Nella Gazzetta Ufficiale – 2ª Serie Speciale n. 12 del 12 febbraio 2026 sono stati pubblicati diversi regolamenti di esecuzione che aggiornano le norme tecniche legate al regolamento europeo eIDAS.

Si tratta di interventi molto tecnici, ma con effetti concreti e pratici per:

• imprese,

• professionisti,

• pubbliche amministrazioni,

• fornitori di servizi digitali.

Vediamo cosa significano davvero.

Cos’è il regolamento eIDAS?

Il regolamento eIDAS (acronimo di electronic IDentification, Authentication and trust Services) è la normativa europea che disciplina:

• l’identità digitale,

• la firma elettronica,

• i sigilli elettronici,

• l’autenticazione dei siti web,

• i servizi fiduciari digitali.

L’obiettivo è creare fiducia giuridica nelle transazioni digitali in tutta l’Unione europea.

In parole semplici: garantire che un documento firmato online abbia lo stesso valore legale in tutti gli Stati membri.

Cos’è un servizio fiduciario qualificato?

Un servizio fiduciario è un servizio digitale che garantisce l’affidabilità e la sicurezza di un’operazione elettronica.

Diventa “qualificato” quando:

• rispetta requisiti tecnici molto rigorosi stabiliti dall’Unione europea;

• è certificato da un organismo di controllo;

• è inserito in un elenco ufficiale europeo.

Esempi di servizi fiduciari qualificati:

• firma elettronica qualificata;

• certificati qualificati per siti web;

• servizi di conservazione elettronica qualificata;

• sigilli elettronici qualificati.

La differenza fondamentale è questa:

Un servizio qualificato produce effetti giuridici riconosciuti automaticamente in tutta l’Unione europea.

Le novità pubblicate nella Gazzetta: cosa viene aggiornato?

I regolamenti di esecuzione pubblicati introducono nuove specifiche tecniche uniformi per:

1. Certificati qualificati di autenticazione dei siti web

2. Servizi di archiviazione elettronica qualificata

3. Registri elettronici qualificati

4. Requisiti per i prestatori di servizi fiduciari qualificati

Vediamoli uno per uno.

1️⃣ Certificati qualificati per l’autenticazione dei siti web

Un certificato di autenticazione del sito web è ciò che consente di verificare che un sito sia realmente di chi dichiara di essere.

È la base del “lucchetto” che vediamo nel browser.

Con le nuove regole:

• vengono uniformati i modelli tecnici;

• si definiscono standard comuni europei;

• si rafforza la sicurezza contro frodi e phishing.

Il phishing è una tecnica fraudolenta con cui un sito falso imita uno vero per rubare dati.

👉 Impatto pratico: maggiore sicurezza per cittadini e imprese nelle operazioni online.

2️⃣ Archiviazione elettronica qualificata

L’archiviazione elettronica qualificata è un servizio che garantisce:

• integrità del documento,

• autenticità,

• leggibilità nel tempo,

• validità legale.

In pratica, è la conservazione digitale a norma.

Le nuove regole definiscono:

• requisiti tecnici più precisi;

• standard di sicurezza;

• modalità di certificazione.

👉 Impatto per imprese e professionisti: maggiore chiarezza su come conservare contratti, fatture elettroniche, documenti amministrativi in modo valido in tutta l’UE.

3️⃣ Registri elettronici qualificati

Un registro elettronico qualificato è un sistema digitale che consente di:

• registrare dati;

• garantirne l’immutabilità;

• certificare data e contenuto.

Può essere utilizzato per:

• registri societari,

• tracciabilità di documenti,

• sistemi di certificazione digitale.

Le nuove norme uniformano le specifiche tecniche per assicurare che questi registri siano interoperabili tra Stati membri.

Interoperabilità significa che sistemi diversi possono comunicare e funzionare insieme.

4️⃣ Requisiti per i prestatori di servizi fiduciari

I prestatori di servizi fiduciari sono le aziende o enti che forniscono:

• firme elettroniche,

• certificati digitali,

• servizi di conservazione.

Con le nuove disposizioni vengono chiariti:

• requisiti di sicurezza informatica;

• obblighi di gestione del rischio;

• controlli periodici;

• responsabilità in caso di malfunzionamento.

👉 Questo rafforza la tutela degli utenti finali.

Cosa cambia per la firma elettronica?

La firma elettronica qualificata:

• resta pienamente equiparata alla firma autografa;

• continua a essere valida in tutta l’Unione europea.

Le novità riguardano soprattutto:

• gli standard tecnici di riferimento;

• la maggiore uniformità tra Paesi;

• il rafforzamento dei controlli sui fornitori.

Per le imprese, questo significa maggiore certezza giuridica nelle transazioni transfrontaliere.

Perché questo aggiornamento è importante?

Per tre motivi principali.

1️⃣ Digitalizzazione europea più uniforme

Riduce le differenze tra Stati membri.

Un contratto firmato digitalmente in Italia deve avere lo stesso valore in Germania o Francia.

2️⃣ Maggiore sicurezza contro frodi digitali

Standard tecnici più precisi significano:

• meno vulnerabilità;

• maggiore affidabilità;

• maggiore tutela dei dati.

3️⃣ Impatto diretto su imprese e PA

Le aziende che:

• emettono fatture elettroniche,

• conservano documenti digitali,

• utilizzano firme elettroniche,

• gestiscono identità digitali,

devono assicurarsi che i propri fornitori siano conformi ai nuovi requisiti.

Cosa devono fare imprese e professionisti?

Non è necessario cambiare subito sistemi, ma è consigliabile:

• verificare che il proprio fornitore di firma o conservazione sia un prestatore qualificato;

• controllare eventuali aggiornamenti contrattuali;

• monitorare comunicazioni del fornitore in merito agli adeguamenti tecnici.

Le pubbliche amministrazioni, in particolare, dovranno assicurare piena conformità nei sistemi di gestione documentale.

Conclusione

Questi regolamenti non introducono una rivoluzione visibile al cittadino medio, ma rappresentano un rafforzamento strutturale dell’infrastruttura digitale europea.

Si tratta di un passo importante verso:

• maggiore fiducia nei servizi online,

• maggiore sicurezza giuridica,

• maggiore integrazione digitale tra Stati membri.

In un’Europa sempre più digitale, i servizi fiduciari qualificati diventano una componente essenziale dell’economia e dell’amministrazione pubblica.

1️⃣ Approfondimento tecnico per consulenti IT e responsabili compliance

Aggiornamento eIDAS: nuove specifiche tecniche e impatti su governance, risk management e audit

La pubblicazione nella Gazzetta Ufficiale – 2ª Serie Speciale n. 12 del 12 febbraio 2026 dei regolamenti di esecuzione in materia eIDAS introduce un aggiornamento rilevante delle specifiche tecniche armonizzate relative ai servizi fiduciari qualificati.

Non si tratta di una modifica del quadro normativo primario, ma di un rafforzamento degli standard di implementazione con impatti concreti su:

• architetture IT;

• processi di sicurezza;

• controlli di compliance;

• audit interni ed esterni;

• gestione dei fornitori.

1. Certificati qualificati di autenticazione dei siti web (QWAC)

Le nuove specifiche intervengono sulla struttura e sui requisiti dei Qualified Website Authentication Certificates (QWAC).

Impatti tecnici:

• standardizzazione dei campi obbligatori nei certificati;

• maggiore tracciabilità dell’identità del soggetto giuridico titolare del dominio;

• requisiti rafforzati per la verifica dell’identità prima dell’emissione;

• allineamento a specifiche tecniche comuni UE.

Impatti di compliance:

• necessità di verifica della conformità dei certificati utilizzati;

• aggiornamento delle policy di gestione TLS/SSL;

• revisione dei contratti con Certification Authority (CA).

2. Servizi di archiviazione elettronica qualificata

Vengono dettagliati i requisiti relativi a:

• integrità nel tempo;

• protezione contro alterazioni;

• tracciabilità degli accessi;

• gestione del ciclo di vita documentale.

Elementi critici per i responsabili IT:

• adeguamento dei sistemi di conservazione digitale;

• verifica delle misure di hashing e marcatura temporale;

• rafforzamento dei controlli di accesso e logging;

• test di resilienza e continuità operativa.

Per la compliance:

• aggiornamento del modello di gestione documentale;

• verifica dell’allineamento con:

  • GDPR,

  • normativa nazionale sulla conservazione,

  • policy interne di retention.

3. Registri elettronici qualificati

Le nuove regole definiscono caratteristiche tecniche per:

• immutabilità dei dati;

• non ripudio;

• tracciabilità delle modifiche;

• interoperabilità transfrontaliera.

Per i consulenti IT significa:

• valutare l’idoneità di eventuali sistemi basati su blockchain o DLT;

• verificare la conformità agli standard europei;

• garantire auditabilità completa.

4. Requisiti per i prestatori di servizi fiduciari qualificati

Viene rafforzato il quadro relativo a:

• gestione del rischio ICT;

• controlli di sicurezza fisica e logica;

• procedure di incident management;

• audit periodici.

I responsabili compliance devono verificare:

• presenza di certificazioni aggiornate;

• inclusione del prestatore negli elenchi ufficiali UE;

• adeguate clausole contrattuali su responsabilità e SLA;

• procedure di escalation in caso di incidente.

5. Impatti sul modello di governance aziendale

Le nuove disposizioni rafforzano il concetto di:

Responsabilità condivisa tra fornitore e utilizzatore del servizio fiduciario.

Questo implica:

• revisione del modello di third party risk management;

• aggiornamento del registro dei fornitori critici;

• integrazione dei servizi fiduciari nel framework di sicurezza aziendale;

• verifica dell’inclusione nel piano di audit interno.

2️⃣ Checklist operativa per imprese

Di seguito una checklist pratica per imprese, studi professionali e PA.

🔍 Verifica fornitori

□ Il fornitore di firma/conservazione è un prestatore qualificato?
□ È presente nell’elenco ufficiale europeo?
□ Ha aggiornato la documentazione tecnica in base alle nuove specifiche?
□ Sono state comunicate variazioni contrattuali?

🔐 Firma elettronica

□ I certificati utilizzati sono conformi alle nuove specifiche?
□ È aggiornata la policy interna sull’uso della firma?
□ È documentato il processo di verifica dell’identità?
□ Sono previsti controlli periodici sui certificati?

🗂 Conservazione digitale

□ Il sistema garantisce integrità e immodificabilità nel tempo?
□ È presente marcatura temporale qualificata?
□ Esistono log tracciabili e auditabili?
□ È testata la procedura di recupero dati?
□ Il piano di disaster recovery è aggiornato?

🌐 Autenticazione siti web

□ Il sito aziendale utilizza certificati qualificati aggiornati?
□ È documentata la gestione dei certificati TLS?
□ Sono previsti controlli anti-phishing?
□ È definito un processo di rinnovo automatico controllato?

📊 Compliance e audit

□ I servizi fiduciari sono inclusi nel registro dei trattamenti (GDPR)?
□ Sono inseriti nel piano di audit annuale?
□ È stata aggiornata la valutazione dei rischi ICT?
□ È stata effettuata una gap analysis rispetto alle nuove regole?

🚨 Incident management

□ Esiste una procedura per incidenti relativi ai servizi fiduciari?
□ È definita la comunicazione al prestatore in caso di anomalia?
□ Sono previste simulazioni di incidente?

Considerazione finale per consulenti IT e compliance officer

Questo aggiornamento non introduce obblighi rivoluzionari immediati, ma:

• alza l’asticella tecnica,

• riduce margini interpretativi,

• rafforza la responsabilità degli operatori economici.

Nel medio periodo, i servizi fiduciari qualificati diventeranno sempre più parte integrante del perimetro di sicurezza digitale aziendale, al pari di:

• sistemi ERP,

• infrastrutture cloud,

• sistemi di identity management.