eIDAS 2 Portafoglio Identità Digitale : Guida 2026

L'entrata in vigore del regolamento eIDAS 2 segna una svolta storica per la gestione dell'identità digitale in Europa. Con l'EUDI Wallet — European Digital Identity Wallet — ogni cittadino e ogni azienda disporrà presto di un portafoglio digitale sovrano, interoperabile e riconosciuto nei 27 Stati membri. Per i dipartimenti legali, risorse umane, conformità e direttori sistemi informativi, questo progetto normativo apre tante opportunità quanti sfide operative. Questo articolo decrittografa il funzionamento tecnico e giuridico dell'EUDI Wallet, le sue implicazioni concrete per le imprese e il modo in cui si articola con le soluzioni di firma elettronica qualificata già in vigore.

Che cosa è eIDAS 2 e l'EUDI Wallet ?

Dal regolamento eIDAS 1.0 al regolamento eIDAS 2.0 : un'evoluzione strutturale

Adottato nel 2014, il regolamento eIDAS n°910/2014 ha posto le basi della fiducia digitale in Europa : firme elettroniche qualificate, sigilli, marcature temporali e servizi di autenticazione. Ma un decennio dopo, i suoi limiti sono emersi : interoperabilità insufficiente tra Stati membri, adozione diseguale delle identità digitali nazionali, assenza di un portafoglio unificato. Il regolamento (UE) 2024/1183, detto eIDAS 2, ufficialmente adottato l'11 aprile 2024 nella Gazzetta ufficiale dell'UE, corregge queste lacune imponendo un quadro comune di identità digitale sovrana.

Per approfondire l'intero nuovo quadro normativo, consultare la nostra guida completa sul regolamento eIDAS 2.0.

L'EUDI Wallet : architettura e principi fondanti

L'EUDI Wallet (European Digital Identity Wallet) è un'applicazione mobile e/o software che ogni Stato membro deve mettere a disposizione dei suoi cittadini e residenti entro il 2026, in conformità all'articolo 5a del regolamento riveduto. Concretamente, questo portafoglio digitale consente di :

• Archiviare e presentare attributi d'identità verificati : documento d'identità, patente di guida, diplomi, accreditamenti professionali, numero IVA intracomunitario per le persone giuridiche.
• Autenticare l'utente presso servizi pubblici e privati a elevati livelli di garanzia (LoA High secondo l'allegato I del regolamento).
• Firmare elettronicamente documenti con un livello qualificato, basandosi su Qualified Electronic Signature Creation Devices (QSCD) certificati.
• Condividere selettivamente i dati (principio di selective disclosure) senza rivelare più informazioni del necessario — un apporto importante per la conformità RGPD.

L'architettura si basa sulle specifiche tecniche pubblicate dalla Commissione europea tramite l'Architecture and Reference Framework (ARF), mantenuto dal consorzio EUDIW (European Digital Identity Wallet). I formati di presentazione adottati includono in particolare ISO/IEC 18013-5 (mDL — mobile Driver's Licence) e SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), due standard aperti che garantiscono la portabilità.

Chi è interessato ? Aziende relying parties (Relying Parties)

Il regolamento eIDAS 2 introduce il concetto di Relying Party (parte utilizzatrice). Qualsiasi organizzazione — azienda privata, amministrazione, piattaforma online — che accetta attributi d'identità provenienti dall'EUDI Wallet deve registrarsi presso il suo Stato membro e rispettare un insieme di obblighi tecnici e di sicurezza. L'articolo 5b del regolamento precisa che le grandi piattaforme (ai sensi del DSA) e alcuni settori (banca, sanità, energia) saranno obbligati ad accettare l'EUDI Wallet sin dall'avvio in produzione nazionale.

Funzionamento tecnico dell'EUDI Wallet per le imprese

Il flusso d'autenticazione e firma passo dopo passo

Comprendere il flusso tecnico è indispensabile per anticipare l'integrazione nei sistemi informativi. Un scenario tipico di firma di contratto tramite EUDI Wallet si svolge così :

1. Inizializzazione : la Relying Party (es. : la vostra piattaforma SaaS) genera una richiesta di presentazione conforme al protocollo OpenID4VP (OpenID for Verifiable Presentations).
2. Notifica : l'utente riceve una notifica sul suo EUDI Wallet mobile.
3. Consenso e selezione : l'utente sceglie gli attributi da condividere (nome, cognome, data di nascita) tramite l'interfaccia selective disclosure.
4. Presentazione verificabile : il wallet genera una prova crittografica firmata dal Trusted Issuer (lo Stato membro o un prestatore accreditato).
5. Verifica : la Relying Party verifica la prova tramite il registro di fiducia europeo (Trust Framework), senza archiviare dati superflui.
6. Firma qualificata : se è richiesto un atto di firma, l'QSCD incorporato nel wallet o ospitato nel cloud (QSign) produce una firma qualificata conforme all'ETSI EN 319 132.

Questo flusso garantisce un livello di garanzia LoA High, il più elevato previsto dal regolamento, equivalente a una verifica faccia a faccia.

Integrazione con le piattaforme di firma elettronica esistenti

Gli editori di soluzioni di firma elettronica devono integrare i protocolli OpenID4VCI (rilascio) e OpenID4VP (presentazione) per connettersi all'ecosistema EUDI. Per le aziende che utilizzano già una piattaforma conforme eIDAS 1.0, il passaggio a eIDAS 2 comporta un aggiornamento tecnico di versione, ma preserva il valore giuridico delle firme già realizzate. È quindi strategico valutare la roadmap del vostro fornitore attuale, soprattutto se intendete migrare da DocuSign o YouSign verso una soluzione più conforme.

Identità digitale delle persone giuridiche : la sfida aziendale

EIDAS 2 non si limita alle persone fisiche. L'articolo 5a §3 prevede esplicitamente wallet per persone giuridiche, che permettono alle aziende di :

• Provare la loro esistenza legale (equivalente di un certificato di iscrizione al registro del commercio digitale verificabile).
• Delegare poteri di firma ai loro collaboratori in modo verificato e revocabile.
• Automatizzare la verifica KYB (Know Your Business) nei processi contrattuali B2B.

Questa dimensione è particolarmente trasformativa per i processi di firma elettronica in azienda, in particolare nei settori HR, legale e finanziario.

Calendario di implementazione e obblighi normativi 2024-2026

Fasi di attuazione secondo il regolamento

Il regolamento (UE) 2024/1183 fissa un calendario vincolante :

• Aprile 2024 : pubblicazione sulla Gazzetta ufficiale, entrata in vigore 20 giorni dopo.
• Fine 2024 : pubblicazione degli atti di esecuzione (Implementing Acts) che definiscono le specifiche tecniche obbligatorie.
• 2025 : implementazione dei wallet pilota nazionali (progetti large-scale pilots : EU Digital Identity Wallet Large Scale Pilots, finanziati con 46 milioni di euro dalla Commissione).
• Fine 2026 : messa a disposizione obbligatoria da parte di tutti gli Stati membri di almeno un EUDI Wallet operativo. Le grandi piattaforme e i settori regolamentati dovranno accettarlo.

Per le aziende francesi, l'implementazione si appoggia sull'identità digitale La Poste e sui lavori dell'ANSSI riguardanti la certificazione dei Trusted Issuers nazionali.

Obblighi per le Relying Parties

Le aziende che desiderano o devono accettare l'EUDI Wallet sono soggette a diversi obblighi :

1. Registrazione presso l'autorità nazionale competente (in Francia, l'ANSSI e la CNIL a seconda dei casi).
2. Conformità tecnica alle specifiche dell'ARF v2.x pubblicate su GitHub dalla Commissione europea.
3. Trasparenza : pubblicare in un registro pubblico gli attributi richiesti e la finalità del trattamento.
4. Minimizzazione dei dati : richiedere solo gli attributi strettamente necessari — obbligo rafforzato dal RGPD.
5. Registrazione : conservare i log delle presentazioni verificabili per audit, senza archiviare i dati d'identità grezzi.

Le aziende che integrano l'EUDI Wallet nei loro flussi di firma elettronica per gli studi legali o per la gestione HR beneficeranno di un vantaggio competitivo significativo a partire dal 2026.

Problemi strategici e opportunità per le imprese

Riduzione degli attriti nei processi KYC/KYB

Uno dei benefici più immediati dell'EUDI Wallet è l'eliminazione delle verifiche d'identità manuali. Oggi, l'onboarding di un nuovo cliente o partner comporta l'invio di giustificativi, verifiche umane e tempi di elaborazione. Con l'EUDI Wallet, la verifica diventa istantanea, certificata crittograficamente e verificata. I settori bancario, immobiliare e assicurativo — soggetti agli obblighi di AML-CFT — vi vedono un'opportunità importante di conformità automatizzata. Il settore della firma elettronica immobiliare è particolarmente impattato, con processi di verifica dell'identità che oggi rappresentano fino al 40 % del tempo amministrativo.

Sovranità digitale e riduzione della dipendenza dai GAFAM

L'EUDI Wallet risponde a un'ambizione politica forte : ridurre la dipendenza dei cittadini europei da sistemi d'identità gestiti da attori non-europei (Google, Apple, Meta). Per le aziende, ciò si traduce in un'infrastruttura di autenticazione interoperabile, aperta e non catturante, basata su standard ISO e W3C piuttosto che su SDK proprietari. Questa sovranità è anche un argomento commerciale di differenziazione nelle procedure di gara pubblica, sempre più sensibili alle clausole di localizzazione dei dati.

Impatto sulla firma elettronica qualificata e sui QTSP

I Prestatori di Servizi di Fiducia Qualificati (QTSP — Qualified Trust Service Providers) vedono il loro ruolo evolversi. Con l'EUDI Wallet, gli QSCD possono essere ospitati direttamente nel wallet o delegati a un QTSP cloud (Remote Qualified Signature). Per le aziende, ciò significa che la firma qualificata — fino ad ora riservata ai casi più critici a causa della sua complessità — diventa accessibile e scalabile. Il nostro confronto delle soluzioni di firma elettronica integra ormai questo criterio di compatibilità EUDI Wallet nella sua analisi.

Quadro normativo applicabile all'EUDI Wallet e alle aziende

Regolamento eIDAS 2 : (UE) 2024/1183

Il testo fondamentale è il regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio dell'11 aprile 2024, che modifica il regolamento eIDAS n°910/2014. È direttamente applicabile in tutti gli Stati membri senza trasposizione legislativa nazionale, il che garantisce un'uniformità giuridica europea. Gli articoli 5a a 5c definiscono gli obblighi relativi all'EUDI Wallet, i livelli di garanzia e i diritti degli utenti. L'articolo 46f introduce gli obblighi specifici per le Relying Parties dei settori regolamentati.

Codice civile francese : articoli 1366 e 1367

Nel diritto francese, la firma elettronica qualificata prodotta tramite un EUDI Wallet beneficia della presunzione di affidabilità prevista dall'articolo 1367 del Codice civile : « La firma elettronica consiste nell'uso di un metodo affidabile di identificazione che garantisce il suo legame con l'atto cui è allegata. » L'affidabilità è presunta quando la firma è qualificata ai sensi di eIDAS. L'articolo 1366 assimila lo scritto elettronico allo scritto cartaceo a condizione che il suo autore sia identificato e che l'integrità sia garantita — due condizioni che l'EUDI Wallet soddisfa nativamente.

RGPD n°2016/679 : articolazione con la minimizzazione dei dati

Il regolamento (UE) 2016/679 (RGPD) si applica pienamente alle Relying Parties che trattano attributi d'identità provenienti dall'EUDI Wallet. I principi di minimizzazione dei dati (art. 5 §1c), di limitazione della finalità (art. 5 §1b) e di privacy by design (art. 25) devono essere integrati sin dalla progettazione dell'integrazione tecnica. La selective disclosure nativa dell'EUDI Wallet facilita tecnicamente la conformità, ma l'azienda rimane responsabile (art. 24) della documentazione delle sue basi legali di trattamento.

Norme ETSI e standard tecnici

La firma qualificata prodotta tramite EUDI Wallet deve rispettare le norme ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) e ETSI EN 319 162 (PAdES) per i formati di firma elettronica avanzata e qualificata. Le politiche di certificazione sono definite nell'ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Gli atti di esecuzione della Commissione precisano i requisiti di certificazione dei Trusted Issuers (norma ISO/IEC 27001 e criteri comuni EAL 4+).

Direttiva NIS2 : (UE) 2022/2555

Gli operatori dell'infrastruttura EUDI Wallet (Stati membri, Trusted Issuers, QTSP) sono soggetti agli obblighi della direttiva NIS2 (UE) 2022/2555, recepita in Francia dalla legge n°2023-703. Per le aziende utilizzatrici, NIS2 impone obblighi di gestione dei rischi correlati a fornitori terzi (art. 21 §2d), che include i fornitori di soluzioni che integrano l'EUDI Wallet. Un'analisi d'impatto dei rischi della catena di approvvigionamento digitale è quindi consigliata prima di qualsiasi implementazione.

Scenari di utilizzo dell'EUDI Wallet in azienda

Scenario 1 : Studio legale — verifica dell'identità e firma di incarichi

Uno studio legale specializzato in diritto commerciale con una ventina di collaboratori tratta ogni mese diverse centinaia di incarichi, lettere di missione e procure. Attualmente, la verifica d'identità dei clienti comporta l'invio di giustificativi via email, una verifica manuale da parte dell'assistente legale e un ritardo medio di 48 ore. Con l'integrazione dell'EUDI Wallet come meccanismo di autenticazione, il cliente presenta la sua carta d'identità digitale dal suo wallet in meno di 90 secondi. La firma qualificata viene prodotta immediatamente, senza ulteriori difficoltà. Sulla base dei feedback osservati nei pilot large-scale condotti tra il 2023 e il 2025, questo tipo di flusso riduce il tempo di elaborazione dell'onboarding cliente del 60-75 % ed elimina i rischi di errori di battitura o documenti scaduti. Lo studio guadagna anche in conformità AML-CFT, gli attributi d'identità essendo crittograficamente certificati da uno Stato membro.

Scenario 2 : PMI industriale — gestione dei contratti fornitori e deleghe di firma

Una PMI industriale con circa cento dipendenti gestisce approssimativamente 300 contratti fornitori all'anno, coinvolgendo responsabili acquisti distribuiti su tre siti. La gestione delle deleghe di firma è oggi documentata su carta ed è difficile da verificare. Con l'EUDI Wallet aziendale (persona giuridica), la direzione può assegnare attributi di delegazione verificabili a ogni responsabile acquisti : plafond di impegno, ambito geografico, durata di validità. Questi attributi sono archiviati nel wallet del collaboratore e presentati automaticamente in ogni atto di firma. In caso di partenza o cambio di posizione, la revoca è istantanea e verificata. Questo meccanismo riduce i rischi di controversie contrattuali legate a firme non autorizzate e migliora la tracciabilità per gli audit interni. I dipartimenti finanziari generalmente constatano una riduzione del 30-40 % del tempo dedicato alla gestione e verifica dei poteri di firma.

Scenario 3 : Ospedale pubblico — consenso del paziente e accesso ai dati sanitari

Un raggruppamento ospedaliero che comprende più strutture e circa 1 500 operatori sanitari affronta sfide sempre più complesse relative al consenso del paziente, in particolare per l'accesso ai fascicoli medici condivisi tramite Mon Espace Santé. L'integrazione dell'EUDI Wallet come meccanismo di consenso informato consente al paziente di convalidare, dal suo smartphone, l'accesso ai suoi dati da parte di uno specialista medico, specificando la durata e l'ambito dell'accesso. La selective disclosure garantisce che solo gli attributi medici rilevanti siano condivisi. Per gli operatori sanitari, il wallet fornisce il loro numero RPPS (Repertorio Condiviso dei Professionisti Sanitari) come attributo verificabile, eliminando i processi di verifica manuale attuali. Questo tipo di implementazione, coerente con il quadro dello Spazio Europeo dei Dati Sanitari (EHDS), può ridurre i tempi di accesso ai dati sanitari autorizzati da più ore a pochi secondi. Per ulteriori informazioni sulle sfide specifiche del settore, la nostra guida sulla firma elettronica nel settore sanitario dettagli i vincoli normativi applicabili.

Conclusione

L'EUDI Wallet e il regolamento eIDAS 2 costituiscono la trasformazione più significativa dell'identità digitale europea dall'ultimo decennio. Per le imprese, la sfida non è solo conformarsi a una nuova norma, ma cogliere un'opportunità per modernizzare profondamente i propri processi di firma, onboarding e gestione delle deleghe. I settori legale, HR, sanità e industriale sono in prima linea. La chiave del successo risiede nell'anticipazione : valutare sin d'ora la compatibilità dei vostri strumenti attuali, formare i vostri team e scegliere partner la cui roadmap sia allineata a eIDAS 2.

Certyneo accompagna le imprese in questa transizione con una piattaforma di firma elettronica progettata per essere compatibile con EUDI Wallet sin dal suo implementazione. Scopri le nostre offerte e inizia gratuitamente per anticipare il 2026 con totale serenità.