Calendrier eIDAS 2 : déploiement UE 2026-2027

Introduzione: perché il calendario eIDAS 2 è cruciale per la tua organizzazione

Dall'entrata in vigore del regolamento (UE) 2024/1183 — comunemente chiamato eIDAS 2 — il quadro europeo dell'identità digitale e della firma elettronica conosce la sua trasformazione più profonda dal 2014. Se il testo rivisto è formalmente adottato, è il suo dispiegamento operativo, distribuito tra il 2024 e il 2027, che concentra ora l'attenzione dei DSI, dei legali e dei responsabili della conformità. Comprendere il calendario ufficiale di dispiegamento del regolamento eIDAS 2 nell'Unione europea consente di anticipare gli obblighi, di proteggere i propri processi contrattuali e di evitare qualsiasi scostamento dalla conformità. Questo articolo decifra le fasi cruciali, gli atti di esecuzione attesi e gli impatti concreti per le imprese francesi ed europee.

---

1. Richiamo: che cos'è eIDAS 2 e perché questa revisione?

1.1 I limiti di eIDAS 1 (2014)

Il regolamento eIDAS originario (n. 910/2014) ha gettato le fondamenta della fiducia digitale in Europa: riconoscimento reciproco delle firme elettroniche, creazione dei livelli qualificati (QES), semplice (SES) e avanzato (AdES), e accreditamento dei fornitori di servizi di fiducia (Trust Service Providers, TSP). Tuttavia, dieci anni di applicazione hanno evidenziato diverse lacune significative:

• Frammentazione nazionale: meno del 19% dei cittadini europei utilizzava uno schema di identificazione elettronica transfrontaliera nel 2022 secondo la Commissione europea.
• Assenza di portafoglio d'identità digitale: eIDAS 1 non prevedeva uno strumento universale che permettesse a ogni cittadino o impresa di provare la propria identità online in tutti gli Stati membri.
• Copertura parziale: i servizi di archiviazione elettronica qualificata o le attestazioni di attributi non erano armonizzati.

1.2 I contributi strutturanti di eIDAS 2

Adottato l'11 aprile 2024 e pubblicato nella Gazzetta ufficiale dell'UE il 30 aprile 2024, il regolamento (UE) 2024/1183 introduce in particolare:

• Lo European Digital Identity Wallet (EUDI Wallet): portafoglio d'identità digitale che ogni Stato membro deve offrire ai suoi cittadini.
• Nuovi servizi di fiducia qualificati: attestazioni di attributi elettronici qualificati, archiviazione elettronica qualificata, gestione di dispositivi per la creazione di firme a distanza.
• L'estensione dell'ambito di applicazione: le grandi piattaforme online (ai sensi del regolamento DSA) dovranno accettare l'EUDI Wallet per l'autenticazione degli utenti.
• Un rafforzamento della governance: creazione di un quadro di certificazione di conformità più rigoroso per i TSP.

Per approfondire le basi del regolamento, la nostra guida completa su eIDAS 2.0 detaglia l'insieme delle evoluzioni normative.

---

2. Il calendario ufficiale di dispiegamento di eIDAS 2: tappe e date chiave 2024-2027

Il regolamento eIDAS 2 articola la sua entrata in applicazione intorno a un meccanismo con più fasi: entrata in vigore, atti di esecuzione della Commissione, recepimento nazionale e dispiegamento effettivo degli strumenti. Ecco la roadmap ufficiale.

2.1 Fase 1 — Entrata in vigore e atti delegati (maggio 2024 – fine 2025)

| Data | Tappa | |---|---| | 30 aprile 2024 | Pubblicazione del regolamento (UE) 2024/1183 nella GUCE | | 20 maggio 2024 | Entrata in vigore ufficiale (G+20 dopo la pubblicazione) | | T3-T4 2024 | Lancio dei gruppi di lavoro sugli atti di esecuzione (Toolbox eIDAS 2) | | Fine 2024 | Pubblicazione delle prime specifiche tecniche di riferimento per l'EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Atti di esecuzione della Commissione sulle specifiche tecniche dei portafogli (termine di 12 mesi previsto dall'articolo 5a) | | T3 2025 | Atti di esecuzione relativi ai nuovi servizi di fiducia qualificati |

La Commissione europea ha pubblicato nel gennaio 2025 il primo treno di atti di esecuzione sulle specifiche tecniche comuni dell'EUDI Wallet. Questi testi costituiscono la base tecnica obbligatoria per gli Stati membri.

2.2 Fase 2 — Dispiegamento dei progetti pilota e recepimenti nazionali (2025-2026)

Nell'ambito del programma dei grandi progetti pilota (Large Scale Pilots — LSP), quattro consorzi hanno testato l'EUDI Wallet dal 2023 su oltre 360 casi d'uso in 25 Stati membri:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entità
• NOBID — incentrato sui pagamenti digitali
• POTENTIAL — identità e attributi
• DC4EU — diplomi e qualifiche professionali

I risultati di questi pilota alimentano direttamente gli atti di esecuzione. A livello nazionale, gli Stati membri dispongono di 24 mesi a partire dall'entrata in applicazione degli atti di esecuzione per dispiegare il loro portafoglio nazionale. In pratica, ciò significa che la stragrande maggioranza dei dispiegamenti nazionali è attesa tra metà 2026 e fine 2026.

| Periodo | Azioni attese | |---|---| | T1-T2 2026 | Adozione definitiva degli atti di esecuzione mancanti (archiviazione qualificata, attestazioni di attributi) | | T2 2026 | Prime versioni di produzione degli EUDI Wallets negli Stati precursori (Germania, Paesi Bassi, Spagna) | | T3-T4 2026 | Dispiegamento progressivo nei 27 Stati membri — apertura agli utenti professionali | | Fine 2026 | Obblighi di accettazione dell'EUDI Wallet per i servizi pubblici online (art. 5b) |

La Francia, tramite l'Agenzia Nazionale della Sicurezza dei Sistemi Informativi (ANSSI) e la Direzione Interministeriale del Digitale (DINUM), ha avviato i suoi lavori di adattamento nel 2025. Il progetto del portafoglio francese si basa su France Identité come base tecnica.

2.3 Fase 3 — Obblighi di accettazione per il settore privato (2027)

Questa è la tappa più impattante per le imprese. L'articolo 5b del regolamento eIDAS 2 impone che alcuni fornitori del settore privato accettino l'EUDI Wallet per l'identificazione online nei seguenti settori:

• Servizi bancari e finanziari (apertura di conti, KYC)
• Mobilità (trasporti, noleggio di veicoli)
• Energia (contratti con consumatori)
• Piattaforme online molto grandi (ai sensi del DSA, > 45 milioni di utenti mensili nell'UE)
• Telecomunicazioni

Il termine di accettazione obbligatorio è fissato a 12 mesi dopo la messa a disposizione del portafoglio in ogni Stato membro, il che pone la scadenza effettiva per la maggior parte dei settori nel corso del primo semestre 2027.

Per le imprese che utilizzano già soluzioni di firma elettronica conforme eIDAS, la questione è assicurare la compatibilità dei loro flussi documentari con i nuovi attributi di identità derivanti dai portafogli digitali.

---

3. Impatto sui fornitori di servizi di fiducia (TSP) e sugli editori SaaS

3.1 Nuovi obblighi per i TSP qualificati

I fornitori di servizi di fiducia qualificati (QTSP) devono aggiornare le loro pratiche di certificazione per integrare le nuove categorie di servizi introdotte da eIDAS 2:

• Attestazioni di attributi elettronici qualificati: patente di guida digitale, diplomi, qualifiche professionali
• Archiviazione elettronica qualificata: servizio che garantisce l'integrità nel tempo lungo dei documenti firmati
• Gestione di dispositivi per la creazione di firma a distanza (RQSCD): chiarimento del quadro per le soluzioni cloud

I QTSP hanno fino a 18 mesi dopo la pubblicazione delle norme ETSI riviste (attese T2-T3 2026) per conformarsi ai nuovi requisiti tecnici, il che posiziona le prime ricertificazioni effettive nel 2027.

3.2 Cosa significa per le imprese utilizzatrici

Se la tua organizzazione utilizza un fornitore di firma elettronica SaaS — che si tratti di una soluzione certificata QES o di uno strumento di firma avanzata — diverse questioni di conformità si pongono già da ora:

1. Il vostro fornitore è in corso di aggiornamento della sua certificazione per integrare i requisiti di eIDAS 2?
2. I vostri workflow di firma sono pronti a ricevere identità provenienti dagli EUDI Wallets?
3. La vostra politica di archiviazione risponde ai futuri requisiti di archiviazione elettronica qualificata?

Le nostre analisi del comparativo delle soluzioni di firma elettronica integrano ora il criterio di roadmap eIDAS 2 come fattore differenziante chiave.

3.3 Le norme tecniche di riferimento

L'ETSI (European Telecommunications Standards Institute) è incaricato di produrre le norme armonizzate su cui si basa eIDAS 2. Il programma di lavoro 2025-2027 copre in particolare:

• ETSI EN 319 411-1 e -2 (riviste): politiche e requisiti per i TSP che emettono certificati
• ETSI EN 319 132-1 (XAdES) e EN 319 122-1 (CAdES): formati di firma avanzata e qualificata
• ETSI TS 119 500: quadro di fiducia per i servizi di archiviazione elettronica qualificata
• ISO/IEC 18013-5: protocollo di presentazione degli attributi mDL (mobile Driving Licence), adottato come base tecnica dell'EUDI Wallet

---

4. Calendario eIDAS 2 in Francia: stato di avanzamento e obblighi specifici

4.1 Il ruolo dell'ANSSI nella governance nazionale

In Francia, l'ANSSI è l'autorità di supervisione dei fornitori di servizi di fiducia ai sensi di eIDAS. Nella prospettiva di eIDAS 2, pilota:

• L'adattamento del referenziale generale di sicurezza (RGS) per integrare i nuovi servizi qualificati
• La partecipazione ai lavori del gruppo di cooperazione eIDAS (articolo 46e del regolamento)
• La supervisione degli audit di conformità dei QTSP francesi

L'ANSSI ha pubblicato nel marzo 2025 una roadmap nazionale che precisa le tappe di adattamento del quadro francese a eIDAS 2, con un punto di status previsto nel settembre 2026.

4.2 Obblighi per le grandi imprese francesi

Le imprese francesi che superano i soglie del DSA o che operano nei settori interessati dall'articolo 5b devono impegnarsi sin d'ora in un'analisi di impatto. Le tappe consigliate sono:

1. Cartografia dei flussi di identificazione: identificare i processi dove l'identità digitale è richiesta (KYC, firma di contratti, accesso agli spazi clienti)
2. Valutazione dei fornitori attuali: verificare la loro roadmap di conformità a eIDAS 2
3. Piano di aggiornamento dei T&C e delle politiche di firma: anticipare l'integrazione degli attributi di identità provenienti dagli EUDI Wallets
4. Formazione dei team legali e DSI: il quadro tecnico e legale evolve significativamente

Per le imprese che gestiscono importanti volumi contrattuali, gli strumenti di firma elettronica in azienda devono essere valutati dal punto di vista della loro capacità di evolversi verso eIDAS 2 senza interruzione di servizio.

4.3 Articolazione con altre normative europee

Il dispiegamento di eIDAS 2 non avviene in isolamento. Si articola strettamente con:

• Il RGPD (2016/679): gli attributi di identità contenuti negli EUDI Wallets costituiscono dati personali soggetti ai principi di minimizzazione e finalità
• La direttiva NIS 2 (2022/2555): i TSP sono entità essenziali ai sensi di NIS 2 e devono soddisfare i requisiti di sicurezza informatica rafforzati
• Il regolamento DORA (2022/2554): gli istituti finanziari che utilizzano servizi di fiducia per le loro operazioni digitali devono integrare queste dipendenze nella loro cartografia dei rischi ICT
• Il regolamento sui dati (Data Act, 2023/2854): interoperabilità dei dati di identità tra settori

Le imprese che hanno già avviato la conformità a NIS 2 troveranno sinergie significative con la messa in conformità a eIDAS 2, in particolare sui fronti della gestione dei rischi e della continuità operativa.

---

5. Preparare la tua organizzazione sin d'ora: la checklist 2026

5.1 Per le direzioni legali e conformità

• [ ] Leggere il regolamento (UE) 2024/1183 nella sua versione consolidata e identificare gli articoli applicabili al vostro settore
• [ ] Cartografare i contratti e i processi che necessitano di un aggiornamento (clausole di firma, politica di conservazione)
• [ ] Verificare la validità legale transfrontaliera delle vostre firme elettroniche attuali nel contesto di eIDAS 2
• [ ] Anticipare l'integrazione delle attestazioni di attributi qualificate (es. verifica di qualità professionale per gli atti notarili o medici)

5.2 Per le direzioni dei sistemi informativi

• [ ] Valutare la compatibilità del vostro stack tecnico con i protocolli EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificare le API da aggiornare presso i vostri editori di firma elettronica
• [ ] Prevedere i test di integrazione con i portafogli pilota disponibili nel 2026
• [ ] Implementare una sorveglianza sugli atti di esecuzione della Commissione (notifiche nella Gazzetta ufficiale dell'UE)

5.3 Per le direzioni aziendali

I guadagni attesi da una conformità ben anticipata sono concreti: riduzione delle difficoltà nei percorsi di firma grazie all'identità preverificata dell'EUDI Wallet, accelerazione dei processi KYC, e riduzione dei costi di verifica dell'identità. Per valutare il ritorno sull'investimento della vostra transizione, il nostro calcolatore ROI firma elettronica integra i parametri specifici alla conformità eIDAS 2.

Infine, le organizzazioni che contemplano una migrazione da altre soluzioni verso una piattaforma nativamente preparata per eIDAS 2 possono consultare la nostra guida di migrazione da DocuSign o YouSign verso Certyneo, che detaglia le fasi tecniche e contrattuali di una transizione senza interruzione.

Quadro legale applicabile al dispiegamento di eIDAS 2

Testi fondatori e gerarchia delle norme

Il dispiegamento del regolamento eIDAS 2 si inscrive in un corpus giuridico stratificato la cui padronanza è indispensabile per qualsiasi organizzazione soggetta a obblighi di conformità.

Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio — detto «eIDAS 2» — costituisce la norma di riferimento. Abroga e sostituisce il regolamento (UE) n. 910/2014 (eIDAS 1) sui punti che rivede, mantenendo al contempo la validità delle certificazioni esistenti durante i periodi di transizione previsti agli articoli 51 e seguenti. Pubblicato nella Gazzetta ufficiale dell'UE serie L il 30 aprile 2024, è entrato in vigore il 20 maggio 2024.

Il Codice civile francese, articoli 1366 e 1367, consacra il riconoscimento della firma elettronica come equivalente alla firma manoscritta quando soddisfa le condizioni di identificazione del firmatario e di integrità del documento. Queste disposizioni sono interpretate alla luce del diritto europeo eIDAS, che prevale in virtù del principio del primato del diritto dell'Unione.

Il regolamento (UE) 2016/679 (RGPD) si applica integralmente ai trattamenti di dati personali effettuati nel contesto dell'EUDI Wallet e dei servizi di fiducia. Gli attributi di identità (dati biografici, qualifiche, permessi) costituiscono dati personali ai sensi dell'articolo 4 §1 del RGPD. Il principio di minimizzazione (art. 5 §1 c) è particolarmente rilevante: i fornitori non devono raccogliere che gli attributi strettamente necessari alla finalità della transazione.

La direttiva (UE) 2022/2555 (NIS 2), recepita nel diritto francese dalla legge n. 2024-449 del 21 maggio 2024, classifica i fornitori di servizi di fiducia qualificati tra le entità essenziali soggette a obblighi rafforzati di gestione dei rischi cyber, di notificazione degli incidenti e di sicurezza della catena di approvvigionamento.

Le norme ETSI costituiscono il referenziale tecnico armonizzato di eIDAS 2:

• ETSI EN 319 401: requisiti generali per i TSP
• ETSI EN 319 411-1/-2: politiche per TSP che emettono certificati qualificati
• ETSI EN 319 132-1: formato XAdES (firme XML avanzate)
• ETSI EN 319 122-1: formato CAdES (firme CMS avanzate)
• ETSI EN 319 162-1: formato ASiC (contenitori di firme)

Rischi legali in caso di non conformità

Il mancato rispetto degli obblighi di eIDAS 2 espone le organizzazioni a diversi rischi:

1. Inopponibilità delle firme: una firma elettronica realizzata tramite un TSP non conforme ai nuovi requisiti può perdere la presunzione legale di validità, rimettendo in discussione il valore probatorio dei contratti firmati.
2. Sanzioni amministrative: le autorità di supervisione nazionali (ANSSI in Francia) possono pronunciare misure correttive, ingiunzioni di messa in conformità, o persino ritiri di accreditamento per i TSP.
3. Responsabilità contrattuale: le imprese che utilizzano strumenti non conformi possono veder impegnata la loro responsabilità nei confronti dei loro clienti e partner se una controversia riguarda la validità di un atto firmato elettronicamente.
4. Cumulo con il RGPD: una gestione non conforme degli attributi di identità dell'EUDI Wallet può esporre simultaneamente a sanzioni CNIL (fino al 4% del fatturato mondiale annuo).

Scenari di utilizzo concreti di fronte al calendario di eIDAS 2

Scenario 1 — Uno studio legale di medie dimensioni che gestisce atti transfrontalieri

Uno studio legale di affari con circa quindici collaboratori che tratta regolarmente operazioni di M&A che coinvolgono contropparti in diversi Stati membri dell'UE (Belgio, Paesi Bassi, Spagna) utilizza attualmente una soluzione di firma elettronica qualificata per i suoi atti di cessione di quote e i suoi protocolli di riservatezza. Con l'entrata in applicazione del calendario eIDAS 2, lo studio anticipa due principali evoluzioni prima della fine del 2026:

• Verifica di identità semplificata: le contropparti estere potranno presentare i loro attributi di identità tramite il loro EUDI Wallet nazionale, eliminando gli scambi di copie di passaporto e le procedure KYC ridondanti. Secondo le stime derivanti dai rapporti della Commissione europea sui LSP, il guadagno di tempo nella fase di verifica dell'identità è stimato tra il 40% e il 60% a seconda delle giurisdizioni implicate.
• Valore probatorio rafforzato: gli atti firmati con identità attestate da EUDI Wallets qualificati beneficeranno di una presunzione legale ancora più robusta, riducendo il rischio di contestazione giudiziale nelle controversie transfrontaliere.

Lo studio prevede di migrare verso una piattaforma SaaS con una roadmap eIDAS 2 documentata prima del T3 2026, ovvero circa sei mesi prima dei primi obblighi di accettazione.

Scenario 2 — Una PMI industriale che gestisce un volume elevato di contratti fornitori

Una PMI del settore dell'equipaggiamento industriale che gestisce circa 250 contratti fornitori all'anno, di cui il 30% con partner europei al di fuori della Francia, si trova ad affrontare crescenti vincoli di verifica dell'identità durante l'onboarding di nuovi fornitori. Il processo attuale — richiesta di Kbis, copia della carta d'identità del rappresentante legale, verifica manuale — mobilizza in media 2,5 ore per pratica secondo i benchmark settoriali della federazione degli acquirenti.

Con l'integrazione dell'EUDI Wallet nel suo workflow di firma entro il 2027, la PMI prevede:

• Una riduzione del 55-70% del tempo dedicato alla verifica dell'identità grazie alle attestazioni di attributi qualificati (numero di immatricolazione, rappresentanza legale)
• Una diminuzione dell'80% delle richieste di documentazione ricorrenti verso i fornitori esteri
• Una sicurezza accresciuta contro la frode documentale, essendo gli attributi verificabili crittograficamente

La PMI ha identificato la necessità di aggiornare i suoi termini e condizioni generali di acquisto per integrare il riferimento alle attestazioni eIDAS 2, in collegamento con il suo consulente legale.

Scenario 3 — Un'unità ospedaliera che anticipa la conformità per gli atti medici digitali

Un'unità ospedaliera di circa 900 posti letto distribuiti su tre sedi deve gestire la firma elettronica di documenti medici sensibili: consensi informati, prescrizioni, verbali operatori e contratti con fornitori di servizi sanitari. La normativa francese impone la firma qualificata per alcuni atti medici di forte portata legale.

Nella prospettiva del calendario eIDAS 2, l'unità anticipa l'arrivo delle attestazioni di attributi qualificati per le qualifiche professionali sanitarie (numero RPPS, specialità, struttura di esercizio), che consentiranno di:

• Automatizzare la verifica della qualità del firmatario (medico, chirurgo, farmacista) senza verifica manuale negli elenchi professionali
• Ridurre i rischi di errore di attribuzione di firma durante sostituzioni e turni
• Facilitare la portabilità dei fascicoli medici digitali tra strutture, nel quadro dello spazio europeo dei dati sanitari (EHDS)

L'unità stima che l'integrazione dei flussi EUDI Wallet nel suo sistema informativo ospedaliero (SIH) rappresenti un progetto di 12-18 mesi, giustificando un lancio degli studi tecnici dal T3 2026 per una messa in produzione prima dell'obbligo di accettazione settoriale.

Conclusione

Il calendario di dispiegamento del regolamento eIDAS 2 nell'Unione europea è ormai chiaramente tracciato: atti di esecuzione in corso di finalizzazione nel 2026, dispiegamento degli EUDI Wallets nazionali tra metà 2026 e fine 2026, e obblighi di accettazione per il settore privato a partire dal primo semestre 2027. Questa roadmap lascia una finestra d'azione concreta per le imprese francesi ed europee, a condizione di avviare sin d'ora l'analisi di conformità, la valutazione dei fornitori e l'aggiornamento dei processi contrattuali.

Aspettare il 2027 per mettersi in conformità significa correre il rischio di una transizione nell'urgenza, con i costi e i rischi legali che ciò comporta. Certyneo, concepito nativamente per i requisiti di eIDAS e con una roadmap attiva verso eIDAS 2, vi accompagna sin da oggi in questa transizione. Inizia gratuitamente su Certyneo e proteggete i vostri flussi documentari nel rispetto del quadro europeo di fiducia digitale.