REGOLAMENTO DI ESECUZIONE (UE) 2025/1566 DELLA COMMISSIONE, 29 luglio 2025
G.U.U.E. 30 luglio 2025, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme di riferimento per la verifica dell'identità e degli attributi della persona a cui deve essere rilasciato il certificato qualificato o l'attestato elettronico di attributi qualificato.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 19 agosto 2025
Applicabile dal: 19 agosto 2027
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 24, paragrafo 1 quater
considerando quanto segue:
1) L'articolo 24 del regolamento (UE) n. 910/2014 stabilisce che un prestatore di servizi fiduciari qualificato verifica l'identità e, se opportuno, eventuali attributi specifici di una persona fisica o giuridica allorché rilascia certificati qualificati o attestati elettronici di attributi qualificati a tale persona.
2) Al fine di garantire la parità di trattamento e la possibilità di fidarsi dell'esito dei processi di verifica, le verifiche dovrebbero essere effettuate in modo equivalente da tutti i prestatori di servizi fiduciari qualificati allorché rilasciano un certificato qualificato o un attestato elettronico di attributi qualificato. Conformemente agli obiettivi del regolamento (UE) n. 910/2014, sono state selezionate diverse norme per soddisfare tali requisiti specifici. Tali norme dovrebbero rispecchiare le prassi consolidate ed essere ampiamente riconosciute nei settori pertinenti. Tali norme dovrebbero essere adattate per includere controlli supplementari che garantiscano la sicurezza e l'affidabilità del servizio fiduciario qualificato, agevolando nel contempo l'interoperabilità transfrontaliera e l'efficace funzionamento del mercato interno.
3) E' opportuno prevedere un periodo transitorio adeguato affinché i prestatori di servizi fiduciari qualificati siano in grado di soddisfare i requisiti del regolamento (UE) n. 910/2014. Al fine di garantire un periodo di tempo sufficiente per la verifica dei prestatori di servizi fiduciari per quanto riguarda la conformità ai requisiti del presente regolamento, quest'ultimo dovrebbe applicarsi a decorrere da 24 mesi dopo la sua entrata in vigore.
4) La Commissione valuta periodicamente tecnologie, pratiche, norme o specifiche tecniche nuove. Conformemente al considerando 75 del regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (2), la Commissione dovrebbe riesaminare e, se necessario, aggiornare il presente regolamento per mantenerlo in linea con gli sviluppi globali, le nuove tecnologie, norme o specifiche tecniche e per seguire le migliori pratiche nel mercato interno.
5) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (3) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (4) si applicano alle attività di trattamento di dati personali a norma del presente regolamento.
6) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (5), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 6 giugno 2025.
7) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Le norme di riferimento e le specifiche di cui all'articolo 24, paragrafo 1 quater, del regolamento (UE) n. 910/2014 figurano nell'allegato del presente regolamento.
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento si applica a decorrere dal 19 agosto 2027.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 29 luglio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO
Norme di riferimento per la verifica dell'identità e degli attributi della persona a cui deve essere rilasciato un certificato qualificato o un attestato elettronico di attributi qualificato
Si applica la norma ETSI TS 119 461 V2.1.1 (2025-02) per la conformità all'allegato C, clausola C.3, con gli adeguamenti seguenti:
1) 2.1 Riferimenti normativi
- [1] ETSI EN 319 401 V3.1.1 (2024-06): "Firme elettroniche e infrastrutture fiduciarie (ESI); Requisiti di politica generale per i prestatori di servizi fiduciari"
2) C.3 Casi d'uso per il rilascio di certificati qualificati o attestati elettronici di attributi qualificati in conformità all'articolo 24, paragrafi 1, 1 bis e 1 ter, del regolamento (UE) n. 910/2014
- [CONDIZIONALE] QTS-C3-01: Se la verifica dell'identità per un certificato qualificato o un attestato elettronico qualificato è effettuata in concomitanza con la verifica dell'identità per il rilascio di prove autorevoli, tale processo di verifica dell'identità:
- deve essere stato sottoposto a valutazione tra pari o certificato da un organismo di valutazione della conformità accreditato ai fini della conformità a un livello di garanzia elevato a norma del regolamento (UE) n. 910/2014, oppure
- ai requisiti di cui alle clausole da C3.1 a C3.6
3) C.3.4 Caso d'uso per il controllo dell'identità mediante altri mezzi di identificazione
- QTS-C.3.4-06A: L'organismo indipendente di valutazione della conformità di cui al [CONDIZIONALE] QTS-C.3.4-06, lettera c), deve essere accreditato a norma dell'articolo 3, punto 18, del regolamento (UE) n. 910/2014 e, se sono soddisfatti tutti i requisiti applicabili, la valutazione dovrebbe dar luogo a un certificato di conformità basato su una verifica della certificazione. Tale processo di certificazione formale deve essere basato su un processo di valutazione della sicurezza che fa riferimento ai livelli di garanzia definiti per i mezzi di identificazione elettronica notificati o i portafogli europei di identità digitale certificati a norma del regolamento (UE) n. 910/2014 e deve comprendere prove rigorose per valutare la resistenza a potenziali minacce alla sicurezza. Ai fini di tali valutazioni occorre avvalersi di norme tecniche pertinenti per dimostrare la solidità contro tali attacchi.
4) 9.2.3.4 Caso d'uso per il funzionamento automatizzato
- USE-9.2.3.4-04: L'IPSP stabilisce valori target per FAR e FRR, sulla base di un'analisi dei rischi e della relativa procedura di intelligence sulle minacce, seguendo la metodologia stabilita nella relazione dell'ENISA "Methodology for sector cybersecurity assessment" [i.28] o una metodologia equivalente, nei processi di verifica dell'identità completamente automatizzati. Tali valori target devono essere pari o inferiori a quelli fissati per i casi d'uso ibridi, se esistenti. L'IPSP mantiene coerentemente tali valori target per FAR e FRR, supportato da un'analisi dei rischi e dalla relativa procedura di intelligence sulle minacce.
5) 8.3.3 Convalida del documento di identità fisica
- VAL-8.3.3-21 L'efficacia delle misure per conformarsi ai requisiti VAL-8.3.3-05X, VAL-8.3.3-05A, VAL-8.3.3-05B, VAL-8.3.3-05C, VAL-8.3.3-07A e VAL-8.3.3-07X deve essere verificata da un laboratorio accreditato o da un'autorità nazionale competente, ogniqualvolta siano designati, al più tardi entro il 19 agosto 2027 e successivamente ogni due anni.
6) 7.12. Cessazione e piani di cessazione
- OVR-7.12-02: Il piano di cessazione deve essere conforme ai requisiti stabiliti negli atti di esecuzione adottati a norma dall'articolo 24, paragrafo 5, del regolamento (UE) n. 910/2014 [i.1]