REGOLAMENTO DI ESECUZIONE (UE) 2025/1569 DELLA COMMISSIONE, 29 luglio 2025
G.U.U.E. 30 luglio 2025, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda gli attestati elettronici qualificati di attributi e gli attestati elettronici di attributi forniti da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 19 agosto 2025
Applicabile dal: (vedi nota)
Nota:
Per l'applicabilità si veda l'articolo 11
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 45 quinquies, paragrafo 5, l'articolo 45 sexies, paragrafo 2, e l'articolo 45 septies, paragrafi 6 e 7,
considerando quanto segue:
1) Il regolamento (UE) n. 910/2014 istituisce un quadro giuridico per il rilascio e la convalida di attestati elettronici di attributi, comprendente l'obbligo per i fornitori di attestati elettronici di attributi di offrire agli utenti dei portafogli europei di identità digitale ("portafogli") la possibilità di richiedere, ottenere, conservare e gestire gli attestati elettronici di attributi indipendentemente dallo Stato membro in cui sono forniti i portafogli. Gli attestati elettronici di attributi sono componenti essenziali per la creazione di un ecosistema dei portafogli europei di identità digitale ("ecosistema dei portafogli") sicuro e interoperabile. Consentono agli utenti di condividere informazioni con le parti facenti affidamento sulla certificazione in modo affidabile in una serie di casi d'uso.
2) Le interfacce con i portafogli europei di identità digitale che devono essere fornite dai fornitori di attestati elettronici qualificati di attributi, come stabilito all'articolo 45 octies del regolamento (UE) n. 910/2014, sottolineano l'importanza degli attestati elettronici di attributi per l'ecosistema dei portafogli e facilitano la loro rapida adozione.
3) La Commissione valuta periodicamente tecnologie, pratiche, norme e specifiche tecniche nuove. Al fine di garantire il massimo livello di armonizzazione tra gli Stati membri per lo sviluppo e la certificazione dei portafogli, le specifiche tecniche di cui al presente regolamento si fondano sul lavoro svolto nell'ambito della raccomandazione (UE) 2021/946 della Commissione, del 3 giugno 2021, relativa a un pacchetto di strumenti comuni dell'Unione per un approccio coordinato verso un quadro europeo relativo a un'identità digitale (2), in particolare l'architettura e il quadro di riferimento che ne fanno parte. Conformemente al considerando 75 del regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (3), la Commissione dovrebbe riesaminare e, se necessario, aggiornare il presente regolamento per mantenerlo in linea con gli sviluppi globali, l'architettura e il quadro di riferimento e per seguire le migliori pratiche sul mercato interno, in particolare per quanto riguarda il rilascio di attestati elettronici di attributi e la verifica degli attributi rispetto a fonti autentiche o intermediari designati.
4) Se i fornitori di attestati elettronici qualificati di attributi e di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto rilasciano attestati che dichiarano di soddisfare i requisiti dei regimi per gli attestati di attributi registrati nel catalogo, le politiche e le procedure di conformità ai requisiti di tali regimi dovrebbero rientrare nella valutazione della conformità di cui al regolamento (UE) n. 910/2014.
5) La protezione da informazioni inaffidabili è di grande importanza per la digitalizzazione degli attestati. Pertanto gli attestati elettronici qualificati di attributi e gli attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto dovrebbero poter essere revocati, oppure dovrebbero essere attuate misure alternative per controbilanciare i rischi connessi alla non revocabilità. In alcune circostanze, ad esempio su richiesta esplicita della persona cui è stato rilasciato l'attestato elettronico di attributi, o qualora il fornitore sia a conoscenza del fatto che la sicurezza o l'affidabilità degli attestati elettronici qualificati di attributi è stata compromessa, o ove richiesto dal diritto dell'Unione o nazionale, è opportuno che il fornitore revochi un attestato elettronico di attributi. Al fine di salvaguardare i diritti fondamentali alla vita privata e alla protezione dei dati dell'utente, in particolare riducendo adeguatamente al minimo i rischi di correlabilità e tracciabilità, i fornitori di attestati elettronici qualificati di attributi e di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto dovrebbero istituire politiche di gestione delle revoche che tutelino la vita privata.
6) Al fine di agevolare la cooperazione tra gli Stati membri e la creazione di un ecosistema per l'identità digitale sicuro e interoperabile, che preveda il riconoscimento e l'interoperabilità transfrontalieri degli attestati elettronici qualificati di attributi e degli attestati elettronici di attributi forniti da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto, è necessario stabilire procedure di comunicazione amministrativa semplificate tra i pertinenti portatori di interessi, compresa la pubblicazione di informazioni per identificare rapidamente gli organismi del settore pubblico competenti. Gli Stati membri dovrebbero notificare i pertinenti attributi alla Commissione. Per garantire la verifica tempestiva, efficiente e interoperabile di tali attributi, le notifiche alla Commissione dovrebbero quindi essere quanto meno in lingua inglese, perché ciò ne facilità l'ampia accessibilità, valutazione e comprensione e rafforza al tempo stesso la cooperazione tra i pertinenti portatori di interessi. La traduzione della documentazione già esistente non dovrebbe tuttavia comportare oneri amministrativi o finanziari irragionevoli.
7) Per consentire agli utenti e ai prestatori di servizi di verificare che gli attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto siano stati effettivamente rilasciati dall'organismo del settore pubblico in questione o per suo conto, gli Stati membri dovrebbero notificare tali organismi del settore pubblico alla Commissione. Nel notificare gli organismi del settore pubblico che rilasciano attestati elettronici di attributi conformemente all'articolo 45 septies e all'allegato VII del regolamento (UE) n. 910/2014, gli Stati membri sono tenuti a fornire una relazione di valutazione della conformità che confermi un livello di affidabilità e attendibilità equivalente a quello dei prestatori di servizi fiduciari qualificati. A differenza di quanto accade per i prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi, per tali organismi del settore pubblico spetta tuttavia agli Stati membri decidere le modalità con cui garantire che i fornitori rispettino i requisiti nel tempo. Per mantenere un elevato livello di fiducia negli attestati del settore pubblico in tutta l'Unione, gli Stati membri sono pertanto incoraggiati a condividere le loro migliori pratiche relative alle modalità con cui garantiscono l'affidabilità e l'attendibilità continue attraverso il gruppo di cooperazione per l'identità digitale europea istituito a norma dell'articolo 46 sexies, paragrafo 1, del regolamento (UE) n. 910/2014 ("gruppo di cooperazione"). La Commissione dovrebbe redigere, mantenere e pubblicare un elenco dei fornitori e garantire che sia facilmente accessibile al pubblico.
8) La Commissione, con l'assistenza del gruppo di cooperazione, dovrebbe redigere un catalogo degli attributi per facilitarne la verifica rispetto a fonti autentiche da parte dei prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi. La registrazione degli attributi di cui all'allegato VI del regolamento (UE) n. 910/2014 nel catalogo degli attributi dovrebbe essere obbligatoria. Per gli altri attributi, la registrazione sarebbe facoltativa.
9) La Commissione, con l'assistenza del gruppo di cooperazione, dovrebbe redigere un catalogo di regimi per gli attestati di attributi al fine di agevolare il rilascio degli attestati da parte dei prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi e dei fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto, nonché al fine di agevolare l'armonizzazione e l'interoperabilità transfrontaliera di tali attestati. La registrazione dei regimi nel catalogo di regimi dovrebbe essere facoltativa. Le richieste di registrazione nel catalogo o di modifiche al suo interno dovrebbero essere presentate dal titolare del regime per gli attestati di attributi e possono comprendere attributi non figuranti nel catalogo degli attributi. La Commissione dovrebbe valutare tali richieste tenendo conto delle necessità in termini di interoperabilità e armonizzazione.
10) Affinché le informazioni da esso fornite siano significative e il suo livello di interoperabilità all'interno dell'ecosistema degli attestati elettronici di attributi sia elevato, il catalogo di attributi dovrebbe fornire almeno un insieme minimo di informazioni, come la descrizione semantica dell'attributo, lo spazio dei nomi (namespace) del suo identificatore e il tipo di dati dell'attributo. Allo stesso scopo, il catalogo di regimi per gli attestati di attributi dovrebbe contenere descrizioni dei tipi comuni di attestati elettronici di attributi e una descrizione del modello di fiducia e dei meccanismi di governance applicati nell'ambito del regime per gli attestati. Le informazioni contenute nei cataloghi dovrebbero comprendere le versioni degli attributi e dei regimi affinché le modifiche di tali attributi e regimi non incidano sugli attestati rilasciati sulla base di versioni specifiche.
11) Per garantire l'efficacia della verifica degli attributi rispetto a fonti autentiche da parte di prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi, anche attraverso intermediari designati che forniscono meccanismi di verifica indiretta ai prestatori di servizi, gli Stati membri, entro il termine di cui all'articolo 45 sexies, paragrafo 1, del regolamento (UE) n. 910/2014, dovrebbero istituire meccanismi che consentano ai prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi di richiedere la verifica degli attributi. I meccanismi dovrebbero consentire ai prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi di determinare quali attributi possono essere verificati e in che modo. Tali meccanismi dovrebbero includere dettagli relativi ai punti di accesso e ai protocolli di servizio per la verifica della validità e dell'accuratezza degli attributi e considerare la possibilità di offrire un punto di verifica unico a livello nazionale.
12) Più in particolare, gli Stati membri dovrebbero mettere a disposizione dei prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi i meccanismi per l'accesso ai punti di verifica a livello nazionale e per il loro utilizzo per ciascuno degli attributi di cui all'allegato VI del regolamento (UE) n. 910/2014. Tali meccanismi dovrebbero consentire ai prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi di presentare a un punto di verifica, su richiesta dell'utente, attributi specifici per il rilascio dell'attestato e durante il suo ciclo di vita. I meccanismi di verifica dovrebbero utilizzare mezzi elettronici idonei al trattamento automatico e all'ottenimento di risposte dal punto di verifica il più rapidamente possibile. Tali risposte dovrebbero confermare se gli attributi presentati dai prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi corrispondano agli attributi conservati in relazione all'utente in questione nella pertinente fonte autentica, e dovrebbero specificare la fonte autentica rispetto alla quale è stata effettuata la verifica. Al fine di evitare condotte illecite, quali richieste di verifica illegittime o manifestamente eccessive, gli Stati membri possono imporre meccanismi di controllo dell'uso dei punti di verifica qualora lo ritengano opportuno tenendo conto di fattori pertinenti, tra cui la possibilità che le fonti autentiche contengano informazioni che dovrebbero essere considerate dati personali o che hanno un carattere altrimenti riservato o sensibile a norma del diritto dell'Unione o nazionale.
13) Conformemente ai principi stabiliti dal regolamento su un'Europa interoperabile (4), al fine di agevolare la redazione del catalogo di attributi e del catalogo di regimi per gli attestati di attributi e riutilizzare, per quanto possibile, i cataloghi, i regimi e le informazioni esistenti, la Commissione dovrebbe, se del caso, sfruttare le sinergie con i servizi comuni del sistema tecnico a norma del regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio che istituisce uno sportello digitale unico e che modifica il regolamento (UE) n. 1024/2012 (5).
14) Allo scopo di migliorare l'interoperabilità degli attestati elettronici di attributi rilasciati da prestatori di servizi fiduciari non qualificati, i principi e le prescrizioni stabiliti nel presente regolamento possono essere seguiti dagli emittenti di attestati per quanto riguarda gli attestati elettronici non qualificati di attributi.
15) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (6) e, se del caso, la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (7) si applicano a tutte le attività di trattamento di dati personali ai sensi del presente regolamento.
16) Allo scopo di concedere alla Commissione e agli Stati membri il tempo sufficiente per redigere l'elenco di fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto, le prescrizioni stabilite nel presente regolamento in relazione al catalogo di attributi, al catalogo di regimi per gli attestati di attributi e ai punti di verifica degli attributi dovrebbero diventare applicabili 12 mesi dopo la data di entrata in vigore del presente regolamento.
17) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (8), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 31 gennaio 2025.
18) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: https//data.europa.eu/eli/reg/2014/910/oj.
GU L 210 del 14.6.2021, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell'11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione del quadro europeo relativo a un'identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
Regolamento (UE) 2024/903 del Parlamento europeo e del Consiglio, del 13 marzo 2024, che stabilisce misure per un livello elevato di interoperabilità del settore pubblico nell'Unione (regolamento su un'Europa interoperabile) (GU L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
Regolamento (UE) 2018/1724 del Parlamento europeo e del Consiglio, del 2 ottobre 2018, che istituisce uno sportello digitale unico per l'accesso a informazioni, procedure e servizi di assistenza e di risoluzione dei problemi e che modifica il regolamento (UE) n. 1024/2012 (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Oggetto e ambito di applicazione
Il presente regolamento stabilisce le norme di riferimento, le specifiche e le procedure, da aggiornare periodicamente per tenere conto degli sviluppi tecnologici, della normazione e del lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, in particolare dell'architettura e del quadro di riferimento, relative:
1) agli attestati elettronici qualificati di attributi;
2) agli attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto;
3) all'elenco di fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto;
4) al catalogo di attributi e al catalogo di regimi per gli attestati di attributi di cui ai punti 1) e 2);
5) alla verifica degli attributi rispetto a fonti autentiche o intermediari designati.
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) "unità di portafoglio": una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio;
2) "utente del portafoglio": un utente che ha il controllo dell'unità di portafoglio;
3) "catalogo di attributi": un archivio digitale di attributi gestito e pubblicato online dalla Commissione;
4) "regime per gli attestati di attributi": un insieme di norme applicabili a uno o più tipi di attestati elettronici di attributi;
5) "tipo di attestati elettronici di attributi": un gruppo di attestati elettronici di attributi cui sono stati assegnati un nome specifico e una descrizione semantica;
6) "catalogo di regimi per gli attestati di attributi": un archivio digitale contenente un elenco di regimi per gli attestati di attributi registrato conformemente al presente regolamento e gestito [e pubblicato online] dalla Commissione;
7) "soluzione di portafoglio": una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio;
8) "istanza di portafoglio": l'applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un'unità di portafoglio, e che l'utente del portafoglio utilizza per interagire con l'unità di portafoglio;
9) "applicazione crittografica sicura per il portafoglio": un'applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l'uso di tali funzioni;
10) "dispositivo crittografico sicuro per il portafoglio": un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all'applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l'esecuzione sicura di operazioni critiche;
11) "fornitore del portafoglio": una persona fisica o giuridica che fornisce soluzioni di portafoglio;
12) "risorse critiche": risorse all'interno di un'unità di portafoglio o ad essa relative, di importanza tale che un'eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull'unità di portafoglio;
13) "titolare di un regime per gli attestati di attributi": un'entità responsabile dell'istituzione e della gestione di un regime per gli attestati di attributi.
Rilascio di attestati elettronici qualificati di attributi e di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto
1. I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto rispettano l'elenco delle norme di riferimento e delle specifiche di cui all'allegato I e garantiscono che gli attestati elettronici di attributi da essi rilasciati siano conformi alle specifiche tecniche di cui all'allegato II.
2. Nel caso di rilascio di attestati elettronici di attributi inclusi in regimi registrati nel catalogo di regimi per gli attestati di attributi, i fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto devono conformarsi ai requisiti del regime per gli attestati di attributi corrispondente. Le politiche e le procedure stabilite dagli emittenti di attestati al fine di garantire la conformità ai requisiti dei regimi per gli attestati di attributi rientrano nella valutazione della conformità di cui al regolamento (UE) 910/2014.
Revoca di attestati elettronici qualificati di attributi e di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto
1. I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto dispongono di politiche scritte e accessibili al pubblico relative alla gestione della situazione di validità o revoca. Tali politiche comprendono, se del caso, le condizioni in base alle quali gli attestati elettronici di attributi possono essere revocati senza indugio e misure volte a garantire la disponibilità di informazioni relative alla situazione di validità.
2. I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto sono gli unici soggetti in grado di revocare gli attestati elettronici di attributi che hanno rilasciato.
3. I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto, qualora tali attestati siano rilasciati con un periodo di validità superiore alle 24 ore, li revocano almeno nelle circostanze seguenti:
a) su richiesta esplicita della persona cui è stato rilasciato l'attestato elettronico di attributi o, se del caso, del soggetto cui si riferisce l'attestato;
b) se il fornitore è a conoscenza del fatto che la sicurezza o l'affidabilità degli attestati elettronici qualificati di attributi o degli attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto è stata compromessa;
c) in altre situazioni come previsto dal diritto dell'Unione o nazionale o come stabilito nelle politiche dei fornitori di cui al paragrafo 1.
4. I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto istituiscono tecniche di revoca e metodi di gestione che tutelino la vita privata e ostacolino la correlabilità e la tracciabilità.
5. I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto mettono a disposizione delle parti facenti affidamento sulla certificazione informazioni sulla situazione di validità o di revoca degli attestati elettronici di attributi che hanno rilasciato con una modalità che garantisca l'integrità e l'autenticità di tali informazioni.
Notifica degli organismi del settore pubblico
1. Gli Stati membri trasmettono almeno le informazioni di cui all'allegato III sugli organismi del settore pubblico di cui all'articolo 45 septies, paragrafo 3, del regolamento (UE) n. 910/2014, attraverso un sistema elettronico sicuro per le notifiche fornito dalla Commissione.
2. Gli Stati membri notificano qualsiasi modifica delle informazioni notificate.
3. Gli Stati membri effettuano le notifiche quanto meno in lingua inglese. Gli Stati membri non sono tenuti a tradurre alcun documento a sostegno delle notifiche qualora ciò comporti un onere amministrativo o finanziario irragionevole.
4. Se del caso, la Commissione può chiedere agli Stati membri di fornire informazioni supplementari.
Pubblicazione dell'elenco degli organismi del settore pubblico
1. La Commissione redige, mantiene e pubblica un elenco dei fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto sulla base delle informazioni notificate dagli Stati membri a norma dell'articolo 5.
2. La Commissione garantisce che sia possibile accedere all'elenco di cui al paragrafo 1.
a) tanto in forma firmata o sigillata elettronicamente adatta al trattamento automatizzato, quanto attraverso un sito web leggibile da utenti umani;
b) senza la necessità di registrarsi o di essere autenticati;
c) solo utilizzando una sicurezza a livello di trasporto (transport layer security) all'avanguardia.
3. La Commissione pubblica senza indebito ritardo, attraverso un canale sicuro:
a) le specifiche tecniche dell'elenco;
b) i dettagli dell'URL presso il quale è pubblicato l'elenco;
c) i certificati da utilizzare per verificare la firma elettronica o il sigillo elettronico apposti sugli elenchi;
d) i dettagli relativi ai meccanismi utilizzati per convalidare le successive modifiche dell'ubicazione o dei certificati di cui alle lettere b) e c).
Creazione e mantenimento del catalogo di attributi
1. La Commissione redige e pubblica un catalogo di attributi e istituisce un sistema sicuro che consente la presentazione di richieste di inclusione di attributi nel catalogo di attributi o di modifica degli attributi in esso registrati.
2. La Commissione, dopo aver preso in considerazione eventuali pareri forniti dal gruppo di cooperazione, valuta le richieste di inclusione di un attributo nel catalogo di attributi o di modifica di un attributo in esso registrato, presentate utilizzando il sistema di cui al paragrafo 1. Nella sua valutazione la Commissione considera se l'inclusione dell'attributo contribuisce alla creazione di una base comune per interazioni elettroniche sicure e rispettose della vita privata tra cittadini, imprese e autorità pubbliche e alla promozione dell'interoperabilità. La Commissione tiene conto anche della normativa settoriale, ove applicabile.
3. Gli Stati membri richiedono l'inclusione di attributi figuranti nell'allegato VI del regolamento (UE) n. 910/2014 nel catalogo di attributi qualora tali attributi facciano affidamento su fonti autentiche ai fini della verifica da parte di prestatori di servizi fiduciari qualificati.
4. Gli Stati membri possono inoltre richiedere l'inclusione di attributi non figuranti nell'allegato VI nel catalogo di attributi qualora tali attributi facciano affidamento su fonti autentiche del settore pubblico. I soggetti privati che sono considerati una fonte primaria di informazioni o che sono riconosciuti come autentici conformemente al diritto dell'Unione o nazionale, inclusa la prassi amministrativa, possono richiedere l'inclusione di attributi non figuranti nell'allegato VI nel catalogo di attributi a condizione che il soggetto richiedente sia responsabile di tali attributi.
5. La richiesta di includere un attributo nel catalogo o di modificare un attributo in esso registrato contiene almeno le informazioni seguenti:
a) identificazione del soggetto che presenta la richiesta;
b) se del caso, un riferimento alla normativa dell'Unione o nazionale o alla prassi amministrativa in virtù della quale il soggetto che effettua la richiesta è considerato essere una fonte primaria di informazioni o una fonte autentica riconosciuta;
c) se la richiesta riguarda un attributo già presente nel catalogo o un nuovo attributo;
d) uno spazio dei nomi (namespace) per l'identificatore degli attributi, il cui valore è unico all'interno del catalogo di attributi;
e) un identificatore dell'attributo, unico all'interno dello spazio dei nomi, e la versione dell'attributo;
f) la descrizione semantica dell'attributo;
g) il tipo di dati dell'attributo;
h) il punto di verifica per l'attributo a livello nazionale o un link a una descrizione della procedura per avviare le richieste di verifica.
6. La richiesta di includere o modificare un attributo è firmata o sigillata dal richiedente mediante una firma elettronica qualificata o un sigillo elettronico qualificato oppure una firma elettronica avanzata o un sigillo elettronico avanzato basati su un certificato qualificato.
7. La Commissione, a seguito della valutazione di cui al paragrafo 2 e dopo aver verificato che le informazioni fornite nella richiesta di inclusione o modifica di un attributo comprendano tutte le informazioni di cui al paragrafo 5, può inserire l'attributo o la modifica oggetto della richiesta nel catalogo di attributi.
8. Il catalogo di attributi sigillato dalla Commissione è accessibile al pubblico, attraverso un canale sicuro, gratuitamente e senza previa identificazione o autenticazione, ed è pubblicato in versioni leggibili da dispositivi automatici e da utenti umani. Il catalogo comprende anche una funzione di ricerca.
9. La Commissione pubblica le specifiche tecniche da essa utilizzate per il catalogo di attributi.
10. La Commissione rilascia un identificatore unico per ciascun attributo registrato.
Creazione e mantenimento del catalogo di regimi per gli attestati di attributi
1. La Commissione redige e pubblica un catalogo di regimi per gli attestati di attributi e istituisce un sistema sicuro che consente la presentazione di richieste di inclusione di regimi per gli attestati di attributi nel catalogo di regimi per gli attestati di attributi o di modifica dei regimi in esso registrati.
2. La Commissione, dopo aver preso in considerazione eventuali pareri forniti dal gruppo di cooperazione, valuta le richieste di inclusione di regimi per gli attestati di attributi nel catalogo di regimi per gli attestati di attributi o di modifica dei regimi in esso registrati. Nella sua valutazione la Commissione considera se il regime contribuisce alla creazione di una base comune per interazioni elettroniche sicure e rispettose della vita privata tra cittadini, imprese e autorità pubbliche e alla promozione dell'interoperabilità. La Commissione tiene conto anche della normativa settoriale, ove applicabile.
3. I titolari di un regime per gli attestati di attributi possono chiedere di aggiungere regimi al catalogo di regimi. La richiesta di includere un regime nel catalogo di regimi per gli attestati di attributi o di modificare un regime in esso registrato contiene almeno:
a) il nome del regime, scelto dal titolare del regime per gli attestati di attributi e unico all'interno del catalogo di regimi per gli attestati di attributi;
b) il nome e le informazioni di contatto del titolare del regime per gli attestati di attributi;
c) lo stato e la versione del regime;
d) un riferimento a eventuali leggi, norme o orientamenti specifici cui siano soggetti il rilascio, la convalida o l'utilizzo di un attestato elettronico di attributi rientrante nell'ambito di applicazione del regime;
e) il formato o i formati degli attestati elettronici di attributi che rientrano nell'ambito di applicazione del regime;
f) uno o più spazi dei nomi, identificatori degli attributi, descrizioni semantiche e tipi di dati di ciascun attributo facente parte di un attestato elettronico di attributi che rientra nell'ambito di applicazione del regime, mediante riferimento a un attributo nel catalogo di attributi di cui all'articolo 7 oppure mediante un attributo definito in modo analogo nell'ambito di applicazione del regime;
g) una descrizione del modello di fiducia e dei meccanismi di governance applicati nell'ambito del regime, compresi i meccanismi di revoca;
h) eventuali requisiti relativi ai fornitori degli attestati elettronici di attributi o alle fonti di informazione su cui tali fornitori fanno affidamento per il rilascio di attestati elettronici di attributi, comprese eventuali fonti autentiche, se del caso;
i) una dichiarazione che indichi se gli attestati elettronici di attributi che rientrano nell'ambito di applicazione del regime devono essere rilasciati come attestati elettronici qualificati di attributi, come attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto, o in entrambe le forme.
4. I regimi oggetto della richiesta di inclusione nel catalogo contengono solo attributi identificabili sulla base di identificatori unici. La richiesta di includere o modificare un regime per gli attestati di attributi è firmata o sigillata dal richiedente mediante una firma elettronica qualificata o un sigillo elettronico qualificato o una firma elettronica avanzata o un sigillo elettronico avanzato basati su un certificato qualificato.
5. La Commissione, a seguito della valutazione di cui al paragrafo 2 e dopo aver verificato che le informazioni fornite nella richiesta di inclusione o di modifica di un regime per gli attestati contengano tutti gli elementi elencati ai paragrafi 3 e 4, può inserire il regime o la modifica oggetto della richiesta nel catalogo di regimi per gli attestati di attributi.
6. Il catalogo di regimi per gli attestati di attributi, sigillato dalla Commissione, è accessibile al pubblico, attraverso un canale sicuro, gratuitamente e senza previa identificazione o autenticazione, ed è leggibile da dispositivi automatici e da utenti umani. Il catalogo comprende anche una funzione di ricerca ed è in un formato che garantisce l'integrità e l'autenticità.
7. La Commissione pubblica le specifiche tecniche da essa utilizzate per il catalogo di regimi per gli attestati di attributi.
8. La Commissione rilascia un identificatore unico per ciascun regime per gli attestati di attributi registrato.
Verifica degli attributi rispetto a fonti autentiche o intermediari designati
1. Per consentire, su richiesta dell'utente, la verifica elettronica degli attributi di cui all'articolo 45 sexies, paragrafo 1, del regolamento (UE) n. 910/2014 da parte di prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi, gli Stati membri istituiscono meccanismi che consentono tale verifica e possono mettere a disposizione punti di verifica unici per gli attributi di cui all'allegato VI di tale regolamento ogniqualvolta tali attributi facciano affidamento su fonti autentiche all'interno del settore pubblico. Gli Stati membri pubblicano informazioni sulle procedure per avviare le richieste di verifica e per ricevere i risultati della verifica.
2. Il meccanismo di verifica fornisce un punto di accesso che i prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi possono utilizzare per richiedere per via elettronica la verifica rispetto a fonti autentiche o intermediari designati riconosciuti a livello nazionale degli attributi di cui all'articolo 45 sexies, paragrafo 1, del regolamento (UE) n. 910/2014. Gli attributi soggetti a verifica saranno forniti al punto di verifica dal prestatore di servizi fiduciari qualificato su richiesta dell'utente. L'organismo del settore pubblico o l'intermediario designato condividono, attraverso il punto di verifica, i risultati della verifica con i prestatori di servizi fiduciari qualificati che rilasciano attestati elettronici qualificati di attributi.
3. La richiesta di verifica indica gli attributi e i dati identificativi del soggetto cui si riferisce l'attributo per il quale il prestatore di servizi fiduciari qualificato richiede la verifica.
4. Il risultato della verifica indica esclusivamente se l'attributo è stato verificato o no e specifica l'organismo del settore pubblico responsabile della fonte autentica o, se del caso, l'organismo del settore pubblico designato per agire per conto della fonte autentica rispetto alla quale è stato verificato l'attributo.
5. Gli Stati membri possono imporre controlli di accesso o altri meccanismi di verifica che garantiscano integrità, autenticità e riservatezza per determinare se il richiedente sia un prestatore di servizi fiduciari qualificato e agisca su richiesta di un utente legittimo. Gli Stati membri possono inoltre imporre meccanismi di controllo dell'uso dei metodi di verifica, ove lo ritengano opportuno, tenendo conto dei fattori pertinenti, tra cui la possibilità che le fonti autentiche contengano dati personali riservati o sensibili. Se istituiscono tali meccanismi di controllo, gli Stati membri pubblicano informazioni sulla loro portata nell'ambito delle informazioni di cui al paragrafo 1.
Interoperabilità e riutilizzo
1. Ai fini degli articoli da 3 a 9, gli Stati membri possono fare riferimento ai servizi comuni del sistema tecnico di cui all'articolo 14 del regolamento (UE) 2018/1724, nonché ai componenti nazionali ad essi connessi, e riutilizzarli.
2. Nell'istituire il sistema sicuro per le notifiche e l'elenco degli organismi del settore pubblico di cui agli articoli 5 e 6 e nel redigere i cataloghi di cui agli articoli 7 e 8 del presente regolamento, la Commissione europea, se del caso, fa riferimento ai servizi comuni del sistema tecnico a norma del regolamento (UE) 2018/1724 e li riutilizza.
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Gli articoli da 6 a 9 si applicano a decorrere dal 19 agosto 2026.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 29 luglio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO I
Elenco delle norme di riferimento e delle specifiche di cui all'articolo 3
I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto rilasciano i rispettivi attestati a persone fisiche o giuridiche conformemente alle specifiche per i prestatori di servizi fiduciari stabilite nella norma ETSI EN 319 401 v3.1.1 (2024-06) ("ETSI EN 319 401").
ALLEGATO II
Specifiche tecniche per il rilascio di attestati elettronici qualificati di attributi e di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto di cui all'articolo 3
1) I fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto rilasciano i rispettivi attestati in un formato conforme a una delle norme di cui all'allegato II del regolamento di esecuzione (UE) 2024/2979 della Commissione [1].
2) Per il rilascio di attestati a persone fisiche o giuridiche, i fornitori di attestati elettronici qualificati di attributi e i fornitori di attestati elettronici di attributi rilasciati da un organismo del settore pubblico responsabile di una fonte autentica o per suo conto:
a) se del caso, verificano che il richiedente l'attestato abbia il diritto di agire per conto della persona cui si riferisce l'attestato;
b) se del caso, verificano l'identità della fonte autentica utilizzata come fonte per gli attributi inclusi nell'attestato;
c) trattano solo l'insieme minimo di attributi necessario per il rilascio e la gestione dell'attestato.
3) Inoltre, se l'attestato è rilasciato a un portafoglio europeo di identità digitale, il fornitore dell'attestato:
a) si autentica nell'unità di portafoglio;
b) verifica che l'unità di portafoglio non sia revocata o sospesa.
________________
[1] Regolamento di esecuzione (UE) 2024/2979 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l'integrità e le funzionalità di base dei portafogli europei di identità digitale (GU L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
ALLEGATO III
Notifiche di cui all'articolo 5
Gli Stati membri notificano alla Commissione almeno:
1) il nome dell'organismo del settore pubblico e, se del caso, il numero di registrazione quali utilizzati nei documenti ufficiali; lo Stato membro in cui il l'organismo del settore pubblico è stabilito; la normativa dell'Unione o nazionale in virtù della quale l'organismo del settore pubblico è stabilito come il responsabile della fonte autentica in base alla quale è rilasciato l'attestato elettronico di attributi oppure è designato ad agire per conto dell'organismo del settore pubblico responsabile della fonte autentica;
2) l'e-mail e il numero di telefono di contatto dell'organismo del settore pubblico;
3) l'URL della pagina web dove sono reperibili ulteriori informazioni sull'organismo del settore pubblico;
4) la relazione di valutazione della conformità di cui all'articolo 45 septies, paragrafo 3, del regolamento (UE) n. 910/2014.