Firma digitale: cos’è, come ottenerla e come si usa su un documento

Te lo diciamo noi: la firma digitale è la tua firma autografa in formato elettronico, con pieno valore legale. È obbligatoria per molte comunicazioni con la PA, per i contratti aziendali e per le gare d’appalto. Si ottiene da un gestore accreditato AgID, costa tra i 25 e i 70 euro una tantum, e funziona su qualsiasi file, non solo sui PDF.

Cosa devi sapere subito

• La firma digitale italiana è una firma elettronica qualificata: ha lo stesso valore legale della firma autografa su carta
• Il certificato dura di solito tre anni; le firme già apposte rimangono valide anche dopo la scadenza
• Esistono due formati principali: CAdES (produce un file .p7m) e PAdES (firma visibile dentro il PDF)
• Puoi firmare da computer con token USB o smart card, oppure da qualsiasi dispositivo con la firma remota
• I gestori accreditati in Italia sono una decina; i più diffusi sono Aruba, InfoCert e Namirial

Cosa si intende davvero per firma digitale

In Italia si usano tre termini spesso confusi. Eccoli in ordine di valore legale.

Firma elettronica semplice: una qualsiasi indicazione elettronica del consenso. Il “firma qui” che metti su un tablet del corriere. Non ha valore legale garantito.

Firma elettronica avanzata: legata all’identità del firmatario in modo verificabile. Valore legale più alto, ma dipende dal contesto contrattuale.

Firma elettronica qualificata (in Italia: firma digitale): basata su un certificato rilasciato da un prestatore di servizi fiduciari accreditato, con un dispositivo sicuro. Valore legale pieno per legge, riconosciuta in tutta l’Unione Europea grazie al regolamento eIDAS 910/2014.

In italiano: quando qualcuno ti chiede “la firma digitale”, intende la terza. Le prime due non bastano per atti pubblici, appalti, bilanci o contratti formali.

Chi rilascia la firma digitale e quanto costa

La firma digitale puoi ottenerla solo da un prestatore di servizi fiduciari qualificati, iscritto nell’elenco AgID. Non puoi crearla da solo, non esiste un’app gratuita che la rilasci con valore legale.

I principali gestori in Italia sono:

I prezzi includono il certificato. Per il dispositivo fisico (lettore smart card, token USB) puoi pagare un extra di 10–20 euro se non ce l’hai già. Il rinnovo annuale costa da 10 a 35 euro a seconda del gestore.

Carte alla mano: alcuni ordini professionali e camere di commercio rilasciano o agevolano la firma digitale ai propri iscritti. Chiedi al tuo ordine prima di acquistare.

Come si ottiene la firma digitale: il passo passo

La procedura varia leggermente da gestore a gestore, ma i passaggi fondamentali sono questi.

1. Vai sull’elenco AgID dei prestatori accreditati e scegli il gestore. Considera se preferisci un dispositivo fisico o la firma remota via app.
2. Acquista il kit o registrati al servizio sul sito del gestore. Per la firma remota basta la registrazione online. Per i dispositivi fisici ricevi token o smart card a casa oppure li ritiri allo sportello.
3. Fatti riconoscere. Questo passaggio è obbligatorio per legge. Puoi usare CIE o SPID (riconoscimento immediato), webcam con operatore (20–30 minuti), oppure presentarti di persona. Con CIE o SPID sei operativo nel giro di pochi minuti.
4. Attiva il certificato. Il gestore ti manda un PIN temporaneo. Al primo accesso lo cambi con uno tuo. Tienilo al sicuro: senza PIN non puoi firmare.
5. Installa il software di firma. Ogni gestore fornisce il suo: ArubaSign (Aruba), Dike 6 (InfoCert), FirmaOK (Namirial). Puoi anche usare il portale web del gestore per firmare da browser, senza installare nulla.
6. Firma il tuo primo file. Apri il software, carica il documento, scegli il formato, inserisci il PIN e conferma.

Per la firma remota, al posto del PIN userai un codice OTP (una tantum via SMS o app) o l’autenticazione biometrica dell’app.

Formati di firma: CAdES, PAdES e XAdES

Quando firmi, devi scegliere il formato. Non è solo tecnico: cambia cosa vedi e cosa ottieni come output.

CAdES (CMS Advanced Electronic Signatures) Il documento firmato diventa un file con estensione .p7m. Ad esempio, contratto.pdf firmato in CAdES diventa contratto.pdf.p7m. Funziona con qualsiasi tipo di file: PDF, Word, Excel, immagini. È il formato più usato in Italia per le comunicazioni con la PA e le gare d’appalto.

PAdES (PDF Advanced Electronic Signatures) La firma è incorporata nel PDF. Il file rimane un PDF normale, con in più una firma visibile (o invisibile) dentro. Lo apri con Acrobat Reader e vedi il pannello delle firme. Funziona solo per i PDF. È il formato preferito per i contratti tra privati e per i documenti che devono essere leggibili da chiunque senza software aggiuntivi.

XAdES: si usa per file XML, tipico delle fatture elettroniche. Nella maggior parte dei casi non ti riguarda direttamente.

Regola pratica: se firmi per la PA o per gare d’appalto, usa CAdES. Se firmi un contratto privato in PDF che la controparte deve aprire facilmente, usa PAdES.

Cosa sono i file P7M e come si aprono

Il file .p7m è la “busta” del formato CAdES. Dentro ci sono il documento originale e la firma digitale. Non è un formato corrotto o strano: è proprio così che funziona lo standard.

Per aprire un P7M e leggere il documento dentro hai due strade.

Con software del gestore: Dike 6, ArubaSign, FirmaOK e i software analoghi aprono i P7M, verificano la firma e ti permettono di estrarre il file originale. Sono gratuiti e disponibili per Windows e macOS.

Con il portale Gov.it: il portale di verifica firme di AgID ti permette di caricare un file P7M online e verificarne la firma senza installare nulla. Utile se hai ricevuto un documento firmato da qualcun altro e vuoi controllarne la validità.

Cosa vedi dopo la verifica: nome del firmatario, gestore che ha rilasciato il certificato, data e ora della firma, esito della verifica (firma valida / certificato revocato / certificato scaduto).

La marca temporale: quando serve e perché

La firma digitale certifica chi ha firmato e che il documento non è stato modificato. Ma da sola non certifica quando hai firmato, almeno non in modo opponibile a terzi.

La marca temporale aggiunge un riferimento temporale certificato al documento firmato. In italiano: è la prova che il documento esisteva in quella forma in quel preciso momento.

Quando ti serve:

• Depositi telematici in tribunale
• Gare d’appalto con scadenza precisa
• Archiviazione sostitutiva a lungo termine
• Qualsiasi atto dove la data fa testo

La marca temporale si acquista separatamente o in pacchetti dal gestore di firma. Costa da 1 a 5 euro per singola marca, oppure si compra in pacchetti da 10, 100 o 1000 marche. Molti gestori offrono pacchetti da pochi euro per uso occasionale.

Firma digitale e PA: dove la usi davvero

La firma digitale non è solo per le aziende. Come privato cittadino puoi averne bisogno in questi casi.

Pratiche notarili e immobiliari: atti di compravendita, dichiarazioni sostitutive di atto notorio per alcune procedure telematiche.

Comunicazioni al Registro Imprese: se sei un libero professionista o un imprenditore, molte comunicazioni alla Camera di Commercio richiedono la firma digitale.

Gare d’appalto pubbliche: la partecipazione a procedure telematiche su piattaforme come MePA richiede firma digitale qualificata.

Documenti con la PA online: istanze, ricorsi, domande formali inviate tramite portali istituzionali.

Contratti aziendali: sempre più aziende adottano la firma digitale per contratti di fornitura, accordi commerciali, verbali di assemblea.

Come privato senza attività, potresti non averne bisogno frequentemente. Ma se un ente pubblico o una controparte te la chiede, non hai alternative: le firme semplici o le scansioni non equivalgono a una firma digitale qualificata.

Cosa fare quando la firma non funziona o viene rifiutata

Capita. Il sistema dice che la firma non è valida, o il portale non accetta il tuo file. Ecco i casi più comuni.

Certificato scaduto: se il tuo certificato è scaduto, le nuove firme non hanno valore. Rinnova prima di firmare. Le firme apposte durante la validità rimangono valide.

Certificato revocato: se hai perso il dispositivo o hai richiesto la revoca, il certificato non è più usabile. Richiedi un nuovo certificato al gestore.

Formato sbagliato: alcuni portali accettano solo CAdES, altri solo PAdES. Leggi le specifiche tecniche del portale prima di firmare.

File già firmato da altri: se il documento ha già una firma e provi ad aggiungerne una seconda, alcuni software hanno comportamenti diversi. La controfirma e la firma multipla si gestiscono in modo specifico: consulta il manuale del tuo software.

Software non aggiornato: i driver di smart card e i software di firma vanno tenuti aggiornati. Un aggiornamento mancante può causare errori di lettura del dispositivo.

Chi te lo dice davvero: il servizio clienti del tuo gestore è il primo punto di riferimento per i problemi tecnici. AgID non gestisce l’assistenza agli utenti finali.

Fonti ufficiali

• AgID — Firme elettroniche qualificate: normativa, elenco gestori accreditati, linee guida tecniche
• AgID — Elenco prestatori di servizi fiduciari attivi in Italia: lista aggiornata di chi può rilasciare certificati qualificati
• Normattiva — Regolamento eIDAS 910/2014: il regolamento europeo che definisce le firme elettroniche e il loro valore
• CAD — Codice dell’Amministrazione Digitale (D.Lgs. 82/2005): la norma italiana di riferimento, in particolare artt. 20-37
• Gov.it — Verifica firma digitale: portale ufficiale per verificare la validità di un file firmato digitalmente

Le cose che chiedete più spesso

La firma digitale è uguale alla firma elettronica?

No. La firma digitale è un tipo specifico di firma elettronica qualificata, basata su un certificato rilasciato da un ente accreditato AgID. Tutte le firme digitali sono firme elettroniche, ma non tutte le firme elettroniche sono qualificate. Solo quella qualificata ha valore legale pieno in Italia e nell’UE.

Quanto costa la firma digitale?

Un kit base con smart card o token USB costa tra 25 e 70 euro, di solito per tre anni di validità. Il rinnovo annuale del certificato varia da 10 a 35 euro. La firma remota (senza dispositivo fisico) parte da circa 25 euro per tre anni. Alcuni ordini professionali e camere di commercio la offrono a condizioni agevolate ai propri iscritti.

Posso firmare digitalmente da smartphone?

Sì, con la firma remota. Il certificato è custodito su un server sicuro del gestore. Ogni volta che firmi, autorizzi l’operazione con un codice OTP o l’app del gestore. Non ti serve né smart card né lettore. Tutti i principali gestori hanno un’app dedicata per iOS e Android.

Cos’è il file P7M e come lo apro?

Il P7M è il file che ottieni quando firmi in formato CAdES. Contiene il documento originale e la firma digitale. Per aprirlo usi un software gratuito del tuo gestore (Dike 6, ArubaSign, FirmaOK) oppure carichi il file sul portale di verifica di Gov.it. Word e Acrobat standard non lo aprono.

La firma digitale scade?

Sì. Il certificato ha una durata, di solito tre anni. Quando scade, le firme apposte durante il periodo di validità restano valide. Per firmare nuovi documenti devi rinnovare il certificato. Il gestore ti avvisa in anticipo via email.

Posso usare la firma digitale per i contratti con i privati?

Sì. La firma digitale qualificata ha pieno valore legale anche nei rapporti tra privati. Il punto pratico: la controparte deve avere un software per verificarla. Se accetta il formato digitale, è valida a tutti gli effetti. Se non sa come aprire un P7M, forse è meglio concordare un formato PAdES o affiancare una copia cartacea.

SPID può sostituire la firma digitale?

In parte. Con SPID accedi ai servizi PA e puoi compilare e inviare moduli online. Ma SPID non produce un file firmato con valore legale equivalente alla firma qualificata. Per contratti, gare d’appalto, atti formali o depositi telematici in tribunale, la firma digitale qualificata è necessaria. Sono strumenti diversi, non intercambiabili.

Ultimo aggiornamento: 6 maggio 2026. Aggiornati i prezzi indicativi dei gestori e verificato l’elenco AgID dei prestatori accreditati.