Vai al contenuto principale
Certyneo
Regolamento (UE) n° 910/2014 — art. 26

Il percorso di una firma elettronica eIDAS

Una firma elettronica conforme al regolamento eIDAS segue 8 step tecnici precisamente definiti dagli articoli 24 a 42 del regolamento (UE) n° 910/2014 e dall'articolo 1366 del Codice civile. Ogni step è concepito per garantire un elemento distinto dell'affidabilità giuridica: identità, consenso, integrità, opponibilità temporale, archiviazione probante.

Questa pagina documenta ogni step con la sua citazione normativa esatta. È concepita come un riferimento stabile per i giornalisti legaltech, i buyer B2B e i giuristi — ogni articolo citato è verificabile su EUR-Lex o Légifrance tramite i link forniti. Le durate indicate corrispondono a un workflow firma avanzata (AES) standard; la firma qualificata (QES) aggiunge in media 30 secondi per la verifica approfondita d'identità.

Gli 8 step tecnici

Dall'invio del documento all'archiviazione probante 10 anni, ogni step cita l'articolo esatto che la regola.

  1. 1

    1. Invio del documento da firmare

    Il documento (PDF, immagine, contratto) è caricato dall'emittente e associato a uno o più indirizzi email dei firmatari. Il regolamento eIDAS definisce la firma elettronica come «dati in forma elettronica, che sono allegati o associati logicamente ad altri dati in forma elettronica e che il firmatario utilizza per firmare» (art. 3 §10). Nessun vincolo di formato è imposto a questo step: solo la tracciabilità del legame documento–firmatario conta giuridicamente.

    Citazione normativa: Règlement (UE) n° 910/2014 (eIDAS) — art. 3 §10

    Définition de la signature électronique

  2. 2

    2. Verifica d'identità del firmatario

    Per raggiungere il livello AES (firma avanzata), il regolamento richiede un'«identificazione univoca del firmatario» (art. 26 a). Concretamente: OTP SMS su telefono verificato, controllo di documento d'identità mediante acquisizione video, o identificazione forte tramite un fornitore d'identità notificato a livello UE (FranceConnect+, itsme, BankID). Per la QES, l'identificazione deve essere effettuata da un QTSP (Qualified Trust Service Provider) elencato nella TSL nazionale.

    Citazione normativa: Règlement (UE) n° 910/2014 (eIDAS) — art. 24

    Vérification d'identité du signataire (AES/QES)

  3. 3

    3. Raccolta del consenso informato

    Il firmatario deve aver preso conoscenza del contenuto e aver espresso la sua volontà di firmare. L'articolo 1366 del Codice civile richiede che « la persona da cui [lo scritto elettronico] emana possa essere debitamente identificata » e che la firma sia « apposta in condizioni tali da garantirne l'integrità ». Concretamente: visualizzazione del documento firmabile, casella di spunta di consenso, menzione manuale se richiesta da certi settori (assicurazione art. L132-5-1 Codice delle assicurazioni).

    Citazione normativa: Code civil — art. 1366

    Force probante de l'écrit électronique (consentement éclairé)

  4. 4

    4. Autenticazione crittografica forte

    L'articolo 26 del regolamento eIDAS richiede per l'AES che la firma sia « collegata al firmatario in modo univoco » (art. 26 b) E « creata mediante dati di creazione della firma elettronica che il firmatario può, con un elevato livello di fiducia, utilizzare sotto il suo controllo esclusivo » (art. 26 c). Tecnicamente: generazione di un certificato X.509 unico per firmatario, collegato al suo OTP SMS verificato. Per la QES, questo certificato deve essere qualificato (QSCD).

    Citazione normativa: Règlement (UE) n° 910/2014 (eIDAS) — art. 26 (b) & (c)

    Lien univoque signature–signataire + détection altération

  5. 5

    5. Apposizione della firma al documento

    La firma elettronica è crittograficamente collegata al contenuto del documento tramite hash SHA-256. L'articolo 1367 del Codice civile pone la presunzione di affidabilità: un procedimento di firma elettronica « affidabile » è presumibilmente valido legalmente fino a prova contraria — è l'inversione dell'onere della prova che rende la firma eIDAS così potente. Nel formato PAdES (PDF Advanced Electronic Signatures), la firma è incorporata nel PDF stesso.

    Citazione normativa: Code civil — art. 1367

    Présomption de fiabilité du procédé de signature électronique

  6. 6

    6. Marca temporale elettronica qualificata

    Una marca temporale crittografica è applicata tramite un servizio qualificato (QTSP marcatempo). Il regolamento eIDAS definisce la marca temporale qualificata negli articoli 41 e 42: stabilisce la prova giuridicamente opponibile della data e dell'ora esatta della firma, con una precisione dell'ordine del millisecondo. Senza marca temporale qualificata, la data può essere contestata — con essa, beneficia della presunzione di esattezza (art. 41 §2).

    Citazione normativa: Règlement (UE) n° 910/2014 (eIDAS) — art. 41 & 42

    Horodatage électronique qualifié (preuve de la date)

  7. 7

    7. Sigillo crittografico e rilevamento delle alterazioni

    Un sigillo elettronico qualificato (art. 35–40 del regolamento eIDAS) è apposto sul documento firmato per garantirne l'integrità. Qualsiasi modifica successiva del contenuto — anche di un solo byte — invalida automaticamente il sigillo, e quindi la firma. Questa proprietà crittografica (« tamper evidence ») è ciò che rende la firma eIDAS superiore alla firma manuale: su carta, un'alterazione discreta è molto difficile da rilevare; in eIDAS, è meccanicamente impossibile da occultare.

    Citazione normativa: Règlement (UE) n° 910/2014 (eIDAS) — art. 35–40

    Cachet électronique qualifié + intégrité cryptographique

  8. 8

    8. Archiviazione a valore probatorio

    Il documento firmato + il suo audit trail eIDAS (identità, marca temporale, certificati, sigillo) sono archiviati secondo i requisiti della norma AFNOR NF Z42-013 (« archiviazione elettronica a valore probatorio »). La durata minima è di 10 anni, allineata con l'articolo L123-22 del Codice di commercio per i documenti contabili e con l'articolo 2224 del Codice civile per la prescrizione di diritto comune. È richiesto un archivio digitale conforme alla norma NF Z42-020 (servizi di archiviazione elettronica).

    Citazione normativa: Norme AFNOR NF Z42-013

    Archivage électronique à valeur probante (10 ans minimum)

Perché questi 8 step sono indissociabili

Ogni step affronta un rischio giuridico distinto. Senza verifica d'identità, il firmatario può negare di essere l'autore (step 2). Senza consenso informato, la firma può essere contestata per difetto del consenso (art. 1130 CCiv, step 3). Senza autenticazione crittografica forte, l'unicità del legame firma–firmatario è contestabile (step 4). Senza marca temporale qualificata, la data può essere discussa (step 6). Senza sigillo, l'integrità del documento può essere attaccata successivamente (step 7). Senza archiviazione a valore probatorio, la prova scompare (step 8). La forza di eIDAS deriva precisamente dal concatenamento di queste 8 garanzie: nessuna è facoltativa in un flusso AES correttamente implementato.

Per approfondire

Metti in pratica il percorso eIDAS sui tuoi documenti

Piano gratuito, senza carta di credito. Firma avanzata AES eIDAS, archiviazione 10 anni inclusa.