Come Verificare una Firma Digitale P7M

Tutto quello che devi sapere sulla verifica della firma digitale: stati, significato e processo di validazione AgID

Perche verificare una firma digitale

Quando ricevi un documento firmato digitalmente (file .p7m), non basta semplicemente aprirlo e leggerne il contenuto. E fondamentale verificare la firma per essere certi che:

  • Il documento non sia stato alterato -- La verifica crittografica conferma che nessuno ha modificato il contenuto dopo la firma. Anche un singolo carattere cambiato invaliderebbe la firma.
  • Il firmatario sia chi dice di essere -- Il certificato digitale contenuto nel P7M identifica univocamente il firmatario tramite il suo nome, codice fiscale e l'ente certificatore.
  • Il certificato sia ancora valido -- I certificati di firma digitale hanno una data di scadenza. Un certificato scaduto potrebbe indicare che la firma non ha piu valore legale pieno (anche se il documento firmato prima della scadenza resta valido).
  • L'ente certificatore sia autorizzato -- Solo i certificati emessi da enti presenti nella Trusted Service List (TSL) di AgID producono firme qualificate con pieno valore legale.

Gli stati della firma digitale

Quando verifichi un file P7M, il risultato puo essere uno di questi stati:

Firma Valida

La firma e crittograficamente corretta, il certificato non e scaduto e l'ente certificatore e presente nella TSL AgID. Il documento ha pieno valore legale.

Firma Scaduta

La firma era valida al momento della sottoscrizione, ma il certificato del firmatario e ora scaduto. Il documento firmato prima della scadenza conserva il suo valore legale, ma non si possono apporre nuove firme con quel certificato.

Catena Non Attendibile

L'ente certificatore che ha emesso il certificato del firmatario non e presente nella TSL AgID. La firma potrebbe essere tecnicamente corretta, ma non e una firma qualificata riconosciuta in Italia.

Firma Non Valida

La verifica crittografica e fallita: l'hash del documento non corrisponde a quello firmato. Questo significa che il documento e stato alterato dopo la firma oppure che il file P7M e corrotto. Non fidarti del contenuto.

Come verificare con DocKit Web

Verificare una firma digitale con DocKit Web e semplice e immediato:

  1. Apri DocKit Web

    Vai su dockit.app nel tuo browser preferito.

  2. Carica il file P7M

    Trascina il file nell'area di caricamento o clicca per selezionarlo. Il file viene analizzato interamente nel tuo browser -- nessun dato viene inviato a server esterni.

  3. Leggi il risultato

    DocKit mostra immediatamente un badge colorato con lo stato della firma (valida, scaduta, non attendibile o non valida), insieme ai dettagli del firmatario e del certificato.

  4. Controlla i dettagli

    Nella scheda laterale trovi tutte le informazioni: nome del firmatario, ente certificatore, data della firma, scadenza del certificato e algoritmo crittografico utilizzato.

Perche DocKit Web per la verifica?

  • Privacy -- Il tuo file P7M non viene mai caricato su un server. Tutto avviene localmente nel browser, il che e fondamentale per documenti legali e finanziari che contengono dati sensibili.
  • Verifica AgID reale -- DocKit confronta il certificato con la Trusted Service List ufficiale di AgID che include oltre 500 enti certificatori italiani e 160 rumeni.
  • Gratuito e istantaneo -- Nessuna registrazione, nessun software da installare, nessun costo.

La verifica AgID TSL

Il cuore della verifica di una firma digitale qualificata e il controllo della catena di fiducia attraverso la TSL (Trusted Service List) di AgID.

La TSL e un documento XML ufficiale pubblicato da AgID che elenca tutti i prestatori di servizi fiduciari qualificati (QTSP) autorizzati a emettere certificati di firma digitale in Italia. Contiene i certificati radice (root CA) di ogni ente certificatore.

Il processo di verifica funziona cosi:

  1. Estrazione del certificato

    Dal file P7M viene estratto il certificato X.509 del firmatario, che contiene il nome dell'ente certificatore (issuer).

  2. Confronto con la TSL

    Il Distinguished Name (DN) dell'issuer viene confrontato con tutti gli enti presenti nella TSL AgID. Se c'e un match, l'ente e autorizzato.

  3. Verifica del certificato

    Si controlla che il certificato non sia scaduto e che non sia stato revocato (se disponibile la CRL o il servizio OCSP).

  4. Verifica dell'integrita

    Si ricalcola l'hash del documento e si confronta con la firma crittografica usando la chiave pubblica del firmatario.

DocKit esegue tutti questi passaggi automaticamente, sia nella versione web che nell'app mobile.

Cosa controllare in una firma

Quando ricevi un documento firmato digitalmente, oltre allo stato della firma dovresti verificare questi elementi:

  • Nome del firmatario -- Verifica che corrisponda alla persona o ente da cui ti aspetti il documento. Il nome viene dal certificato X.509 e non puo essere falsificato.
  • Data della firma -- Il signing time indica quando la firma e stata apposta. Utile per verificare tempistiche contrattuali o scadenze.
  • Ente certificatore -- Deve essere un ente riconosciuto (Aruba PEC, InfoCert, Poste Italiane, Namirial, ecc.). Se l'issuer e sconosciuto, la firma potrebbe non essere qualificata.
  • Scadenza del certificato -- Se il certificato e scaduto, controlla la data della firma: se la firma e stata apposta prima della scadenza, il documento conserva il suo valore.
  • Codice fiscale -- Per le firme italiane, il certificato contiene il codice fiscale del firmatario, utile per l'identificazione univoca.

Domande frequenti

Un documento con firma scaduta e ancora valido?

Si, se la firma e stata apposta quando il certificato era ancora valido. La scadenza del certificato non invalida retroattivamente le firme gia apposte. Tuttavia, per avere certezza assoluta, e consigliabile che il documento abbia anche un timestamp (marca temporale) che provi la data della firma.

Cosa significa "catena non attendibile"?

Significa che l'ente certificatore che ha emesso il certificato non e presente nella TSL AgID. Questo puo accadere con certificati autofirmati, certificati emessi da enti non italiani, o certificati di test. La firma potrebbe essere tecnicamente corretta ma non e una firma qualificata riconosciuta in Italia.

DocKit Web carica il mio file su un server?

No, assolutamente no. DocKit Web analizza il file interamente nel tuo browser tramite JavaScript. Nessun byte del tuo documento lascia il tuo dispositivo. Questa e una scelta di design fondamentale, dato che i file P7M contengono spesso dati sensibili (contratti, fatture, atti giudiziari).

Posso verificare una firma da smartphone?

Si, puoi usare DocKit Web dal browser del tuo smartphone oppure scaricare l'app DocKit per iPhone e Android. L'app offre la stessa verifica AgID con l'aggiunta del supporto offline e l'integrazione con Mail e Files.

DocKit verifica anche le firme romene?

Si. DocKit include sia la TSL italiana (AgID, oltre 500 enti) sia la TSL rumena (ADR, oltre 160 enti), rendendo possibile la verifica di firme digitali emesse in entrambi i Paesi.

Approfondimenti

Come aprire un file P7M Guida passo-passo per visualizzare documenti firmati Firma digitale CAdES Cos'e e come funziona lo standard CAdES P7M su iPhone e Android Aprire e verificare file P7M da smartphone

Verifica la tua firma digitale

Carica il tuo file P7M e verifica la firma in pochi secondi. Gratuito, sicuro e senza registrazione.

Verifica firma P7M online

Scarica l'app DocKit

Apri file P7M direttamente dal tuo smartphone. Disponibile per iOS e Android.

Verifica firma digitale AgID
100% offline, zero tracking
Apri da Mail, Files, PEC
Scarica su App Store Disponibile su Google Play