Autorità di certificazione in Svizzera – QES & prestatori qualificati
Panoramica su cosa sono i prestatori qualificati per la firma elettronica qualificata (QES) secondo ZertES, come verificarli e come scegliere il fornitore giusto.
In Svizzera, la QES è riconosciuta dal quadro ZertES e può essere emessa solo da prestatori qualificati (autorità di certificazione) che rispettano requisiti stringenti su identità, sicurezza e gestione delle chiavi. Questa pagina spiega come funzionano, come verificarne lo status e come selezionare un fornitore affidabile.
Quadro legale: ZertES (CH) & eIDAS (UE)
- ZertES disciplina marche temporali, certificati e condizioni per emettere QES con valore equiparato alla firma autografa.
- eIDAS definisce i Qualified Trust Service Providers (QTSP) e le regole per QES/remote signing nell’UE.
- Per AES e SES valgono requisiti più flessibili, ma la QES offre la massima presunzione legale. Vedi SES/AES/QES.
Come verificare lo status “qualificato”
- Consulta l’elenco ufficiale dei prestatori qualificati per la Svizzera e verifica che il fornitore sia attivo e l’ambito sia Qualified Certificates for Electronic Signatures.
- Per rapporti UE, verifica anche la presenza nelle EU Trusted Lists (EUTL) e le policy OID supportate.
- Controlla validità e revoche dei certificati, CA e time‑stamping authority associata.
- Richiedi rapporti di audit e certificazioni (es. ISO 27001) aggiornate.
Criteri per scegliere il fornitore
- Metodi di identificazione: in presenza, video‑ID, eID/Bank‑ID; copertura CH/UE.
- Modello di firma: locale vs remote signing con HSM certificati.
- Formati: supporto PAdES/XAdES, timestamp qualificati, sigilli organizzativi.
- Residenza dati & trasferimenti: regioni CH/UE, SCC/TIA se extra‑SEE/CH.
- SLA & supporto: disponibilità, tempi di emissione, reperibilità, record di incidenti.
- Integrazione: API, SSO/IDP, webhook; compatibilità con DMS/ERP/CRM.
- Compliance: DPA, misure tecniche/organizzative, privacy e audit trail.
Onboarding QES: come funziona
- Identificazione del firmatario (eID/video‑ID/in presenza) e creazione dell’identità digitale.
- Emissione certificato qualificato personale con chiavi protette in HSM.
- Attivazione canali di firma (OTP/2FA, app) e policy di uso.
- Firma del documento con generazione di hash e applicazione timestamp.
- Verifica e conservazione del PDF firmato con audit trail.
Interoperabilità CH‑UE & transfrontaliera
Molti flussi coinvolgono controparti in Svizzera ed UE. Verifica la riconoscibilità reciproca delle firme, l’allineamento dei profili di certificato e l’accettazione dei formati. In caso di dubbi, preferisci QES con fornitori presenti nelle liste di fiducia di entrambi i blocchi.
Errori comuni da evitare
- Non verificare lo status qualificato del fornitore o del certificato.
- Usare SES in scenari che richiedono forma scritta (QES).
- Ignorare revoche/scadenze dei certificati e dei timestamp.
- Assenza di audit trail o report di convalida archiviati.
Contenuti correlati
FAQ – Autorità di certificazione (QES) in Svizzera
Che differenza c’è tra CA e QTSP?
Una CA emette certificati; un QTSP è un prestatore qualificato che soddisfa requisiti legali extra per erogare QES e altri servizi fiduciari.
Come verifico che un fornitore sia qualificato in Svizzera?
Consulta l’elenco ufficiale dei prestatori qualificati e verifica l’ambito (Qualified Certificates for Electronic Signatures) e la validità dei certificati.
Una QES svizzera è accettata nell’UE?
Dipende dallo scenario. Verifica la presenza del prestatore anche nelle EU Trusted Lists e l’accettazione contrattuale/di piattaforma.
QES o AES: quando scegliere l’una o l’altra?
Usa QES quando è richiesta forma scritta o per alto rischio; AES è adatta a molti contratti con buona prova e identità forte. Vedi confronto SES/AES/QES.
Attiva QES con fornitori qualificati
Con SignnTrack integri QTSP accreditati, gestisci identità e conservi prove (audit trail, timestamp) per firme difendibili in CH/UE.
Prova gratuitaIn sintesi: verifica sempre lo status qualificato, seleziona il QTSP in base a identità, HSM, formati e SLA, e conserva report e audit trail per garantire valore probatorio e interoperabilità.