EUDI Wallet entro dicembre 2026: come cambia la certificazione dei documenti aziendali in Europa

Da quando il Regolamento UE 2024/1183 è entrato in vigore il 20 maggio 2024, l'Europa ha un quadro comune per l'identità digitale. Ogni Stato membro dovrà mettere a disposizione almeno un portafoglio europeo di identità digitale, l'EUDI Wallet, e secondo la tabella di marcia della Commissione la disponibilità è attesa entro la fine del 2026. Per chi si occupa di onboarding, firma di contratti e gestione documentale in azienda, questo cambia le regole del gioco.

C'è però un punto che quasi nessuno sta affrontando. L'EUDI Wallet aziende stabilisce con alto livello di garanzia chi compie un'azione: chi apre un conto, chi firma un mandato, chi accede a un servizio. Ma il wallet non attesta che una foto, un video, uno screenshot o un documento caricato durante quell'azione rappresentino fedelmente la realtà nel momento dell'acquisizione. Tra "dato presentato dal titolare del wallet" e "dato certificato come autentico" resta una lacuna probatoria. La domanda, allora, è semplice: l'identità verificata basta a rendere autentico anche il contenuto che quella identità presenta?

La risposta è no, e questo articolo spiega perché. Il wallet copre l'identità; l'autenticità del contenuto si ottiene con la certificazione alla fonte, cioè acquisizione controllata del dato più sigillo elettronico qualificato erogato da un QTSP terzo più marca temporale eIDAS. I due livelli sono complementari: insieme coprono sia chi presenta sia cosa viene presentato.

Key takeaways

L'EUDI Wallet sarà disponibile in Europa entro la fine del 2026 secondo la tabella di marcia della Commissione, e dal 24 dicembre 2027 i settori regolati dovranno accettarlo.
Il wallet certifica l'identità di chi presenta un dato, non l'autenticità del dato acquisito (foto, video, screenshot, documenti, videochiamate).
La certificazione alla fonte colma questa lacuna applicando sigillo elettronico qualificato di un QTSP terzo e marca temporale eIDAS nel momento della cattura.
Per banche, assicurazioni, sanità, immobiliare e studi legali i due livelli vanno integrati, non confusi.

Cos'è l'EUDI Wallet e cosa cambia da dicembre 2026

L'EUDI Wallet è il portafoglio europeo di identità digitale che ogni Stato membro deve fornire ai propri cittadini e alle imprese per identificarsi, autenticarsi e condividere attributi verificati in modo sicuro in tutta l'Unione. Per le aziende cambia un fatto operativo: dal 2026 una quota crescente di clienti e controparti potrà presentare la propria identità con un livello di garanzia elevato direttamente dal wallet, e dal 24 dicembre 2027 i settori regolati dovranno accettarlo.

L'EUDI Wallet è regolato dal Regolamento UE 2024/1183, che modifica il Regolamento 910/2014 (eIDAS) e istituisce il quadro europeo di identità digitale. Ogni Stato membro deve metterlo a disposizione entro 24 mesi dall'adozione degli atti di esecuzione, i cui primi testi risalgono al periodo tra fine 2024 e 2025: secondo la tabella di marcia europea, la disponibilità è quindi prevista entro la fine del 2026.

Per chi lavora in azienda contano soprattutto due elementi. Il primo è cosa custodisce il wallet: oltre ai dati di identificazione personale (PID) emessi dallo Stato, conserva attributi qualificati come titoli professionali, abilitazioni e poteri di rappresentanza. Con la presentazione selettiva l'utente condivide solo l'attributo richiesto, per esempio la maggiore età o l'iscrizione a un albo, senza esporre l'intero documento.

Il secondo è il Business Wallet, pensato per le persone giuridiche. Permette a un'impresa di presentare in modo verificabile la propria identità di entità legale, i poteri di firma di chi agisce per suo conto e i dati provenienti da fonti ufficiali come il Registro delle Imprese. Serve nelle relazioni B2B in cui conta sapere non solo chi è la persona, ma se quella persona può impegnare legalmente la società.

In Italia il sistema nazionale IT-Wallet è già stato avviato nel 2024-2025 all'interno dell'app IO, come tassello del rollout nazionale dentro il perimetro eIDAS 2. È l'implementazione italiana che dovrà convergere verso lo standard europeo: identità digitale europea e wallet nazionale non sono in concorrenza, sono lo stesso quadro a due livelli.

L'EUDI Wallet è il portafoglio europeo di identità digitale previsto dal Regolamento UE 2024/1183, in vigore dal 20 maggio 2024. Ogni Stato membro deve renderlo disponibile entro 24 mesi dall'adozione degli atti di esecuzione: secondo la tabella di marcia della Commissione europea, la disponibilità è attesa entro la fine del 2026. Il wallet custodisce i dati di identificazione personale emessi dallo Stato (PID), gli attestati elettronici di attributi (EAA) e gli attestati qualificati (QEAA), e per le persone giuridiche è previsto il Business Wallet, che attesta l'identità dell'impresa e i poteri di firma di chi agisce per essa. Le funzioni principali includono l'autenticazione ad alto livello di garanzia e la presentazione selettiva degli attributi, che consente di condividere solo il dato strettamente necessario.

Identità verificata non significa dato autentico: la lacuna che il wallet non copre

Il wallet attesta chi sei, non cosa mostri. Verifica con alto livello di garanzia l'identità di chi compie un'azione e l'autenticità degli attributi custoditi al suo interno, ma non certifica che una foto, un video, uno screenshot o un documento acquisito durante quella stessa azione corrispondano alla realtà nel momento in cui sono stati catturati. Questa distinzione è il cuore del problema per le imprese.

Un esempio chiarisce il punto. Un cliente apre un conto da remoto e si identifica con l'EUDI Wallet: la banca sa con certezza chi è, con un livello di garanzia che fino a ieri richiedeva la presenza fisica. Poi, nello stesso flusso, carica la foto di una busta paga, un estratto conto, la fotografia di un immobile a garanzia. Il wallet ha certificato l'identità del caricatore. Non dice nulla, invece, sul fatto che quella busta paga non sia stata modificata, che quella foto non sia stata generata o alterata, che quello screenshot rappresenti davvero ciò che dichiara. Il dato è presentato da un'identità verificata, ma non è certificato come autentico.

Questa lacuna conta perché il valore probatorio di un'evidenza dipende dalla sua integrità e dalla sua provenienza del dato, non solo dall'identità di chi la consegna. In una disputa, in un contenzioso, in un controllo dell'autorità di vigilanza, la domanda non è soltanto "chi ha caricato questo documento" ma "questo documento è integro e riconducibile al momento e al contesto della sua acquisizione". Il wallet risponde alla prima domanda. Per la seconda serve un livello diverso.

A differenza dell'EUDI Wallet, che attesta con alto livello di garanzia l'identità di chi presenta un dato, la certificazione alla fonte attesta l'integrità e la provenienza del contenuto stesso nel momento esatto della sua acquisizione. Un wallet può confermare che è il signor Rossi a caricare la fotografia di un documento; non può confermare che quella fotografia non sia stata alterata o generata artificialmente prima del caricamento. Il valore probatorio di un'evidenza digitale dipende da entrambi i piani: l'identità del presentatore e l'autenticità del contenuto. La certificazione alla fonte interviene sul secondo, acquisendo il dato in modo controllato e applicandovi un sigillo elettronico qualificato di un QTSP terzo insieme a una marca temporale eIDAS. Identità e contenuto restano due garanzie distinte e complementari: il wallet copre la prima, la certificazione alla fonte copre la seconda.

La tabella seguente riassume cosa attesta ciascuno dei due livelli.

Dimensione	EUDI Wallet	Certificazione alla fonte
Cosa attesta	L'identità di chi presenta il dato	L'autenticità e l'integrità del dato presentato
Oggetto	Persona o impresa (PID, attributi, poteri di firma)	Foto, video, screenshot, documenti, videochiamate
Momento della garanzia	All'autenticazione e alla presentazione degli attributi	All'acquisizione del contenuto
Strumento	Wallet con credenziali e attributi qualificati	Acquisizione controllata, sigillo QTSP terzo, marca temporale eIDAS
Domanda a cui risponde	"Chi sta presentando questo dato?"	"Questo dato è integro e riconducibile alla sua acquisizione?"
Copertura su un documento alterato	Conferma chi lo ha caricato, non se è autentico	Sigilla integrità e provenienza al momento della cattura

Dove serve la certificazione alla fonte nei flussi aziendali

La certificazione alla fonte serve ovunque un'evidenza digitale debba reggere nel tempo, anche di fronte a una contestazione. Tre flussi aziendali la rendono evidente: l'onboarding con adeguata verifica, la firma di contratti e mandati, l'archiviazione probatoria delle evidenze. In ognuno il wallet identifica la persona, ma il contenuto che quella persona porta con sé resta da certificare.

Onboarding e adeguata verifica (KYC)

Nell'onboarding KYC il wallet verifica l'identità del cliente con alto livello di garanzia, mentre la certificazione alla fonte garantisce i documenti e le acquisizioni raccolti durante la verifica. Sono due passaggi dello stesso processo, non lo stesso passaggio.

L'EUDI Wallet semplifica drasticamente l'identificazione: niente caricamento manuale del documento, niente verifica video del volto, nessun rischio che la fotografia della carta d'identità sia stata manomessa, perché l'attributo arriva firmato dallo Stato. Restano però scoperti tutti i documenti accessori che la normativa antiriciclaggio richiede e che non vivono dentro il wallet: la prova di residenza, la documentazione reddituale, le visure, la fotografia di un bene. Questi documenti vengono caricati dall'utente e, per il wallet, sono semplicemente "allegati presentati da un'identità verificata".

Nell'onboarding KYC l'EUDI Wallet verifica l'identità del cliente e gli attributi qualificati custoditi nel wallet, eliminando il caricamento manuale del documento d'identità. Resta però scoperta la documentazione accessoria che la normativa antiriciclaggio richiede e che non risiede nel wallet: prove di residenza, documentazione reddituale, visure, fotografie di beni. Questi allegati vengono caricati dall'utente e per il wallet sono semplicemente file presentati da un'identità verificata, senza alcuna garanzia sulla loro integrità. La certificazione alla fonte interviene esattamente qui: acquisisce il documento in modo controllato e vi applica un sigillo elettronico qualificato di un QTSP terzo con marca temporale eIDAS, rendendo l'acquisizione opponibile in sede probatoria. Identità verificata dal wallet e contenuto certificato alla fonte completano insieme la catena di adeguata verifica.

Firma di contratti e mandati professionali

Quando un contratto o un mandato viene firmato tramite wallet, l'identità del firmatario è solida, ma gli allegati e le evidenze a corredo dell'atto richiedono una garanzia separata. Il wallet consente la sottoscrizione con identità ad alto livello di garanzia; la certificazione alla fonte tutela ciò che accompagna l'atto.

Un mandato professionale, una procura, un contratto di compravendita immobiliare non vivono di sola firma. Sono corredati da perizie, fotografie dello stato dei luoghi, registrazioni di videochiamate in cui si raccoglie un consenso o si verifica una condizione. Per dare valore legale a una videochiamata di onboarding o a un sopralluogo da remoto, TrueScreen acquisisce e sigilla la registrazione nel momento della cattura, così che la sessione resti opponibile come l'atto che accompagna. Qui è utile tenere distinti i due concetti: il sigillo certifica l'integrità di un contenuto, mentre la firma riguarda la sottoscrizione di un documento da parte dell'utente. Per chi vuole approfondire vale la pena vedere la differenza tra sigillo e firma applicata ai flussi aziendali.

Archiviazione probatoria delle evidenze

Per l'archiviazione probatoria il wallet non è sufficiente: serve un sigillo applicato al contenuto, non all'identità di chi lo ha consegnato. Un documento conservato resta opponibile se la sua integrità e la sua marca temporale possono essere dimostrate a distanza di anni, indipendentemente da come è stato presentato.

Il wallet non lascia traccia di integrità sul singolo file archiviato. Nell'archiviazione probatoria, TrueScreen fornisce il sigillo elettronico qualificato di un QTSP terzo e la marca temporale eIDAS che il wallet, da solo, non applica al contenuto. È la differenza tra avere un archivio di documenti "ricevuti da clienti identificati" e avere un archivio di evidenze ciascuna sigillata, datata e riconducibile al momento della sua acquisizione.

EUDI Wallet ed eIDAS 2.0: il quadro normativo per le imprese

Il quadro normativo dell'EUDI Wallet nasce dalla revisione di eIDAS operata dal Regolamento UE 2024/1183. Per le imprese significa che identità digitale, attributi qualificati e servizi fiduciari rientrano ora in un'unica cornice europea, con scadenze precise e un ruolo definito per gli organismi di sicurezza. L'attuazione passa per gli atti di esecuzione adottati tra fine 2024 e 2025, che definiscono le specifiche tecniche del wallet, e prevede un ruolo dell'ENISA nella certificazione di cybersicurezza dell'architettura. Per il contesto italiano il riferimento è il Codice dell'Amministrazione Digitale, con AgID come autorità nazionale per i servizi fiduciari e l'identità digitale.

Il Regolamento UE 2024/1183, in vigore dal 20 maggio 2024, modifica il Regolamento 910/2014 (eIDAS) e istituisce il quadro europeo di identità digitale noto come eIDAS 2.0. Prevede che ogni Stato membro renda disponibile almeno un EUDI Wallet entro 24 mesi dall'adozione degli atti di esecuzione, i cui primi testi sono stati adottati tra fine 2024 e il 2025. L'ENISA contribuisce alla certificazione di cybersicurezza dell'architettura del wallet. Dal 24 dicembre 2027 i settori regolati, tra cui banche, assicurazioni, telecomunicazioni, energia e sanità, dovranno accettare l'EUDI Wallet come mezzo di identificazione. Per le imprese il regolamento unifica in un'unica cornice europea identità digitale, attributi qualificati e servizi fiduciari, con scadenze definite e requisiti di interoperabilità tra Stati membri.

La tabella seguente ricostruisce le tappe principali dal 2014 alla deadline del 2027.

Anno	Tappa normativa	Cosa comporta
2014	Regolamento UE 910/2014 (eIDAS)	Quadro europeo su identità elettronica e servizi fiduciari (firma, sigillo, marca temporale)
2021	Proposta della Commissione per eIDAS 2	Avvio della revisione e introduzione del concetto di EUDI Wallet
20 mag 2024	Entrata in vigore del Reg. UE 2024/1183	eIDAS 2.0: istituito il quadro europeo di identità digitale
2024-2025	Adozione degli atti di esecuzione	Specifiche tecniche del wallet; avvio IT-Wallet in Italia
Entro fine 2026	Disponibilità dell'EUDI Wallet negli Stati membri	Ogni Stato fornisce almeno un wallet (24 mesi dagli atti di esecuzione)
24 dic 2027	Obbligo di accettazione	I settori regolati devono accettare l'EUDI Wallet

Sul versante dei servizi fiduciari, eIDAS 2 conferma e rafforza il ruolo del sigillo elettronico qualificato e dei QTSP. Per non duplicare quanto già trattato altrove, rimandiamo all'analisi dedicata al sigillo elettronico qualificato e QTSP: qui interessa il piano dell'identità e del wallet, lì il piano del sigillo come strumento di certificazione.

Cos'è la certificazione alla fonte e come si integra con l'EUDI Wallet

La certificazione alla fonte è l'acquisizione tecnica e controllata di un dato (foto, video, screenshot, documenti, videochiamate) a cui viene applicato, nel momento esatto della cattura, un sigillo elettronico qualificato erogato da un QTSP terzo e una marca temporale eIDAS. Mentre il wallet attesta l'identità di chi presenta il dato, la certificazione alla fonte attesta l'integrità e la provenienza del contenuto. I due livelli si integrano: il wallet identifica l'utente, la certificazione alla fonte autentica l'evidenza.

TrueScreen integra il sigillo di QTSP qualificati terzi via API e certifica il dato nel momento esatto dell'acquisizione, colmando la lacuna tra dato presentato e dato firmato. Non rilascia in proprio certificati qualificati: il sigillo elettronico qualificato e la marca temporale eIDAS sono erogati da QTSP qualificati terzi e applicati al contenuto tramite la piattaforma. Il dato viene acquisito, ne viene calcolato l'hash, e su quell'hash vengono apposti sigillo e marca temporale, così che ogni alterazione successiva diventi rilevabile e l'evidenza resti riconducibile al momento della cattura.

Sul piano operativo, l'integrazione con i flussi aziendali avviene per via tecnica: l'integrazione via API consente di inserire la certificazione alla fonte dentro processi di onboarding, gestione documentale e firma già esistenti, senza riprogettarli. L'acquisizione può avvenire tramite l'app di acquisizione per foto e video sul campo, tramite il browser forense per screenshot e contenuti web, o tramite la certificazione delle videochiamate per sessioni e meeting con valore legale. In tutti i casi il principio resta lo stesso: certificare il vero al momento dell'acquisizione, invece di provare a riconoscere il falso a posteriori.

Due esempi mostrano come i due livelli lavorino insieme.

Prendiamo un mandato professionale. Il professionista firma presentando la propria identità e i poteri di firma dall'EUDI Wallet, e alla pratica allega una perizia fotografica. Con la certificazione alla fonte quelle fotografie vengono sigillate al momento dello scatto: l'identità è garantita dal wallet, la perizia dalla certificazione, e l'intero fascicolo regge.

Oppure l'apertura di un conto fiduciario in banca. Il cliente si identifica con il wallet e fornisce i documenti societari come attributi verificati. Durante la consegna di beni o valori, un verbale con fotografie e una breve videochiamata vengono acquisiti e autenticati. Il wallet copre identità e poteri, la certificazione alla fonte copre il verbale di consegna, e insieme producono un fascicolo opponibile su entrambi i piani.

Roadmap di integrazione 2026 per CIO, DPO e responsabili della conformità

Prepararsi all'EUDI Wallet non significa solo abilitare l'accettazione del wallet, ma mappare dove l'identità verificata basta e dove serve certificare anche il contenuto. La lista di controllo seguente aiuta CIO, DPO e responsabili della conformità a impostare l'integrazione lungo il 2026, prima della disponibilità dei wallet e in vista dell'obbligo di accettazione del 24 dicembre 2027.

Mappare i flussi che usano identità digitale. Onboarding, firma di contratti, accessi privilegiati, deleghe: identificare ogni punto in cui oggi si verifica un'identità e dove l'EUDI Wallet la sostituirà o la affiancherà.
Distinguere identità e contenuto in ogni flusso. Per ciascun processo, separare ciò che il wallet certifica (chi presenta) da ciò che resta scoperto (foto, video, screenshot, documenti, videochiamate acquisiti durante il processo).
Verificare l'accettazione del wallet nei settori regolati. Se l'azienda opera in banche, assicurazioni, telecomunicazioni, energia o sanità, pianificare l'accettazione dell'EUDI Wallet in vista dell'obbligo del 24 dicembre 2027.
Valutare il Business Wallet per le relazioni B2B. Stabilire dove conta presentare e ricevere identità di impresa con poteri di firma verificati da fonti ufficiali.
Definire dove serve la certificazione alla fonte. Identificare gli allegati e le evidenze che devono reggere in sede probatoria e introdurre il sigillo QTSP e la marca temporale eIDAS sul contenuto, non solo sull'identità.
Allineare conservazione e archiviazione probatoria. Verificare che le evidenze certificate siano conservate con la loro marca temporale e integrità dimostrabile nel tempo, coerentemente con i requisiti GDPR sul trattamento dei dati.
Coinvolgere il DPO sulla minimizzazione. Sfruttare la presentazione selettiva del wallet per ridurre i dati raccolti, documentando la base giuridica per ogni attributo richiesto.
Pianificare l'integrazione tecnica via API. Inserire la certificazione alla fonte nei sistemi esistenti tramite API, evitando di riprogettare i flussi e riducendo l'impatto sull'esperienza utente.

Resta un principio a guidare ogni scelta: l'EUDI Wallet aziende e la certificazione alla fonte non si sostituiscono, si completano. Chi imposta i due livelli insieme arriva al 2027 con processi in cui sia l'identità di chi agisce sia l'autenticità di ciò che viene prodotto restano garantite e difendibili.

FAQ: EUDI Wallet e certificazione dei documenti aziendali

L'EUDI Wallet certifica l'autenticità dei documenti che presento?

No. L'EUDI Wallet certifica l'identità di chi presenta un documento e l'autenticità degli attributi custoditi nel wallet (come dati anagrafici o poteri di firma), ma non attesta che una foto, uno screenshot o un documento caricato sia integro o corrisponda alla realtà. L'autenticità del contenuto si ottiene con la certificazione alla fonte, che applica un sigillo elettronico qualificato di un QTSP terzo e una marca temporale eIDAS al momento dell'acquisizione.

Il wallet basta per l'archiviazione probatoria delle evidenze?

No. Il wallet attesta l'identità di chi consegna un documento, ma non lascia sul singolo file una garanzia di integrità verificabile nel tempo. Per l'archiviazione probatoria serve un sigillo applicato al contenuto, insieme a una marca temporale eIDAS, in modo che l'evidenza resti opponibile e riconducibile al momento della sua acquisizione anche a distanza di anni. È quanto fornisce la certificazione alla fonte, complementare all'identità verificata dal wallet.

Che cos'è il Business Wallet per le imprese?

Il Business Wallet è la versione dell'EUDI Wallet pensata per le persone giuridiche. Consente a un'impresa di presentare in modo verificabile la propria identità di entità legale, i poteri di firma di chi agisce per suo conto e i dati provenienti da fonti ufficiali come il Registro delle Imprese. È previsto dal quadro eIDAS 2 ed è pensato per le relazioni B2B in cui occorre sapere non solo chi è la persona, ma se può impegnare legalmente la società.

Quando sarà disponibile l'EUDI Wallet in Italia?

Secondo la tabella di marcia europea, gli Stati membri devono rendere disponibile almeno un EUDI Wallet entro 24 mesi dall'adozione degli atti di esecuzione, con disponibilità attesa entro la fine del 2026. In Italia il sistema nazionale IT-Wallet è già stato avviato nel 2024-2025 all'interno dell'app IO, come tassello del rollout nazionale che dovrà convergere verso lo standard europeo dell'EUDI Wallet.

Quando entra in vigore l'obbligo dell'EUDI Wallet per le aziende?

Dal 24 dicembre 2027 i settori regolati, tra cui banche, assicurazioni, telecomunicazioni, energia e sanità, dovranno accettare l'EUDI Wallet come mezzo di identificazione. La disponibilità dei wallet è invece attesa entro la fine del 2026: il periodo intermedio è la finestra utile per adeguare i flussi di onboarding, firma e gestione documentale.

Identità verificata e contenuto certificato: copri entrambi i livelli

L’EUDI Wallet attesta chi presenta un dato. TrueScreen certifica alla fonte foto, video, screenshot e documenti, con sigillo elettronico qualificato di un QTSP terzo e marca temporale eIDAS.

Inizia ora

Richiedi una demo