Certificato elettronico qualificato aziendale: guida 2026

Perché il certificato elettronico qualificato è diventato indispensabile per le aziende

In un'epoca in cui la dematerializzazione dei processi contrattuali si accelera in tutti i settori, la questione del certificato elettronico qualificato si impone come una sfida strategica per le direzioni legali, i DSI e le direzioni generali. Secondo il rapporto annuale dell'ANSSI 2024, più del 78% delle PMI francesi che hanno adottato la firma elettronica qualificata ha ridotto i tempi di contrattazione di oltre il 60%. Tuttavia, molti confondono ancora firma semplice, avanzata e qualificata — rischiando di esporre i propri atti legali a contestazione. Questo articolo ti guida passo dopo passo per comprendere cosa sia un certificato elettronico qualificato, come ottenerlo nel rispetto del quadro RGS ed eIDAS, e come implementarlo efficacemente all'interno della tua organizzazione.

Cos'è un certificato elettronico qualificato?

Un certificato elettronico è un file digitale rilasciato da un'Autorità di Certificazione (AC) che lega l'identità di una persona fisica o giuridica a una chiave crittografica pubblica. Costituisce l'elemento essenziale che consente a terzi di verificare l'autenticità e l'integrità di una firma digitale.

Il qualificativo «qualificato» rimanda a una definizione precisa derivante dal regolamento europeo eIDAS (n°910/2014, articolo 28): il certificato deve essere emesso da un Prestatore di Servizi di Fiducia Qualificato (PSQF), iscritto nell'elenco di fiducia nazionale (in Francia, pubblicato dall'ANSSI). Deve inoltre rispettare i requisiti tecnici della norma ETSI EN 319 411-2, che disciplina le politiche e le pratiche di certificazione.

In pratica, un certificato qualificato garantisce:

• L'identità verificata del firmatario (verifica documentale vis-à-vis o mediante mezzo equivalente approvato);
• L'integrità del documento firmato (qualsiasi modifica successiva è rilevabile);
• La non-ripudio (il firmatario non può negare di aver apposto la sua firma).

Differenza tra firma semplice, avanzata e qualificata

Il regolamento eIDAS distingue tre livelli di firma elettronica, ciascuno associato a un livello di certificato:

| Livello | Certificato richiesto | Valore probatorio | Uso tipico | |---|---|---|---| | Semplice | Non richiesto | Debole | Ordini correnti | | Avanzata | Certificato avanzato (PSQF) | Medio | Contratti commerciali B2B | | Qualificata | Certificato qualificato (PSQF qualificato) | Massimo, equivalente a firma manoscritta | Atti notarili, appalti pubblici, HR sensibili |

Per la firma qualificata — l'unica che beneficia della presunzione legale di equivalenza alla firma manoscritta (art. 1367 Codice civile) — un certificato qualificato è imperativamente richiesto. Per saperne di più sulle differenze tra i livelli, consulta la nostra guida completa della firma elettronica.

---

Il quadro RGS: specificità francesi da conoscere

In Francia, il Referenziale Generale di Sicurezza (RGS), stabilito dal decreto n°2010-112 e regolarmente aggiornato dall'ANSSI, definisce i requisiti di sicurezza applicabili ai sistemi informativi delle amministrazioni pubbliche. Per le aziende che stipulano contratti con enti pubblici (appalti pubblici, teleprocedure), il rispetto dell'RGS è spesso un obbligo contrattuale o normativo.

Livelli RGS applicabili ai certificati

L'RGS definisce tre stelle di qualificazione per i certificati:

• RGS* (una stella): livello base, adatto agli usi correnti di bassa sensibilità;
• RGS (due stelle)**: livello intermedio, richiesto per la maggior parte delle teleprocedure amministrative;
• RGS (tre stelle)*: livello elevato, per atti a forte valore legale o finanziario.

Per gli appalti pubblici dematerializzati tramite il profilo acquirente, il decreto n°2016-360 (articoli 39 e 40) impone in generale una firma di livello RGS minimo, il che implica un certificato di qualificazione equivalente.

Articolazione RGS ed eIDAS

Dalla messa in applicazione del regolamento eIDAS, i due referenziali coesistono. Un certificato qualificato nel senso di eIDAS è reputato soddisfare i requisiti RGS** nella stragrande maggioranza dei casi. L'ANSSI ha pubblicato tabelle di corrispondenza per assicurare la compatibilità. È quindi consigliato, per le aziende che lavorano sia con partner privati che pubblici, di privilegiare un certificato qualificato eIDAS emesso da un PSQF iscritto nell'elenco di fiducia francese — il che copre contemporaneamente entrambi i referenziali.

Per approfondire il regolamento europeo, la nostra guida eIDAS 2.0 dettaglia le principali evoluzioni previste e il loro impatto sulle aziende francesi.

---

Come ottenere un certificato elettronico qualificato: processo passo dopo passo

Ottenere un certificato elettronico qualificato non è una procedura banale: implica una verifica rigorosa dell'identità del richiedente e, per una persona giuridica, della sua rappresentatività legale. Ecco i principali passaggi.

Passaggio 1: Identificare il giusto prestatore di servizi di fiducia qualificato

In Francia, i PSQF abilitati a emettere certificati qualificati sono elencati nell'elenco dello stato dei servizi di fiducia (TSL) pubblicato dall'ANSSI (disponibile sul portale esignature.gouv.fr). Tra gli attori presenti in questo elenco, si trovano in particolare AC come CertEurope, Certinomis (filiale di La Poste), Keynectis o altri prestatori europei riconosciuti in virtù del principio di riconoscimento reciproco eIDAS.

Criteri di selezione da esaminare:

• Presenza effettiva nell'elenco TSL francese e/o europeo;
• Formato del certificato proposto (software, su smart card, HSM cloud);
• Compatibilità con la tua infrastruttura IT esistente;
• Tariffazione e durata di validità (generalmente 1-3 anni);
• Livello di supporto e tempo di iscrizione.

Passaggio 2: Costituzione del fascicolo di iscrizione

Per un'azienda, la richiesta di certificato qualificato necessita la produzione di documenti che giustifichino sia l'identità del titolare (persona fisica) che la sua capacità di rappresentare la persona giuridica. I documenti generalmente richiesti sono:

• Documento di identità ufficiale del titolare (passaporto, CNI);
• Estratto Kbis non più vecchio di 3 mesi (o equivalente per associazioni, enti pubblici);
• Delega di poteri se il titolare non è il rappresentante legale statutario;
• Modulo di richiesta specifico per il PSQF selezionato.

La verifica d'identità deve essere effettuata vis-à-vis davanti a un Operatore di Registrazione (OE) delegato dal PSQF, oppure mediante una procedura di verifica a distanza approvata (video-identificazione conforme alla norma ETSI TS 119 461).

Passaggio 3: Consegna e attivazione del certificato

A seconda del formato scelto, il certificato viene consegnato:

• Su un dispositivo qualificato di creazione di firma (QSCD): chiave USB crittografica o smart card certificata Common Criteria EAL 4+;
• Tramite un servizio di firma a distanza (Remote Qualified Electronic Signature — RQES) gestito dal PSQF, dove la chiave privata è ospitata in un HSM (Hardware Security Module) certificato secondo la norma ETSI EN 419 241.

L'implementazione di un servizio RQES è oggi la soluzione più adottata dalle aziende, poiché evita la gestione fisica di supporti crittografici mantenendo la conformità qualificata. Confronta le soluzioni di firma elettronica per identificare il modello più adatto al tuo contesto.

Passaggio 4: Integrazione nei tuoi processi aziendali

Una volta ottenuto il certificato, la sua integrazione nei flussi documentali dell'azienda avviene generalmente tramite una piattaforma SaaS di firma elettronica. Questa deve imperativamente essere compatibile con gli standard ETSI (XAdES, PAdES, CAdES) per garantire l'interoperabilità e la sostenibilità delle prove digitali. Il nostro articolo dedicato alla firma elettronica in azienda ti aiuterà a strutturare questa implementazione.

---

Costo, validità e rinnovo: cosa le aziende devono anticipare

Fasce di prezzo nel 2026

I tariffe dei certificati qualificati variano significativamente a seconda del formato e del prestatore:

• Certificato su supporto fisico (chiave USB/smart card): tra 80 € e 250 € IVA esclusa per titolare e per anno;
• Certificato qualificato cloud (RQES): tra 40 € e 150 € IVA esclusa per titolare e per anno, a seconda dei volumi;
• Forfait aziendali: sconti significativi si applicano a partire da 10 titolari, potendo raggiungere il 30-40% della tariffa unitaria.

Questi costi devono essere messi in prospettiva con i risparmi generati: eliminazione di stampe, affrancature, tempi di trattamento postale e contenziosi legati a firme contestate.

Durata di validità e rinnovo

La validità di un certificato qualificato è generalmente fissata a 1, 2 o 3 anni a seconda dell'offerta sottoscritta. All'scadenza, i documenti firmati precedentemente rimangono validi (a condizione che la loro integrità sia preservata tramite un servizio di marcatura temporale qualificato), ma nuovi atti non possono essere firmati con il certificato scaduto. È quindi imperativo implementare un processo di monitoraggio e rinnovo anticipato — idealmente 60 giorni prima della scadenza.

Revoca e gestione degli incidenti

In caso di compromissione della chiave privata (perdita, furto del supporto, sospetto di divulgazione), il certificato deve essere revocato immediatamente presso il PSQF. Quest'ultimo pubblica la revoca nel suo Elenco di Revoca di Certificati (CRL) o tramite il protocollo OCSP, rendendo invalida qualsiasi firma successiva con questo certificato. La politica di sicurezza interna deve quindi prevedere un punto di contatto dedicato e un tempo di allarme inferiore a 24 ore.

---

Buone pratiche per un'implementazione di successo in azienda

Governance e ruoli interni

Un'implementazione di successo si basa su una governance chiara. È consigliato designare:

• Un responsabile PKI (Public Key Infrastructure) lato IT, incaricato della relazione con il PSQF e del monitoraggio dei rinnovi;
• Un referente legale che validi i casi d'uso che necessitano di firma qualificata (vs avanzata);
• Amministratori delegati per reparto per la gestione operativa dei titolari.

Formazione e conduzione del cambiamento

L'adozione di un certificato qualificato non è sufficiente: i collaboratori devono comprendere come utilizzare il loro certificato, quando attivarlo e come reagire in caso di incidente. Un piano di formazione breve (1-2 ore) e procedure documentate riducono significativamente gli errori d'uso e i ticket di supporto.

Audit e tracciabilità

Per soddisfare gli obblighi probatori, conserva un registro di audit marcato temporalmente di ogni firma effettuata: identità del firmatario, impronta del documento, data/ora certificata, identificatore del certificato. Questi dati costituiscono la base della catena di prova in caso di contenzioso. La norma ETSI EN 319 132 (XAdES) prevede formati di firma che includono nativamente queste informazioni.

Quadro legale applicabile ai certificati elettronici qualificati

Codice civile e valore probatorio

Nel diritto francese, l'articolo 1366 del Codice civile pone il principio di equivalenza tra l'atto scritto elettronico e l'atto scritto cartaceo, a condizione che «l'identità della persona da cui emana sia debitamente garantita e che sia redatto e conservato in condizioni tali da garantirne l'integrità». L'articolo 1367 comma 2 precisa che la firma elettronica qualificata beneficia di una presunzione di affidabilità: spetta alla parte che contesta la firma di provarne il contrario, invertendo così l'onere della prova a favore del firmatario.

Regolamento eIDAS n°910/2014

Il regolamento europeo eIDAS (n°910/2014), direttamente applicabile in tutti gli Stati membri dal 1° luglio 2016, costituisce il fondamento sovranazionale. Il suo articolo 25(2) stabilisce che «una firma elettronica qualificata ha effetto legale equivalente a quello di una firma manoscritta». Gli articoli 28 e 29 definiscono i requisiti applicabili ai certificati qualificati e ai dispositivi qualificati di creazione di firma (QSCD). L'allegato I elenca le menzioni obbligatorie di un certificato qualificato (OID di politica, identità del PSQF, chiave pubblica, date di validità, ecc.).

Evoluzioni eIDAS 2.0

Il regolamento eIDAS 2.0 (regolamento UE 2024/1183, entrato in vigore il 20 maggio 2024) introduce il portafoglio europeo di identità digitale (EUDIW) e rafforza i requisiti di accessibilità ai servizi di fiducia qualificati. Le aziende dovranno anticipare l'integrazione di questi nuovi meccanismi di identificazione entro il 2026-2027.

Norme ETSI applicabili

• ETSI EN 319 411-2: politica e pratiche per i PSQF che emettono certificati qualificati;
• ETSI EN 319 132 (XAdES) e ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formati di firma elettronica avanzata e qualificata;
• ETSI EN 419 241: requisiti per i server di firma (RQES).

GDPR e protezione dei dati

Il trattamento dei dati personali nel contesto dell'iscrizione (verifica d'identità, raccolta documentale) è soggetto al GDPR n°2016/679. Il PSQF e l'azienda cliente sono corresponsabili del trattamento o in una relazione responsabile/incaricato del trattamento a seconda della configurazione. Un DPA (Data Processing Agreement) conforme all'articolo 28 GDPR deve essere firmato. I dati di iscrizione devono essere conservati per la durata di vita del certificato aumentata del termine di prescrizione applicabile (5 anni in materia contrattuale).

Direttiva NIS2 e sicurezza delle infrastrutture

La direttiva NIS2 (2022/2555/UE), recepita nel diritto francese dalla legge n°2024-449, impone alle entità essenziali e importanti di implementare misure di gestione dei rischi includendo la sicurezza delle catene di approvvigionamento digitali. Il ricorso a un PSQF qualificato iscritto nell'elenco TSL nazionale costituisce una buona pratica riconosciuta per soddisfare parzialmente questi requisiti.

Scenari di utilizzo: il certificato qualificato nella pratica

Scenario 1: Uno studio legale che gestisce atti ad alto valore probatorio

Uno studio legale specializzato in diritto commerciale con una ventina di associati e collaboratori deve regolarmente firmare atti di cessione di quote sociali, accordi transattivi e mandati speciali. Fino a poco tempo, ogni atto necessitava di stampa, firma manoscritta, scansione e invio postale — cioè un tempo medio di 4-7 giorni lavorativi per ciclo di firma. Dopo l'implementazione di certificati qualificati cloud (RQES) per ogni associato, questo tempo è ridotto a meno di 4 ore per gli atti che non richiedono intervento notarile. Lo studio stima una riduzione del 65% del tempo amministrativo legato alla gestione documentale, e non ha registrato alcuna contestazione di firma nei primi 18 mesi di utilizzo. Le soluzioni di firma elettronica per studi legali proposte da Certyneo si integrano nativamente in questo tipo di workflow.

Scenario 2: Una PMI industriale che stipula contratti con committenti pubblici

Una PMI del settore metallurgico, con circa 120 dipendenti, risponde regolarmente a gare pubbliche dematerializzate su profili acquirenti. È tenuta a firmare elettronicamente le sue offerte e atti di impegno con un certificato di livello RGS** minimo. Dopo aver ottenuto due certificati qualificati (per l'amministratore delegato e un direttore commerciale abilitato), la PMI ha potuto depositare le sue offerte nei tempi previsti senza spostamenti o invii postali. Su un anno, ciò rappresenta circa 35 fascicoli di gare pubbliche, cioè un risparmio stimato di 15 giorni-uomo per anno sulla sola gestione documentale. La conformità eIDAS del certificato assicura inoltre il riconoscimento delle sue firme presso committenti tedeschi e belgi, ampliando il suo perimetro commerciale. Utilizza il nostro calcolatore ROI per stimare i guadagni potenziali nel tuo contesto.

Scenario 3: Un raggruppamento sanitario che securizza gli atti HR e fornitori

Un raggruppamento ospedaliero di circa 1.200 posti letto, che riunisce diversi stabilimenti, affronta un volume annuale di quasi 3.000 contratti di lavoro, allegati modificativi e impegni fornitori. La direzione delle risorse umane e la direzione degli acquisti hanno congiuntamente implementato una soluzione di firma qualificata, con certificati emessi per i direttori abilitati. Contemporaneamente, i documenti da firmare dagli agenti sono trattati tramite un workflow di firma avanzata, riservando la firma qualificata agli atti direttivi ad alto valore legale. Risultato: il tempo medio di finalizzazione di un contratto di lavoro è passato da 12 giorni a 2,5 giorni, e il tasso di fascicoli incompleti (firma mancante, versione sbagliata firmata) è diminuito del 78%. Le soluzioni di firma elettronica nel settore sanitario di Certyneo integrano le specificità normative del settore ospedaliero.

Conclusione

Ottenere un certificato elettronico qualificato è oggi un passaggio obbligato per qualsiasi azienda desideri securizzare legalmente i suoi atti digitali, rispondere ai requisiti degli appalti pubblici e inserirsi nel quadro normativo eIDAS. Lungi dall'essere un vincolo, è una leva di competitività: tempi di firma ridotti, una catena di prova inattaccabile e un riconoscimento transfrontaliero in tutta l'Unione europea.

I passaggi chiave da ricordare: scegliere un PSQF iscritto nell'elenco di fiducia ANSSI, costituire un fascicolo di iscrizione rigoroso, optare per un formato cloud (RQES) per facilitare l'implementazione, e integrare il certificato in una piattaforma conforme alle norme ETSI.

Certyneo ti accompagna in ogni fase: dalla selezione del giusto livello di firma all'integrazione nei tuoi processi aziendali. Richiedi una dimostrazione gratuita e scopri come implementare la firma qualificata in meno di 48 ore nella tua organizzazione.