eIDAS 2: il nuovo regolamento europeo spiegato nel 2026

Introduzione: perché eIDAS 2 cambia tutto per le aziende europee

Entrato in vigore il 20 maggio 2024 dopo una lunga gestazione legislativa, il regolamento eIDAS 2 — ufficialmente denominato Regolamento (UE) 2024/1183 — rappresenta la riforma più ambiziosa mai intrapresa nel campo dell'identificazione elettronica e dei servizi fiduciari in Europa. Abroga e sostituisce parzialmente il regolamento eIDAS iniziale del 2014 (n°910/2014), mantenendo al contempo la compatibilità ascendente con l'infrastruttura esistente. Per le aziende che ricorrono alla firma elettronica conforme eIDAS, questo rifacimento introduce nuovi obblighi, opportunità inedite e un calendario di conformità serrato fino al 2026 e oltre. Questo articolo decifra in profondità le disposizioni chiave del testo, le loro implicazioni operative e il modo in cui la vostra organizzazione può prepararsi.

---

Cosa il regolamento eIDAS 2 modifica fondamentalmente

Dal regolamento del 2014 alla versione 2024: una revisione strutturale

Il regolamento eIDAS originario del 2014 aveva gettato le basi del riconoscimento reciproco degli schemi di identificazione elettronica tra Stati membri e stabilito un quadro giuridico unificato per i servizi fiduciari (firma, sigillo, marcatura temporale, ecc.). Ma dieci anni dopo, i limiti erano evidenti: basso tasso di adozione degli eID notificati, frammentazione delle soluzioni nazionali, assenza di un portafoglio digitale universale per i cittadini, e soprattutto inadeguatezza agli usi del web (GAFAM esclusi dal quadro fiduciario).

eIDAS 2 corregge queste lacune su tre assi principali:

1. Il portafoglio europeo di identità digitale (EUDI Wallet) — ogni Stato membro deve offrire, al più tardi nel novembre 2026, un'applicazione di portafoglio digitale che permetta a ogni cittadino o residente europeo di conservare e presentare i propri attributi di identità (carta d'identità, patente di guida, diplomi, ecc.) in modo sicuro.
2. L'ampliamento dei servizi fiduciari qualificati — il testo aggiunge nuovi servizi qualificati: gestione dell'archiviazione elettronica qualificata (QESAP), rapporti di attributi di identità qualificati (QEAA), libri di conti elettronici qualificati (QLED) e gestione di dispositivi di creazione di firma a distanza (QRCD).
3. L'obbligo per le grandi piattaforme — i fornitori di servizi online di grandi dimensioni (reti sociali, marketplace) dovranno accettare il portafoglio EUDI per l'autenticazione degli utenti.

Il portafoglio EUDI Wallet: architettura e funzionamento

L'EUDI Wallet è al cuore di eIDAS 2. Concretamente, si tratta di un'applicazione software — fornita o certificata da ogni Stato membro — che si basa su un modello decentralizzato di presentazione selettiva degli attributi. L'utente trasmette solo i dati strettamente necessari alla transazione (principio di minimizzazione, conforme al RGPD).

Dal punto di vista tecnico, l'architettura si basa sulle specifiche dell'Architecture Reference Framework (ARF), pubblicato dalla Commissione europea e aggiornato regolarmente dal Large Scale Pilot (LSP) che riunisce quattro consorzi pilota (DC4EU, EWC, POTENTIAL, NOBID). I formati dati scelti sono principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantendo l'interoperabilità transfrontaliera.

Per le aziende, ciò significa che potranno, alla fine, verificare l'identità dei loro clienti o partner tramite il portafoglio senza gestire esse stesse la raccolta di documenti giustificativi — riducendo così considerevolmente gli attriti KYC (Know Your Customer) e i rischi di frode documentaria.

---

I livelli di garanzia e la gerarchia delle firme: cosa cambia

Mantenimento della gerarchia QES / AdES / SES

Il regime delle firme elettroniche rimane strutturato attorno a tre livelli definiti all'articolo 3 di eIDAS 2 (riprendendo la terminologia del 2014 ma precisando i requisiti tecnici):

• Firma elettronica semplice (SES): valore probatorio minimo, adatto agli atti ordinari.
• Firma elettronica avanzata (AdES): collegamento esclusivo al firmatario, possibilità di rilevare qualsiasi modifica successiva.
• Firma elettronica qualificata (QES): equivalente legale della firma autografa in tutta l'UE (articolo 25§2), emessa tramite un dispositivo qualificato di creazione di firma (QSCD) sulla base di un certificato qualificato.

La novità risiede nel modo in cui la QES può ora essere fornita tramite servizi di firma a distanza qualificati (QRCD), le cui condizioni di accreditamento sono precisate agli articoli 29a e 29b del testo rivisto. Ciò apre la strada a flussi 100% digitali per gli atti più esigenti — contratti notarili, atti autentici elettronici — senza necessità di una smart card fisica.

L'impatto sui fornitori di servizi fiduciari qualificati (QTSP)

I fornitori come Certyneo, che operano basandosi su QTSP certificati, devono anticipare i nuovi requisiti di audit introdotti da eIDAS 2. L'articolo 24 impone ora controlli rafforzati sulla catena di subappalto, e i requisiti di notifica degli incidenti di sicurezza si allineano esplicitamente a quelli della direttiva NIS2 (termine di 24 h per la notifica iniziale). Per approfondire il funzionamento dei diversi livelli di firma in un contesto B2B, consultate la nostra guida completa sulla firma elettronica in azienda.

---

Calendario di distribuzione e obblighi per le aziende nel 2025-2026

Le tappe chiave della distribuzione

Il regolamento (UE) 2024/1183 è stato pubblicato nella Gazzetta ufficiale dell'UE il 30 aprile 2024 ed è entrato in vigore il 20 maggio 2024. Gli atti di esecuzione e delegati — essenziali per precisare i requisiti tecnici — sono pubblicati progressivamente:

| Scadenza | Obbligo | |---|---| | Maggio 2024 | Entrata in vigore del regolamento | | Fine 2024 | Pubblicazione degli atti di esecuzione sull'ARF v2.0 | | Mid-2025 | Certificazione dei primi EUDI Wallets pilota | | Novembre 2026 | Disponibilità obbligatoria di un EUDI Wallet in ogni Stato membro | | 2027 | Accettazione obbligatoria da parte delle grandi piattaforme online |

Cosa le aziende B2B devono fare da subito

Per le aziende utenti di soluzioni di firma elettronica, tre priorità si impongono nel 2025-2026:

1. Verificare la propria catena di fiducia: assicurarsi che il proprio fornitore di firma sia effettivamente iscritto nell'elenco dei QTSP (Trusted List) del proprio Stato membro, e che i certificati utilizzati siano conformi alle nuove specifiche ETSI EN 319 401 e EN 319 411-1 riviste.

2. Anticipare l'integrazione dell'EUDI Wallet: le aziende che operano in settori regolamentati (banca, assicurazioni, sanità, immobiliare) saranno tra le prime interessate dai flussi di verifica dell'identità tramite portafoglio. Preparare le API di integrazione già nel 2025 è consigliato.

3. Rivedere le proprie politiche di conservazione: il nuovo servizio qualificato di archiviazione elettronica (QESAP) introduce standard di conservazione a lungo termine che possono imporsi in certi settori (appalti pubblici, settore farmaceutico). Il nostro calcolatore di ROI per la firma elettronica vi permette di valutare l'impatto finanziario di un aggiornamento della vostra infrastruttura documentaria.

---

Interoperabilità, RGPD e questioni di sovranità digitale

eIDAS 2 e RGPD: complementarità rafforzata

Uno dei progressi principali di eIDAS 2 è l'integrazione esplicita dei principi di protezione dei dati fin dalla progettazione (privacy by design) nell'architettura del portafoglio EUDI. L'articolo 5a§14 dispone che il portafoglio non permette ai fornitori di tracciare il comportamento dell'utente durante le transazioni. Gli emittenti di attributi di identità qualificati (QEAA) non sono informati dell'utilizzo che viene fatto delle attestazioni rilasciate — cosa che costituisce una rottura importante con i modelli centralizzati attuali.

Questa architettura è qualificata come unlinkability (non-correlabilità): due transazioni distinte effettuate dallo stesso utente non possono essere collegate senza il suo consenso. Questa garanzia supera i requisiti minimi del RGPD articolandosi perfettamente con esso.

La dimensione geopolitica: riprendere il controllo sull'identità online

eIDAS 2 risponde anche a una questione di sovranità. Oggi, l'autenticazione online si basa massicciamente sui pulsanti "Accedi con Google/Facebook/Apple", il che conferisce ai giganti tecnologici americani una posizione dominante nella gestione delle identità digitali europee. Imponendo alle piattaforme molto grandi (nel senso del Digital Services Act) di accettare l'EUDI Wallet come mezzo di autenticazione, eIDAS 2 crea un'alternativa interoperabile e sovrana.

Per le aziende B2B, ciò significa anche che la conformità eIDAS 2 può diventare un criterio di selezione fornitore negli appalti pubblici e privati — all'immagine di quello che oggi rappresenta la certificazione ISO 27001 nei processi di acquisto. Se la vostra organizzazione prevede di far evolvere la soluzione attuale, la nostra guida di migrazione da DocuSign o YouSign verso Certyneo dettaglia le tappe di una transizione controllata.

Quadro normativo applicabile a eIDAS 2 e alla firma elettronica

Testi di riferimento

Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio dell'11 aprile 2024, che modifica il regolamento (UE) n°910/2014 riguardante l'istituzione del quadro europeo relativo a un'identità digitale (eIDAS 2). Pubblicato nella GUUE il 30 aprile 2024, entrato in vigore il 20 maggio 2024.

Regolamento (UE) n°910/2014 (eIDAS 1): mantenuto in vigore per le sue disposizioni non modificate, in particolare gli articoli relativi ai livelli di garanzia "basso", "sostanziale" e "elevato" per gli schemi di identificazione notificati.

Codice civile francese, articoli 1366 e 1367: lo scritto elettronico ha la stessa forza probatoria dello scritto cartaceo a condizione che la persona da cui emana sia debitamente identificata e che il documento sia redatto in condizioni che garantiscono la sua integrità. La firma elettronica qualificata (QES) nel senso di eIDAS 2 soddisfa pienamente questi requisiti.

Regolamento (UE) 2016/679 (RGPD): il trattamento dei dati di identità nel contesto del portafoglio EUDI è soggetto ai principi di minimizzazione (art. 5§1c), di limitazione della finalità (art. 5§1b) e di protezione dei dati fin dalla progettazione (art. 25). I fornitori di servizi qualificati svolgono il ruolo di responsabili del trattamento distinti per le operazioni di verifica.

Direttiva (UE) 2022/2555 (NIS2): trasportata nel diritto francese dall'ordinanza n°2024-528 del 12 giugno 2024, impone ai fornitori di servizi fiduciari qualificati obblighi di gestione dei rischi informatici e di notifica degli incidenti entro 24 ore.

Norme ETSI:

• EN 319 132 (XAdES) e EN 319 122 (CAdES): formati avanzati di firma elettronica.
• EN 319 401: requisiti generali per i fornitori di servizi fiduciari.
• EN 319 411-1 e 411-2: politica e requisiti di sicurezza per le CA che emettono certificati qualificati.
• EN 319 521: requisiti per i servizi qualificati di conservazione di firme (QESAP).

Obblighi e rischi giuridici per le aziende

Qualsiasi azienda che utilizzi firme elettroniche in un contesto contrattuale deve assicurare che il livello di firma scelto sia adatto al valore e alla natura dell'atto. Per gli atti soggetti a un obbligo legale di firma (promesse di vendita, contratti di lavoro, ordini di fornitura che superano certi limiti), solo la QES o l'AdES basata su un certificato qualificato apporta la presunzione di affidabilità prevista dall'articolo 26 di eIDAS 2.

In caso di controversia, l'onere della prova si rovescia: se la firma è qualificata, spetta alla parte che contesta il documento provarne l'alterazione; se è semplice o avanzata senza certificato qualificato, l'onere della prova ricade sul firmatario che la invoca. Il mancato rispetto dei requisiti di tracciabilità e integrità può comportare la nullità dell'atto o l'inopponibilità della firma a un terzo.

Scenari di utilizzo: eIDAS 2 applicato alle aziende B2B

Scenario 1 — Uno studio di consulenza in trasformazione digitale (circa 80 consulenti)

Una struttura di consulenza che impiega i propri collaboratori presso clienti in più Stati membri (Francia, Germania, Paesi Bassi) deve fare sottoscrivere ogni mese ordini di missione, addendi contrattuali e verbali di collaudo. Prima di eIDAS 2, la gestione delle identità transfrontaliere generava attriti: rifiuto di alcuni clienti tedeschi di riconoscere certificati emessi da un QTSP francese, doppia autenticazione via email insufficiente per gli atti sensibili.

Con il dispiegamento del Portafoglio EUDI nel 2026, i consulenti potranno firmare dal loro portafoglio nazionale — riconosciuto pienamente in tutti gli Stati membri — senza alcun attrito. Lo studio stima una riduzione del 60-70% del tempo dedicato agli scambi di verifica documentaria prima della firma, ovvero circa 3-4 ore economizzate per consulente e al mese secondo i benchmark settoriali pubblicati da McKinsey Digital (2024).

Scenario 2 — Una PMI industriale che gestisce 350 contratti fornitori all'anno

Una PMI del settore delle apparecchiature industriali che lavora con una centinaia di fornitori europei e asiatici deve concludere contratti di ordine, accordi di riservatezza (NDA) e contratti quadro. Fino ad ora, il 30% di questi documenti tornava indietro senza firma valida o con ritardi superiori a 10 giorni lavorativi.

Adottando una soluzione di firma elettronica conforme eIDAS 2 con verifica dell'identità tramite attributi qualificati (QEAA), la PMI può imporre un flusso di firma dove l'identità del rappresentante legale del fornitore viene verificata automaticamente tramite il portafoglio EUDI, senza immissione manuale. Risultato atteso: riduzione del tempo medio di firma da 10 giorni a meno di 48 ore, e diminuzione del 40% delle controversie legate a firme non conformi, sulla base delle fasce osservate nei rapporti ELENIUS 2025 sulla dematerializzazione B2B.

Scenario 3 — Un gruppo immobiliare che gestisce compromessi di vendita in più paesi

Una rete di agenzie immobiliari operante in Francia, Spagna e Portogallo deve periodicamente far sottoscrivere pre-contratti tra venditori e acquirenti di nazionalità diverse. La QES è richiesta in certi contesti per garantire l'equivalenza con la firma autografa dinanzi a notaio.

Grazie a eIDAS 2 e all'interoperabilità dei portafogli EUDI, un acquirente portoghese può sottoscrivere un compromesso soggetto al diritto francese utilizzando il suo portafoglio nazionale, con un livello di garanzia "elevato" riconosciuto automaticamente dalla piattaforma di firma. Il gruppo riduce le spese di viaggio e di legalizzazione di circa 800-1.200 euro per fascicolo transfrontaliero, riducendo al contempo il tempo di conclusione dei pre-contratti da 3 settimane a 5 giorni in media. Per gli usi specifici al settore, la nostra pagina dedicata alla firma elettronica nel settore immobiliare dettaglia i workflow adattati.

Conclusione

eIDAS 2 non è un semplice aggiornamento normativo: è una rielaborazione profonda di come l'identità digitale e la fiducia elettronica funzionano in Europa. Il Portafoglio EUDI Wallet, i nuovi servizi qualificati, l'obbligo di interoperabilità e l'allineamento con NIS2 e il RGPD formano un ecosistema coerente che trasformerà i processi contrattuali e di autenticazione delle aziende entro la fine del 2026.

Per rimanere conformi e competitivi, le organizzazioni B2B devono agire da subito: verificare la propria catena di fiducia, scegliere un fornitore allineato con i nuovi requisiti e preparare i propri flussi documentari all'integrazione del portafoglio digitale europeo.

Certyneo vi accompagna in questa transizione con soluzioni di firma elettronica qualificata conformi eIDAS 2, pronte per il 2026. Richiedete una dimostrazione o create il vostro account su Certyneo per proteggere i vostri contratti da oggi.