Certificazione eIDAS 2 per prestatori di firma: guida completa 2026

Perché la certificazione eIDAS 2 cambia le regole per i prestatori

Dal 11 aprile 2024, quando il regolamento (UE) 2024/1183 — comunemente chiamato eIDAS 2 — è entrato in vigore, i prestatori di servizi fiduciari (PSC) operanti nell'Unione europea si trovano di fronte a un quadro normativo profondamente rimaneggiato. La revisione del regolamento eIDAS originale del 2014 non si limita ad ampliare l'ambito dei servizi riconosciuti: indurisce notevolmente le condizioni di accreditamento, introduce nuovi livelli di garanzia e rafforza i requisiti di vigilanza degli organismi di controllo nazionali. Per qualsiasi attore che desideri offrire servizi di firma elettronica qualificata (QES) o avanzata (AdES) sul mercato europeo, comprendere come ottenere una certificazione eIDAS 2 per prestatore di firma non è più un'opzione — è un obbligo strategico.

Questo articolo fornisce una panoramica esaustiva del percorso di certificazione: testi applicabili, norme tecniche da rispettare, ruolo degli organismi di valutazione della conformità (CAB), termini realistici e punti di attenzione operazionali.

---

Il nuovo panorama normativo eIDAS 2: cosa è cambiato

Dal regolamento 910/2014 al regolamento 2024/1183: le principali evoluzioni

Il regolamento eIDAS originale (n. 910/2014) aveva gettato le fondamenta di un mercato unico europeo della fiducia digitale. Definiva tre livelli di firma — semplice, avanzata e qualificata — e obbligava i prestatori qualificati a figurare negli elenchi di fiducia nazionali (TSL, Trust Service Lists). eIDAS 2 conserva questa architettura ma l'arricchisce su diversi punti strutturali:

• Estensione dei servizi qualificati: conservazione elettronica qualificata, attestazioni elettroniche di attributi (AEA), gestione remota di dispositivi di creazione di firma qualificata (QSCD). Questi nuovi servizi sono ora soggetti alla stessa procedura di accreditamento della firma qualificata.
• Il portafoglio europeo di identità digitale (EUDIW): i prestatori che desiderano interagire con il futuro portafoglio di identità devono dimostrare la conformità alle specifiche tecniche pubblicate dalla Commissione (ARF — Architecture and Reference Framework, v1.4, 2024).
• Rafforzamento della supervisione: le autorità di supervisione nazionali (in Francia, l'ANSSI) dispongono di poteri di indagine e ingiunzione rafforzati. I PSC qualificati possono essere soggetti a audit inopinati.
• Riduzione dei tempi di notifica: qualsiasi incidente di sicurezza significativo deve essere notificato all'autorità competente entro 24 ore (contro 72 ore nella versione precedente per alcuni incidenti).

Per una visione d'insieme del regolamento, la guida eIDAS 2.0 di Certyneo offre una sintesi pedagogica di tutte queste evoluzioni.

I livelli di garanzia e le loro implicazioni per la certificazione

La distinzione tra firma elettronica avanzata e qualificata rimane il fulcro del sistema. Solo la QES beneficia di una presunzione legale di integrità e imputabilità equivalente alla firma autografa (art. 25 del regolamento eIDAS 2). Questa presunzione è direttamente condizionata alla certificazione del prestatore.

| Livello | Valore probante | Requisito prestatore | |---|---|---| | Semplice (SES) | Limitato | Nessuno | | Avanzato (AdES) | Significativo | Buone pratiche + norme ETSI | | Qualificato (QES) | Massimo (presunzione legale) | Certificazione eIDAS 2 obbligatoria |

---

Il processo di certificazione eIDAS 2 passo dopo passo

Fase 1 — Prerequisiti organizzativi e tecnici

Prima di avviare formalmente il processo di certificazione, un prestatore deve valutare il suo livello di maturità su tre assi:

1. Conformità alle norme ETSI Le norme della serie EN 319 costituiscono la base tecnica incontournable. Le principali sono:

• ETSI EN 319 401: requisiti generali per i prestatori di servizi fiduciari
• ETSI EN 319 411-1 e 411-2: politiche e requisiti per le autorità di certificazione che rilasciano certificati (profili PTC-QC per le certificazioni qualificate)
• ETSI EN 319 421: politica e requisiti per i prestatori di servizi di marcatura temporale
• ETSI EN 319 132: formati di firma XAdES (XML) e serie associate CAdES (CMS) e PAdES (PDF)

La conformità a queste norme non è facoltativa per i prestatori qualificati: è esplicitamente richiesta dagli atti di esecuzione della Commissione europea.

2. Sicurezza dei sistemi informativi I QSCD (dispositivi di creazione di firma qualificata) devono essere certificati secondo i Common Criteria (CC) EAL4+ o equivalente. Per le soluzioni di firma remota — modello dominante in SaaS — i requisiti riguardano anche i moduli HSM (Hardware Security Module) e le procedure di gestione delle chiavi crittografiche (conformità FIPS 140-2 livello 3 minimo).

3. Politica di sicurezza (PSSI) e gestione dei rischi Il fascicolo di certificazione richiede una PSSI formalizzata, allineata a ISO/IEC 27001 (la cui certificazione è fortemente consigliata e talvolta richiesta dai CAB) e che integri i requisiti NIS2 per le entità qualificate come "importanti" o "essenziali".

Fase 2 — Scelta e coinvolgimento di un organismo di valutazione della conformità (CAB)

In Francia, i CAB accreditati dal COFRAC (Comité Français d'Accréditation) per valutare i prestatori di servizi fiduciari sono pochi. A titolo di esempio, LSTI (Laboratoire de Sécurité des Technologies de l'Information) e Bureau Veritas Certification figurano tra gli operatori riferiti. A livello europeo, ogni Stato membro pubblica l'elenco dei propri CAB notificati.

Il ruolo del CAB è condurre un audit di conformità in due fasi:

1. Revisione documentale (Fase 1): esame delle politiche, delle procedure, della Dichiarazione delle Pratiche di Certificazione (DPC / CPS) e delle prove tecniche.
2. Audit in loco (Fase 2): verifica dei controlli operativi, test di penetrazione, colloqui con i team.

La durata totale di un audit CAB varia generalmente da 4 a 8 settimane a seconda della maturità precedente del candidato.

Fase 3 — Istruzione da parte dell'autorità di supervisione nazionale

In Francia, è l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) che istruisce le richieste di iscrizione nell'elenco di fiducia nazionale (TSL FR). Sulla base della relazione di audit CAB, l'ANSSI conduce la sua analisi e può richiedere integrazioni o misure correttive.

Il termine regolamentare per l'istruzione è di 3 mesi a partire dalla ricezione di un fascicolo completo (art. 17 del regolamento eIDAS 2). In pratica, i termini effettivi sono spesso più lunghi se il fascicolo iniziale è incompleto.

Una volta iscritto sulla TSL nazionale, il prestatore è automaticamente referenziato nell'EUTL (EU Trusted List), pubblicata dalla Commissione europea, il che gli conferisce un riconoscimento transfrontaliero immediato nei 27 Stati membri.

Fase 4 — Mantenimento della qualificazione e rinnovo

La certificazione eIDAS 2 non è definitiva. I prestatori qualificati sono soggetti a:

• Un audit di sorveglianza annuale condotto dal CAB
• Un audit di rinnovo completo ogni 24 mesi (ciclo più breve rispetto alla pratica precedente)
• Controlli inopinati possibili su iniziativa dell'ANSSI

Qualsiasi modifica sostanziale dell'infrastruttura (cambio di HSM, evoluzione della PKI, nuovo servizio qualificato) attiva una procedura di notifica preventiva e può imporre un audit parziale.

---

Costi, termini e fattori di rischio: cosa i DSI devono anticipare

Budget e risorse umane

Il costo di una prima certificazione eIDAS 2 è significativo. Le voci di spesa includono:

• Audit CAB: tra 40 000 € e 120 000 € a seconda della complessità dell'ambito
• Adeguamento tecnico (HSM, PKI, QSCD certificati CC): da 80 000 € a diverse centinaia di migliaia di euro per un'infrastruttura proprietaria
• Certificazione ISO 27001 (consigliata in via preliminare): 15 000 a 50 000 € a seconda della dimensione
• Onorari legali e redazione DPC: 10 000 a 30 000 €
• Costi interni: mobilizzazione di un team dedicato (RSSI, DPO, responsabile conformità) per 12-18 mesi

Sommando tutti questi costi, una certificazione completa rappresenta un investimento globale dell'ordine di 200 000 - 500 000 € per un prestatore di taglia intermedia, esclusi i costi ricorrenti di mantenimento.

Fattori di rischio operazionali

Le cause più frequenti di fallimento o ritardo nei processi di certificazione sono:

1. Una DPC insufficientemente dettagliata: la Dichiarazione delle Pratiche di Certificazione deve documentare ogni controllo con una granularità talvolta sottovalutata.
2. Lacune nella gestione del ciclo di vita delle chiavi: revoca, archiviazione, distruzione delle chiavi private.
3. Una governance degli incidenti insufficiente: assenza di SIEM, di procedure di gestione delle crisi testate, di runbook.
4. La sottovalutazione di NIS2: da ottobre 2024, i PSC qualificati sono automaticamente classificati come entità "importanti" ai sensi della direttiva NIS2, con obblighi di dichiarazione e gestione dei rischi supplementari.

Per le aziende che preferiscono delegare questi vincoli a un prestatore già certificato piuttosto che costruire la propria infrastruttura, il comparativo delle soluzioni di firma elettronica disponibile su Certyneo aiuta a oggettivare questa scelta di build-vs-buy.

---

eIDAS 2 e firma elettronica in azienda: sfide di transizione

Per le aziende utenti — in opposizione ai prestatori — la certificazione eIDAS 2 del loro fornitore SaaS di firma è un criterio di selezione ormai imprescindibile. Integrare negli inviti a gara una clausola che richiede la presenza sulla TSL nazionale è diventata una pratica standard nei settori regolamentati (finanza, sanità, immobiliare).

La firma elettronica in azienda richiede infatti di distinguere chiaramente i casi d'uso che richiedono una QES — atti sotto firma privata ad alto valore, mandati, atti notarili elettronici — da quelli in cui una AdES è sufficiente. Questa mappatura degli utilizzi condiziona direttamente il livello di servizio contrattualmente esigibile dal prestatore.

Le organizzazioni che migrano da una soluzione esistente verso un prestatore certificato eIDAS 2 devono anche anticipare la portabilità degli archivi probanti. La guida sulla migrazione da DocuSign o YouSign a Certyneo illustra le buone pratiche per preservare il valore probante dei documenti già sottoscritti durante la transizione.

Quadro legale applicabile alla certificazione eIDAS 2

Testi fondamentali

La certificazione dei prestatori di servizi fiduciari si basa su un impilamento normativo denso che conviene padroneggiare nella sua interezza:

Regolamento (UE) 2024/1183 dell'11 aprile 2024 (eIDAS 2): testo di riferimento che abroga e sostituisce le disposizioni corrispondenti del regolamento 910/2014. Definisce le condizioni per ottenere e mantenere lo status di prestatore qualificato, gli obblighi di supervisione nazionale e i requisiti relativi ai nuovi servizi (EUDIW, AEA).

Regolamento (UE) n. 910/2014 (eIDAS 1): ancora parzialmente applicabile per le disposizioni non modificate; gli atti di esecuzione e delegati adottati secondo questo regolamento rimangono in vigore fino alla loro revisione formale.

Codice civile francese, articoli 1366 e 1367: l'articolo 1366 pone il principio di equivalenza della firma elettronica alla firma autografa a condizione di affidabilità; l'articolo 1367 precisa che l'affidabilità è presunta fino a prova contraria quando viene utilizzata la firma qualificata. Queste disposizioni nazionali si articolano direttamente con la presunzione legale dell'art. 25 eIDAS 2.

Direttiva (UE) 2022/2555 (NIS2): recepita nel diritto francese dalla legge del 15 ottobre 2024, classifica automaticamente i prestatori di servizi fiduciari qualificati tra le entità importanti. Obblighi: dichiarazione all'ANSSI entro 72 ore per qualsiasi incidente significativo, implementazione di una gestione dei rischi cyber formalizzata, audit di sicurezza periodico.

Regolamento (UE) 2016/679 (RGPD): i prestatori di servizi di firma trattano dati personali sensibili (identità dei firmatari, log di audit). Il rispetto dei principi di minimizzazione, limitazione della conservazione e integrità impone un'analisi d'impatto (AIPD) specifica. La base giuridica del trattamento deve essere documentata per ogni servizio.

Norme tecniche a valore regolamentare

Gli atti di esecuzione della Commissione europea (in particolare la decisione di esecuzione (UE) 2015/1506 e le sue revisioni) designano le norme ETSI come presumibilmente conformi:

• ETSI EN 319 401: requisiti generali TSP
• ETSI EN 319 411-1 e 411-2: politiche di certificazione
• ETSI EN 319 421: marcatura temporale qualificata
• ETSI EN 319 132 / 122 / 102: formati AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servizi di firma remota

Rischi legali in caso di non conformità

L'utilizzo fraudolento o negligente dello status di prestatore qualificato espone a sanzioni amministrative pronunciate dall'ANSSI (sospensione, ritiro dall'elenco di fiducia) e a procedimenti penali (art. 226-17 del Codice penale per mancanza di sicurezza dei dati personali). Sul piano civile, la messa in discussione del valore probante delle firme emesse durante un periodo di non conformità può impegnare la responsabilità contrattuale del prestatore nei confronti dei suoi clienti.

Scenari di utilizzo: la certificazione eIDAS 2 in pratica

Scenario 1 — Un editore SaaS di taglia intermedia che mira alla qualificazione QES

Una società specializzata nella dematerializzazione documentale, che impiega circa cento collaboratori e gestisce diversi milioni di transazioni di firma all'anno per conto di clienti nei settori bancario e assicurativo, decide di richiedere la qualificazione eIDAS 2 per il suo servizio di firma elettronica. Fino ad allora, l'azienda offriva una firma avanzata basata su certificati (AdES), sufficiente per la maggior parte dei suoi contratti cliente, ma insufficiente per gli atti che richiedono un valore probante massimo (mandati SEPA, convenzioni di prova notarili).

Dopo un audit interno di 3 mesi che rivela circa quindici scostamenti maggiori rispetto ai requisiti ETSI EN 319 411-2, l'azienda avvia un programma di adeguamento su 14 mesi. I principali ambiti di intervento riguardano la sostituzione dei moduli HSM esistenti con moduli certificati FIPS 140-2 livello 3, la redazione di una DPC di 180 pagine e l'ottenimento della certificazione ISO 27001 prima dell'audit CAB. L'investimento totale raggiunge 340 000 €. Al termine del processo, l'iscrizione sulla TSL francese consente all'azienda di accedere a gare d'appalto da cui era sistematicamente esclusa, rappresentando un potenziale commerciale stimato al 20% di ricavi supplementari.

Scenario 2 — Un raggruppamento ospedaliero che integra la firma qualificata per atti medico-legali

Un raggruppamento ospedaliero di circa 1 200 posti letto desidera dematerializzare i suoi processi di consenso informato, delega di poteri medici e contratti di ricerca clinica. Questi documenti rientrano nella categoria degli atti per i quali la QES è richiesta o fortemente consigliata dai referenziali HAS e dal quadro normativo dei dati sanitari (art. L. 1110-4 CSP).

Anziché certificare un'infrastruttura interna — opzione giudicata troppo costosa e non core business — il raggruppamento opta per l'integrazione di un prestatore terzo già iscritto sulla TSL. L'IT unit realizza un audit di conformità del fornitore sulla base della lista di controllo ETSI EN 319 401 e verifica la presenza effettiva sull'EUTL prima di qualsiasi contrattualizzazione. Il deployment, realizzato in 4 mesi, riduce del 65% il tempo di raccolta delle firme sui dossier di ricerca clinica e elimina il rischio di contestazione legale legato all'utilizzo precedente di firme semplici per atti sensibili.

Scenario 3 — Uno studio legale specializzato in diritto commerciale che assicura i suoi atti in forma privata

Uno studio legale specializzato in diritto commerciale con una trentina di soci, che gestisce annualmente circa 400 operazioni di fusione e acquisizione e cessioni di aziende, cerca di garantire la validità della firma dei suoi atti in forma privata complessi. Il valore unitario delle transazioni gestite supera frequentemente il milione di euro e qualsiasi vizio di forma può impegnare la responsabilità professionale dello studio.

Dopo l'analisi, il team IT e il managing partner concordano sull'esigenza contrattuale minima di una QES emessa da un prestatore certificato eIDAS 2 per qualsiasi atto il cui valore superi 100 000 €. Il criterio di selezione del prestatore integra obbligatoriamente la verifica dell'iscrizione sulla TSL nazionale e la disponibilità di un certificato di conformità ETSI recente (meno di 12 mesi). Questo quadro consente allo studio di ridurre di oltre l'80% le richieste di perizia sulla validità delle firme durante eventuali controversie successive, secondo i feedback osservati presso strutture comparabili nel settore.

Conclusione

Ottenere una certificazione eIDAS 2 in qualità di prestatore di servizi di firma elettronica è un processo esigente, costoso e lungo — ma imprescindibile per qualsiasi attore che desideri offrire garanzie legali massime ai propri clienti sul mercato europeo. Tra l'adeguamento alle norme ETSI, il passaggio dell'audit CAB, l'istruzione da parte dell'ANSSI e il mantenimento della qualificazione nel tempo, il processo mobilia risorse sostanziali su 12-24 mesi.

Per le aziende utenti, la buona notizia è che non è necessario costruire questa infrastruttura internamente: scegliere un prestatore SaaS già certificato eIDAS 2 e iscritto nell'elenco di fiducia nazionale consente di beneficiare immediatamente della presunzione legale allegata alla QES, senza sostenere i costi di certificazione.

Certyneo è un prestatore di fiducia certificato, progettato per le aziende B2B che esigono rigore legale e semplicità d'uso. Scopri i nostri tariffe e avvia la tua prova gratuita oggi stesso.