A partire dal 17 novembre 2025 entrerà in vigore il Regolamento di esecuzione (UE) 2025/2160 (premrere qui per leggere), adottato dalla Commissione europea per dare piena attuazione al regolamento (UE) n. 910/2014, noto come eIDAS, in materia di identificazione elettronica e servizi fiduciari per le transazioni digitali (premere qui per approfondire). Con questo nuovo atto, l’Unione europea completa il quadro normativo sulla gestione dei rischi connessi ai servizi fiduciari non qualificati, fissando per la prima volta regole uniformi, specifiche tecniche e procedure di riferimento. L’obiettivo è armonizzare gli standard di sicurezza e responsabilità di operatori che, pur non rientrando tra i prestatori qualificati, svolgono un ruolo cruciale nella costruzione della fiducia digitale nel mercato interno.
Il Regolamento di esecuzione (UE) 2025/2160 introduce un nuovo capitolo nel panorama giuridico della fiducia digitale. Pubblicato il 28 ottobre 2025, esso definisce le modalità di applicazione del regolamento (UE) n. 910/2014 (eIDAS) in materia di gestione dei rischi connessi ai servizi fiduciari non qualificati, delineando un quadro di riferimento vincolante per tutti gli operatori del settore.
La Commissione europea riconosce che, pur non essendo soggetti agli stessi requisiti dei prestatori qualificati, tali operatori rivestono un ruolo essenziale nell’economia digitale, garantendo l’affidabilità delle transazioni elettroniche. Da ciò discende la necessità di uniformare le pratiche di gestione dei rischi giuridici, operativi e di sicurezza informatica, ponendo al centro la trasparenza, la diligenza e la responsabilità.
Il regolamento impone ai prestatori di servizi fiduciari non qualificati di adottare politiche di gestione dei rischi formalizzate e approvate dai propri organi di gestione. Tali politiche devono definire il livello di tolleranza al rischio, i criteri di valutazione e le procedure di individuazione e documentazione delle vulnerabilità, comprese quelle derivanti da terze parti. L’obiettivo è creare un sistema coerente di prevenzione, mitigazione e monitoraggio continuo delle minacce.
Particolare rilievo assume l’obbligo di pubblicare i metodi di verifica dell’identità degli utenti, un passo verso una maggiore trasparenza e fiducia nelle relazioni digitali. Inoltre, i prestatori devono garantire l’integrità e la riservatezza delle informazioni raccolte e conservarle in modo sicuro anche dopo la cessazione dell’attività, per assicurare la tracciabilità e la validità probatoria nei procedimenti giudiziari.
L’allegato al regolamento rinvia alle norme ETSI EN 319 401, che stabiliscono gli standard europei in materia di sicurezza, governance e gestione del rischio, delineando un modello integrato che affianca il regolamento eIDAS e la direttiva NIS 2.
Il nuovo regime rafforza così il principio di accountability tecnologica nel settore dei servizi fiduciari, integrando la disciplina della protezione dei dati personali (Reg. UE 2016/679) e garantendo coerenza con l’evoluzione dell’identità digitale europea introdotta dal regolamento (UE) 2024/1183.
Sull'autore
