Gli Implementing Acts di eIDAS 2.0: a che punto siamo e cosa cambia per le aziende

Dalle specifiche tecniche alle scadenze normative: tutto quello che devi sapere sugli Implementing Acts di eIDAS 2.0.

---

Oltre 30 atti implementativi adottati, tre in fase di finalizzazione e sette mesi alla prima grande scadenza. Il quadro normativo di eIDAS 2.0 è ormai definito: ecco cosa significa concretamente per le aziende

---

Il regolamento eIDAS 2.0 — formalmente il Reg. (UE) 2024/1183 che modifica il Reg. 910/2014 — è entrato in vigore il 20 maggio 2024. Ma un regolamento che stabilisce principi e obiettivi diventa operativo solo quando gli atti implementativi ne traducono i requisiti in specifiche tecniche concrete. È esattamente quello che è successo negli ultimi diciotto mesi.

A maggio 2026, oltre 30 Implementing Acts sono stati adottati, coprendo l’intera architettura dell’European Digital Identity Wallet (EUDI Wallet) e il nuovo quadro per i trust service provider. Il processo non è ancora del tutto chiuso — tre atti di aggiornamento sono in fase di adozione formale — ma le fondamenta sono solide e vincolanti.

Il corpus degli atti adottati

Gli atti implementativi si articolano su due grandi assi: quelli relativi al wallet e quelli relativi ai servizi fiduciari.

Sul fronte EUDI Wallet, i regolamenti adottati definiscono gli standard tecnici per l’integrità e le funzionalità core del wallet, i protocolli e le interfacce per lo scambio dati tra wallet e relying party, il sistema di certificazione della conformità dei wallet, le regole per la registrazione delle relying party nei registri nazionali, le procedure per il cross-border identity matching e la gestione delle violazioni di sicurezza. Un atto specifico — il Reg. 2026/798 — stabilisce inoltre gli standard per l’onboarding remoto degli utenti, definendo i requisiti tecnici per i processi di identity proofing da remoto.Sul fronte dei trust service provider, il quadro si è arricchito di categorie di servizi completamente nuove rispetto a eIDAS 1.0. Il Reg. 2025/1569 disciplina la verifica delle attestazioni elettroniche di attributi (QEAA/EAA): il meccanismo con cui il wallet trasporta informazioni certificate su chi siamo e quale ruolo ricopriamo. Il Reg. 2025/1567 definisce gli standard per la gestione remota dei dispositivi qualificati per la firma e il sigillo elettronico (RQSCD), un elemento chiave per chi eroga firma qualificata as-a-service. Il Reg. 2025/2532 copre l’archiviazione elettronica qualificata; il Reg. 2025/2531 i registri elettronici qualificati — ledger con requisiti di integrità, cronologia e immutabilità certificati.

Sono inoltre adottati gli atti su certificati qualificati per l’autenticazione di siti web (QWAC), validazione di firme qualificate e avanzate, timestamp elettronici, servizi di recapito certificato qualificato, requisiti per i QTSP, accreditamento degli organismi di valutazione della conformità, e formati delle firme e sigilli avanzati.

Il regolamento eIDAS 2.0 è entrato in vigore il 20 maggio 2024, avviando un processo di adeguamento che culminerà entro il 2026. Gli atti implementativi hanno l’obiettivo di definire le norme tecniche e le procedure operative necessarie per garantire la conformità degli European Digital Identity Wallet (EUDI Wallet) e dei servizi correlati.

L’evoluzione dell’identità digitale in Europa

Gli atti implementativi si articolano su due grandi assi: quelli relativi al wallet e quelli relativi ai servizi fiduciari.

Sul fronte EUDI Wallet, i regolamenti adottati definiscono gli standard tecnici per l’integrità e le funzionalità core del wallet, i protocolli e le interfacce per lo scambio dati tra wallet e relying party, il sistema di certificazione della conformità dei wallet, le regole per la registrazione delle relying party nei registri nazionali, le procedure per il cross-border identity matching e la gestione delle violazioni di sicurezza. Un atto specifico — il Reg. 2026/798 — stabilisce inoltre gli standard per l’onboarding remoto degli utenti, definendo i requisiti tecnici per i processi di identity proofing da remoto.

Sul fronte dei trust service provider, il quadro si è arricchito di categorie di servizi completamente nuove rispetto a eIDAS 1.0. Il Reg. 2025/1569 disciplina la verifica delle attestazioni elettroniche di attributi (QEAA/EAA): il meccanismo con cui il wallet trasporta informazioni certificate su chi siamo e quale ruolo ricopriamo. Il Reg. 2025/1567 definisce gli standard per la gestione remota dei dispositivi qualificati per la firma e il sigillo elettronico (RQSCD), un elemento chiave per chi eroga firma qualificata as-a-service. Il Reg. 2025/2532 copre l’archiviazione elettronica qualificata; il Reg. 2025/2531 i registri elettronici qualificati — ledger con requisiti di integrità, cronologia e immutabilità certificati.

Sono inoltre adottati gli atti su certificati qualificati per l’autenticazione di siti web (QWAC), validazione di firme qualificate e avanzate, timestamp elettronici, servizi di recapito certificato qualificato, requisiti per i QTSP, accreditamento degli organismi di valutazione della conformità, e formati delle firme e sigilli avanzati.

Tre atti di aggiornamento in dirittura d’arrivo

Chiusa la consultazione pubblica il 5 marzo 2026, la Commissione sta finalizzando tre atti che aggiorneranno parti già adottate del framework.

Il primo (PLAN/2025/2856) aggiorna i riferimenti agli standard tecnici alla base della wallet architecture — integrità, protocolli, interfacce e trust framework — per allinearli alle specifiche più recenti e garantire la piena interoperabilità tra i wallet degli Stati membri. Il secondo (PLAN/2025/2863) aggiorna le specifiche per l’emissione di attestazioni qualificate di attributi da parte di enti pubblici. Il terzo (PLAN/2025/2854) adegua le regole sui registri nazionali delle relying party all’evoluzione dell’architettura di riferimento EUDI Wallet maturata durante i Large Scale Pilots.

Questi aggiornamenti non segnalano instabilità normativa, ma la fisiologica maturazione tecnica di un’infrastruttura complessa. Per le aziende, la lezione è una sola: il monitoraggio del framework non si esaurisce con una fotografia, richiede presidio continuo.

Le scadenze

24 dicembre 2026. Tutti gli Stati membri devono rendere disponibile almeno un wallet ai propri cittadini. Con sette mesi alla scadenza, i percorsi nazionali sono in corso a velocità diverse. L’Italia ha già avviato il percorso con l’IT Wallet su app IO — patente, tessera sanitaria, tessera della disabilità — in progressivo allineamento al framework europeo.

10 luglio 2027. L’AML Regulation europea (AMLR) — in vigore dal 2024 — diventa pienamente applicabile ed introduce un quadro unificato per la due diligence della clientela su base paneuropea, eliminando le differenze tra normative nazionali in materia di KYC. La convergenza con le scadenze eIDAS non è casuale: i due regolamenti si rafforzano a vicenda, e chi si muove su entrambi i fronti in modo coordinato ha un vantaggio significativo.

19 agosto 2027. Entrano in piena applicazione il Reg. (UE) 2025/1566, che fissa gli standard tecnici — ETSI TS 119 461 V2.1.1 — per l’identificazione dei richiedenti certificati qualificati (QES, QSeal, QWAC) e le attestazioni elettroniche qualificate di attributi (QEAA). Da questa data, i processi di identity proofing (specialmente nei casi a distanza) che non si basano su EUDI Wallet, eID notificato di livello High, devono essere certificati da un organismo di accreditamento indipendente. Per chi eroga firma qualificata, significa rivedere l’intera catena di identificazione; per chi la usa, significa verificare che i propri QTSP partner abbiano già ottenuto la certificazione.

24 dicembre 2027. Le aziende obbligate per legge — grandi piattaforme online, banche, operatori di telecomunicazioni e altri soggetti nei settori regolamentati — in aggiunta agli attuali meccanismi dovranno accettare l’identificazione tramite EUDI Wallet per l’accesso ai propri servizi.

Il nuovo perimetro dei servizi fiduciari

eIDAS 2.0 non si limita ad aggiornare il quadro esistente: lo espande in modo sostanziale. Il regolamento consolidato definisce oggi i servizi fiduciari qualificati in modo molto più ampio rispetto a eIDAS 1.0, includendo il rilascio e la convalida di attestati elettronici di attributi, la gestione remota di dispositivi qualificati per firma e sigillo, la registrazione di dati in registri elettronici qualificati e l’archiviazione elettronica qualificata.

Per i provider già attivi nell’ecosistema trust, questo ampliamento rappresenta un’opportunità diretta: chi eroga firma qualificata, conservazione o identità digitale può estendere il proprio portafoglio di servizi capitalizzando su accreditamenti e infrastrutture esistenti, senza ripartire da zero.

Cosa devono fare le aziende oggi

Registrarsi come relying party. L’iscrizione nei registri nazionali è il passaggio abilitante per integrare l’EUDI Wallet nei processi aziendali — onboarding clienti, verifica fornitori, autenticazione dipendenti. I registri stanno diventando operativi: chi arriva tardi rischia di non essere pronto per il 2027.

Valutare il ruolo di emettitore di attributi. Organizzazioni che detengono dati certificati — ordini professionali, camere di commercio, istituti finanziari, enti previdenziali — possono diventare fonti autorevoli di attestazioni nel wallet. Non è solo compliance: è un posizionamento strategico nell’ecosistema digitale europeo.

Aggiornare i sistemi di firma, verifica e onboarding. I nuovi standard tecnici — in particolare l’allineamento agli standard e norme ETSI di recente aggiornamento, richiamati dagli atti implementativi — richiedono una revisione delle piattaforme esistenti. L’investimento è pianificabile oggi, con specifiche chiare.

Le opportunità per le aziende

L’integrazione degli EUDI Wallet nei processi aziendali porterà vantaggi in numerosi ambiti, tra cui:

• Onboarding clienti: semplificazione dei processi di identificazione, con attivazione immediata dei servizi.
• Onboarding fornitori: verifica rapida di documenti e certificazioni per abilitare nuove collaborazioni.
• Onboarding dipendenti: accesso immediato ai sistemi aziendali e ai benefit personalizzati.
• Accesso alle sedi e ai sistemi aziendali: autenticazione sicura per il personale e i visitatori.

Le aziende potranno inoltre contribuire all’ecosistema del wallet, arricchendo le informazioni disponibili con i propri dati, creando così nuove sinergie e modelli di business.

Intesa: dentro l’ecosistema

Intesa non osserva questo processo dall’esterno. Come Qualified Trust Service Provider (QTSP) ai sensi di eIDAS e operatore accreditato per conservazione, firma, identificazione e certificati, Intesa è già dentro il perimetro operativo che gli Implementing Acts stanno costruendo.

Le nostre piattaforme — Intesa Sign per la firma elettronica, Intesa ID per l’identificazione digitale, Intesa CMS per la gestione dei certificati — evolvono in linea con i nuovi standard. Seguiamo l’iter di ogni atto implementativo, partecipiamo ai tavoli tecnici europei e traduciamo le novità normative in soluzioni concrete per i nostri clienti. Quando il framework cambia, siamo già pronti.

Conclusioni

L’evoluzione normativa introdotta da eIDAS 2.0 rappresenta un momento di svolta per la digital identity in Europa. L’adozione degli EUDI Wallet non è solo un adeguamento normativo, ma un’opportunità strategica per le imprese, che potranno ridefinire i propri processi con un livello di sicurezza e affidabilità senza precedenti.

In questo scenario, il ruolo di partner tecnologici qualificati sarà essenziale per accompagnare le aziende nell’integrazione dei nuovi strumenti digitali. Intesa, con la sua esperienza nell’identità digitale e nei servizi trust, si pone come punto di riferimento per le organizzazioni che vogliono sfruttare al meglio le potenzialità offerte da eIDAS 2.0, supportando le imprese nell’adozione di soluzioni conformi, sicure e innovative.

---

Scopri le soluzioni per la trasformazione digitale della tua azienda:

• Conservazione a Norma dei Documenti 
• Digital Onboarding dei Clienti 
• EDI – Electronic Data Interchange
• Piattaforma Fatturazione Elettronica
• Fatturazione Elettronica Estera
• Firma Elettronica Aziendale
• Sigillo Elettronico
• Software Gestione Documentale
• Supply Chain Management