wallet | 2025-02-04 · NEW: ![]() |
Wallet europeo e identità digitale - avanti tutta in Gazzetta |
abstract:
Pubblicato anche nella Gazzetta Italiana Europea il regolamento attuativo
Fonte: Eur LexLink: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF
analisi:
-
index:
Indice
- Articolo 1 Oggetto e ambito di appl
- Articolo 2 Definizioni
- Articolo 3 Rilascio di dati di iden
- Articolo 4 Rilascio di attestati el
- dei dati di identificazione personale
- Articolo 6 Entrata in vigore
testo:
REGOLAMENTO DI ESECUZIONE (UE) 2024/2977 DELLA COMMISSIONE
del 28 novembre 2024
recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del
Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi
rilasciati ai portafogli europei di identità digitale
Articolo 1 Oggetto e ambito di applicazione
Il presente regolamento stabilisce le norme per il rilascio di dati di identificazione personale e di attestati elettronici di attributi alle unità di portafoglio, da aggiornare periodicamente per tenere conto degli sviluppi tecnologici, della normazione e del lavoro svolto sulla base della raccomandazione (UE) 2021/946 della Commissione, in particolare dell’architettura e del quadro di riferimento.
Articolo 2 Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
(1) |
«utente del portafoglio»: un utente che ha il controllo dell’unità di portafoglio; |
(2) |
«unità di portafoglio»: una configurazione unica di una soluzione di portafoglio che comprende istanze di portafoglio, applicazioni crittografiche sicure per il portafoglio e dispositivi crittografici sicuri per il portafoglio forniti da un fornitore del portafoglio a un singolo utente del portafoglio; |
(3) |
«soluzione di portafoglio»: una combinazione di software, hardware, servizi, impostazioni e configurazioni, comprese le istanze di portafoglio, una o più applicazioni crittografiche sicure per il portafoglio e uno o più dispositivi crittografici sicuri per il portafoglio; |
(4) |
«fornitore di dati di identificazione personale»: la persona fisica o giuridica Responsabile del rilascio e della Revoca dei dati di identificazione personale e che garantisce che i dati di identificazione personale di un utente siano associati crittograficamente a un’unità di portafoglio; |
(5) |
«attestato di unità di portafoglio»: un oggetto di dati che descrive i componenti dell’unità di portafoglio o consente la loro autenticazione e convalida; |
(6) |
«istanza di portafoglio»: l’applicazione installata e configurata su un dispositivo o su un ambiente di un utente del portafoglio, che fa parte di un’unità di portafoglio, e che l’utente del portafoglio utilizza per interagire con l’unità di portafoglio; |
(7) |
«applicazione crittografica sicura per il portafoglio»: un’applicazione che gestisce risorse critiche tramite un collegamento alle funzioni crittografiche e non crittografiche fornite dal dispositivo crittografico sicuro per il portafoglio e l’uso di tali funzioni; |
(8) |
«dispositivo crittografico sicuro per il portafoglio»: un dispositivo resistente alle manomissioni che fornisce un ambiente collegato all’applicazione crittografica sicura per il portafoglio e da essa utilizzato per proteggere le risorse critiche e fornire funzioni crittografiche per l’esecuzione sicura di operazioni critiche; |
(9) |
«fornitore del portafoglio»: una persona fisica o giuridica che fornisce soluzioni di portafoglio; |
(10) |
«risorse critiche»: risorse all’interno di un’unità di portafoglio o ad essa relative, di importanza tale che un’eventuale compromissione della loro disponibilità, riservatezza o integrità avrebbe un effetto estremamente grave e debilitante sulla possibilità di fare affidamento sull’unità di portafoglio; |
(11) |
«parte facente affidamento sul portafoglio»: una parte facente affidamento che intende fare affidamento sulle unità di portafoglio per la prestazione di servizi pubblici o privati mediante interazione digitale; |
(12) |
«certificato di accesso della parte facente affidamento sul portafoglio»: un certificato per sigilli elettronici o firme elettroniche che autenticano e convalidano la parte facente affidamento sul portafoglio, rilasciato da un fornitore di certificati di accesso della parte facente affidamento sul portafoglio; |
(13) |
«fornitore di certificati di accesso della parte facente affidamento sul portafoglio»: una persona fisica o giuridica incaricata da uno Stato membro di rilasciare certificati di accesso delle parti facenti affidamento alle parti facenti affidamento sul portafoglio registrate in tale Stato membro. |
Articolo 3 Rilascio di dati di identificazione personale a unità di portafoglio
1. I fornitori di dati di identificazione personale rilasciano dati di identificazione personale alle unità di portafoglio conformemente ai regimi di identificazione elettronica nel contesto dei quali le soluzioni di portafoglio sono fornite.
2. I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale rilasciati alle unità di portafoglio contengano le informazioni necessarie per l’autenticazione e la convalida dei dati di identificazione personale.
3. I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale rilasciati alle unità di portafoglio siano conformi alle specifiche tecniche di cui all’allegato.
4. Gli Stati membri provvedono affinché i dati di identificazione personale rilasciati a un determinato utente del portafoglio siano univoci per lo Stato membro.
5. I fornitori di dati di identificazione personale garantiscono che i dati di identificazione personale da essi rilasciati siano associati crittograficamente all’unità di portafoglio a cui sono rilasciati.
6. Gli Stati membri rendono pubblicamente disponibile un elenco delle soluzioni di portafoglio supportate da fornitori di dati di identificazione personale che fanno parte dei regimi di identificazione elettronica dello Stato membro in questione.
7. Gli Stati membri registrano gli utenti del portafoglio conformemente ai requisiti relativi alla registrazione al livello di garanzia elevato di cui al regolamento di esecuzione (UE) 2015/1502 della Commissione (11). Nel contesto del processo di registrazione, i fornitori di dati di identificazione personale effettuano la verifica dell’identità dell’utente del portafoglio conformemente ai requisiti relativi al controllo dell’identità e alla verifica prima di rilasciare i dati di identificazione personale all’unità di portafoglio dell’utente del portafoglio corrispondente.
8. Quando rilasciano dati di identificazione personale a unità di portafoglio, i fornitori di dati di identificazione personale si identificano nei confronti delle unità di portafoglio utilizzando il loro certificato di accesso della parte facente affidamento sul portafoglio oppure utilizzando un altro meccanismo di autenticazione conformemente ad un regime di identificazione elettronica notificato al livello di garanzia elevato.
9. Prima di rilasciare dati di identificazione personale a un’unità di portafoglio, i fornitori di dati di identificazione personale autenticano e convalidano l’attestato di unità di portafoglio dell’unità di portafoglio e verificano che l’unità di portafoglio appartenga a una soluzione di portafoglio accettata dal fornitore di dati di identificazione personale oppure utilizzano un altro meccanismo di autenticazione conformemente ad un regime di identificazione elettronica notificato al livello di garanzia elevato.
Articolo 4 Rilascio di attestati elettronici di attributi a unità di portafoglio
1. Gli attestati elettronici di attributi rilasciati a unità di portafoglio sono conformi ad almeno una delle norme dell’elenco di cui all’allegato I del regolamento di esecuzione (UE) 2024/2979 della Commissione.
2. I fornitori di attestati elettronici di attributi si identificano nei confronti delle unità di portafoglio utilizzando il loro certificato di accesso della parte facente affidamento sul portafoglio.
3. I fornitori di attestati elettronici di attributi garantiscono che gli attestati elettronici di attributi rilasciati a unità di portafoglio contengano le informazioni necessarie per l’autenticazione e la convalida di tali attestati elettronici di attributi.
Articolo 5 Revoca dei dati di identificazione personale
1. I fornitori di dati di identificazione personale rilasciati a un’unità di portafoglio dispongono di politiche scritte e accessibili al pubblico relative alla gestione dello stato della validità, comprese, se del caso, le condizioni alle quali tali dati di identificazione personale possono essere revocati senza indugio.
2. Soltanto i fornitori di dati di identificazione personale o di attestati elettronici di attributi possono revocare i dati di identificazione personale o gli attestati elettronici di attributi da essi rilasciati.
3. Qualora abbiano revocato i dati di identificazione personale, i fornitori di dati di identificazione personale, entro 24 ore dalla revoca, informano attraverso canali dedicati e sicuri gli utenti del portafoglio interessati da tali dati di identificazione personale, indicando altresì i motivi della revoca. Ciò avviene in maniera concisa, facilmente accessibile e utilizzando un linguaggio semplice e chiaro.
4. Qualora revochino dati di identificazione personale rilasciati a unità di portafoglio, i fornitori di dati di identificazione personale procedono in tal senso in ciascuna delle circostanze seguenti:
a) |
su richiesta esplicita dell’utente del portafoglio alla cui unità di portafoglio sono stati rilasciati i dati di identificazione personale o l’attestato elettronico di attributi; |
b) |
qualora l’attestato di unità di portafoglio a cui sono stati rilasciati i dati di identificazione personale sia stato revocato; |
c) |
in altre situazioni determinate dai fornitori di dati di identificazione personale o di attestati elettronici di attributi nelle loro politiche di cui al paragrafo 1. |
5. I fornitori di dati di identificazione personale rilasciati a un’unità di portafoglio garantiscono che le revoche non possano essere annullate.
6. I dati di identificazione personale revocati rimangono accessibili per il tempo previsto dal diritto dell’Unione o dal diritto nazionale.
7. Qualora revochino dati di identificazione personale rilasciati a unità di portafoglio, i fornitori di dati di identificazione personale rendono pubblicamente disponibili lo stato di validità dei dati di identificazione personale da essi rilasciati, secondo modalità tali da tutelare la vita privata, e indicano l’ubicazione di tali informazioni nei dati di identificazione personale.
8. I fornitori di dati di identificazione personale rendono possibili tecniche di tutela della vita privata che impediscono i collegamenti laddove gli attestati elettronici di attributi non richiedano l’identificazione dell’utente.
Articolo 6 Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 28 novembre 2024
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 257 del 28.8.2014, pag. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al Trattamento dei Dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Regolamento di esecuzione (UE) 2024/2982 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i protocolli e le interfacce che devono essere supportati dal quadro europeo di identità digitale (GU L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
(5) Regolamento di esecuzione (UE) 2024/2979 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda l’integrità e le funzionalità di base dei portafogli europei di identità digitale (GU L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
(6) Regolamento di esecuzione (UE) 2024/2977 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i dati di identificazione personale e gli attestati elettronici di attributi rilasciati ai portafogli europei di identità digitale (GU L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(7) Regolamento di esecuzione (UE) 2024/2980 della Commissione, del 28 novembre 2024, recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all’ecosistema dei portafogli europei di identità digitale (GU L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
(8) GU L 210 del 14.6.2021, pag. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(9) Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024, che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale (GU L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(10) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al Trattamento dei Dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(11) Regolamento di esecuzione (UE) 2015/1502 della Commissione, dell’8 settembre 2015, relativo alla definizione delle specifiche e procedure tecniche minime riguardanti i livelli di garanzia per i mezzi di identificazione elettronica ai sensi dell’articolo 8, paragrafo 3, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (GU L 235 del 9.9.2015, pag. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).
ALLEGATO
Specifiche tecniche per i dati di identificazione personale di cui all’articolo 3, paragrafo 3
1. Insieme di dati di identificazione delle persone fisiche
Tabella 1
Dati di identificazione personale obbligatori per le persone fisiche
Identificatore dei dati |
Definizione |
Presenza |
family_name |
Cognome/i attuale/i dell’utente a cui i dati di identificazione personale fanno riferimento. |
Obbligatorio |
given_name |
Nome/i attuale/i, compresi secondi nomi se del caso, dell’utente a cui i dati di identificazione personale fanno riferimento. |
Obbligatorio |
birth_date |
Giorno, mese e anno in cui è nato l’utente a cui i dati di identificazione personale fanno riferimento. |
Obbligatorio |
birth_place |
Paese, sotto forma di codice paese alpha-2, come specificato nella norma ISO 3166-1, oppure Stato, provincia, distretto o area locale o comune, città o località in cui è nato l’utente a cui i dati di identificazione personale fanno riferimento. |
Obbligatorio |
nationality |
Uno o più codici paese alpha-2, come specificati nella norma ISO 3166-1, che rappresentano la cittadinanza dell’utente a cui i dati di identificazione personale fanno riferimento. |
Obbligatorio |
Se un valore di attributo non è noto per la persona o non può essere rilasciato altrimenti nell’insieme di dati di identificazione personale, gli Stati membri utilizzano piuttosto un valore di attributo adeguato alla situazione.
Tabella 2
Dati di identificazione personale facoltativi per le persone fisiche
Identificatore dei dati |
Definizione |
Presenza |
||||||||||||||||
resident_address |
L’indirizzo completo del luogo presso il quale risiede o può essere contattato attualmente l’utente a cui i dati di identificazione personale fanno riferimento (via, numero civico, città ecc.). |
Facoltativo |
||||||||||||||||
resident_country |
Il paese in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento, sotto forma di codice paese alpha-2, come specificato nella norma ISO 3166-1. |
Facoltativo |
||||||||||||||||
resident_state |
Lo Stato, la provincia, il distretto o l’area locale in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento. |
Facoltativo |
||||||||||||||||
resident_city |
Il comune, la città, la località o il paese in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento. |
Facoltativo |
||||||||||||||||
resident_postal_code |
Il codice postale del luogo in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento. |
Facoltativo |
||||||||||||||||
resident_street |
Il nome della via in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento. |
Facoltativo |
||||||||||||||||
resident_house_number |
Il numero civico in cui risiede attualmente l’utente a cui i dati di identificazione personale fanno riferimento, compresi eventuali affissi o suffissi. |
Facoltativo |
||||||||||||||||
personal_administrative_number |
Un valore assegnato alla persona fisica che è univoco tra tutti i numeri amministrativi personali rilasciati dal fornitore di dati di identificazione personale. Qualora scelgano di includere tale attributo, gli Stati membri descrivono nei loro regimi di identificazione elettronica nell’ambito dei quali sono rilasciati i dati di identificazione personale la politica che applicano ai valori di tale attributo, comprese, se del caso, le condizioni specifiche per il Trattamento di questo valore. |
Facoltativo |
||||||||||||||||
portrait |
Immagine del volto dell’utente del portafoglio conforme alle specifiche di cui alla norma ISO 19794-5 o ISO 39794. |
Facoltativo |
||||||||||||||||
family_name_birth |
Cognome/i dell’utente dei dati di identificazione personale al momento della nascita. |
Facoltativo |
||||||||||||||||
given_name_birth |
Nome/i, compresi secondi nomi, dell’utente dei dati di identificazione personale al momento della nascita. |
Facoltativo |
||||||||||||||||
sex |
Il valore deve essere uno dei seguenti:
Per i valori 0, 1, 2 e 9 si applica la norma ISO/IEC 5218. |
Facoltativo |
||||||||||||||||
email_address |
Indirizzo di posta elettronica dell’utente a cui i dati di identificazione personale fanno riferimento [conformemente all’RFC 5322]. |
Facoltativo |
||||||||||||||||
mobile_phone_number |
Numero di cellulare dell’utente a cui i dati di identificazione personale fanno riferimento, che inizia con il simbolo «+" indicante il prefisso internazionale, seguito dal prefisso del paese e da cifre. |
Facoltativo |
2. Insieme di dati di identificazione delle persone giuridiche
Tabella 3
Dati di identificazione personale obbligatori per le persone giuridiche
Elemento di dati |
Presenza |
ragione sociale attuale |
Obbligatorio |
identificatore univoco costruito dallo Stato membro di invio conformemente alle specifiche tecniche ai fini dell’identificazione transfrontaliera e il più possibile persistente nel tempo |
Obbligatorio |
Se un elemento di dati non è noto per la persona o non può essere rilasciato altrimenti nell’insieme di dati di identificazione personale, gli Stati membri utilizzano piuttosto un valore di attributo adeguato alla situazione.
Tabella 4
Dati di identificazione personale facoltativi per le persone giuridiche
Elemento di dati |
Presenza |
indirizzo attuale |
Facoltativo |
numero di partita IVA |
Facoltativo |
numero di riferimento fiscale |
Facoltativo |
identificativo unico europeo di cui alla direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio |
Facoltativo |
identificativo della persona giuridica di cui al regolamento di esecuzione (UE) 2022/1860 della Commissione |
Facoltativo |
numero di registrazione e identificazione degli operatori economici (EORI) di cui al regolamento di esecuzione (UE) n. 1352/2013 della Commissione |
Facoltativo |
numero di accisa di cui all’articolo 2, punto 12, del regolamento (UE) n. 389/2012 del Consiglio |
Facoltativo |
3. Insieme di metadati relativi ai dati di identificazione personale
Tabella 5
Metadati relativi ai dati di identificazione personale
Identificatore dei dati |
Definizione |
Presenza |
expiry_date |
Data (e se possibile ora) in cui scadranno i dati di identificazione personale. |
Obbligatorio |
issuing_authority |
Nome dell’autorità amministrativa che ha rilasciato i dati di identificazione personale o codice paese alpha-2 conforme alla norma ISO 3166 del rispettivo Stato membro qualora non esista un’autorità distinta autorizzata a rilasciare i dati di identificazione personale. |
Obbligatorio |
issuing_country |
Codice paese alpha-2, come specificato nella norma ISO 3166-1, del paese o territorio del fornitore dei dati di identificazione personale. |
Obbligatorio |
document_number |
Un numero per i dati di identificazione personale, assegnato dal fornitore di tali dati. |
Facoltativo |
issuing_jurisdiction |
Codice di suddivisione del paese corrispondente alla giurisdizione in cui sono stati rilasciati i dati di identificazione personale, come specificato al punto 8 della norma ISO 3166-2:2020. La prima parte del codice è identica al valore per il paese di rilascio. |
Facoltativo |
location_status |
L’ubicazione delle informazioni sullo stato di validità dei dati di identificazione personale qualora i fornitori di dati di identificazione personale revochino i dati di identificazione personale. |
Facoltativo |
4. Codifica degli attributi dei dati di identificazione personale
I dati di identificazione personale devono essere rilasciati in due formati:
(1) |
il formato specificato nella norma ISO/IEC 18013-5:2021; |
(2) |
il formato di cui al documento Verifiable Credentials Data Model 1.1., W3C Recommendation, 3 marzo 2022. |
5. Dettagli dell’infrastruttura fiduciaria
L’elenco dei fornitori di dati di identificazione personale messo a disposizione dalla Commissione a norma del regolamento di esecuzione (UE) 2024/2980 recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le notifiche alla Commissione in relazione all’ecosistema dei portafogli europei di identità digitale consente l’autentificazione dei dati di identificazione personale.
ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj
ISSN 1977-0707 (electronic edition)
Link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF
Testo del 2025-02-04 Fonte: Eur Lex