Perché un'API dedicata alla firma elettronica?
Integrare la firma elettronica nel tuo prodotto non è banale. Hai bisogno di garanzie sulla conformità legale (eIDAS), l'affidabilità tecnica (webhook che arrivano davvero) e la sovranità dei dati (hosting europeo per evitare il Cloud Act). L'API Certyneo copre tutti e tre gli aspetti.
Progettata da e per sviluppatori, segue le convenzioni REST moderne: pagination cursor-based, idempotency keys, versioning per URL, OpenAPI 3.1 per generare automaticamente i tuoi client. Niente SOAP, niente XML, niente sorprese.
Conformità eIDAS spiegata per gli sviluppatori
Il regolamento eIDAS definisce tre livelli di firma: semplice (SES), avanzata (AES) e qualificata (QES). L'API Certyneo consente di scegliere il livello per busta tramite il campo `signature_level`. Il valore predefinito è AES (sufficiente per il 95% dei casi B2B). La QES è disponibile per gli atti che richiedono un'equivalenza legale ristretta con la firma manuale manuscritta (atti notarili, appalti pubblici).
Dal punto di vista tecnico, AES richiede una forte autenticazione del firmatario (OTP via SMS per impostazione predefinita, KYC video opzionale) e una pista di audit con timestamp. La QES aggiunge un certificato qualificato emesso da un TSP qualificato UE. Tutto questo è gestito dall'API — chiami l'endpoint e ci occupiamo del resto.
Architettura d'integrazione consigliata
Il pattern d'integrazione più comune segue questo flusso:
- Il tuo backend chiama POST /v1/envelopes per creare la busta e riceve un sign_url da presentare all'utente.
- Reindizzi l'utente verso il sign_url o lo incorpori in un iframe (con il tuo branding tramite il piano Pro).
- Una volta completata la firma, Certyneo chiama il tuo webhook con l'evento envelope.completed.
- Aggiorni il database e notifichi l'utente (email, in-app, ecc.).
Sandbox gratuito illimitato
L'ambiente sandbox è gratuito e illimitato. Tutte le funzionalità di produzione sono disponibili, tranne che le firme non hanno valore legale (il PDF è marcato SANDBOX). Utile per test automatizzati, demo cliente, sviluppo locale. Le chiavi sandbox sono distinte dalle chiavi prod, isolamento totale tra i due.
Migrazione da DocuSign o Yousign
Se dispone già di un'integrazione DocuSign o Yousign, il mapping API è diretto: envelopes → envelopes, recipients → recipients, status webhooks → status webhooks. La nostra guida di migrazione documenta le equivalenze endpoint per endpoint. Conteggi 1-3 giorni per una migrazione completa, molto meno se utilizza un wrapper interno.