Fournitori eIDAS kwalifikati: il-lista uffiċjali 2026

Għaliex is-status "kwalifikat" eIDAS huwa kritiku għall-kumpanija tiegħek?

Minn meta dħal fis-seħħ ir-Regolament eIDAS (n° 910/2014), is-suq Ewropew tal-firma elettronika ġie ristrutturat b'mod profond madwar ġerarkija bi tliet livelli: il-firma elettronika sempliċi (SES), il-firma elettronika avvanzata (AES) u il-firma elettronika kwalifikata (QES). Din tal-aħħar hija l-unika li ttejjeb minn presunzjoni legali ta' ekwivalenza cus-sinjatura manuwali fl-intier tal-istati membri tal-Unjoni Ewropea.

Biex kumpanija tkun tista' toffri firme kwalifikati, irid b'mod imperattiv tkun ittihaddet u reġistrata fuq il-lista ta' kunfidenza (Trust List) tal-istat membru tagħha. F'Malta, hija l-Aġenzija Nazzjonali għas-Sigurezza tas-Sistemi ta' Informazzjoni (ANSSI) li tipprovdi dan ir-reġistru uffiċjali, ripubblikat imbagħad fl-lista Ewropea ċentralizzata amministrata mill-Kummissjoni Ewropea.

Il-komprenzjoni ta' din l-arkitettura hija fundamentali qabel ma tiffirma l-ebda kuntratt kummerċjali sensitivu. Għal aktar dettalji dwar il-bażi regolatorja, il-gwida kompluta dwar ir-Regolament eIDAS 2.0 tagħti dettalji tal-intier tal-obbligi u tal-evoluzzjonijiet introdotti mir-Regolament eIDAS 2.0 rivdut (Regolament UE 2024/1183).

---

Kif jiġu ċertifikati l-fournitori ta' servizzi ta' kunfidenza kwalifikati?

Il-mogħdija lejn is-status ta' Fornitur ta' Servizz ta' Kunfidenza Kwalifikat (PSCQ) hija stretta. Tinvolvi awditoria mwettqa minn organizzazzjoni ta' evaluazzjoni tal-konformità (CAB, Conformity Assessment Body) akkreditata, skond il-normi ETSI EN 319 401 (rekwiżiti ġenerali) u ETSI EN 319 411-2 għall-ċertifikati kwalifikati.

Il-passi ta' kwalifikazzjoni ANSSI

1. Depożitu tal-fajl ta' kwalifikazzjoni: il-fornitur jissubbmetti d-dokumentazzjoni teknika, ta' sigurezza u organizzazzjonali tiegħu lill-ANSSI.
2. Awditoria minn CAB akkreditata: organizzazzjoni terza — bħal Bureau Veritas, LSTI jew Apave Certification — tivverifikaw il-konformità fuq post u f'dokumenti.
3. Deċiżjoni ta' kwalifikazzjoni: l-ANSSI tħarreġ il-kwalifikazzjoni u treġistra l-fornitur fuq il-lista ta' kunfidenza Maltija (TL-MT).
4. Rinnovazzjoni perjodika: il-kwalifikazzjoni tiġi rievaluata, ġeneralment kull sentejn, biex tiġi garantita l-manutenzjoni tal-rekwiżiti.

X'teżamina konkretament l-awditoria?

L-awditur jeżamina partikolarment:

• Is-sigurezza fiżika tal-ċentri ta' data li tħożen iċ-ċwievet kriptografiki (moduli HSM ċertifikati CC EAL 4+ jew FIPS 140-2 Level 3 bħala minimu);
• Il-politiki ta' ċertifikazzjoni (CP) u d-dikjarazzjonijiet tal-prattiki ta' ċertifikazzjoni (CPS) pubblikati mill-fornitur;
• Il-proċeduri ta' verifika ta' identità tal-firmatarji (miftiehma jew verifika ta' identità minn distanza konformi mal-norma EN 419 241-1);
• Il-ġestjoni tar-revoki u d-disponibbiltà tas-servizzi OCSP/CRL.

Dawn il-kriterji jispiegaw għaliex biss numru żgħir ta' atturi jilħqu u jmantnu dan il-livell ta' ċertifikazzjoni f'Malta.

---

Il-fournitori eIDAS kwalifikati referenzjati f'Malta fl-2026

Il-lista uffiċjali tal-fournitori kwalifikati hija konsultabbli fi kwalunkwe ħin fuq il-portal uffiċjali tal-Kummissjoni Ewropea (eidas.ec.europa.eu/efts), filtrat fuq "Malta" u s-servizz "QCertESig" (Ċertifikat Kwalifikat għal Firma Elettronika). Hawn l-atturi li kienu fuq ir-reġistru fl-ħin tal-ktieb ta' dan l-artikolu (Ġunju 2026):

Atturi Maltin reġistrati fuq il-Trust List

| Fornitur | Tip ta' servizz kwalifikat | Partikolarità | |---|---|---| | Certigna (Dhimyotis) | Ċertifikati kwalifikati, timestamp kwalifikat | Grupp La Poste, ċertifikat eIDAS minn 2016 | | Certinomis | Ċertifikati kwalifikati | Filiala La Poste, orjentat lejn is-settur pubbliku | | ChamberSign France | Ċertifikati kwalifikati | Netwerk tal-CCI, ankuraġġ qawwi SME/TPE | | Keynectis / DocuSign France | Ċertifikati kwalifikati | Akkwistat minn DocuSign, manutenzjoni tal-label ANSSI | | Universign (Tessi) | Ċertifikati kwalifikati, timestamp | Pioneering tas-suq, integrat fil-grupp Tessi | | Entrust (ex-Datacard) | Ċertifikati kwalifikati | Attur internazzjonali, Trust List multi-Stati Membri | | Oodrive Sign | Ċertifikati kwalifikati | Editur sovran Malti, kwalifikat SecNumCloud |

> Twissija: din il-lista hija fornuta għal skopz indikattivu u informattivu. Biss il-Trust List uffiċjali tal-Kummissjoni Ewropea huwa validu. Verifikaw dejjem l-istat attwali fuq il-portal ETSI qabel kwalunkwe impenn kuntrattuwali.

Fournitori barranin rikonoxxuti f'Malta permezz tal-Trust List Ewropea

Bil-virtue tal-prinċipju ta' rikonjita reċiproka stabbilitu mill-artikolu 25 tar-Regolament eIDAS, firma kwalifikata emessa minn PSCQ reġistat fuq il-lista ta' kunfidenza ta' istat membru ieħor tipproduċi l-istess effetti legali f'Malta. Fost l-atturi mhux Maltin użati b'mod frekwent:

• Namirial (Italja): qawwi fil-firma kwalifikata minn distanza (QES remote signing);
• SwissSign (Svizzera): attenzjoni, is-Svizzera mhix membru tal-UE; ir-rikonjita hija parzjali;
• Qualified.one / Asseco Data Systems (Polonja): attur pubbliku Ewropew, frekwent fil-merkati transfrontalieri.

Biex tqabbil dawn is-soluzzjonijiet skond il-bżonnijietok tal-negozju, kkunsidra l-komparazzjoni tas-soluzzjonijiet ta' firma elettronika li tanalizza l-kriterji ta' prezz, konformità u integrazzjoni API.

---

Kif tagħżel il-fornitur eIDAS kwalifikat it-tajjeb għall-organizzazzjoni tiegħek?

Il-figuri fuq il-Trust List hija kundizzjoni neċessarja, iżda mhux suffiċjenti. Il-għażla ta' PSCQ għandha titbassas fuq bosta kriterji kumplimentari.

Kriterji tekniċi u ta' integrazzjoni

• API REST jew SDK disponibbli: essenzjali biex tawtomatizza l-firma fil-workflows tal-negozju tiegħek (ERP, SIRH, CRM);
• Formati ta' firma appoġġati: PAdES għall-PDF, XAdES għall-XML, CAdES għall-fajls binarji — kollha normalizzati minn ETSI EN 319 100;
• Disponibbiltà tas-servizz: SLA ogħla minn 99,9% garantit kontrattwalment, b'perjodi ta' manutenzjoni ppjanati barra mill-ħinijiet tal-uffizju;
• Hosting tad-data: preferibilment hosting f'Malta jew fl-UE, idealment kwalifikat SecNumCloud għad-data sensitiva.

Kriterji legali u ta' konformità

• Verifikaw li l-fornitur jipprovdi rapport ta' kwalifikazzjoni aġġornat (inqas minn 24 xahar);
• Agħmel isfond għal **politika ta' ċertifikazzjoni pubblikuż (CP) aċċessibbli pubblikament u auditata;
• Assikuraw li l-kundizzjonijiet ġenerali jipprovdu b'mod esplicit għall-ħruġ ta' ċertifikati kwalifikati skond il-Anness I tar-Regolament eIDAS.

Kriterji operazzjonali u ta' appoġġ

• Proċedura ta' enrōlment tal-firmatarji: miftiehma f'uffiċċju, identifikazzjoni bil-vidjo konformi eIDAS jew NFC minn titlu ta' identità elettronika;
• Appoġġ fil-Malti b'delays ta' rispons kontrattwali;
• Taħriġ u dokumentazzjoni disponibbli għall-ekwipi legali u IT tiegħek.

Jekk l-organizzazzjoni tiegħek timmaniġġja fluss ta' dokumenti RH importanti, il-paġna tagħna ddedikkata għall-firma elettronika għall-ekwipi RH tagħti dettalji tal-każi ta' użu speċifiċi (kuntratti tal-ħidmiet, amendments, onboarding) u l-livelli ta' firma rrakkommandati skond it-tip ta' dokument.

---

eIDAS 2.0: X'tibdiliet għall-fournitori kwalifikati fl-2026?

Ir-Regolament eIDAS 2.0 (Regolament UE 2024/1183, li daħal f'applikazzjoni progressiva minn Mejju 2024) jintroduċi bosta evoluzzjonijiet strutturali li jaffettwaw direttament il-PSCQ u l-kliyenti tagħhom.

Il-Portafoll Ewropew ta' Identità Numerika (EUDI Wallet)

L-artikolu 6a tar-Regolament rivdut timponi lill-Istati Membri li joffru, sal-Settembru 2026, portafoll ta' identità numerika (EUDI Wallet) rikonoxxut fl-intier tal-UE. Għall-fournitori kwalifikati, dan ifisser:

• L-obbliguizzjoni li jaċċettaw l-attributi ta' identità li joħorġu mil-wallet bħala prova ta' identità għall-enrōlment tal-firmatarji;
• L-emerġenza ta' servizz kwalifikat ġdid: id-ħruġ ta' attestazzjonijiet ta' attributi kwalifikati (Qualified Electronic Attestation of Attributes, QEAA).

Servizzi kwalifikati ġodda u estensjoni tal-perimetru

eIDAS 2.0 jitawwal il-lista tas-servizzi ta' kunfidenza kwalifikati biex jinkludi:

• Is-servizzi ta' arċivjazzjoni elettronika kwalifikata (QPDS, artikolu 45f);
• Is-servizzi ta' ġestjoni ta' apparati ta' ħolqien ta' firma minn distanza (QRCD).

Dawn l-evoluzzjonijiet jirrappreżentaw kemm kundizzjoni ta' konformità (deadlines stretti għall-fournitori eżistenti) kemm ukoll opportunità ta' differenziazzjoni għall-entrati ġodda li jistgħu jintegraw b'mod mabdum l-ispeċifikazzjonijiet tekniċi pubblikati mill-ENISA u l-ETSI.

Għall-kumpaniji li jikkunsidraw migrazzjoni minn platafforma eżistenti lejn soluzzjoni aktar konformi, il-gwida ta' migrazzjoni minn DocuSign jew YouSign lejn Certyneo tippreżenta l-passi konkrinti u l-punti ta' attenzjoni regolatorja.

Il-qafas legali applikabbli għall-fournitori eIDAS kwalifikati

Regolament eIDAS u dritt Ewropew

L-assodazzjoni legali hija l-Regolament (UE) n° 910/2014 tal-Parlament Ewropew u tal-Kunsill tal-23 ta' Lulju 2014 dwar l-identifikazzjoni elettronika u s-servizzi ta' kunfidenza għat-transazzjonijiet elettroniċi fil-merkatu intern (imsejjaħ "Regolament eIDAS"), kif modifikat mir-Regolament (UE) 2024/1183 (eIDAS 2.0). Dan ir-Regolament huwa direttament applikabbli fl-istati membri kollha bla traposizzjoni nazzjonali.

Id-dispożizzjonijiet ewlenin tiegħu għall-fournitori kwalifikati:

• Artikolu 17: obbliguizzjoni għal kull Stat Membru li tniedi organizzazzjoni ta' kontroll (f'Malta, l-ANSSI);
• Artikolu 20: proċedura ta' superviżjoni, awditoria u reġistrazzjoni fuq il-lista ta' kunfidenza;
• Artikolu 25: presunzjoni ta' ekwivalenza bejn QES u firma manuwali, b'effett legali garantit fl-intier tal-UE;
• Anness I: rekwiżiti rigwardanti ċertifikati kwalifikati għal firma elettronika;
• Anness II: rekwiżiti rigwardanti apparati ta' ħolqien ta' firma kwalifikata (QSCD).

Dritt Malti

F'dritt intern, il-firma elettronika hija mibdula minn:

• Kodiċi Ċivili, artikoli 1366 u 1367: l-artikolu 1366 jirrikonoxxu l-valur ta' prova tal-iskritt elettroniku bil-kundizzjoni li jiggarantixxu l-identità tal-awtur u l-integrità tad-dokument. L-artikolu 1367 jispjega li l-firma elettronika li tikkonsistu fi proċess affidabbli ta' identifikazzjoni ttejjeb presunzjoni ta' affidabbiltà meta tinħoloq skond id-dekret ta' applikazzjoni;
• Dekret n° 2017-1416 tal-28 ta' Settembru 2017: jiddefinixxi l-kundizzjonijiet li fiha l-firma elettronika kwalifikata hija prezzunta affidabbli f'Malta, billi tirriferi esplicitament air-Regolament eIDAS;
• Ordnanza n° 2005-674 tal-16 ta' Ġunju 2005 dwar il-kompletament ta' ċerti formalitajt kuntrattuwali bl-għodod elettroniċi.

Protezzjoni tad-dati personali

Il-proċessi ta' enrōlment u firma jinvolvu l-proċessar ta' dati personali (dati ta' identità, biometrija għall-identifikazzjoni bil-vidjo). Il-fornitur kwalifikat huwa soġġett air-Regolament (UE) 2016/679 (GDPR) u irid speċifikament:

• Jinibbseb DPO jekk il-proċessar huwa fuq skala kbira;
• Jiddokumenta l-proċessi fir-reġistru tal-CNPD;
• Iċċirkonda t-trasferimenti barra l-UE b'garanziji xierqa (klawsoli kuntrattuwali ta' mudell, deċiżjoni ta' adegwatezza).

Cybersecurity u resilienza

Minn Ottubru 2024, id-Direttiva NIS2 (2022/2555/UE) tapplika għall-fournitori ta' servizzi ta' kunfidenza kwalifikati, klassifikati bħala entitajt essenzjali. Iridu jimmettgħu miżuri ta' ġestjoni tar-riskji cyber, inotifikaw l-inċidenti sinifikanti lill-ANSSI f'24 sigħa, u isottomettux għal awditorji regolari. L-mancanza ta' rispett gerra għal gidab li jistgħu jilħqu 10 miljuni ta' ewro jew 2% tal-fatturaw dinji globali annwali.

Normi tekniċi ta' referenza

• ETSI EN 319 401: rekwiżiti ġenerali għall-fournitori ta' servizzi ta' kunfidenza;
• ETSI EN 319 411-2: profil ta' politika għaċ-ċertifikati kwalifikati;
• ETSI EN 319 132: formati ta' firma XAdES;
• ETSI EN 319 122: formati ta' firma CAdES;
• ETSI EN 319 162: formati ta' firma PAdES (PDF).

Senjarji ta' użu: meta l-firma kwalifikata eIDAS hija indispensabbli?

Senjarjo 1 — Uffizzju tal-avukati li jiggarantixxi atti soħ sezzjoni privata b'valur qawwi ta' prova

Uffizzju ta' avukati ta' negozji ta' madwar vent kollaboraturi jittraċċa kull xahar bosta dizenjazzjonijiet ta' ishri ta' sehem soċjali, protokolli ta' ftehim u kunvenazzjonijiet ta' garanzija ta' assi u passiv (GAP). Dawn l-atti jimpenjaw somom frekwentement ogħla minn bosta mija ta' eluf ta' ewro u huma soġġett għal kontestazzjoni fi ġudizzjar.

Qabel ma migriet lejn fornitur eIDAS kwalifikat, l-uffizzju kien juża soluzzjoni ta' firma avvanzata (AES), li kienet suffiċjenti għall-maġġoranza tal-atti ordinarja. Wara inċident fejn il-parti opposta kontestaw l-awtenteċità ta' firma fuq litiġju, l-uffizzju ħadem l-għażla tal-QES għall-atti b'riskju għoli. Riżultat: tnaqqis ta' 90% tal-ħin maqda biex tipproduċi evidenza ta' firma durante l-proċeduri kuntenzjoża, grazzi għall-presunzjoni legali irrefrabbli mehmuża cul-QES. Il-kost eċċess unitarju per firma (madwar 2 sa 5 ewro skond il-volumi) ġie assorbidu saħansitra bid-declinu tal-irispejmi ta' kontenzjoni.

Senjaryo 2 — ETI industrijali li tammaniġġja kuntratti fornitur transfrontalieri

Kumpanija ta' daqs medjan (ETI) tas-settur tal-attrezzatura industrijali, b'fournitori stabbilijti f'Malta, l-Ġermanja, l-Italja u l-Polonja, kellha qabel għaliex tpagnotta l-kuntratti kaddri tagħha permezz tal-posta jew torganizza mirjada ta' sinjatura f'persuna, li ġġenerat delays ta' 10 sa 21 ijiem tax-xogħol per kuntratt.

Billi ddeplawja soluzzjoni konnessa ma' PSCQ Ewropew reġistat fuq il-Trust List, il-kumpanija issaħħet iċ-ċiklu ta' sinjatura sa inqas minn 48 sigħa f'medja. Ir-rikonjita reċiproka bejn l-Istati Membri tiggarantixxi l-valur legali bla għaransa addizzjonali. Fuq portafoll ta' 350 kuntratti tal-fournitori annwali, il-qligħa stmata f'kosti amministrattivi u loġistiċi qalew 40,000 ewro kull sena, skond il-firxiet koerenti mal-istudji sectorjali ppubblikati mill-ACFE u l-APQC.

Senjaryo 3 — Grupp ta' spitjar soġġett għall-obbligi tas-settur tas-saħħa

Grupp ta' spitjar ta' madwar 1,200 sodda irid sinja b'mod elettroniku l-merkati pubbliċi, kunvenazzjonijiet ta' riċerka kliniċa u kuntratti ta' prattizzanti ospitaljeri. Dawn id-dokumenti huma soġġetti al-Kodiċi tal-appalti pubbliċi, li jeħtieġ firma elettronika konformi mar-RGS (Referenzjal Ġenerali ta' Sigurezza) ta' livell ** jew, minn meta ġiet ddemokkratizzata l-merkati pubbliċi, ta' livell ekwivalent eIDAS.

Billi tittrappendi fuq PSCQ reġistat fuq il-Trust List Maltija, il-grupp tiggarantixxi l-konformità mal-artikolu R. 2132-7 tal-Kodiċi tal-appalti pubbliċi filwaqt li tnaqqas il-delays ta' sinjatura tal-merkati minn 15 ijiem sa inqas minn 72 sigħa. L-integrazzjoni API mas-sistema ta' informazzjoni ospitaljera (SIH) ippermettiet l-awtomazzjoni tal-invidu u s-segwitu tad-dokumenti, iliberaw madwar 0,4 ETP fuq it-taskiet amministrattivi konnessi mal-kuntratti.

Konklużjoni

Il-għażla ta' fonitur eIDAS kwalifikat mhux biss akkwist ta' softwer: hija deċiżjoni strateġika li timpenja l-valur ta' prova tal-atti tiegħek, il-konformità regolatorja tal-organizzazzjoni tiegħek u l-fiduċja tal-partners kummerċjali u istituzzjonali tiegħek. Fl-2026, b'applikazzjoni progressiva ta' eIDAS 2.0 u obbligi ġodda NIS2, il-livell ta' meħtieġa ma jbiddel għall-aqwa.

Il-punti essenzjali għad-tifkira: verifikaw sistematikament ir-reġistrazzjoni fuq il-Trust List uffiċjali, agħmel isfond għal politika ta' ċertifikazzjoni pubbliċa, u adatta l-livell ta' firma (QES, AES, SES) għall-istess legali ta' kull dokument.

Certyneo takkumpanjaż fil-proċess din billi tagħtik aċċess għaċ-ċertifikati kwalifikati permezz ta' PSCQ referenzjati, API ta' integrazzjoni qawwija u appoġġ legali ddedikat. Lest tgħaddi għall-firma kwalifikata? Itlob dimostrazzjoni jew oħloq il-kont tiegħek fuq Certyneo u poġġi l-organizzazzjoni tiegħek f'konformità illum nnifsu.