Pubblicato in Gazzetta Ufficiale UE il Regolamento di esecuzione (UE) 2025/2160 del 27 ottobre 2025 sulle modalità di applicazione del Regolamento (UE) n. 910/2014 (eIDAS) per quanto riguarda le norme, le specifiche e le procedure di riferimento per la gestione dei rischi connessi alla prestazione di servizi fiduciari non qualificati.
I prestatori di tali servizi, pur soggetti a un regime normativo meno stringente rispetto ai fornitori qualificati, devono comunque rispettare obblighi di sicurezza, diligenza, trasparenza e responsabilità.
In particolare, possono rientrare tra i soggetti essenziali o importanti ai sensi dell’art. 3 della Direttiva (UE) 2022/2555 (NIS2), con conseguente applicazione del Regolamento di esecuzione (UE) 2024/2690 sui requisiti di gestione dei rischi di cybersicurezza.
Il nuovo regolamento mira a integrare e armonizzare il quadro già esistente, fornendo specifiche e procedure per la gestione dei rischi da parte dei prestatori di servizi fiduciari non qualificati.
L’art. 19 bis, par. 2, di eIDAS prevede una presunzione di conformità solo se gli operatori rispettano i requisiti fissati dal Regolamento 2025/2160 e applicano le norme di riferimento indicate nell’allegato, che riflettono le prassi consolidate del settore.
Gli obblighi riguardano la gestione complessiva dei rischi giuridici, commerciali, operativi e indiretti; in particolare, gli operatori devono:
- adottare politiche di gestione dei rischi con procedure documentate di identificazione, valutazione e trattamento
- garantire l’integrità e la riservatezza delle informazioni raccolte
- monitorare costantemente l’attuazione delle misure di mitigazione
- pubblicare i metodi di verifica dell’identità applicati, per assicurare maggiore trasparenza e agevolare la vigilanza
- sottoporre gli eventuali rischi residui all’approvazione dell’organo di gestione, che deve motivarne l’accettazione con criteri chiari e comprensibili.
Il regolamento specifica che gli organismi di vigilanza devono presumere la conformità ai requisiti di eIDAS qualora un prestatore rispetti i criteri stabiliti; tuttavia, resta ferma la possibilità per i prestatori di dimostrare la conformità con modalità alternative.