Common use of Identificazione degli utenti Clause in Contracts

Identificazione degli utenti. Sono di seguito descritte le modalità di identificazione previste nell’ambito di quanto riportato nel presente MO ai fini del rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguito, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specifico: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa visione del Manuale Operativo INTESA • il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatore. La documentazione così predisposta viene visionata dal Richiedente che procede alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.ii.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il Certificatore deve verificare con certezza l’identità del richiedente alla prima richiesta di seguito descritte emissione di certificato qualificato. Questa operazione viene demandata alla Registration Authority che in ottemperanza con quanto previsto dalla vigente normativa e secondo le modalità descritte nel seguito. Per i successivi rinnovi, se effettuati prima che il certificato qualificato già rilasciato non sia scaduto, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al Certificatore attraverso il Provider solo gli eventuali cambiamenti relativi ai propri dati di registrazione. Fra i dati di registrazione necessari all’avviamento del servizio ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Domicilio presso il quale saranno inviate le comunicazioni cartacee; • Numero di telefono cellulare; • Indirizzo di posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento, data e luogo del rilascio, data di scadenza. Pertanto, il personale del Provider, in ottemperanza con quanto previsto dalla vigente normativa e dalle normative interne al Provider stesso, svolge tutte le operazioni necessarie all’identificazione e registrazione del Richiedente. Il servizio di identificazione previste nell’ambito potrà essere gestito come segue: • Il Richiedente, purché in possesso di quanto riportato un device (PC, tablet, smartphone) abilitato ad una connessione Internet e dotato sia di una webcam che di un sistema audio funzionante, si connette al sito della Registration Authority dove sono riportate tutte le istruzioni necessarie per eseguire i passi successivi e dove sono indicati i documenti necessari per l’identificazione. • Precisiamo, a tal proposito, che la buona qualità del collegamento audio-video è fondamentale affinché la procedura di identificazione possa essere effettuata con successo; infatti, in caso di disturbi sulla linea e/o problemi che non rendessero possibile la verifica certa dell’identità del Richiedente, l’operatore di Registration Authority interromperà la sessione, invitando il Richiedente a prendere un nuovo appuntamento quando saranno stati risolti i problemi riscontrati. • Il Richiedente compila sul sito della Registration Authority una richiesta di certificato digitale compilando un form in cui è previsto vengano inseriti tutti i dati utili ad una sua registrazione. • Compilato questo form, viene richiesto al Richiedente di prendere visione del presente Manuale Operativo, che dovrà essere aperto in lettura - lo stesso Manuale Operativo sarà anche agevolmente scaricabile dal sito stesso. • Fra le operazioni che necessariamente il Richiedente dovrà svolgere vi è anche la scelta del consenso privacy. • Il Richiedente, sempre grazie alle funzionalità esposte sul sito, una volta presa visione del Manuale Operativo e dato il consenso, dovrà inviare alla RA una copia scannerizzata dei documenti di identità (ad esempio carta d’identità, passaporto, tesserino fiscale e/o codice sanitario nazionale per i paesi anglosassoni. L’invio preventivo di tali documenti conferma la volontà del Richiedente nel presente MO ai fini del rilascio completare la procedura di identificazione finalizzata all’emissione di un certificato qualificato utilizzabile esclusivamente nell’ambito dei servizi di firma elettronicaremota esposti da Gruppo Cabel o dall’azienda per la quale ha ricevuto il mandato di eseguire il riconoscimento. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending • Completata la fase di inserimento dati ed invio dei documenti necessari per l’identificazione, il Richiedente potrà richiedere di continuare la sessione attivando appena possibile il collegamento via web cam o fissare un successivo appuntamento con gli operatori di Registration Authority per completare in un momento successivo a lui più comodo la procedura di identificazione. • Gli operatori di Registration Authority, sulla base dei documenti ricevuti, eseguono dei controlli utilizzando specifiche banche dati, come SCIPAFI (il Sistema pubblico di prevenzione che è consente il riscontro dei dati contenuti nei principali documenti d'identità, riconoscimento e reddito, con quelli registrati nelle banche dati degli enti di riferimento - attualmente quelle dell'Agenzia delle Entrate, Ministero dell'Interno, Ministero delle Infrastrutture e dei Trasporti, INPS e INAIL), oppure altre banche dati private (ad es. CRIF, Cerved, ecc.) in grado di coadiuvare erogare servizi di verifica dati e rendere maggiormente sicura documenti d’identità. Questo riscontro si configura quindi come efficace strumento di prevenzione per i "furti d'identità", sia totali che parziali, garantendo un’identificazione certa del Titolare. • Durante la sessione on-line (via web cam), l’operatore di RA domanda al soggetto richiedente di presentarsi con i documenti di riconoscimento precedentemente inviati; controlla che i documenti siano gli stessi e affidabile l’attività che nella foto del documento sia riconoscibile il Richiedente. • L’intera sessione viene registrata in modalità audio e video (sia lato Richiedente che lato operatore) e la sequenza viene poi cifrata con una chiave pubblica messa a disposizione dalla Certification Authority. La stessa CA conserva la chiave privata e la rende disponibile solo in caso di contenzioso ad un perito di parte e/o agli enti di vigilanza che richiedessero un controllo sulle attività svolte. • La registrazione audio/video della sessione deve essere di buona qualità (immagine a colori, definizione delle riprese chiare e a fuoco, adeguata luminosità e contrasto, ripresa del testo eventualmente inquadrato distinguibile. L’intera sessione audio/video deve essere fluente e continua, senza alcuna interruzione. • L’operatore: - deve essere libero di rifiiutare la registrazione dell’utente, qualora abbia o emerga dubbio, anche soggettivo, circa l’effettiva identità del soggetto richiedente. - chiede all’utente, durante la registrazione, di effettuare azioni estemporanee al fine di accertare la reale presenza nella postazione remota del soggetto richiedente • Completati i controlli relativi ai documenti di riconoscimento presentati, al Richiedente vengono date le informazioni necessarie per permettergli successivamente di utilizzare il certificato qualificato che sta per essergli emesso e di firmare digitalmente. • In particolare, vengono date tutte le informazioni necessarie per utilizzare successivamente, nel momento della firma, uno strumento di autenticazione implementato per funzionare su mobile e/o smartphone in alternativa a token OTP fisici che risultano inadeguati per le modalità di erogazione della firma digitale previste dal presente manuale operativo. • Si precisa che il certificatore, in ottemperanza con quanto previsto dall’Art.35, comma5 del CAD, prevede esclusivamente l’impiego di dispositivi di autenticazione che abbiano ottenuto una valutazione positiva di conformità da parte di AGID. • L’impiego di dispositivi che prevedono l’impiego di mobile e/o smartphone richiede che gli stessi vengano censiti in un’anagrafica gestita e mantenuta dal Provider. Pertanto, anche questa operazione di censimento viene eseguita durante la sessione gestita con web cam. Al termine dell’operazione di censimento, l’operatore di Registration Authority chiama il Richiedente al numero telefonico appena censito. E solo se il Richiedente risponde in diretta e visto dall’operatore la procedura di identificazione in presenza svolta dall’operatore di LRA (nel seguitopotrà dirsi effettivamente conclusa. • A questo punto, APP LS)dopo che è stato eseguito il controllo dei documenti sulle banche dati disponibili e ricevuto dalle stesse un documento attestante l’esito del controllo, il certificato digitale viene emesso dalla Certification Authority e al Titolare viene anche associato un identificativo univoco presso il Certificatore. L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica Dopo che il telefono non sia Titolare è stato identificato, l’operatore del Provider provvede anche alla consegna di un Codice Utente e di un Personal Identification Number (PIN), tramite i quali sarà possibile accedere all’area riservata del portale, al fine di garantire un accesso sicuro ai servizi di firma remota fornito dall’azienda del Gruppo Cabel. Il PIN fornito inizialmente potrà essere successivamente modificato/aggiornato dal Titolare usufruendo dei servizi resi disponibili dal Provider. Lo stesso PIN potrà essere utilizzato dal Titolare come codice di emergenza (in modalità root durante la installazione caso, ad esempio, di smarrimento e/o durante l’avviamento e perdita del mobile) per sospendere o revocare definitivamente il funzionamentocertificato digitale a lui emesso. Nello specifico: • l’operatore, dotato In questa fase vengono anche fornite al Titolare le necessarie informazioni per permettergli di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica cambiare in un qualsiasi momento il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono cellulare precedentemente fornito. La documentazione precedente, relativa alla registrazione dei Titolari, viene conservata da INTESA per 20 (mobile); − venti) anni dalla scadenza del certificato, a cura del Responsabile dei servizi tecnici e logistici. Sul cellulare predefinito dal Titolare o su indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APPemail indicato dal cliente, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commercialeProvider invierà degli specifici SMS/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, email che possano avvisarlo relativamente alle operazioni eseguite attraverso l’impiego del certificato digitale contenuto nella CIE(firma di un documento, ma anche sospensione, revoca o rinnovo del certificato digitale stesso). L’APP LS, elaborando le operazioni raccolte, rende disponibili al RichiedenteDopo il rilascio del certificato qualificato, per una sua sottoscrizionele successive operazioni di firma, i seguenti documenti: • il contratto l’utilizzo congiunto degli strumenti di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa visione del Manuale Operativo INTESA • il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio di un link protetto da credenziale nota solo all’operatore autenticazione precedentemente definiti (PIN e il Richiedente, o in alternativa, tramite la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatore. La documentazione così predisposta viene visionata dal Richiedente che procede alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori (ad esempio quella richiesta mobile) è richiesto dalla normativa Antiriciclaggio vigente. Solo attraverso l’uso congiunto di cui al D.lgs. 231/2007 PIN e ss.mm.iiOTP sarà possibile sottoscrivere digitalmente documenti di vario genere nell’ambito dei servizi internet offerti dal Provider.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato qualificato. La suddetta operazione viene demandata alla Banca / Istituto che, in qualità di LRA e in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio, identificherà e registrerà il Titolare. Per i successivi rinnovi, se effettuati quando il certificato qualificato è ancora in corso di validità, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al QTSP attraverso la Banca / Istituto gli eventuali cambiamenti relativi ai propri dati di registrazione. Fra i dati di registrazione necessari per l’esecuzione del servizio oggetto del presente documento ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Domicilio presso il quale saranno inviate le comunicazioni cartacee; • Numero di telefono cellulare; • Indirizzo di posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento e data e luogo del rilascio e di scadenza. Al termine di questa fase di registrazione, al Titolare potrà essere rilasciato in comodato d’uso un dispositivo One Time Password dotato di display e in grado di generare codici numerici monouso (chiamati nel seguito descritte codici OTP o semplicemente OTP). In alternativa ad un token OTP fisico, la Banca o l’Istituto di Pagamento potranno indicare ai Titolari come attivare un sistema di autenticazione software per dispositivi mobili (qualora il Titolare ne disponesse di uno e scegliesse questa modalità come preferibile per comodità d’uso rispetto all’impiego di un Token fisico). Tale sistema software permetterà la generazione di una One Time Password sul dispositivo mobile del Titolare e potrà essere pertanto utilizzato come strumento di autenticazione ai sistemi di firma remota. Oltre all’OTP, saranno forniti al Titolare tutte le modalità informazioni necessarie e un Personal Identification Number (PIN) che possano garantirgli un accesso sicuro al servizio di identificazione previste nell’ambito firma remota resogli disponibile dalla Banca / Istituto. Lo stesso PIN potrà essere utilizzato come codice di quanto riportato nel presente MO ai fini emergenza (in caso ad esempio di smarrimento e/o perdita del Token OTP o del mobile) per sospendere con urgenza il certificato qualificato a lui intestato (par. H.2.2). Il PIN potrà essere successivamente modificato o aggiornato dal Titolare usufruendo dei servizi che la Banca o l’Istituto di Pagamento gli avranno messo a disposizione. In questa fase vengono anche fornite al Titolare le necessarie informazioni per permettergli di cambiare in un qualsiasi momento il numero di cellulare precedentemente fornito. Inoltre, direttamente allo sportello della Banca / Istituto, oppure successivamente, collegandosi al servizio di internet banking esposto dalla stessa Banca / Istituto, ma in ogni caso preventivamente alla richiesta di rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguitoqualificato, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specificoTitolare dovrà: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa prendere visione del Manuale Operativo INTESA del QTSP INTESA; • il documento Dichiarazione autorizzare la Banca o l’Istituto di autorizzazione Pagamento al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio per le finalità legate all’emissione di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite certificato qualificato per la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatorefirma elettronica. La documentazione così predisposta viene visionata dal Richiedente che procede precedente, relativa alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contestiregistrazione dei Titolari, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori è conservata per 20 (ad esempio quella richiesta venti) anni dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.iiscadenza del certificato.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il Certificatore deve verificare con certezza l’identità del richiedente alla prima richiesta di seguito descritte emissione di certificato qualificato. Questa operazione viene demandata alla Banca che in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriclaggio identificherà e registrerà il Titolare. Per i successivi rinnovi, se effettuati prima che il certificato qualificato già rilasciato non sia scaduto, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al Certificatore attraverso la Banca solo gli eventuali cambiamenti relativi ai propri dati di registrazione. Fra i dati di registrazione necessari all’avviamento del servizio ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Domicilio presso il quale saranno inviate le modalità comunicazioni cartacee; • Numero di identificazione previste nell’ambito telefono cellulare; • Indirizzo di quanto riportato nel presente MO posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento e data e luogo del rilascio. Per l’accesso ai fini servizi offerti da Fineco, la stessa consegna ai propri clienti un Codice Utente e un Codice di attivazione, tramite i quali sarà possibile impostare la Password necessaria per accedere all’area riservata del sito xxx.xxxxxx.xx e un Personal Identification Number (PIN) che garantiscano un accesso sicuro ai servizi dispositivi e al servizio di firma remota fornito dalla Banca stessa. Queste credenziali potranno essere successivamente modificate/aggiornate dal Titolare usufruendo dei servizi resi disponibili dalla Banca. Per le successive operazioni (rilascio del certificato qualificato e successiva procedura di firma) invece di far uso dei più tradizionali strumenti OTP (One time Password) basati su token fisici il Titolare di un certificato qualificato potrà disporre di firma elettronicaun servizio alternativo denominato SMS P.I.N. Tale servizio fornisce ai Clienti che vi abbiano aderito tramite la procedura di attivazione un alto livello di sicurezza e consiste nella generazione e nell’invio di un messaggio SMS sul telefono cellulare del Cliente. L’identificazione certa viene supportata Questo messaggio è praticamente un codice “usa e getta”, OTP, (c.d. SMS P.I.N.), da un’apposita APP mobile sviluppata da Lending che utilizzarsi in aggiunta al PIN dispositivo standard per la sottoscrizione digitale di documenti e contratti relativi a prodotti o servizi offerti dalla Banca. Il messaggio SMS, oltre al codice OTP, contiene elementi distintivi della specifica operazione richiesta dal cliente, in particolare ricordiamo che: • Ogni codice SMS P.I.N. generato è associato ad una singola operazione richiesta dal cliente e non è in grado alcun modo riutilizzabile. • L’attivazione del Servizio è consentita esclusivamente ai clienti il cui numero di coadiuvare cellulare presente in Anagrafe Generale risulti “certificato”. • L’attivazione del Servizio è indispensabile per poter accedere alla fase di provisioning dei certificati digitali di firma. Sempre in questa fase potranno essere fornite al Titolare ulteriori informazioni e rendere maggiormente sicura e affidabile l’attività un codice di identificazione emergenza, grazie al quale l’utente in presenza svolta dall’operatore un qualsiasi momento potrà sospendere il certificato digitale a lui emesso (nelle applicazioni descritte dal presente Manuale Operativo verrà considerato come codice di LRA (nel seguito, APP LSemergenza il codice SMS PIN definito in precedenza). L’operatore Per certificare il numero di LRA sarà preventivamente identificato con certezza cellulare, il Cliente deve accedere all’area riservata del sito xxx.xxxxxx.xx mediante inserimento del codice utente e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento della password e il funzionamento. Nello specificoquindi: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; Accedere alla sezione “Gestione Contatti”. • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica Inserire in apposita maschera il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo cellulare che si vuole certificare convalidando l’operazione tramite PIN dispositivo. • Attendere la ricezione al numero di posta elettronica; − eventuale indirizzo PEC; • l’APPcellulare inserito, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending SolutionSMS contenente il codice di controllo (viene inviata anche una e-mail informativa). • Qualora Conferma dell’operazione inserendo sul sito il documento codice di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cdcontrollo ricevuto. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE• A conferma dell’avvenuta certificazione viene inviata un e-mail al cliente. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa visione del Manuale Operativo INTESA • il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio di Ed un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatore. La documentazione così predisposta viene visionata dal Richiedente che procede alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente appena attivato. In caso di modifica del numero di cellulare, il servizio sarà trasferito automaticamente sul nuovo recapito telefonico in seguito all’avvenuta certificazione dello stesso. In alcuni contestiFino a tale momento, come il servizio continuerà ad esempio quello bancarioessere attivo sul precedente numero. Per garantire la massima sicurezza, l’attività d’identificazione viene svolta anche con finalità ulteriori (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.ii.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento)un eventuale cambio del numero di cellulare, confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco verranno inviati due SMS di cui sopra sono opzionali in quanto il riconoscimento avviene de-visuuno al vecchio numero ed uno al nuovo. L’attività d’identificazione comporta la produzione di un apposito ReportIn seguito all’attivazione del servizio SMS PIN, il quale riporta le informazioni Cliente potrà richiedere l’emissione del Certificato Qualificato. Il cliente, identificato dalla Banca in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio e dalle normative interne alla Banca stessa, potrà attivare la procedura di generazione del Certificato Qualificato per la Firma Digitale all’interno di un’apposita sezione del sito o delle Applicazioni per dispositivi mobili (utilizzate su Smatphone e Tablet con sistema operativo Apple IOS, Android e Windows Phone 8), mediante inserimento del proprio codice utente e della password di accesso. Una volta entrato in questa sezione dovrà: • prendere visione del Manuale Operativo; • verificare i propri dati identificativianagrafici che saranno inseriti nel Certificato Qualificato per la Firma Digitale; Ultimati i passi precedenti, datail cliente inserisce il PIN Dispositivo e attende la ricezione sul cellulare del messaggio contenente l’SMS P.I.N. Conferma on line l’operazione inserendo il codice ricevuto per dare avvio alla procedura di generazione delle chiavi e richiesta del Certificato. Durante la registrazione dei dati del Titolare verrà anche generato l’identificativo univoco del Titolare presso il Certificatore. Il Cliente può procedere alla conferma dell’operazione immediatamente o in un momento successivo ma comunque entro il termine di validità dell’SMS P.I.N. In caso di mancata ricezione del codice SMS P.I.N. il Cliente può: chiedere un nuovo invio dell’SMS P.I.N. cliccando sul link “Non hai ricevuto l’SMS?”, ora presente nell’area in cui è richiesto l’inserimento del codice. Sono consentite 3 richieste di nuovo invio. A fronte del corretto inserimento dell’sms pin viene inviato un sms a conferma dell’avvenuta operazione. Diversamente, trascorso il tempo prefissato senza che il sistema abbia ricevuto una conferma, l’operazione viene considerata nulla e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo conclusa senza l’emissione del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSPcertificato.

Identificazione degli utenti. Sono Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato qualificato. La suddetta operazione può essere demandata alla Banca / Istituto che, in qualità di LRA e in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio, identificherà e registrerà il Titolare. Per i successivi rinnovi, se effettuati quando il certificato qualificato è ancora in corso di validità, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al QTSP attraverso la Banca / Istituto gli eventuali cambiamenti relativi ai propri dati di registrazione. Fra i dati di registrazione necessari per l’esecuzione del servizio oggetto del presente documento ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Domicilio presso il quale saranno inviate le comunicazioni cartacee; • Numero di telefono cellulare; • Indirizzo di posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento e data e luogo del rilascio e di scadenza. Al termine di questa fase di registrazione, al Titolare potrà essere rilasciato in comodato d’uso un dispositivo One Time Password dotato di display e in grado di generare codici numerici monouso (chiamati nel seguito descritte codici OTP o semplicemente OTP). In alternativa ad un token OTP fisico, la Banca o l’Istituto di Pagamento potranno indicare ai Titolari come attivare un sistema di autenticazione software per dispositivi mobili (qualora il Titolare ne disponesse di uno e scegliesse questa modalità come preferibile per comodità d’uso rispetto all’impiego di un Token fisico). Tale sistema software permetterà la generazione di una One Time Password sul dispositivo mobile del Titolare e potrà essere pertanto utilizzato come strumento di autenticazione ai sistemi di firma remota. Oltre all’OTP, saranno forniti al Titolare tutte le modalità informazioni necessarie e un Personal Identification Number (PIN) che possano garantirgli un accesso sicuro al servizio di identificazione previste nell’ambito firma remota resogli disponibile dalla Banca / Istituto. Lo stesso PIN potrà essere utilizzato come codice di quanto riportato nel presente MO ai fini emergenza (in caso, ad esempio, di smarrimento e/o perdita del Token OTP o del mobile) per sospendere con urgenza il certificato qualificato a lui intestato (par. H.3.1). Il PIN potrà essere successivamente modificato o aggiornato dal Titolare usufruendo dei servizi che la Banca o l’Istituto di Pagamento gli avranno messo a disposizione. In questa fase vengono anche fornite al Titolare le necessarie informazioni per permettergli di cambiare in un qualsiasi momento il numero di cellulare precedentemente fornito. Preventivamente al rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguitoqualificato, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specificoTitolare dovrà inoltre: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa prendere visione del Manuale Operativo INTESA del QTSP INTESA; • autorizzare il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio per le finalità legate all’emissione di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite certificato qualificato per la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatorefirma elettronica. La documentazione così predisposta viene visionata dal Richiedente che procede relativa alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori registrazione dei Titolari è conservata per 20 (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.iiventi) anni.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato qualificato. La suddetta operazione può essere demandata alla Banca / Istituto che, in qualità di LRA e in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio, identificherà e registrerà il Titolare. Per i successivi rinnovi, se effettuati quando il certificato qualificato è ancora in corso di validità, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al QTSP attraverso la Banca / Istituto gli eventuali cambiamenti relativi ai propri dati di registrazione. Fra i dati di registrazione necessari per l’esecuzione del servizio oggetto del presente documento ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Domicilio presso il quale saranno inviate le comunicazioni cartacee; • Numero di telefono cellulare; • Indirizzo di posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento e data e luogo del rilascio e di scadenza. Al termine di questa fase di registrazione, al Titolare potrà essere rilasciato in comodato d’uso un dispositivo One Time Password dotato di display e in grado di generare codici numerici monouso (chiamati nel seguito descritte codici OTP o semplicemente OTP). In alternativa ad un token OTP fisico, la Banca o l’Istituto di Pagamento potranno indicare ai Titolari come attivare un sistema di autenticazione software per dispositivi mobili (qualora il Titolare ne disponesse di uno e scegliesse questa modalità come preferibile per comodità d’uso rispetto all’impiego di un Token fisico). Tale sistema software permetterà la generazione di una One Time Password sul dispositivo mobile del Titolare e potrà essere pertanto utilizzato come strumento di autenticazione ai sistemi di firma remota. Oltre all’OTP, saranno forniti al Titolare tutte le modalità informazioni necessarie e un Personal Identification Number (PIN) che possano garantirgli un accesso sicuro al servizio di identificazione previste nell’ambito firma remota resogli disponibile dalla Banca / Istituto. Lo stesso PIN potrà essere utilizzato come codice di quanto riportato nel presente MO ai fini emergenza (in caso, ad esempio, di smarrimento e/o perdita del Token OTP o del mobile) per sospendere con urgenza il certificato qualificato a lui intestato (par. H.4). Il PIN potrà essere successivamente modificato o aggiornato dal Titolare usufruendo dei servizi che la Banca o l’Istituto di Pagamento gli avranno messo a disposizione. In questa fase vengono anche fornite al Titolare le necessarie informazioni per permettergli di cambiare in un qualsiasi momento il numero di cellulare precedentemente fornito. Preventivamente al rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguitoqualificato, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specificoTitolare dovrà inoltre: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa prendere visione del Manuale Operativo INTESA del QTSP INTESA; • autorizzare il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio per le finalità legate all’emissione di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite certificato qualificato per la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatorefirma elettronica. La documentazione così predisposta viene visionata dal Richiedente che procede relativa alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori registrazione dei Titolari è conservata per 20 (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.iiventi) anni.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato qualificato. La suddetta operazione può essere demandata a FCA Bank che, in qualità di LRA e in ottemperanza con quanto previsto dalla vigente normativa in materia di Antiriciclaggio, identificherà e registrerà il Titolare. Nei casi di certificati a lungo termine, per i successivi rinnovi, se effettuati quando il certificato qualificato è ancora in corso di validità, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al QTSP, attraverso FCA Bank, gli eventuali cambiamenti relativi ai propri dati di registrazione. Nei casi di certificati one-shot trovano invece applicazione le indicazioni di cui al successivo par. F.5. Fra i dati di registrazione necessari per l’esecuzione del servizio oggetto del presente documento ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Numero di telefono cellulare personale; • Indirizzo di posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento e data e luogo del rilascio e di scadenza. Il numero di cellulare personale del richiedente verrà utilizzato dal QTSP per l’invio di codici numerici monouso (chiamati nel seguito descritte codici OTP o semplicemente OTP) in grado di garantire un accesso sicuro al servizio di firma remota resogli disponibile da FCA Bank. Oltre all’OTP, nel caso in cui il Titolare faccia uso di certificati qualificati a lungo termine, saranno forniti tutte le modalità informazioni necessarie e un Personal Identification Number (PIN) da utilizzare in abbinamento all’OTP quale secondo fattore di identificazione previste nell’ambito autenticazione. Lo stesso PIN potrà essere utilizzato come codice di quanto riportato nel presente MO ai fini del emergenza (in caso, ad esempio, di smarrimento e/o indisponibilità dell’OTP) per sospendere con urgenza il certificato qualificato in corso di validità a lui intestato (par. H.4). Per il caso d’uso di certificati a lungo termine, vengono anche fornite al Titolare le necessarie informazioni per permettergli di cambiare in un qualsiasi momento il numero di cellulare precedentemente fornito. Preventivamente al rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguitoqualificato, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specificoTitolare dovrà inoltre: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa prendere visione del Manuale Operativo INTESA del QTSP INTESA; • autorizzare il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio per le finalità legate all’emissione di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite certificato qualificato per la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatorefirma elettronica. La documentazione così predisposta viene visionata dal Richiedente che procede relativa alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori registrazione dei Titolari è conservata per 20 (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.iiventi) anni.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il QTSP deve verificare con certezza l’identità del richiedente alla prima richiesta di seguito descritte emissione di certificato qualificato. Questa operazione viene demandata alla Local Registration Authority (società del Gruppo Telepass), ed è svolta in ottemperanza con quanto previsto dalla vigente normativa e secondo le modalità di identificazione previste nell’ambito di quanto riportato nel presente MO ai fini del rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (descritte nel seguito. Ai fini dell’identificazione certa dei clienti (comprendendo pertanto anche la fase di verifica dell’identità), APP LSla LRA acquisisce tutti i dati propedeutici all’espletamento degli obblighi di Adeguata Verifica della clientela ed effettua l’identificazione certa del richiedente ai sensi del D.Lgs 231/2007 e ss.mm.ii. (per i servizi per i quali è richiesta). L’operatore Per i servizi per cui non è richiesta l’aderenza normativa al D.Lgs 231/2007 (ad esempio Toll Payment – Telepedaggio Telepass Family), la verifica dell’identità viene condotta dallo stesso personale adottato per le verifiche AML, utilizzando le stesse procedure AML, ma che, rispetto a quelle regolarmente adottate per servizi o prodotti AML, non prevedono la verifica dello stato di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata PEP (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamentoPersona Politicamente Esposta). Nello specificoFra i dati di registrazione necessari all’avviamento del servizio ricordiamo: • l’operatore, dotato di smartphone o tablet appositamente configurato Nome e dotato dell’APP LS, si autentica tramite proprio PINCognome; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo Data di nascita; − codice fiscale (• Comune o analogo nel caso stato estero di cittadini stranieri non in possesso di codice fiscale italiano)nascita; − nazione • Codice fiscale; • Indirizzo di residenza; − numero • Domicilio presso il quale saranno inviate le eventuali comunicazioni cartacee; • Numero di telefono (mobile)cellulare; − indirizzo • Indirizzo di posta elettronica; − eventuale indirizzo PEC• Tipo e numero del documento d’identità esibito; • l’APPAutorità che ha rilasciato il documento, tramite data e luogo del rilascio, data di scadenza. La documentazione relativa alla registrazione dei Titolari viene conservata dalla LRA che ha effettuato l’identificazione per il periodo necessario ad assolvere le informazioni raccolte dal dispositivo utilizzatofinalità contrattuali, memorizza luogo gli obblighi di legge e ora dell’incontro garantire l’eventuale difesa dei diritti in giudizi nel rispetto degli obblighi normativi tempo per tempo vigenti Il QTSP INTESA si avvale dell’identificazione già effettuata da un Intermediario finanziario o da altro Soggetto Esercente Attività Finanziaria, che, ai sensi delle norme antiriciclaggio tempo per tempo vigenti, è obbligato all’identificazione dei propri clienti. Tale modalità di identificazione presuppone che il Titolare abbia un rapporto già in essere con il richiedenteSoggetto di cui sopra. Gli Intermediari e gli altri Soggetti Esercenti Attività Finanziaria acquisiscono i dati in base alle procedure adottate secondo la normativa antiriciclaggio vigente al tempo in cui è stata effettuata l'identificazione (anche se in epoca anteriore al presente Manuale Operativo). I dati identificativi del Titolare raccolti all'atto della registrazione sono quindi utilizzati per l'emissione del certificato “one-shot” a lui intestato, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) previa sua conferma dei dati anagrafici e accettazione delle condizioni contrattuali per il quale rilascio del certificato e delle modalità operative per l'apposizione della firma digitale. L’identificazione può essere effettuata dalla LRA anche mediante soluzioni tecnologiche di riconoscimento biometrico, per le quali la LRA si sta richiedendo la Firma, ad esempio nel caso avvale di un finanziamentoprovider esterno specializzato, e che prevedono la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il verifica di corrispondenza tra a) i dati biometrici del volto del richiedente rappresentato sul documento di riconoscimento presentato identità fornito dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione richiedente stesso e b) i dati biometrici del volto del richiedente presente nelle immagini video (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, Selfie dinamico o video-selfie) acquisite dal richiedente. Tale processo è subordinato a rilascio da parte del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto richiedente di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa visione del Manuale Operativo INTESA • il documento Dichiarazione di autorizzazione uno specifico consenso privacy al trattamento dei dati personalibiometrici da parte della LRA e si articola nelle seguenti fasi: • L’Utente, in duplice copiafase di adesione ai prodotti/servizi del Gruppo, dovrà scattare la foto fronte/retro di un suo documento di identità valido e procedere al caricamento in App/sito della LRA, cui copia sarà fornita ai sistemi del provider prescelto; • L’Utente provvederà, su App e/o sito della LRA, ad effettuare il cd. selfie dinamico o video-selfie del suo volto secondo quanto verrà richiesto in maniera dinamica e randomica (es. Al richiedente viene richiesto di scattare una foto con delle pose del viso e/o dello sguardo secondo indicazioni di volta in volta suggerite dallo strumento integrato nell’App/sito, oppure viene richiesto di leggere ad alta voce delle cifre visualizzate, in cui dichiara maniera dinamica, sul display.) • A valle dell’acquisizione delle immagini e dei dati come sopra descritto, in back end le applicazioni del provider individuato provvederanno a verificare che i dati e le informazioni fornite dall’utente coincidano con i dati identificativi indicati dallo stesso in fase di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore registrazione e che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico volto rappresentato nel cd. Selfie dinamico coincida con l’operatore. La documentazione così predisposta viene visionata dal Richiedente che procede alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.ii.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente riportato sul documento di identità. Tali controlli saranno effettuati sia tramite metodi automatici di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso facciale sia attraverso verifiche da parte di operatori di back office del Richiedente Gruppo Telepass. Si precisa che gli operatori del Gruppo Telepass sono sempre coinvolti ai fini della verifica dei risultati dei controlli sulle immagini e nel rispetto dello standard ETSI 119 461 V1.1.1 sui video effettuati dal provider individuato. Nel caso in cui dalle verifiche dovessero emergere difformità e/ o anomalie (2021quali a titolo esemplificativo documento di identità non leggibile, foto non chiaramente visualizzabile) si provvederà a ricontattare l’utente tramite contatto telefonico e/o e-07)mail per invitarlo a seguire nuovamente le fasi sopra descritte. • All’esito positivo dei controlli su descritti, Par 9.2.2 utili alla corretta identificazione dell’Utente, la LRA provvederà ad effettuare gli ulteriori controlli necessari al completamento del processo di adeguata verifica della clientela richiesto dalla normativa antiriciclaggio, laddove la stessa sia applicabile per i servizi richiesti dall’Utente, espletando tutti gli obblighi in osservanza delle disposizioni previste dalla vigente normativa Antiriciclaggio e Par 9.2.3)Contrasto al Finanziamento del Terrorismo. Le misure indicate nell’elenco La procedura descritta garantisce, altresì, la cifratura del canale di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, comunicazione mediante il quale riporta vengono acquisiti i video e le informazioni (dati identificativiimmagini attraverso l’adozione di meccanismi standard, data, ora applicativi e luogo) relative all’incontro tra Operatore LRA protocolli aggiornati: in particolare si utilizza per le comunicazioni una crittografia TLS almeno 1.2 e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode a 256 bit sempre e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte per tutte le sottoscrizioni elettroniche del Richiedente, invierà richiesta operazioni e sul dispositivo di emissione del certificato qualificato al QTSPogni richiedente.

Identificazione degli utenti. Sono Il Certificatore deve verificare con certezza l’identità del richiedente alla prima richiesta di seguito descritte emissione di certificato qualificato. Questa operazione viene demandata alla Registration Authority del Certificatore ovvero alla Local Registration Authority, ed è svolta in ottemperanza con quanto previsto dalla vigente normativa e secondo le modalità di identificazione previste nell’ambito di quanto riportato descritte nel presente MO ai fini del rilascio di un seguito. Per i successivi rinnovi, se effettuati prima che il certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguito, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono già rilasciato non sia in modalità root durante scaduto, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al Certificatore, attraverso la installazione o durante l’avviamento e il funzionamentoRA ovvero la Banca (LRA), solo gli eventuali cambiamenti relativi ai propri dati di registrazione. Nello specificoFra i dati di registrazione necessari all’avviamento del servizio ricordiamo: • l’operatore, dotato di smartphone o tablet appositamente configurato Nome e dotato dell’APP LS, si autentica tramite proprio PINCognome; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo Data di nascita; − codice fiscale (• Comune o analogo nel caso stato estero di cittadini stranieri non in possesso di codice fiscale italiano)nascita; − nazione • Codice fiscale; • Indirizzo di residenza; − numero • Domicilio presso il quale saranno inviate le comunicazioni cartacee; • Numero di telefono (mobile)cellulare; − indirizzo • Indirizzo di posta elettronica; − eventuale indirizzo PEC• Tipo e numero del documento d’identità esibito; • l’APPAutorità che ha rilasciato il documento, tramite data e luogo del rilascio, data di scadenza. Pertanto, la RA, ovvero la LRA, in ottemperanza con quanto previsto dalla vigente normativa e dalle normative interne, svolge tutte le informazioni raccolte operazioni necessarie all’identificazione e registrazione del richiedente. Dopo che il Titolare è stato identificato, con una delle modalità nel seguito descritte (cfr. F.1.1, F.1.2, F.1.3), la RA/LRA mette a disposizione del Titolare le funzionalità per impostare un Personal Identification Number (PIN). Il PIN iniziale potrà essere successivamente modificato/aggiornato dal dispositivo utilizzatoTitolare usufruendo dei servizi resi disponibili dalla Banca. Sul cellulare predefinito dal Titolare, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso o su di un finanziamentoindirizzo email indicato dal cliente, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione potrebbero essere inviati specifici messaggi (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, SMS/email) che possano avvisarlo relativamente alle operazioni eseguite attraverso l’impiego del certificato digitale contenuto nella CIE(firma di un documento, ma anche sospensione, revoca o rinnovo del certificato digitale). L’APP LS, elaborando le operazioni raccolte, rende disponibili al RichiedenteDopo il rilascio del certificato qualificato, per una sua sottoscrizionele successive operazioni di firma, i seguenti documenti: • il contratto l’utilizzo congiunto degli strumenti di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa visione del Manuale Operativo INTESA • il documento Dichiarazione autenticazione precedentemente definiti (PIN e OTP mobile) è richiesto dalla normativa vigente. Solo attraverso l’uso congiunto di autorizzazione al trattamento PIN e OTP sarà possibile sottoscrivere digitalmente documenti di vario genere nell’ambito dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatoreservizi internet offerti dalla Banca. La documentazione così predisposta relativa alla registrazione dei Titolari viene visionata dal Richiedente conservata dalla Registration Authority che procede alla sua sottoscrizione mediante OTP comunicato ha effettuato l’identificazione per 20 (venti) anni. Per l’identificazione è richiesta la presenza fisica del Titolare. Il soggetto che effettua l’identificazione verifica l'identità del Titolare tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche il riscontro con finalità ulteriori (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.ii.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul almeno un documento di riconoscimento acquisito riconoscimento, valido e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSPnon scaduto.

Identificazione degli utenti. Sono di seguito descritte le modalità di identificazione previste nell’ambito di quanto riportato nel presente MO ai fini del rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending Ineo che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguito, APP LSIneo). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution da Xxxx attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LSIneo) L’APP LS Ineo verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specifico: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LSIneo, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LSIneo, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending SolutionXxxx. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS Ineo permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LSIneo, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale Digitale; • il documento Presa visione del Manuale Operativo INTESA INTESA; • il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite la generazione di un QR code sull’APP LS Ineo che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatore. La documentazione così predisposta viene visionata dal Richiedente che procede alla sua sottoscrizione mediante OTP comunicato tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche con finalità ulteriori (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.ii.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; . • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul documento di riconoscimento acquisito e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSP.

Identificazione degli utenti. Sono Il Certificatore deve verificare con certezza l’identità del richiedente alla prima richiesta di emissione di certificato qualificato. Questa operazione viene demandata alla Registration Authority del Certificatore ovvero alla Local Registration Authority, ed è svolta in ottemperanza con quanto previsto dalla vigente normativa e secondo le modalità descritte nel seguito. Per i successivi rinnovi, se effettuati prima che il certificato qualificato già rilasciato non sia scaduto, tale attività non dovrà essere ripetuta: sarà cura del Titolare comunicare al Certificatore, attraverso la RA ovvero la Banca (LRA), solo gli eventuali cambiamenti relativi ai propri dati di registrazione. Fra i dati di registrazione necessari all’avviamento del servizio ricordiamo: • Nome e Cognome; • Data di nascita; • Comune o stato estero di nascita; • Codice fiscale; • Indirizzo di residenza; • Domicilio presso il quale saranno inviate le comunicazioni cartacee; • Numero di telefono cellulare; • Indirizzo di posta elettronica; • Tipo e numero del documento d’identità esibito; • Autorità che ha rilasciato il documento, data e luogo del rilascio, data di scadenza. Pertanto, la RA, ovvero la LRA, in ottemperanza con quanto previsto dalla vigente normativa e dalle normative interne, svolge tutte le operazioni necessarie all’identificazione e registrazione del richiedente. Dopo che il Titolare è stato identificato, con una delle modalità nel seguito descritte (par. F.1.1, F.1.2, F.1.3), il numero di cellulare personale del richiedente verrà utilizzato dal QTSP per l’invio di codici numerici monouso (chiamati nel seguito codici OTP o semplicemente OTP) in grado di garantire un accesso sicuro al servizio di firma remota resogli disponibile dalla Banca. Oltre all’OTP, nel caso in cui il Titolare faccia uso di certificati qualificati a lungo termine, la RA/LRA mette a disposizione del Titolare le modalità funzionalità per impostare un Personal Identification Number (PIN) da utilizzare in abbinamento all’OTP quale secondo fattore di identificazione previste autenticazione. Il PIN iniziale potrà essere successivamente modificato/aggiornato dal Titolare usufruendo dei servizi resi disponibili dalla Banca. Lo stesso PIN potrà essere utilizzato dal Titolare come codice di emergenza (par. I.4) per sospendere con urgenza il certificato qualificato in corso di validità a lui intestato (in caso, ad esempio, di smarrimento e/o indisponibilità dell’OTP). Sul cellulare predefinito dal Titolare, o su di un indirizzo e-mail indicato dal cliente, potrebbero essere inviati specifici messaggi (SMS/e-mail) che possano avvisarlo relativamente alle operazioni eseguite attraverso l’impiego del certificato digitale (firma di un documento, ma anche sospensione, revoca o rinnovo del certificato digitale). Dopo il rilascio del certificato qualificato, per le successive operazioni di firma, l’utilizzo congiunto degli strumenti di autenticazione precedentemente definiti (PIN e OTP mobile) è richiesto dalla normativa vigente. Solo attraverso l’uso congiunto di PIN e OTP sarà possibile sottoscrivere digitalmente documenti di vario genere nell’ambito dei servizi internet offerti dalla Banca. Per il caso d’uso di quanto riportato nel presente MO ai fini del certificati a lungo termine, vengono anche fornite al Titolare le necessarie informazioni per permettergli di cambiare in un qualsiasi momento il numero di cellulare precedentemente fornito. Preventivamente al rilascio di un certificato qualificato di firma elettronica. L’identificazione certa viene supportata da un’apposita APP mobile sviluppata da Lending che è in grado di coadiuvare e rendere maggiormente sicura e affidabile l’attività di identificazione in presenza svolta dall’operatore di LRA (nel seguitoqualificato, APP LS). L’operatore di LRA sarà preventivamente identificato con certezza e incaricato dalla Lending Solution attraverso una procedura scritta che sarà da questi controfirmata (vedi Allegato 2 su abilitazione APP LS) L’APP LS verifica che il telefono non sia in modalità root durante la installazione o durante l’avviamento e il funzionamento. Nello specificoTitolare dovrà inoltre: • l’operatore, dotato di smartphone o tablet appositamente configurato e dotato dell’APP LS, si autentica tramite proprio PIN; • seguendo le istruzioni fornite dall’APP LS, l’Operatore identifica il cliente mediante un documento di riconoscimento in corso di validità e ne acquisisce copia informatica tramite la fotocamera del dispositivo in dotazione; • con le stesse modalità prende visione e acquisisce copia della tessera sanitaria; • l’operatore raccoglie i seguenti dati del Richiedente: − ente richiedente; − cognome e nome; − data e luogo di nascita; − codice fiscale (o analogo nel caso di cittadini stranieri non in possesso di codice fiscale italiano); − nazione di residenza; − numero di telefono (mobile); − indirizzo di posta elettronica; − eventuale indirizzo PEC; • l’APP, tramite le informazioni raccolte dal dispositivo utilizzato, memorizza luogo e ora dell’incontro con il richiedente, se previsto nel rapporto commerciale/convenzionale1 tra l’erogatore del servizio (soggetto obbligato) per il quale si sta richiedendo la Firma, ad esempio nel caso di un finanziamento, la Banca o l’operatore LRA, ad esempio l’agente e Lending Solution. • Qualora il documento di riconoscimento presentato dal Richiedente sia una Carta d’Identità Elettronica di ultima generazione (cd. CIE 3.0), l’APP LS permette anche la lettura, tramite tecnologia NFC, del certificato digitale contenuto nella CIE. L’APP LS, elaborando le operazioni raccolte, rende disponibili al Richiedente, per una sua sottoscrizione, i seguenti documenti: • il contratto di servizio; • il documento Modulo Richiesta Certificato Digitale • il documento Presa prendere visione del Manuale Operativo INTESA del QTSP INTESA; • autorizzare il documento Dichiarazione di autorizzazione al trattamento dei dati personali, in duplice copia, in cui dichiara di acconsentire all'utilizzo dei propri dati personali ai sensi del Regolamento UE 679/2016. I documenti vengono resi disponibili al richiedente, tramite l’operatore che li sottoporrà al Richiedente, o anche direttamente attraverso l’accesso alla sua area riservata; tale accesso potrà avvenire tramite l’invio per le finalità legate all’emissione di un link protetto da credenziale nota solo all’operatore e il Richiedente, o in alternativa, tramite certificato qualificato per la generazione di un QR code sull’APP LS che il Titolare inquadra con il proprio smartphone confermando anche il contatto fisico con l’operatorefirma elettronica. La documentazione così predisposta relativa alla registrazione dei Titolari viene visionata dal Richiedente conservata dalla Registration Authority che procede alla sua sottoscrizione mediante OTP comunicato ha effettuato l’identificazione per 20 (venti) anni. Per l’identificazione è richiesta la presenza fisica del Titolare. Il soggetto che effettua l’identificazione verifica l’identità del Titolare tramite SMS al numero di cellulare dichiarato dal Richiedente stesso. In alcuni contesti, come ad esempio quello bancario, l’attività d’identificazione viene svolta anche il riscontro con finalità ulteriori (ad esempio quella richiesta dalla normativa Antiriciclaggio di cui al D.lgs. 231/2007 e ss.mm.ii.) e mediante specifiche e innovative misure tecniche che si aggiungono ai controlli standard (tipo Scipafi): • Controllo antifrode sul documento e sui dati inseriti dall’Operatore; • Face Matching, opzionale ed eventuale sulla base di quanto definito a monte dal Richiedente (ad esempio, Banca in caso di finanziamento), confronto tra la fotografia del volto del Richiedente presente sul almeno un documento di riconoscimento acquisito riconoscimento, valido e una sua immagine live raccolta dall’operatore tramite il dispositivo in dotazione (attività eseguite solo dopo aver raccolto il consenso espresso da parte del Richiedente e nel rispetto dello standard ETSI 119 461 V1.1.1 (2021-07), Par 9.2.2 e Par 9.2.3). Le misure indicate nell’elenco di cui sopra sono opzionali in quanto il riconoscimento avviene de-visu. L’attività d’identificazione comporta la produzione di un apposito Report, il quale riporta le informazioni (dati identificativi, data, ora e luogo) relative all’incontro tra Operatore LRA e Richiedente, comprensivo del risultato, se eventualmente effettuate, delle analisi antifrode e antiriciclaggio. Al raggiungimento del risultato minimo atteso dai controlli previsti, l’Operatore, raccolte le sottoscrizioni elettroniche del Richiedente, invierà richiesta di emissione del certificato qualificato al QTSPnon scaduto.