REGOLAMENTO DI ESECUZIONE (UE) 2025/1568 DELLA COMMISSIONE, 29 luglio 2025
G.U.U.E. 30 luglio 2025, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le modalità procedurali per le valutazioni tra pari dei regimi di identificazione elettronica e per la cooperazione nell'organizzazione di tali valutazioni nell'ambito del gruppo di cooperazione e che abroga la decisione di esecuzione (UE) 2015/296 della Commissione.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 19 agosto 2025
Applicabile dal: 19 agosto 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 12, paragrafo 6, e l'articolo 46 sexies, paragrafo 7,
considerando quanto segue:
1) Il regolamento (UE) n. 910/2014 prevede un meccanismo di valutazioni tra pari per quanto riguarda i regimi di identificazione elettronica da notificare, al quale gli Stati membri possono partecipare su base volontaria. Le valutazioni tra pari dovrebbero consentire agli Stati membri di comprendere i regimi di identificazione elettronica da notificare a norma dell'articolo 9, paragrafo 1, lettera a), del regolamento (UE) n. 910/2014 e di cooperare efficacemente al fine di garantire l'interoperabilità di tali regimi e instaurare fiducia nei loro riguardi in tutta l'Unione. Le valutazioni tra pari dovrebbero essere organizzate in modo da garantire un'equa distribuzione degli sforzi e un'ampia rappresentanza di tutti gli Stati membri e non dovrebbero essere intese come audit.
2) La decisione di esecuzione (UE) 2015/296 della Commissione (2) stabiliva le modalità procedurali per la cooperazione in materia di regimi di identificazione elettronica nel contesto della precedente rete di cooperazione eIDAS, comprese le revisioni inter pares condotte dai membri di tale rete. Poiché le attività di valutazione tra pari devono ora essere organizzate dal gruppo di cooperazione per l'identità digitale europea istituito a norma della decisione C(2024) 6132 della Commissione, del 5.9.2024, che istituisce il gruppo di cooperazione per l'identità digitale europea e modifica la decisione di esecuzione (UE) 2015/296 della Commissione, basandosi sull'articolo 46 sexies, paragrafo 1, del regolamento (UE) n. 910/2014 («gruppo di cooperazione»), è opportuno abrogare la decisione di esecuzione (UE) 2015/296.
3) Per rendere facilmente accessibili le valutazioni tra pari, qualsiasi Stato membro dovrebbe poter chiedere l'avvio di una valutazione tra pari. La richiesta dovrebbe indicare i motivi per i quali si richiede la valutazione tra pari e contenere informazioni sufficienti a confermare che la valutazione tra pari può contribuire all'interoperabilità o alla sicurezza dei regimi di identificazione elettronica da notificare. E' a tal fine necessario stabilire norme uniformi per le informazioni minime richieste per garantire che la valutazione tra pari possa essere completata in modo efficiente e tempestivo. La Commissione può organizzare riunioni del gruppo di cooperazione per agevolare l'avvio e la conclusione tempestivi di una valutazione tra pari.
4) Se uno Stato membro fornisce agli altri Stati membri informazioni su un regime di identificazione elettronica a norma dell'articolo 7, lettera g), del regolamento (UE) n. 910/2014 («pre-notifica»), tale azione dovrebbe essere formalmente considerata una richiesta dello Stato membro notificante di effettuare una valutazione tra pari del proprio regime di identificazione elettronica.
5) Per garantire una preparazione e un'esecuzione efficaci della valutazione tra pari, è opportuno individuare ruoli e responsabilità standardizzati nell'ambito della stessa. Gli Stati membri dovrebbero avere la possibilità di nominare rappresentanti per adempiere tali ruoli e responsabilità. Poiché è fondamentale garantire che tutte le valutazioni tra pari si svolgano senza intoppi e siano condotte in modo semplice e rapido, gli aspetti pratici di ciascuna valutazione tra pari, indicativamente la portata e la tempistica esatte, dovrebbero essere concordati tra gli Stati membri coinvolti in tale valutazione.
6) Per garantire che tutti gli Stati membri contribuiscano all'attuazione del meccanismo di valutazione tra pari, nonché per consentire loro di beneficiare dell'apprendimento tra pari, i rappresentanti di ciascuno Stato membro dovrebbero contribuire a un'equa distribuzione degli sforzi tra gli Stati membri in tutte le valutazioni tra pari da effettuare.
7) Per promuovere un elevato livello di fiducia nei regimi di identificazione elettronica oggetto di valutazione tra pari, gli Stati membri dovrebbero fornire le informazioni minime richieste, garantendo nel contempo la riservatezza delle informazioni potenzialmente sensibili. Tali informazioni dovrebbero essere valutate da tre gruppi di lavoro nell'ambito delle valutazioni tra pari, ciascuno con un mandato corrispondente ai temi centrali per la valutazione di un regime di identificazione elettronica, come stabilito dal regolamento di esecuzione (UE) 2015/1501 della Commissione (3) e dal regolamento di esecuzione (UE) 2015/1502 della Commissione (4).
8) Poiché la decisione di esecuzione (UE) 2015/296 stabiliva già l'inglese come lingua della cooperazione, salvo diverso accordo, è prassi corrente degli Stati membri avviare il processo di valutazione tra pari in inglese. Gli Stati membri dovrebbero pertanto fornire le informazioni pertinenti alla valutazione tra pari almeno in inglese. La traduzione non dovrebbe però comportare oneri amministrativi o finanziari irragionevoli. A tale riguardo gli Stati membri sono liberi di utilizzare strumenti di traduzione automatica, compresi quelli forniti dalla Commissione.
9) Tenendo conto dell'importanza delle valutazioni tra pari quale strumento per garantire l'affidabilità dei regimi di identificazione elettronica notificati, è opportuno istituire una procedura semplificata per l'adozione di una relazione finale sulla valutazione tra pari chiara e completa. Nel corso di tale processo il gruppo di cooperazione e gli Stati membri che partecipano alla valutazione tra pari dovrebbero avere la possibilità di porre ulteriori domande allo Stato membro il cui regime di identificazione elettronica è oggetto di valutazione tra pari, mentre tale Stato membro dovrebbe avere la possibilità di fornire ulteriori osservazioni. Per garantire la trasparenza, la procedura dovrebbe completarsi con la pubblicazione del parere del gruppo di cooperazione sulla conclusione della valutazione tra pari.
10) Poiché i regimi di identificazione elettronica possono subire modifiche dopo la conclusione della relativa valutazione tra pari, è altresì necessario istituire una procedura per avviare un aggiornamento di precedenti valutazioni tra pari se tali modifiche possono incidere sull'interoperabilità, la sicurezza o l'affidabilità del regime di identificazione elettronica notificato. Ciò consentirebbe alle valutazioni tra pari di rimanere pertinenti nel tempo con l'evolversi dei regimi di identificazione elettronica.
11) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (5) e, se del caso, il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (6) e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (7) si applicano alle attività di trattamento di dati personali a norma del presente regolamento.
12) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 28 maggio 2025.
13) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj http://data.europa.eu/eli/reg/2014/910/2024-10-18.
Decisione di esecuzione (UE) 2015/296 della Commissione, del 24 febbraio 2015, che stabilisce modalità procedurali per la cooperazione tra Stati membri in materia di identificazione elettronica a norma dell'articolo 12, paragrafo 7, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 53 del 25.2.2015, ELI: http://data.europa.eu/eli/dec_impl/2015/296/oj).
Regolamento di esecuzione (UE) 2015/1501 della Commissione, dell'8 settembre 2015, relativo al quadro di interoperabilità di cui all'articolo 12, paragrafo 8, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).
Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell'8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell'articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Principi generali per la valutazione tra pari
1. Se uno Stato membro trasmette una pre-notifica di un regime di identificazione elettronica alla Commissione e agli altri Stati membri, la valutazione tra pari è avviata conformemente all'articolo 2.
2. Lo Stato membro che effettua una pre-notifica di un regime di identificazione elettronica può ritirarla in qualsiasi momento. Se lo Stato membro ritira la pre-notifica del regime di identificazione elettronica, la valutazione tra pari si considera conclusa.
3. Qualsiasi Stato membro può decidere di partecipare alla valutazione tra pari del regime di identificazione elettronica di un altro Stato membro.
4. Ogni Stato membro che partecipa a una valutazione tra pari sostiene i costi relativi alla sua partecipazione a tale procedura.
5. I rappresentanti degli Stati membri che effettuano la valutazione tra pari utilizzano le informazioni acquisite in sede di valutazione tra pari esclusivamente ai fini della stessa e non divulgano a terzi informazioni sensibili o riservate acquisite durante la valutazione tra pari.
6. Uno Stato membro che decide di partecipare alla valutazione tra pari di un regime di identificazione elettronica di un altro Stato membro comunica eventuali conflitti di interessi in relazione ai rappresentanti nominati da tale Stato membro. In caso di conflitto di interessi, lo Stato membro il cui regime di identificazione elettronica è sottoposto a valutazione tra pari può rifiutare la partecipazione del rappresentante in questione alla valutazione del proprio regime di identificazione elettronica.
7. Qualsiasi controversia sorta nel corso della valutazione tra pari in relazione alle attività di valutazione tra pari di cui all'articolo 4, paragrafo 4, del presente regolamento è risolta conformemente al regolamento interno del gruppo di cooperazione.
8. Un regime di identificazione elettronica non è soggetto a un'ulteriore valutazione tra pari nei due anni successivi alla conclusione di una valutazione tra pari, tranne nel caso in cui al regime di identificazione elettronica sottoposto a valutazione tra pari siano state apportate modifiche significative di cui all'articolo 6, paragrafo 1.
Avvio della valutazione tra pari
1. La pre-notifica comprende come minimo:
(a) un confronto tra il regime di identificazione elettronica pre-notificato e i requisiti di cui al regolamento di esecuzione (UE) 2015/1502, sotto forma di un documento di mappatura dei livelli di garanzia per la valutazione tra pari conformemente all'allegato I del presente regolamento;
(b) una descrizione ad alto livello del regime di identificazione elettronica, del suo ecosistema e dell'identificazione elettronica nello Stato membro che ha effettuato la pre-notifica, sotto forma di un libro bianco in conformità all'allegato II del presente regolamento;
(c) informazioni relative all'interoperabilità del regime di identificazione elettronica e ai requisiti di cui al regolamento di esecuzione (UE) 2015/1501, sotto forma di un documento di mappatura del quadro di interoperabilità conforme al modello di cui all'allegato III del presente regolamento.
2. La Commissione trasmette le informazioni della pre-notifica al gruppo di cooperazione.
3. Le informazioni di cui al paragrafo 1, lettera c), sono fornite almeno in inglese. Gli Stati membri non sono tenuti a tradurre alcun documento qualora ciò comporti un onere amministrativo o finanziario irragionevole.
Preparazione della valutazione tra pari
1. Dopo la conferma del ricevimento di una pre-notifica completa, la Commissione informa il gruppo di cooperazione dell'avvio della valutazione tra pari e programma una riunione che prevede all'ordine del giorno la presentazione al gruppo di cooperazione del regime di identificazione elettronica pre-notificato da parte dello Stato membro che ha effettuato la pre-notifica.
2. Il presidente del gruppo di cooperazione garantisce che la riunione programmata di cui al paragrafo 1 si svolga non oltre due mesi dopo che il gruppo di cooperazione è stato informato dell'avvio della valutazione tra pari.
3. La data della presentazione è considerata la data ufficiale di inizio della valutazione tra pari.
4. Dopo la presentazione di cui al paragrafo 3 da parte dello Stato membro che ha effettuato la pre-notifica, gli altri Stati membri possono nominare rappresentanti che partecipino per loro conto alla valutazione tra pari. In tal caso, forniscono i nomi e i dati di contatto dei propri rappresentanti. Tali rappresentanti designati formano il gruppo di valutazione tra pari.
I membri del gruppo di valutazione tra pari concordano l'assegnazione dei ruoli seguenti:
(a) un coordinatore responsabile dell'organizzazione della valutazione tra pari e della gestione della comunicazione con gli Stati membri, il gruppo di cooperazione e la Commissione;
(b) fino a tre relatori a seconda della portata della valutazione tra pari, ciascuno incaricato di dirigere un gruppo di lavoro di cui all'articolo 4, paragrafo 2;
(c) almeno un membro attivo per gruppo di lavoro, che assiste nella formulazione delle domande, fornisce un riscontro ai relatori e contribuisce all'elaborazione della relazione finale sulla valutazione tra pari.
5. Il coordinatore di cui al paragrafo 4, lettera a), vigila sulla corretta esecuzione della valutazione tra pari e controlla il rispetto dei requisiti procedurali di cui al presente regolamento. A tal fine, il coordinatore svolge tempestivamente i compiti seguenti:
(a) organizzazione delle domande e delle risposte;
(b) finalizzazione della relazione sulla valutazione tra pari;
(c) elaborazione del parere sul regime di identificazione elettronica oggetto della valutazione tra pari.
6. I relatori di cui al paragrafo 4, lettera b), individuano le domande da porre allo Stato membro che ha effettuato la pre-notifica e redigono gli elementi della relazione sulla valutazione tra pari connessi al settore di competenza del rispettivo gruppo di lavoro.
7. Tenendo conto degli orientamenti forniti dal gruppo di cooperazione, lo Stato membro che ha effettuato la pre-notifica e gli Stati membri coinvolti nella valutazione tra pari concordano eventuali disposizioni organizzative relative alla valutazione tra pari non specificamente previste dal presente regolamento, comprese norme e orientamenti in materia di riservatezza e conflitti di interesse.
8. La durata della valutazione tra pari non supera i tre mesi a decorrere dalla data ufficiale di inizio della valutazione tra pari di cui al paragrafo 3 e può essere prorogata per un massimo di due mesi qualora tutti gli Stati membri coinvolti nella valutazione tra pari decidano in tal senso.
Organizzazione della valutazione tra pari
1. Il gruppo di valutazione tra pari effettua la valutazione tra pari sulla base delle informazioni fornite a norma dell'articolo 2, paragrafo 1, dallo Stato membro che ha effettuato la pre-notifica.
2. La valutazione tra pari è organizzata in tre gruppi di lavoro, o secondo qualsiasi altra procedura concordata in seno al gruppo di cooperazione conformemente al suo regolamento interno. Nel caso dei gruppi di lavoro, ciascun di essi è composto da un relatore e almeno un membro attivo.
3. I gruppi di lavoro di cui al paragrafo 2 sono i seguenti:
(a) un gruppo di lavoro sulla registrazione, che effettua la valutazione tra pari dell'allineamento del regime di identificazione elettronica pre-notificato ai requisiti in materia di registrazione di cui all'allegato, sezione 2.1, del regolamento di esecuzione (UE) 2015/1502;
(b) un gruppo di lavoro per la gestione e l'autenticazione dei mezzi di identificazione elettronica, che effettua la valutazione tra pari dell'allineamento del regime di identificazione elettronica pre-notificato ai requisiti in materia di gestione dei mezzi di identificazione elettronica e autenticazione di cui all'allegato, sezioni 2.2 e 2.3, del regolamento di esecuzione (UE) n. 2015/1502;
(c) un gruppo di lavoro per la gestione e l'organizzazione che effettua la valutazione tra pari dell'allineamento del regime di identificazione elettronica pre-notificato ai requisiti in materia di gestione e organizzazione di cui alla sezione 2.4 del regolamento di esecuzione (UE) 2015/1502.
4. La valutazione tra pari comprende, a titolo esemplificativo ma non limitativo, una o più delle seguenti attività:
(a) la valutazione della documentazione pertinente fornita dallo Stato membro che ha effettuato la pre-notifica;
(b) l'esame dei processi descritti nell'ambito di tale documentazione;
(c) seminari tecnici;
(d) l'esame di valutazioni di terzi indipendenti, ove siano disponibili valutazioni pertinenti di questo tipo;
(e) la redazione della relazione sulla valutazione tra pari, che ne sintetizza le conclusioni e i risultati.
5. I gruppi di lavoro possono presentare richieste debitamente giustificate di informazioni supplementari, corredate di documentazione aggiuntiva, allo Stato membro che ha effettuato la pre-notifica qualora le informazioni fornite a norma dell'articolo 2, paragrafo 1, non siano sufficienti per concludere la valutazione tra pari.
6. Lo Stato membro che ha effettuato la pre-notifica soddisfa tali richieste, salvo nei casi in cui ricorra una delle situazioni seguenti:
(a) lo Stato membro non è in possesso delle informazioni, né della documentazione e l'acquisizione delle stesse determinerebbe un onere amministrativo irragionevole;
(b) le informazioni o la documentazione richieste riguardano aspetti attinenti alla sicurezza pubblica o nazionale;
(c) le informazioni richieste riguardano aspetti attinenti a segreti commerciali, professionali o d'impresa.
(d) la sensibilità delle informazioni rende impossibile l'istituzione di un canale sicuro per trasmetterle ai membri del gruppo di valutazione tra pari.
7. In tali casi lo Stato membro che ha effettuato la pre-notifica informa il coordinatore dei motivi del rifiuto di fornire le informazioni o la documentazione richieste e fornisce una sintesi di alto livello delle informazioni o una versione espunta della documentazione.
Risultati della valutazione tra pari
1. Fatto salvo l'articolo 3, paragrafo 9, il gruppo di valutazione tra pari:
(a) presenta un progetto di relazione sulla valutazione tra pari allo Stato membro che ha effettuato la pre-notifica entro tre mesi dalla data di inizio della valutazione tra pari di cui all'articolo 3, paragrafo 3, a meno che la valutazione tra pari non sia oggetto di una proroga in conformità all'articolo 3, paragrafo 8, e la consegna della relazione avvenga nei tempi previsti nella proroga concordata;
(b) presenta il progetto di relazione finale sulla valutazione tra pari alla Commissione e al gruppo di cooperazione, dopo aver preso in considerazione eventuali osservazioni formulate dallo Stato membro che ha effettuato la pre-notifica sul contenuto del progetto di relazione sulla valutazione tra pari, ed entro tre mesi e due settimane dalla data ufficiale di inizio della valutazione tra pari a norma dell'articolo 3, paragrafo 3, a meno che la valutazione tra pari non sia oggetto di una proroga in conformità all'articolo 3, paragrafo 8, e la consegna della relazione avvenga nei tempi previsti nella proroga concordata;
(c) fornisce allo Stato membro che ha effettuato la pre-notifica un progetto di parere sul regime di identificazione elettronica pre-notificato entro tre mesi e due settimane dalla data ufficiale di inizio della valutazione tra pari di cui all'articolo 3, paragrafo 3, a meno che la valutazione tra pari non sia oggetto di una proroga in conformità all'articolo 3, paragrafo 8, e la consegna del parere avvenga nei tempi previsti nella proroga concordata, e prepara il progetto di parere utilizzando il modello di cui all'allegato IV;
(d) fornisce alla Commissione e al gruppo di cooperazione un progetto di parere definitivo sul regime di identificazione elettronica pre-notificato entro tre mesi e tre settimane dalla data di inizio della valutazione tra pari di cui all'articolo 3, paragrafo 3, a meno che la valutazione tra pari non sia oggetto di una proroga in conformità all'articolo 3, paragrafo 8, e la consegna del parere avvenga nei tempi previsti nella proroga concordata;
2. Prima di adottare e di pubblicare su un apposito sito web della Commissione il suo parere definitivo sulla conclusione della valutazione tra pari conformemente al paragrafo 9, il gruppo di cooperazione può richiedere ulteriori informazioni o chiarimenti allo Stato membro che ha effettuato la pre-notifica o al gruppo di valutazione tra pari.
3. Lo Stato membro che ha effettuato la pre-notifica fornisce le informazioni supplementari richieste di cui al paragrafo 2, salvo nei casi in cui ricorra una delle situazioni seguenti:
(a) lo Stato membro non è in possesso di tali informazioni e l'acquisizione delle stesse determinerebbe un onere amministrativo irragionevole;
(b) le informazioni richieste riguardano aspetti attinenti alla sicurezza pubblica o nazionale;
(c) le informazioni richieste riguardano aspetti attinenti a segreti commerciali, professionali o d'impresa;
(d) la sensibilità delle informazioni rende impossibile l'istituzione di un canale sicuro per trasmettere le informazioni al gruppo di cooperazione.
4. La relazione finale sulla valutazione tra pari elenca le informazioni richieste dal gruppo di valutazione tra pari o dal gruppo di cooperazione che non hanno potuto essere fornite per uno o più motivi di cui al paragrafo 3, senza specificare i motivi indicati dallo Stato membro che ha effettuato la pre-notifica. L'impatto dell'eventuale indisponibilità di informazioni può essere esaminato dal gruppo di valutazione tra pari nella relazione finale sulla valutazione tra pari.
5. Il gruppo di valutazione tra pari presenta la relazione finale sulla valutazione tra pari e il suo progetto di parere definitivo al gruppo di cooperazione entro quattro mesi o, in caso di proroga a norma dell'articolo 3, paragrafo 8, entro sei mesi dalla data ufficiale di inizio della valutazione tra pari a norma dell'articolo 3, paragrafo 3.
6. Il parere definitivo del gruppo di valutazione tra pari sul regime di identificazione elettronica dello Stato membro che ha effettuato la pre-notifica elenca gli eventuali impegni assunti da tale Stato membro.
7. Dopo la presentazione della relazione finale di valutazione tra pari e del parere definitivo del gruppo di valutazione tra pari, il gruppo di cooperazione adotta e pubblica il proprio parere sulla conclusione della valutazione tra pari, indicando se e in che modo il regime di identificazione elettronica oggetto della valutazione tra pari soddisfa i requisiti di cui al regolamento di esecuzione (UE) 2015/1502 che si applicano ai livelli di garanzia indicati dallo Stato membro che ha effettuato la pre-notifica, conformemente all'allegato I del presente regolamento. La procedura di adozione segue il regolamento interno del gruppo di cooperazione.
8. Il parere del gruppo di cooperazione identifica lo Stato membro che ha effettuato la pre-notifica, nonché il regime di identificazione elettronica pre-notificato e il relativo livello di garanzia. Il parere indica inoltre se la valutazione tra pari è stata completata con successo.
9. Le informazioni fornite a norma dell'articolo 2, paragrafo 1, sono pubblicate dal gruppo di cooperazione, tranne nel caso in cui lo Stato membro che le ha fornite abbia indicato per iscritto che tali informazioni non dovrebbero essere rese pubbliche.
Modifiche significative nei regimi di identificazione elettronica oggetto di valutazione tra pari
1. Qualora un regime di identificazione elettronica notificato subisca modifiche tali da incidere sulla sua interoperabilità, sicurezza o affidabilità, lo Stato membro che ha effettuato la notifica informa senza indebito ritardo il gruppo di cooperazione di tali modifiche e aggiorna le informazioni fornite in precedenza.
2. Dopo il ricevimento di una notifica di cui al paragrafo 1, e a condizione che il regime di identificazione elettronica notificato sia stato oggetto di valutazione tra pari, qualsiasi Stato membro del gruppo di cooperazione può chiedere un aggiornamento della valutazione tra pari.
3. In caso di richiesta di aggiornamento, le procedure di cui agli articoli da 3 a 5 si applicano di conseguenza e il gruppo di valutazione tra pari limita la valutazione agli elementi che sono stati modificati secondo la notifica iniziale e all'impatto di tali modifiche.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 29 luglio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO I
Elenco delle informazioni minime da fornire nel documento di mappatura dei livelli di garanzia per la valutazione tra pari di cui all'articolo 2, paragrafo 1, lettera a)
Il documento di mappatura dei livelli di garanzia per la valutazione tra pari di cui all'articolo 2, paragrafo 1, lettera a), comprende almeno le seguenti informazioni:
1) informazioni generali, comprendenti quanto segue:
(a) il nome dello Stato membro notificante;
(b) il titolo del regime di identificazione elettronica (se presente);
(c) il livello o i livelli di garanzia del regime di identificazione elettronica, indicati come basso, significativo o elevato;
2) l'autorità o le autorità responsabili del regime di identificazione elettronica, indicando:
(a) il nome dell'autorità delle autorità responsabili del regime di identificazione elettronica;
(b) l'indirizzo di posta elettronica dell'autorità o delle autorità responsabili del regime di identificazione elettronica;
3) informazioni sulle parti, le entità e gli organismi pertinenti coinvolti nel regime di identificazione elettronica, comprendenti quanto segue:
(a) informazioni sull'entità o sulle entità che gestiscono la registrazione dei dati unici di identificazione personale;
(b) il nome della parte o delle parti che rilasciano i mezzi di identificazione elettronica e, se del caso, un'indicazione che precisi se si tratta della parte o delle parti di cui all'articolo 7 lettera a), punto i), ii) o iii) del regolamento (UE) n. 910/2014;
(c) il nome della parte o delle parti che gestiscono la procedura di autenticazione («nodo eIDAS»);
(d) il nome dell'organizzazione o delle organizzazioni di governance che partecipano al regime di vigilanza relativo al regime di identificazione elettronica;
4) una descrizione del regime di identificazione elettronica, comprendente quanto segue:
(a) se del caso, il documento o i documenti che devono essere allegati per ciascuno degli argomenti seguenti:
- una breve descrizione del regime di identificazione elettronica, comprendente il contesto in cui opera, il suo ambito di applicazione e la sua disponibilità per le parti del settore privato facenti affidamento sulla certificazione;
- un elenco degli attributi aggiuntivi che possono essere forniti in relazione alle persone fisiche nell'ambito del regime di identificazione elettronica, se richiesto da una parte facente affidamento sulla certificazione;
- un elenco degli attributi aggiuntivi che possono essere forniti in relazione alle persone giuridiche nell'ambito del regime di identificazione elettronica, se richiesto da una parte facente affidamento sulla certificazione;
(b) il regime applicabile in materia di vigilanza, di responsabilità e di gestione, compreso quanto segue:
- una descrizione del regime di vigilanza del regime di identificazione elettronica, comprendente la procedura di valutazione con riguardo agli aspetti seguenti:
- il regime di vigilanza applicabile alla parte o alle parti che rilasciano i mezzi di identificazione elettronica;
- il regime di vigilanza applicabile alla parte o alle parti che gestiscono il nodo eIDAS.
Se del caso, tali descrizioni comprendono i ruoli, le responsabilità e i poteri delle organizzazioni di governance che partecipano al regime di vigilanza di cui al punto 3(d) e l'entità a cui fanno capo. Se le organizzazioni non fanno capo all'autorità responsabile del regime, devono essere fornite informazioni dettagliate sull'entità alla quale fanno capo;
- una descrizione del regime nazionale applicabile in materia di responsabilità, comprendente:
- una descrizione della responsabilità dello Stato membro a norma dell'articolo 11, paragrafo 1, del regolamento (UE) n. 910/2014;
- una descrizione della responsabilità della parte o delle parti che rilasciano i mezzi di identificazione elettronica a norma dell'articolo 11, paragrafo 2, del regolamento (UE) n. 910/2014;
- una descrizione della responsabilità della parte o delle parti che gestiscono il nodo eIdAS a norma dell'articolo 11, paragrafo 3, del regolamento (UE) n. 910/2014;
- le modalità di gestione, sospensione o revoca dell'intero regime di identificazione o di mezzi specifici di identificazione elettronica, del nodo eIDAS o delle sue parti compromesse;
(c) una descrizione delle componenti del regime di identificazione elettronica, comprendente:
- una descrizione di come sono stati soddisfatti i requisiti relativi alle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica, di cui al regolamento di esecuzione (UE) 2015/1502 della Commissione, al fine di dimostrare il livello di garanzia indicato per la registrazione;
- una descrizione di come sono trattati i processi indicati di seguito nell'ambito del regime di identificazione elettronica, comprendente la documentazione relativa alla combinazione di opzioni scelte dallo Stato membro:
- domanda e registrazione;
- controllo e verifica dell'identità di un persona fisica;
- controllo e verifica dell'identità di una persona giuridica;
- collegamento tra i mezzi di identificazione elettronica delle persone fisiche e delle persone giuridiche;
- per quanto riguarda la gestione dei mezzi di identificazione elettronica, una descrizione di come sono trattati i processi indicati di seguito nell'ambito dei mezzi di identificazione elettronica:
- caratteristiche e progettazione dei mezzi di identificazione elettronica, comprese, se del caso, informazioni sulla certificazione di sicurezza;
- rilascio, consegna e attivazione;
- sospensione, revoca e riattivazione;
- rinnovo e sostituzione;
- per quanto riguarda l'autenticazione, una descrizione del meccanismo di autenticazione, comprendente i termini di accesso all'autenticazione per le parti facenti affidamento sulla certificazione diverse dagli enti pubblici;
- per quanto riguarda la gestione e l'organizzazione, una descrizione della gestione e dell'organizzazione degli aspetti seguenti:
- disposizioni generali in materia di gestione e organizzazione;
- pubblicazione di avvisi e informazioni per gli utenti;
- gestione della sicurezza delle informazioni;
- registrazione dei dati;
- strutture e personale;
- controlli tecnici;
- conformità e verifiche;
(d) una descrizione di come sono soddisfatti i requisiti minimi di interoperabilità e i requisiti minimi di sicurezza tecnica e operativa;
(e) un elenco di tutti i documenti di supporto presentati e una dichiarazione che indichi a quali degli elementi di cui sopra si riferiscono, comprendente riferimenti all'eventuale legislazione nazionale relativa alla disposizione in materia di identificazione elettronica pertinente alla notifica, nonché relazioni di audit pertinenti, dichiarazioni sulle pratiche di certificazione e relazioni sulle prove;
(f) i documenti e le informazioni pertinenti per quanto riguarda la certificazione del regime di identificazione elettronica a norma dell'articolo 12 bis, paragrafo 1, e, se del caso, paragrafo 5, del regolamento (UE) n. 910/2014.
ALLEGATO II
Elenco delle informazioni minime da fornire nel libro bianco di cui all'articolo 2, paragrafo 1, lettera b)
1. Il libro bianco descrive l'ecosistema generale del regime di identificazione elettronica pre-notificato, nonché la storia del regime di identificazione elettronica e dell'identificazione elettronica nello Stato membro.
2. Il libro bianco fornisce inoltre una descrizione del regime di identificazione elettronica e dei mezzi di identificazione elettronica forniti nell'ambito di tale regime, comprendente una breve descrizione degli elementi contemplati anche dal documento di mappatura dei livelli di garanzia di cui all'articolo 2, paragrafo 1, lettera a), del presente regolamento, del documento di mappatura del quadro di interoperabilità di cui all'articolo 2, paragrafo 1, lettera c), del presente regolamento, e altri documenti.
3. Il libro bianco descrive inoltre il ruolo del regime di identificazione elettronica nell'ecosistema generale e la sua relazione con le parti facenti affidamento sulla certificazione e altri servizi forniti all'interno dell'ecosistema.
ALLEGATO III
Modello per il documento di mappatura del quadro di interoperabilità
Requisiti di interoperabilità
| Articolo del regolamento di esecuzione (UE) 2015/1501 della Commissione | Requisito | Descrizione |
| 4 | Mappatura dei livelli di garanzia nazionali La mappatura dei livelli di garanzia nazionali dei regimi di identificazione elettronica notificati deve essere conforme ai requisiti stabiliti nel regolamento di esecuzione (UE) 2015/1502. I risultati della mappatura sono comunicati alla Commissione utilizzando il modello di notifica stabilito nella decisione di esecuzione (UE) 2015/1984. |
<Da compilare a cura dello Stato membro> |
| 5 | Nodi 1. Un nodo in uno Stato membro è in grado di connettersi ai nodi di altri Stati membri. 2. I nodi sono in grado di distinguere attraverso mezzi tecnici tra gli organismi del settore pubblico e le altre parti che fanno affidamento sulla certificazione. 3. L'attuazione da parte di uno Stato membro dei requisiti tecnici di cui al presente regolamento non impone agli altri Stati membri requisiti tecnici o costi sproporzionati ai fini dell'interoperabilità con l'attuazione adottata dal primo Stato membro. |
<Da compilare a cura dello Stato membro> |
| 6 | Protezione dei dati personali e riservatezza dei dati 1. La tutela della vita privata, la riservatezza dei dati scambiati e il mantenimento dell'integrità dei dati tra i nodi sono assicurati grazie al ricorso alle migliori soluzioni tecniche e prassi di protezione disponibili. 2. I nodi non conservano i dati personali tranne per i fini di cui all'articolo 9, paragrafo 3, del regolamento di esecuzione (UE) 2015/1501. |
<Da compilare a cura dello Stato membro> |
| 7 | Integrità e autenticità dei dati per la comunicazione La comunicazione tra i nodi garantisce l'integrità e l'autenticità dei dati al fine di assicurare che tutte le richieste e le risposte siano autentiche e che non siano manomesse. A tal fine, i nodi utilizzano soluzioni già impiegate con successo nel quadro di un uso operativo transfrontaliero. |
<Da compilare a cura dello Stato membro> |
| 8 | Formato dei messaggi per la comunicazione I nodi utilizzano per la sintassi formati di messaggio comuni basati su norme già applicate più volte tra gli Stati membri e di cui è comprovato il funzionamento in ambiente operativo. La sintassi consente: a) il trattamento corretto dell'insieme minimo di dati di identificazione personale che rappresentano un'unica persona fisica o giuridica; b) il trattamento corretto del livello di garanzia dei mezzi di identificazione elettronica; c) la distinzione tra organismi del settore pubblico e altre parti facenti affidamento sulla certificazione; d) la flessibilità per rispondere all'esigenza di attributi supplementari in relazione all'identificazione. |
<Da compilare a cura dello Stato membro> |
| 9 | Gestione delle informazioni relative alla sicurezza e dei metadati 1. L'operatore di nodo comunica i metadati della gestione del nodo secondo modalità standardizzate idonee al trattamento meccanizzato e in modo sicuro e affidabile. 2. Almeno i parametri relativi alla sicurezza sono recuperati automaticamente. 3. L'operatore di nodo conserva i dati che, in caso di incidente, permettano di ricostruire la sequenza dello scambio di messaggi al fine di stabilire il luogo e la natura dell'incidente. I dati sono conservati per il periodo di tempo prescritto dalle disposizioni nazionali e comprendono almeno i seguenti elementi: a) identificazione del nodo; b) identificazione del messaggio; c) data e ora del messaggio. |
<Da compilare a cura dello Stato membro> |
| 10 | Norme in materia di garanzia di sicurezza delle informazioni 1. Gli operatori dei nodi che forniscono l'autenticazione provano che, per quanto riguarda i nodi partecipanti al quadro di interoperabilità, il nodo soddisfa i requisiti della norma ISO/CEI 27001 attraverso la certificazione o metodi di valutazione equivalenti ovvero attraverso il rispetto delle norme nazionali. 2. Gli operatori di nodo distribuiscono aggiornamenti critici della sicurezza senza indebiti ritardi. |
<Da compilare a cura dello Stato membro> |
| 11 | Dati di identificazione personale 1. Un insieme minimo di dati di identificazione personale che rappresentano un'unica persona fisica o giuridica soddisfa i requisiti elencati nell'allegato del regolamento di esecuzione (UE) 2015/1501 della Commissione ove utilizzato in un contesto transfrontaliero. 2. Un insieme minimo di dati per una persona fisica che rappresenta una persona giuridica contiene la combinazione di attributi elencata nell'allegato del regolamento di esecuzione (UE) 2015/1501 della Commissione per le persone fisiche e le persone giuridiche ove utilizzato in un contesto transfrontaliero. 3. I dati sono trasmessi sulla base dei caratteri originali e, se del caso, sono anche trascritti in caratteri latini. |
<Da compilare a cura dello Stato membro> |
.
ALLEGATO IV
Modello per il parere sul regime di identificazione elettronica di uno Stato membro
Parere n. XX/202X del gruppo di cooperazione sul regime di identificazione elettronica <inserire il nome del regime> del/della <inserire Stato membro>
Visto l'articolo 12, paragrafo 5, del regolamento (UE) n. 910/2014 («regolamento sull'identità digitale europea»),
visto il regolamento di esecuzione (UE) 2025/1568,
visto il regolamento interno del gruppo di cooperazione,
considerando quanto segue:
L'articolo 12, paragrafo 5, del regolamento sull'identità digitale europea impone agli Stati membri di effettuare valutazioni tra pari dei regimi di identificazione elettronica da notificare a norma dell'articolo 9, paragrafo 1, lettera a), del regolamento sull'identità digitale europea.
A norma dell'articolo 5, paragrafo 10, del regolamento di esecuzione (UE) 2025/1568 in materia di cooperazione, il gruppo di cooperazione è tenuto ad adottare pareri in merito al modo in cui un regime di identificazione elettronica da notificare soddisfa i requisiti del regolamento sull'identità digitale europea.
Al fine di notificare il proprio regime di identificazione elettronica <inserire il nome del regime> a norma dell'articolo 9, paragrafo 1, del regolamento sull'identità digitale europea, <inserire Stato membro> ha fornito agli Stati membri le informazioni seguenti il <inserire data> (di seguito: «pre-notifica»), in linea con l'articolo 7, lettera g), del regolamento sull'identità digitale europea:
- modulo di notifica;
- documenti di supporto.
Il <inserire la data della riunione del gruppo di cooperazione>, il gruppo di cooperazione:
- ha convenuto di organizzare la valutazione tra pari del regime di identificazione elettronica <inserire il nome del regime> del/della <inserire Stato membro> a norma dell'articolo 46 sexies, paragrafo 5, lettera d), del regolamento sull'identità digitale europea e del regolamento di esecuzione (UE) 2025/1568;
- ha costituito un «gruppo di valutazione tra pari»; e
- ha convenuto i temi che saranno trattati nell'ambito del processo di valutazione tra pari e le relative modalità organizzative, conformemente alle disposizioni del regolamento di esecuzione (UE)2025/1568.
Il gruppo di valutazione tra pari ha presentato al gruppo di cooperazione la sua relazione a norma dell'articolo 5 del regolamento di esecuzione (UE)2025/1568 il <inserire data>. Il gruppo di cooperazione ha esaminato e discusso la relazione sulla valutazione tra pari.
Tenendo conto dei risultati della valutazione tra pari, della relazione sulla valutazione tra pari e delle informazioni supplementari fornite dal/dalla <inserire Stato membro> per quanto riguarda:
-
e del fatto che <inserire Stato membro> si impegna a:
-
Il gruppo di cooperazione ha adottato il parere seguente:
Parere
Sulla base dell'esame dei documenti di pre-notifica forniti dal/dalla <inserire Stato membro> e delle conclusioni della relazione sulla valutazione tra pari, il gruppo di cooperazione ritiene che i documenti di pre-notifica e le informazioni supplementari fornite dal/dalla <inserire Stato membro> dimostrino in misura sufficiente che il regime di identificazione elettronica da notificare <inserire il nome del regime > del/della <inserire Stato membro> soddisfa i requisiti
- per il livello di garanzia «elevato»;
- per il livello di garanzia «significativo»;
- per il livello di garanzia «basso»; in linea con i requisiti di cui all'articolo 7, all'articolo 8, paragrafi 1 e 2, all'articolo 12, paragrafo 1, e all'articolo 12 bis, paragrafi 1 e 5, del regolamento sull'identità digitale europea e con i requisiti del regolamento di esecuzione (UE) 2015/1502.
A norma dell'articolo <inserire numero> del regolamento interno, il gruppo di cooperazione conviene di pubblicare il presente parere.
<inserire Stato membro>, <inserire data>