eIDAS 2.0: Guida Completa per Aziende Italiane (2026)
Tutto sul regolamento europeo eIDAS 2.0 (Reg. UE 2024/1183): firma digitale, sigillo elettronico, identità digitale SPID/Wallet, obblighi per aziende, sanzioni e impatto sui processi B2B.
Il Contesto Operativo
Il 20 maggio 2024 è entrato in vigore il regolamento (UE) 2024/1183, noto come eIDAS 2.0, che aggiorna il precedente regolamento del 2014. Per le aziende italiane questo significa un cambio di paradigma: nuovi standard tecnici, nuovi requisiti per i fornitori di servizi fiduciari (TSP), obblighi di accettazione di nuovi metodi di identificazione e l'introduzione del EU Digital Identity Wallet. Molte organizzazioni non hanno ancora mappato l'impatto sui propri processi di firma, conservazione a norma e onboarding clienti.
I Rischi per l'Azienda
Le aziende che non si adeguano entro le scadenze previste (la piena applicazione dei regolamenti attuativi è prevista entro il 2026) si troveranno a dover gestire processi ibridi non interoperabili, con rischi di invalidazione contrattuale, contenziosi con clienti/fornitori esteri e, per i TSP, la perdita di qualifica. Peggio: senza un audit trail adeguato, in caso di contenzioso la firma digitale potrebbe non avere valore probatorio pieno.
La Soluzione AiChain
Una piattaforma di firma digitale eIDAS 2.0 conforme deve garantire: (1) supporto nativo dei tre formati standard (CAdES, PAdES, XAdES), (2) sigillo elettronico per soggetti giuridici, (3) conservazione a norma dei documenti firmati secondo lo standard ETSI EN 319 532, (4) audit trail immutabile su blockchain per la tracciabilità forense, (5) integrazione con SPID e, prospetticamente, con il EU Digital Identity Wallet. SignSiSure è progettata per rispondere a tutti questi requisiti.
Tre formati di firma supportati: CAdES (CMS Advanced Electronic Signatures, file .p7m) per documenti generici, PAdES (PDF Advanced) per PDF nativi, XAdES (XML Advanced) per documenti strutturati della PA. Tutti con profili B-B, B-T, B-LT, B-LTA (con marca temporale e riferimento all'archivio).
Sigillo elettronico eIDAS 2.0 art. 35-40: equivalente della firma digitale per le persone giuridiche. Obbligatorio per fatturazione elettronica B2B, atti societari, contratti di fornitura tra imprese.
EU Digital Identity Wallet (EUDIW): portafoglio digitale che ogni cittadino UE potrà scaricare (previsto 2026-2027). Le aziende dovranno accettare identità digitali emesse da wallet di altri Stati membri.
Audit trail su blockchain: ogni firma genera un hash del documento + timestamp + identità firmatario + identità dispositivo, notarizzato su blockchain permissioned. Questo rende impossibile contestare l'autenticità della firma anche anni dopo.
Conservazione a norma: i documenti firmati devono essere conservati per 10 anni (fiscale) o secondo il termine civile/penale applicabile. La conservazione deve garantire integrità, autenticità e leggibilità nel tempo.
Interoperabilità cross-border: il regolamento garantisce che una firma qualificata emessa in uno Stato membro sia riconosciuta in tutti gli altri 26 paesi UE, eliminando la frammentazione del mercato unico digitale.
Timeline e scadenze 2026-2027
L'eIDAS 2.0 è entrato in vigore il 20 maggio 2024, ma la piena applicazione è scaglionata. Entro il 2025 la Commissione europea ha pubblicato gli atti delegati e di esecuzione tecnici. Entro il 2026 tutti gli Stati membri devono rendere disponibile almeno un'implementazione del EU Digital Identity Wallet. Entro il 2027 l'EUDIW diventa strumento di identificazione obbligatorio accettato da tutti i servizi pubblici e, progressivamente, dai servizi privati essenziali (banche, telecomunicazioni, energia, trasporti). Per le aziende italiane, la scadenza operativa chiave è il 2026: da quel momento i sistemi di firma devono accettare credenziali EUDIW e i TSP devono offrire sigillo elettronico qualificato conforme al nuovo regolamento.
Le tre tipologie di firma eIDAS: Semplice, Avanzata, Qualificata
eIDAS 2.0 mantiene la tripartizione del 2014, ma ne rafforza i criteri. La **firma elettronica semplice (SES)** è qualsiasi metodo (es. scansione di una firma autografa) e ha valore probatorio limitato. La **firma elettronica avanzata (AES)** richiede identificazione univoca del firmatario, collegamento univoco ai dati, rilevamento alterazioni. La **firma elettronica qualificata (QES)** è basata su un certificato qualificato rilasciato da un TSP autorizzato, su dispositivo sicuro (HSM o firma remota), ed è l'unica ad avere equivalenza legale piena con la firma autografa in tutta l'UE. Per B2B e PA, la QES è la scelta obbligata.
EU Digital Identity Wallet: come cambia l'onboarding clienti
L'EUDIW è un'app mobile rilasciata dallo Stato (per l'Italia, evoluzione di SPID/CIE) che permette al cittadino di attestare la propria identità, attributi (es. albo professionale, residenza, IBAN) e credenziali (es. titoli di studio) verso terzi, in modo selettivo e con crittografia end-to-end. Le aziende potranno accettare un'identità EUDIW al posto di SPID/CIE/Passaporto per KYC e onboarding, con il vantaggio di attributi pre-verificati (quindi minor costo e tempo). L'integrazione richiede API conformi allo standard OpenID for Verifiable Credentials (OIDC4VC) e ISA².
Sigillo elettronico: la firma delle imprese
Introdotto da eIDAS 1.0 e rafforzato in eIDAS 2.0, il sigillo elettronico è l'equivalente della firma digitale ma per le persone giuridiche. Viene apposto da un'azienda su un documento per garantirne provenienza e integrità (es. fattura elettronica emessa, attestazione di conformità). A differenza della firma digitale, non richiede l'identificazione di una persona fisica specifica ma dell'organizzazione. In SignSiSure il sigillo elettronico qualificato eIDAS 2.0 è supportato nativamente, con scelta del certificato e del dispositivo (HSM locale, HSM cloud o firma remota qualificata).
Audit trail notarizzato su blockchain: il vantaggio competitivo
Una firma qualificata ha pieno valore legale, ma in caso di contenzioso l'onere della prova ricade spesso su chi la invoca. Per questo SignSiSure notarizza ogni evento di firma su blockchain permissioned (Hyperledger Fabric): il documento firmato, il certificato, il timestamp, l'IP, l'identità del dispositivo e l'identità del firmatario sono hashati e registrati in un log immutabile. Chiunque può verificare a posteriori (anche anni dopo) che quella firma è stata apposta in quel momento, da quel firmatario, su quel documento integro. La blockchain fornisce prova crittografica di anteriorità, eliminazione del rischio di manomissione post-firma.
Conservazione a norma dei documenti firmati
La conservazione digitale dei documenti firmati digitalmente è regolata in Italia dalle regole tecniche AgID (DPCM 3 dicembre 2013) e in ambito europeo dallo standard ETSI EN 319 532. I requisiti chiave sono: integrità (impossibilità di modifica), autenticità (certezza del firmatario), leggibilità nel tempo (formati aperti o convertibili), accessibilità (indicizzazione e ricerca). La conservazione a norma in SignSiSure avviene per 10 anni (termine fiscale standard) o per il termine specifico del settore, con rinnovo automatico dei riferimenti temporali e marcatura archivistica. L'audit trail su blockchain permette di dimostrare la catena di custodia anche dopo la dismissione del sistema che ha generato il documento.
Confronto con le soluzioni tradizionali (DocuSign, Adobe Sign)
Le soluzioni internazionali (DocuSign, Adobe Sign, HelloSign) offrono firma qualificata eIDAS ma con server in US/UE e dati che escono dal perimetro italiano, problema critico per PA, sanità, legal e finance. SignSiSure è una piattaforma di firma con deploy on-premise o cloud privato in UE, certificata AgID/ACN, con conservazione a norma integrata e notarizzazione blockchain. Per aziende italiane che hanno vincoli di sovranità del dato, settori regolati o workflow con documenti confidenziali, SignSiSure offre una compliance eIDAS 2.0 completa senza rinunciare al controllo dell'infrastruttura.
Confronto Soluzioni
| Caratteristica | Firma Tradizionale | Firma Digitale Semplice | Firma Qualificata eIDAS | SignSiSure eIDAS 2.0 |
|---|---|---|---|---|
| Valore legale | Pieno | Limitato | Pieno in UE | Pieno in UE + audit blockchain |
| Identificazione | De visu | Email/password | Certificato TSP | Certificato + KYC forte |
| Audit trail | Cartaceo | Log modificabili | Log applicativo | Blockchain immutabile |
| Conservazione 10 anni | Archivio fisico | Server backup | Server + policy | Integrata + rinnovo automatico |
| Cross-border UE | N/A | N/A | Sì | Sì + Wallet EUDIW |
| Costo per firma | Basso (carta) | Basso | Medio | Medio + zero rischio contenzioso |