eIDAS 2 vs eIDAS 1: cambiamenti chiave per le PMI

Introduzione: perché eIDAS 2 cambia le carte in tavola per le PMI

Dal 20 maggio 2024, il regolamento (UE) 2024/1183 — comunemente chiamato eIDAS 2 — è entrato in vigore, abrogando e sostituendo progressivamente il regolamento (UE) n. 910/2014 (eIDAS 1). Per le PMI francesi, questo cambiamento non è una semplice aggiornamento amministrativo: ridefinisce i livelli di fiducia digitale, introduce un portafoglio d'identità europeo (EUDIW), rafforza i requisiti applicabili ai fornitori di servizi di fiducia e amplia il campo dei servizi riconosciuti. Questo articolo confronta punto per punto eIDAS 1 e eIDAS 2, identifica gli impatti operativi concreti per le piccole e medie imprese, e vi fornisce un piano d'azione per rimanere conformi nel 2026.

---

1. Ricapitolazione: cosa ha stabilito eIDAS 1 (2014-2024)

1.1 I fondamenti del regolamento iniziale

Adottato a luglio 2014 e applicabile dal settembre 2016, eIDAS 1 ha gettato le prime basi di uno spazio di fiducia digitale europeo. Ha introdotto tre grandi categorie di firma elettronica — semplice (SES), avanzata (AdES) e qualificata (QES) — e ha creato l'elenco di fiducia dei fornitori qualificati (Trusted List), consultabile sul portale della Commissione europea.

Per le PMI, il contributo maggiore di eIDAS 1 era il riconoscimento transfrontaliero delle firme qualificate: un contratto firmato con una QES francese era riconosciuto legalmente in Germania, Spagna o Italia senza apostilla o formalità aggiuntive. Questo principio — detto di «non-discriminazione» — è rimasto il fondamento su cui offerte SaaS come Certyneo hanno costruito i loro servizi.

1.2 Le limitazioni identificate

Nonostante i suoi progressi, eIDAS 1 soffriva di diverse lacune documentate dalla Commissione europea nel suo rapporto di valutazione del 2021:

• Frammentazione degli schemi d'identità: solo gli Stati membri che avevano notificato il loro schema nazionale (come FranceConnect+ livello sostanziale) beneficiavano del riconoscimento reciproco. Nel 2023, solo 14 Stati su 27 avevano notificato uno schema conforme.
• Assenza di supporto mobile nativo: il dispositivo qualificato per la creazione della firma (QSCD) spesso richiedeva una smart card o un token hardware, frenando l'adozione mobile.
• Servizi di fiducia limitati: eIDAS 1 elencava nove tipi di servizi qualificati; i nuovi usi (archiviazione elettronica qualificata, gestione degli attributi) non erano regolamentati.
• Nessun portafoglio d'identità unificato: ogni cittadino o impresa gestiva i propri identificatori in modo silos, senza interoperabilità garantita.

Queste limitazioni hanno spinto la Commissione a lanciare la revisione già nel 2020, sfociando nel regolamento eIDAS 2 dopo tre anni di triloghi.

---

2. Le cinque grandi novità di eIDAS 2 per le PMI

2.1 Il portafoglio d'identità digitale europea (EU Digital Identity Wallet — EUDIW)

Questa è la novità più visibile del regolamento. Entro il mese di novembre 2026 (termine di attuazione fissato dall'articolo 5a), ogni Stato membro dovrà offrire almeno un portafoglio d'identità digitale certificato ai suoi cittadini e residenti. Per le PMI, questa evoluzione ha due conseguenze dirette:

1. Autenticazione semplificata di clienti e partner: il portafoglio permetterà di condividere attributi verificati (età, numero di partita IVA intracomunitaria, estratto del registro delle imprese, dati bancari certificati) senza attriti. Un accordo quadro con un partner tedesco potrà essere firmato dopo una verifica istantanea dei suoi attributi professionali dal suo EUDIW.
2. Obbligo di accettazione per alcuni settori: i servizi online delle grandi piattaforme (articolo 45bis) e alcuni servizi pubblici dovranno accettare l'EUDIW come mezzo di autenticazione. Le PMI che forniscono portali B2B dovranno adattare le loro API di autenticazione.

2.2 Estensione dell'elenco dei servizi di fiducia qualificati

eIDAS 2 estende il catalogo dei servizi di fiducia qualificati da 9 a 14 categorie. Le nuove voci che riguardano direttamente le PMI sono:

• L'archiviazione elettronica qualificata (art. 45septies): conservazione a lungo termine con valore probante rafforzato. Fino a ora, l'archiviazione con valore probante si basava su referenziali nazionali (in Francia, il referenziale SIAF/ANSSI); eIDAS 2 armonizza il quadro europeo.
• La gestione a distanza dei dispositivi qualificati per la creazione della firma (RQSCD): ora esplicitamente regolamentata, solleva le ambiguità che gravavano sulle soluzioni cloud di firma qualificata. Per una PMI di 50 dipendenti, questo significa accedere a una firma qualificata senza token fisico, da qualsiasi dispositivo.
• Il servizio di registro elettronico qualificato: i registri basati su blockchain o tecnologie di registro distribuito possono ora ottenere lo status qualificato, aprendo la strada a nuovi modelli di gestione contrattuale.

Per approfondire i livelli di firma e il loro valore legale, consultate la nostra guida completa alla firma elettronica.

2.3 Rafforzamento dei requisiti di sicurezza per i fornitori qualificati (QTSP)

eIDAS 2 irrigidisce gli obblighi dei fornitori di servizi di fiducia qualificati (QTSP). L'articolo 24 revisionato impone in particolare:

• Una certificazione di cybersicurezza conforme al quadro europeo (EU Cybersecurity Act, regolamento 2019/881), con schemi settoriali in corso di sviluppo dall'ENISA.
• Requisiti rafforzati in materia di resilienza operativa: i QTSP devono ora documentare il loro piano di continuità aziendale e sottoporlo al loro organismo di supervisione nazionale (in Francia, l'ANSSI per i fornitori qualificati).
• Un obbligo di notifica degli incidenti di sicurezza entro 24 ore (allineamento con NIS 2).

Per le PMI utenti, questo si traduce in un obbligo di due diligence accresciuta nella scelta del fornitore: verificare che la vostra soluzione di firma figuri bene nell'Elenco di fiducia europeo aggiornato è ora un passaggio critico del vostro processo di acquisto. Il nostro confronto delle soluzioni di firma elettronica può aiutarvi in questa analisi.

2.4 Interoperabilità obbligatoria degli schemi d'identità

Dove eIDAS 1 lasciava agli Stati membri la libertà di notificare (o no) il loro schema, eIDAS 2 rende la notifica e l'interoperabilità obbligatorie per gli schemi d'identità utilizzati nei servizi pubblici online (art. 5). France Identité — lo schema nazionale portato dal Ministero dell'Interno — è in corso di adeguamento alle specifiche tecniche dell'EUDIW, pubblicate dalla Commissione nel regolamento di esecuzione (UE) 2024/2977.

Per una PMI che interagisce regolarmente con amministrazioni pubbliche (appalti pubblici, teledichiariazioni fiscali, procedure doganali), questa evoluzione significa che le procedure online saranno progressivamente unificate attorno a un identificatore digitale unico e riconosciuto in tutta l'UE.

2.5 Nuove regole di responsabilità e supervisione

eIDAS 2 precisa ed estende i regimi di responsabilità dei fornitori (art. 13 revisionato). Un QTSP è ora presumibilmente responsabile di qualsiasi danno causato a una persona fisica o giuridica da un mancato adempimento dei suoi obblighi, salvo prova dell'assenza di colpa. Questa presunzione di responsabilità, rafforzata rispetto a eIDAS 1, deve spingere le PMI a:

• Formalizzare mediante contratto gli impegni del loro fornitore (SLA, garanzie di disponibilità, indennizzo).
• Verificare la copertura di assicurazione responsabilità civile professionale del QTSP.
• Conservare le prove di audit delle transazioni firmate (registri di marcatura temporale, rapporti di verifica della firma).

I nostri team hanno redatto una guida dettagliata sulla firma elettronica in azienda che affronta questi aspetti contrattuali.

---

3. Tabella comparativa eIDAS 1 vs eIDAS 2: cosa cambia concretamente

3.1 Sintesi delle evoluzioni maggiori

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Portafoglio identità | Assente | EUDIW obbligatorio (Stati membri) | | Servizi qualificati | 9 categorie | 14 categorie (archiviazione, RQSCD, registri…) | | Notifica schemi | Facoltativa | Obbligatoria per servizi pubblici | | Sicurezza QTSP | Criteri Common Criteria | Cybersecurity Act + schemi ENISA | | Responsabilità QTSP | Parziale | Presunzione di responsabilità rafforzata | | Termine notifica incidente | Non specificato | 24 ore (allineamento NIS 2) | | QSCD mobile | Ambiguità giuridica | RQSCD esplicitamente regolamentato |

3.2 I termini chiave da ricordare per il 2026

• Maggio 2024: entrata in vigore del regolamento (UE) 2024/1183.
• Novembre 2026: data limite affinché ogni Stato membro offra almeno una soluzione EUDIW certificata.
• 2027: obbligo per le grandi piattaforme (art. 45bis) di accettare l'EUDIW come mezzo di autenticazione.
• 2028: revisione prevista degli atti di esecuzione tecnici (regolamenti delegati sulle specifiche EUDIW).

Se la vostra PMI sta considerando la migrazione verso una soluzione più conforme, la nostra offerta di migrazione verso Certyneo include un audit di conformità eIDAS 2 offerto.

---

4. Piano d'azione pratico per mettere la vostra PMI in conformità eIDAS 2

4.1 Verificare i vostri flussi documentari esistenti

Iniziate mappando tutti i processi in cui attualmente utilizzate la firma elettronica o l'identità digitale: contratti fornitori, buste paga dematerializzate, mandati SEPA, accordi di riservatezza, atti HR. Per ogni flusso, identificate:

• Il livello di firma utilizzato (SES, AdES, QES).
• Il fornitore attuale e il suo status nell'Elenco di fiducia.
• Il livello di rischio legale in caso di contestazione.

Questo audit è il punto di partenza consigliato dall'ANSSI nella sua guida alla conformità pubblicata a marzo 2025.

4.2 Aggiornare la vostra soluzione di firma

Se il vostro fornitore attuale non figura nell'Elenco di fiducia eIDAS 2 o non offre ancora il RQSCD, è il momento di confrontare le offerte sul mercato. Certyneo è un QTSP certificato che supporta i tre livelli di firma (SES, AdES, QES) e integra nativamente i nuovi requisiti eIDAS 2, in particolare l'archiviazione qualificata e la gestione distante dei dispositivi.

4.3 Formare i vostri team e aggiornare i vostri contratti

eIDAS 2 rafforza il valore probante delle firme qualificate ma impone anche buone pratiche documentarie. Assicuratevi che i vostri team legali e amministrativi:

• Sappiano distinguere i tre livelli di firma e il loro valore legale rispettivo.
• Integrino nei contratti fornitori una clausola di audit di conformità eIDAS.
• Conservino le prove di verifica della firma (rapporto di convalida, marcatura temporale qualificata) per la durata legale di conservazione applicabile (3-10 anni a seconda della natura dell'atto).

Per strutturare questo approccio, il nostro calcolatore ROI firma elettronica vi permetterà di quantificare i guadagni operativi legati all'aggiornamento.

Quadro legale applicabile

Testi di riferimento

La conformità eIDAS 2 per una PMI francese si inserisce in un accumulo normativo che è essenziale padroneggiare.

Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio (detto «eIDAS 2»): è il testo fondante, pubblicato sulla GUUE il 30 aprile 2024. Abroga e sostituisce il regolamento (UE) n. 910/2014 secondo un calendario di implementazione progressiva valido fino al 2027. Ha applicazione diretta in tutti gli Stati membri, senza richiedere il recepimento legislativo nazionale per le sue disposizioni principali.

Regolamento (UE) n. 910/2014 (eIDAS 1): alcune sue disposizioni rimangono applicabili durante i periodi di transizione previsti da eIDAS 2, in particolare per i fornitori qualificati che hanno ottenuto la loro qualificazione prima di maggio 2024 e dispongono di un termine per ricertificarsi.

Codice civile francese, articoli 1366 e 1367: l'articolo 1366 pone il principio di equivalenza tra lo scritto elettronico e lo scritto cartaceo, salvo che «la persona da cui proviene possa essere debitamente identificata e che sia stabilito e conservato in condizioni tali da garantirne l'integrità». L'articolo 1367 riconosce la firma elettronica come modo di prova, rinviando alle condizioni fissate per decreto in Consiglio di Stato (decreto n. 2017-1416 del 28 settembre 2017, codificato agli articoli R. 1369-1 a R. 1369-10 del Codice civile).

Regolamento (UE) 2016/679 (RGPD): l'implementazione dell'EUDIW e il trattamento degli attributi d'identità nei flussi di firma elettronica costituiscono trattamenti di dati personali ai sensi del RGPD. Le PMI devono assicurarsi che il loro QTSP agisca in qualità di responsabile del trattamento ai sensi dell'articolo 28 RGPD, con un DPA (Data Processing Agreement) conforme. La CNIL ha pubblicato a gennaio 2026 una raccomandazione specifica sull'integrazione EUDIW-RGPD.

Direttiva (UE) 2022/2555 (NIS 2): eIDAS 2 si allinea esplicitamente a NIS 2 per gli obblighi di notifica degli incidenti (art. 24, §2 eIDAS 2 che rimanda alle disposizioni NIS 2). I QTSP sono considerati entità «essenziali» o «importanti» ai sensi di NIS 2 in base alle loro dimensioni, e soggetti come tali a audit di sicurezza regolari.

Norme ETSI: le firme elettroniche qualificate devono rispettare le norme ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) e ETSI EN 319 102-1 (procedura di convalida). La norma ETSI TS 119 461 disciplina la verifica a distanza dell'identità (IDV), particolarmente rilevante per l'RQSCD.

Rischi legali in caso di non-conformità

Utilizzare una soluzione di firma elettronica non conforme a eIDAS 2 espone la PMI a diversi rischi:

• Inammissibilità in giudizio: un giudice può escludere una firma elettronica il cui livello non corrisponde all'atto sottoscritto (es. firma semplice per un atto che richiede un livello avanzato o qualificato).
• Responsabilità contrattuale: se un contratto è contestato da un partner per il motivo della nullità della firma, la PMI può essere esposta a richieste di indennizzo.
• Sanzioni RGPD: in caso di violazione di dati legata a un difetto di sicurezza del fornitore, la PMI, co-responsabile o responsabile del trattamento, può essere sanzionata dalla CNIL fino al 4% del fatturato mondiale annuale (art. 83 §4 RGPD).

Scenari d'uso concreti

Scenario 1: una PMI industriale di 80 dipendenti che gestisce 400 contratti fornitori all'anno

Una PMI del settore metallurgico che gestisce circa 400 contratti fornitori annuali utilizzava fino al 2024 una soluzione di firma elettronica semplice (SES) per l'insieme dei suoi impegni, inclusi contratti quadro superiori a 50.000 €. Dopo un audit di conformità eIDAS 2, ha constatato che il 35% dei suoi contratti richiedeva una firma avanzata o qualificata per resistere a una contestazione giudiziaria, in particolare con fornitori stabiliti in altri Stati membri dell'UE.

Migrando verso una soluzione che combina firma avanzata (AdES) per i contratti correnti e qualificata (QES) per i contratti quadro, e attivando l'archiviazione elettronica qualificata (nuovo servizio eIDAS 2), questa PMI ha ridotto del 70% il tempo dedicato alla gestione documentale post-firma (classificazione, ricerca, invio di copie certificate) e ha portato a zero i contenziosi legati alla contestazione di firma nei 18 mesi successivi, contro due incidenti nei 18 mesi precedenti.

Scenario 2: uno studio legale di consulenza di 15 collaboratori

Uno studio specializzato in diritto commerciale, che emette in media 1.200 atti sottoscritti all'anno (lettere d'incarico, mandati, accordi di riservatezza), faceva fronte a una domanda crescente dei suoi clienti corporate per firme qualificate riconoscibili in tutta l'UE. Secondo eIDAS 1, l'ottenimento di un certificato qualificato richiedeva una procedura faccia a faccia o una verifica video lunga (45-90 minuti per utente).

Grazie all'RQSCD (Remote Qualified Signature Creation Device) disciplinato da eIDAS 2, lo studio ha potuto implementare la firma qualificata per l'insieme dei suoi collaboratori in meno di due settimane, tramite una procedura di registrazione 100% distante conforme alla norma ETSI TS 119 461. Il tasso di adozione interno è passato dal 40% al 95% in tre mesi, e il tempo medio di restituzione degli atti sottoscritti è stato ridotto da 4,2 giorni a meno di 6 ore secondo le misure interne dello studio.

Scenario 3: una PMI e-commerce che opera in tre paesi dell'UE

Un'azienda di vendita online che impiega 35 persone e opera in Francia, Belgio e Paesi Bassi doveva gestire tre tipi di accordi elettronici: contratti di lavoro per i dipendenti locali, accordi di partnership con i trasportatori, e mandati SEPA per i clienti professionali. La frammentazione dei requisiti nazionali secondo eIDAS 1 l'obbligava a mantenere tre workflow di firma distinti, con costi di gestione stimati a circa 12.000 € all'anno.

L'adozione di una soluzione unica conforme a eIDAS 2 — integrando il riconoscimento reciproco delle firme qualificate nei tre paesi — ha permesso di unificare i workflow, ridurre il costo di gestione a circa 4.500 € all'anno (economia del 62%) ed eliminare i ritardi legati alla convalida manuale delle firme straniere dal servizio legale.

Conclusione

eIDAS 2 non è una semplice revisione cosmetica del quadro normativo: ridefinisce in profondità le regole del gioco della fiducia digitale in Europa. Per le PMI francesi, le cinque evoluzioni maggiori — portafoglio EUDIW, estensione dei servizi qualificati, RQSCD, interoperabilità obbligatoria e responsabilità rafforzata — rappresentano sia un vincolo di conformità che un'opportunità di accelerare la loro trasformazione documentale.

Le PMI che anticipano oggi questi cambiamenti beneficeranno di un vantaggio competitivo reale: contratti riconosciuti in tutta l'UE senza attriti, archiviazione con valore probante integrato, e processi di firma completamente dematerializzati e sicuri.

Certyneo è progettato per accompagnare questa transizione. Iniziate la vostra prova gratuita su certyneo.com e beneficiate di un audit di conformità eIDAS 2 offerto per i vostri flussi documentari esistenti.