Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

la guida

Digital identity aziendale: standard e protocolli per le transazioni certificate B2B

Home Cittadinanza digitale Identità digitale
Partecipa al dibattito
Indirizzo copiato

La digital identity aziendale diventa un requisito centrale per le transazioni B2B certificate. Il quadro europeo intreccia eIDAS 2, GDPR, AI Act, NIS 2 e DORA, definendo strumenti, obblighi e standard tecnici per identità, sigilli elettronici, wallet digitali, audit trail e governance

Pubblicato il 13 mag 2026
Paola Zanellati

Responsabile Protezione dei Dati – DPO Consulente Privacy

Biometric ID; Digital Identity
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Il Regolamento (UE) 2024/1183 (eIDAS 2) crea un framework unico, introduce l’EUDI Wallet e amplia i servizi fiduciari qualificati per l’identità digitale B2B.
  • Il sigillo elettronico qualificato (QeSeal) certifica origine e integrità per le persone giuridiche; formati obbligatori: XAdES, CAdES, PAdES, ASiC.
  • Il GDPR, il AI Act, NIS 2 e DORA richiedono DPIA, governance integrata, gestione del ciclo dei certificati e scelta oculata dei QTSP.
Riassunto generato con AI

La digitalizzazione dei rapporti interaziendali ha trasformato la fiducia da valore intangibile a requisito tecnico-giuridico misurabile. In un ecosistema B2B in cui contratti, ordini di acquisto, certificati di conformità, procure e rendiconti finanziari vengono scambiati in forma elettronica tra soggetti geograficamente distribuiti, la certezza sull’identità della controparte non può più fondarsi esclusivamente su meccanismi relazionali o documentali analogici.

La nozione di “corporate digital identity” si è progressivamente strutturata attorno a un corpus normativo europeo che, muovendo dall’originario Regolamento eIDAS del 2014 (Reg. UE n. 910/2014), ha subito una profonda revisione con l’adozione del Regolamento (UE) 2024/1183, entrato in vigore il 20 maggio 2024. Quest’ultimo delinea un framework unitario che abbraccia identificazione elettronica, servizi fiduciari qualificati, portafoglio europeo di identità digitale (EUDI Wallet) e nuove attestazioni degli attributi, ridisegnando i paradigmi operativi delle transazioni elettroniche sia nel settore pubblico sia in quello privato.

Digital identity aziendale e quadro normativo europeo

Il tema interseca la disciplina del trattamento dei dati personali di cui al Reg. UE 679/2016 (GDPR), le norme di sicurezza informatica derivanti dalla Direttiva (UE) 2022/2555 (NIS 2), recepita in Italia con D.Lgs. 138/2024, i requisiti di resilienza operativa digitale previsti dal Regolamento (UE) 2022/2554 (DORA) per i soggetti dei mercati finanziari, e i vincoli del Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act), che introduce obblighi specifici per i sistemi di IA utilizzati in processi di verifica identitaria e decisione automatizzata.

Il Regolamento (UE) 2024/1183, adottato l’11 aprile 2024, costituisce la risposta del legislatore europeo a tali criticità. La revisione persegue tre obiettivi strategici:

  • potenziare l’efficacia del framework identitario estendendone i benefici al settore privato;
  • istituire il Portafoglio Europeo di Identità Digitale (EUDI Wallet) come strumento universale di portabilità degli attributi identitari;
  • introdurre nuove categorie di servizi fiduciari qualificati, ampliando il perimetro delle attività certificate.

La struttura implementativa del nuovo regolamento si articola attraverso atti di esecuzione che la Commissione Europea adotta secondo tempistiche differenziate:

  • i regolamenti esecutivi relativi all’EUDI Wallet erano attesi entro il 21 novembre 2024;
  • quelli sui trust services entro il 21 maggio 2025.

In tale ambito, il Regolamento (UE) 2024/2977, pubblicato nella Gazzetta Ufficiale del 4 dicembre 2024, ha definito le prime modalità applicative del wallet.

Sigillo elettronico qualificato e identità delle persone giuridiche

Sul piano della corporate digital identity, il Regolamento eIDAS individua nel sigillo elettronico qualificato (QeSeal) lo strumento specificamente dedicato alle persone giuridiche. A differenza della firma elettronica qualificata, che attesta la volontà di una persona fisica, il sigillo elettronico qualificato certifica l’origine e l’integrità dei dati associandoli all’ente come tale, indipendentemente dall’identità del soggetto fisico che lo ha concretamente generato.

Ai sensi dell’art. 35 del Regolamento eIDAS, il sigillo elettronico qualificato gode di una presunzione legale di integrità dei dati e di correttezza dell’origine a cui è associato, con effetti giuridici riconosciuti in tutti gli Stati membri. In Italia, il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005, CAD) non disciplina espressamente il sigillo elettronico, sicché il rinvio diretto al Regolamento europeo gerarchicamente sovraordinato alla legge nazionale assume rilievo interpretativo centrale.

Il sigillo elettronico qualificato si articola tecnicamente sulla crittografia a chiave pubblica: il certificato qualificato lega in modo univoco il sigillo all’identità della persona giuridica (denominazione, partita IVA o codice fiscale). L’applicazione del sigillo avviene in modo automatizzato, rendendolo particolarmente idoneo a supportare flussi documentali massivi:

  • fatturazione elettronica;
  • reporting regolamentare;
  • trasmissione di atti notarili digitali;
  • certificazione di provvedimenti amministrativi;
  • documenti di gara.

Nuovi servizi fiduciari qualificati per il B2B

Il Regolamento 2024/1183 arricchisce il catalogo dei servizi fiduciari qualificati con impatto diretto sull’ecosistema B2B. Le novità di maggior rilievo per le persone giuridiche sono le seguenti:

  • Attestazione elettronica degli attributi: consente di verificare e certificare attributi specifici di una persona fisica o giuridica quali la qualifica professionale, l’autorizzazione a operare in un settore regolamentato, o l’iscrizione in un registro pubblico senza condivisione indiscriminata dei dati sottostanti. Nel contesto B2B, le EAA abilitano processi di qualificazione dei fornitori e di verifica delle controparti in chiave privacy-by-design.
  • Archiviazione elettronica qualificata: garantisce integrità, autenticità e leggibilità nel lungo periodo dei documenti elettronici, con riconoscimento del valore probatorio in tutta l’Unione. Colma un vuoto significativo nell’armonizzazione europea della conservazione documentale, settore in cui l’Italia detiene un primato tecnico-normativo con le regole AgID.
  • Registri elettronici qualificati: strumenti per la registrazione di eventi e transazioni con data certa, immodificabilità e tracciabilità verificabile, rilevanti per la gestione di audit trail nei rapporti contrattuali e nei processi di compliance.
  • Gestione di dispositivi qualificati per la firma e il sigillo a distanza: il nuovo regolamento qualifica come servizio fiduciario la gestione degli HSM (Hardware Security Module) e degli strumenti di firma remota, con implicazioni dirette sui processi di digitalizzazione dei workflow aziendali.
  • Recapito certificato qualificato: aggiorna e potenzia i requisiti preesistenti, imponendo standard di interoperabilità europei che, in Italia, incidono sull’evoluzione della PEC verso il formato REM (Registered Electronic Mail) conforme allo standard ETSI EN 319 532.

Digital identity aziendale e protezione dei dati personali

L’identità digitale aziendale si colloca in uno spazio normativo composito in cui la disciplina dei dati personali interseca inevitabilmente quella dei servizi fiduciari. Sebbene il soggetto nominale dei processi di corporate digital identity sia la persona giuridica, il loro funzionamento presuppone e genera trattamenti di dati personali di persone fisiche:

  • rappresentanti legali;
  • procuratori;
  • amministratori delegati;
  • dipendenti autorizzati.

Il GDPR si applica ogniqualvolta il processo di identificazione o di attestazione degli attributi comporti il trattamento di dati riferibili a persone fisiche identificate o identificabili, ai sensi dell’art. 4, par. 1. I QTSP, in quanto titolari o responsabili del trattamento, devono rispettare i principi di cui all’art. 5 GDPR:

  • liceità;
  • correttezza;
  • trasparenza;
  • limitazione della finalità;
  • minimizzazione dei dati;
  • esattezza;
  • limitazione della conservazione;
  • integrità e riservatezza.

Il Regolamento 2024/1183 recepisce esplicitamente tale intersezione normativa: l’Allegato VI elenca gli attributi minimi contenibili nell’EUDI Wallet, precisando che tutti i dati restano sotto il controllo esclusivo del titolare, che ne autorizza la diffusione in maniera commisurata alle specifiche transazioni, nel pieno rispetto dei principi GDPR. Tale impostazione concretizza il principio di data minimization in un’architettura di selective disclosure.

Basi giuridiche del trattamento nei rapporti B2B

La qualificazione della base giuridica applicabile al trattamento dei dati nei processi di verifica dell’identità digitale aziendale richiede un’analisi contestuale. Nell’ambito delle relazioni B2B, le principali basi giuridiche rilevanti ai sensi dell’art. 6 GDPR sono:

  • Art. 6, par. 1, lett. b) esecuzione di un contratto: la verifica dell’identità della controparte è ordinariamente necessaria all’esecuzione del contratto commerciale, alla consegna di beni o servizi, o all’espletamento di adempimenti precontrattuali.
  • Art. 6, par. 1, lett. c) obbligo legale: in settori regolamentati (servizi finanziari, farmaceutico, difesa, appalti pubblici), la verifica identitaria risponde a obblighi normativi specifici che rendono non conforme la base giuridica del consenso.
  • Art. 6, par. 1, lett. f) legittimo interesse: in assenza di obblighi legali, il trattamento dei dati delle persone fisiche che agiscono in rappresentanza della controparte può fondarsi sul legittimo interesse del titolare alla corretta identificazione della stessa, previa valutazione di proporzionalità.

È opportuno sottolineare che il ricorso al consenso (art. 6, par. 1, lett. a) risulta, nelle relazioni B2B strutturate, la base giuridica meno appropriata: il contesto contrattuale e il rapporto di forza tra le parti possono compromettere la libertà e specificità del consenso, come evidenziato nelle linee guida dell’EDPB in materia.

DPIA e processi identitari ad alto rischio

L’implementazione di sistemi di corporate digital identity configura un’ipotesi ad alto rischio ai sensi dell’art. 35 GDPR, con conseguente obbligo di svolgere una Valutazione d’Impatto sulla Protezione dei Dati (DPIA).

Il trattamento sistematico di dati identificativi nell’ambito di servizi QTSP, la gestione di attributi certificati tramite EAA, l’utilizzo di registri elettronici con audit trail continuo, e i processi automatizzati di onboarding B2B rientrano tipicamente nell’elenco delle tipologie di trattamenti soggetti a DPIA emanato dal Garante per la protezione dei dati personali italiano (Provvedimento dell’11 ottobre 2018). La DPIA deve:

  • analizzare i rischi per diritti e libertà degli interessati;
  • identificare le misure di mitigazione tecniche e organizzative;
  • essere oggetto di consultazione preventiva ai sensi dell’art. 36 GDPR.

AI Act e sistemi di verifica identitaria

Il Regolamento (UE) 2024/1689 (AI Act), entrato in vigore il 1° agosto 2024 con applicazione progressiva fino al 2027, introduce una classificazione risk-based dei sistemi di intelligenza artificiale che si sovrappone significativamente ai processi di digital identity aziendale.

L’Allegato III del Regolamento individua, tra i sistemi di IA ad alto rischio, quelli impiegati in “infrastrutture critiche” (punto 2) e nei “processi di identificazione biometrica remota” (punto 1). I considerando 55–57 del Regolamento specificano la ratio di tali esclusioni, distinguendo i sistemi di identificazione biometrica remota in tempo reale da quelli di verifica One-to-One nei contesti aziendali, ammessi ma soggetti a stringenti requisiti di conformità. I sistemi che associano tecniche di riconoscimento facciale, analisi vocale o comportamentale ai processi di autenticazione aziendale rientrano pertanto nella categoria ad alto rischio, con obbligo di:

  • registrazione nel database europeo (art. 71);
  • valutazione di conformità ex ante;
  • adozione di un Quality Management System (art. 17);
  • redazione di documentazione tecnica (art. 11);
  • implementazione di meccanismi di supervisione umana (art. 14);
  • garanzia di accuratezza, robustezza e sicurezza informatica (art. 15).

Va evidenziata la tensione strutturale tra l’automatizzazione dei processi identitari e il principio di supervisione umana imposto dall’AI Act per i sistemi ad alto rischio. Tale tensione richiede soluzioni architetturali ibride, in cui i sistemi di IA gestiscono il flusso ordinario di verifica identitaria, riservando all’intervento umano le casistiche anomale o ad alto impatto decisionale.

L’art. 86 dell’AI Act sancisce il diritto degli individui a ricevere spiegazioni sulle decisioni adottate da sistemi di IA ad alto rischio che li riguardino. Nell’ambito dei processi B2B, tale disposizione acquista rilievo nei contesti in cui la decisione automatizzata determina l’esito di un processo di qualificazione, di attribuzione di un punteggio di affidabilità (trust score), o di concessione/revoca dell’accesso a piattaforme commerciali.

Il raccordo con il GDPR impone una progettazione trasparente dell’architettura AI impiegata nella verifica identitaria:

  • le informative devono descrivere la logica dell’eventuale processo automatizzato, la sua portata e le conseguenze per l’interessato;
  • il diritto di non essere sottoposto a decisioni basate unicamente su trattamento automatizzato deve essere garantito ogniqualvolta la decisione produca effetti giuridici significativi.

Standard tecnici per transazioni B2B certificate

La sicurezza delle transazioni B2B certificate si fonda su uno stack tecnologico stratificato che integra standard crittografici, formati di firma elettronica e protocolli di comunicazione sicura. Il Regolamento eIDAS e gli atti delegati della Commissione Europea identificano come formati obbligatori per la conservazione e la trasmissione di firme e sigilli elettronici qualificati:

  • XAdES (XML Advanced Electronic Signatures) ETSI EN 319 132: formato XML per la firma di documenti strutturati, ampiamente impiegato nelle comunicazioni tra enti pubblici e nelle piattaforme di e-procurement.
  • CAdES (CMS Advanced Electronic Signatures) ETSI EN 319 122: formato basato sul Cryptographic Message Syntax, indicato per la firma di documenti binari e per le comunicazioni automatizzate tra sistemi informativi.
  • PAdES (PDF Advanced Electronic Signatures) ETSI EN 319 132: formato nativo per i documenti PDF, largamente diffuso nei contratti B2B e nelle comunicazioni formali tra imprese.
  • ASiC (Associated Signature Containers) ETSI EN 319 162: contenitori che aggregano documento e firma in un singolo file, favorendo l’integrità dell’associazione documento-sigillo nel lungo periodo.

Sul versante dei protocolli di autenticazione, il framework SAML 2.0 (Security Assertion Markup Language) e i protocolli OpenID Connect e OAuth 2.0 costituiscono le fondamenta delle architetture federative su cui si basa l’interoperabilità degli EUDI Wallet tra diversi contesti nazionali e settoriali. L’Identity Assurance Framework (IAF) definito da eIDAS stabilisce tre livelli di garanzia che corrispondono a diversi gradi di affidabilità del processo di identificazione e autenticazione.

QTSP, marca temporale e audit trail

I Qualified Trust Service Providers (QTSP) costituiscono l’infrastruttura fiduciaria su cui poggia l’intero sistema di identità digitale aziendale. In Italia, AgID mantiene la Trust List nazionale in conformità all’art. 22 del Regolamento eIDAS, elencando i QTSP autorizzati all’erogazione di servizi di firma elettronica qualificata, sigillo elettronico qualificato, validazione temporale qualificata, recapito certificato qualificato e autenticazione di siti web.

La scelta del QTSP di riferimento assume rilevanza strategica per le imprese che strutturano processi B2B certificati: i criteri di selezione dovrebbero includere:

  • la copertura geografica dei servizi, con particolare attenzione all’interoperabilità transfrontaliera;
  • la solidità dei sistemi di business continuity, certificazione ISO 22301;
  • la conformità ai requisiti di cybersicurezza NIS 2 e DORA;
  • la capacità di integrare API per l’automazione dei flussi documentali.

La validazione temporale elettronica qualificata (marca temporale) svolge una funzione probatoria essenziale nelle transazioni commerciali complesse: attesta con certezza giuridicamente riconoscibile il momento in cui un documento elettronico esisteva e aveva una determinata forma. Nelle procedure di gara, nelle operazioni di M&A, nelle comunicazioni regolamentari e nei contratti soggetti a termine, la marca temporale qualificata garantisce l’opponibilità della data certa senza necessità di intervento notarile.

La costruzione di un audit trail solido costituisce la risposta tecnica agli obblighi di accountability derivanti dall’art. 5, par. 2 GDPR, nonché ai requisiti di tracciabilità imposti dal D.Lgs. 138/2024 (NIS 2) per i soggetti essenziali e importanti, e alle disposizioni del Regolamento DORA (artt. 9 e 12) in materia di gestione e conservazione delle evidenze degli incidenti ICT.

Quadro di raccordo fra normativa, strumenti e obblighi

Quadro di raccordo fra normativa, strumenti e obblighi per le imprese B2B:

Atto normativoStrumenti / IstitutiObblighi per le imprese B2B
Reg. UE 2024/1183 (eIDAS 2)EUDI Wallet, EAA, QeSeal, e-Archiving qualificata, QERDS, Registri elettronici qualificatiAdeguamento entro il 2026–2027; accettazione obbligatoria del wallet nei settori regolamentati (deadline 24 dicembre 2027)
Reg. UE 910/2014 (eIDAS)Firma elettronica qualificata (FEQ), Sigillo elettronico qualificato, Marca temporale qualificata, TSP accreditatiUtilizzo esclusivo di QTSP accreditati AgID per firma e sigillo nei documenti B2B; verifica CRL/OCSP
Reg. UE 679/2016 (GDPR)DPIA (art. 35), Minimizzazione dei dati, Basi giuridiche (art. 6), Trasparenza (artt. 13–14), Accountability (art. 5, par. 2)Valutazione d’impatto per sistemi identitari ad alto rischio; informative aggiornate; nomina DPO ove dovuta
Reg. UE 2024/1689 (AI Act)Classificazione risk-based dei sistemi IA (All. III), Supervisione umana (art. 14), Trasparenza algoritmica (art. 86), QMS (art. 17)Conformità ex ante per sistemi IA nei processi identitari; registrazione nel database europeo; documentazione tecnica
Reg. UE 2022/2554 (DORA)ICT Risk Management, Incident Reporting, TLPT, gestione rischio terze parti ICTApplicabile a soggetti finanziari; audit trail certificato dei sistemi identitari; requisiti per QTSP come terze parti ICT critiche
Dir. UE 2022/2555 / D.Lgs. 138/2024 (NIS 2)Misure di sicurezza ICT (art. 21), Incident reporting, Supply chain security, Registro degli assetAudit trail certificato; notifica incidenti entro 24/72h; gestione del rischio nella catena di fornitura digitale
D.Lgs. 82/2005 (CAD)Firma digitale italiana, CIE, SPID, Documento informatico, Conservazione digitale AgIDConformità ai formati AgID; adozione SPID/CIE per autenticazione nei servizi digitali pubblici e privati

Governance della corporate digital identity

L’adozione di un sistema strutturato di corporate digital identity richiede un’architettura di governance che integri, in un unico framework organizzativo, i requisiti derivanti da eIDAS 2, GDPR, AI Act, NIS 2 e DORA. Il Modello Organizzativo Privacy (MOP), nella sua accezione più evoluta, rappresenta lo strumento idoneo a raccordare tali dimensioni normative:

  • definisce ruoli e responsabilità nel ciclo di vita dell’identità digitale aziendale;
  • fissa procedure operative per la gestione dei certificati qualificati;
  • disciplina i processi di onboarding e offboarding dei soggetti autorizzati all’utilizzo del sigillo elettronico;
  • stabilisce il piano di risposta agli incidenti di sicurezza con ricadute sui sistemi identitari.

Il DPO, ove nominato ai sensi dell’art. 37 GDPR, svolge un ruolo consultivo e di supervisione che si estende ai processi di corporate digital identity ogni volta che questi comportino trattamenti di dati personali:

  • la valutazione delle DPIA;
  • la verifica della conformità delle architetture tecniche ai principi privacy by design e by default;
  • il monitoraggio dell’adeguatezza delle informative.

Costituiscono attività che richiedono un raccordo costante con le funzioni legali, IT e di compliance aziendale.

Un aspetto critico della governance della digital identity aziendale è la gestione del ciclo di vita dei certificati qualificati:

  • dalla registrazione iniziale;
  • attraverso il rinnovo periodico;
  • fino alla revoca tempestiva in caso di cessazione del rapporto con il soggetto autorizzato o di compromissione del dispositivo di firma.

La mancata revoca tempestiva di un certificato qualificato associato a un dipendente cessato o a un procuratore revocato espone l’impresa a rischi legali e di sicurezza di significativa portata.

I processi di Certificate Lifecycle Management (CLM) devono essere formalizzati in apposite procedure interne, integrate con i sistemi HR e con le politiche di Identity and Access Management (IAM). La Certificate Revocation List (CRL) e il protocollo OCSP (Online Certificate Status Protocol) sono gli strumenti tecnici deputati alla verifica in tempo reale della validità dei certificati nelle transazioni B2B. Nei settori soggetti a DORA, tali processi assumono carattere obbligatorio nell’ambito del framework di ICT Risk Management (art. 6 e ss.).

EUDI Wallet, SSI e scenari evolutivi

Il completamento dell’implementazione di eIDAS 2 ridisegnerà profondamente le architetture di onboarding e di verifica identitaria B2B. Le imprese dovranno adattare le proprie piattaforme di vendor management, di e-procurement e di gestione contrattuale per integrarsi con i portafogli digitali delle controparti, riducendo l’onere documentale e aumentando l’affidabilità delle verifiche.

Sul piano tecnico, la diffusione delle tecnologie di Self-Sovereign Identity (SSI) apre scenari di identità aziendale distribuita in cui l’impresa gestisce autonomamente il proprio profilo di attributi verificati, presentandoli selettivamente alle controparti senza necessità di un intermediario centralizzato. I DID sono identificatori univoci e persistenti, registrati su ledger distribuiti o su sistemi DNS-based, che consentono all’ente di dimostrare il controllo delle proprie credenziali attraverso prove crittografiche verificabili off-chain. Le Verifiable Credentials, emesse da issuer fiduciari (QTSP, registri pubblici, enti di certificazione), possono essere presentate a verifier B2B in modalità selettiva, divulgando esclusivamente gli attributi pertinenti alla singola transazione. L’architettura EUDI Wallet è progettata per essere compatibile con questi paradigmi, favorendo un ecosistema identitario progressivamente più interoperabile, più resiliente e più rispettoso dei principi di data minimization.

L’intelligenza artificiale svolgerà un ruolo sempre più rilevante:

  • nell’automazione dei processi di verifica identitaria;
  • nella rilevazione di anomalie e tentativi di impersonificazione;
  • nella gestione dinamica dei livelli di assicurazioni richiesti in funzione del profilo di rischio della transazione.

La sfida regolamentare consiste nel garantire che l’efficienza algoritmica non sacrifichi la trasparenza, la correttezza e la protezione dei diritti fondamentali degli individui coinvolti.

Digital identity aziendale come requisito di compliance

La digital identity aziendale non è più un tema di nicchia tecnologica, ma un requisito di compliance trasversale che impegna le funzioni legali, IT, HR e di risk management delle imprese. Il quadro normativo europeo: intreccio tra eIDAS 2, GDPR, AI Act, DORA e NIS 2 definisce un ecosistema coerente e ambizioso, che impone alle organizzazioni di adottare un approccio integrato alla gestione dell’identità digitale: non soltanto in termini di strumenti tecnologici, ma di governance, accountability e cultura organizzativa.

Le imprese che anticiperanno l’adeguamento al nuovo framework eIDAS 2 acquisiranno un vantaggio competitivo misurabile:

  • maggiore fiducia da parte delle controparti;
  • riduzione del rischio legale e reputazionale;
  • posizionamento vantaggioso nei processi di qualificazione per appalti pubblici e contratti in settori regolamentati.

La convergenza tra identità digitale certificata, dati personali tutelati e sistemi di IA trasparenti delinea, in definitiva, il profilo della compliance aziendale del prossimo decennio: non una sommatoria di adempimenti paralleli, ma un sistema integrato di fiducia digitale in cui ciascun layer normativo è progettato per rafforzare gli altri.

Riferimenti normativi di riferimento

Riferimenti normativi di riferimento:

  • Regolamento (UE) 2024/1183 (eIDAS 2)
  • Regolamento (UE) n. 910/2014 (eIDAS)
  • Regolamento (UE) 679/2016 (GDPR)
  • Regolamento (UE) 2024/1689 (AI Act)
  • Regolamento (UE) 2022/2554 (DORA)
  • Direttiva (UE) 2022/2555 (NIS 2) – D.Lgs. 138/2024 (recepimento NIS 2)
  • D.Lgs. 82/2005 (CAD)
  • D.Lgs. 36/2023 (Codice degli Appalti)
  • Regolamento (UE) 2024/2977 (primo implementing act EUDI Wallet)
  • Standard ETSI EN 319 101/122/132/162/401/411
  • Linee Guida AgID su firme e sigilli elettronici qualificati
  • Provvedimento Garante Privacy dell’11 ottobre 2018 (tipologie di trattamenti soggetti a DPIA)
  • W3C Decentralized Identifiers (DID) v1.0 – Verifiable Credentials Data Model.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Z
Paola Zanellati
Responsabile Protezione dei Dati – DPO Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Carta di identità elettronica CIE

  • la guida

    CIE, cos'è e a cosa serve la carta d'identità elettronica: ecco come chiederla

    09 Lug 2025

    di Alessandro Longo e Patrizia Saggini

    Condividi
  • Carta d'Identità Elettronica

  • carta identita elettronica

    CIE obbligatoria da agosto: come trasformare la scadenza in innovazione

    07 Apr 2026

    di Alberto Rizzi

    Condividi
  • Spid convenzione agid

  • contenuti sintetici

    L'identità perduta nell'era dei contenuti IA

    05 Set 2025

    di Paolo Ceravolo

    Condividi
0
Lascia un commento, la tua opinione conta.x