Fornitori eIDAS qualificati: l'elenco ufficiale 2026

Perché lo stato "qualificato" eIDAS è decisivo per la tua azienda?

Dal momento dell'entrata in vigore del regolamento eIDAS (n. 910/2014), il mercato europeo della firma elettronica si è profondamente ristrutturato attorno a una gerarchia a tre livelli: la firma elettronica semplice (SES), la firma elettronica avanzata (AES) e la firma elettronica qualificata (QES). Quest'ultima è l'unica a beneficiare di una presunzione legale di equivalenza con la firma manuscritta in tutti gli Stati membri dell'Unione europea.

Affinché un'azienda possa proporre firme qualificate, deve essere stata necessariamente sottoposta a controllo e iscritta nell'elenco di fiducia (Trust List) del suo Stato membro. In Francia, è l'Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) che gestisce questo registro ufficiale, ripubblicato a sua volta nell'elenco europeo centralizzato gestito dalla Commissione europea.

Comprendere questa architettura è fondamentale prima di firmare qualsiasi contratto commerciale sensibile. Per approfondire i fondamenti normativi, la nostra guida completa al regolamento eIDAS 2.0 dettagli tutti gli obblighi e le evoluzioni introdotte dal regolamento revisionato eIDAS 2.0 (Regolamento UE 2024/1183).

---

Come vengono certificati i fornitori qualificati di servizi di fiducia?

Il percorso verso lo stato di Fornitore Qualificato di Servizi di Fiducia (PSCQ) è impegnativo. Implica un controllo effettuato da un organismo di valutazione della conformità (CAB, Conformity Assessment Body) accreditato, secondo le norme ETSI EN 319 401 (requisiti generali) ed ETSI EN 319 411-2 per i certificati qualificati.

Le fasi di qualificazione ANSSI

1. Deposito della domanda di qualificazione: il fornitore presenta la sua documentazione tecnica, di sicurezza e organizzativa all'ANSSI.
2. Controllo da parte di un CAB accreditato: un organismo terzo — come Bureau Veritas, LSTI o Apave Certification — verifica la conformità in loco e su documenti.
3. Decisione di qualificazione: l'ANSSI dichiara la qualificazione e iscrive il fornitore nell'elenco di fiducia francese (TL-FR).
4. Rinnovo periodico: la qualificazione viene rivalutata, generalmente ogni due anni, per garantire il mantenimento dei requisiti.

Cosa verifica concretamente il controllo?

L'auditor esamina in particolare:

• La sicurezza fisica dei centri dati che ospitano le chiavi crittografiche (moduli HSM certificati CC EAL 4+ o FIPS 140-2 Level 3 minimo);
• Le politiche di certificazione (CP) e le dichiarazioni delle pratiche di certificazione (CPS) pubblicate dal fornitore;
• Le procedure di verifica dell'identità dei firmatari (face-to-face o verifica d'identità a distanza conforme alla norma EN 419 241-1);
• La gestione delle revoche e la disponibilità dei servizi OCSP/CRL.

Questi criteri spiegano perché solo un numero esiguo di attori raggiunga e mantenga questo livello di certificazione in Francia.

---

I fornitori eIDAS qualificati registrati in Francia nel 2026

L'elenco ufficiale dei fornitori qualificati è consultabile in qualsiasi momento sul portale ufficiale della Commissione europea (eidas.ec.europa.eu/efts), filtrando su "Francia" e il servizio "QCertESig" (Qualified Certificate for Electronic Signature). Ecco gli attori che figuravano nel registro al momento della redazione di questo articolo (giugno 2026):

Attori francesi iscritti sulla Trust List

| Fornitore | Tipo di servizio qualificato | Particolarità | |---|---|---| | Certigna (Dhimyotis) | Certificati qualificati, marcatura temporale qualificata | Gruppo La Poste, certificato eIDAS dal 2016 | | Certinomis | Certificati qualificati | Filiale La Poste, orientata al settore pubblico | | ChamberSign France | Certificati qualificati | Rete delle CCI, forte ancoraggio PME/TPE | | Keynectis / DocuSign France | Certificati qualificati | Acquisito da DocuSign, mantenimento del marchio ANSSI | | Universign (Tessi) | Certificati qualificati, marcatura temporale | Pioniere del mercato, integrato nel gruppo Tessi | | Entrust (ex-Datacard) | Certificati qualificati | Attore internazionale, Trust List multi-Stati membri | | Oodrive Sign | Certificati qualificati | Editore sovrano francese, qualificato SecNumCloud |

> Avvertimento: questo elenco è fornito a titolo indicativo e informativo. Solo la Trust List ufficiale della Commissione europea è ufficiale. Verificare sempre lo stato attuale sul portale ETSI prima di qualsiasi impegno contrattuale.

Fornitori stranieri riconosciuti in Francia tramite la Trust List europea

In virtù del principio di riconoscimento reciproco stabilito dall'articolo 25 del regolamento eIDAS, una firma qualificata emessa da un PSCQ iscritto nell'elenco di fiducia di un altro Stato membro produce gli stessi effetti giuridici in Francia. Tra gli attori non francesi frequentemente utilizzati:

• Namirial (Italia): forte in firma qualificata a distanza (QES remote signing);
• SwissSign (Svizzera): attenzione, la Svizzera non è membro dell'UE; il riconoscimento è parziale;
• Qualified.one / Asseco Data Systems (Polonia): attore pubblico europeo, frequente nei mercati transfrontalieri.

Per confrontare queste soluzioni in base alle vostre esigenze aziendali, consultate il nostro comparativo delle soluzioni di firma elettronica che analizza i criteri di prezzo, conformità e integrazione API.

---

Come scegliere il giusto fornitore eIDAS qualificato per la vostra organizzazione?

Figurare nell'elenco di fiducia è una condizione necessaria, ma non sufficiente. La scelta di un PSCQ deve basarsi su diversi criteri complementari.

Criteri tecnici e di integrazione

• API REST o SDK disponibili: indispensabili per automatizzare la firma nei vostri flussi di lavoro aziendali (ERP, SIRH, CRM);
• Formati di firma supportati: PAdES per i PDF, XAdES per gli XML, CAdES per i file binari — tutti standardizzati da ETSI EN 319 100;
• Disponibilità del servizio: SLA superiore al 99,9% garantito contrattualmente, con finestre di manutenzione previste al di fuori dell'orario lavorativo;
• Hosting dei dati: preferite un hosting in Francia o nell'UE, idealmente qualificato SecNumCloud per i dati sensibili.

Criteri legali e di conformità

• Verificate che il fornitore fornisca un rapporto di qualificazione aggiornato (meno di 24 mesi);
• Esigete una politica di certificazione pubblicata (CP) accessibile pubblicamente e sottoposta a controllo;
• Assicuratevi che i termini e le condizioni generali prevedano esplicitamente la consegna di certificati qualificati ai sensi dell'Allegato I del regolamento eIDAS.

Criteri operativi e di supporto

• Procedura di iscrizione dei firmatari: face-to-face in agenzia, video-identificazione conforme eIDAS o NFC da un titolo d'identità elettronica;
• Supporto in francese con tempi di risposta contrattuali;
• Formazione e documentazione disponibili per i vostri team legali e IT.

Se la vostra organizzazione gestisce importanti flussi documentari HR, la nostra pagina dedicata alla firma elettronica per i team HR dettagli i casi d'uso specifici (contratti di lavoro, addendum, onboarding) e i livelli di firma consigliati per tipo di documento.

---

eIDAS 2.0: quali cambiamenti per i fornitori qualificati nel 2026?

Il regolamento eIDAS 2.0 (Regolamento UE 2024/1183, entrato in applicazione progressiva da maggio 2024) introduce diverse evoluzioni strutturali che impattano direttamente sui PSCQ e sui loro clienti.

Il Portafoglio Europeo di Identità Digitale (EUDI Wallet)

L'articolo 6a del regolamento revisionato impone agli Stati membri di offrire, entro settembre 2026, un portafoglio di identità digitale (EUDI Wallet) riconosciuto in tutta l'UE. Per i fornitori qualificati, ciò significa:

• L'obbligo di accettare gli attributi d'identità provenienti dal wallet come prova d'identità per l'iscrizione dei firmatari;
• L'emergere di un nuovo servizio qualificato: la consegna di attestati di attributi qualificati (Qualified Electronic Attestation of Attributes, QEAA).

Nuovi servizi qualificati e estensione del perimetro

eIDAS 2.0 amplia l'elenco dei servizi di fiducia qualificati per includere:

• I servizi di conservazione elettronica qualificata (QPDS, articolo 45f);
• I servizi di gestione dei dispositivi per la creazione di firma a distanza (QRCD).

Queste evoluzioni rappresentano sia un vincolo di adeguamento (tempi stretti per i fornitori esistenti) che un'opportunità di differenziazione per i nuovi operatori capaci di integrare rapidamente le specifiche tecniche pubblicate dall'ENISA e dall'ETSI.

Per le aziende che stanno considerando una migrazione da una piattaforma esistente verso una soluzione più conforme, la nostra guida alla migrazione da DocuSign o YouSign verso Certyneo presenta i passaggi concreti e i punti di vigilanza normativa.

Quadro legale applicabile ai fornitori eIDAS qualificati

Regolamento eIDAS e diritto europeo

Il fondamento giuridico è il Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 sull'identificazione elettronica e i servizi di fiducia per le transazioni elettroniche nel mercato interno (detto "regolamento eIDAS"), così come modificato dal Regolamento (UE) 2024/1183 (eIDAS 2.0). Questo regolamento è direttamente applicabile in tutti gli Stati membri senza necessità di trasposizione nazionale.

Le sue disposizioni principali per i fornitori qualificati:

• Articolo 17: obbligo per ogni Stato membro di designare un organo di controllo (in Francia, l'ANSSI);
• Articolo 20: procedura di supervisione, controllo e iscrizione nell'elenco di fiducia;
• Articolo 25: presunzione di equivalenza tra QES e firma manuscritta, con effetto giuridico garantito in tutta l'UE;
• Allegato I: requisiti relativi ai certificati qualificati per firma elettronica;
• Allegato II: requisiti relativi ai dispositivi per la creazione di firma qualificata (QSCD).

Diritto francese

Nel diritto interno, la firma elettronica è disciplinata da:

• Codice civile, articoli 1366 e 1367: l'articolo 1366 riconosce il valore probatorio della scrittura elettronica a condizione di garantire l'identità dell'autore e l'integrità del documento. L'articolo 1367 precisa che la firma elettronica consistente in un procedimento affidabile di identificazione beneficia di una presunzione di affidabilità quando è creata in conformità al decreto di applicazione;
• Decreto n. 2017-1416 del 28 settembre 2017: definisce le condizioni in cui la firma elettronica qualificata è presunta affidabile in Francia, rimandando esplicitamente al regolamento eIDAS;
• Ordinanza n. 2005-674 del 16 giugno 2005 relativa all'adempimento di alcuni formalità contrattuali per via elettronica.

Protezione dei dati personali

I processi di iscrizione e firma implicano il trattamento di dati personali (dati d'identità, dati biometrici per la video-identificazione). Il fornitore qualificato è soggetto al Regolamento (UE) 2016/679 (GDPR) e deve in particolare:

• Designare un DPO se il trattamento è su larga scala;
• Documentare i trattamenti nel registro CNIL;
• Disciplinare i trasferimenti al di fuori dell'UE con garantie appropriate (clausole contrattuali standard, decisione di adeguatezza).

Cybersicurezza e resilienza

Dal ottobre 2024, la Direttiva NIS2 (2022/2555/UE) si applica ai fornitori di servizi di fiducia qualificati, classificati come entità essenziali. Devono implementare misure di gestione dei rischi informatici, notificare gli incidenti significativi all'ANSSI entro 24 ore, e sottoporsi a controlli regolari. Il mancato rispetto espone a sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuale.

Norme tecniche di riferimento

• ETSI EN 319 401: requisiti generali per i fornitori di servizi di fiducia;
• ETSI EN 319 411-2: profilo di politica per i certificati qualificati;
• ETSI EN 319 132: formati di firma XAdES;
• ETSI EN 319 122: formati di firma CAdES;
• ETSI EN 319 162: formati di firma PAdES (PDF).

Scenari d'uso: quando la firma qualificata eIDAS è indispensabile?

Scenario 1 — Uno studio legale che gestisce atti stipulati con forte valore probatorio

Uno studio legale specializzato in diritto commerciale con una ventina di collaboratori gestisce ogni mese diverse decine di cessioni di quote, protocolli di accordo e patti di garanzia di attivo e passivo (GAP). Questi atti impegnano somme spesso superiori a diverse centinaia di migliaia di euro e sono suscettibili di essere contestati in tribunale.

Prima di migrare verso un fornitore eIDAS qualificato, lo studio utilizzava una soluzione di firma avanzata (AES), che era sufficiente per la maggior parte degli atti ordinari. Dopo un incidente in cui la controparte ha contestato l'autenticità di una firma durante una controversia, lo studio ha scelto la QES per tutti gli atti ad alto valore. Risultato: riduzione del 90% del tempo dedicato a fornire prove di firma durante i procedimenti contenziosi, grazie alla presunzione legale irrefragabile associata alla QES. Il costo aggiuntivo unitario per firma (circa 2-5 € a seconda dei volumi) è stato completamente assorbito dalla riduzione delle spese di contenzioso.

Scenario 2 — Un'azienda di medie dimensioni che gestisce contratti fornitori transfrontalieri

Un'azienda di medie dimensioni (ETI) del settore dell'equipaggiamento industriale, con fornitori stabiliti in Francia, Germania, Italia e Polonia, doveva fino a poco tempo fa inviare i suoi contratti quadro per posta ordinaria o organizzare incontri di firma in presenza, generando ritardi di 10-21 giorni lavorativi per contratto.

Implementando una soluzione collegata a un PSCQ europeo iscritto nella Trust List, l'azienda ha ridotto il ciclo di firma a meno di 48 ore in media. Il riconoscimento reciproco tra Stati membri garantisce il valore giuridico senza necessità di ulteriori legalizzazioni. Su un portafoglio di 350 contratti fornitori annuali, il risparmio stimato in costi amministrativi e logistici supera 40.000 € all'anno, secondo fasce coerenti con gli studi settoriali pubblicati da ACFE e APQC.

Scenario 3 — Un raggruppamento ospedaliero sottoposto ai requisiti del settore sanitario

Un raggruppamento ospedaliero di circa 1.200 posti letto deve firmare elettronicamente appalti pubblici, accordi di ricerca clinica e contratti di medici ospedalieri. Questi documenti sono sottoposti al Codice della commande pubblica, che richiede una firma elettronica conforme al RGS (Referenziale Generale di Sicurezza) di livello ** o, dal momento della dematerializzazione degli appalti pubblici, a un livello equivalente eIDAS.

Affidandosi a un PSCQ iscritto nell'elenco di fiducia francese, il raggruppamento garantisce la conformità con l'articolo R. 2132-7 del Codice della commande pubblica riducendo al contempo i tempi di firma degli appalti da 15 giorni a meno di 72 ore. L'integrazione API con il sistema informativo ospedaliero (SIH) ha permesso di automatizzare l'invio e il tracciamento dei documenti, liberando circa 0,4 FTE dalle attività amministrative legate ai contratti.

Conclusione

Scegliere un fornitore eIDAS qualificato non è un semplice acquisto software: è una decisione strategica che impegna il valore probatorio dei vostri atti, la conformità normativa della vostra organizzazione e la fiducia dei vostri partner commerciali e istituzionali. Nel 2026, con l'entrata in vigore progressiva di eIDAS 2.0 e i nuovi obblighi NIS2, il livello di esigenza non fa che aumentare.

I punti essenziali da ricordare: verificate sistematicamente l'iscrizione nell'elenco di fiducia ufficiale, esigete una politica di certificazione pubblicata, e adattate il livello di firma (QES, AES, SES) all'importanza giuridica di ogni documento.

Certyneo vi accompagna in questo percorso dando accesso a certificati qualificati tramite PSCQ referenziati, un'API di integrazione robusta e un supporto legale dedicato. Pronti a passare alla firma qualificata? Richiedete una dimostrazione o create il vostro account su Certyneo e mettete la vostra organizzazione in conformità da oggi.