SPID e CIE (Carta di Identità Elettronica) sono ormai gli strumenti cardine per identificarsi online in Italia, sia verso la Pubblica Amministrazione che verso i privati. Eppure, quando si parla della possibilità di firmare documenti con validità legale usando questi sistemi, le cose si fanno parecchio meno lineari di quanto ci si aspetterebbe. Tutto ruota attorno al tipo di firma elettronica coinvolta, al contesto in cui viene apposta e al livello di garanzia che serve. Il quadro europeo è regolato dal Regolamento eIDAS, che distingue tra diverse tipologie di firme, ciascuna con effetti giuridici differenti.
Parlare genericamente di “firma digitale” è fuorviante, perché la normativa eIDAS prevede una gerarchia precisa. Si parte dalla firma elettronica semplice (FES), che non ha requisiti tecnici particolari e offre un valore probatorio molto limitato. Si passa poi alla firma elettronica avanzata (FEA), che garantisce un collegamento univoco con il firmatario e l’integrità del documento. Infine c’è la firma elettronica qualificata (FEQ), basata su certificati qualificati e dispositivi sicuri, che rappresenta il massimo livello di affidabilità e gode di una presunzione legale di equivalenza alla firma autografa.
La FEA funziona bene in molti contesti quotidiani: contratti bancari, attivazioni di servizi, pratiche amministrative che prevedono esplicitamente l’uso di SPID o CIE. In questi casi la firma è pienamente valida perché il sistema che la gestisce costituisce un ambiente controllato. Quando però si esce da questi ambiti, ad esempio per atti societari, pratiche verso il registro imprese o documenti destinati a contenzioso, è spesso richiesta la FEQ, che offre una validazione standardizzata e universalmente riconosciuta. Per la Pubblica Amministrazione, la FEA è accettata ma non in modo uniforme: non esiste un obbligo generale per tutte le amministrazioni di accettarla in qualsiasi procedura.
Come funzionano i servizi di firma con SPID e con CIE
I servizi di firma con SPID non generano una firma direttamente dal dispositivo dell’utente. In pratica, un prestatore di servizi fiduciari utilizza SPID come meccanismo di identificazione forte. L’utente carica il documento, la piattaforma avvia un flusso di autenticazione SPID (di norma livello 2 o superiore), e una volta verificata l’identità il sistema genera la firma tramite infrastrutture server, spesso basate su certificati custoditi in ambienti sicuri (HSM, Hardware Security Module). Il risultato può essere una FEA oppure una FEQ, a seconda di come il servizio è progettato e certificato. L’intero processo è tracciato tramite log, marcature temporali e audit trail. Un esempio tipico è il servizio Firma con SPID di InfoCert, che opera attraverso il software GoSign: SPID identifica con certezza il firmatario, poi è il sistema InfoCert ad associare l’identità all’operazione e ad applicare la firma. Come spiegava già Stefano Quintarelli, inventore di SPID, utilizzando SPID per provare la propria identità si può ottenere una firma elettronica che viene accettata come vera dal giudice in caso di contenzioso.
Discorso simile per la CIE quando viene usata dai provider: nella maggior parte dei casi la Carta di Identità Elettronica non firma il documento direttamente, ma serve come strumento di identificazione forte per attivare una vera firma digitale. L’utente si autentica tramite NFC e PIN (livello 3), dopodiché il provider genera chiavi crittografiche, le associa a un certificato qualificato e custodisce la chiave privata in un HSM. A quel punto l’utente dispone di una FEQ vera e propria.
Esiste poi l’app CieSign, sviluppata per il Ministero dell’Interno dall’Istituto Poligrafico e Zecca dello Stato, che permette di firmare documenti direttamente con il chip della CIE. Qui il meccanismo è più classico: l’utente avvicina la carta allo smartphone via NFC, inserisce il PIN, e la chiave privata contenuta nel chip firma il documento. Però, nonostante il meccanismo crittografico sia solido, la firma con CIE tramite CieSign è una FEA e non una FEQ, perché i certificati della CIE non sono qualificati secondo i criteri eIDAS e non fanno parte delle trust list dei provider qualificati.
Il curioso problema di CieSign nel 2026
C’è un aspetto che sa quasi di paradosso. Almeno da dicembre 2025, l’app CieSign restituisce un errore quando si prova a verificare un documento precedentemente firmato con la stessa applicazione: “Certificato non attendibile. La catena di fiducia non è riconosciuta come CIE.” Il fatto curioso è che il middleware CIE per sistemi desktop, realizzato sempre dall’Istituto Poligrafico e Zecca, sul medesimo file non rileva alcun problema relativo alla catena di fiducia. E c’è di più: usando l’app Firmo con CIE, creata da uno sviluppatore indipendente, la procedura di firma va a buon fine e la catena di fiducia risulta approvata. Gli stessi file firmati con Firmo con CIE vengono ritenuti esenti da problemi anche dal middleware CIE ufficiale.
SPID e CIE restano quindi sistemi di identità digitale che possono essere utilizzati per arrivare a una sottoscrizione con valore legale, ma non tutte le firme sono uguali: la FEA è valida ma la sua accettazione dipende dal contesto, mentre la FEQ rappresenta lo standard più solido e universalmente accettato, l’unica soluzione davvero “spendibile” ovunque senza rischi di contestazione.
