Conformità eIDAS per le PMI: la checklist completa 2026

Il regolamento europeo eIDAS (UE n°910/2014, presto modificato da eIDAS 2.0) regola le firme elettroniche in tutta l’Unione Europea. Per una PMI, essere in regola non è solo una casella da controllare: è la garanzia che i suoi contratti siano esecutivi, che i suoi dati di firma siano protetti e che si protegga contro i rischi legali che possono essere costosi. Ecco la checklist 2026 in 12 punti concreti per verificare che la tua PMI sia pienamente conforme eIDAS.

Punto 1: scegli il giusto livello di firma

Primo riflesso: mappa le tue tipologie di contratto e associa un livello target. Contratti commerciali standard (preventivi, ordini di acquisto, semplici NDA): basta SES. Contratti di lavoro, locazioni, NDA sensibili, accordi strategici: minimo AES, preferibilmente con SMS OTP. Atti regolamentati (avvocato, notaio, appalti pubblici sopra soglia): QES obbligatorio. Senza questa mappatura si rischia il sottodimensionamento (contratto rifiutato) o il sovradimensionamento (costo eccessivo).

Punto 2: verifica la qualifica del fornitore di servizi

Il tuo fornitore di servizi deve essere un fornitore di servizi fidato (QTSP) o fare affidamento su un QTSP per i livelli AES/QES. Consulta la Trust Services List pubblicata dall'ANSSI (eidas.ssi.gouv.fr) e la Trusted List europea (webgate.ec.europa.eu/tl-browser). I QTSP francesi di riferimento: Certigna, Docaposte, Certinomis, Universign. Per SES/AES tramite piattaforma (Certyneo, Yousign, ecc.), verificarne la conformità eIDAS esplicitamente documentata.

Punto 3: testare la traccia di controllo

Firma una busta di prova e raccogli la traccia di controllo (di solito un PDF separato). Deve contenere: identità ed email del firmatario, timestamp di ogni passaggio (invio, apertura, validazione, firma), indirizzo IP, user agent, hash del documento, validazione OTP se AES. Se manca uno di questi elementi il ​​valore probatorio risulta indebolito. Certyneo fornisce la traccia di controllo completa anche con un piano gratuito.

Punto 4: controllare la marca temporale

La marca temporale deve essere emessa da una Time Stamp Authority (TSA) conforme alla RFC 3161. Una semplice marca temporale proveniente da un server NTP aziendale non è sufficiente. Apri il PDF firmato in Adobe Reader: scheda Firme → Dettagli → Timestamp. Dovresti vedere un certificato TSA valido e un orologio certificato lì. Se il PDF non dispone di una marca temporale certificata, fare marcia indietro nella scelta del fornitore di servizi.

Punto 5: archiviazione per almeno 10 anni

Il Codice Commerciale (articolo L. 123-22) richiede 10 anni di conservazione per i documenti commerciali. Il Codice del Lavoro impone 5 anni per i contratti di lavoro successivi alla cessazione del rapporto di lavoro. L'archiviazione deve preservare l'integrità (hash, sigillo) e l'accesso. Ideale: formato PDF/A (ISO 19005), doppia archiviazione (primaria + backup off-site), cassaforte elettronica qualificata (CFE) per la massima prova. Certyneo archivia per impostazione predefinita 10 anni e offre l'esportazione ai partner CFE.

Punto 6: controlla la localizzazione dei dati

Dove sono ospitati i dati della tua firma? Per una PMI francese che si occupa di contratti sensibili, scegli l'hosting francese o UE. Chiedi al tuo fornitore di servizi l'elenco dei subappaltatori e la loro ubicazione (articolo 28 GDPR). Evita soluzioni soggette al Cloud Act statunitense per contratti strategici. Certyneo è ospitato in Francia, senza dipendenza dal Cloud Act. Consulta il nostro articolo su /blog/cloud-act-signature-electronique.

Punto 7: articolare con il GDPR

Firma e GDPR sono strettamente collegati: ogni busta contiene dati personali (nome, email, IP, telefono). Assicurati che il tuo registro dei trattamenti (art. 30 GDPR) includa la firma elettronica, che i periodi di conservazione siano coerenti (10 anni) e che siano realizzabili i diritti delle persone fisiche (accesso, rettifica, portabilità). Se richiedi molte firme, si consiglia un DPO. Vedi il nostro articolo /blog/signature-electronique-rgpd.

Punto 8: identificare i firmatari a monte

Per un AES solido, l'identificazione non inizia con la firma: inizia con la raccolta dei dati. Controlla le e-mail (nessun alias, nessuna mailing list), i numeri di telefono (nessuna linea condivisa) e tieni traccia della fonte di identificazione (ID per contratti pesanti, KYC del cliente esistente per contratti in corso). Questa due diligence rende le prove solide in caso di controversia.

Punto 9: allenare le squadre

I tuoi team di vendita, risorse umane e legali devono comprendere le regole: non forzare mai un firmatario a utilizzare un dispositivo di terze parti, non restituire mai un PDF firmato modificato, non incollare mai un'immagine della firma scansionata al posto di una firma reale. Un'ora di allenamento per squadra è sufficiente per instillare buoni riflessi. Certyneo fornisce una guida completa da condividere internamente (/resources).

Punto 10: verificare i contratti dei fornitori di servizi

La CGU/CGV del fornitore di servizi di firma deve: avviare la compliance eIDAS, specificare i periodi di archiviazione, includere un contratto di subappalto GDPR (art. 28), documentare i subappaltatori, fornire un piano di reversibilità in caso di cessazione. Richiedi anche SOC 2 Tipo II o equivalente se tratti grandi volumi. Per Certyneo, questi documenti sono disponibili su /legal e /security.

Punto 11: preparare eIDAS 2.0 e il portafoglio EUDI

Il regolamento eIDAS 2.0 (UE 2024/1183) entra in vigore gradualmente e impone agli Stati membri di implementare un portafoglio EUDI entro la fine del 2026. Questo portafoglio di identità digitale consentirà in particolare l'accesso al QES da remoto senza un ufficio di registrazione fisico. Prepara la tua PMI: verifica che il tuo fornitore di servizi disponga di una roadmap EUDI Wallet, segui le comunicazioni di ANSSI e della Commissione Europea. Vedi /blog/eidas-2-nouveau-reglement-2026.

Punto 12: audit annuale

La conformità non è uno status acquisito: è un processo continuo. Pianificare un audit annuale (interno o esterno) per verificare: cambiamenti normativi, sviluppi dei fornitori di servizi, mappatura aggiornata delle tipologie contrattuali, effettiva fidelizzazione, formazione dei nuovi assunti. Un audit leggero richiede mezza giornata per una PMI ed evita molte sorprese. Inizia creando un account Certyneo gratuito su certyneo.com/signup per testare la conformità nel mondo reale, quindi consulta la nostra guida eIDAS per approfondire (/guide/eidas).