A maggio si moltiplicano le scadenze fiscali e le pratiche con la Pubblica Amministrazione. La firma digitale non è più uno strumento da addetti ai lavori: nel 2026 è richiesta per atti notarili digitali, contratti P.A., trasmissioni SDI e operazioni societarie. Il problema è che non esiste una sola «firma digitale»: esistono tre livelli con valore legale molto diverso, e confonderli costa tempo — e in alcuni casi ha conseguenze legali.
FES, FEA, FEQ: le tre firme elettroniche a confronto
Il Codice del Consumo Digitale (D.Lgs. 82/2005, artt. 20-24) e il Regolamento europeo eIDAS (n. 910/2014) definiscono tre livelli di firma elettronica. Solo uno ha piena equiparazione alla firma autografa.
- Firma Elettronica Semplice (FES): qualunque dato in forma elettronica allegato o associato a un documento — anche un click su «Accetto» o una firma scansionata come immagine. Nessun requisito tecnico minimo. Valore probatorio ridotto, contestabile facilmente. Utilizzabile per transazioni a basso rischio (es. accettazione newsletter, ordini online).
- Firma Elettronica Avanzata (FEA): collegata in modo univoco al firmatario, creata con dati sotto il controllo esclusivo del firmatario, capace di rilevare modifiche successive. Esempi pratici: firma grafometrica su tablet (usata in banca o assicurazione), firma con OTP via SMS su documento specifico. Non richiede certificato qualificato ma deve rispettare i requisiti dell’art. 26 eIDAS. Valore probatorio alto ma non assoluto.
- Firma Elettronica Qualificata (FEQ): l’unica equivalente alla firma autografa ai sensi dell’art. 24 D.Lgs. 82/2005. Richiede un certificato qualificato rilasciato da un Trust Service Provider (TSP) accreditato AgID, e un dispositivo sicuro per la creazione della firma (QSCD — Qualified Signature Creation Device). È la firma obbligatoria per atti notarili digitali, contratti con la P.A., scritture contabili trasmesse via SDI, verbali assembleari societari.
La distinzione non è accademica. Un contratto d’appalto pubblico firmato con FES anziché FEQ può essere dichiarato nullo in sede di controllo. Per i documenti che transitano su PEC e firma digitale insieme, la scelta del livello corretto fa la differenza tra un atto valido e uno impugnabile.
Token USB vs. firma remota: quale scegliere
La FEQ può essere gestita fisicamente (token USB o smart card) oppure da remoto via OTP su smartphone. La scelta dipende dal volume di firme e dal tipo di utilizzo.
La firma remota ha semplificato l’adozione, ma ha spostato il rischio: il dispositivo QSCD è ora lo smartphone, con tutte le sue vulnerabilità. Chi firma atti rilevanti con firma remota dovrebbe proteggere il dispositivo con PIN robusto, mantenerlo aggiornato e non installare app da fonti non verificate. La responsabilità della custodia delle credenziali è integralmente del titolare — anche in caso di smarrimento o furto.
Token USB / Smart card: il certificato qualificato è memorizzato su un dispositivo fisico conforme allo standard FIPS 140-2 o Common Criteria EAL4+. Inserisci il token nel PC, apri il software di firma, digiti il PIN e firmi. Vantaggi: funziona anche offline, nessun abbonamento annuale oltre al costo del kit, adatto a chi firma documenti di valore elevato su postazione fissa. Svantaggi: il dispositivo fisico si può perdere o rompere; se si dimentica a casa non si firma nulla. Costo medio: 25-60 euro per il kit iniziale (token + certificato triennale), poi solo rinnovo del certificato a scadenza.
Firma remota con OTP: il QSCD è gestito dal provider in un HSM (Hardware Security Module) certificato. Per firmare, si riceve un codice OTP via app o SMS e lo si inserisce nel portale del provider. Funziona da qualunque dispositivo con connessione internet. Ideale per chi firma documenti occasionalmente o in mobilità. Costo: da 5 a 15 euro/anno per il certificato remoto, senza hardware. Alcuni provider includono un numero limitato di firme nell’abbonamento base.
Per chi usa già SPID per accedere ai servizi PA, la firma remota si integra naturalmente nel flusso digitale già in uso — stessi strumenti, stesso smartphone.
Provider accreditati AgID: InfoCert, Aruba, Namirial, Intesi Group
L’AgID (Agenzia per l’Italia Digitale) mantiene l’elenco ufficiale dei Trust Service Provider qualificati ai sensi dell’eIDAS. Per il 2026 i principali operatori italiani sono:
- InfoCert (Gruppo Tinexta): tra i più diffusi in Italia. Firma remota disponibile tramite Dike GoSign (app desktop e mobile gratuita). Token USB denominato Gokey. Kit token: da 35 euro. Firma remota: abbonamento da 6,90 euro/anno + IVA. Assistenza in italiano.
- Aruba PEC: forte presenza nel segmento PMI grazie all’ecosistema PEC + fatturazione elettronica. Kit ArubaSign (token USB): da 28 euro + IVA. Firma remota: da 7 euro/anno + IVA. Integrazione diretta con il gestionale Aruba Fatturazione.
- Namirial: specializzato in firma remota e workflow documentali aziendali. Piattaforma NamirialSign per processi multi-step. Token da 40 euro, firma remota da 9 euro/anno. Ottima per studi professionali con alto volume di firme.
- Intesi Group: orientato a enterprise e PA, meno presente nel retail. Specializzato in soluzioni di firma massiva e integrazione API. Prezzi su preventivo per volumi.
Tutti e quattro figurano nel Trust List europeo (EU Trusted List, ETSI TS 119 612) consultabile sul portale della Commissione Europea. La scelta tra provider non cambia il valore legale della firma — cambia l’interfaccia, il costo e la qualità del supporto. Se hai già un certificato eIDAS e firma digitale europea rilasciato da un TSP di altro paese UE, è riconosciuto in Italia senza conversione.
Come firmare un PDF: Dike6, Adobe Acrobat e alternative gratuite
Una volta ottenuto il certificato, firmare un PDF non richiede software costosi. Le opzioni principali:
Dike6 di InfoCert (gratuito, Windows/macOS/Linux): software desktop che supporta firma PAdES (firma incorporata nel PDF), CAdES (busta .p7m) e XAdES (XML). Interfaccia semplice, guida step-by-step. Compatibile con tutti i token USB e con la firma remota InfoCert. Download gratuito dal sito InfoCert.
Adobe Acrobat Reader / Pro: supporta la firma digitale con certificati qualificati tramite il menu «Strumenti → Certificati → Firma digitale». Richiede che il token sia riconosciuto dal sistema operativo come PKCS#11 o tramite driver Windows CSP. Acrobat Reader DC è gratuito; la firma con certificati qualificati funziona anche nella versione free se il driver del token è installato correttamente.
FirmaCerta (Aruba): alternativa gratuita di Aruba, simile a Dike6. Supporta formati PAdES-B, PAdES-T (con marca temporale), CAdES. Download gratuito per clienti Aruba.
Per chi gestisce pratiche PA su App IO per documenti firmati, alcuni procedimenti accettano direttamente la firma tramite l’app senza software aggiuntivo — vale la pena verificare il canale disponibile caso per caso.
Scadenza del certificato e rinnovo
Il certificato qualificato ha una validità massima di 3 anni, imposta dal Regolamento eIDAS (art. 28). Alla scadenza il certificato non è più valido per nuove firme — i documenti firmati prima della scadenza rimangono validi grazie alla marca temporale (RFC 3161) o al formato PAdES-LTA (Long Term Archival) che incorpora la prova della validità al momento della firma.
Come funziona il rinnovo:
- Il provider invia una notifica via email 60-90 giorni prima della scadenza (configurabile nelle impostazioni account)
- Il rinnovo si effettua online senza necessità di nuova identificazione se il precedente certificato non è ancora scaduto (rinnovo in self-service)
- Se il certificato è già scaduto, serve una nuova procedura di identificazione (di persona, via webcam con operatore certificato, o tramite SPID/CIE)
- Per il token fisico: se il dispositivo hardware è ancora funzionante, di solito si rinnova solo il certificato (6-15 euro) senza acquistare un nuovo token
Attenzione ai documenti con valore legale a lungo termine (contratti decennali, atti societari): usare sempre formati con marca temporale certificata (PAdES-T o PAdES-LTA) per garantire la verificabilità anche dopo la scadenza del certificato di firma.
