eIDAS 2.0: Complete Guide for Italian Businesses (2026)
Everything on EU regulation eIDAS 2.0 (Reg. EU 2024/1183): electronic signature, electronic seal, digital identity SPID/Wallet, business obligations, penalties and impact on B2B processes.
The Operational Context
On 20 May 2024, EU regulation 2024/1183 — known as eIDAS 2.0 — entered into force, updating the 2014 regulation. For Italian businesses this means a paradigm shift: new technical standards, new requirements for Trust Service Providers (TSPs), mandatory acceptance of new identification methods, and the introduction of the EU Digital Identity Wallet. Many organisations have not yet mapped the impact on their signing, certified storage and customer onboarding processes.
Enterprise Risks
Companies that fail to comply by the planned deadlines (full application of implementing regulations by 2026) will have to manage non-interoperable hybrid processes, with risks of contract invalidation, disputes with foreign clients/suppliers and, for TSPs, loss of qualification. Worse: without an adequate audit trail, in case of dispute the digital signature may not have full evidential value.
The AiChain Solution
A compliant eIDAS 2.0 signature platform must ensure: (1) native support for the three standard formats (CAdES, PAdES, XAdES), (2) electronic seal for legal entities, (3) certified storage of signed documents per ETSI EN 319 532, (4) immutable blockchain audit trail for forensic traceability, (5) integration with SPID and, prospectively, the EU Digital Identity Wallet. SignSiSure is designed to meet all these requirements.
Three signature formats supported: CAdES (CMS Advanced Electronic Signatures, .p7m files) for generic documents, PAdES (PDF Advanced) for native PDFs, XAdES (XML Advanced) for structured public administration documents. All with B-B, B-T, B-LT, B-LTA profiles (with timestamp and archive reference).
eIDAS 2.0 Electronic Seal art. 35-40: equivalent of digital signature for legal entities. Mandatory for B2B electronic invoicing, corporate acts, supply contracts between businesses.
EU Digital Identity Wallet (EUDIW): digital wallet that every EU citizen will be able to download (planned 2026-2027). Companies will have to accept digital identities issued by wallets from other member states.
Blockchain audit trail: each signature generates a hash of the document + timestamp + signer identity + device identity, notarised on a permissioned blockchain. This makes it impossible to dispute the authenticity of the signature even years later.
Certified storage: signed documents must be retained for 10 years (fiscal) or according to the applicable civil/criminal term. Storage must guarantee integrity, authenticity and readability over time.
Cross-border interoperability: the regulation guarantees that a qualified signature issued in one member state is recognised in all other 26 EU countries, eliminating fragmentation of the digital single market.
Timeline e scadenze 2026-2027
L'eIDAS 2.0 è entrato in vigore il 20 maggio 2024, ma la piena applicazione è scaglionata. Entro il 2025 la Commissione europea ha pubblicato gli atti delegati e di esecuzione tecnici. Entro il 2026 tutti gli Stati membri devono rendere disponibile almeno un'implementazione del EU Digital Identity Wallet. Entro il 2027 l'EUDIW diventa strumento di identificazione obbligatorio accettato da tutti i servizi pubblici e, progressivamente, dai servizi privati essenziali (banche, telecomunicazioni, energia, trasporti). Per le aziende italiane, la scadenza operativa chiave è il 2026: da quel momento i sistemi di firma devono accettare credenziali EUDIW e i TSP devono offrire sigillo elettronico qualificato conforme al nuovo regolamento.
Le tre tipologie di firma eIDAS: Semplice, Avanzata, Qualificata
eIDAS 2.0 mantiene la tripartizione del 2014, ma ne rafforza i criteri. La **firma elettronica semplice (SES)** è qualsiasi metodo (es. scansione di una firma autografa) e ha valore probatorio limitato. La **firma elettronica avanzata (AES)** richiede identificazione univoca del firmatario, collegamento univoco ai dati, rilevamento alterazioni. La **firma elettronica qualificata (QES)** è basata su un certificato qualificato rilasciato da un TSP autorizzato, su dispositivo sicuro (HSM o firma remota), ed è l'unica ad avere equivalenza legale piena con la firma autografa in tutta l'UE. Per B2B e PA, la QES è la scelta obbligata.
EU Digital Identity Wallet: come cambia l'onboarding clienti
L'EUDIW è un'app mobile rilasciata dallo Stato (per l'Italia, evoluzione di SPID/CIE) che permette al cittadino di attestare la propria identità, attributi (es. albo professionale, residenza, IBAN) e credenziali (es. titoli di studio) verso terzi, in modo selettivo e con crittografia end-to-end. Le aziende potranno accettare un'identità EUDIW al posto di SPID/CIE/Passaporto per KYC e onboarding, con il vantaggio di attributi pre-verificati (quindi minor costo e tempo). L'integrazione richiede API conformi allo standard OpenID for Verifiable Credentials (OIDC4VC) e ISA².
Sigillo elettronico: la firma delle imprese
Introdotto da eIDAS 1.0 e rafforzato in eIDAS 2.0, il sigillo elettronico è l'equivalente della firma digitale ma per le persone giuridiche. Viene apposto da un'azienda su un documento per garantirne provenienza e integrità (es. fattura elettronica emessa, attestazione di conformità). A differenza della firma digitale, non richiede l'identificazione di una persona fisica specifica ma dell'organizzazione. In SignSiSure il sigillo elettronico qualificato eIDAS 2.0 è supportato nativamente, con scelta del certificato e del dispositivo (HSM locale, HSM cloud o firma remota qualificata).
Audit trail notarizzato su blockchain: il vantaggio competitivo
Una firma qualificata ha pieno valore legale, ma in caso di contenzioso l'onere della prova ricade spesso su chi la invoca. Per questo SignSiSure notarizza ogni evento di firma su blockchain permissioned (Hyperledger Fabric): il documento firmato, il certificato, il timestamp, l'IP, l'identità del dispositivo e l'identità del firmatario sono hashati e registrati in un log immutabile. Chiunque può verificare a posteriori (anche anni dopo) che quella firma è stata apposta in quel momento, da quel firmatario, su quel documento integro. La blockchain fornisce prova crittografica di anteriorità, eliminazione del rischio di manomissione post-firma.
Conservazione a norma dei documenti firmati
La conservazione digitale dei documenti firmati digitalmente è regolata in Italia dalle regole tecniche AgID (DPCM 3 dicembre 2013) e in ambito europeo dallo standard ETSI EN 319 532. I requisiti chiave sono: integrità (impossibilità di modifica), autenticità (certezza del firmatario), leggibilità nel tempo (formati aperti o convertibili), accessibilità (indicizzazione e ricerca). La conservazione a norma in SignSiSure avviene per 10 anni (termine fiscale standard) o per il termine specifico del settore, con rinnovo automatico dei riferimenti temporali e marcatura archivistica. L'audit trail su blockchain permette di dimostrare la catena di custodia anche dopo la dismissione del sistema che ha generato il documento.
Confronto con le soluzioni tradizionali (DocuSign, Adobe Sign)
Le soluzioni internazionali (DocuSign, Adobe Sign, HelloSign) offrono firma qualificata eIDAS ma con server in US/UE e dati che escono dal perimetro italiano, problema critico per PA, sanità, legal e finance. SignSiSure è una piattaforma di firma con deploy on-premise o cloud privato in UE, certificata AgID/ACN, con conservazione a norma integrata e notarizzazione blockchain. Per aziende italiane che hanno vincoli di sovranità del dato, settori regolati o workflow con documenti confidenziali, SignSiSure offre una compliance eIDAS 2.0 completa senza rinunciare al controllo dell'infrastruttura.
Solutions Comparison
| Caratteristica | Firma Tradizionale | Firma Digitale Semplice | Firma Qualificata eIDAS | SignSiSure eIDAS 2.0 |
|---|---|---|---|---|
| Valore legale | Pieno | Limitato | Pieno in UE | Pieno in UE + audit blockchain |
| Identificazione | De visu | Email/password | Certificato TSP | Certificato + KYC forte |
| Audit trail | Cartaceo | Log modificabili | Log applicativo | Blockchain immutabile |
| Conservazione 10 anni | Archivio fisico | Server backup | Server + policy | Integrata + rinnovo automatico |
| Cross-border UE | N/A | N/A | Sì | Sì + Wallet EUDIW |
| Costo per firma | Basso (carta) | Basso | Medio | Medio + zero rischio contenzioso |