ZertES vs eIDAS: Cosa devono sapere le aziende svizzere nel 2026

Se la vostra azienda opera in Svizzera o nell'UE, incontrerete ripetutamente due nomi in qualsiasi discussione sulle firme digitali giuridicamente vincolanti: ZertES ed eIDAS. Entrambi i quadri normativi stabiliscono le condizioni in cui una firma digitale ha la stessa forza giuridica di una firma autografa. Si applicano tuttavia in giurisdizioni diverse, sono emessi da autorità differenti e hanno implicazioni distinte in materia di ammissibilità in tribunale e riconoscimento transfrontaliero.

Per le aziende svizzere con clienti nell'UE — o aziende europee con operazioni in Svizzera — comprendere quale standard si applica non è un semplice dettaglio di conformità. È una questione di rischio legale. Questa guida analizza la regolamentazione per offrirvi una risposta pratica.

Cos'è ZertES?

ZertES è la legge federale svizzera sui servizi di certificazione nel settore della firma elettronica: il Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur, codificato su fedlex.admin.ch (RS 943.03).

La sua disposizione centrale — l'articolo 2 — definisce cosa costituisce una Firma Elettronica Qualificata (FEQ) in Svizzera e stabilisce le condizioni in cui tale firma ha lo stesso valore giuridico di una firma autografa ai sensi del diritto federale svizzero.

Swisscom Trust Services è un prestatore di servizi di certificazione accreditato ZertES (ZDA). Una firma digitale qualificata o una marcatura temporale qualificata emessa tramite l'infrastruttura di Swisscom è giuridicamente equivalente a una firma olografa per qualsiasi finalità ai sensi del diritto federale svizzero — inclusi contratti, registrazioni di proprietà intellettuale e documenti finanziari regolamentati.

Tre caratteristiche distinguono ZertES:

Giurisdizione esclusivamente svizzera. ZertES si applica esclusivamente al diritto svizzero e ai procedimenti dinanzi ai tribunali svizzeri, agli organi regolatori svizzeri e alle istanze amministrative svizzere. Una firma accreditata ZertES è lo standard corretto per qualsiasi transazione disciplinata dal diritto federale o cantonale svizzero.

Accreditamento UFCOM. Solo i prestatori accreditati dall'Ufficio federale delle comunicazioni (UFCOM) possono emettere firme qualificate ZertES. Questo accreditamento non è autodichiarato — richiede audit indipendenti e la conformità continua a rigorosi standard tecnici e organizzativi.

Allineamento con la sovranità dei dati. I flussi di lavoro ZertES operano tipicamente con dati archiviati in Svizzera, allineandosi naturalmente con la nuova Legge federale sulla protezione dei dati (nLPD, in vigore da settembre 2023) e le sue implicazioni in materia di residenza dei dati.

Swiss Trust Layer emette sigilli tramite Swisscom Trust Services, conferendo a ogni documento sigillato una validità conforme a ZertES ai sensi del diritto svizzero.

Cos'è eIDAS?

eIDAS — Regolamento (UE) n. 910/2014 — è il quadro europeo per l'identificazione elettronica, l'autenticazione e i servizi fiduciari. Si applica in tutti i 27 Stati membri dell'UE e crea norme uniformi che regolano il riconoscimento giuridico delle firme digitali.

Il regolamento definisce tre livelli di firma: Semplice (FES), Avanzata (FEA) e Qualificata (FEQ). Solo il livello Qualificato — emesso da un Prestatore di Servizi Fiduciari Qualificato (QTSP) iscritto nell'Elenco fiduciario dell'UE — è giuridicamente equivalente a una firma autografa in tutti gli Stati membri.

Per le aziende, la disposizione più importante è l'articolo 41 di eIDAS, che riguarda specificamente le marcature temporali elettroniche qualificate:

Una marcatura temporale elettronica qualificata beneficia di una presunzione legale che la data e l'ora da essa indicate siano esatte. Beneficia inoltre di una presunzione legale che l'integrità dei dati a cui la marcatura temporale è associata sia preservata.

Questa presunzione è confutabile — ma è la parte contestante che deve confutarla. Il firmatario non deve dimostrare che la marcatura temporale è corretta. La controparte deve dimostrare che è errata. In pratica, una marcatura temporale qualificata emessa da un QTSP iscritto nell'Elenco fiduciario dell'UE è estremamente difficile da contestare con successo in procedimenti civili o commerciali.

Swisscom Trust Services opera come QTSP ai sensi di eIDAS. Swisscom è iscritta nell'Elenco fiduciario dell'UE. Ciò significa che i sigilli emessi tramite Swisscom godono della presunzione legale dell'UE in tutti i 27 Stati membri — indipendentemente dall'origine del documento.

La questione della giurisdizione: quale standard si applica?

La risposta dipende dal diritto applicabile alla transazione e dal foro in cui potrebbe essere discussa una controversia.

Scegliere ZertES quando:

• I vostri documenti sono disciplinati dal diritto svizzero
• Le vostre controparti sono entità svizzere
• Le controversie sarebbero portate dinanzi a tribunali o collegi arbitrali svizzeri
• Presentate documentazione ad autorità regolamentari svizzere (FINMA, IPI, METAS, autorità cantonali)
• I vostri contratti di lavoro, contratti di locazione o contratti con fornitori sono disciplinati dal diritto svizzero

Scegliere eIDAS quando:

• Le vostre controparti sono stabilite in Stati membri dell'UE
• I documenti potrebbero essere presentati dinanzi a tribunali o istanze amministrative dell'UE
• Operate in mercati regolamentati dell'UE (servizi finanziari, sanità, settore legale)
• È necessario il riconoscimento transfrontaliero nei 27 Paesi dell'UE

Scegliere entrambi quando:

• La vostra attività si estende sia in Svizzera che nell'UE — come accade per la maggior parte delle PMI svizzere e per qualsiasi multinazionale con operazioni in Svizzera
• La documentazione di proprietà intellettuale potrebbe essere utilizzata in procedimenti giudiziari sia svizzeri che europei
• Avete contratti sia con controparti svizzere che europee

La buona notizia: non dovete scegliere sul piano operativo. Swisscom Trust Services detiene contemporaneamente l'accreditamento ZertES e lo status di QTSP eIDAS. Ogni sigillo emesso tramite Swiss Trust Layer soddisfa entrambi gli standard con un unico documento, un unico flusso di lavoro e un unico certificato.

Scenari pratici

Scenario 1 — Startup svizzera che firma un accordo di licenza con una società SaaS tedesca. Il contratto è disciplinato dal diritto svizzero (ZertES applicabile), ma sarà archiviato e potenzialmente presentato negli archivi legali della società tedesca (riconoscimento eIDAS utile). Un sigillo ancorato a Swisscom copre entrambe le esigenze.

Scenario 2 — Studio di architettura a Zurigo che presenta un concorso a un cliente francese. I disegni di progetto devono essere sigillati prima della presentazione per attestare l'anteriorità e proteggere il design. Il sigillo deve essere riconoscibile dai tribunali francesi e svizzeri. Un sigillo Swiss Trust Layer soddisfa entrambi i requisiti.

Scenario 3 — Fornitore sanitario a Basilea che sigilla lettere di dimissione per cartelle cliniche transfrontaliere. La nLPD svizzera e il GDPR europeo si applicano entrambi. L'infrastruttura Swisscom in Svizzera soddisfa la nLPD; lo status QTSP eIDAS soddisfa i requisiti di riconoscimento europeo.

Come iniziare

Swiss Trust Layer gestisce la complessità di conformità sottostante in modo del tutto trasparente:

1. Caricate qualsiasi documento su swisstrustlayer.com. Tutti i formati di file sono supportati.
2. Viene calcolato un hash crittografico SHA-256. Il contenuto del vostro file non viene mai trasmesso né archiviato.
3. L'hash viene inviato a Swisscom Trust Services, che emette una marcatura temporale qualificata conforme sia a ZertES che a eIDAS.
4. Ricevete un certificato conforme PAdES: hash, marcatura temporale, catena di emissione Swisscom, la vostra identità.
5. Chiunque può verificare il sigillo su swisstrustlayer.com/validate — senza accesso, senza contattare Swiss Trust Layer.

Il primo documento sigillato richiede meno di due minuti. Seal Credits Lite parte da CHF 5 all'anno.

Un documento. Due giurisdizioni. Copertura legale completa. Iniziate su swisstrustlayer.com.