Pubblicati nella Gazzetta Ufficiale dell’Unione europea, Serie Generale, del 17 dicembre 2025, tre regolamenti di esecuzione del regolamento e-IDAS, con cui la Commissione ha fissato le norme di riferimento e le specifiche tecniche per i certificati qualificati di autenticazione di siti web, per i registri elettronici qualificati e per i servizi di archiviazione elettronica qualificati.
In particolare, i regolamenti sono i seguenti:
- Regolamento di esecuzione (UE) 2527/2025 del 16 dicembre 2025, con le modalità di applicazione del Regolamento (UE) n. 910/2014 (e-IDAS) per quanto riguarda le norme di riferimento per i certificati qualificati di autenticazione di siti web
- Regolamento di esecuzione (UE) 2531/2025 del 16 dicembre 2025, con le modalità di applicazione di e-IDAS sulle norme di riferimento e le specifiche applicabili ai registri elettronici qualificati
- Regolamento di esecuzione (UE) 2532/2025 del 16 dicembre 2025, con le modalità di applicazione di e-IDAS sulle norme di riferimento e le specifiche applicabili ai servizi di archiviazione elettronica qualificati
Si ricorda che i certificati qualificati di autenticazione di siti web sono essenziali per garantire la fiducia e la trasparenza nelle interazioni online, in quanto consentono di autenticare un sito web e collegano il sito alla persona fisica o giuridica a cui il certificato è rilasciato: per tale ragione, la Commissione UE ha redatto un elenco di norme di riferimento per detti certificati, in allegato al Regolamento 2025/2527, che rispecchiano le prassi consolidate e sono ampiamente riconosciute nei settori pertinenti.
Le norme di riferimento consentono:
- l’attuazione di diversi tipi di certificati qualificati di autenticazione di siti web per vari casi d’uso, compreso il loro utilizzo a norma della Direttiva (UE) 2015/2366 (PSD 2)
- il rilascio di certificati qualificati di autenticazione di siti web in modi diversi, ossia come certificati a sé stanti, come certificati associati ad altri certificati o in altre configurazioni che soddisfino i requisiti di e-IDAS, e ciò per rendere possibile l’innovazione e rispondere alle diverse esigenze tecniche e operative
- di adattare i certificati per soddisfare le esigenze di un’ampia gamma di casi d’uso, mantenendo la fiducia e l’interoperabilità tra gli Stati membri, senza pregiudicare la libertà dei fornitori di browser web di garantire la sicurezza del web, l’autenticazione dei domini e la cifratura del traffico web con le modalità e tramite la tecnologia che ritengono più idonee.
Quanto ai registri elettronici, si ricorda che trattasi di una sequenza di registrazioni di dati elettronici che garantisce l’integrità di tali registrazioni di dati e l’accuratezza dell’ordine cronologico di tali registrazioni: per garantire che la registrazione dei dati in un registro elettronico qualificato sia ordinata cronologicamente, coerente e affidabile, la Commissione ha quindi stabilito un insieme comune di specifiche per la registrazione dei dati elettronici in un registro elettronico qualificato.
Pertanto, la presunzione di conformità di cui all’art. 45 terdecies, par. 2, di e-IDAS dovrebbe applicarsi solo se i servizi fiduciari qualificati per la registrazione di dati elettronici in un registro elettronico qualificato siano conformi alle norme stabilite nel presente regolamento, che rispecchiano a loro volta le prassi consolidate e sono ampiamente riconosciute nei settori pertinenti: se un prestatore di servizi fiduciari rispetta i requisiti di cui all’allegato del presente regolamento, gli organismi di vigilanza dovranno quindi presumere la conformità ai pertinenti requisiti di e-IDAS e tenere debitamente conto di tale presunzione per la concessione o la conferma della qualifica del servizio fiduciario.
Infine, quanto all’archiviazione elettronica, si ricorda che trattasi di un servizio che consente la ricezione, la conservazione, la consultazione e la cancellazione di dati elettronici e documenti elettronici, al fine di garantirne la durabilità e leggibilità nonché di preservarne l’integrità, la riservatezza e la prova dell’origine per tutto il periodo di conservazione.
Per garantire che i dati elettronici e i documenti elettronici mantengano la presunzione della loro integrità e della correttezza della loro origine per la durata del periodo di conservazione da parte del prestatore di servizi fiduciari qualificato e per conseguire un elevato livello di trasparenza e fiducia tra tutti i partecipanti al ciclo di vita delle informazioni, anche in questo caso la Commissione ha stabilito una serie comune di specifiche per i servizi di archiviazione elettronica qualificati.
Per aumentare il valore probatorio, la sicurezza e l’affidabilità dei servizi di archiviazione elettronica qualificati, laddove le firme elettroniche, i sigilli elettronici o le validazioni temporali elettroniche siano utilizzati per creare, firmare, sigillare o attestare la data e l’ora, ad esempio, dell’archiviazione di prove, delle registrazioni di prove, delle registrazioni di eventi, delle registrazioni della corretta attuazione di procedure o dell’archiviazione di relazioni di conferma, dovrebbero infatti essere utilizzati servizi fiduciari qualificati.
Anche in questo caso, la presunzione di conformità di cui all’art. 45 undecies, par. 2, di e-IDAS si applicherà infatti solo se i servizi di archiviazione elettronica qualificati soddisfano i requisiti stabiliti nel presente regolamento, le cui norme di riferimento – in allegato – rispecchiano le prassi consolidate e sono ampiamente riconosciute nei settori pertinenti: pertanto, se un prestatore di servizi fiduciari rispetta i requisiti di cui al presente regolamento, gli organismi di vigilanza dovrebbero presumere la conformità ai pertinenti requisiti di e-IDAS e dovranno tenere debitamente conto di tale presunzione per la concessione o la conferma della qualifica del servizio fiduciario.
