EUDI Wallet aziende: cosa cambia davvero e cosa devi fare
Te lo diciamo noi: l’EUDI Wallet non è solo una questione per i cittadini. Le aziende — soprattutto quelle nei settori regolamentati — hanno obblighi concreti che scattano progressivamente entro il 2026-2027. Il regolamento europeo eIDAS 2, in vigore dal maggio 2024, ridisegna come si verifica l’identità, si firma un contratto e si condividono dati sensibili. Se hai una banca, un’assicurazione, un’azienda di telecomunicazioni o una piattaforma digitale con milioni di utenti europei, non puoi aspettare ancora.
Cosa devi sapere subito
- L’obbligo di accettare l’EUDI Wallet riguarda i settori regolamentati, non tutte le aziende indistintamente
- Il portafoglio digitale resta in mano al cliente: tu accedi solo ai dati che lui sceglie di condividere
- La firma elettronica qualificata tramite EUDI Wallet ha valore legale in tutta l’UE
- L’SDK è open source: il tuo team tecnico può iniziare a studiarlo adesso, gratis
- SPID non scompare: i due sistemi coesistono, almeno nel breve periodo
Cos’è l’EUDI Wallet e perché riguarda le aziende
L’EUDI Wallet — in italiano, il portafoglio europeo di identità digitale — è un’app che ogni cittadino europeo potrà usare per custodire documenti digitali e condividerli in modo selettivo. Patente, carta d’identità, tessera sanitaria, titoli di studio, certificati professionali: tutto in un unico portafoglio sul telefono.
Dal punto di vista del cittadino è comodità. Dal punto di vista dell’azienda è un cambiamento nei processi di onboarding, verifica e firma.
Il regolamento che lo istituisce è l’eIDAS 2 — il Regolamento UE 2024/1183, in vigore dal maggio 2024. Non è una proposta, non è un progetto pilota: è legge europea. L’Italia, come tutti gli Stati membri, deve recepirla e attuarla.
In italiano: eIDAS sta per “Electronic Identification, Authentication and Trust Services”. La versione 2 aggiorna quella del 2014, che aveva già introdotto lo SPID e la firma elettronica.
Quali aziende hanno obblighi e quali no
Qui la risposta concreta, senza giri di parole.
Hanno l’obbligo di accettare l’EUDI Wallet le aziende private che operano in questi settori, quando l’identificazione forte è già richiesta per legge:
| Settore | Obbligo | Note |
|---|---|---|
| Banche e istituti di pagamento | Sì | Obbligo di onboarding digitale conforme |
| Assicurazioni | Sì | Per contratti e sinistri |
| Telecomunicazioni | Sì | Per attivazione SIM e contratti |
| Trasporti (vettori con titoli nominativi) | Sì | Biglietti, abbonamenti |
| Sanità privata con convenzioni pubbliche | Sì | Dipende dal recepimento nazionale |
| Grandi piattaforme digitali (oltre 5 milioni utenti UE) | Sì | Per accesso ai servizi principali |
| PMI senza servizi regolamentati | No | Facoltativo, ma conveniente |
| Negozi fisici senza servizi digitali | No | Fuori perimetro |
Se la tua azienda non rientra nei settori obbligati, puoi scegliere di integrare l’EUDI Wallet lo stesso. C’è una ragione pratica: riduce i costi di verifica dell’identità e abbassa il rischio di frode all’onboarding.
Cosa può fare concretamente un’azienda con l’EUDI Wallet
L’EUDI Wallet non è solo uno strumento di identificazione. Ha tre funzioni principali che interessano le aziende.
1. Verifica dell’identità all’onboarding
Il cliente apre la tua app o il tuo sito, tocca «Accedi con EUDI Wallet», e il portafoglio sul suo telefono trasmette solo i dati necessari. Tu ricevi nome, cognome, data di nascita e codice fiscale — o solo quello che hai chiesto. Senza fotocopie, senza caricamento manuale di documenti, senza attese.
Il vantaggio per l’azienda: il dato è verificato alla fonte. Non è un’autocertificazione. L’ha firmata lo Stato membro che ha emesso il documento.
2. Firma elettronica qualificata
Con l’EUDI Wallet il cliente può apporre una firma elettronica qualificata direttamente dall’app. Vale in tutta l’Unione Europea. Ha lo stesso valore legale della firma autografa.
Questo cambia i flussi di contrattualizzazione. Niente più PDF da scaricare, stampare, firmare, scansionare e inviare. Il contratto gira digitale dall’inizio alla fine.
3. Presentazione di credenziali verificabili
Qui c’è il salto qualitativo più importante. Il portafoglio del tuo cliente può contenere credenziali emesse da terzi — una certificazione professionale, un titolo di studio, un’abilitazione. Tu puoi verificarle in tempo reale, senza telefonare all’ente emittente.
Esempio concreto: un’azienda assicurativa che vuole verificare se il cliente ha davvero la patente di guida valida non deve più fidarsi della fotocopia. Lo chiede al portafoglio, il portafoglio risponde con una prova crittografica. Pochi secondi.
Come funziona tecnicamente (senza entrare nel codice)
Non serve essere sviluppatori per capire il meccanismo di base.
L’EUDI Wallet usa uno standard chiamato credenziali verificabili (in inglese: Verifiable Credentials). È come un certificato digitale, ma emesso da un’autorità riconosciuta — lo Stato, un ordine professionale, un’università — e custodito sul dispositivo del titolare.
Quando il tuo sistema chiede una verifica, manda una richiesta al portafoglio del cliente. Il portafoglio mostra all’utente cosa stai chiedendo. L’utente accetta o rifiuta. Se accetta, il portafoglio trasmette solo i dati richiesti, firmati digitalmente dall’ente emittente.
Tu non vedi tutto il portafoglio. Vedi solo quello che ti serve, per quella transazione. Questo si chiama divulgazione minima ed è un requisito del regolamento, non un optional.
Il protocollo tecnico usato è OpenID4VP (per la presentazione delle credenziali) e OpenID4VCI (per l’emissione). Sono standard aperti, non proprietari.
Come prepararsi: passo dopo passo
Questa sezione è per chi deve organizzare il progetto internamente. Non è un piano tecnico dettagliato: è una mappa delle decisioni che devi prendere, nell’ordine giusto.
-
Valuta in quale categoria ricade la tua azienda. Controlla se il tuo settore rientra tra quelli con obbligo di accettazione: servizi bancari, assicurativi, telecomunicazioni, trasporti, sanità privata convenzionata, piattaforme con più di 5 milioni di utenti nell’UE.
-
Nomina un referente interno. Serve qualcuno che segua l’evoluzione normativa e coordini il progetto tecnico. Può essere il responsabile IT o il DPO, ma deve avere un mandato chiaro.
-
Analizza i punti di contatto con i clienti. Dove chiedi oggi un documento di identità? Dove fai firmare qualcosa? Dove verifichi un titolo professionale? Questi sono i punti dove l’EUDI Wallet entrerà.
-
Contatta il tuo fornitore di soluzioni di identità digitale. Se usi già un provider per SPID o CIE, chiedi se ha in roadmap il supporto all’EUDI Wallet. Molti lo stanno già sviluppando.
-
Scarica e studia l’SDK ufficiale. L’SDK del progetto EUDIW è open source. Il team tecnico può iniziare a testarlo in sandbox senza impegni di produzione.
-
Aggiorna l’informativa privacy. L’adozione dell’EUDI Wallet cambia i flussi di trattamento dei dati. Il DPO deve rivedere il registro dei trattamenti e l’informativa agli utenti.
-
Pianifica i test con utenti reali. Prima di andare in produzione, organizza un pilot con un gruppo ristretto di clienti. Verifica che il flusso funzioni su dispositivi Android e iOS.
Privacy e GDPR: cosa cambia per la tua azienda
L’EUDI Wallet è stato progettato con il GDPR in mente. Questo non significa che l’adempimento privacy sia automatico: significa che il sistema è compatibile con il GDPR se lo usi correttamente.
Tre punti che devi presidiare.
Minimizzazione dei dati. Quando integri la verifica tramite EUDI Wallet, puoi chiedere solo i dati che ti servono davvero. Se devi verificare che un cliente sia maggiorenne, non hai bisogno di nome e cognome: ti basta la conferma “sì, è maggiorenne”. Questo si chiama divulgazione selettiva. Usarla non è solo eticamente corretto: riduce il tuo rischio GDPR.
Log e conservazione. Tieni traccia delle verifiche effettuate, ma non conservare i dati più del necessario. Il fatto che un dato arrivi in modo sicuro dal portafoglio non ti esime dagli obblighi di conservazione minima.
Aggiornamento del registro dei trattamenti. Ogni nuovo flusso di dati va documentato. La verifica tramite EUDI Wallet è un trattamento nuovo: base giuridica, finalità, conservazione, responsabile del trattamento. Il DPO deve aggiornare il registro.
Il rapporto con SPID e CIE
Molte aziende italiane hanno già integrato SPID o la lettura della CIE per l’identificazione online. Cosa succede a questi investimenti?
Nel breve periodo: niente. SPID resta valido. La CIE resta valida. L’EUDI Wallet si affianca come ulteriore opzione.
Nel medio periodo — orientativamente entro il 2027-2028 — il sistema italiano di identità digitale convergerà verso lo standard europeo. SPID e CIE potranno diventare le credenziali con cui si alimenta l’EUDI Wallet italiano, non sistemi separati.
Carte alla mano: AgID ha già partecipato ai pilot europei del progetto EUDIW. L’Italia è tra i Paesi che hanno testato l’integrazione con i propri sistemi di identità. Non partiamo da zero.
Quanto costa l’integrazione
Non esiste una cifra fissa. Dipende da quanto è complessa la tua infrastruttura e quanti punti di contatto hai con i clienti.
Quello che si può dire:
- L’SDK è gratuito. Il codice è open source, mantenuto dalla Commissione Europea e dalla comunità dei Paesi membri.
- I costi sono di integrazione e sviluppo. Come quando hai adottato SPID: il costo non è la licenza, è il lavoro per farlo entrare nei tuoi sistemi.
- Le prime stime di mercato indicano costi paragonabili all’adozione di un nuovo provider di autenticazione a standard eIDAS. Non è un progetto da milioni di euro per la maggior parte delle aziende.
- I fornitori specializzati stanno già offrendo soluzioni preconfezionate per i settori con obbligo. Se non hai un team interno forte, è la strada più rapida.
Un consiglio pratico: non aspettare l’obbligo per fare il budget. Chi inizia prima paga meno, perché i fornitori sono meno saturi e c’è tempo per fare le cose con calma.
Fonti ufficiali
Queste sono le fonti che abbiamo usato per scrivere questo articolo. Sono aggiornate alla data indicata in fondo alla pagina.
- Regolamento UE 2024/1183 (eIDAS 2) — EUR-Lex
- Commissione Europea — EUDI Wallet, documentazione tecnica e pilot
- AgID — Identità digitale e standard nazionali
- EUDIW Reference Implementation — GitHub ufficiale
- ENISA — Analisi di sicurezza dell’EUDI Wallet
Le cose che chiedete più spesso
Le aziende private devono accettare l’EUDI Wallet per forza?
Dipende dal settore. Per i servizi che già oggi richiedono identificazione forte per legge — banche, assicurazioni, telecomunicazioni, trasporti — l’obbligo scatta non appena la fase di rollout nazionale lo prevede. Per tutti gli altri è facoltativo, ma conviene iniziare a valutarlo.
Quanto costa integrare l’EUDI Wallet nei sistemi aziendali?
Non esiste un costo fisso: dipende dalla tua infrastruttura. L’SDK ufficiale è open source e gratuito. I costi reali sono di sviluppo e integrazione. Le prime stime indicano qualcosa di paragonabile all’adozione di un nuovo provider di autenticazione.
L’EUDI Wallet sostituisce lo SPID per le aziende?
Non nell’immediato. SPID resta valido e continuerà a funzionare. L’EUDI Wallet si affianca come standard europeo. Nel medio termine i due sistemi convergeranno, ma per ora gestisci entrambi.
Posso usare l’EUDI Wallet per firmare contratti con i clienti?
Sì. L’EUDI Wallet supporta la firma elettronica qualificata. Questo significa che un cliente potrà firmare un contratto direttamente dall’app, con valore legale equivalente alla firma autografa, in tutta l’Unione Europea.
Cosa sono le credenziali verificabili e perché mi riguardano?
Sono attestazioni digitali — patente, titolo di studio, certificato professionale — che il portafoglio del tuo cliente custodisce in modo sicuro. Tu puoi verificarle senza contattare l’ente che le ha emesse. Meno passaggi, meno carta, meno errori.
Quando entra in vigore l’obbligo per le aziende private?
Il regolamento eIDAS 2 è in vigore dal maggio 2024. Gli obblighi per i settori regolamentati scattano progressivamente: la scadenza indicativa per i servizi critici è entro il 2026-2027, ma ogni Stato membro ha margini di recepimento. Tieni d’occhio i decreti italiani di attuazione.
I dati del cliente restano sul suo telefono o li vedo io?
Restano sul telefono del tuo cliente. Tu ricevi solo i dati che lui decide di condividere, in quel momento, per quella transazione. Non puoi costruire un profilo senza consenso esplicito. È uno dei punti qualificanti del sistema.
Ultimo aggiornamento: 7 giugno 2026. Revisione pianificata: 4 dicembre 2026. In questa versione abbiamo aggiunto la sezione sugli obblighi per settore e il dettaglio tecnico sulle credenziali verificabili.