Digital identity aziendale nelle transazioni B2B certificate

Pubblicato il 14 maggio 2026 | Redazione Desk — Bollettino Ufficiale

La digital identity aziendale non è più solo un tema IT: con l’entrata in vigore del Regolamento eIDAS 2 (Reg. UE 2024/1183) e l’intreccio con GDPR, NIS 2, AI Act e DORA, le transazioni B2B certificate richiedono oggi strumenti giuridici precisi — sigilli elettronici qualificati, wallet digitali aziendali e audit trail verificabili. Uno studio legale che assiste imprese in contratti commerciali, appalti o operazioni finanziarie deve conoscere questi standard per valutare la validità degli atti firmati digitalmente e per presidiare i rischi di conformità dei clienti.

Per uno studio legale che assiste clienti corporate, la digital identity aziendale smette di essere un argomento da delegare al reparto IT. Le transazioni B2B certificate — contratti quadro, ordini elettronici, operazioni con intermediari finanziari — devono oggi rispettare standard tecnici e giuridici precisi, la cui inosservanza può rendere un atto contestabile o privo di efficacia probatoria. Chi non presidia questa materia espone il cliente a rischi concreti in sede di contenzioso.

Il tema è al centro di un’analisi pubblicata da Agenda Digitale, che ricostruisce il quadro europeo vigente: eIDAS 2 (Reg. UE 2024/1183), GDPR (Reg. UE 2016/679), AI Act (Reg. UE 2024/1689), NIS 2 (Dir. UE 2022/2555) e DORA (Reg. UE 2022/2554) si intrecciano definendo obblighi, standard tecnici e strumenti operativi per identità, sigilli elettronici, wallet digitali, audit trail e governance aziendale.

Il contesto normativo

Il riferimento centrale è il Regolamento eIDAS 2 (Reg. UE 2024/1183, che modifica il Reg. UE 910/2014), in vigore dal 20 maggio 2024. L’art. 25 eIDAS stabilisce che un sigillo elettronico qualificato ha effetto giuridico equivalente a quello di un timbro apposto su carta, mentre l’art. 35 disciplina i sigilli elettronici qualificati per persone giuridiche, attribuendo loro piena efficacia probatoria nell’Unione. Sul piano nazionale, il d.lgs. 82/2005 (Codice dell’Amministrazione Digitale) — in particolare gli artt. 21 e 24 — regola la firma digitale e il documento informatico, ma va letto in coordinamento con eIDAS 2 per le transazioni transfrontaliere. Per le imprese finanziarie, DORA (Reg. UE 2022/2554, applicabile dal 17 gennaio 2025) aggiunge requisiti specifici di resilienza operativa digitale, inclusa la gestione dei log di autenticazione e degli audit trail.

Cosa cambia per lo studio

1. Verifica della validità degli atti firmati digitalmente: in un contratto B2B, occorre distinguere tra firma elettronica semplice, avanzata e qualificata, e tra sigillo elettronico aziendale qualificato e non. La confusione tra questi livelli genera atti che possono essere disconosciuti in giudizio ai sensi dell’art. 2702 c.c. applicato per analogia al documento informatico.
2. Wallet digitale aziendale (EUDI Wallet): eIDAS 2 prevede l’introduzione di wallet digitali per persone giuridiche entro il 2026. Lo studio deve già orientare i clienti su come strutturare la governance interna per il rilascio e la gestione delle credenziali aziendali.
3. Audit trail e obblighi di conservazione: NIS 2 e DORA richiedono log di accesso e tracciabilità delle transazioni digitali. Per i clienti nel settore finanziario o nelle infrastrutture critiche, il mancato rispetto espone a sanzioni amministrative fino al 2% del fatturato globale annuo (art. 34 DORA).
4. Clausole contrattuali da aggiornare: nei contratti B2B vanno inserite clausole specifiche su standard di identità digitale accettati, livello minimo di sigillo elettronico richiesto e responsabilità in caso di accesso non autorizzato tramite credenziali aziendali compromesse.
5. Coordinamento con il GDPR: i dati di autenticazione aziendale rientrano nel perimetro del Reg. UE 2016/679. Il trattamento di attributi di identità nei wallet digitali richiede una base giuridica esplicita e una valutazione d’impatto (DPIA) se i dati riguardano dipendenti o rappresentanti legali.

Attenzione a

Confondere il sigillo elettronico con la firma digitale del legale rappresentante. Il sigillo elettronico qualificato è attribuito alla persona giuridica, non alla persona fisica: non sostituisce la firma del rappresentante legale nei casi in cui la legge richiede espressamente questa (es. procure, atti societari ex art. 2470 c.c.). Usare un sigillo aziendale dove serve una firma qualificata individuale può rendere l’atto inefficace.

Sottovalutare i termini di adeguamento per DORA. Dal 17 gennaio 2025 gli obblighi di DORA sono pienamente applicabili agli enti finanziari. Uno studio che assiste banche, assicurazioni o gestori di infrastrutture di mercato deve verificare subito se i contratti di outsourcing IT e le procedure di autenticazione B2B dei clienti rispettano i requisiti del Reg. UE 2022/2554, pena sanzioni dirette sugli organi di gestione.

Domande frequenti

Fonte di riferimento: AgendaDigitale