controllo e della verifica dell'identità delle persone giuridiche;
- le politiche che si applicano all'autorità o alle autorità responsabili del regime di identificazione elettronica, comprese le modalità di sospensione o revoca:
- dei regimi di identificazione elettronica;
- degli attestati di unità di portafoglio rilasciati dal fornitore del portafoglio;
- di qualsiasi altra parte compromessa dei portafogli.
c) il certificato e la relazione di valutazione della certificazione conformemente all'articolo 5 quater del regolamento (UE) n. 910/2014.