Firma digitale: esempio pratico, come funziona e come verificarla

Ogni giorno milioni di professionisti italiani firmano contratti, bilanci e atti ufficiali con un clic. Solo nel primo semestre 2025, in Italia sono state apposte 3,4 miliardi di firme digitali remote: un volume che dice molto su quanto questo strumento sia ormai parte del lavoro quotidiano di avvocati, commercialisti e imprese. Eppure, chi cerca un firma digitale esempio concreto si scontra spesso con spiegazioni astratte, schermate mai mostrate e confusione tra concetti diversi.

Il problema sta nella distanza tra uso quotidiano e comprensione reale. Molti confondono ancora la firma digitale con l'immagine scannerizzata di una firma autografa incollata su un PDF. Altri non distinguono tra una firma elettronica semplice e una firma digitale con pieno valore legale. La conseguenza: documenti firmati in modo scorretto, contestazioni in tribunale, rischi di invalidità.

La firma digitale è un meccanismo crittografico basato su una coppia di chiavi asimmetriche. Garantisce autenticità (certezza sull'identità del firmatario), integrità (il documento non è stato alterato dopo la firma) e non ripudio (il firmatario non può negare di aver firmato). In questa guida vediamo come funziona il processo nella pratica, come appare un documento firmato e come verificarne la validità con gli strumenti ufficiali.

Cos'è la firma digitale e perché non è una firma scannerizzata

La firma digitale è un tipo specifico di firma elettronica che utilizza un certificato digitale rilasciato da un ente accreditato e un sistema di crittografia a chiave pubblica per garantire valore legale equivalente alla firma autografa. Non ha nulla a che fare con l'immagine di una firma incollata su un documento.

Il Codice dell'Amministrazione Digitale (D.Lgs. 82/2005, Art. 1, lettera s) la descrive come "un particolare tipo di firma elettronica avanzata basata su un certificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro". Una definizione che separa nettamente la firma digitale da qualsiasi forma di riproduzione grafica. Un'immagine scannerizzata non contiene informazione crittografica, non lega il firmatario al documento in modo univoco e non garantisce che il contenuto sia rimasto invariato dopo l'apposizione. In tribunale, un documento con una firma scannerizzata ha la stessa forza probatoria di una fotocopia: praticamente nulla in caso di contestazione (AgID, dati I semestre 2025).

La differenza tra firma elettronica semplice, avanzata e digitale

Il regolamento europeo eIDAS (UE 910/2014) definisce tre livelli di firma elettronica, ciascuno con requisiti tecnici e valore giuridico crescenti.

La firma elettronica semplice comprende qualsiasi dato in forma elettronica associato ad altri dati per l'autenticazione: un PIN, una spunta su un form online, persino un indirizzo email. Ha valore probatorio limitato e la sua efficacia dipende dalla valutazione del giudice caso per caso.

La firma elettronica avanzata (Art. 26 eIDAS) deve soddisfare requisiti più stringenti: connessione univoca al firmatario, possibilità di identificarlo, creazione con dati sotto il suo esclusivo controllo e capacità di rilevare qualsiasi modifica successiva al documento.

La firma digitale è il livello più alto previsto dall'ordinamento italiano. Si basa su un certificato digitale rilasciato da un prestatore di servizi fiduciari accreditato AgID e su un sistema di crittografia asimmetrica. Ai sensi degli Art. 20 e 21 del CAD, un documento informatico sottoscritto con firma digitale ha l'efficacia prevista dall'articolo 2702 del Codice Civile: fa piena prova fino a querela di falso.

Il quadro normativo: eIDAS e Codice dell'Amministrazione Digitale

Due pilastri normativi regolano la firma digitale in Italia. Il regolamento eIDAS (Art. 25) stabilisce che una firma elettronica avanzata basata su un certificato ha effetti giuridici equivalenti alla firma autografa in tutti gli Stati membri dell'Unione Europea. Il CAD (D.Lgs. 82/2005) recepisce e integra questo quadro nell'ordinamento italiano, definendo i requisiti tecnici, il ruolo di AgID come autorità di vigilanza e le regole per i prestatori di servizi fiduciari.

Dal marzo 2025 l'obbligo si è esteso ulteriormente: non è più possibile delegare a terzi la firma per il deposito dei bilanci aziendali, il che rende la firma digitale personale indispensabile per amministratori e professionisti coinvolti (Aruba Magazine).

Le categorie professionali con obbligo di firma digitale sono ormai numerose: avvocati (per il Processo Civile Telematico), commercialisti (bilanci e comunicazioni con Agenzia delle Entrate), consulenti del lavoro (pratiche INPS e INAIL), architetti e ingegneri (pratiche edilizie), medici e funzionari della Pubblica Amministrazione.

Come funziona la firma digitale: il processo tecnico spiegato in modo semplice

La firma digitale poggia su tre elementi tecnici che lavorano insieme: la crittografia asimmetrica genera la firma, il certificato digitale la lega all'identità del firmatario, l'hash garantisce che il documento non venga alterato dopo la sottoscrizione.

Alla base c'è un principio matematico chiamato crittografia asimmetrica, sviluppato negli anni '70. Il concetto: esistono due chiavi crittografiche, matematicamente correlate ma non derivabili l'una dall'altra. Il firmatario possiede una chiave privata, custodita in un dispositivo sicuro (smart card, token USB o server remoto HSM). La chiave pubblica è contenuta nel certificato digitale e accessibile a chiunque debba verificare la firma. Secondo i dati AgID, circa l'80% delle firme digitali in Italia avviene in modalità remota, con la chiave privata custodita su server HSM e l'autenticazione dell'utente via OTP o app (AgID, dati I semestre 2025).

Crittografia asimmetrica: chiave pubblica e chiave privata

Quando un professionista firma un documento, il software calcola prima un'impronta digitale univoca del file (il cosiddetto hash: una stringa alfanumerica di lunghezza fissa). Poi cifra questo hash con la chiave privata del firmatario. Il risultato è la firma digitale vera e propria, un blocco di dati che viene allegato al documento o incorporato al suo interno.

Chi riceve il documento può verificare la firma usando la chiave pubblica del firmatario. Se la decifratura produce lo stesso hash del documento ricevuto, la verifica conferma due cose: il documento non è stato modificato e la firma appartiene alla persona che possiede la chiave privata corrispondente.

Il ruolo del certificato digitale e dell'autorità di certificazione

Il certificato digitale è il documento elettronico che lega la chiave pubblica all'identità del firmatario. Lo rilascia un prestatore di servizi fiduciari (Certification Authority) accreditato presso AgID, dopo un processo di identificazione del richiedente.

Al suo interno contiene: nome e cognome del titolare, codice fiscale, chiave pubblica, periodo di validità, nome dell'ente certificatore. In Italia sono attivi 32,7 milioni di certificati digitali secondo i dati AgID del primo semestre 2025, un numero che supera la metà della popolazione adulta del Paese.

Hash, sigillo temporale e integrità del documento

L'hash è la garanzia di integrità. Qualsiasi modifica al documento, anche un singolo carattere, produce un hash completamente diverso. Basta questo per rendere immediatamente rilevabile qualsiasi tentativo di alterazione post-firma.

La marca temporale aggiunge un altro livello di certezza: attesta il momento esatto in cui la firma è stata apposta, con valore legale opponibile a terzi. Nel primo semestre 2025, in Italia sono state emesse 2,5 miliardi di marche temporali. Firma digitale e marca temporale insieme creano un documento la cui integrità, paternità e collocazione nel tempo sono giuridicamente garantite.

Firma digitale esempio: come appare su un PDF e come riconoscerla

Un documento PDF firmato digitalmente si presenta in modo diverso a seconda del formato di firma scelto. Nel caso più comune (formato PAdES), il PDF mantiene la sua estensione .pdf e si apre con qualsiasi lettore. La differenza visibile sta in un pannello laterale o in una barra superiore che segnala la presenza di una o più firme digitali.

Adobe Acrobat Reader, per fare un esempio pratico, mostra una barra blu o verde nella parte alta del documento con la dicitura "Firmato e tutte le firme sono valide", oppure un avviso se la firma presenta problemi. Cliccando sul pannello delle firme si accede ai dettagli: nome del firmatario, data e ora, autorità di certificazione, stato di validità del certificato. Questo aspetto distingue nettamente la firma digitale dal sigillo elettronico: la firma identifica una persona fisica, il sigillo identifica un'organizzazione (AgID, software di verifica).

Come si presenta un documento PDF firmato digitalmente

Nel formato PAdES il firmatario può scegliere di inserire anche un campo firma visibile nel corpo del documento: un riquadro che mostra nome, data e un'indicazione grafica. Questo campo visibile è opzionale e non ha valore legale aggiuntivo rispetto alla firma crittografica sottostante. La firma vera risiede nei metadati del PDF, non nell'immagine.

Nel formato CAdES il risultato è diverso. Il documento originale viene inserito in una "busta crittografica" e il file risultante ha estensione .p7m. Per aprirlo serve un software specifico (Dike, ArubaSign o il verificatore AgID). Il file .p7m contiene sia il documento originale sia la firma, ma non è leggibile con un normale lettore PDF.

I formati di firma: CAdES (.p7m), PAdES (PDF), XAdES (XML)

In Europa la firma digitale si articola in tre formati standard. La scelta del formato dipende dal contesto d'uso, ma tutti hanno pieno valore legale. La Corte di Cassazione ha confermato nel 2018 che CAdES e PAdES sono giuridicamente equivalenti.

Formato	Estensione	Tipo file	Firma visibile	Uso principale
CAdES	.p7m	Qualsiasi (busta crittografica)	No	PA, atti giudiziari
PAdES	.pdf	Solo PDF	Sì (opzionale)	Contratti, uso quotidiano
XAdES	.xml	Solo XML	No	Fatture elettroniche

CAdES (CMS Advanced Electronic Signatures) racchiude il documento in una busta crittografica con estensione .p7m. Funziona con qualsiasi tipo di file, non solo PDF, ed è il formato tradizionalmente richiesto dalla Pubblica Amministrazione e per gli atti giudiziari nel Processo Civile Telematico.

PAdES (PDF Advanced Electronic Signatures) è il formato che la maggior parte dei professionisti usa ogni giorno. La firma viene integrata direttamente nel file PDF, che resta apribile con qualsiasi lettore senza software aggiuntivi. Contratti, preventivi, documenti commerciali: PAdES gestisce tutto, e consente anche firme multiple sullo stesso documento senza generare file separati.

XAdES (XML Advanced Electronic Signatures) ha un ambito più circoscritto: documenti XML, in pratica fatturazione elettronica e scambio di dati strutturati con la Pubblica Amministrazione.

Come verificare la validità di una firma digitale

Verificare una firma digitale significa controllare che il certificato del firmatario sia valido (non scaduto e non revocato), che sia stato rilasciato da un ente accreditato AgID e che il documento non sia stato modificato dopo la firma. Con gli strumenti giusti, bastano pochi secondi.

La verifica non è un passaggio facoltativo. In contesti professionali e legali, un documento firmato digitalmente ha valore solo se la firma risulta valida al momento in cui viene verificata. Certificato scaduto o revocato, documento alterato dopo la firma, certificato rilasciato da un ente non accreditato: ognuna di queste condizioni può invalidare l'intero documento. Saper verificare una firma digitale è altrettanto necessario quanto saperla apporre. E con un mercato europeo che secondo Fortune Business Insights passerà da 1,97 miliardi di dollari nel 2024 a 26,80 miliardi entro il 2032 (CAGR del 38,8%), i volumi da gestire sono destinati a crescere parecchio.

I validatori ufficiali: AgID, strumenti eIDAS e software dedicati

AgID mette a disposizione un elenco di software di verifica conformi alla normativa italiana. Tra i più utilizzati: Dike (InfoCert), ArubaSign e FirmaOK.

A livello europeo, la Commissione Europea ha sviluppato DSS (Digital Signature Service), un software open source che verifica firme digitali conformi a eIDAS in qualsiasi formato (CAdES, PAdES, XAdES). È lo strumento di riferimento per la verifica transfrontaliera tra Stati membri.

Per chi preferisce una soluzione online senza installare nulla, Verificafirma.it consente di caricare un file firmato e ottenere un report immediato.

Cosa controllare: certificato, marca temporale, integrità

Una verifica completa copre più aspetti, e conviene conoscerli tutti.

Il certificato del firmatario deve risultare valido: non scaduto, non sospeso, non revocato. Il software di verifica controlla automaticamente le liste di revoca (CRL) o il protocollo OCSP dell'autorità di certificazione. Se il certificato è stato revocato anche solo un'ora prima della verifica, la firma non è più valida.

Poi c'è la marca temporale. Se presente, attesta il momento della firma con valore opponibile a terzi. Diventa particolarmente rilevante quando il certificato scade dopo la firma: se la marca temporale è stata apposta quando il certificato era ancora valido, il documento mantiene il suo valore legale anche a distanza di anni.

L'integrità, infine, si verifica ricalcolando l'hash del file e confrontandolo con quello contenuto nella firma. Hash identici: documento integro. Hash diversi, anche di un singolo bit: verifica fallita.

Come la certificazione documentale completa il processo di firma digitale

La certificazione documentale è il passaggio che trasforma un documento firmato in una prova con pieno valore probatorio. TrueScreen è la Data Authenticity Platform che integra la firma digitale nel proprio workflow di certificazione, combinando l'autenticazione del firmatario (via OTP SMS o verifica biometrica video) con l'apposizione automatica di marca temporale e sigillo digitale. Il risultato è un documento acquisito, certificato e reso immodificabile fin dall'origine, con metadati verificabili che attestano l'intera catena di custodia. Un approccio pensato per professionisti e aziende che devono produrre prove digitali ammissibili in giudizio, non semplici documenti firmati.

Firma digitale integrata nel workflow di certificazione

Il processo con TrueScreen segue una sequenza precisa. L'utente carica il documento sulla piattaforma. Il sistema autentica l'identità del firmatario attraverso OTP via SMS o verifica biometrica video, conforme ai requisiti eIDAS e AgID. Viene apposta la firma digitale. TrueScreen aggiunge automaticamente marca temporale e sigillo digitale, rendendo il documento immodificabile e verificabile nel tempo.

Questa integrazione risolve un problema frequente nella gestione dei documenti firmati: la separazione tra l'atto di firma e la garanzia di integrità successiva. Un documento firmato digitalmente può essere copiato, spostato, rinominato senza che nessuno se ne accorga. La certificazione forense aggiunge il livello di prova che lega il documento al suo contesto originale.

Dalla firma alla prova con valore probatorio completo

La differenza tra un documento semplicemente firmato e un documento certificato sta nella profondità della garanzia. La firma digitale attesta chi ha firmato e che il contenuto non è cambiato. La certificazione aggiunge quando è stato firmato (marca temporale opponibile a terzi), in quale contesto (metadati del dispositivo, geolocalizzazione, parametri di acquisizione) e che l'intero processo è tracciabile.

Per studi legali e professionisti che operano in contesti contenziosi, questa differenza pesa. Un contratto firmato digitalmente dimostra il consenso delle parti. Lo stesso contratto, firmato e certificato con provenienza digitale, dimostra anche che il documento esisteva in quella forma esatta in quel momento preciso, senza possibilità di retrodatazione o alterazione.

FAQ: Firma digitale esempio e verifica

Come si riconosce un documento firmato digitalmente?

Un documento firmato in formato PAdES (.pdf) mostra un pannello firme nel lettore PDF con i dettagli del firmatario e lo stato di validità. Un file in formato CAdES ha estensione .p7m e richiede un software specifico per l'apertura. In entrambi i casi, il software di verifica mostra il nome del firmatario, l'autorità di certificazione e la data della firma.

Quali sono i tre tipi di firma digitale?

Il regolamento eIDAS distingue tre livelli: firma elettronica semplice (PIN, email, spunta online), firma elettronica avanzata (connessione univoca al firmatario con rilevamento delle modifiche) e firma digitale (basata su certificato digitale e crittografia asimmetrica, con pieno valore legale equivalente alla firma autografa ai sensi del CAD).

Che differenza c'è tra PAdES e CAdES?

PAdES integra la firma nel file PDF, che resta apribile con qualsiasi lettore. CAdES crea una busta crittografica con estensione .p7m che contiene il documento e la firma, apribile solo con software dedicati. Entrambi i formati hanno pieno valore legale equivalente, come confermato dalla Corte di Cassazione nel 2018.

La firma digitale è visibile su un documento?

Dipende dal formato. Nel formato PAdES, il firmatario può inserire un campo firma visibile nel corpo del PDF, ma è opzionale. La firma crittografica risiede nei metadati del file, non in un elemento grafico. Nel formato CAdES, la firma non è mai visibile perché il documento è racchiuso in una busta crittografica.

Come verificare che una firma digitale è valida?

Serve un software di verifica accreditato AgID (Dike o ArubaSign, ad esempio) oppure il servizio online Verificafirma.it. Il software controlla automaticamente validità del certificato (non scaduto, non revocato), integrità del documento (hash corrispondente) e accreditamento dell'ente certificatore presso AgID.

Proteggi i tuoi documenti con la certificazione TrueScreen

Firma digitale integrata, marca temporale e sigillo: ogni documento acquisisce valore probatorio completo.

Richiedi una demo