Obblighi del fornitore di firma elettronica in Francia
Qualificazione eIDAS, conformità RGPD, requisiti ANSSI: i fornitori di firma elettronica si trovano di fronte a un quadro legale esigente. Scopri tutti gli obblighi da rispettare.
Aggiornato il
Redattore — Certyneo · Informazioni su Certyneo

Introduzione
Distribuire una soluzione di firma elettronica in Francia non è un'operazione improvvisata. Dietro ogni firma qualificata o avanzata si nascondono decine di obblighi legali che gravano sul fornitore di servizi di fiducia (PSCo). Regolamento eIDAS, RGPD, referenziale generale di sicurezza, norme ETSI… il quadro normativo è al contempo denso e in evoluzione. Per le aziende utilizzatrici, comprendere questi obblighi legali fornitore firma elettronica Francia eIDAS RGPD è indispensabile per scegliere un partner conforme ed evitare ogni rischio giuridico. Questo articolo dettaglia, sezione per sezione, l'insieme dei requisiti applicabili ai PSCo operanti sul territorio francese.
---
Lo status di fornitore di servizi di fiducia qualificato
Che cos'è un PSCo secondo eIDAS?
Il regolamento eIDAS n. 910/2014 distingue due categorie di fornitori: i fornitori di servizi di fiducia non qualificati e i fornitori qualificati (PSCQ). I primi possono proporre servizi di firma elettronica semplice o avanzata senza audit di terze parti obbligatorio. I secondi — soli autorizzati a rilasciare firme qualificate secondo l'articolo 3(15) di eIDAS — devono soddisfare requisiti considerevolmente più rigorosi.
In Francia, è l'Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) che svolge il ruolo di autorità di supervisione (« Supervisory Body ») previsto dall'articolo 17 di eIDAS. Essa pubblica e mantiene la lista di fiducia francese (TSL — Trust Service List), accessibile sul suo sito ufficiale, che elenca i fornitori qualificati e i loro servizi.
La procedura di qualificazione: audit e conformità
Per ottenere lo status qualificato, un PSCo deve obbligatoriamente:
- Fare sottoporre i propri servizi a audit da parte di un organismo di valutazione della conformità (CAB — Conformity Assessment Body) accreditato dal COFRAC secondo la norma EN ISO/IEC 17065.
- Sottoporre il rapporto di audit all'ANSSI, che decide sulla concessione dello status qualificato. Tale status è rivalutato almeno ogni 24 mesi (articolo 20 §1 eIDAS).
- Notificare l'ANSSI di qualsiasi cambiamento sostanziale nei suoi servizi entro 3 mesi prima della modifica prevista (articolo 21 eIDAS).
Il mancato rispetto di questi adempimenti espone il fornitore a radiazione dalla TSL e alla perdita delle presunzioni giuridiche associate alla firma qualificata. Per le aziende clienti, ricorrere a un PSCo non elencato sulla TSL equivale a non beneficiare di alcuna presunzione legale di affidabilità.
> Per approfondire i diversi livelli di firma e i loro effetti giuridici, consulta la nostra guida completa al regolamento eIDAS 2.0.
---
Obblighi tecnici e di sicurezza imposti ai PSCo
Conformità alle norme ETSI
I fornitori qualificati devono rispettare un insieme di norme europee pubblicate dall'Istituto europeo degli standard di telecomunicazione (ETSI). Le principali sono:
- ETSI EN 319 401: requisiti generali di sicurezza applicabili a tutti i PSCo.
- ETSI EN 319 411-1 e 411-2: politiche e pratiche delle autorità di certificazione che rilasciano certificati di firma qualificata.
- ETSI EN 319 132: formati di firma elettronica avanzata (XAdES per XML, PAdES per PDF, CAdES per CMS).
- ETSI EN 319 122: formato CAdES per le firme qualificate.
- ETSI TS 119 431: requisiti per i servizi di creazione di firma a distanza (QSCD remoto).
Queste norme non sono facoltative: il regolamento eIDAS (Allegati II, III e IV) vi rimanda esplicitamente per definire i requisiti minimi dei certificati qualificati e dei dispositivi di creazione di firma.
Gestione dei dispositivi sicuri di creazione di firma (QSCD)
Uno dei pilastri della firma qualificata è l'utilizzo di un dispositivo sicuro di creazione di firma (QSCD — Qualified Signature Creation Device) conforme all'Allegato II di eIDAS. Il fornitore deve garantire che:
- La chiave privata del firmatario non possa essere generata, archiviata o copiata al di fuori del QSCD.
- La generazione della chiave avvenga esclusivamente in un ambiente certificato (certificazione Common Criteria EAL 4+ o equivalente).
- L'autenticazione del firmatario precedente a qualsiasi atto di firma si basi su almeno due fattori di autenticazione.
In un contesto di firma a distanza — sempre più diffuso negli ambienti SaaS — questi requisiti si applicano al server HSM (Hardware Security Module) che ospita le chiavi. L'ANSSI ha pubblicato profili di protezione specifici (PP-0075, PP-0076) che definiscono i criteri di sicurezza da raggiungere.
Politica di continuità e notifica degli incidenti
L'articolo 19 di eIDAS impone a ogni fornitore di servizi di fiducia (qualificato o meno) di:
- Notificare l'autorità di supervisione (ANSSI) e, se del caso, l'autorità di protezione dei dati (CNIL), entro 24 ore dalla rilevazione di una violazione di sicurezza suscettibile di avere un impatto sull'affidabilità del servizio.
- Mantenere un piano di continuità operativa documentato e regolarmente testato.
- Disporre di una politica di sicurezza delle informazioni formalizzata, che copra in particolare la gestione dei rischi, la gestione degli incidenti e la politica di backup.
Questi requisiti si sovrappongono parzialmente con quelli della direttiva NIS2 (2022/2555/UE), recepita nel diritto francese dalla legge n. 2023-703 del 1° agosto 2023, che classifica i PSCo di dimensioni significative tra le entità importanti o essenziali sottoposte a obblighi rafforzati di cybersecurity.
> Scopri come la firma elettronica per gli studi legali deve integrare questi vincoli nei loro flussi di lavoro documentali.
---
Obblighi RGPD specifici ai PSCo
Il PSCo, responsabile del trattamento o incaricato del trattamento?
La qualificazione RGPD del fornitore dipende dalla natura del servizio reso:
- Quando il PSCo rilascia direttamente certificati qualificati a nome del firmatario e determina le finalità del trattamento dei dati personali (identità, dati biometrici di autenticazione), agisce come responsabile del trattamento secondo l'articolo 4(7) RGPD.
- Quando integra la propria API nella piattaforma di un cliente B2B e tratta i dati personali secondo le sole istruzioni di tale cliente, riveste la qualità di incaricato del trattamento (articolo 4(8) RGPD) e deve obbligatoriamente concludere un DPA (Data Processing Agreement) conforme all'articolo 28 RGPD.
In pratica, la maggior parte dei PSCo SaaS cumula entrambe le qualità: responsabile per la gestione della propria infrastruttura di certificazione, incaricato per il trattamento dei documenti e dei metadati dei firmatari.
Obblighi specifici legati ai dati biometrici e di identità
L'identificazione e l'autenticazione del firmatario — fase obbligatoria per rilasciare un certificato qualificato — comporta spesso il trattamento di dati sensibili: scansione di documento d'identità, selfie video, dati biometrici di riconoscimento facciale. Questi dati costituiscono dati personali soggetti a RGPD, o persino dati biometrici che rientrano nell'articolo 9 RGPD (categorie particolari).
Gli obblighi del PSCo includono:
- Base legale: il consenso esplicito (articolo 9§2a) o, in alcuni casi, l'obbligo legale (articolo 9§2b) per il trattamento dei dati biometrici.
- Durata della conservazione limitata: secondo le linee guida CNIL, i dati di identificazione devono essere conservati il tempo strettamente necessario, generalmente allineato sulla durata di validità del certificato + durata legale della prova (spesso 10 anni per gli atti sottoscritti privatamente, articolo 2224 del Codice civile).
- Analisi d'impatto (AIPD) obbligatoria (articolo 35 RGPD) non appena il trattamento rischia di comportare un rischio elevato — il che accade sistematicamente per la biometria.
- Registro dei trattamenti (articolo 30 RGPD) aggiornato e che documenta ogni categoria di trattamento.
Trasferimenti internazionali di dati
Molti PSCo ospitano tutto o parte della loro infrastruttura al di fuori dello Spazio economico europeo (SEE). In tal caso, le garanzie appropriate richieste dal capitolo V RGPD si impongono: decisione di adeguatezza, clausole contrattuali standard (SCCs) della Commissione europea o norme vincolanti d'impresa (BCR). La sentenza Schrems II (CGUE, C-311/18, 16 luglio 2020) ha ricordato che i trasferimenti verso gli Stati Uniti richiedono un'analisi preliminare dei rischi del paese.
> Per comprendere l'impatto di queste regole sulla tua organizzazione, consulta la nostra guida sulla firma elettronica in azienda.
---
Obblighi di trasparenza e informazione verso gli utenti
Politica di certificazione (PC) e dichiarazione delle pratiche di certificazione (DPC)
Ogni PSCo che rilascia certificati è tenuto a pubblicare una Politica di Certificazione (PC) e una Dichiarazione delle Pratiche di Certificazione (DPC), conformemente alla norma ETSI EN 319 411. Questi documenti, liberamente accessibili, dettagliano:
- Le procedure di identificazione e registrazione dei firmatari.
- Le misure di sicurezza fisiche e logiche implementate.
- Le condizioni di revoca dei certificati e i tempi associati.
- Le responsabilità e limitazioni di garanzia del PSCo.
L'assenza o l'incompletezza di questi documenti costituisce una non conformità suscettibile di essere rilevata durante l'audit di requalificazione dell'organismo accreditato.
Informazioni precontrattuali e contrattuali ai clienti
Al di là degli obblighi puramente tecnici, l'articolo 13 RGPD impone al PSCo di fornire a ogni persona i cui dati vengono raccolti un'informazione chiara e accessibile su:
- L'identità del responsabile del trattamento e i dati di contatto del DPO (obbligatorio per i PSCo che trattano su larga scala dati sensibili, articolo 37 RGPD).
- Le finalità e le basi legali di ogni trattamento.
- I diritti delle persone (accesso, rettifica, cancellazione, portabilità, opposizione).
- Gli eventuali destinatari dei dati (incaricati del trattamento, autorità).
Queste informazioni devono figurare nella politica sulla privacy del servizio, nei termini e condizioni di servizio e, se del caso, nel DPA concluso con i clienti professionali.
Timestamp qualificato e traccia di audit
Per garantire il valore probante a lungo termine delle firme, i PSCo seri associano sistematicamente un timestamp elettronico qualificato (articolo 42 eIDAS) a ogni atto firmato. Questo timestamp costituisce una prova legalmente presunta dell'esistenza del dato alla data indicata. La conservazione della traccia di audit (log di identificazione, impronta del documento, dati della firma) è un obbligo di fatto per permettere qualsiasi verifica giudiziale successiva.
> Confronta le soluzioni del mercato secondo questi criteri nel nostro comparativo delle soluzioni di firma elettronica.
---
eIDAS 2.0: i nuovi obblighi all'orizzonte 2026-2027
Il regolamento eIDAS 2.0 (UE) 2024/1183
Pubblicato nella Gazzetta ufficiale dell'UE il 30 aprile 2024, il regolamento (UE) 2024/1183 detto « eIDAS 2.0 » rafforza significativamente gli obblighi dei PSCo intorno a tre assi:
- Il Portafoglio europeo di identità digitale (EUDI Wallet): gli Stati membri devono mettere a disposizione un portafoglio di identità digitale certificato entro il 2 novembre 2026. I PSCo dovranno integrare il loro servizio con questo portafoglio per offrire firme qualificate tramite l'identità eIDAS 2.0.
- La gestione delle attestazioni di attributi: eIDAS 2.0 introduce le attestazioni di attributi qualificate (QEAAs), rilasciate da fornitori qualificati di attestazioni. Si applicheranno nuove procedure di audit e di qualificazione.
- Il rafforzamento della supervisione: le autorità nazionali di supervisione (ANSSI per la Francia) vedono i loro poteri ampliati, in particolare la capacità di avviare audit a sorpresa e di infliggere misure correttive vincolanti entro tempi ridotti.
Implicazioni pratiche per i fornitori attuali
I PSCo già qualificati secondo eIDAS 1.0 dovranno procedere a una conformità progressiva prima delle scadenze fissate dagli atti di esecuzione della Commissione (pubblicati o in corso di pubblicazione). Gli adattamenti principali riguardano:
- La riconfigurazione dell'infrastruttura di identificazione per supportare l'EUDI Wallet come mezzo di autenticazione.
- L'aggiornamento delle PC/DPC per integrare le nuove tipologie di certificati e di attestazioni.
- Il rafforzamento dei requisiti di sicurezza dei QSCD remoti, con nuovi profili di protezione in arrivo.
Per le aziende clienti, ciò significa verificare fin da oggi che il loro fornitore dispone di una roadmap di conformità eIDAS 2.0 documentata e verificabile.
Quadro legale applicabile agli obblighi dei fornitori di firma elettronica
La catena normativa applicabile ai fornitori di firma elettronica operanti in Francia si articola su diversi livelli gerarchici complementari.
Codice civile francese — Articoli 1366 e 1367
L'articolo 1366 del Codice civile riconosce lo scritto elettronico come modo di prova equivalente allo scritto cartaceo, a condizione che « possa essere debitamente identificata la persona da cui proviene e sia stabilito e conservato in condizioni tali da garantirne l'integrità ». L'articolo 1367 precisa che la firma elettronica « consiste nell'uso di un procedimento affidabile di identificazione che ne garantisce il collegamento con l'atto cui si riferisce ». La presunzione di affidabilità beneficia alle firme qualificate nel senso di eIDAS, invertendo l'onere della prova a favore del firmatario.
Regolamento eIDAS n. 910/2014/UE
Questo regolamento, applicabile direttamente in tutti gli Stati membri, stabilisce il quadro giuridico dei servizi di fiducia. Il suo articolo 26 definisce le condizioni della firma elettronica avanzata; il suo articolo 28 i requisiti dei certificati qualificati; il suo Allegato I dettagia il contenuto obbligatorio di questi certificati. I PSCo qualificati beneficiano di una presunzione di conformità ai requisiti tecnici e giuridici del regolamento (articolo 19§2), il che costituisce un vantaggio significativo in caso di controversia.
Regolamento eIDAS 2.0 — (UE) 2024/1183
Pubblicato il 30 aprile 2024, questo regolamento modificativo introduce nuove categorie di servizi di fiducia (attestazioni di attributi qualificate, servizi di archiviazione qualificati) e rafforza gli obblighi di supervisione. Abroga e sostituisce parzialmente il regolamento 910/2014, con applicabilità progressiva secondo gli atti di esecuzione della Commissione europea.
RGPD — Regolamento (UE) 2016/679
Il RGPD si applica a qualsiasi trattamento di dati personali realizzato nel contesto di un servizio di firma elettronica. Gli articoli 5 (principi di liceità), 6 (base legale), 9 (dati sensibili), 13-14 (informazione), 28 (incaricati del trattamento), 32 (sicurezza), 33-34 (notifica di violazione), 35 (AIPD) e 37 (DPO) costituiscono le disposizioni più frequentemente applicabili. La CNIL è l'autorità di controllo competente in Francia e può infliggere sanzioni fino a 20 milioni di euro o il 4% del fatturato mondiale annuo (articolo 83§5 RGPD).
Direttiva NIS2 — (UE) 2022/2555
Recepita nel diritto francese dalla legge n. 2023-703 del 1° agosto 2023, NIS2 classifica i PSCo significativi tra le entità importanti o essenziali sottoposte a obblighi di gestione dei rischi cyber e di notifica degli incidenti all'ANSSI entro 24 ore (allerta precoce) quindi 72 ore (notifica completa).
Norme ETSI
L'insieme delle norme EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 costituisce il riferimento tecnico obbligatorio per l'audit di qualificazione. Il mancato rispetto comporta l'impossibilità di ottenere o mantenere lo status qualificato.
Rischi giuridici in caso di non conformità
Un fornitore non conforme si espone a: radiazione dalla TSL francese, assunzione di responsabilità contrattuale ed extracontrattuale, sanzioni amministrative CNIL, sanzioni NIS2 che possono raggiungere 10 milioni di euro o il 2% del fatturato mondiale per le entità importanti e 20 milioni o il 4% del fatturato mondiale per le entità essenziali, nonché a ricorsi giudiziali dei clienti che hanno subito un danno a causa di firme non legalmente valide.
Scenari di utilizzo: come le aziende verificano la conformità del loro PSCo
Scenario 1 — Un gruppo industriale che gestisce 3 000 contratti fornitori all'anno
Un gruppo industriale di taglia media (ETI), attivo nella produzione di attrezzature meccaniche, dematerializza l'insieme dei suoi contratti fornitori tramite una piattaforma SaaS di firma elettronica. Durante un audit interno scatenato da un'evoluzione normativa, la direzione legale constata che il fornitore scelto — inizialmente selezionato su criterio di prezzo — non è elencato né sulla TSL francese, né su alcuna TSL europea. Le firme rilasciate sono di tipo « semplice » senza meccanismo robusto di identificazione del firmatario.
Di fronte al rischio giuridico — l'insieme dei contratti firmati potrebbe vederne contestato il valore probante in caso di controversia — l'azienda avvia una migrazione verso un PSCo qualificato ANSSI. La nuova soluzione integra una firma avanzata con certificato qualificato, un timestamp qualificato e una traccia di audit esportabile. Il progetto di migrazione, realizzato in meno di 8 settimane, consente di mettere in sicurezza retroattivamente i nuovi atti e di stabilire una politica documentale conforme. I team legali stimano che il rischio contenzioso legato ai vecchi contratti rimanga marginale in virtù della loro esecuzione senza contestazioni, ma ogni nuova firma è ormai protetta.
Benefici osservati: riduzione del 60% delle controversie potenziali legate all'autenticità delle firme, e guadagno di 3,5 giorni di tempo medio di firma sui contratti complessi grazie all'automazione del flusso di lavoro di validazione.
Scenario 2 — Uno studio legale di 25 collaboratori specializzato in diritto commerciale
Uno studio legale desidera digitalizzare la firma dei mandati, delle consulenze e degli atti procedurali e valuta diversi fornitori. La sua griglia di analisi integra i seguenti criteri: presenza sulla TSL, pubblicazione di una PC/DPC accessibile, esistenza di un DPA conforme RGPD, disponibilità di un DPO raggiungibile e certificazione dei QSCD remoti.
Su cinque fornitori valutati, solo due soddisfano l'insieme dei criteri. Lo studio legale sceglie infine un PSCo che offre nativamente una firma qualificata tramite QSCD remoto, garantendo la presunzione di affidabilità dell'articolo 1367 del Codice civile. La messa a punto richiede 3 settimane, formazione inclusa. Risultato: il 75% dei mandati sono ormai firmati in meno di 24 ore invece di 5-7 giorni in precedenza (invio postale), e lo studio legale può giustificare ai propri clienti il livello di sicurezza giuridica offerto dalla soluzione — un argomento differenziante nelle sue proposte commerciali.
Scenario 3 — Un raggruppamento ospedaliero di circa 1 200 posti letto
Un raggruppamento ospedaliero pubblico desidera dematerializzare i contratti di lavoro, le convenzioni di tirocinio e gli accordi di partenariato con stabilimenti di cura partner. La sensibilità dei dati trattati (dati sanitari del personale infermieristico, dati gestione risorse umane) impone una vigilanza particolare sugli obblighi RGPD del PSCo.
La DSI e il DPO dell'ente richiedono: hosting dei dati in Francia presso un hosting di dati sanitari certificato HDS (Hébergeur de Données de Santé, certificazione prevista dall'articolo L.1111-8 del Codice della sanità pubblica), assenza di trasferimenti al di fuori del SEE, AIPD documentata per il trattamento di identificazione dei firmatari, e DPA sottoscritto prima di ogni messa in produzione.
Dopo la selezione di un PSCo rispondente a questi criteri, la distribuzione copre in priorità i contratti di gestione risorse umane (circa 800 atti all'anno). Il tempo medio di firma dei contratti a tempo determinato passa da 9 giorni a meno di 48 ore, liberando una capacità significativa per i team delle risorse umane. L'ente dispone inoltre di una tracciabilità completa dei consensi raccolti, sottoposta a audit annuale del suo DPO.
Conclusione
Gli obblighi legali gravanti sui fornitori di firma elettronica in Francia formano un corpus normativo esigente: qualificazione eIDAS, conformità RGPD, rispetto delle norme ETSI, obblighi NIS2 e adattamento imminente a eIDAS 2.0. Per le aziende utilizzatrici, assicurarsi della conformità del proprio PSCo non è una procedura facoltativa — è una condizione sine qua non del valore probante degli atti firmati e della protezione dei dati personali dei firmatari.
Certyneo è un fornitore di firma elettronica progettato per rispondere a l'insieme di questi requisiti: conformità eIDAS, RGPD by design, hosting sovrano e roadmap eIDAS 2.0 documentata. Pronto a proteggere le tue firme in totale conformità? Richiedi una dimostrazione o crea il tuo account su Certyneo e beneficia di un accompagnamento personalizzato dal primo giorno.
Provi Certyneo gratuitamente
Invia la tua prima busta di firma in meno di 5 minuti. 5 buste gratuite al mese, senza carta di credito.
Approfondisci l'argomento
Articoli di riferimento su questo argomento.
Approfondisci l'argomento
Le nostre guide complete per padroneggiare la firma elettronica.
Articoli consigliati
Approfondisca le sue conoscenze con questi articoli correlati.

Governance digitale delle associazioni: guida 2026
La governance digitale diventa indispensabile per le associazioni che desiderano modernizzare i loro processi decisionali. Scopri gli strumenti, gli obblighi legali e le strategie chiave per il 2026.

Assemblea generale virtuale: guida per le associazioni
La tenue di un'assemblea generale virtuale solleva questioni giuridiche precise per le associazioni. Scopri come proteggere le tue risoluzioni grazie alla firma elettronica.

Statuti elettronici delle associazioni: modifica nel 2026
La modifica degli statuti di un'associazione tramite firma elettronica è ora pienamente riconosciuta dal diritto francese. Scopri la procedura completa e le condizioni di validità.