Firma grafometrica nel 2026: è ancora valida davanti al giudice e quando conviene adottarla
Tra il 2015 e il 2020 la firma grafometrica veniva presentata come la firma "naturale" del mondo digitale: si firma con una penna su un tablet, il gesto è quello di sempre, e banche, catene retail, studi notarili e strutture sanitarie l'hanno adottata per dematerializzare contratti e consensi allo sportello. Il messaggio suonava rassicurante: stessa esperienza della carta, stesso valore legale.
Nei tribunali le cose sono andate in modo un po' diverso. Molte implementazioni raccolgono il tratto grafico ma non rispettano i requisiti tecnici che danno alla firma grafometrica il suo valore legale come firma elettronica avanzata (FEA), e quando il firmatario disconosce la sottoscrizione la difesa in giudizio si fa complicata e costosa. Da qui la domanda che nel 2026 aziende e professionisti continuano a porsi: la firma grafometrica ha davvero valore legale, e in quali casi conviene ancora usarla?
Sì, la firma grafometrica ha valore legale ed è una FEA a norma di CAD ed eIDAS, ma solo se rispetta requisiti tecnici precisi. Non gode dell'inversione dell'onere della prova propria della firma digitale: in caso di contenzioso, dimostrare l'autenticità tocca a chi la vuole far valere.
Questo approfondimento fa parte della guida: firma elettronica avanzata secondo eIDAS
Che cos'è la firma grafometrica e perché è una FEA
La firma grafometrica è una firma elettronica avanzata. Secondo l'art. 26 del Regolamento eIDAS (UE 910/2014) una FEA è connessa unicamente al firmatario, ne consente l'identificazione, viene creata con dati che il firmatario usa sotto il proprio controllo esclusivo ed è collegata al documento in modo da rilevare ogni modifica successiva. La differenza rispetto a una firma elettronica semplice sta nei parametri biometrici del gesto, che vengono catturati e legati al documento firmato.
L'art. 20, comma 1-bis del CAD (D.Lgs. 82/2005) stabilisce che un documento informatico sottoscritto con FEA soddisfa il requisito della forma scritta e ha l'efficacia probatoria dell'art. 2702 del Codice civile. C'è però un limite di perimetro. Per gli atti dell'art. 1350 c.c. numeri da 1 a 12, come le compravendite immobiliari, serve la firma digitale, mentre la FEA copre la generalità degli altri contratti. La firma grafometrica, quindi, va bene per la stragrande maggioranza dei documenti aziendali ma non per gli atti immobiliari.
I requisiti tecnici che la rendono valida
Perché una firma grafometrica sia una FEA valida, l'art. 56 del DPCM 22/02/2013 richiede quattro condizioni: l'identificazione del firmatario, la connessione univoca della firma al firmatario, il controllo esclusivo del firmatario sul sistema di firma (compresi i dati biometrici) e la verificabilità dell'integrità del documento. Sul piano pratico questo distingue un'implementazione solida da una fragile.
I parametri biometrici raccolti sono la pressione, la velocità, l'accelerazione, l'angolo di inclinazione e il ritmo del tratto. Questo dato biometrico deve essere cifrato e protetto con un meccanismo di key escrow, cioè affidato a un terzo fiduciario e decifrabile solo in contraddittorio giudiziale: il Garante Privacy, nel provvedimento del 12/11/2014, ha escluso la conservazione del dato grezzo e la costituzione di banche dati centralizzate. Il dato biometrico va poi associato in modo indissolubile all'hash del documento, e il tutto viene sigillato con la firma del certificatore (o firma di processo), che segue un certificato di processo conforme alle indicazioni AgID. Serve infine hardware adeguato: un tablet con penna attiva, non un generico gesto del dito su schermo capacitivo, altrimenti i parametri raccolti non hanno consistenza.
Quando la firma grafometrica viene disconosciuta in giudizio
Qui sta il punto debole. La firma grafometrica fa piena prova finché è riconosciuta, ma se il presunto firmatario la disconosce l'equilibrio processuale si ribalta. Il Tribunale di Ferrara, con sentenza del 28/09/2020, ha chiarito che alla firma grafometrica si applicano le stesse regole della firma autografa: fa piena prova ex art. 2702 c.c. se riconosciuta, ma in caso di disconoscimento (artt. 214-216 c.p.c.) chi vuole avvalersene deve promuovere il procedimento di verificazione previsto dall'art. 216 c.p.c.
È una differenza sostanziale rispetto alla firma digitale, che a norma dell'art. 21, comma 2 del CAD si presume riconducibile al titolare salvo prova contraria, e sposta quindi l'onere su chi contesta. Con la grafometrica succede l'opposto: provare l'autenticità grava su chi la fa valere, e la verificazione passa da una consulenza tecnica d'ufficio (CTU) grafologica, spesso costosa e dall'esito incerto. La Cassazione (sez. III, ord. 2777 del 04/02/2025) ha inoltre osservato che una perizia grafologica condotta su copia produce solo elementi indiziari e non piena prova: un motivo in più per non trascurare la corretta conservazione del dato biometrico originale.
Firma grafometrica o firma con OTP certificata: quando conviene l'una o l'altra
La scelta dipende dal contesto d'uso e da quanto si teme un eventuale contenzioso. Entrambe sono FEA, ma reggono in modo diverso quando la sottoscrizione viene contestata: la grafometrica gioca la carta della "prossimità" alla firma autografa in presenza, l'OTP certificata quella di una difesa costruita su un tracciato di controllo invece che su una perizia grafologica.
| Criterio | Firma grafometrica | Firma con OTP certificata |
|---|---|---|
| Natura giuridica | FEA | FEA |
| Hardware necessario | Tablet con penna attiva | Nessuno (smartphone del firmatario) |
| Dato biometrico | Sì (dato particolare art. 9 GDPR) | No |
| Onere di conformità | Alto (cifratura, key escrow, consenso privacy) | Basso |
| Prova in caso di disconoscimento | CTU grafologica, costosa e incerta | Tracciato di controllo (marca temporale, IP, device, log) |
| Contesto ideale | Sportello in presenza, banca, retail | Firma da remoto, alta scalabilità |
La grafometrica conviene quando si firma fisicamente allo sportello e l'esperienza "penna su carta" è un valore per il cliente, come accade in molti scenari bancari e retail. Diventa poco pratica quando il rischio di contenzioso è alto, quando gestire i dati biometrici (dati particolari ai sensi dell'art. 9 GDPR, con consenso esplicito e informativa dedicata) pesa più del beneficio, oppure quando serve firmare da remoto su larga scala. In questi casi una FEA basata su OTP, appoggiata a un tracciato di controllo solido, tende a difendersi meglio in giudizio.
Certificare la sottoscrizione alla fonte: l'approccio TrueScreen
C'è un modo per aggirare la fragilità probatoria della firma grafometrica: certificare il momento della sottoscrizione alla fonte, senza raccogliere dati biometrici. A differenza della firma grafometrica, che tratta dati biometrici particolari e richiede hardware dedicato, TrueScreen certifica il documento alla fonte tramite hash e marca temporale qualificata, senza raccogliere alcun dato biometrico. Ne esce una sottoscrizione elettronica certificata e verificabile, difendibile con un tracciato tecnico invece che con una perizia calligrafica.
TrueScreen non è un prestatore di servizi fiduciari qualificato: si integra con i QTSP accreditati per apporre sigillo elettronico e marca temporale qualificata, offrendo una sottoscrizione elettronica certificata e verificabile senza costituire archivi di dati biometrici. La sottoscrizione avviene tramite Document Signing e TrueLink, mentre l'integrità del documento resta ancorata al legame tra hash e marca temporale qualificata: chiunque può verificare che il file non sia stato toccato dopo la firma. È un approccio complementare a quanto descritto nella guida sulla firma elettronica avanzata, e si aggancia alla differenza tra sigillo elettronico e firma digitale: il sigillo certifica l'integrità del contenuto, la firma esprime la volontà di chi sottoscrive.
Per capire nel dettaglio cosa provano l'hash e la datazione certa, è utile la lettura su marca temporale e firma digitale: cosa prova ciascuna.

