SPID e CIE: puoi davvero firmare documenti con validità legale?

SPID e CIE possono servire per firmare documenti, ma non sempre nello stesso modo: la differenza tra FEA e FEQ è decisiva per capire cosa è davvero valido in ogni contesto.
Michele Nasi
Pubblicato il 16 apr 2026
SPID e CIE: puoi davvero firmare documenti con validità legale?

Nel processo di digitalizzazione dei servizi pubblici e privati, strumenti come SPID e Carta di Identità Elettronica (CIE) sono diventati centrali per l’identificazione online dei cittadini. Sempre più spesso, però, questi sistemi sono associati anche alla possibilità di firmare documenti con valore legale, generando aspettative non sempre allineate con la realtà tecnica e normativa.

La domanda “si possono usare SPID e CIE per firmare documenti?” sembra semplice, ma nasconde una complessità davvero significativa. Non esiste infatti una risposta univoca: tutto dipende dal tipo di firma elettronica utilizzata, dal contesto in cui è apposta e dal livello di garanzia richiesto. In ambito europeo, il quadro è regolato dal Regolamento eIDAS, che distingue tra diverse tipologie di firme: ciascuna ha caratteristiche tecniche ed effetti giuridici differenti.

Tipologie di firma elettronica e loro validità in Italia

Nel contesto italiano ed europeo, parlare genericamente di firma digitale è spesso fuorviante, perché esistono diverse tipologie di firma elettronica con caratteristiche tecniche e valore giuridico differenti.

La normativa eIDAS definisce una gerarchia precisa: si parte dalla firma elettronica semplice (FES), priva di particolari requisiti tecnici; si passa alla firma elettronica avanzata (FEA), che garantisce un collegamento univoco con il firmatario e l’integrità del documento, fino ad arrivare alla firma elettronica qualificata (FEQ), basata su certificati qualificati e dispositivi sicuri, che rappresenta il livello massimo di affidabilità.

In Italia tutte queste firme sono, in linea generale, ammissibili come prova, ma non sono equivalenti tra loro. La FES ha valore molto limitato e dipende fortemente dal contesto; la FEA è ampiamente utilizzata in ambito bancario, assicurativo e nei servizi digitali della Pubblica Amministrazione; la FEQ, invece, è l’unica che gode di una presunzione legale di equivalenza alla firma autografa, risultando quindi accettata senza particolari contestazioni nella maggior parte dei procedimenti amministrativi e legali.

Differenze tra FEA e FEQ più nel dettaglio

La FEA è una firma che garantisce quattro elementi fondamentali: è collegata univocamente al firmatario, consente la sua identificazione, è creata con dati sotto il suo controllo e permette di rilevare eventuali modifiche del documento. Tuttavia, non richiede certificati qualificati né dispositivi certificati. Ciò significa che la sua validità dipende molto dal contesto in cui è generata: la piattaforma che gestisce la firma deve essere in grado di dimostrare, tramite log, audit trail e procedure di sicurezza, che l’identità del firmatario è certa e che l’operazione non è contestabile.

La FEQ, invece, è una firma “forte” per definizione: utilizza un certificato qualificato rilasciato da un prestatore di servizi fiduciari (QTSP) ed è generata tramite dispositivi sicuri (fisici o remoti). Dal punto di vista giuridico, ha un vantaggio che è automaticamente considerata valida senza bisogno di ulteriori dimostrazioni.

La FEA è perfettamente utilizzabile per una vasta gamma di operazioni quotidiane: contratti bancari e assicurativi, attivazione di servizi, documenti firmati all’interno di portali online, pratiche amministrative che prevedono esplicitamente l’uso di SPID o CIE. In questi contesti, la firma è pienamente valida perché il sistema che la gestisce costituisce un ambiente controllato, in cui identità, consenso e integrità del documento sono tracciati.

La FEA è una firma con forza intermedia

Quando però si esce da questi contesti – ad esempio per atti societari, pratiche verso il registro imprese, procedure SUAP o documenti destinati a contenzioso – la situazione cambia: qui è spesso richiesta o fortemente preferita la FEQ, proprio perché offre una validazione standardizzata e universalmente riconosciuta.

Per quanto riguarda la Pubblica Amministrazione italiana, la FEA è accettata, ma non in modo uniforme. Non esiste un obbligo generale per tutte le amministrazioni di accettarla in qualsiasi procedura. La PA può accettare FEA (ad esempio nei servizi progettati per SPID o CIE), oppure richiedere esplicitamente una firma qualificata.

Il punto chiave è che la FEA è valida ma non sempre sufficiente: la sua accettazione dipende dal tipo di procedimento e dalle regole specifiche del servizio. Mentre la FEQ è sempre “spendibile” ovunque, la FEA funziona bene solo nei contesti in cui è prevista e supportata.

Come funzionano i servizi di “firma con SPID”

I servizi di “firma con SPID” non consistono in una firma digitale generata direttamente dal dispositivo dell’utente, ma in un processo orchestrato da un prestatore di servizi fiduciari che utilizza SPID come meccanismo di identificazione forte. In pratica, quando l’utente carica un documento da firmare, la piattaforma avvia un flusso di autenticazione SPID (di norma livello 2 o superiore) per verificare in modo certo l’identità del firmatario.

Una volta completata l’autenticazione, il sistema associa in modo univoco l’operazione di firma a quell’identità e genera la firma elettronica utilizzando infrastrutture server-side, spesso basate su certificati custoditi in ambienti sicuri (HSM, Hardware Security Module) gestiti dal provider.

Dal punto di vista tecnico e giuridico, il risultato può essere una FEA oppure anche una FEQ, a seconda di come il servizio è progettato e certificato.

La differenza non è tanto nel gesto dell’utente – che resta sempre un’autenticazione SPID seguita da una conferma (OTP, app, ecc.) – quanto nel livello di garanzia offerto dall’infrastruttura che materialmente appone la firma. In ogni caso, l’intero processo è tracciato tramite log, marcature temporali e audit trail, che costituiscono l’evidenza probatoria dell’operazione.

Ne deriva un modello di firma in cui l’elemento centrale non è il possesso di un dispositivo di firma, ma la combinazione tra identità digitale verificata e sistema fiduciario che certifica l’atto di sottoscrizione.

Quali fornitori offrono il servizio di firma con SPID?

Non sono molti i prestatori di servizi fiduciari che mettono a disposizione il servizio di firma con SPID. Con una semplice ricerca sul Web per “firma con SPID“, è comunque molto semplice individuarli.

Lo diceva già l’inventore di SPID Stefano Quintarelli nella sua FAQ risalente al 2022-2023:

Utilizzando SPID per provare la propria identità (…) si può fare una firma elettronica più forte, che viene accettata come vera dal giudice in caso di contenzioso e che può essere disconosciuta solo denunciando per falso il suo autore.

Il servizio Firma con SPID di InfoCert è un esempio tipico di firma elettronica gestita da un provider in cui l’utente non possiede direttamente un dispositivo di firma, ma utilizza la propria identità digitale per autorizzare l’operazione. In concreto, la firma avviene tramite il software GoSign: l’utente carica il documento, seleziona la modalità “firma con SPID” e viene reindirizzato al processo di autenticazione SPID.

Il ruolo di SPID è fondamentale: non serve per firmare direttamente il documento, ma identifica con certezza il firmatario. Durante il processo, l’utente effettua il login SPID (tipicamente livello 2 con OTP), dimostrando la sua identità.

Una volta completata l’autenticazione, è il sistema InfoCert a fare il resto: associa in modo univoco l’identità SPID all’operazione, applica la firma tramite infrastrutture server-side, registra log e evidenze dell’azione. L’intero flusso non è insomma basato sul possesso di un certificato locale, ma su una identificazione forte abbinata all’utilizzo di un’infrastruttura fiduciaria centralizzata.

Firma con CIE nei servizi dei provider: autenticazione vs firma reale

Quando molti prestatori di servizi fiduciari parlano di firma con CIE, spesso si crea un equivoco: nella maggior parte dei casi la CIE non è usata per firmare il documento bensì esclusivamente come strumento di identificazione forte per attivare una vera firma digitale.

Dal punto di vista tecnico, il flusso è simile a quello visto con SPID: l’utente utilizza la CIE per autenticarsi (tipicamente tramite NFC e PIN), dimostrando la propria identità con un livello elevato (livello 3). Questa fase sostituisce procedure più complesse come il riconoscimento di persona o la video-identificazione.

Una volta completata l’identificazione, il provider (ad esempio InfoCert, Aruba, Namirial) procede a:

  • generare una coppia di chiavi crittografiche (privata + pubblica);
  • associare la chiave pubblica a un certificato qualificato;
  • registrare tale certificato presso un prestatore qualificato (QTSP);
  • custodire la chiave privata in un ambiente sicuro (tipicamente un HSM).

A questo punto l’utente dispone di una firma elettronica qualificata (FEQ), anche se non possiede alcun dispositivo fisico.

Quando successivamente firma un documento, l’utente si autentica, il sistema sblocca l’uso della chiave privata custodita nell’HSM, il documento è firmato lato server. In questo caso la firma risultante è proprio una FEQ.

Come funziona la firma con CIE: CieSign

Sebbene SPID e CIE siano essenzialmente sistemi di identificazione forte, è prevista la possibilità di firmare documenti con la Carta di Identità Elettronica. In questo caso, avvalendosi di un’applicazione come CieSign per Android e iOS – sviluppata per il Ministero dell’Interno dall’Istituto Poligrafico e Zecca dello Stato – la firma è generata direttamente dal dispositivo fisico, cioè dalla carta stessa, che funziona come una smart card crittografica contenente certificati digitali e chiavi private.

Dal punto di vista operativo, il processo è più “classico”:

  • l’utente avvia il software compatibile (i.e. CieSign);
  • avvicina la CIE allo smartphone (NFC) o utilizza un lettore smart card;
  • inserisce il PIN della carta;
  • la chiave privata contenuta nel chip firma il documento.

Nonostante il meccanismo crittografico sia simile a quello di una firma digitale classica, la firma con CIE è una FEA e non una FEQ. Il motivo è che i certificati della CIE non sono qualificati secondo i criteri eIDAS; non fanno parte, in modo standardizzato, delle trust list dei provider qualificati; la verifica dipende spesso dal contesto e dagli strumenti utilizzati.

Un documento firmato con CIE può risultare valido e integro, non attendibile per alcuni software (es. ArubaSign, Dike,…), con catena di fiducia non riconosciuta, persino dagli strumenti ufficiali. Questo accade perché i verificatori standard cercano certificati qualificati (FEQ).

La firma con CIE è adatta in contesti specifici: trasferimento di documenti firmati alla Pubblica Amministrazione nei casi in cui supporti esplicitamente CIE, servizi digitali integrati, documenti dove è sufficiente applicare una FEA. Non è adatta per pratiche verso imprese o SUAP, atti con forte rilevanza legale, documenti che devono essere verificati da sistemi eterogenei.

Il paradosso del 2026: CieSign parla di certificato non attendibile per i documenti firmati con la stessa app

Curiosamente, almeno da dicembre 2025 (basta dare un’occhiata anche ai commenti qui), l’app CieSign restituisce l’errore seguente quando si prova a verificare un documento (un file PDF o un .p7m) precedentemente firmati con la stessa applicazione:

Certificato non attendibile. La catena di fiducia non è riconosciuta come CIE.

Peccato che il middleware Cie per sistemi desktop realizzato sempre dall’Istituto Poligrafico e Zecca indichi che sul medesimo file non esistono problemi relativamente all’intera catena di fiducia.

Verifica firma digitale FEA CIE CieSign

Oltretutto, provando a utilizzare l’app Firmo con CIE – creata da uno sviluppatore indipendente – la procedura di firma con la Carta d’Identità Elettronica va a buon fine e la catena di fiducia è approvata. Gli stessi file firmati con l’app Firmo con CIE sono ritenuti esenti da problemi dal middleware Cie.

App Firmo con CIE

Per verificare le firme da terminale si può utilizzare l’utilità Linux pdfsig. L’installazione avviene digitando sudo apt install poppler-utils -y.

A questo punto il comando pdfsig documento.pdf restituisce informazioni come firmatario, certificatore, validità e stato della firma. In presenza di un fornitore qualificato (QTSP) il certificato è FEQ.

Conclusioni

SPID e CIE sono, di per sé, sistemi di identità digitale che possono essere utilizzati in contesti diversi per arrivare a una sottoscrizione con valore legale.

La distinzione fondamentale è che non tutte le firme sono uguali: la FEA è valida ma la sua effettiva accettazione dipende dal contesto; la FEQ, invece, rappresenta lo standard più solido e universalmente accettato.

Il risultato è un sistema che funziona, ma richiede consapevolezza: quando però entrano in gioco interoperabilità, contenziosi o requisiti formali stringenti, la FEQ resta l’unica soluzione realmente “universale”. Comprendere questa differenza è essenziale per evitare errori, fraintendimenti e, soprattutto, per garantire che un documento firmato oggi sia riconosciuto come valido anche domani.

Ti consigliamo anche

L'app UE per verificare l'età è pronta: come cambia il Web
Identità digitale

L'app UE per verificare l'età è pronta: come cambia il Web
Active Directory: perché gli aggiornamenti Microsoft di aprile 2026 romperanno molti accessi Kerberos
Business

Active Directory: perché gli aggiornamenti Microsoft di aprile 2026 romperanno molti accessi Kerberos
I governi comprano i tuoi dati senza mandato: ecco come
Identità digitale

I governi comprano i tuoi dati senza mandato: ecco come
Face ID e Touch ID hanno un vantaggio nascosto che pochi considerano
Identità digitale

Face ID e Touch ID hanno un vantaggio nascosto che pochi considerano
Link copiato negli appunti