REGOLAMENTO DI ESECUZIONE (UE) 2025/1571 DELLA COMMISSIONE, 29 luglio 2025
G.U.U.E. 30 luglio 2025, Serie L
Regolamento recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i formati e le procedure applicabili alle relazioni annuali degli organismi di vigilanza.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 19 agosto 2025
Applicabile dal: 19 agosto 2025
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 46 bis, paragrafo 7, e l'articolo 46 ter, paragrafo 7,
considerando quanto segue:
1) Gli organismi di vigilanza per i portafogli europei di identità digitale designati a norma dell'articolo 46 bis, paragrafo 1, del regolamento (UE) n. 910/2014 e gli organismi di vigilanza per i servizi fiduciari designati a norma dell'articolo 46 ter, paragrafo 1, di tale regolamento ("organismi di vigilanza") sono tenuti a fornire alla Commissione informazioni pertinenti sulle loro attività di vigilanza a norma dell'articolo 46 bis, paragrafo 6, e dell'articolo 46 ter, paragrafo 6, di tale regolamento.
2) Al fine di istituire una fonte di informazioni trasparente e affidabile sulle attività di vigilanza degli organismi di vigilanza, garantire che gli scambi di dati con la Commissione siano sicuri e verificabili e ridurre la complessità amministrativa, gli organismi di vigilanza dovrebbero presentare le relazioni annuali in un formato specifico leggibile meccanicamente e adatto al trattamento automatizzato.
3) Per agevolare lo scambio di buone pratiche tra gli organismi di vigilanza e garantire una vigilanza coerente ed efficiente in tutti gli Stati membri, è essenziale che le relazioni annuali degli organismi di vigilanza contengano informazioni complete e pertinenti. Gli organismi di vigilanza dovrebbero in particolare riferire in merito alle loro attività comportanti elementi che potrebbero rafforzare la cooperazione, compresi, tra l'altro, dettagli sulle attività di vigilanza svolte e previste, sulle sfide individuate, sulle ispezioni, su eventuali notifiche in merito a violazioni significative della sicurezza o perdita di integrità trasmesse dall'organismo di vigilanza alle autorità competenti dello Stato membro interessato a norma della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (2),e sull'assistenza tra gli organismi di vigilanza a norma degli articoli 46 quater e 46 quinquies del regolamento (UE) n. 910/2014. Poiché tali informazioni contenute nelle relazioni annuali devono inoltre essere messe a disposizione del Parlamento europeo e del Consiglio a norma dell'articolo 46 bis, paragrafo 6, e dell'articolo 46 ter, paragrafo 6, del regolamento (UE) n. 910/2014, le informazioni da fornire risulterebbero utili ai fini della trasparenza e dell'accessibilità delle informazioni. Tutti gli organismi di vigilanza dovrebbero pertanto trasmettere le informazioni di cui agli allegati I e II del presente regolamento.
4) Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (3) e, se del caso, il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4) e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio (5) si applicano a tutte le attività di trattamento di dati personali a norma del presente regolamento.
5) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 28 maggio 2025.
6) Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 257 del 28.8.2014, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333, 27.12.2022, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
Formato e procedure delle relazioni annuali
1. Gli organismi di vigilanza presentano alla Commissione le relazioni annuali di cui all'articolo 46 bis, paragrafo 6, e all'articolo 46 ter, paragrafo 6, del regolamento (UE) n. 910/2014 attraverso un canale elettronico sicuro messo a disposizione dalla Commissione.
2. Gli organismi di vigilanza trasmettono le informazioni nelle loro relazioni annuali una sola volta, riutilizzando, se del caso, informazioni trasmesse in precedenza.
3. Gli organismi di vigilanza per i portafogli europei di identità digitale di cui all'articolo 46 bis, paragrafo 1, del regolamento (UE) n. 910/2014 garantiscono che le loro relazioni annuali includano almeno le informazioni di cui all'allegato I del presente regolamento.
4. Gli organismi di vigilanza per i servizi fiduciari di cui all'articolo 46 ter, paragrafo 1, del regolamento (UE) n. 910/2014 provvedono affinché le loro relazioni annuali includano almeno le informazioni di cui all'allegato II del presente regolamento.
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 29 luglio 2025
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO I
Informazioni da includere nelle relazioni annuali degli organismi di vigilanza per i portafogli europei di identità digitale
Le relazioni annuali degli organismi di vigilanza per i portafogli europei di identità digitale includono almeno le informazioni seguenti:
1) il nome, l'indirizzo e i dati di contatto dell'organismo di vigilanza che presenta la relazione annuale;
2) qualora sia stato designato più di un organismo di vigilanza a norma dell'articolo 46 bis, paragrafo 1, del regolamento (UE) n. 910/2014, l'ambito di applicazione delle attività di vigilanza dell'organismo di vigilanza che presenta la relazione annuale;
3) una descrizione dell'organizzazione, della struttura, delle risorse e delle capacità dell'organismo di vigilanza;
4) una descrizione delle attività di vigilanza ex post ed ex ante svolte per ciascun fornitore di portafogli durante l'anno civile precedente a norma dell'articolo 46 bis, paragrafo 3, lettera a), compresi i casi di presunte o potenziali violazioni del regolamento (UE) n. 910/2014 e una sintesi delle principali sfide individuate;
5) una sintesi delle ispezioni in loco e delle attività di vigilanza a distanza svolte dall'organismo di vigilanza, comprendente almeno le informazioni seguenti:
(a) l'identificazione del fornitore o dei fornitori di portafogli;
(b) la soluzione o le soluzioni di portafoglio interessate;
(c) una sintesi dei risultati;
(d) le eventuali misure imposte;
(e) eventuali azioni intraprese dall'organismo di vigilanza;
6) una descrizione delle attività di vigilanza ex post svolte a norma dell'articolo 46 bis, paragrafo 3, lettera b), del regolamento (UE) n. 910/2014 e una sintesi delle principali sfide individuate;
7) una descrizione di eventuali notifiche in merito a violazioni significative della sicurezza o a perdite di integrità trasmesse dall'organismo di vigilanza alle autorità competenti dello Stato membro interessato, designate o istituite a norma dell'articolo 8, paragrafo 1, della direttiva (UE) 2022/2555, al punto di contatto unico dello Stato membro interessato, designato o istituito a norma dell'articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, ai punti di contatto unici dell'altro Stato membro e degli altri Stati membri interessati, designati a norma dell'articolo 46 quater, paragrafo 1, del regolamento (UE) n. 910/2014, o al pubblico;
8) informazioni sulle richieste presentate ai fornitori di portafogli affinché ponessero rimedio a qualsiasi mancato soddisfacimento dei requisiti di cui al regolamento (UE) n. 910/2014;
9) una descrizione dei casi in cui la registrazione delle parti facenti affidamento sulla certificazione nel meccanismo di cui all'articolo 5 ter, paragrafo 7, del regolamento (UE) n. 910/2014 è stata annullata a causa dell'uso illegale o fraudolento del portafoglio europeo di identità digitale;
10) una descrizione dell'eventuale cooperazione con altri organismi di vigilanza stabiliti in altri Stati membri o dell'assistenza prestata a tali organismi, conformemente agli articoli 46 quater e 46 sexies del regolamento (UE) n. 910/2014 e una panoramica dei risultati di tale cooperazione;
11) la frequenza e la natura della cooperazione con le competenti autorità di controllo istituite a norma dell'articolo 51 del regolamento (UE) 2016/679;
12) una prospettiva sulle attività di vigilanza e sulle priorità su cui l'organismo di vigilanza intende concentrarsi nell'anno successivo.
ALLEGATO II
Informazioni da includere nelle relazioni annuali degli organismi di vigilanza per i servizi fiduciari
Le relazioni annuali degli organismi di vigilanza per i servizi fiduciari includono almeno le informazioni seguenti:
1) il nome, l'indirizzo e i dati di contatto dell'organismo di vigilanza che presenta la relazione annuale;
2) qualora sia stato designato più di un organismo di vigilanza a norma dell'articolo 46 ter, paragrafo 1, del regolamento (UE) n. 910/2014, l'ambito di applicazione delle attività di vigilanza dell'organismo di vigilanza che presenta la relazione annuale;
3) una descrizione dell'organizzazione, della struttura, delle risorse e delle capacità dell'organismo di vigilanza che presenta la relazione annuale;
4) una descrizione delle attività di vigilanza svolte a norma dell'articolo 46 ter, paragrafo 3, lettere a) e b), durante l'anno civile di riferimento in relazione ai prestatori di servizi fiduciari non qualificati e qualificati stabiliti nel territorio dello Stato membro designante e ai servizi fiduciari da essi prestati, compresi i casi di presunte o potenziali violazioni del regolamento (UE) n. 910/2014 e una sintesi delle principali sfide individuate;
5) una sintesi delle ispezioni in loco e delle attività di vigilanza a distanza svolte dall'organismo di vigilanza che presenta la relazione annuale, comprendente almeno le informazioni seguenti:
(a) l'identificazione del prestatore o dei prestatori di servizi fiduciari qualificati;
(b) il servizio o i servizi fiduciari interessati;
(c) una descrizione dell'attività di vigilanza;
(d) una sintesi dei risultati;
(e) le eventuali misure imposte;
(f) le azioni intraprese dall'organismo di vigilanza;
6) una descrizione di eventuali misure supplementari intraprese dall'organismo di vigilanza a norma dell'articolo 46 ter, paragrafo 3, del regolamento (UE) n. 910/2014;
7) una descrizione di eventuali notifiche in merito a violazioni significative della sicurezza o a perdite di integrità trasmesse dall'organismo di vigilanza che presenta la relazione annuale alle autorità competenti dello Stato membro o degli Stati membri interessati, designate o istituite a norma dell'articolo 8, paragrafo 1, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, ai punti di contatto unici dello Stato membro o degli Stati membri interessati, designati o istituiti a norma dell'articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, ai punti di contatto unici degli altri Stati membri interessati, designati a norma dell'articolo 46 quater, paragrafo 1, del regolamento (UE) n. 910/2014, o al pubblico;
8) una descrizione dell'ambito della cooperazione con altri organismi di vigilanza istituiti in altri Stati membri e una descrizione dell'assistenza prestata a norma dell'articolo 46 quater e dell'articolo 46 sexies del regolamento (UE) n. 910/2014 e una panoramica dei risultati di tale cooperazione;
9) una descrizione della frequenza e della natura della cooperazione degli organismi di vigilanza per i servizi fiduciari con le autorità di controllo competenti istituite a norma dell'articolo 51 del regolamento (UE) 2016/679 in caso di presunta violazione delle norme in materia di protezione dei dati personali e in merito alle violazioni della sicurezza che sembrano costituire violazioni dei dati personali per quanto riguarda i prestatori di servizi fiduciari e i servizi fiduciari da essi prestati;
10) una sintesi dei risultati della verifica dell'esistenza di disposizioni sui piani di cessazione e della loro corretta applicazione qualora un prestatore di servizi fiduciari qualificato sottoposto a vigilanza cessi le sue attività, compresa un'indicazione dei modi in cui le informazioni sono mantenute accessibili a norma dell'articolo 24, paragrafo 2, lettera h), del regolamento (UE) n. 910/2014;
11) una descrizione di eventuali indagini sulle dichiarazioni presentate dai fornitori di browser web oggetto di indagine durante il periodo di riferimento a norma dell'articolo 45 bis del regolamento (UE) n. 910/2014 e qualsiasi altra azione conseguente intrapresa in tale contesto;
12) una descrizione delle attività relative agli elenchi di fiducia di cui all'articolo 22 del regolamento (UE) n. 910/2014, comprendente gli aggiornamenti significativi derivanti dalle attività di vigilanza, dall'esperienza pertinente o dai problemi di conformità alla decisione di esecuzione (UE) 2015/1505 della Commissione [1], in particolare ai requisiti di disponibilità;
13) le informazioni sui regimi nazionali di accreditamento degli organismi di valutazione della conformità, sui sistemi nazionali di valutazione della conformità o sui relativi orientamenti, o le informazioni su iniziative correlate;
14) una descrizione, se del caso, di qualsiasi infrastruttura fiduciaria istituita, mantenuta e aggiornata da un organismo di vigilanza su richiesta di uno Stato membro e conformemente al diritto nazionale.
__________________
[1] Decisione di esecuzione (UE) 2015/1505 della Commissione, dell'8 settembre 2015, che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj).