Glossario della firma elettronica

109 termini chiave per padroneggiare la firma elettronica, la crittografia e la conformità eIDAS.

Aggiornato il 12 maggio 2026.

Glossaire signature électronique — références et définitions

A

glossaryTerms.acte-authentique-electronique.term: glossaryTerms.acte-authentique-electronique.definition
AES (Firma Elettronica Avanzata): La firma elettronica avanzata (AES, Advanced Electronic Signature) è il secondo livello definito dal regolamento eIDAS. Deve essere univocamente collegata al firmatario, consentirne l'identificazione, essere creata con dati sotto il suo esclusivo controllo e rendere rilevabile qualsiasi modifica successiva del documento. In pratica, Certyneo la implementa tramite autenticazione forte (email + OTP SMS) e una traccia di audit con marca temporale. Comprendere i livelli di firma →
glossaryTerms.api-rest-signature.term: glossaryTerms.api-rest-signature.definition
Archiviazione elettronica: L'archiviazione elettronica designa la conservazione a lungo termine di documenti digitali in condizioni che ne garantiscano l'integrità, la leggibilità e il valore probatorio. Un sistema di archiviazione a valore probatorio consente di conservare i documenti firmati e le relative tracce di audit per molti anni, anche decenni. Su Certyneo, le buste firmate sono conservate per 10 anni in conformità ai requisiti di legge.
Autenticazione: L'autenticazione è il processo che consente di verificare l'identità di un utente o di un sistema prima di concedergli l'accesso a un servizio o di autorizzare l'apposizione di una firma elettronica. Può essere semplice (solo password), forte (multi-fattore) o biometrica. La robustezza dell'autenticazione determina direttamente il livello di firma raggiungibile: una AES richiede almeno due fattori distinti.
Autenticazione forte: L'autenticazione forte (o multi-fattore, MFA) richiede la presentazione di almeno due prove di identità distinte per verificare l'identità di un utente. Nel contesto della firma elettronica avanzata (AES), avviene tipicamente tramite una combinazione email + OTP SMS, rafforzando il legame tra il documento firmato e il suo autore. È uno dei requisiti stabiliti dal regolamento eIDAS per le firme di livello avanzato.
Autorità di certificazione (CA): Un'autorità di certificazione (CA, Certificate Authority) è un organismo di fiducia che emette certificati elettronici X.509 che collegano una chiave pubblica all'identità del suo titolare. Le CA qualificate sono supervisionate da autorità nazionali (ANSSI in Francia) e iscritte nell'elenco di fiducia dell'UE. Costituiscono il pilastro della PKI e della catena di fiducia delle firme qualificate.

B

Bearer token: Un bearer token è un token di accesso API che conferisce al portatore il diritto di accedere a risorse protette senza ulteriore verifica. Viene trasmesso nell'intestazione HTTP Authorization: Bearer <token>. L'API REST di Certyneo utilizza i bearer token per autenticare le chiamate programmatiche: creazione di buste, interrogazione dello stato, download di documenti firmati. Questi token devono essere tenuti segreti (mai esposti lato client) e rinnovati regolarmente.
Biometria: La biometria raggruppa le tecniche di identificazione di una persona basate sulle sue caratteristiche fisiche o comportamentali (impronta digitale, riconoscimento facciale, tracciato manoscritto, voce). Nella firma elettronica, una firma biometrica può catturare il tracciato manoscritto su schermo touch (velocità, pressione, angolo) per creare un collegamento diretto tra il firmatario e il suo consenso. Ai sensi di eIDAS, la sola biometria non è sufficiente per raggiungere il livello avanzato (AES): deve essere combinata con una autenticazione forte. I dati biometrici sono considerati sensibili ai sensi del GDPR e il loro trattamento richiede il consenso esplicito.
glossaryTerms.blockchain-notarisation.term: glossaryTerms.blockchain-notarisation.definition

C

Sigillo elettronico: Il sigillo elettronico è l'equivalente della firma elettronica per le persone giuridiche (aziende, amministrazioni). Garantisce l'origine e l'integrità di un documento emesso a nome di un'organizzazione senza coinvolgere un firmatario umano identificato. Il regolamento eIDAS riconosce i sigilli elettronici semplici, avanzati e qualificati, allo stesso titolo delle firme.
Lucchetto SSL / TLS: Il lucchetto SSL/TLS è l'indicatore visivo mostrato dal browser (icona del lucchetto nella barra degli indirizzi) che conferma che è stata stabilita una connessione cifrata TLS tra il browser e il server. Attesta che i dati scambiati (documenti, codici OTP, credenziali) non possono essere intercettati in chiaro. Certyneo impone TLS 1.3 su tutti i suoi endpoint, rendendo il lucchetto visibile su tutte le pagine di firma.
Certificato elettronico: Un certificato elettronico è un file digitale rilasciato da un'autorità di certificazione (CA) che associa una chiave pubblica all'identità del suo titolare. Costituisce il fondamento della PKI e consente di verificare l'autenticità e l'integrità di una firma digitale. La validità di un certificato è limitata nel tempo e può essere revocata in caso di compromissione.
Certificato qualificato: Un certificato qualificato è un certificato elettronico rilasciato da un prestatore di servizi fiduciari qualificato iscritto nell'elenco di fiducia di uno Stato membro dell'UE. È obbligatorio per emettere firme qualificate (QES) ai sensi del regolamento eIDAS. Il suo livello di garanzia è il più elevato riconosciuto nell'UE.
glossaryTerms.certificat-racine.term: glossaryTerms.certificat-racine.definition
Cifratura: La cifratura è il processo di trasformazione di un messaggio leggibile in un formato illeggibile (testo cifrato) mediante un algoritmo e una chiave segreta. Protegge la riservatezza dei dati in transito e a riposo, e complementa l'hashing utilizzato per garantire l'integrità nella firma. Certyneo utilizza TLS 1.3 per cifrare tutte le comunicazioni tra il browser e i server.
Cifratura a riposo (encryption at rest): La cifratura a riposo designa la protezione dei dati archiviati tramite cifratura, in modo che siano illeggibili senza la chiave di decifratura, anche in caso di accesso fisico o logico non autorizzato al supporto di archiviazione. Certyneo cifra i documenti e le relative tracce di audit a riposo (AES-256) sulla sua infrastruttura ospitata in Germania, conformemente ai requisiti del GDPR.
CLM (Gestione del ciclo di vita dei contratti): Il CLM (Contract Lifecycle Management) designa l'insieme dei processi e degli strumenti che coprono il ciclo di vita completo di un contratto: redazione, negoziazione, approvazione interna, firma elettronica, archiviazione e rinnovo. Una soluzione CLM centralizza i contratti in un unico repository con avvisi di scadenza, flussi di approvazione e report sull'esposizione contrattuale. Certyneo copre la fase di firma e può essere integrato in un CLM di terze parti tramite API REST.
glossaryTerms.co-signature.term: glossaryTerms.co-signature.definition
Conformità (compliance): La conformità designa il rispetto delle leggi, dei regolamenti e delle norme applicabili a un'organizzazione. Nel contesto della firma elettronica, fa riferimento in particolare al regolamento eIDAS, al GDPR, al Codice del Lavoro (per i contratti di lavoro) e alle regole deontologiche proprie di alcune professioni. La non conformità espone l'azienda alla nullità dei suoi atti e a sanzioni amministrative.
Consenso elettronico: Il consenso elettronico è la manifestazione di volontà di una persona, espressa per via digitale, di accettare dei termini o di firmare un documento. Per avere valore probatorio, questo consenso deve essere libero, specifico, informato e inequivocabile, conformemente al GDPR. In un flusso di lavoro di firma, fare clic su «Firma» costituisce il consenso elettronico del firmatario.
glossaryTerms.contrat-electronique.term: glossaryTerms.contrat-electronique.definition
CRL (Elenco di revoca dei certificati): Una CRL (Certificate Revocation List) è un elenco pubblicato periodicamente da un'autorità di certificazione che elenca i certificati revocati prima della loro data di scadenza, generalmente a causa di una compromissione della chiave o di un cambio di identità. Durante la verifica di una firma digitale, il software consulta la CRL (o utilizza l'OCSP) per assicurarsi che il certificato del firmatario non sia stato revocato al momento della firma.
glossaryTerms.cryptographie-asymetrique.term: glossaryTerms.cryptographie-asymetrique.definition

D

Delega di firma: La delega di firma è il meccanismo con cui un firmatario autorizzato (delegante) trasferisce formalmente il proprio potere di firma a un terzo (delegatario) per un periodo e ambito definiti. Nel diritto francese, una delega di firma deve essere esplicita, formalizzata per iscritto e menzionare precisamente gli atti coperti. Su Certyneo, la delega è gestita lato amministrazione: il delegante configura un ruolo di firma per il delegatario; la traccia di audit registra l'identità effettiva del firmatario e la base giuridica della sua delega.
Dematerializzazione: La dematerializzazione designa la sostituzione di documenti e processi cartacei con i loro equivalenti digitali. Comprende la digitalizzazione, la creazione nativa di documenti elettronici e la loro firma tramite strumenti come Certyneo. Consente di ridurre i tempi, i costi e l'impronta ambientale dei processi documentali. Vedere i vantaggi della dematerializzazione dei contratti →
Distinguished Name (DN): Il Distinguished Name (DN) è l'identificatore univoco di un soggetto in un certificato X.509. È composto da attributi gerarchici: CN (Common Name, nome del titolare), O (Organizzazione), OU (Unità Organizzativa), C (Country, paese in codice ISO), ecc. — ad esempio CN=Mario Rossi, O=Certyneo, C=IT. Il DN del firmatario è leggibile nelle proprietà di firma di un PDF validato in Adobe Acrobat Reader.
DPA (Accordo sul trattamento dei dati): Un DPA (Data Processing Agreement, o Accordo sul trattamento dei dati) è il contratto imposto dall'articolo 28 del GDPR tra un titolare del trattamento (il cliente) e un responsabile del trattamento (come Certyneo). Specifica le finalità del trattamento, le categorie di dati, le misure di sicurezza, le condizioni di subappalto e gli obblighi in caso di violazione. La conclusione di un DPA è obbligatoria prima di qualsiasi trattamento di dati personali dei firmatari. Certyneo propone un DPA standard allegato ai CGU.

E

ECC (Crittografia su curve ellittiche): La crittografia su curve ellittiche (Elliptic Curve Cryptography — ECC) è un approccio di crittografia asimmetrica basato sulle proprietà algebriche delle curve ellittiche. Offre una sicurezza equivalente a RSA con chiavi notevolmente più corte (256 bit ECC ≈ 3072 bit RSA), riducendo il carico di calcolo. ECC è l'algoritmo preferito di TLS 1.3 (curva X25519, P-256) ed è sempre più utilizzato nei certificati di firma digitale.
eIDAS: eIDAS (Electronic IDentification, Authentication and trust Services) è il regolamento europeo n. 910/2014 che stabilisce un quadro giuridico comune per le firme elettroniche, i sigilli, la marcatura temporale e altri servizi fiduciari nell'UE. Definisce tre livelli di firma (semplice, avanzata, qualificata) e crea il concetto di prestatori di servizi fiduciari qualificati. Saperne di più su eIDAS →
eIDAS 2.0: eIDAS 2.0 (Regolamento UE 2024/1183, in vigore dal 2024) è la revisione principale di eIDAS che introduce in particolare il Portafoglio Europeo di Identità Digitale (EUDIW). Mira ad estendere il riconoscimento delle identità digitali a tutti i servizi pubblici e privati dell'UE e rafforza i requisiti per i fornitori qualificati. L'identità digitale di ogni cittadino europeo sarà portata da un portafoglio mobile certificato entro il 2026.
Busta di firma: Una busta di firma è il contenitore logico che raggruppa uno o più documenti da firmare, l'elenco dei firmatari, i campi firma posizionati e la configurazione del flusso di lavoro. Su Certyneo, ogni busta ha il proprio ciclo di vita (bozza, inviata, in attesa, firmata, rifiutata, scaduta) e una traccia di audit con marca temporale.
Invio massivo (bulk signing): L'invio massivo (o bulk signing) designa la capacità di inviare un documento a molti firmatari simultaneamente, o di inviare più documenti distinti in un'unica operazione. Questa funzionalità è indispensabile per le HR (contratti di lavoro), le assicurazioni (appendici) o l'immobiliare (mandati). Su Certyneo, l'API consente di orchestrare invii massivi tramite un'unica chiamata programmatica, con ogni firmatario che riceve un link individuale e una traccia di audit propria.
ESIGN Act: L'ESIGN Act (Electronic Signatures in Global and National Commerce Act, 2000) è la legge federale statunitense che riconosce la validità giuridica delle firme elettroniche e dei contratti online negli Stati Uniti. Complementare all'UETA, stabilisce il principio che una firma non può essere rifiutata solo perché è elettronica. Per i contratti transatlantici, una AES eIDAS è generalmente riconosciuta come conforme a ESIGN/UETA.
EUDI Wallet (Portafoglio Europeo di Identità Digitale): Il Portafoglio Europeo di Identità Digitale (EUDI Wallet) è l'applicazione mobile obbligatoria prevista da eIDAS 2.0. Consente ai cittadini dell'UE di archiviare e condividere attributi di identità certificati (stato civile, diplomi, patente di guida) e di effettuare firme qualificate (QES) dal proprio smartphone. L'EUDI Wallet sostituirà progressivamente FranceConnect+ in Francia entro il 2026-2027.

F

glossaryTerms.flux-approbation.term: glossaryTerms.flux-approbation.definition
Funzione di hashing: Una funzione di hashing è una funzione matematica unidirezionale che trasforma un input di qualsiasi dimensione in un output di lunghezza fissa chiamato digest (o hash). Qualsiasi modifica, anche di un solo bit, produce un digest radicalmente diverso. Le funzioni moderne (SHA-256, SHA-3) sono resistenti alle collisioni. Nella firma digitale, il documento viene prima sottoposto a hashing, poi il digest viene cifrato con la chiave privata — il che garantisce l'integrità del contenuto firmato.
FranceConnect: FranceConnect è il servizio di identità digitale dello Stato francese che consente ai cittadini di autenticarsi presso servizi online pubblici o privati tramite un identificatore esistente. Un gradino più in alto, FranceConnect+ è qualificato come «sostanziale» ai sensi del regolamento eIDAS e può essere utilizzato per attivare una firma avanzata (AES) o addirittura qualificata (QES). Entro la fine del 2026, FranceConnect+ sarà progressivamente sostituito dall'identità digitale portata dall'EUDIW previsto da eIDAS 2.0.

G

Modello di documento (template): Un modello è un documento standard preconfigurato con i suoi campi dinamici (firmatari, date, importi, posizioni di firma) che serve come punto di partenza per buste ricorrenti. Su Certyneo, i modelli industrializzano i flussi ad alto volume (contratti di lavoro, NDA, ordini di acquisto): si duplica il modello, si compilano le variabili del caso specifico, si invia. I modelli di contratto gratuiti disponibili su /modeles-contrats sono progettati per essere scaricati e quindi istanziati come modelli nel tuo account.
GDPR (Regolamento Generale sulla Protezione dei Dati): Il GDPR (General Data Protection Regulation, Regolamento UE 2016/679) è il regolamento europeo che disciplina la raccolta, il trattamento e la conservazione dei dati personali nell'UE. Si applica a qualsiasi organizzazione che tratti dati di residenti europei, indipendentemente dalla sua sede. Richiede in particolare la conclusione di un DPA con i responsabili del trattamento, la minimizzazione dei dati e il rispetto dei diritti delle persone (accesso, rettifica, cancellazione).
glossaryTerms.generateur-document.term: glossaryTerms.generateur-document.definition

H

Hashing (hash): L'hashing è un'operazione crittografica che trasforma un documento di qualsiasi dimensione in un'impronta digitale di dimensioni fisse, chiamata «hash». Qualsiasi modifica, anche minima, del documento produce un hash completamente diverso, garantendo così l'integrità del file. La firma digitale si basa sulla cifratura di questo hash con la chiave privata del firmatario.
Handshake TLS: L'handshake TLS è la fase di negoziazione che avviene all'inizio di una connessione TLS. Il client e il server si accordano sulla suite crittografica, si scambiano i certificati (autenticazione reciproca facoltativa) e stabiliscono le chiavi di sessione tramite un protocollo a chiave effimera (ECDHE). TLS 1.3 ha ridotto l'handshake a 1 andata e ritorno di rete (contro 2 in TLS 1.2), migliorando le prestazioni delle sessioni di firma su mobile.
Marca temporale elettronica: La marca temporale elettronica è un meccanismo che consente di collegare un dato digitale a un istante preciso, in modo verificabile e infalsiﬁcabile. Una marca temporale qualificata, rilasciata da un fornitore qualificato ai sensi di eIDAS, fornisce una prova legale dell'esistenza di un documento a una data determinata. È indispensabile per la conservazione del valore probatorio dei documenti a lungo termine.
Marca temporale qualificata (TSA): Una marca temporale qualificata è una marca temporale elettronica rilasciata da una Trusted Stamp Authority (TSA) qualificata ai sensi di eIDAS. Produce una prova legalmente riconosciuta dell'esistenza di un documento in una data e ora precise, collegata all'impronta del documento. Indispensabile per i profili PAdES B-T, B-LT e B-LTA per garantire il valore probatorio a lungo termine.
HSM (Modulo di sicurezza hardware): Un HSM (Hardware Security Module) è un apparecchio fisico dedicato alla generazione, all'archiviazione e alla gestione sicura delle chiavi crittografiche. Certificato secondo norme rigorose (FIPS 140-2/3 livello 3 o 4, Common Criteria EAL4+), garantisce che le chiavi non escano mai dall'hardware in chiaro. I fornitori qualificati gestiscono HSM per la gestione delle chiavi di firma qualificata e di marcatura temporale. La firma cloud si basa su HSM ospitati dal fornitore.
HTTP/3: HTTP/3 è la terza versione principale del protocollo HTTP, basata su QUIC (trasporto UDP) anziché TCP. Riduce la latenza (eliminazione dell'head-of-line blocking), migliora il recupero dopo interruzioni di rete e integra nativamente TLS 1.3. Certyneo sfrutta HTTP/3 per accelerare il caricamento dei documenti da firmare e l'invio dei moduli di consenso, in particolare su mobile in ambienti di rete degradati.

I

Identità digitale: L'identità digitale è l'insieme dei dati che consentono di identificare una persona fisica o giuridica nello spazio digitale. Può essere fornita da uno Stato (carta d'identità elettronica, FranceConnect) o da operatori privati (fornitori qualificati). Con eIDAS 2.0, ogni cittadino europeo avrà un portafoglio di identità digitale ufficiale (EUDIW).
glossaryTerms.idp.term: glossaryTerms.idp.definition
Firma olografa digitalizzata (ink signature): Una ink signature (o firma olografa digitalizzata) è la digitalizzazione della firma manoscritta tradizionale sotto forma di immagine (JPG/PNG) apposta su un documento. Costituisce il livello più elementare di firma elettronica semplice (SES) ai sensi di eIDAS: senza autenticazione forte né traccia di audit, il suo valore probatorio è limitato. Viene tuttavia utilizzata per documenti con basso rischio giuridico (firme interne, annotazioni).
Integrità (dei dati): L'integrità designa la proprietà che garantisce che un dato non sia stato alterato o falsificato dopo la sua creazione, trasmissione o archiviazione. Nella firma digitale, l'integrità è garantita dalla funzione di hashing: qualsiasi modifica del documento significa che l'hash ricalcolato non corrisponde più a quello cifrato nella firma, invalidando immediatamente la verifica. Ecco perché un PDF firmato con Certyneo è «sigillato» — non può più essere modificato senza che la firma si rompa.
Interoperabilità eIDAS: L'interoperabilità eIDAS designa il riconoscimento reciproco delle identità digitali e delle firme elettroniche tra gli Stati membri dell'UE, come imposto dal regolamento eIDAS (articoli 6 e 25). Un certificato qualificato rilasciato da un prestatore di servizi fiduciari (TSP) iscritto nell'elenco di fiducia di uno Stato membro è automaticamente riconosciuto come valido in tutti gli altri Stati membri. Questa interoperabilità copre i livelli AES e QES.

J

Token di firma: Un token di firma è l'oggetto crittografico prodotto al momento della firma che raggruppa: l'hash del documento, la marca temporale, l'identificatore del firmatario e la firma crittografica stessa (cifrata con la chiave privata tramite la PKI). Questo token è incorporato nel PDF finale secondo il formato PAdES e consente a qualsiasi verificatore — giudice, perito, revisore — di ricostruire la prova di firma senza dipendere dalla piattaforma.
glossaryTerms.journalisation.term: glossaryTerms.journalisation.definition
JWT (JSON Web Token): Un JWT (JSON Web Token, RFC 7519) è un formato compatto e sicuro per rappresentare affermazioni tra due parti. È composto da tre parti codificate in Base64URL separate da punti: l'intestazione (algoritmo), il payload (claim) e la firma. L'API Certyneo utilizza JWT firmati (HS256 o RS256) per la gestione delle sessioni e l'autenticazione delle chiamate API, garantendo che i token non siano stati falsificati. I JWT di accesso hanno una breve durata di vita, complementati da refresh token di lunga durata.

K

KYC (Conosci il tuo cliente): KYC (Know Your Customer) designa l'insieme delle procedure di verifica dell'identità che un'azienda applica ai propri clienti prima di instaurare un rapporto commerciale. Storicamente imposto alle banche dalle direttive antiriciclaggio, il KYC si è esteso alle operazioni di firma elettronica ad alto rischio: apertura di conti, credito, assicurazione, notariato. Il KYC si basa su tre pilastri: verifica del documento d'identità (OCR + rilevamento di falsificazioni), controllo di liveness e incrocio di informazioni. Il regolamento eIDAS riconosce il KYC video come mezzo per identificare un firmatario per una firma qualificata (QES).

L

LCCJTI (Legge sul quadro giuridico delle tecnologie dell'informazione): La LCCJTI è la legge del Quebec (L.R.Q., capitolo C-1.1) che stabilisce il quadro giuridico per le firme e i documenti elettronici nel Quebec. Riconosce esplicitamente la firma elettronica come equivalente alla firma autografa, purché l'identità del firmatario sia stabilita in modo affidabile e il collegamento tra la firma e il documento sia garantito (articolo 39). La LCCJTI è complementare al regolamento eIDAS (applicabile in Europa) e al PIPEDA.
LCEN (Legge francese sulla fiducia nell'economia digitale): La LCEN (Loi pour la Confiance dans l'Économie Numérique del 21 giugno 2004, n. 2004-575) è il testo fondante del diritto digitale francese. Disciplina il commercio elettronico, la responsabilità degli hosting provider e la pubblicità digitale. Complementare al regolamento europeo eIDAS, ha anche recepito la prima direttiva sulle firme elettroniche nel diritto francese.
LegalTech: Il termine LegalTech (Legal Technology) designa le startup e le soluzioni software che applicano la tecnologia al settore legale per automatizzare, accelerare o rendere accessibili servizi fino ad ora riservati ai professionisti del diritto. La firma elettronica, la dematerializzazione dei contratti, la due diligence tramite IA e la gestione documentale ne fanno parte. Certyneo si inserisce nell'ecosistema LegalTech europeo offrendo una firma conforme a eIDAS facile da integrare.
LTV (Validazione a lungo termine): La validazione a lungo termine (LTV, Long-Term Validation) è una funzionalità delle firme PDF (PAdES B-LT/B-LTA) che incorpora nel documento firmato tutti i dati necessari per la futura verifica della firma: catena di certificati, marche temporali, risposte OCSP o CRL. Grazie al LTV, un documento firmato rimane verificabile anni dopo la firma, anche se i certificati sono scaduti. Certyneo integra il LTV per garantire il valore probatorio per 10 anni.

M

glossaryTerms.mandat-sepa.term: glossaryTerms.mandat-sepa.definition
Firma autografa: La firma autografa è la traccia grafica apposta a mano da una persona in fondo a un documento cartaceo, riconoscibile per il suo tratto personale. Il regolamento eIDAS stabilisce il principio di non discriminazione: una firma elettronica, qualunque sia il suo livello, non può essere rifiutata come prova per il solo motivo di essere elettronica. Una firma qualificata (QES) ha lo stesso valore probatorio di una firma autografa in tutta l'UE.
MFA (Autenticazione multi-fattore): L'autenticazione multi-fattore (MFA, Multi-Factor Authentication) è un meccanismo di sicurezza che richiede la presentazione di almeno due prove di identità appartenenti a categorie diverse: qualcosa che si conosce (password), qualcosa che si possiede (OTP SMS, YubiKey), o qualcosa che si è (biometria). La MFA è sinonimo di autenticazione forte ed è richiesta per raggiungere il livello AES eIDAS. Su Certyneo, gli accessi degli amministratori sono protetti da MFA obbligatoria.

N

Livello di firma (semplice, avanzata, qualificata): Il regolamento eIDAS distingue tre livelli di firma elettronica: la firma semplice (SES), che richiede un minimo di identificazione; la firma avanzata (AES), che esige un legame univoco con il firmatario e un'autenticazione forte; e la firma qualificata (QES), che si basa su un certificato qualificato e un dispositivo di creazione sicuro. La QES ha lo stesso valore legale di una firma autografa in tutta l'UE. Comprendere i livelli di firma →
Non ripudio: Il non ripudio è la proprietà di una firma elettronica che rende impossibile per il firmatario negare di aver eseguito l'azione (firmare, inviare, accettare). È garantito dalla combinazione della firma crittografica (legame tecnico inconfutabile), della traccia di audit con marca temporale e dell'autenticazione forte. Una firma qualificata (QES) offre il non ripudio più solido riconosciuto dal diritto europeo.
glossaryTerms.norme-iso-27001.term: glossaryTerms.norme-iso-27001.definition

O

OCSP (Protocollo di stato del certificato online): L'OCSP (RFC 6960) è un protocollo che consente di verificare in tempo reale lo stato di revoca di un certificato digitale, interrogando un rispondente OCSP gestito dall'autorità di certificazione. Costituisce un'alternativa più leggera e reattiva alla CRL. L'OCSP Stapling consente al server di allegare la risposta OCSP direttamente nell'handshake TLS, evitando un ulteriore andata e ritorno. Le risposte OCSP sono anche incorporate nei documenti firmati per la validazione a lungo termine (LTV).
glossaryTerms.onboarding-electronique.term: glossaryTerms.onboarding-electronique.definition
OTP (Password monouso): Un OTP (One-Time Password, password monouso) è un codice temporaneo generato casualmente e valido per una singola sessione o transazione. Nel contesto della firma elettronica avanzata, l'invio di un OTP per email e/o SMS crea un legame verificabile tra il documento e l'identità del firmatario tramite il suo indirizzo email o numero di telefono. Certyneo utilizza Twilio Verify per la gestione degli OTP SMS sulle sue buste di livello avanzato. Saperne di più sull'OTP →

P

PAdES (PDF Advanced Electronic Signature): PAdES (PDF Advanced Electronic Signature, norma ETSI EN 319 142) è lo standard europeo per le firme digitali incorporate nei file PDF. Si declina in quattro profili di maturità crescente: B-B (firma di base), B-T (con marca temporale), B-LT (validazione a lungo termine) e B-LTA (archiviazione con marca temporale ricertificata). Certyneo produce PDF PAdES B-LT, garantendo la verificabilità offline in Adobe Acrobat Reader e un valore probatorio duraturo. Vedi anche XAdES / PAdES / CAdES →
glossaryTerms.parapheur-electronique.term: glossaryTerms.parapheur-electronique.definition
PDF/A (archiviazione a lungo termine): PDF/A è una versione normalizzata ISO del formato PDF (ISO 19005) appositamente progettata per l'archiviazione a lungo termine. Integra tutti i font, le immagini e le risorse nel file, vieta la cifratura e i contenuti dipendenti da un ambiente esterno. Ciò garantisce che il documento resti leggibile tra 30 anni senza dipendenze software. Per l'archiviazione elettronica a valore probatorio, combinare PDF/A con PAdES B-LTA è la pratica raccomandata.
PIPEDA (Legge sulla protezione delle informazioni personali e sui documenti elettronici): PIPEDA è la legge federale canadese sulla protezione delle informazioni personali nel settore privato (S.C. 2000, c. 5). Disciplina la raccolta, l'uso e la divulgazione di informazioni personali nelle attività commerciali interprovinciali e internazionali. Per la firma elettronica, impone che i dati di firma (nome, email, metadati di sessione) siano raccolti con consenso informato, archiviati in modo sicuro e cancellati su richiesta. Certyneo ospita i dati di firma in Europa (IONOS Germania).
Traccia di audit: La traccia di audit (o audit trail) è il registro con marca temporale di tutte le azioni eseguite su un documento: invio, apertura, consultazione, inserimento OTP, firma, rifiuto, scadenza. Costituisce la principale prova del valore probatorio in caso di controversia, dimostrando che il processo di firma è stato eseguito correttamente. Su Certyneo, la traccia di audit è integrata nel PDF finale e conservata nel nostro database per 10 anni. Comprendere la traccia di audit in dettaglio →
PKI (Infrastruttura a chiave pubblica): Una PKI (Public Key Infrastructure) è l'insieme dei componenti hardware, software, procedure e politiche che consentono di emettere, gestire e revocare certificati elettronici. Si basa sulla crittografia asimmetrica: una chiave privata (segreta) serve per firmare, una chiave pubblica (distribuita nel certificato) consente a chiunque di verificare la firma. I fornitori qualificati gestiscono PKI conformi agli standard ETSI.
glossaryTerms.portabilite-donnees.term: glossaryTerms.portabilite-donnees.definition
Prestatore di servizi fiduciari (PSF / TSP): Un prestatore di servizi fiduciari (PSF o TSP in inglese) è un'entità che fornisce servizi di marcatura temporale, emissione di certificati, firma o archiviazione ai sensi del regolamento eIDAS. Un PSF qualificato è soggetto ad audit regolari e figura nell'elenco di fiducia nazionale (in Francia: elenco ANSSI). La qualificazione garantisce il livello di garanzia più elevato riconosciuto nell'UE.

Q

QES (Firma Elettronica Qualificata): La firma elettronica qualificata (QES, Qualified Electronic Signature) è il livello più elevato definito dal regolamento eIDAS. È giuridicamente equivalente a una firma autografa in tutta l'Unione Europea. La sua emissione richiede: una verifica dell'identità preventiva, un certificato qualificato rilasciato da un QTSP e l'utilizzo di un dispositivo di creazione della firma qualificata (QSCD). È richiesta per gli atti notarili elettronici, determinati appalti pubblici e procedure amministrative sensibili.
QSCD (Dispositivo per la creazione di una firma qualificata): Un QSCD (Qualified Signature Creation Device) è un dispositivo hardware o software che soddisfa i rigorosi requisiti dell'Allegato II di eIDAS per la creazione di firme qualificate (QES). Garantisce che la chiave privata di firma sia generata nel dispositivo, non lo lasci mai in chiaro e possa essere utilizzata solo dal suo legittimo titolare. Gli HSM certificati e le smart card sono forme comuni di QSCD. La firma cloud utilizza QSCD virtuali ospitati in HSM certificati.
QTSP (Prestatore di servizi fiduciari qualificato): Un QTSP (Qualified Trust Service Provider) è un PSF che è stato verificato e iscritto nell'elenco di fiducia di uno Stato membro dell'UE ai sensi del regolamento eIDAS. La qualificazione è il livello di riconoscimento europeo più elevato: è obbligatoria per emettere certificati qualificati, marche temporali qualificate o firme qualificate (QES). Certyneo è interfacciato con diversi QTSP per attivare la QES quando richiesto il livello qualificato.

R

Promemoria automatico: Il promemoria automatico è la funzionalità di una piattaforma di firma elettronica che invia automaticamente promemoria via email o SMS ai firmatari che non hanno ancora firmato, secondo una frequenza configurabile. Riduce gli abbandoni di firma e accelera il completamento dei flussi di lavoro. Su Certyneo, i promemoria sono configurabili per busta (frequenza, contenuto del messaggio) e tutte le azioni sono tracciate nella traccia di audit.
GDPR (Regolamento Generale sulla Protezione dei Dati): Il GDPR (Regolamento UE 2016/679) disciplina la raccolta, il trattamento e la conservazione dei dati personali nell'UE. Nel contesto della firma elettronica, impone in particolare di minimizzare i dati raccolti sui firmatari, di definire un periodo di conservazione e di garantire il diritto alla cancellazione. Certyneo è conforme al GDPR con hosting in UE (Germania) e registro dei trattamenti disponibile. Vedere la nostra pagina sicurezza →
ROI della firma elettronica: Il ROI (ritorno sull'investimento) della firma elettronica si misura in quattro aree: (1) riduzione del ciclo di firma — da 5-10 giorni (posta/scansione) a meno di 1 ora in media, (2) risparmi diretti — stampa, affrancatura, archiviazione fisica (stimati tra 15 e 30 € per busta), (3) riduzione del tasso di abbandono — i contratti in attesa di firma cartacea hanno un tasso di abbandono 3 volte maggiore, (4) conformità — le sanzioni GDPR per la cattiva conservazione dei contratti cartacei possono superare il costo annuale di uno strumento SaaS.

S

SES (Firma Elettronica Semplice): La firma elettronica semplice (SES, Simple Electronic Signature) è il livello base definito dal regolamento eIDAS. Non richiede alcun requisito tecnico specifico: un clic su «Accetto», un'immagine di firma o una firma via email vi soddisfa. Il suo valore probatorio è presunto ma può essere contestato se il firmatario nega il proprio atto. È adatta per documenti a basso rischio giuridico. Per situazioni importanti, si consiglia il livello AES o QES.
Firmatario: Il firmatario è la persona fisica (o giuridica tramite un sigillo elettronico) che appone la propria firma elettronica su un documento. Su Certyneo, il firmatario riceve un link unico per email, visualizza il documento, si autentica tramite OTP e firma senza dover creare un account. La sua identità è registrata nella traccia di audit.
Firma avanzata (AES / eIDAS livello 2): La firma elettronica avanzata (AES) è il secondo livello di firma elettronica definito dal regolamento eIDAS. Deve essere univocamente collegata al firmatario, consentirne l'identificazione, essere creata con dati sotto il suo esclusivo controllo e rendere rilevabile qualsiasi modifica successiva del documento. Certyneo la implementa tramite autenticazione forte (email + OTP email/SMS) e una traccia di audit con marca temporale. Vedi anche: AES, SES, QES.
Firma biometrica: La firma biometrica è una forma di firma elettronica che cattura, oltre all'immagine del tracciato manoscritto, dati comportamentali dinamici: pressione dello stilo, velocità, angolo di inclinazione, accelerazione. Questi parametri creano un'impronta unica difficile da imitare. Offre un'autenticazione più robusta rispetto a una semplice immagine di firma. I dati biometrici sono considerati sensibili ai sensi del GDPR e richiedono il consenso esplicito. Sola, la biometria non è sufficiente per raggiungere il livello AES eIDAS; deve essere combinata con una autenticazione forte.
Firma cloud: La firma cloud è una firma elettronica in cui la chiave privata del firmatario è generata, archiviata e gestita da un fornitore di fiducia nel cloud, anziché su un dispositivo locale (chiavetta USB, smart card). Questo approccio semplifica l'esperienza utente e consente la firma qualificata (QES) da un semplice browser. Le chiavi sono protette in un HSM certificato gestito da un QTSP.
Firma elettronica: La firma elettronica è un meccanismo che consente di apporre su un documento digitale una prova di identità e consenso equivalente a una firma autografa. Ai sensi del regolamento eIDAS, comprende tre livelli di fiducia: semplice (SES), avanzata (AES) e qualificata (QES). A differenza della firma digitale, la firma elettronica è un concetto giuridico che può basarsi su diverse tecnologie. Scopri la nostra guida completa →
Firma mobile: La firma mobile designa la capacità di firmare un documento elettronicamente da smartphone o tablet, senza applicazione nativa — tramite il browser web. Il firmatario riceve un link per email o SMS, visualizza il documento nel suo browser mobile, parafatura e firma tramite un gesto touch o digitando il proprio nome completo (a seconda del livello richiesto), quindi convalida tramite OTP SMS. Su Certyneo, l'interfaccia di firma è 100% responsive: identità verificata, traccia di audit generata e PDF co-firmato trasmesso al destinatario in meno di 60 secondi su mobile 4G.
Firma digitale: La firma digitale è un'implementazione tecnica della firma elettronica basata sulla crittografia asimmetrica. Consiste nel cifrare l'hash di un documento con la chiave privata del firmatario, producendo un'impronta verificabile da chiunque disponga della chiave pubblica corrispondente (contenuta nel certificato). Garantisce sia l'identità del firmatario sia l'integrità del documento.
glossaryTerms.smart-contract.term: glossaryTerms.smart-contract.definition
Suite crittografica (cipher suite): Una suite crittografica è una combinazione denominata di algoritmi crittografici (scambio di chiavi, autenticazione, cifratura simmetrica, MAC/HMAC) negoziata tra client e server durante l'handshake TLS. TLS 1.3 impone suite moderne come TLS_AES_256_GCM_SHA384, eliminando algoritmi deboli (RC4, 3DES, MD5). Certyneo accetta solo suite TLS 1.3 per massimizzare la sicurezza delle sessioni di firma.

T

Terzo di fiducia: Un terzo di fiducia è un attore neutrale e indipendente la cui missione è garantire uno scambio tra due parti: nella firma elettronica, attesta l'identità dei firmatari, sigilla il documento, applica marche temporali alle azioni e conserva le prove. Storicamente, i notai svolgevano questo ruolo per gli atti cartacei. Nel digitale, il terzo di fiducia è formalizzato dal regolamento eIDAS sotto forma di prestatori di servizi fiduciari (PSF/TSP) e la loro versione qualificata (QTSP).
TLS (Sicurezza del livello di trasporto): TLS (Transport Layer Security) è il protocollo crittografico che protegge le comunicazioni su Internet, successore di SSL. Garantisce la riservatezza (cifratura), l'integrità e l'autenticazione del server (tramite il suo certificato). TLS 1.3, la versione attuale, impone suite crittografiche moderne e un handshake in un solo andata e ritorno. Il lucchetto nel browser segnala che una connessione TLS è attiva. Certyneo impone TLS 1.3 come minimo su tutti i suoi endpoint.
Elenco di fiducia (UE): L'elenco di fiducia è la lista ufficiale pubblicata da ogni Stato membro dell'UE e supervisionata dalla Commissione europea, che elenca i prestatori di servizi fiduciari qualificati (QTSP) e i loro servizi (certificati qualificati, marche temporali, ecc.). In Francia, l'elenco è tenuto dall'ANSSI. È la prova di legittimità di un QTSP nel quadro del regolamento eIDAS.
glossaryTerms.tsa.term: glossaryTerms.tsa.definition

U

UETA (Legge Uniforme sulle Transazioni Elettroniche): UETA (Uniform Electronic Transactions Act, 1999) è la legge modello statunitense che riconosce il valore probatorio delle firme elettroniche in 47 dei 50 stati. Integrata dall'ESIGN Act (2000) a livello federale, stabilisce che contratti e firme «non possono essere dichiarati invalidi per il solo motivo di essere in forma elettronica». È l'equivalente funzionale statunitense del regolamento europeo eIDAS, con un approccio più liberale. Per i contratti transatlantici, una firma avanzata (AES) eIDAS è generalmente riconosciuta come conforme a UETA/ESIGN.

V

Valore probatorio: Il valore probatorio è la capacità di un documento elettronico di essere accettato come prova dinanzi a un tribunale. Si basa sull'affidabilità del processo di firma, sulla tracciabilità garantita dalla traccia di audit, sull'integrità garantita dall'hashing e sulla conservazione garantita dall'archiviazione elettronica. Il regolamento eIDAS istituisce una presunzione legale di valore probatorio per le firme avanzate e qualificate.
glossaryTerms.verification-antivirus.term: glossaryTerms.verification-antivirus.definition
Verifica dell'identità (identity proofing): La verifica dell'identità (identity proofing) è il processo di controllo dell'identità reale di una persona prima di rilasciarle credenziali o autorizzarla a firmare. Va dalla semplice raccolta di un indirizzo email (livello semplice) alla verifica biometrica del documento d'identità tramite video (KYC video, livello qualificato). È obbligatoria per emettere un certificato qualificato e attivare una firma qualificata (QES).
Visto elettronico (parafatura): Il visto elettronico (o parafatura elettronica) è un'azione di validazione intermedia apposta su un documento da un approvatore prima della firma finale. Indica che un lettore ha preso atto del documento e lo approva senza tuttavia firmarlo in modo giuridicamente vincolante. Su Certyneo, i flussi di lavoro multi-attore consentono di combinare fasi di visto (validazione interna) e fasi di firma (impegno giuridico esterno), garantendo una tracciabilità completa del circuito di validazione.

W

Webhook: Un webhook è un meccanismo API che consente a Certyneo di inviare automaticamente una notifica HTTP all'applicazione del cliente quando si verifica un evento (documento firmato, rifiutato, scaduto, traccia di audit generata). A differenza del polling, il webhook funziona in modalità push: il cliente non deve interrogare regolarmente l'API. Consente di integrare Certyneo in sistemi terzi (CRM, ERP, SIRH) per attivare azioni aziendali in tempo reale al completamento di un flusso di lavoro di firma.
Flusso di lavoro di firma: Il flusso di lavoro di firma è il processo organizzato che definisce l'ordine, le condizioni e gli attori coinvolti nella firma di un documento. Può essere sequenziale (ogni firmatario firma dopo il precedente), parallelo (tutti firmano contemporaneamente) o misto. Su Certyneo, il flusso di lavoro include la gestione dei promemoria automatici, delle scadenze e delle buste multi-documento.

X

XAdES (XML Advanced Electronic Signature): XAdES (XML Advanced Electronic Signatures, norme ETSI EN 319 132) est le standard européen pour les signatures numériques appliquées à des documents XML. Adopté par le règlement eIDAS, XAdES est le format de référence pour signer des fichiers XML structurés : factures électroniques (Factur-X, PEPPOL), bordereaux EDI, déclarations administratives, données de marché, transcriptions SEPA.

Quatre profils XAdES de maturité croissante, alignés sur PAdES et CAdES :
• XAdES B-B : signature XML de base avec attributs ETSI minimaux. Cas d'usage : signature ponctuelle d'un échantillon XML sans contrainte de date.
• XAdES B-T : ajoute un horodatage qualifié RFC 3161. Standard pour les factures électroniques et les flux EDI où la date d'émission doit être prouvée.
• XAdES B-LT : validation long terme avec chaîne de certificats et données de révocation embarquées. Reste vérifiable après expiration du certificat d'origine.
• XAdES B-LTA : horodatages d'archivage périodiques pour maintenir la valeur probante sur 10+ ans. Indispensable pour les archives fiscales et les registres réglementés.

XAdES vs PAdES : choisir XAdES pour signer un document XML natif (facture Factur-X, bordereau PEPPOL, échange EDI). Choisir PAdES pour signer un PDF (contrats, devis, documents RH). Les deux formats sont juridiquement équivalents — la différence est technique : le format adapté au type de document.

Variantes XAdES : XAdES enveloppante (le document XML est inclus dans la structure de signature), XAdES enveloppée (la signature est ajoutée au document), XAdES détachée (signature stockée dans un fichier séparé). Certyneo gère les trois variantes via l'API REST. Voir le comparatif PAdES / XAdES / CAdES.
XAdES / PAdES / CAdES: XAdES, PAdES e CAdES sono i tre formati standard di firma digitale definiti da ETSI per il regolamento eIDAS. XAdES (XML Advanced Electronic Signatures, EN 319 132) firma documenti XML, PAdES (PDF, EN 319 142) incorpora il token di firma direttamente nel PDF — è il formato utilizzato da Certyneo per produrre file verificabili offline in Acrobat Reader. CAdES (CMS, EN 319 122) si applica a flussi binari arbitrari. Ogni formato si declina in profili (B-B, B-T, B-LT, B-LTA) con garanzie crescenti.

Y

YubiKey (chiave di sicurezza hardware): Una YubiKey è una chiave di sicurezza hardware (USB/NFC) progettata da Yubico che archivia segreti crittografici non estraibili e supporta i protocolli FIDO2/WebAuthn, OpenPGP e PIV. Nel contesto di una firma qualificata (QES), una YubiKey può servire come dispositivo per la creazione di una firma qualificata (QSCD): la chiave privata associata al certificato qualificato non lascia mai il dispositivo, garantendo il massimo livello di garanzia sull'identità del firmatario.

Z

Senza carta (Zero Paper): L'approccio «senza carta» (o paperless) consiste nel sostituire integralmente i flussi documentali cartacei con equivalenti digitali firmati. Oltre al guadagno operativo (ciclo di firma ridotto in media da 5 a 20 volte), il passaggio al digitale riduce l'impronta di carbonio legata alla stampa, all'affrancatura e all'archiviazione fisica. La firma elettronica, associata all'archiviazione elettronica a valore probatorio (minimo 10 anni per i contratti commerciali), è il prerequisito tecnico del passaggio.
glossaryTerms.zero-trust.term: glossaryTerms.zero-trust.definition

Approfondisci con le nostre guide

Queste guide approfondiscono i concetti chiave del glossario con esempi concreti e casi d'uso.

Pronto a mettere in pratica questi concetti?

Certyneo le permette di creare buste di firma conformi eIDAS in pochi clic, senza installazione.

Prova gratis Leggi la guida completa