Nel mondo della firma elettronica esistono quattro tipologie principali con valore legale differente: Firma Elettronica Semplice (FES), Firma Elettronica Avanzata (FEA), Firma Elettronica Qualificata (FEQ) e Firma Digitale. Capire le differenze è fondamentale per non sbagliare nella scelta del tipo di firma adatto al documento (preventivo, contratto, atto pubblico, lettera d'incarico) e per evitare contestazioni legali. Vediamo punto per punto cosa cambia, riferendoci alla normativa italiana CAD (Codice Amministrazione Digitale, D.Lgs. 82/2005) e al regolamento europeo eIDAS (910/2014).
Il quadro normativo: eIDAS e CAD
Le firme elettroniche in Europa sono regolate dal Regolamento eIDAS 910/2014 (entrato in vigore il 1° luglio 2016), che identifica tre livelli di firma elettronica:
- Firma Elettronica (semplice — FES).
- Firma Elettronica Avanzata (FEA).
- Firma Elettronica Qualificata (FEQ).
In Italia il CAD — Codice dell'Amministrazione Digitale (D.Lgs. 82/2005), modificato e aggiornato più volte, recepisce eIDAS e aggiunge una quarta categoria: la Firma Digitale, che è una particolare forma di Firma Elettronica Qualificata basata su certificati specifici.
1. Firma Elettronica Semplice (FES)
È il livello più basso di firma elettronica. Comprende qualsiasi dato elettronico connesso a un altro dato elettronico per servire come metodo di firma.
Esempi di FES
- Click su "Accetto" sui termini e condizioni di un sito web.
- PIN inserito su un sito di home banking.
- Firma di un'email scritta in fondo al messaggio.
- Firma scannerizzata o disegnata con il mouse su un PDF.
Valore legale FES
La FES non può essere disconosciuta automaticamente in giudizio per il solo fatto di essere elettronica (art. 25 eIDAS), ma il suo valore probatorio è liberamente valutabile dal giudice (art. 20 CAD). In caso di disconoscimento, l'onere della prova è di chi vuole farla valere.
Quando si usa: documenti a basso valore legale, accettazione policy interne, conferme di ricezione.
2. Firma Elettronica Avanzata (FEA)
Salendo di un livello troviamo la FEA. È una firma elettronica con caratteristiche aggiuntive di sicurezza che la rendono più affidabile (eIDAS art. 26):
- È connessa unicamente al firmatario.
- È idonea a identificare il firmatario.
- È creata con dati che il firmatario può, con un alto livello di sicurezza, utilizzare sotto il proprio esclusivo controllo.
- È collegata ai dati firmati in modo da consentire l'identificazione di ogni successiva modifica.
Esempi di FEA
- Firma con tablet grafico (Wacom) usando metodi biometrici (pressione, ritmo, dinamica).
- Firma con OTP via SMS dove il numero di cellulare è univoco e verificato.
- Firma generata via app mobile con autenticazione forte.
Valore legale FEA
La FEA ha lo stesso valore della firma autografa per la maggior parte dei contratti privati (art. 20 comma 1-bis CAD). È sufficiente per: contratti commerciali, preventivi accettati, ordini, lettere d'incarico, NDA, lettere di assunzione, contratti di collaborazione, accettazioni policy aziendali.
Limiti: non è valida per gli atti elencati nel punto 1 dell'art. 1350 c.c. (atti pubblici, donazioni, contratti immobiliari, convenzioni matrimoniali). Per quelli serve la FEQ o la firma autografa autenticata.
3. Firma Elettronica Qualificata (FEQ)
È una FEA "potenziata" basata su:
- Un certificato qualificato rilasciato da un prestatore di servizi fiduciari qualificato (in Italia: Aruba, InfoCert, Namirial, Poste, Trust Technologies, Intesa, ecc.).
- Un dispositivo qualificato per la creazione della firma (smart card, token USB, HSM remoto).
Esempi di FEQ
- Firma con smart card e PIN su contratto online.
- Firma con OTP da app del fornitore di firma remota (ArubaSign, GoSign, ecc.).
- Firma cloud HSM con certificato qualificato.
Valore legale FEQ
La FEQ ha lo stesso valore della firma autografa per qualsiasi tipo di documento, inclusi quelli per cui la FEA non basta. È inoltre riconosciuta automaticamente in tutti i 27 paesi UE grazie a eIDAS.
4. Firma Digitale
La firma digitale italiana è una particolare forma di FEQ basata su un sistema di crittografia asimmetrica (chiave pubblica e privata) certificato dall'AgID (Agenzia per l'Italia Digitale). È storicamente lo standard italiano da prima di eIDAS (D.Lgs. 82/2005 art. 24).
Tutte le firme digitali italiane sono FEQ, ma non tutte le FEQ sono firme digitali (es. una FEQ rilasciata da un prestatore tedesco non è "firma digitale" italiana ma è comunque pienamente valida).
Tabella di sintesi: FES vs FEA vs FEQ vs Firma Digitale
| Caratteristica | FES | FEA | FEQ | Firma Digitale |
|---|---|---|---|---|
| Identificazione firmatario | Debole | Forte | Forte certificata | Forte certificata |
| Valore legale autografa | Limitato | Sì (la maggior parte) | Sì (tutto) | Sì (tutto) |
| Atti immobiliari | No | No | Sì | Sì |
| Hardware richiesto | No | No | Smart card / token | Smart card / token |
| UX firmatario | Click | OTP/biometria | PIN + dispositivo | PIN + dispositivo |
| Costo per firmatario | €0 | ~€0,03 (SMS OTP) | €20-50/anno | €20-50/anno |
Quale firma scegliere per la tua azienda
Per la maggior parte dei documenti commerciali B2B (preventivi, contratti commerciali, ordini, lettere d'incarico, NDA, accettazioni di policy), la FEA è la scelta ottimale:
- Stesso valore legale della firma autografa per la quasi totalità dei contratti privati.
- UX immediata: il cliente firma online dal browser senza installare nulla.
- Costo bassissimo: 30 €/mese aziendali per la piattaforma + ~0,03 € per SMS OTP.
- Conformità a CAD ed eIDAS.
La FEQ/Firma Digitale serve solo per:
- Atti pubblici, contratti immobiliari, atti notarili.
- Documenti per la PA (gare d'appalto, comunicazioni alla PA).
- Bilanci e dichiarazioni fiscali.
- Aziende con esigenze cross-border in UE certificate.
La FES resta utile per accettazioni di policy interne, conferme operative, registrazioni utente — qualsiasi cosa a basso impatto legale.
FEA con OTP SMS: come funziona in pratica
La modalità di FEA più diffusa nelle PMI italiane è quella basata su OTP via SMS:
- L'azienda genera il documento PDF (es. preventivo, contratto).
- Invia al firmatario un link sicuro monouso (es.
/firma/{token}). - Il firmatario apre il link, riceve un OTP a 6 cifre via SMS al cellulare verificato.
- Inserisce l'OTP, posiziona la firma sul PDF, invia.
- Il sistema genera il PDF firmato con timestamp, IP, OTP usato — audit trail completo.
Il modulo Firma FEA di Processi.Cloud implementa esattamente questo flusso, integrato nativamente con preventivi, contratti commerciali e task del CRM. La verifica identità avviene tramite OpenAPI Gateway SMS, l'OTP ha validità 5 minuti e massimo 5 tentativi. Il documento firmato torna automaticamente nel CRM con audit trail completo.
Errori comuni nella scelta della firma
- Usare FES per documenti ad alto valore: in caso di disconoscimento, il valore probatorio è debole. Risultato: contratto di fatto inefficace.
- Usare FEQ per tutto: paghi 20-50 €/anno per firmatario senza beneficio rispetto a FEA per la maggior parte dei contratti.
- Non conservare l'audit trail: la firma elettronica vale solo se accompagnata dalle prove di chi-quando-come ha firmato.
- Scrollare l'identificazione: se il numero di cellulare per OTP non è verificato, la FEA può essere contestata.
Approfondisci anche la nostra guida sulle obblighi documentali Industria 4.0 dove la firma digitale dei verbali è un requisito chiave.
Contattaci per attivare la firma FEA integrata nel CRM Processi.Cloud per i tuoi documenti commerciali.
