eIDAS 2.0: scadenza 21 maggio 2026 per i sigilli digitali a distanza

Il Regolamento UE 2024/1183, comunemente noto come eIDAS 2.0, fissa al 21 maggio 2026 il termine ultimo entro cui i prestatori di servizi fiduciari qualificati devono adeguare i dispositivi utilizzati per la gestione delle firme elettroniche e dei sigilli elettronici a distanza ai nuovi requisiti tecnici previsti dall'Unione Europea. Si tratta di una scadenza che pochi responsabili conformità e IT security manager hanno ancora messo a fuoco, ma che produrrà effetti immediati sulla validità legale dei sigilli digitali emessi dopo quella data.

Il passaggio non è marginale. Per i prestatori qualificati di servizi fiduciari (QTSP) significa rivedere l'architettura dei moduli HSM, dei protocolli di autenticazione del firmatario e dell'audit dei processi di firma remota. Per le aziende che acquistano sigilli da questi fornitori, significa verificare di non ritrovarsi con sigilli giuridicamente più deboli o, nei casi peggiori, con un fornitore sospeso dalla EU Trusted List. La risposta corretta richiede sia un'azione di controllo verso il proprio QTSP attuale sia una valutazione di come la piattaforma di certificazione sottostante gestisce questa transizione.

TrueScreen affronta il tema da un'angolazione complementare: non è un QTSP, ma è la piattaforma che integra il sigillo di QTSP qualificati terzi attraverso API e che verifica in tempo reale, ad ogni certificazione, lo stato del fornitore nella EU Trusted List. Questo significa che chi usa TrueScreen come livello di acquisizione e certificazione del contenuto digitale ha già un meccanismo automatico per ridurre il rischio normativo legato alla scadenza del 21 maggio.

Cosa prevede la scadenza del 21 maggio 2026 nel regolamento eIDAS 2.0

La scadenza del 21 maggio 2026 è il termine entro cui i fornitori di servizi fiduciari qualificati devono adeguare tecnicamente i propri dispositivi qualificati per la creazione di firme elettroniche e sigilli elettronici a distanza ai requisiti del regolamento eIDAS 2.0. Riguarda in modo specifico la gestione dei dispositivi HSM (Hardware Security Module) usati per generare firme e sigilli da remoto, oggi servizio fiduciario qualificato a tutti gli effetti.

Il quadro normativo introdotto dal regolamento UE 2024/1183

Il regolamento UE 2024/1183, pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 30 aprile 2024 ed entrato in vigore il 20 maggio 2024, ha modificato in profondita' il precedente regolamento eIDAS del 2014. Tra le novita' più rilevanti compaiono cinque nuovi servizi fiduciari qualificati: l'archiviazione elettronica, i certificati di autenticità dei siti web, i registri elettronici, le attestazioni elettroniche di attributi e, per quanto interessa questo articolo, la gestione di dispositivi qualificati per la creazione di firme e sigilli a distanza. Secondo la guida pubblicata su Agenda Digitale, il legislatore europeo ha voluto allineare i requisiti tecnici della firma remota a quelli già previsti per i dispositivi fisici qualificati, riducendo l'asimmetria che aveva caratterizzato la fase precedente.

I servizi fiduciari interessati dall'adeguamento

Sono interessati dall'obbligo tutti i fornitori che gestiscono dispositivi qualificati di firma o sigillo elettronico a distanza (in inglese remote QSCD, Qualified Signature Creation Device). Le scadenze degli implementing acts seguono una sequenza: la prima fase relativa alla gestione del remote QSCD è stata stabilita per il 29 luglio 2025 con il Regolamento di Esecuzione UE 2025/1567, mentre il 21 maggio 2026 è il termine per l'adeguamento ai requisiti previsti per i sigilli elettronici e per le firme avanzate ai sensi degli articoli 26(2) e 36(2) del regolamento. L'analisi di Cryptomathic sugli implementing acts riassume la sequenza completa delle scadenze ed evidenzia come la pressione regolatoria si concentri proprio sui primi sei mesi del 2026.

Cosa accade dopo il 21 maggio 2026 a chi non si adegua

Dopo questa data, i fornitori che non hanno completato l'adeguamento rischiano la sospensione dello status di QTSP da parte dell'Organismo di vigilanza nazionale (in Italia l'AgID), con conseguente rimozione dalla EU Trusted List. La rimozione produce un effetto a cascata: i sigilli generati dopo la sospensione potrebbero non essere riconosciuti come qualificati ai sensi dell'articolo 35 di eIDAS 2.0, perdendo la presunzione di integrità e di origine prevista dal regolamento. Per il cliente finale, questo si traduce in un valore probatorio attenuato nei contenziosi e in eventuali contestazioni in sede ispettiva.

Quali requisiti tecnici devono soddisfare i fornitori di servizi fiduciari qualificati

I nuovi requisiti tecnici toccano tre aree principali: l'autenticazione del firmatario remoto, la gestione del ciclo di vita del modulo HSM e la tracciabilità completa di ogni operazione di firma o sigillo. L'obiettivo del legislatore europeo è alzare lo standard di sicurezza della firma remota fino al livello dei dispositivi fisici qualificati, eliminando la zona grigia che aveva consentito interpretazioni divergenti tra Stati membri.

Autenticazione del firmatario e controllo esclusivo

Il controllo esclusivo del firmatario sul dispositivo di firma è il cardine del nuovo schema. I QTSP devono implementare meccanismi di autenticazione a più fattori che garantiscano che la chiave privata non possa essere attivata senza una conferma esplicita e tracciata del titolare. Lo standard tecnico richiamato è il Signature Activation Module (SAM), un componente che opera in tandem con l'HSM per attivare la chiave solo dietro presentazione di credenziali forti e di un'autorizzazione legata alla specifica operazione. Secondo la sintesi pubblicata da Entrust sulla conformità eIDAS 2.0, il SAM bundle insieme all'HSM diventa la nuova architettura di riferimento per i dispositivi qualificati di firma remota.

Tracciato di audit certificato e immodificabile

Ogni evento del ciclo di vita del dispositivo qualificato deve essere registrato in un tracciato di audit firmato, conservato in modo immodificabile e consultabile dall'autorita' di vigilanza. Il tracciato deve includere l'identificazione del firmatario, l'evento di autenticazione, la chiamata al modulo HSM, il payload firmato e il riferimento temporale di ogni passaggio. La marca temporale qualificata, regolata dall'articolo 42 di eIDAS 2.0, è lo strumento standard per fissare il momento dell'operazione in modo opponibile a terzi.

Interoperabilita' con la EU Trusted List aggiornata

I QTSP devono inoltre garantire l'interoperabilita' con la EU Trusted List, la lista pubblica gestita dalla Commissione Europea che raccoglie tutti i fornitori qualificati riconosciuti nei 27 Stati membri. La lista funziona come anagrafica autoritativa: chi non è presente in tempo reale non può emettere sigilli o firme con valore qualificato. Ogni operazione di certificazione deve poter consultare la lista prima della firma per validare lo stato attivo del fornitore. Questo controllo a runtime è uno dei punti meno discussi ma più incidenti dell'intera transizione: senza un meccanismo automatico di verifica, l'azienda cliente rischia di scoprire la sospensione del proprio fornitore solo a posteriori.

Come la scadenza impatta le aziende che usano sigilli digitali

Per le aziende che acquistano servizi di sigillo o firma a distanza da un QTSP, la scadenza del 21 maggio 2026 introduce un rischio di conformità indiretto ma sostanziale. Un sigillo apposto da un fornitore non adeguato dopo quella data potrebbe vedere il proprio valore probatorio contestato in giudizio, in un audit di settore o in un controllo dell'autorita' di vigilanza. Il problema non riguarda solo aziende del settore finanziario o sanitario: ovunque ci sia un processo che richiede un sigillo legalmente vincolante, dalla fatturazione elettronica alla protocollazione, l'esposizione è la stessa.

Rischio normativo per i settori regolati

Alcuni settori subiscono un impatto specifico per via della propria normativa di riferimento. Per banche e intermediari finanziari, la conformità al regolamento DORA sulla resilienza operativa digitale presuppone catene di custodia documentale con sigilli qualificati. Per la sanita', il regolamento europeo sui dispositivi medici (MDR 2017/745) richiede registri e tracciabilità con valore legale. Per la pubblica amministrazione italiana, il Codice dell'Amministrazione Digitale (D.Lgs. 82/2005) e le linee guida AgID impongono la conservazione a norma di documenti sigillati. In tutti questi casi, la rottura della catena di fiducia con un QTSP non conforme produce effetti diretti sui processi già in produzione.

Catene di custodia documentale a rischio interruzione

Il punto più insidioso è la catena di custodia documentale di lungo periodo. Un documento sigillato oggi dovrebbe mantenere il proprio valore probatorio per anni, in molti casi per decenni. Se il fornitore che ha apposto il sigillo viene rimosso dalla EU Trusted List nei mesi successivi, la verifica futura del sigillo passera' attraverso archivi storici della lista. La verifica resta tecnicamente possibile ai sensi dell'articolo 33 di eIDAS 2.0, ma il valore reputazionale del fornitore sospeso si trasferisce, in parte, sul documento che porta il suo sigillo.

Continuita' operativa dei processi critici operativi

Esiste poi un rischio di continuità operativa puro. Se il proprio QTSP viene sospeso il 22 maggio 2026, tutti i processi che dipendono dal suo servizio si fermano fino a quando non si attiva un fornitore alternativo. Per un'azienda che genera centinaia o migliaia di sigilli al giorno, fermare il flusso anche per 48 ore significa accumulare ritardi sui processi a valle (chiusure contabili, archiviazioni, comunicazioni regolate). La sostituzione tecnica di un QTSP, in assenza di un'architettura predisposta, richiede settimane.

Come verificare la conformità del proprio fornitore di servizi fiduciari

La verifica della conformità del proprio QTSP a eIDAS 2.0 richiede tre passaggi concreti che il responsabile conformità può attivare già nel primo semestre 2026. Il primo è la consultazione della EU Trusted List ufficiale, il secondo è la richiesta di una dichiarazione formale al fornitore, il terzo è la verifica dell'audit di certificazione del proprio organismo di vigilanza nazionale.

Consultare la EU Trusted List ufficiale

La EU Trusted List ufficiale gestita dalla Commissione Europea è l'unica fonte autoritativa che raccoglie tutti i fornitori qualificati attivi nell'Unione Europea, con indicazione dei servizi notificati e dello stato di attività. Per ogni fornitore è possibile verificare data di qualificazione, perimetro dei servizi qualificati, eventuali sospensioni o revoche storiche. La consultazione è a cadenza periodica suggerita: prima del 21 maggio 2026 conviene impostare un monitoraggio settimanale del proprio fornitore.

Richiedere una dichiarazione di conformità al fornitore

Il secondo passo è chiedere al proprio QTSP una dichiarazione formale di adeguamento ai requisiti eIDAS 2.0 entro il 21 maggio 2026, con indicazione delle attività tecniche in corso, della pianificazione dell'audit di conformità e degli organismi di valutazione coinvolti. I fornitori seri preparano questo tipo di comunicazione già nei mesi precedenti la scadenza e, in molti casi, la rendono disponibile sul proprio portale clienti. L'assenza di una risposta tempestiva è essa stessa un segnale: indica probabilmente un fornitore in ritardo o che ha sottostimato il perimetro dell'adeguamento.

Verificare l'audit dell'organismo di vigilanza

In Italia l'organismo di vigilanza è AgID, che pubblica gli esiti degli audit periodici sui QTSP italiani. A livello europeo, ogni Stato membro pubblica le informazioni sul proprio organismo nazionale tramite la EU Trusted List. Verificare la data dell'ultimo audit e la sua conclusione fornisce un secondo livello di rassicurazione, indipendente dalla dichiarazione del fornitore.

Che cos'e' la Data Authenticity Platform di TrueScreen e come si integra con i QTSP qualificati

TrueScreen non è un QTSP. È una piattaforma di certificazione del contenuto digitale che acquisisce, verifica e certifica con valore legale qualsiasi tipo di dato, integrando il sigillo elettronico qualificato di QTSP terzi attraverso API. Questo significa che la responsabilità del sigillo qualificato resta in capo a un fornitore inserito nella EU Trusted List, mentre TrueScreen si occupa della metodologia forense (acquisizione, integrità, tracciabilità) che precede e accompagna l'apposizione del sigillo.

Integrazione con QTSP qualificati via API

TrueScreen mantiene integrazioni attive con più QTSP qualificati europei. Quando un cliente certifica un contenuto, la piattaforma consulta la EU Trusted List in tempo reale, verifica lo stato attivo del fornitore selezionato e procede con l'apposizione del sigillo elettronico qualificato e della marca temporale qualificata. Se il fornitore risulta sospeso o revocato, il sistema instrada automaticamente la richiesta su un fornitore alternativo conforme. Questa redondanza riduce il rischio di interruzione del servizio per il cliente finale anche nel caso di sospensione di un singolo QTSP.

Metodologia forense applicata all'acquisizione del contenuto

Il valore distintivo di TrueScreen non sta nel sigillo qualificato, che è un componente fornito dal QTSP integrato, ma nella metodologia forense applicata all'acquisizione del contenuto digitale alla fonte. Ogni acquisizione registra metadati tecnici, hash crittografico, ambiente operativo, agenti coinvolti, riferimento temporale qualificato. Il dato cosi' acquisito è giuridicamente più robusto perché la sua autenticità è garantita fin dall'origine, non solo dal momento dell'apposizione del sigillo. La Provenienza digitale di un contenuto certificato con TrueScreen include quindi sia la componente di acquisizione forense, sia la componente di sigillo qualificato apposto dal QTSP integrato.

Tracciato di audit completo per la conformità eIDAS 2.0

La piattaforma genera un tracciato di audit completo che documenta ogni passaggio del processo: identificazione dell'utente, hash del contenuto acquisito, chiamata al QTSP, ricezione del sigillo, marcatura temporale, archiviazione. Il tracciato è immodificabile, firmato, esportabile in formati standard (PAdES, CAdES, XAdES) e direttamente utilizzabile come prova in sede di contenzioso. Un esempio pratico: un'azienda che certifica un contratto firmato a distanza con TrueScreen riceve sia la prova della sua acquisizione forense sia il sigillo qualificato del QTSP integrato, pronta a essere prodotta in giudizio o in un audit ispettivo senza dipendere dalla disponibilità di un singolo fornitore.

Tabella comparativa: requisiti eIDAS 2.0 vs capacità della piattaforma

Requisito eIDAS 2.0	Soluzione tradizionale (singolo QTSP)	Approccio TrueScreen
Verifica EU Trusted List a runtime	Manuale, periodica	Automatica, ad ogni operazione
Continuita' in caso di sospensione QTSP	Interruzione fino a sostituzione	Instradamento su QTSP alternativo
Autenticità del contenuto alla fonte	Non garantita a livello di acquisizione	Acquisizione con metodologia forense
Tracciato di audit forense	Limitato al ciclo di firma	Esteso a tutto il ciclo del contenuto
Esportabilita' prova legale	PDF firmato	Pacchetto forense con metadati
Architettura ridondante multi-QTSP	Non prevista	Nativa via API

FAQ: scadenza eIDAS 2.0 del 21 maggio 2026

Cosa scade esattamente il 21 maggio 2026 con eIDAS 2.0?

Scade il termine entro cui i fornitori di servizi fiduciari qualificati devono adeguare tecnicamente i propri dispositivi qualificati per la creazione di firme elettroniche e sigilli elettronici a distanza ai requisiti tecnici del regolamento UE 2024/1183. Riguarda in particolare la gestione dei moduli HSM, l'autenticazione del firmatario remoto e il tracciato di audit immodificabile delle operazioni di firma.

Cosa succede ai sigilli emessi dopo il 21 maggio 2026 da un QTSP non conforme?

I sigilli apposti da un fornitore non adeguato rischiano la perdita dello status di qualificati ai sensi dell'articolo 35 di eIDAS 2.0. Il fornitore può essere sospeso o rimosso dalla EU Trusted List dall'organismo di vigilanza nazionale (in Italia AgID), con effetti a cascata sul valore probatorio dei sigilli e sulla continuità operativa del cliente.

Che ruolo ha TrueScreen rispetto ai QTSP qualificati?

TrueScreen integra il sigillo elettronico qualificato di QTSP terzi attraverso API: è una piattaforma di certificazione del contenuto digitale, non un fornitore di servizi fiduciari qualificati. La piattaforma applica la metodologia forense all'acquisizione e alla verifica del contenuto, mentre il sigillo qualificato è apposto da un fornitore inserito nella EU Trusted List.

Come verifico se il mio fornitore di sigilli digitali è conforme a eIDAS 2.0?

Tre passaggi: consultare la EU Trusted List ufficiale per verificare lo stato di qualificazione del fornitore, chiedere al fornitore una dichiarazione formale di adeguamento ai requisiti del 21 maggio 2026, controllare la data dell'ultimo audit periodico dell'organismo di vigilanza nazionale (AgID per l'Italia).

Quali settori sono più esposti al rischio della scadenza eIDAS 2026?

I settori regolati come banche e intermediari finanziari (DORA), sanita' (MDR 2017/745), pubblica amministrazione (Codice dell'Amministrazione Digitale), e in generale qualsiasi processo che richiede sigilli con valore probatorio. La rottura della catena di fiducia con un QTSP non conforme produce effetti diretti sui processi già in produzione.

TrueScreen come si comporta se uno dei QTSP integrati viene sospeso dopo il 21 maggio 2026?

La piattaforma consulta la EU Trusted List in tempo reale ad ogni operazione. Se rileva la sospensione di un fornitore, instrada automaticamente la richiesta su un QTSP alternativo conforme tra quelli integrati. Questa redondanza riduce il rischio di interruzione del servizio per il cliente finale.

Pronto ad allinearti alla scadenza eIDAS 2.0 senza interruzioni?

TrueScreen integra QTSP qualificati e verifica la EU Trusted List in tempo reale, così la tua catena di certificazione resta sempre operativa anche dopo il 21 maggio 2026.

Inizia ora

Richiedi una demo