L’eArchiving è un pilastro fondamentale dei servizi fiduciari europei, destinato a sostenere e abilitare tutti gli altri servizi digitali qualificati. La conservazione digitale europea renderà l’archiviazione elettronica qualificata un passaggio obbligato per imprese e PA, garantendo interoperabilità, sicurezza, continuità e valore probatorio riconosciuto in tutti gli Stati UE. In questo scenario, è essenziale per aziende e PA allinearsi rapidamente al nuovo modello europeo, rafforzando la governance del proprio patrimonio informativo.
Il servizio di archiviazione elettronica qualificata, dotato di presunzioni legali e di un impianto tecnico armonizzato a livello europeo, garantisce che dati e documenti digitali rimangano integri, leggibili e riconducibili alla loro origine per l’intero periodo di conservazione. Le sue fondamenta si basano sul Regolamento di esecuzione (UE) 2025/2532 della Commissione, in vigore dal 6 gennaio 2026, e la specifica tecnica CEN TS 18170:2025, che definisce i requisiti funzionali per la progettazione e la gestione di servizi di archiviazione conformi, affidabili e interoperabili. È significativo che il Comitato eIDAS abbia approvato all’unanimità lo schema del regolamento già il 13 novembre 2025, confermando la chiara volontà dell’Unione di convergere verso standard condivisi e presunzioni probatorie solide.
Il contesto normativo: da eIDAS 1.0 a eIDAS 2.0
La prima versione di eIDAS (Regolamento UE 910/2014) ha rappresentato una svolta per l’ecosistema della fiducia digitale in Europa, introducendo un quadro giuridico uniforme per firme elettroniche, sigilli, marche temporali, servizi di recapito elettronico certificato (ERDS) e certificati per l’autenticazione dei siti web, e consentendo la nascita di un mercato digitale unico, grazie a interoperabilità e riconoscimento reciproco tra gli Stati Membri.
Con eIDAS 2.0, pubblicato nel 2024, l’Unione ha creato nuovi servizi fiduciari – archiviazione elettronica qualificata, attestazioni di attributi qualificati, registri elettronici e dispositivi remoti di creazione di firme e sigilli – per rispondere a un mercato digitale sempre più complesso e caratterizzato da un elevato scambio dati.
L’obiettivo è duplice: rafforzare la fiducia nelle transazioni digitali e favorire la creazione di un mercato europeo unificato dell’identità digitale, senza barriere tecniche o normative. In coerenza con questa impostazione, eIDAS 2.0 rinvia a specifici Implementing Acts della Commissione per definire in dettaglio gli standard tecnici e operativi dei nuovi servizi. Per l’archiviazione elettronica, l’articolo 45j stabilisce il quadro generale, mentre il Regolamento di esecuzione (UE) 2025/2532 ne disciplina requisiti, standard e modalità di qualifica dei prestatori.
L’Implementing Act: Regolamento (UE) 2025/2532
Il Regolamento di esecuzione (UE) 2025/2532 rende pienamente operativo il nuovo servizio fiduciario di eArchiving qualificato, con regole applicative e standard che assicurano uniformità e interoperabilità europee. Le direttrici fondamentali sono tre: costruire un solido quadro di fiducia giuridica, imporre elevati requisiti di sicurezza operativa e definire standard tecnici armonizzati.
Grazie alla presunzione legale di integrità e provenienza, i documenti archiviati presso un prestatore qualificato acquisiscono pieno valore probatorio, semplificando in modo significativo le fasi di esibizione e verifica. Tale presunzione, valida in tutti gli Stati Membri, riduce i margini di contestazione e rafforza l’affidabilità giuridica delle evidenze prodotte. L’uso obbligatorio di firme, sigilli e marche temporali qualificate per attestare gli eventi critici del ciclo di archiviazione contribuisce ulteriormente alla robustezza delle garanzie.
Per garantire interoperabilità e trasparenza, il regolamento fa riferimento a standard riconosciuti, quali la CEN TS 18170:2025 per i requisiti funzionali del servizio e la ISO 14721:2025 (OAIS) per la conservazione a lungo termine. Le norme ETSI assicurano correttezza e verificabilità delle evidenze, mentre la Commissione mantiene la possibilità di integrare ulteriori specifiche tecniche, per accompagnare l’evoluzione tecnologica.
Fiducia giuridica, sicurezza operativa e uniformazione tecnica delineano una conservazione digitale avanzata, con forza probatoria e rigore applicativo simili agli altri servizi qualificati.
Requisiti operativi e di sicurezza nell’IA: trasparenza, crittografia, NIS2 e termination plan
Il Regolamento delinea un vero e proprio modello operativo di affidabilità fondato su trasparenza, sicurezza multilivello e continuità del servizio. Gli obblighi di trasparenza, verso gli organismi di vigilanza e i clienti, diventano strutturali: ogni modifica rilevante deve essere comunicata con almeno un mese di anticipo; la cessazione del servizio almeno tre mesi prima, prevedendo un piano dettagliato per la continuità della conservazione; una documentazione contrattuale chiara e accessibile è parte integrante delle garanzie richieste.
Il personale coinvolto deve avere competenze dimostrabili e aggiornate, con formazione periodica almeno annuale su minacce, sicurezza e normativa, in coerenza con quanto previsto da NIS2.
Sul piano tecnico, la sicurezza richiede l’uso di dispositivi certificati per la protezione delle chiavi (Common Criteria EAL4+, EUCC o FIPS 140‑3 fino al 2030), il monitoraggio continuo della robustezza crittografica e la capacità di generare nuovi profili AIP conformi al modello OAIS e alla CEN TS 18170 in caso di obsolescenza degli algoritmi. È inoltre obbligatorio l’impiego di firme e sigilli qualificati e di marcature temporali conformi a ETSI EN 319 421. Il tracciamento degli eventi deve rispettare ETSI EN 319 401, garantendo un audit trail completo e verificabile.
La cybersecurity operativa impone scansioni trimestrali delle vulnerabilità, penetration test annuali, hardening dei sistemi e autenticazione reciproca dei componenti. La gestione degli incidenti deve essere integrata con NIS2. A completamento dell’architettura operativa, il Regolamento richiede un termination plan dettagliato, con modalità sicure, verificabili e interoperabili per il trasferimento dei dati verso un altro prestatore o il titolare, in conformità a OAIS e CEN TS 18170.
In Italia è atteso l’aggiornamento delle Linee Guida AgID per armonizzarle con il CAD e con NIS2. Resta aperto il tema del capitale sociale minimo richiesto ai QTSP, considerato da molti operatori eccessivo e penalizzante rispetto al quadro europeo.
CEN TS 18170:2025 – I requisiti funzionali del servizio di eArchiving
La CEN TS 18170:2025, pubblicata dal CEN/TC 468 nel 2025, è il primo standard europeo interamente dedicato ai servizi di e-archiving e fornisce un quadro armonizzato di requisiti funzionali applicabile sia ai servizi qualificati sia a quelli non qualificati, rendendo possibile una conservazione di lungo periodo coerente con i principi di eIDAS 2.0.
La specifica copre tutte le fasi del ciclo di vita dei documenti digitali – ricezione, presa in carico, archiviazione, recupero e cancellazione – definendo requisiti per garantire durabilità, leggibilità, accessibilità e indipendenza dai formati proprietari. Particolare attenzione è dedicata all’obsolescenza tecnologica, attraverso procedure per migrazione dei formati, conservazione dei metadati e verifica dell’integrità nel tempo.
Un elemento distintivo della norma è l’obbligo di produrre report automatizzati di integrità, particolarmente rilevanti in contesti di audit, contenziosi e verifiche di conformità. La CEN TS 18170 dà inoltre grande importanza alla sicurezza, includendo controlli di accesso, tracciabilità degli eventi, integrazione con altri servizi fiduciari e l’uso di protocolli standardizzati che assicurano interoperabilità e portabilità dei dati tra sistemi e Paesi. Linee guida per soluzioni energeticamente efficienti riflettono l’attenzione dell’UE alla sostenibilità.
La CEN TS 18170 è quindi un vero abilitatore di fiducia: la sua adozione facilita la qualifica dei prestatori, promuove il mutuo riconoscimento e offre a PA e imprese un quadro solido per ridurre rischi legali e costi di gestione.
Relazione tra Implementing Act e CEN TS 18170: una convergenza europea
Gli standard per l’e-archiving esprimono un equilibrio tra le esigenze del mercato, il contributo degli stakeholder e l’obiettivo UE di avere un quadro realmente interoperabile. L’Implementing Act recepisce questa impostazione, integrando la CEN TS 18170 come standard di riferimento per l’eArchiving e orientando l’intero ecosistema europeo verso requisiti moderni, verificabili e coerenti con NIS2.
La CEN TS 18170 è stata selezionata perché fornisce una copertura completa e aggiornata dell’intero ciclo di vita dell’archiviazione, integrando aspetti di sicurezza, sostenibilità e interoperabilità con il modello OAIS, architettura di riferimento per la preservazione a lungo termine.
Questo approccio “future‑proof” evita la frammentazione normativa, favorisce la scalabilità delle soluzioni e l’integrazione con tecnologie emergenti – come ledger distribuiti e audit automatizzati – e rende possibile un sistema di vigilanza e audit chiaro, efficiente e armonizzato.
Ecosistema di supporto: eArchiving Initiative ed EARK
L’Implementing Act e la CEN TS 18170 definiscono cosa deve fare un servizio di archiviazione conforme; l’eArchiving Initiative e la tradizione EARK chiariscono come realizzarlo operativamente.
Avviata dalla Commissione europea per il periodo 2022–2026, l’eArchiving Initiative mira a garantire che dati e documenti digitali siano archiviati e conservati in modo sicuro, leggibile e interoperabile nel lungo periodo, in linea con il modello OAIS e con la CEN TS 18170. L’iniziativa si fonda su principi chiave quali l’adozione di formati aperti, l’interoperabilità by design e la riduzione del lock‑in tecnologico.
Il DILCIS Board ha sviluppato pacchetti informativi standard – Submission Information Package (SIP), Archival Information Package (AIP) e Dissemination Information Package (DIP) – che costituiscono la base delle soluzioni promosse dall’iniziativa e del building block eArchiving. Quest’ultimo mette a disposizione strumenti modulari e documentazione operativa per l’implementazione di processi conformi.
L’eredità del progetto EARK, avviato nel 2014, contribuisce in modo significativo al patrimonio di specifiche e software open source oggi integrati nell’iniziativa, assicurando continuità e mantenimento anche oltre la conclusione del ciclo di finanziamento europeo. L’impatto complessivo è rilevante: riduzione dei costi di implementazione per le PA e i fornitori, rafforzamento della fiducia reciproca tra Stati membri e maggiore convergenza tra normative nazionali e standard internazionali. Ne risulta un ecosistema europeo della conservazione digitale più maturo, sostenibile e interoperabile.
Verso un’archiviazione europea: scelte strategiche e implicazioni operative
La conservazione digitale in Italia è in profonda trasformazione. La tradizionale dicotomia tra il modello nazionale – basato su CAD e Linee Guida AGID – e il servizio fiduciario europeo sta lasciando spazio a un nuovo equilibrio, nel quale conservatori, PA e imprese devono compiere scelte strategiche fondate su esigenze operative, livelli di rischio e ambizioni differenti. Alcuni operatori privilegeranno la continuità e la compliance nazionale, altri punteranno al riconoscimento europeo, mentre altri ancora cercheranno maggiore flessibilità per il mercato privato.
Per i QTSP, l’adeguamento all’Implementing Act implica un’evoluzione significativa: revisione dei processi, integrazione sistematica di evidenze qualificate (firme, sigilli e marche temporali), mappatura dei requisiti CEN TS 18170, gestione rigorosa del ciclo di vita documentale, definizione di SLA strutturati, manutenzione di audit trail verificabili, gestione dei metadati secondo standard europei, piani di migrazione tecnologica, reportistica automatizzata e audit periodici conformi a eIDAS 2 e NIS2. Tutto ciò richiede investimenti in infrastrutture sicure (come HSM e sistemi di logging avanzato), personale qualificato e aggiornamento continuo delle policy.
Per PA e imprese, l’eArchiving qualificato offre benefici concreti: riduzione del rischio legale, maggiore certezza probatoria, semplificazione dei processi di audit e compliance, continuità operativa grazie a formati aperti e specifiche modulari, assenza di lock‑in tecnologica e maggiore resilienza documentale nel lungo periodo. L’allineamento alle normative europee consente inoltre una governance documentale più solida e sostenibile, capace di affrontare l’evoluzione tecnologica senza compromettere la tutela del patrimonio informativo.
Il ruolo di Namirial come QTSP nell’eArchiving a lungo termine
In questo scenario, risulta strategico il ruolo di un QTSP come Namirial, che ha anticipato l’evoluzione normativa e ha già certificazioni in materia di eArchiving e Long‑Term Archiving (LTA) in diversi Paesi UE ed extra‑UE.
In ambito UE, Namirial ha riconoscimenti e certificazioni per servizi di archiviazione e LTA in Germania, Francia e Romania, mercati con requisiti regolatori avanzati e una particolare attenzione agli aspetti probatori, di sicurezza e di governance documentale. Questa presenza multigiurisdizionale riflette un approccio progettuale fondato su standard europei, interoperabilità e conformità “by design”, pienamente coerente con i principi di eIDAS 2.0.
L’adozione di modelli organizzativi e tecnici allineati a OAIS e ai requisiti funzionali codificati nella CEN TS 18170:2025 consente a Namirial di gestire l’intero ciclo di vita dei documenti digitali garantendo integrità, tracciabilità, leggibilità e verificabilità nel tempo. L’integrazione nativa di firme, sigilli e marche temporali qualificate rafforza ulteriormente il valore probatorio delle evidenze conservate.
In prospettiva, Namirial è in fase avanzata per la qualifica eIDAS del servizio di eArchiving, passaggio che è l’evoluzione naturale di un percorso già basato su compliance multi‑Paese, sicurezza operativa, gestione strutturata dei metadati e attenzione alla continuità del servizio, inclusi i requisiti di termination plan e portabilità.
L’esperienza maturata in contesti regolatori differenti e l’allineamento agli standard europei emergenti posizionano Namirial come attore di riferimento nel futuro ecosistema dell’eArchiving qualificato, in grado di supportare PA e imprese in scenari transfrontalieri, riducendo il rischio legale e abilitando modelli di conservazione realmente interoperabili a livello UE.
