Regolamento eIDAS: tutto quello che serve sapere sulla firma elettronica in Europa
Aggiornato il
Il regolamento eIDAS è il testo fondativo della firma elettronica in Europa. Definisce tre livelli di firma (semplice, avanzata, qualificata), stabilisce il valore giuridico degli atti elettronici e disciplina i prestatori di servizi fiduciari. Questa guida spiega tutto ciò che serve sapere per essere conformi nel 2026.
Che cos'è eIDAS e perché è stato creato?
Prima di eIDAS, ogni Stato membro dell’Unione europea aveva la propria normativa sulle firme elettroniche, generando una frammentazione giuridica che ostacolava gli scambi transfrontalieri. Una firma elettronica valida in Francia non era necessariamente riconosciuta in Germania o in Spagna.
Il regolamento (UE) n. 910/2014, noto come eIDAS (Electronic IDentification, Authentication and trust Services), è stato adottato il 23 luglio 2014 ed è applicabile dal 1° luglio 2016. In quanto regolamento (e non direttiva), si applica direttamente e uniformemente nei 27 Stati membri, senza necessità di recepimento nazionale.
eIDAS persegue tre obiettivi principali: creare un mercato unico digitale in Europa grazie al riconoscimento reciproco delle identità elettroniche, garantire la sicurezza giuridica delle transazioni elettroniche transfrontaliere e istituire un quadro di fiducia per i servizi digitali attraverso i prestatori qualificati di servizi fiduciari (QTSP — Qualified Trust Service Provider).
I 3 livelli di firma definiti da eIDAS
eIDAS delinea una piramide di tre livelli di firma elettronica, ciascuno con propri requisiti tecnici e proprio valore probatorio.
Firma elettronica semplice
Requisiti eIDAS
- Dati in forma elettronica collegati ad altri dati
- Utilizzati per firmare (senza requisiti tecnici specifici)
- Può essere un semplice clic, una casella spuntata o un nome digitato
Esempi d'uso
- Accettazione di termini
- Modulo online
- E-mail di conferma
Valore giuridico
Valore contrattuale di base, nessuna presunzione legale
Firma elettronica avanzata
Requisiti eIDAS
- Collegata in maniera univoca al firmatario
- Consente di identificare il firmatario
- Creata con dati sotto il controllo esclusivo del firmatario
- Ogni modifica successiva del documento è rilevabile
Esempi d'uso
- Contratti di lavoro
- NDA
- Contratti commerciali
- Procure
Valore giuridico
Forte valore probatorio — raccomandata per contratti rilevanti
Firma elettronica qualificata
Requisiti eIDAS
- Soddisfa tutti i requisiti della AES
- Creata da un dispositivo qualificato di creazione (QSCD)
- Basata su un certificato qualificato emesso da un QTSP (elenco di fiducia UE)
Esempi d'uso
- Atti pubblici digitali
- Appalti pubblici di rilievo
- Atti regolamentati
Valore giuridico
Presunzione legale equivalente alla firma autografa (art. 25 eIDAS)
eIDAS 2.0: le novità del 2024
Il regolamento eIDAS è stato rivisto dal regolamento (UE) 2024/1183, pubblicato nella Gazzetta ufficiale dell’UE il 30 aprile 2024 ed entrato in vigore il 20 maggio 2024. Tale revisione modernizza il quadro iniziale per rispondere alle sfide digitali attuali: identità digitale dei cittadini, cloud sovrano, resilienza dei prestatori fiduciari.
La misura di punta di eIDAS 2.0 è il Portafoglio europeo di identità digitale (EUDIW). Entro la fine del 2026 ogni Stato membro dovrà offrire a cittadini e residenti un’applicazione che consenta di conservare e mostrare attestazioni di identità certificate — l’equivalente digitale di carta d’identità, patente e titoli di studio. Questa evoluzione avrà un impatto diretto sui processi di firma qualificata.
Portafoglio europeo di identità digitale (EUDIW)
eIDAS 2.0 introduce l'European Digital Identity Wallet: ogni cittadino europeo potrà conservare le proprie attestazioni di identità certificate (carta d'identità, patente, diplomi) in un'applicazione mobile interoperabile in tutta l'UE.
Rafforzamento dei QTSP
Vengono inaspriti i requisiti applicabili ai prestatori qualificati di servizi fiduciari (QTSP), in particolare in materia di cybersicurezza, audit e continuità del servizio.
Nuovi servizi fiduciari
eIDAS 2.0 aggiunge nuovi servizi qualificati: archiviazione elettronica qualificata, gestione degli attributi qualificati, registro elettronico qualificato (blockchain certificata).
Interoperabilità rafforzata
Miglior riconoscimento reciproco delle identità digitali tra Stati membri. Le firme qualificate emesse in qualsiasi Paese UE sono riconosciute ovunque.
Come essere conformi a eIDAS nella pratica
La conformità a eIDAS non si riduce alla scelta di un livello di firma. Richiede una riflessione sull'intero processo: individuazione dei rischi, scelta degli strumenti, conservazione delle prove e governance documentale.
Ecco una checklist pratica per le imprese che intendono mettere in sicurezza i propri processi di firma elettronica in conformità con eIDAS:
L'approccio di Certyneo alla conformità eIDAS
Certyneo implementa i livelli SES (firma elettronica semplice) e AES (firma elettronica avanzata) del regolamento eIDAS. La firma avanzata si basa su un<linkMfa>autenticazione a due fattori</linkMfa>: un link monouso inviato per e-mail e un codice <linkOtp>OTP</linkOtp> inviato via SMS tramite OTP SMS. Questo meccanismo soddisfa i quattro criteri dellarticolo 26 del regolamento eIDAS per la firma avanzata.
Ogni busta genera un audit trail completo: marca temporale di ogni azione (invio, apertura del link, convalida dell’OTP, apposizione della firma, eventuale rifiuto), indirizzo IP del firmatario, user-agent del browser. Questo audit trail è integrato nel pie’ di ogni pagina del PDF finale (pie’ di auditing) e conservato per 10 anni.
I dati sono ospitati in Francia (infrastruttura IONOS), nell’Unione europea, in linea con i requisiti di sovranità digitale e con il GDPR. Consulti la nostra pagina sicurezza e conformità per tutti i dettagli tecnici.
Domande frequenti su eIDAS
Che cos'è il regolamento eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) è il regolamento europeo (UE) n. 910/2014 che stabilisce un quadro giuridico comune per le firme elettroniche, i sigilli elettronici, le marche temporali, i servizi di recapito certificato elettronico e i servizi di autenticazione dei siti web nell'Unione europea. È entrato in vigore il 1° luglio 2016 e si applica direttamente nei 27 Stati membri.
Qual è la differenza tra eIDAS ed eIDAS 2.0?
eIDAS 2.0 (regolamento (UE) 2024/1183, in vigore dal 20 maggio 2024) modernizza eIDAS 1.0 introducendo in particolare il Portafoglio europeo di identità digitale (EUDIW — European Digital Identity Wallet), che consentirà ai cittadini europei di conservare attestazioni di identità digitale certificate. Per le imprese, eIDAS 2.0 rafforza i requisiti dei prestatori qualificati di servizi fiduciari (QTSP) e migliora l'interoperabilità transfrontaliera.
Una firma elettronica semplice ha valore giuridico secondo eIDAS?
Sì. L'articolo 25 del regolamento eIDAS vieta espressamente di negare gli effetti giuridici a una firma elettronica per il solo fatto di essere in forma elettronica. Una firma semplice (SES) ha quindi valore giuridico, ma non beneficia della presunzione legale riservata alle firme qualificate (QES). In caso di contenzioso, spetta a chi invoca la firma dimostrarne l'autenticità.
Come scegliere il livello eIDAS adeguato per i miei contratti?
La regola generale è calibrare il livello sul rischio giuridico e commerciale del documento. Per i documenti correnti a basso impatto (preventivi, ordini interni) è sufficiente la firma semplice. Per contratti commerciali rilevanti, contratti di lavoro, NDA o procure è raccomandata la firma avanzata (AES). La firma qualificata (QES) è riservata ai casi in cui la legge la prescrive espressamente (alcuni atti amministrativi, appalti pubblici di grande rilievo) o quando il rischio di contestazione è massimo.
In che modo Certyneo è conforme a eIDAS?
Certyneo implementa la firma semplice (SES) e la firma avanzata (AES) in conformità a eIDAS. La firma avanzata si basa su un doppio OTP via e-mail e SMS (OTP SMS) che lega il firmatario al proprio atto. Ogni busta genera un audit trail con marca temporale integrato nel PDF finale. I dati sono ospitati in Francia (UE), in linea con i requisiti di sovranità digitale.
eIDAS si applica alle imprese al di fuori dell'Unione europea?
eIDAS si applica ai servizi fiduciari prestati nell'UE. Un'impresa stabilita fuori dall'UE che desidera veder riconosciute le proprie firme nell'UE deve utilizzare una soluzione conforme a eIDAS o un prestatore qualificato (QTSP) riconosciuto nell'elenco di fiducia di uno Stato membro. Per gli scambi B2B internazionali esistono accordi di riconoscimento reciproco con alcuni Paesi terzi.