WEBINAR / 20 Maggio
Cyber attack: la gestione di data breach e incidenti ICT


Tra privacy, cyber security e rischio ICT

ZOOM MEETING
Offerte per iscrizioni entro il 30/04

SCOPRI I DETTAGLI

WEBINAR / 20 Maggio
Cyber attack: la gestione di data breach e incidenti ICT
SCOPRI I DETTAGLI
Login
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
www.dirittobancario.it
Flash News
IT

eIDAS e violazioni di sicurezza dei portafogli di identità digitale

7 Maggio 2025
Di cosa si parla in questo articolo
eIDAS2 GU UE
Condividi

Pubblicati in Gazzetta Ufficiale dell’Unione Europea due regolamenti di esecuzione che attuano alcuni aspetti del Regolamento eIDAS, concernenti i portafogli europei di identità digitale, ovvero, in particolare:

  • il Regolamento di esecuzione (UE) 2025/847 del 6 maggio 2025, che stabilisce le norme per la reazione alle violazioni della sicurezza dei portafogli, dei meccanismi di convalida di cui all’art. 5 bis, par. 8, del Regolamento (UE) n. 910/2014 (eIDAS) e del regime di identificazione elettronica nell’ambito del quale sono forniti i portafogli
  • il Regolamento di esecuzione (UE) 2025/849 del 6 maggio 2025 che stabilisce i formati e le procedure per la trasmissione alla Commissione e al gruppo di cooperazione, da parte degli Stati membri, delle informazioni relative all’elenco dei portafogli certificati, a norma dell’art. 5 quinquies del Regolamento eIDAS, da aggiornare periodicamente per tenere conto degli sviluppi tecnologici e della normazione

Le informazioni sui portafogli certificati che gli Stati membri devono trasmettere sono essenziali per garantire la fiducia, la trasparenza e l’armonizzazione nell’ecosistema dei portafogli, promuovendo la fiducia degli utenti dei portafogli, dei fornitori dei portafogli e delle autorità di regolamentazione.

Tali informazioni, pertanto, devono includere, in base al regolamento di esecuzione di eIDAS (2025/849/UE), una descrizione delle soluzioni dei portafogli di identità digitale e del regime di identificazione elettronica nell’ambito del quale le soluzioni sono fornite, che comprenda informazioni:

  • sull’autorità o sulle autorità responsabili della soluzione di portafoglio e del regime di identificazione elettronica
  • sul regime di vigilanza applicabile
  • sul regime di responsabilità per quanto riguarda la parte che fornisce la soluzione di portafoglio
  • sulle disposizioni per la sospensione o la revoca del regime di identificazione elettronica, della soluzione di portafoglio fornita nell’ambito di tale regime, oppure di parti compromesse di uno o dell’altra
  • sul certificato e la relazione di valutazione della certificazione sulla fornitura e sul funzionamento di soluzioni di portafoglio e sui regimi di identificazione elettronica nell’ambito dei quali sono forniti.

Tali informazioni dovrebbero essere sufficienti per consentire alla Commissione di redigere, pubblicare nella Gazzetta ufficiale dell’UE e mantenere, in un formato leggibile meccanicamente, un elenco dei portafogli certificati.

In caso di violazione della sicurezza o di compromissione delle soluzioni di portafoglio o dei meccanismi di convalida, o del regime di identificazione elettronica nell’ambito del quale sono fornite le soluzioni di portafoglio, deve essere posta in essere da parte degli Stati una reazione rapida, coordinata e sicura, per proteggere
gli utenti e mantenere la fiducia nell’ecosistema dell’identità digitale.

In particolare, gli Stati membri, in base al Regolamento di esecuzione 2025/847, devono:

  • provvedere affinché la fornitura e l’uso dei portafogli interessati da una violazione della sicurezza o da una compromissione siano tempestivamente sospesi o, se del caso, tali portafogli siano ritirati
  • valutare se una violazione della sicurezza o la compromissione di una soluzione di portafoglio, dei meccanismi di convalida, o del regime di identificazione elettronica nell’ambito del quale è fornita una soluzione di portafoglio pregiudichi l’affidabilità di tale soluzione o di altre soluzioni di portafoglio
  • valutare se, per rispondere in modo adeguato alla violazione della sicurezza o alla compromissione, è necessaria la revoca degli attestati di unità di portafoglio o altre misure supplementari
  • provvedere affinché gli utenti del portafoglio siano sempre informati in merito allo stato dei loro portafogli, con informazioni adeguate sulle violazioni della sicurezza o sulle compromissioni che interessano i loro portafogli
  • per consentire agli utenti di accedere nuovamente alle proprie unità di portafoglio una volta posto rimedio a una violazione della sicurezza o a una compromissione, devono garantire il ripristino della fornitura e l’uso senza indebito ritardo
  • provvedere, per garantire il ritiro dei portafogli qualora non sia stato posto rimedio a una violazione della sicurezza o a una compromissione entro tre mesi dalla sospensione o qualora ciò sia giustificato dalla gravità della violazione della sicurezza o della compromissione, affinché gli attestati di unità di portafoglio pertinenti siano revocati e non possano tornare in stato di validità né essere rilasciati o forniti a unità di portafoglio esistenti.
Di cosa si parla in questo articolo
eIDAS2 GU UE
Allegati

WEBINAR / 20 Maggio
Cyber attack: la gestione di data breach e incidenti ICT


Tra privacy, cyber security e rischio ICT

ZOOM MEETING
Offerte per iscrizioni entro il 30/04

SCOPRI I DETTAGLI

WEBINAR / 28 Maggio
Novità nelle frodi informatiche nei servizi di pagamento


La verifica del beneficiario nei bonifici istantanei

ZOOM MEETING
Offerte per iscrizioni entro il 09/05

SCOPRI I DETTAGLI