Transizione eIDAS 1 verso 2: impatti sulla firma nel 2025

Il 20 maggio 2024, il regolamento (UE) 2024/1183 — comunemente chiamato eIDAS 2 — è stato pubblicato nella Gazzetta ufficiale dell'Unione europea, abrogando progressivamente il regolamento n°910/2014 (eIDAS 1). Questo testo rappresenta la riforma più strutturale dell'identità digitale e della firma elettronica in Europa dal 2016. Per le aziende francesi che utilizzano soluzioni di firma elettronica nei loro flussi contrattuali, la transizione non è una semplice formalità: comporta adeguamenti tecnici, legali e organizzativi il cui orizzonte si estende fino al 2026 e oltre. Comprendere il passaggio da eIDAS 1 a eIDAS 2 e il suo impatto sulla firma elettronica nel 2025 è quindi diventato una priorità per i dipartimenti legali, IT e HR. Questo articolo decodifica i cambiamenti fondamentali del quadro normativo, il calendario preciso della transizione e le misure concrete da adottare per rimanere conforme.

Ciò che il regolamento eIDAS 2 modifica fondamentalmente

Dal regolamento del 2014 alla revisione del 2024: perché una revisione era necessaria

EIDAS 1 aveva stabilito le basi per il riconoscimento reciproco delle firme elettroniche all'interno dell'Unione. Tre livelli gerarchici — semplice (SES), avanzata (AdES) e qualificata (QES) — strutturavano il valore probatorio delle firme, supportati da un elenco di prestatori di servizi fiduciari (TSL). Ma in dieci anni, sono emerse due lacune importanti.

In primo luogo, il regolamento originale si applicava essenzialmente alle relazioni con le amministrazioni pubbliche (G2B, G2C). Non creava obblighi diretti nelle transazioni private (B2B, B2C), lasciando un vuoto normativo che ogni Stato membro colmava in modo eterogeneo. In secondo luogo, l'espansione dei servizi digitali — applicazioni mobili, open banking, telemedicina — aveva rivelato l'assenza di un sistema di identità digitale portatile e interoperabile a livello continentale.

EIDAS 2 affronta questi due sfide introducendo il portafoglio europeo di identità digitale (EU Digital Identity Wallet, EUDIW) e ampliando l'ambito dei servizi fiduciari a nuovi casi d'uso: archiviazione elettronica qualificata, attestazioni di attributi qualificati, registri elettronici qualificati (incluse le applicazioni blockchain certificate).

Le nuove categorie di servizi fiduciari qualificati

Il regolamento eIDAS 2 estende l'elenco dei servizi fiduciari qualificati (articolo 3 e allegato IV revisionato). Oltre alle firme, sigilli e marcature temporali qualificati già riconosciuti da eIDAS 1, sono ora qualificati:

• I servizi di archiviazione elettronica qualificata (art. 34 bis): obbligo di preservare l'integrità e la leggibilità dei documenti firmati nel lungo termine, con requisiti rafforzati per i prestatori (QTSP).
• I servizi di gestione di dispositivi di creazione di firma qualificata a distanza (QRCD): normativa rafforzata delle soluzioni di firma a distanza tramite HSM (Hardware Security Module) cloud.
• Le attestazioni di attributi qualificati: meccanismo che consente a un terzo fiduciario di certificare gli attributi di un'entità (ad es. qualità di avvocato, status di medico) senza rivelare l'intera identità.
• I registri elettronici qualificati: riconoscimento di registri distribuiti alle condizioni rigorose di controllabilità e resilienza.

Per gli utenti di soluzioni di firma elettronica, questa estensione significa che i servizi fiduciari qualificati disponibili sul mercato si diversificheranno, e che i criteri di selezione di un prestatore (QTSP) devono integrare queste nuove capacità.

L'EUDIW: il portafoglio di identità digitale come infrastruttura della firma

L'innovazione più visibile di eIDAS 2 rimane l'EUDIW. Ogni Stato membro dovrà mettere a disposizione dei suoi cittadini e residenti un portafoglio di identità digitale gratuito, interoperabile con tutti gli altri Stati membri, entro il 26 novembre 2026 (termine di conformità nazionale secondo l'articolo 5 bis). Questo portafoglio permetterà:

• di autenticare l'utente con un livello di assicurazione elevato (LoA High) senza ricorrere a un prestatore terzo di identificazione;
• di firmare elettronicamente i documenti con un valore qualificato (QES) direttamente dal portafoglio;
• di condividere attributi di identità selettivi (selective disclosure), rispettando così il principio di minimizzazione dei dati del RGPD.

Per le aziende, l'EUDIW semplifica teoricamente le procedure di verifica dell'identità preliminare alla firma qualificata, eliminando l'attrito della videoidentificazione o dell'identificazione faccia a faccia. In pratica, l'impatto dipenderà dal ritmo di dispiegamento nazionale — la Francia ha avviato nel 2025 un esperimento pilota nel contesto del programma « France Identité ».

Calendario preciso della transizione da eIDAS 1 a eIDAS 2

I traguardi normativi da conoscere

Il regolamento 2024/1183 è entrato in vigore il 20 maggio 2024, ma la sua applicazione è progressiva. Ecco le scadenze chiave:

| Data | Evento | |------|----------| | 20 maggio 2024 | Pubblicazione sulla GUUE, entrata in vigore formale | | 20 novembre 2024 | Termine di 6 mesi per l'adozione degli atti di esecuzione da parte della Commissione (specifiche tecniche dell'EUDIW) | | Fine 2025 | Pubblicazione delle norme ETSI riviste (EN 319 411-1/2, EN 319 401) integrando i requisiti eIDAS 2 | | 26 maggio 2026 | Data limite per la conformità degli Stati membri sulle nuove categorie di servizi qualificati | | 26 novembre 2026 | Messa a disposizione obbligatoria dell'EUDIW da parte di ogni Stato membro | | 2027-2028 | Revisione completa degli elenchi di fiducia nazionali (TSL) e accreditamento dei nuovi QTSP |

EIDAS 1 rimane valido e le firme emesse secondo il suo regime conservano il loro pieno valore giuridico. Non c'è alcun obbligo di firmare nuovamente i documenti esistenti. Tuttavia, i prestatori di servizi fiduciari qualificati dovranno rinnovare il loro accreditamento secondo i nuovi standard tecnici entro il 2027.

Ciò che non cambia e ciò che devi monitorare

La continuità è un principio cardinale della transizione. I tre livelli di firma (SES, AdES, QES) sono mantenuti con le loro definizioni inalterate. La presunzione di equivalenza con una firma manoscritta attribuita alla QES (articolo 25 eIDAS 1, ripreso all'articolo 27 eIDAS 2) rimane in vigore. Il valore probatorio delle tue firme elettroniche attuali non è messo in discussione.

Ciò che devi monitorare invece: gli atti di esecuzione (implementing acts) pubblicati dalla Commissione europea nel corso del 2025-2026 fisseranno le specifiche tecniche precise dell'EUDIW e delle nuove categorie di servizi. Questi testi di livello 2 hanno un'importanza pratica considerevole per gli integratori e gli editori di software. Per le aziende che utilizzano la firma elettronica nei loro processi HR o legali, si consiglia di chiedere al proprio prestatore una roadmap di conformità eIDAS 2.

Impatto concreto sulle aziende e le loro soluzioni di firma

Quali flussi di lavoro sono interessati prioritariamente?

La transizione da eIDAS 1 a eIDAS 2 non ha lo stesso impatto a seconda del livello di firma utilizzato. Per le aziende, si distinguono tre situazioni:

Firma elettronica semplice (SES): utilizzata per gli allegati di basso valore, ricevute di ricezione, moduli interni. Nessun obbligo di aggiornamento immediato. Le regole probatorie rimangono regolate dal Codice civile (art. 1366-1367) e non direttamente da eIDAS.

Firma elettronica avanzata (AdES/AdESQC): le aziende che utilizzano soluzioni B2B per contratti commerciali, contratti di lavoro dematerializzati o atti immobiliari devono verificare che il loro prestatore mantenga la conformità alle norme ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) e EN 319 142 (PAdES) nelle loro versioni riviste per eIDAS 2. Queste norme saranno pubblicate da ETSI entro la fine del 2025.

Firma elettronica qualificata (QES): i prestatori qualificati (QTSP) dovranno passare a un nuovo accreditamento eIDAS 2. Il periodo transitorio concede un termine ragionevole (fino al 2027), ma gli inviti a gara pubblicati a partire dal 2025 dovrebbero integrare una clausola di conformità eIDAS 2 nei criteri di selezione. Per le organizzazioni che confrontano le opzioni disponibili, il comparativo delle soluzioni di firma elettronica consente di valutare la maturità degli editori su questo argomento.

Nuovi requisiti per i prestatori di servizi fiduciari qualificati (QTSP)

EIDAS 2 indurisce i requisiti applicabili ai QTSP su tre punti principali:

1. Sicurezza dei sistemi: allineamento obbligatorio su NIS2 (direttiva (UE) 2022/2555) per i QTSP, ora classificati come entità essenziali. Questo si traduce in obblighi di notifica degli incidenti entro 24 ore, audit di sicurezza annuali e attuazione di piani di continuità aziendale.

1. Responsabilità rafforzata: l'articolo 13 eIDAS 2 estende il regime di responsabilità dei QTSP. In caso di violazione provata, l'onere della prova è invertito: il prestatore deve dimostrare che non ha commesso negligenza, e non il contrario.

1. Interoperabilità obbligatoria: i QTSP dovranno esporre API standardizzate compatibili con l'EUDIW per consentire l'integrazione nativa dei portafogli di identità. Questo requisito accelererà la modernizzazione delle interfacce di integrazione disponibili per gli sviluppatori.

Per le aziende che considerano di cambiare prestatore in questo contesto, migrare da DocuSign o YouSign verso una soluzione conforme eIDAS 2 è un percorso che merita di essere anticipato fin da ora piuttosto che in emergenza nel 2027.

Dati personali e eIDAS 2: l'articolazione con il RGPD

L'EUDIW raccoglie e elabora dati di identità personali. Il regolamento eIDAS 2 prevede esplicitamente (considerando 11 e articolo 5 bis §14) che l'intero dispositivo deve essere conforme al RGPD (regolamento (UE) 2016/679). Diversi punti di attenzione:

• Selective disclosure: il portafoglio deve consentire all'utente di condividere solo gli attributi strettamente necessari alla transazione (principio di minimizzazione, art. 5(1)(c) RGPD). Per una firma di contratto, potrebbe essere condivisa solo la verifica della maggiore età senza rivelare la data di nascita completa.
• Trasferimenti al di fuori dell'UE: i dati di identità elaborati nel contesto dell'EUDIW non possono essere trasferiti al di fuori dell'EEA se non con garanzie appropriate (art. 46 RGPD). I prestatori che utilizzano infrastrutture cloud americane devono documentare la loro conformità.
• Conservazione dei log di firma: l'archiviazione delle prove di firma deve rispettare la durata di conservazione proporzionata alla natura del documento. Il nuovo servizio di archiviazione qualificata eIDAS 2 offre un quadro tecnico per rispondere a questo requisito.

Le aziende che gestiscono contratti di lavoro internazionali sono particolarmente interessate da questa articolazione RGPD/eIDAS 2, in particolare quando i firmatari risiedono al di fuori dell'UE.

Quadro giuridico applicabile alla transizione da eIDAS 1 a eIDAS 2

Testi di riferimento

La transizione si basa su un sovrapporsi di testi che è indispensabile padroneggiare:

A livello europeo:

• Regolamento (UE) n°910/2014 (eIDAS 1): ancora in vigore fino alla sua abrogazione progressiva da eIDAS 2. Definisce i tre livelli di firma (SES, AdES, QES) e il regime dei QTSP.
• Regolamento (UE) 2024/1183 (eIDAS 2): entrato in vigore il 20 maggio 2024. Modifica sostanzialmente eIDAS 1 senza abrogarlo immediatamente. Le disposizioni relative all'EUDIW si applicano dopo la pubblicazione degli atti di esecuzione.
• Regolamento (UE) 2016/679 (RGPD): si applica integralmente al trattamento dei dati di identità nel contesto dell'EUDIW e dei processi di firma. L'articolo 5 bis §14 di eIDAS 2 ricorda esplicitamente questa subordinazione.
• Direttiva (UE) 2022/2555 (NIS2): impone obblighi di cybersecurity rafforzati ai QTSP, ora classificati come entità essentienti. Recepita in diritto francese dall'ordinanza n°2024-821 del 20 giugno 2024 (in fase di decreto d'applicazione).

A livello francese:

• Codice civile, articoli 1366 e 1367: fondamento del valore probatorio degli scritti in forma elettronica. L'articolo 1366 stabilisce l'equivalenza tra scritto elettronico e carta alle condizioni specificate. L'articolo 1367 attribuisce alla firma qualificata (QES) la stessa forza probatoria di una firma manoscritta.
• Decreto n°2017-1416 del 28 settembre 2017: precisa le condizioni di utilizzo della firma elettronica negli atti privati. Rimane applicabile durante il periodo transitorio.
• Referenziale generale di sicurezza (RGS) v2: per le amministrazioni francesi, il RGS impone l'utilizzo di soluzioni referenziate dall'ANSSI. Il suo aggiornamento per integrare eIDAS 2 è atteso nel corso del 2026.

Norme tecniche ETSI applicabili

Le norme ETSI costituiscono il livello 3 della gerarchia normativa. Le versioni attuali applicabili:

• EN 319 132-1/2: formato XAdES (firme XML avanzate)
• EN 319 122-1/2: formato CAdES (firme CMS avanzate)
• EN 319 142-1/2: formato PAdES (firme PDF avanzate)
• EN 319 401: requisiti generali per i prestatori di servizi fiduciari
• EN 319 411-1/2: requisiti per le AC che emettono certificati qualificati

Queste norme saranno riviste entro la fine del 2025 per integrare i nuovi requisiti eIDAS 2. I contratti con i QTSP devono includere una clausola di aggiornamento alle versioni riviste senza costi aggiuntivi.

Rischi legali della non-conformità

Una firma emessa da un prestatore che non fosse più accreditato dopo il 2027 non perderebbe automaticamente il suo valore giuridico per i documenti già firmati, ma non beneficerebbe più della presunzione legale di equivalenza con una firma manoscritta (art. 25 eIDAS). L'onere della prova dell'integrità e dell'identità del firmatario ricadrebbe interamente sull'azienda in caso di controversia. Questo rischio probatorio è particolarmente sensibile per gli atti il cui termine di prescrizione è lungo (5 anni in materia commerciale, 30 anni per i diritti reali immobiliari).

Scenari di utilizzo: come le organizzazioni anticipano la transizione eIDAS 2

Scenario 1: uno studio legale di 25 collaboratori razionalizza la conformità documentale

Uno studio legale specializzato in diritto commerciale, con circa 25 collaboratori e un'intensa attività di firma di mandati, atti di cessione e protocolli d'accordo, utilizzava fino al 2024 una soluzione di firma avanzata (AdES) per l'intero flusso documentale. All'annuncio di eIDAS 2, lo studio ha condotto un audit dei suoi 1.200 documenti firmati annualmente per identificare quelli che richiedevano una QES secondo le nuove raccomandazioni dell'ordine.

Risultato: il 15% degli atti (circa 180 all'anno) è stato riclassificato verso la firma qualificata, il che ha consentito di proteggere il regime probatorio di questi documenti. Lo studio ha negoziato con il suo editore di firma una clausola che garantisse la conformità eIDAS 2 dalla pubblicazione degli atti di esecuzione, senza costi aggiuntivi. Il tempo amministrativo legato alla verifica dell'identità dei firmatari è diminuito del 40% grazie all'anticipazione dell'integrazione EUDIW pianificata per il 2026.

Scenario 2: una PMI industriale di 150 dipendenti protegge la sua catena contrattuale fornitori

Una PMI industriale che gestisce circa 350 contratti fornitori all'anno — ordini di acquisto, NDA, contratti-quadro — funzionava con due soluzioni di firma distinte per i suoi flussi interni ed esterni, creando una frammentazione delle prove di audit. Nel contesto della transizione eIDAS 2 e dei nuovi requisiti di archiviazione qualificata, l'IT ha deciso di unificare la sua piattaforma.

Migrando verso una soluzione unica che integra l'archiviazione elettronica qualificata (futura categoria eIDAS 2), la PMI ha ridotto i costi di archiviazione protetto del 30% e consolidato le prove di firma in una cassaforte digitale conforme. L'intera catena documentale è ora controllabile in meno di 2 minuti durante i controlli fornitori — un requisito crescente dei loro clienti nel settore automobilistico.

Scenario 3: un raggruppamento ospedaliero di circa 600 letti prepara l'integrazione EUDIW

Un raggruppamento ospedaliero pubblico utilizzava la firma elettronica qualificata per i suoi contratti medici e i suoi acquisti pubblici, in conformità agli obblighi del codice degli appalti pubblici. Con eIDAS 2, il servizio informatico ha identificato due problematiche prioritarie: l'integrazione futura del portafoglio « France Identité » per i medici liberi che operano nell'istituto, e la conformità NIS2 del suo QTSP.

Il raggruppamento ha incluso nel suo schema direttore digitale 2025-2028 un lotto specifico « conformità eIDAS 2 », con un budget previsto di 45.000 € per la migrazione tecnica e la formazione del personale. L'obiettivo è essere in grado di accettare firme via EUDIW dal dispiegamento nazionale previsto per novembre 2026, riducendo così i tempi di contrattualizzazione con i professionisti sanitari liberi da 3 giorni a meno di 4 ore in media secondo i benchmark settoriali disponibili.

Conclusione

La transizione da eIDAS 1 a eIDAS 2 non è una rottura ma un'evoluzione strutturata, con un calendario preciso che si estende fino al 2027. Gli impatti sulla firma elettronica sono reali — estensione dei servizi qualificati, arrivo dell'EUDIW, inasprimento dei requisiti NIS2 per i QTSP — ma gestibili se anticipati. Le aziende che agiscono ora godono di un margine di manovra per controllare i loro flussi di lavoro, proteggere i loro contratti con i loro prestatori e formare i loro team senza pressione di urgenza normativa.

Certyneo accompagna le aziende in questa transizione con una roadmap di conformità eIDAS 2 chiara, formati di firma mantenuti aggiornati e un'architettura pronta per l'integrazione EUDIW. Pronto a proteggere i tuoi flussi di firma in questo nuovo quadro normativo? Scopri le nostre offerte e inizia gratuitamente su Certyneo.