Torna al blog
    Legislazione16.2.2026

    Livelli di firma elettronica UE (eIDAS): qual è la differenza tra firma semplice, avanzata e qualificata?

    Il regolamento eIDAS dell'UE definisce tre livelli di firma elettronica: semplice (SES), avanzata (AES) e qualificata (QES). In questo articolo, esamineremo in termini chiari cosa significa ogni livello, quando ciascuno è sufficiente e come una piccola impresa può utilizzarli nella sua quotidianità.

    L'idea di base del regolamento eIDAS

    eIDAS (electronic IDentification, Authentication and trust Services) è un regolamento dell'UE, entrato in vigore nel 2016. Stabilisce regole comuni per l'identificazione elettronica e le firme elettroniche in tutti i paesi dell'UE. In pratica, eIDAS significa che una firma elettronica non può essere legalmente invalidata solo perché è in formato elettronico. Questo vale in tutta l'area UE. Il regolamento è stato aggiornato nel 2024 (eIDAS 2.0), introducendo, tra le altre cose, il portafoglio di identità digitale dell'UE (EUDI Wallet) e requisiti più severi per i servizi fiduciari.

    SES – Firma elettronica semplice

    SES è il livello di firma più semplice. Può essere, ad esempio:

    • Un nome digitato in una email
    • Una casella di controllo "Accetto i termini" in un modulo online
    • Una firma disegnata su un touch screen

    SES non richiede una verifica separata dell'identità. È sufficiente per situazioni in cui il rischio è basso e vi è già una relazione di fiducia tra le parti.\n\nCosa significa in pratica: se vendi un servizio a un piccolo cliente abituale per 500 euro e lui conferma l'ordine via email, si tratta di una firma di livello SES. È valida, ma in caso di controversia ha il valore probatorio più debole.

    AES – firma elettronica avanzata

    L'AES richiede che il firmatario sia identificato in modo affidabile e che la firma elettronica sia collegata a lui in modo tale da non poter essere modificata successivamente. In pratica, l'AES significa che il firmatario si autentica, ad esempio, con le credenziali bancarie, con un certificato mobile o con un metodo simile prima della firma elettronica. L'AES soddisfa quattro requisiti:

    1. La firma è collegata univocamente al firmatario
    2. Il firmatario è identificabile
    3. Il firmatario ha il controllo esclusivo dei dati utilizzati per creare la firma
    4. Le modifiche apportate al documento dopo la firma sono rilevabili

    Cosa significa in pratica: quando invii un contratto cliente da firmare tramite EpicSign e il cliente si autentica con le credenziali bancarie, si tratta di una firma di livello AES. Per la maggior parte dei contratti commerciali, questo è sufficiente.

    QES – firma elettronica qualificata (approvata)

    QES è il livello più forte. Nella legislazione UE, è direttamente equiparato a una firma autografa.\n\nQES richiede due cose:

    1. Un certificato qualificato rilasciato da un prestatore di servizi fiduciari qualificato (Qualified Certificate)
    2. Un dispositivo qualificato per la creazione di firme (Qualified Signature Creation Device, QSCD)

    I creatori di firme QES si trovano nella Trusted List dell'UE, un elenco ufficiale in cui sono registrati i fornitori di servizi fiduciari qualificati. Ogni paese dell'UE mantiene il proprio elenco.\n\nCosa significa in pratica: la QES è necessaria principalmente quando la legge richiede espressamente la forma scritta (ad esempio, determinate transazioni immobiliari, procedure burocratiche) o quando il valore e il rischio del contratto sono particolarmente elevati.

    Quando è sufficiente ogni livello?

    Per una piccola impresa, la scelta del livello giusto dipende dal rischio e dal valore del documento:

    Tipo di documentoLivello consigliatoMotivazione
    Ricevuta interna, conferma d'ordineSESRischio basso, veloce ed economico
    Contratto cliente, offertaAESIdentifica il firmatario in modo affidabile
    Contratto di lavoro, accordo di riservatezzaAESL'identificazione di entrambe le parti è importante
    Contratto di subappaltoAESCollegamento forte con il firmatario
    Verbale (consiglio, assemblea dei soci)AESPersona identificata, protezione contro le modifiche
    Transazione immobiliare, documento ufficialeQESLa legge può richiedere il livello più forte

    Traccia di controllo (audit trail) e prove

    Ogni firma elettronica lascia una traccia digitale, ovvero un audit trail. Questa è una prova elettronica di chi ha firmato, quando e da dove. Una traccia di controllo ben implementata include:

    • Dati di identificazione del firmatario (nome, email, metodo di autenticazione)
    • Timestamp (quando è stata apposta la firma)
    • Indirizzo IP e informazioni sul dispositivo
    • Hash del documento, che dimostra che il documento non è stato modificato dopo la firma elettronica

    Esempio pratico: azienda di consulenza e gestione dei contratti

    Un'azienda di consulenza di tre persone a Tampere stipula 10-15 contratti con i clienti ogni mese. In precedenza, i contratti venivano stampati, firmati e scannerizzati. Il processo richiedeva dai 30 ai 45 minuti per contratto. Il passaggio alla firma elettronica di livello AES con EpicSign ha cambiato il processo:

    1. Il contratto viene caricato in EpicSign (1 min)
    2. Vengono aggiunti i firmatari e inviata la richiesta di firma (1 min)
    3. Il cliente si autentica con le credenziali bancarie e firma (2 min)
    4. Il contratto firmato viene archiviato automaticamente (0 min)

    Risparmio di tempo: circa 2 ore a settimana. Inoltre, ogni contratto è tracciabile grazie all'audit trail.

    Domande frequenti

    Qual è la differenza pratica tra firme SES, AES e QES?

    SES è il più semplice (ad es. nome via email). AES richiede un'autenticazione forte, come le credenziali bancarie. QES è il più forte e equivale a una firma autografa, richiedendo un certificato approvato.

    Il livello AES è sufficiente per un contratto di lavoro?

    Sì, nella maggior parte dei casi AES è sufficiente per i contratti di lavoro in Finlandia. La legge di solito non richiede il livello QES per i contratti di lavoro.

    Cos'è la Trusted List dell'UE?

    La Lista Affidabilità è un elenco ufficiale gestito dai paesi UE dei fornitori di servizi fiduciari qualificati. L'elenco è disponibile sul sito web della Commissione Europea.

    Una firma SES può essere contestata in tribunale?

    Una firma SES non può essere respinta solo perché è in forma elettronica (articolo 25 eIDAS). Tuttavia, il suo valore probatorio è inferiore a quello di AES o QES.

    EpicSign supporta la firma di livello AES?

    Sì. EpicSign supporta l'autenticazione forte (credenziali bancarie), che soddisfa i requisiti AES.

    Una piccola impresa ha bisogno di una firma QES?

    Raramente. Il QES è necessario principalmente quando la legge richiede espressamente la forma scritta o quando si interagisce con le autorità. Per i contratti ordinari, AES è sufficiente.

    Questo articolo è di natura generale e non costituisce consulenza legale.

    Provi EpicSign

    Inizi la prova gratuita e invii la sua prima richiesta di firma in meno di 20 secondi.

    Vedi i prezzi