Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

vademecum

eIDAS 2.0, guida al terzo lotto degli atti di esecuzione

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Gli implementing acts di eIDAS 2.0 offrono tutte le indicazioni per concretizzare le disposizioni del regolamento: ecco tutti i dettagli relativi agli atti di esecuzione del terzo lotto

Pubblicato il 12 nov 2025
Giovanni Manca

consulente, Anorc

archiviazione digitale, documenti, scrittura, dati Modello Oais; font; digitalizzazione contratti; obblighi fiscali professionisti; eidas atti esecuzione terzo lotto; valore probatorio pec; Genesis; low code

Il regolamento eIDAS (nr. 910/2014) così come modificato dal regolamento 2024/1183 è tecnologicamente neutro come previsto dalle regole comunitarie. La sua attuazione, come stabilito direttamente nel regolamento stesso avviene attraverso regolamenti di esecuzione (Implementi Acts: nel testo di eIDAS in italiano, atti di esecuzione). 

In questo articolo proseguono i commenti ai regolamenti di esecuzione e in particolari quelli del cosiddetto terzo lotto, dopo l’analisi del primo lotto e anche del secondo lotto

Con il terzo lotto di regolamenti di esecuzione, la Commissione europea inizia a trattare i servizi fiduciari. Un elemento di rilievo è che una serie di regolamenti sono relativi a materie già presenti nella versione originale di eIDAS, quindi si completa un percorso rimasto sospeso dal 2015, anno di riferimento per i regolamento della prima fase.  

Regolamento Serc, tutte le novità per la Pec: cosa cambia per provider e mittenti

Regolamenti del terzo lotto

Regolamento di esecuzione (UE) 2025/1566 della Commissione del 29 luglio 2025.

Recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le norme di riferimento per la verifica dell’identità e degli attributi della persona a cui deve essere rilasciato il certificato qualificato o l’attestato elettronico di attributi qualificato.  

Questo documento definisce norme di riferimento standardizzate per verificare l’identità e gli attributi delle persone quando i prestatori di servizi fiduciari qualificati rilasciano certificati qualificati o attestati elettronici di attributi qualificati.

Tutto ciò dovrebbe garantire che tutti i prestatori di servizi fiduciari qualificati nell’Unione effettuino le verifiche di identità in modo equivalente e affidabile, promuovendo l’interoperabilità transfrontaliera e il corretto funzionamento del mercato interno.

Questo regolamento adotta la specifica tecnica ETSI TS 119 461 V2.1.1 (2025-02) come riferimento per la conformità, con specifici adeguamenti tecnici elencati nell’allegato.

Rispetto allo scenario attuale le regole sono molto più impegnative rispetto al passato poiché si deve essere conformi all’articolo 24 dell’eIDAS. In particolare la specifica ETSI sopra citata introduce regole per l’attuazione del paragrafo 1 bis, lettera c) dell’articolo 24 in materia di verifica dell’identità. 

“c) mediante altri metodi di identificazione che garantiscono l’identificazione della persona con un elevato livello di sicurezza, la conformità dei quali è confermata da un organismo di valutazione della conformità”. 

Per questo motivo la Commissione ha accettato la richiesta di prorogare l’applicabilità del regolamento che è entrato in vigore il 19 agosto 2025 ma che, dopo un periodo transitorio di 24 mesi, sarà applicabile dal 19 agosto 2027.

E’ importante sottolineare che la Commissione si impegna a riesaminare periodicamente il regolamento al fine di mantenerlo allineato con i nuovi sviluppi tecnologici e le migliori pratiche.

Regolamento di esecuzione (UE) 2025/1567 della commissione del 29 luglio 2025

Recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la gestione di dispositivi qualificati per la creazione di una firma elettronica a distanza e dispositivi qualificati per la creazione di un sigillo elettronico a distanza come servizi fiduciari qualificati.

Questo documento ha lo scopo di definire le norme per i due servizi fiduciari qualificati che gestiscono i:

  • dispositivi qualificati per la creazione di firme elettroniche a distanza; 
  • dispositivi qualificati per la creazione di sigilli elettronici a distanza. 

Ci viene ricordato che questi servizi sono fondamentali per la transizione digitale delle imprese, facilitando il passaggio dai processi cartacei a quelli elettronici.

Ulteriori considerazioni sono l’opportunità di

  • migliorare la certezza del diritto e l’affidabilità dei servizi fiduciari; 
  • garantire controlli di sicurezza adeguati; 
  • assicurare che i firmatari mantengano il controllo esclusivo sui propri dati di firma; 
  • tenere in conto le prassi operative consolidate nel settore. 

Anche in questo caso si fa riferimento ad una specifica tecnica che è la ETSI TS 119 431-1 V1.3.1 con specifici adeguamenti nel testo che riguardano: 

  • controlli del personale e obblighi di formazione continua; 
  • sicurezza della rete e scansioni trimestrali delle vulnerabilità; 
  • controlli crittografici conformi agli standard ENISA; 
  • gestione della cessazione del servizio; 

La Commissione ha tenuto conto delle esigenze temporali per l’adeguamento alle nuove regole e requisiti, quindi il regolamento è entrato in vigore il 19 agosto 2025 ma è applicabile dal 19 agosto 2027 grazie alla proroga di 24 mesi.

Regolamento di esecuzione (UE) 2025/1568 della commissione del 29 luglio 2025  

Recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda le modalità procedurali per le valutazioni tra pari dei regimi di identificazione elettronica e per la cooperazione nell’organizzazione di tali valutazioni nell’ambito del gruppo di cooperazione e che abroga la decisione di esecuzione (UE) 2015/296 della Commissione.

Questo regolamento di esecuzione disciplina il meccanismo di valutazioni tra pari (peer review) per i regimi di identificazione elettronica che gli Stati membri intendono notificare. Le valutazioni sono volontarie e hanno lo scopo di garantire interoperabilità e fiducia reciproca tra i sistemi nazionali.

Il meccanismo è strutturato in fasi ben definite, come descritto nel seguito.

Avvio del processo:

  • La valutazione inizia quando uno Stato membro trasmette una “pre-notifica” del proprio regime 
  • Deve includere tre documenti: mappatura dei livelli di garanzia, libro bianco descrittivo, e un documento di interoperabilità 

Organizzazione:

  • La valutazione è gestita dal “gruppo di cooperazione per l’identità digitale europea” 
  • Si forma un “gruppo di valutazione tra pari” con ruoli specifici (coordinatore, relatori, membri attivi) 
  • Durata massima: 3 mesi, estendibile di altri 2 mesi 

Struttura operativa:

  • Tre gruppi di lavoro specializzati: registrazione, gestione/autenticazione, gestione/organizzazione 
  • Ogni gruppo valuta aspetti specifici secondo i regolamenti tecnici esistenti 

Risultati:

  • Produzione di una relazione finale e un parere del gruppo di cooperazione 
  • Pubblicazione del parere finale che indica se il regime soddisfa i requisiti 

Considerato lo scenario completamente nuovo che si è venuto a creare con il nuovo eIDAS, questo regolamento di esecuzione abroga la precedente decisione di esecuzione (UE) 2015/296 e trasferisce le competenze al nuovo gruppo di cooperazione. Include anche procedure per aggiornare valutazioni precedenti in caso di modifiche significative ai regimi.

Il documento comprende anche quattro allegati tecnici che definiscono i modelli e le informazioni minime richieste per ciascun tipo di documentazione.

Regolamento di esecuzione (UE) 2025/1570 della commissione del 29 luglio 2025  

Recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda la notifica delle informazioni sui dispositivi per la creazione di una firma elettronica qualificata certificati e sui dispositivi per la creazione di un sigillo elettronico qualificato certificati.

Questo documento definisce come gli Stati membri devono notificare alla Commissione Europea le informazioni sui dispositivi certificati per la creazione di firme elettroniche qualificate e sigilli elettronici qualificati.

Il procedimento operativo è dettagliato sulla base di quanto descritto nel seguito.

Modalità di notifica: Gli Stati membri utilizzano un canale telematico sicuro fornito dalla Commissione per trasmettere tutte le informazioni richieste sui dispositivi certificati.

Aggiornamenti obbligatori: In caso di modifiche alle informazioni inizialmente comunicate (inclusi cambiamenti dello stato di certificazione), gli Stati devono trasmettere tempestivamente gli aggiornamenti attraverso lo stesso canale.

Informazioni richieste: L’allegato specifica in dettaglio 14 categorie di informazioni da fornire, tra cui:

  • identificazione completa del dispositivo (nome, versioni software/hardware); 
  • identità dell’organismo richiedente la certificazione; 
  • certificato di conformità ai requisiti tecnici; 
  • relazioni di certificazione e loro disponibilità pubblica; 
  • date di inizio, scadenza e stato della certificazione; 
  • dati di contatto degli organismi designati. 

Come tutti i regolamenti di esecuzione anche questo è entrato in vigore 20 giorni dopo la pubblicazione sulla Gazzetta comunitaria ma, per consentire gli adeguamenti operativi del caso, si applica dal 19 dicembre 2025, in tal modo la Commissione ha il tempo utile per adattare i sistemi tecnici.

Regolamento di esecuzione (UE) 2025/1571 della commissione del 29 luglio 2025  

Recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i formati e le procedure applicabili alle relazioni annuali degli organismi di vigilanza.

Questo documento Il regolamento definisce i formati le procedure standard per le relazioni che gli organismi di vigilanza devono presentare alla Commissione Europea. Si tratta di due tipologie di organismi:

  • organismi di vigilanza per i portafogli europei di identità digitale; 
  • organismi di vigilanza per i servizi fiduciari. 

In Italia AgID e ACN con prevalenza operativa della prima.

Il regolamento ha l’obiettivo di:

  • creare una fonte di informazioni trasparente e affidabile sulle attività di vigilanza; 
  • garantire scambi di dati sicuri e verificabili con la Commissione; 
  • ridurre la complessità amministrativa; 
  • facilitare lo scambio di informazioni in materia di buone pratiche tra gli organismi di vigilanza; 
  • assicurare una vigilanza coerente, efficace ed efficiente in tutti gli Stati membri. 

Le principali regole sono le seguenti.

Modalità di presentazione: Le relazioni devono essere inviate attraverso un canale telematico sicuro fornito dalla Commissione, in formato leggibile meccanicamente per il trattamento automatizzato.

Contenuti richiesti: Il regolamento specifica dettagliatamente le informazioni che devono essere incluse nelle relazioni annuali (Allegati I e II), tra cui:

  • dati identificativi dell’organismo di vigilanza; 
  • descrizione delle attività svolte; 
  • risultati delle ispezioni; 
  • cooperazione con altri organismi; 
  • sfide identificate e priorità future. 

Il regolamento si applica direttamente in tutti gli Stati membri dell’UE.

Regolamento di esecuzione (UE) 2025/1572 della commissione del 29 luglio 2025  

Recante modalità di applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio per quanto riguarda i formati e le procedure relativi alla notifica dell’intenzione e alla verifica per l’avviamento di servizi fiduciari qualificati.    

Questo documento definisce i formati e le procedure comuni europee che i prestatori di servizi fiduciari devono seguire quando vogliono richiedere la qualifica ai fini della fornitura di servizi fiduciari qualificati comunitari.

I punti principali della procedura sono descritti di seguito.

Metodologia di verifica (Art. 1): Gli organismi di vigilanza nazionali devono stabilire procedure standardizzate per verificare che i prestatori rispettino i requisiti del regolamento eIDAS e della direttiva NIS 2 sulla cybersicurezza.

Trasparenza (Art. 2): Gli organismi di vigilanza devono rendere pubbliche informazioni essenziali come contatti, canali di comunicazione, documentazione richiesta, procedure per i reclami e la metodologia di verifica utilizzata.

Contenuto delle notifiche (Art. 3): Quando un prestatore vuole diventare qualificato, deve fornire informazioni dettagliate tra cui:

  • dati identificativi dell’azienda o persona fisica; 
  • contatti e sito web con politiche e condizioni; 
  • analisi dei rischi di sicurezza; 
  • servizi che intende offrire con relative certificazioni; 
  • piano di cessazione delle attività; 

Processo di verifica (Art. 4): Gli organismi di vigilanza devono analizzare la documentazione, possono effettuare controlli in loco e verificare che le relazioni di valutazione della conformità redatte da un organismo di valutazione della conformità dimostrino effettivamente il rispetto dei requisiti normativi.

Anche per questo regolamento di esecuzione l’applicazione è prorogata, in questo caso di 12 mesi e quindi la data è il 19 agosto 2026.

Lo scenario che ci aspetta

In questo articolo abbiamo esaminato sinteticamente i cinque regolamenti di esecuzione facenti parte di un primo insieme del terzo lotto stabilito dalla Commissione europea. Questo insieme di documenti è basato sulla modalità di pubblicazione degli stessi nella Gazzetta comunitaria. Questi regolamenti, insieme ai rimanenti sei del terzo lotto, costituiscono il primo e prevalente gruppo di regole specifiche sui servizi fiduciari. Ne troveremo altri nel quarto (già in pubblicazione) e nel quinto lotto. 

Il prossimo articolo di questa serie descrittiva sui regolamenti di esecuzione relativi al nuovo eIDAS completa il terzo lotto. Questo nuovo gruppo di regolamento è stato pubblicato nella Gazzetta comunitaria il 30 settembre 2025. 

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Giovanni Manca
consulente, Anorc
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • trasformazione digitale nella pa risorse umane nella pa relazioni nella pubblica amministrazione; obblighi Nis2

  • roadmap

    Sistema informatico degli sportelli unici, a che punto siamo

    28 Feb 2025

    di Andrea Craig

    Condividi
  • gdpr digital omnibus

  • tech e lavoro

    Formazione cloud e blockchain: quali competenze per il futuro

    24 Apr 2025

    di Lokesh Vij

    Condividi
  • contratti (1); digitalizzazione contratti pubblici Contratti AI in azienda; dlt pilot regime

  • scenario

    DLT Pilot Regime in Italia, ecco i vantaggi per le imprese

    10 Nov 2025

    di Claudio Grimoldi

    Condividi