Regolamento eIDAS e firma elettronica per la conservazione

La sicurezza e gestione dei documenti informatici sono questioni fondamentali per un’azienda che deve garantire, anche e soprattutto alla firma elettronica, integrità e autenticità ai documenti. Approfondiamo quindi il concetto di firma elettronica, con attenzione particolare alle differenze tra firma elettronica semplice, avanzata e qualificata, passando attraverso un’analisi della normativa.

Regolamento eIDAS e firma elettronica

Il Regolamento eIDAS, entrato in vigore il 1° luglio 2016 con l’obiettivo di garantire interoperabilità e sicurezza giuridica, è una normativa europea fondamentale che disciplina l’identità digitale e i servizi fiduciari, tra cui proprio la firma elettronica. eIDAS sta per “electronic IDentification, Authentication and trust Services”, cioè Identificazione elettronica, Autenticazione e Servizi fiduciari:

• fornisce una base giuridica uniforme per le identità digitali nei Paesi UE
• Regola i servizi fiduciari come firme elettroniche, sigilli elettronici, marcature temporali, documenti elettronici e certificati per l’autenticazione dei siti web.
• Mira a creare un quadro comune per facilitare le transazioni elettroniche transfrontaliere.

In questo articolo, esploreremo in dettaglio:

• Il quadro giuridico e le finalità del regolamento eIDAS
• Le tipologie di firma elettronica riconosciute
• Il ruolo dei prestatori di servizi fiduciari qualificati
• La validità transfrontaliera delle firme elettroniche
• Le novità introdotte da eIDAS 2
• Un focus sull’implementazione pratica con il software Arcadoc

Quadro giuridico e finalità del Regolamento eIDAS

Il Regolamento eIDAS è stato adottato il 23 luglio 2014 ed è entrato in applicazione il 1° luglio 2016, abrogando la Direttiva 1999/93/CE. Il testo normativo si pone tre obiettivi fondamentali:

1. Armonizzare le regole sull’identificazione elettronica e sui servizi fiduciari in tutti gli Stati membri dell’UE.
2. Garantire la sicurezza, l’affidabilità e la riservatezza delle transazioni elettroniche.
3. Agevolare la circolazione dei documenti e delle firme elettroniche oltre i confini nazionali, riconoscendo il medesimo valore giuridico su tutto il territorio UE.

Ambito di applicazione del Regolamento eIDAS

Il regolamento eIDAS disciplina:

• Identificazione elettronica: sistemi che consentono ai cittadini e alle imprese di autenticarsi online presso servizi pubblici e privati.
• Servizi fiduciari: comprende firma elettronica, sigillo elettronico, marcatura temporale, documenti elettronici, servizi di recapito elettronico certificato e certificati per l’autenticazione dei siti web.

Tipologie di firma elettronica e Regolamento eIDAS

Il Regolamento eIDAS distingue tre livelli di firma elettronica, con crescente valore legale e requisiti di sicurezza:

Tipologia	Descrizione	Valore legale
Firma elettronica semplice	Qualsiasi dato elettronico associato al documento (es. nome digitato, checkbox).	Debole: validità probatoria, ma facilmente contestabile.
Firma elettronica avanzata	Deve essere univocamente collegata al firmatario, permettere di identificarlo, essere sotto suo controllo esclusivo e rilevare eventuali modifiche.	Medio: forte valore probatorio se rispetta i requisiti di eIDAS (Art. 26).
Firma elettronica qualificata	È una firma avanzata basata su certificato qualificato rilasciato da un QTSP e creata con dispositivo qualificato (QSCD).	Pieno: stesso valore della firma autografa in tutta l’UE (Art. 25).

Articolo 25 – “Una firma elettronica qualificata ha lo stesso effetto giuridico di una firma autografa”. Articolo 26 – Requisiti per la firma elettronica avanzata: unicità, controllo esclusivo, identificabilità e collegamento al documento.

Prestatori di servizi fiduciari (Trust Service Provider) secondo il Regolamento eIDAS

QTSP vs Non-qualificati

• Prestatore qualificato (QTSP): accreditato da un’autorità di vigilanza nazionale (in Italia, AgID), inserito nell’elenco ufficiale EU Trust List, soggetto a controlli periodici.
• Prestatore non qualificato: offre servizi di firma elettronica ma non gode dello status “qualificato” e il certificato non è formalmente riconosciuto a livello UE.

Obblighi e responsabilità

I QTSP, secondo il Regolamento eIDAS, devono garantire:

• Conformità ai requisiti tecnici e di sicurezza definiti dal regolamento.
• Audit esterni indipendenti.
• Trasparenza nel fornitura di servizi e gestione dei certificati.

Validità transfrontaliera

Uno dei punti di forza di eIDAS è la mutua fiducia tra Stati membri:

• Le firme elettroniche qualificate e gli identificatori elettronici riconosciuti in uno Stato membro devono essere accettati da tutti gli altri.
• Nessuna autorizzazione o accordo bilaterale aggiuntivo è richiesto per il riconoscimento.

Questo facilita enormemente:

• Compravendite internazionali tra imprese.
• Procedure amministrative digitali con PA estere.
• Contratti di lavoro e documenti fiscali transfrontalieri.

L’evoluzione verso eIDAS 2

Nel 2024 è stata approvata la Regolazione (UE) 2024/1183, che modifica e integra il Regolamento originario introducendo:

• Portafoglio europeo di identità digitale (European Digital Identity Wallet): un sistema volontario gestito dagli Stati membri che permette a cittadini e imprese di conservare e utilizzare attributi identificativi, certificati e credenziali in formato digitale.
• Maggiori requisiti di interoperabilità, privacy by design e sicurezza.
• Norme rafforzate per l’autenticazione forte e l’identità decentralizzata.

Le nuove disposizioni entreranno in vigore progressivamente entro il 2026.

Implementazione pratica: Arcadoc e firma elettronica

Arcadoc è un software di gestione documentale che integra:

• Firma digitale (qualificata e non).
• Marca temporale per certificare l’esistenza di un documento in una data precisa.
• Sigillo aziendale per attestare l’integrità di documenti formali.
• Conservazione a norma secondo la normativa italiana (CAD e DM 17/06/2014).

Modalità di firma in Arcadoc

• Firma integrata: il certificato è custodito su HSM (Hardware Security Module); l’utente firma via OTP, username e password in modalità web.
• Firma esterna: download del documento, firma con software dedicato e ricaricamento in Arcadoc.

Queste modalità garantiscono:

• Controllo esclusivo del firmatario (adesione ai requisiti della firma avanzata).
• Tracciabilità e audit trail.
• Compatibilità con dispositivi mobili e desktop.

6.2 Flussi di lavoro e conservazione

Arcadoc consente di orchestrare l’intero flusso documentale:

1. Protocollo informatico: assegnazione automatica di numeri di protocollo.
2. Workflow documentale: definizione di processi approvativi e notifiche.
3. Conservazione a norma: applicazione di marca temporale e sigillo prima dell’archiviazione a lungo termine, garantendo autenticità, integrità e leggibilità secondo CAD.

Vantaggi

• Riduzione dei tempi: firme e protocolli digitali eliminano la burocrazia cartacea.
• Sicurezza elevata: uso di certificati qualificati e infrastrutture HSM.
• Completezza normativa: rispondenza a eIDAS e alla normativa italiana di conservazione digitale.
• Interoperabilità: possibilità di scambio documentale con PA e imprese europee.

Sfide

• Formazione del personale: necessità di adottare nuove prassi e strumenti digitali.
• Aggiornamenti normativi: adeguarsi alle modifiche introdotte da eIDAS 2 e alle implementazioni nazionali.
• Gestione del cambiamento: migrazione da processi cartacei a workflow digitali richiede pianificazione e governance.

Il Regolamento eIDAS costituisce il fondamento giuridico per la fiducia digitale in Europa, riconoscendo la piena validità legale delle firme elettroniche qualificate e promuovendo l’interoperabilità transfrontaliera. Le novità di eIDAS 2, con l’introduzione del portafoglio digitale europeo, renderanno ancora più semplice e sicuro l’accesso ai servizi online, sia pubblici sia privati. Strumenti come Arcadoc rappresentano oggi una soluzione completa per le aziende che desiderano:

• Digitalizzare e ottimizzare i propri processi documentali.
• Applicare firme elettroniche e marche temporali in conformità con eIDAS.
• Gestire in modo integrato protocolli, workflow e conservazione a norma.

Investire in soluzioni fidate e interoperabili è ormai un passaggio obbligato per mantenere competitività e conformità normativa in un mercato digitale sempre più globale. Per scoprire di più su Arcadoc e avviare un percorso di adozione dei servizi fiduciari digitali, visita www.arcadoc.it (arcadoc).