Firma Digitale CAdES: Cos'è e Come Funziona

Guida completa alla firma digitale in formato P7M, dal funzionamento tecnico al valore legale

Hai già un file .p7m da aprire?

Trascinalo nel viewer online e visualizzalo in 3 secondi, gratis.

Apri P7M ora →

Cos'è la firma digitale CAdES

La firma digitale CAdES (CMS Advanced Electronic Signatures) è uno dei tre standard europei per la firma elettronica qualificata, definito dalla specifica tecnica ETSI TS 101 733. E lo standard che produce i famosi file con estensione .p7m che avvocati, commercialisti e dipendenti della Pubblica Amministrazione conoscono bene.

CAdES è basato sul formato PKCS#7/CMS (Cryptographic Message Syntax), uno standard crittografico sviluppato originariamente da RSA Laboratories. Il concetto e semplice: il documento originale viene "imbustato" in una struttura crittografica che contiene sia il file sia la firma è il certificato del firmatario.

Quando firmi un documento con CAdES, il risultato è un singolo file .p7m che contiene tutto: il documento, la firma crittografica e le informazioni sul certificato. Questo rende CAdES particolarmente robusto perché il documento firmato è la firma viaggiano sempre insieme -- non possono essere separati accidentalmente.

Come funziona tecnicamente

Il processo di firma CAdES si articola in diversi passaggi crittografici:

  1. Calcolo dell'hash

    Il software di firma calcola un'impronta digitale (hash) del documento originale utilizzando un algoritmo come SHA-256. Questa impronta e unica: qualsiasi modifica al documento, anche di un singolo bit, produrrebbe un hash completamente diverso.

  2. Cifratura con chiave privata

    L'hash viene cifrato con la chiave privata del firmatario, conservata nel dispositivo di firma (smart card, token USB o firma remota). Questo produce la firma digitale vera e propria.

  3. Creazione della busta P7M

    Il software assembla una struttura PKCS#7 che contiene: il documento originale, la firma cifrata, il certificato X.509 del firmatario (con la chiave pubblica), e metadati come la data e ora della firma.

  4. Verifica

    Chi riceve il file .p7m può verificare la firma ricalcolando l'hash del documento e decifrandolo con la chiave pubblica del firmatario. Se i due hash coincidono, la firma è valida e il documento non è stato alterato.

Differenze tra CAdES, PAdES e XAdES

L'Unione Europea riconosce tre formati di firma elettronica avanzata, tutti con uguale valore legale. Ecco le differenze principali:

Caratteristica CAdES (.p7m) PAdES (.pdf) XAdES (.xml)
Formato output File .p7m (busta PKCS#7) File .pdf (firma nel PDF) File .xml (firma nel XML)
Tipi di documento Qualsiasi file Solo PDF Solo XML
Visualizzazione Serve software apposito Qualsiasi lettore PDF Serve parser XML
Uso principale PA, PEC, atti legali Contratti, documenti Fatturazione elettronica
Standard ETSI TS 101 733 TS 102 778 TS 101 903

In Italia, CAdES è il formato più diffuso nella Pubblica Amministrazione e nelle comunicazioni PEC, perché può firmare qualsiasi tipo di file (non solo PDF o XML). PAdES e preferito per i contratti perché il documento resta visualizzabile come un normale PDF. XAdES e usato principalmente per la fatturazione elettronica (FatturaPA).

Valore legale in Italia

La firma digitale CAdES ha pieno valore legale in Italia è in tutta l'Unione Europea. Il quadro normativo si basa su due pilastri:

  • Regolamento eIDAS (UE 910/2014) -- Definisce il quadro giuridico per le firme elettroniche in tutta l'UE. Una firma elettronica qualificata ha l'equivalente effetto giuridico di una firma autografa (Art. 25.2).
  • Codice dell'Amministrazione Digitale (D.Lgs. 82/2005) -- La normativa italiana che recepisce eIDAS e regola le firme digitali nel contesto nazionale. L'articolo 21 stabilisce che il documento informatico sottoscritto con firma digitale ha l'efficacia prevista dall'art. 2702 del Codice Civile.

In termini pratici, un documento firmato digitalmente con CAdES:

  • Ha lo stesso valore di un documento con firma autografa autenticata
  • Fa piena prova fino a querela di falso (art. 2702 c.c.)
  • E valido in tutti i Paesi dell'Unione Europea
  • Garantisce l'integrita del documento (nessuna modifica dopo la firma)
  • Garantisce il non ripudio (il firmatario non può negare di aver firmato)

La catena di fiducia AgID

Affinche una firma digitale sia riconosciuta come qualificata in Italia, il certificato del firmatario deve essere stato emesso da un prestatore di servizi fiduciari qualificato (QTSP) iscritto nell'elenco gestito da AgID (Agenzia per l'Italia Digitale).

Questo elenco è la TSL (Trusted Service List), una lista XML pubblica che contiene tutti gli enti certificatori autorizzati. La TSL italiana e pubblicata all'indirizzo ufficiale AgID e viene aggiornata periodicamente.

Quando verifichi una firma digitale, il software controlla che:

  1. Il certificato sia nella TSL

    L'ente che ha emesso il certificato del firmatario deve essere presente nella Trusted Service List di AgID.

  2. Il certificato sia valido

    Il certificato non deve essere scaduto ne revocato al momento della firma.

  3. La firma sia integra

    L'hash del documento deve corrispondere a quello firmato crittograficamente.

DocKit, sia nella versione web che nell'app mobile, esegue questa verifica automaticamente confrontando il certificato con la TSL AgID che include oltre 500 enti certificatori italiani.

Principali enti certificatori in Italia

In Italia operano diversi prestatori di servizi fiduciari qualificati (QTSP) autorizzati da AgID. I principali sono:

  • Aruba PEC S.p.A. -- Uno dei maggiori provider italiani, offre firma digitale remota e su smart card.
  • InfoCert S.p.A. -- Società del gruppo Tinexta, fornisce i certificati per Dike e LegalMail.
  • Poste Italiane -- Offre firma digitale PosteCert tramite gli uffici postali.
  • Namirial S.p.A. -- Provider di firma digitale e fatturazione elettronica.
  • Actalis S.p.A. -- Società del gruppo Aruba, certificatore per aziende e professionisti.
  • Telecom Italia Trust Technologies -- Servizi di firma digitale per grandi aziende e PA.

Tutti questi enti sono presenti nella TSL AgID e i certificati da loro emessi sono riconosciuti da DocKit per la verifica della firma digitale.

Come aprire e verificare un file P7M con firma CAdES

Ora che sai cos'è la firma digitale CAdES, ecco come aprire un file .p7m in pratica. Il modo più rapido è usare DocKit Web, il visualizzatore P7M gratuito che funziona nel browser.

  1. Vai su p7m.io

    Apri p7m.io su qualsiasi browser (Chrome, Firefox, Safari, Edge). Funziona su Windows, Mac, Linux, iOS e Android.

  2. Trascina il file .p7m

    Trascina il file nell'area al centro della pagina oppure clicca per selezionarlo. Il file viene elaborato localmente nel browser: non viene mai caricato su server.

  3. Leggi il risultato della verifica

    DocKit mostra subito: il documento originale in anteprima, il nome del firmatario, l'ente certificatore (Aruba, InfoCert, Namirial, ecc.) e un badge colorato — verde = firma CAdES valida, giallo = certificato scaduto al momento della verifica, rosso = firma non valida.

Per approfondire: guida completa alla verifica firma digitale.

Approfondimenti

Come aprire un file P7M Guida passo-passo per visualizzare documenti firmati Verificare una firma digitale Come controllare la validità di un file P7M Convertire P7M in PDF Estrarre il documento originale dalla busta crittografica

Prova DocKit Web

Apri il tuo file P7M direttamente nel browser. Gratuito, sicuro e istantaneo.

Apri file P7M online

Scarica l'app DocKit

Apri file P7M direttamente dal tuo smartphone. Disponibile per iOS e Android.

Verifica firma digitale AgID
100% offline, zero tracking
Apri da Mail, Files, PEC
Scarica su App Store Disponibile su Google Play