Portale del Tecnico Pubblico — Piemonte  |  tecnicopubblico.it a cura di Christian Parenti
a cura di
Christian Parenti
Home Utility Guida Firma Massiva PA

🖋️ Guida Interattiva alla Firma Massiva

Devi firmare o controfirmare decine di PDF o file P7M? Rispondi a tre domande e ti diciamo esattamente come farlo in batch col tuo software, con quante OTP, e se ti conviene cambiare strumento.

Aruba Sign Dike GoSign Firma4NG ArubaKey ✓ 100% nel browser ✓ Nessun dato trasmesso

1 Che software di firma usi?

Se non lo sai, guarda l'icona sul desktop o nel menu Start. ArubaKey è quello legato al token USB nero.

2 Come firmi: token o OTP?

Se usi una chiavetta USB nera che metti nel PC, è token. Se ricevi un codice via SMS o app, è OTP (firma remota).

3 Che tipo di firma devi apporre?

Per autorizzazioni paesaggistiche e atti complessi, di norma serve la controfirma se il file è già firmato da un altro soggetto (progettista, RUP…).

Procedura passo per passo

    📊 Confronto rapido firma massiva

    Quanti file puoi firmare con una sola OTP, secondo le specifiche ufficiali dei produttori.

    Software Drag & drop multiplo File per una sola OTP Costo
    Aruba Sign✓ nativoillimitatoGratuito
    Dike GoSign (free)✗ un file alla voltaGratuito
    Dike GoSign PRO✓ sìmax 10 per OTP~60 €/anno
    Firma4NG (Namirial)✓ sìsupportataGratuito
    ArubaKeylimitatodipende dal tokenGratuito col token
    📑 PAdES vs CAdES
    PAdES mantiene l'estensione .pdf e mostra la firma direttamente nel documento. È lo standard de facto per atti amministrativi destinati al cittadino.

    CAdES incapsula qualsiasi file in una busta .p7m. Obbligatorio per file non-PDF (DWG, XML, ZIP…) e per la controfirma.
    🔗 Controfirma vs Firma parallela
    Controfirma: certifica la firma precedente (rapporto gerarchico, es. Responsabile che controfirma il funzionario istruttore).

    Parallela: più firme equipollenti sullo stesso documento (es. Sindaco + Segretario sullo stesso atto).
    ⚠️ Nota tecnica importante
    La firma parallela su file .p7m resta obbligatoriamente in formato CAdES. Non è possibile convertirla in PAdES nello stesso passaggio.

    La controfirma si applica solo a file in formato .p7m (CAdES), non ai PDF firmati PAdES.
    💡 Suggerimento operativo
    Prima di avviare il software, raccogli tutti i file da firmare in una cartella unica e dai loro un nome chiaro. Trascinali tutti insieme in un'unica sessione: risparmi tempo, riduci errori e hai subito un registro di cosa hai firmato.
    🔐

    Hai ricevuto un file P7M e vuoi aprirlo?

    Questo strumento ti aiuta a firmare. Se invece hai già un file .p7m e devi estrarne il documento originale (PDF, DOCX, XML…), usa il nostro Estrattore P7M: funziona 100% nel browser, nessun dato inviato a server.

    🔓 Vai all'Estrattore P7M →

    Cos'è la firma massiva e perché è fondamentale nella PA

    La firma digitale massiva (o firma in batch) è la possibilità di applicare la propria firma digitale qualificata a un insieme di file — decine o centinaia — attraverso un'unica sessione di autenticazione, senza dover ripetere l'inserimento del PIN o del codice OTP per ogni singolo documento. Per un tecnico della Pubblica Amministrazione — responsabile del procedimento, dirigente, istruttore — questa funzionalità non è un optional: è una necessità operativa quotidiana.

    Si pensi all'ufficio tecnico di un comune che deve rilasciare un permesso di costruire con venti elaborati grafici allegati, ciascuno già firmato dal progettista in formato .p7m, e su cui il RUP deve apporre la propria controfirma. O alla protocollazione massiva di provvedimenti a fine seduta di giunta. In questi scenari, la differenza tra un software che supporta la firma batch e uno che non la supporta può essere la differenza tra cinque minuti di lavoro e due ore.

    Firma digitale qualificata: cenni normativi

    In Italia, la firma digitale qualificata è disciplinata dal Regolamento eIDAS (UE) n. 910/2014 e dal Codice dell'Amministrazione Digitale (D.Lgs. 82/2005, CAD). L'articolo 21 del CAD stabilisce che il documento informatico sottoscritto con firma digitale ha l'efficacia prevista dall'art. 2702 del Codice Civile: fa piena prova fino a querela di falso della provenienza della dichiarazione da chi l'ha sottoscritta.

    I certificati di firma qualificata devono essere rilasciati da prestatori di servizi fiduciari qualificati (QTSP) inclusi nella Trust List italiana gestita da AgID. I principali sono Aruba PEC S.p.A., InfoCert S.p.A., Namirial S.p.A., e altri. Il formato della firma (PAdES, CAdES, XAdES) è disciplinato dalle specifiche ETSI.

    Formato PAdES: la firma che rimane nel PDF

    Il formato PAdES (PDF Advanced Electronic Signature), standardizzato da ETSI EN 319 102 e ETSI TS 103 172, incapsula la firma direttamente all'interno del file PDF. Il documento firmato mantiene l'estensione .pdf e può essere visualizzato con qualsiasi lettore PDF (Acrobat, Foxit, browser moderni) che mostrerà il pannello delle firme. Vantaggi: leggibilità immediata, nessun software aggiuntivo per aprirlo, compatibilità con i sistemi di protocollo informatico della PA. Limite: applicabile solo a file PDF, non a file di altra natura.

    Formato CAdES: la firma universale che genera il P7M

    Il formato CAdES (CMS Advanced Electronic Signatures), definito da ETSI TS 101 733 ed ETSI EN 319 122, avvolge il documento originale — qualunque esso sia — in una busta crittografica ASN.1/BER. Il file risultante ha l'estensione .p7m (o, in notazione estesa, nomefile.estensione.p7m: ad esempio planimetria.dwg.p7m). La struttura interna contiene il documento originale, la firma digitale, il certificato del firmatario e i riferimenti temporali. Il formato CAdES è obbligatorio quando:

    • il file da firmare non è un PDF (DWG, XML, ZIP, DOCX, immagini…);
    • si deve apporre una controfirma su un documento già firmato in CAdES;
    • si deve apporre una firma parallela su un documento CAdES esistente.

    Per aprire un file .p7m ed estrarne il documento originale senza installare software, puoi usare il nostro Estrattore P7M online, che funziona interamente nel browser.

    Controfirma vs firma parallela: quando usarle nella PA

    La controfirma (o co-firma gerarchica) si applica alla firma precedente, non al documento direttamente. Secondo la struttura CAdES, la controfirma diventa un attributo non autenticato della firma esistente: chi controfirma attesta l'esistenza e la validità della firma precedente, instaurando un rapporto gerarchico. È lo strumento tipico quando il responsabile del procedimento certifica la correttezza di quanto firmato dall'istruttore, o quando un dirigente controfirma l'atto firmato da un funzionario.

    La firma parallela (o firma multipla allo stesso livello) aggiunge una firma indipendente allo stesso documento, allo stesso livello delle firme esistenti. Non vi è gerarchia tra i firmatari: tutte le firme hanno pari valore. È lo strumento corretto quando Sindaco e Segretario Comunale firmano lo stesso provvedimento, o quando due RUP di enti diversi devono entrambi sottoscrivere un accordo di programma.

    Come scegliere il software giusto per la firma massiva

    Aruba Sign è attualmente il software più flessibile per la firma in batch nella PA italiana. Gratuito, scaricabile dal sito pec.it, supporta drag & drop di batch illimitati con una sola OTP. Il wizard interattivo qui sopra ti guida passo per passo nelle procedure specifiche per ogni combinazione software/dispositivo/tipo di firma.

    Dike GoSign di InfoCert è molto diffuso, ma nella versione gratuita permette di firmare un solo file per volta. La versione PRO (~60 €/anno) supporta la firma multipla fino a 10 file per OTP — sufficiente per batch ridotti, penalizzante per batch grandi. Con il token fisico il limite dei 10 file non si applica.

    Firma4NG di Namirial è un'alternativa gratuita valida, con supporto alla firma multipla e buona interfaccia. Compatibile con i certificati Namirial; verificare la compatibilità con altri provider prima di usarlo per batch critici.

    Domande frequenti sulla firma digitale massiva

    Quante OTP devo usare per firmare 30 file con Aruba Sign?
    Con Aruba Sign e firma remota OTP, una sola. Non esiste un limite dichiarato al numero di file firmabili in una singola sessione di autenticazione. Puoi trascinare 30, 50 o 100 file nella finestra e firmarli tutti con un unico inserimento di credenziali e codice OTP.
    Posso usare Aruba Sign con un certificato InfoCert o Namirial?
    Dipende dal tipo di dispositivo e certificato. Aruba Sign è ottimizzato per certificati Aruba, ma supporta anche token di altri provider tramite le interfacce PKCS#11 standard. Per la firma remota OTP, invece, le credenziali devono essere Aruba. Verifica con l'help desk del tuo ente o del rilasciante del certificato prima di affidarti ad Aruba Sign per batch critici con certificati non-Aruba.
    Qual è la differenza tra firma remota e firma con token USB?
    Con la firma remota (OTP), la chiave privata è custodita su un Hardware Security Module (HSM) del provider (es. Aruba, InfoCert, Namirial). Per sbloccarla serve un codice usa e getta (OTP) generato dall'app sul tuo smartphone o da un token display fisico. Non è necessario nessun dispositivo hardware inserito nel PC. Con il token USB o smart card, la chiave privata è fisicamente sul dispositivo in tuo possesso; per usarla inserisci il dispositivo nel PC e digiti il PIN locale. Il token è più veloce per batch grandi (nessun vincolo di rete), ma richiede la presenza fisica del dispositivo.
    Posso controfirmare file P7M in batch?
    Sì, ma solo con software che supportano la controfirma multipla. Aruba Sign lo supporta: trascini tutti i .p7m nella scheda Verifica, poi clicchi "Aggiungi Controfirma". Il processo è lo stesso della firma batch normale. Dike GoSign PRO supporta la controfirma multipla solo col token; con OTP vale il limite di 10 file.
    La firma massiva è legalmente equivalente alla firma singola?
    Sì. La firma digitale apposta in modalità batch ha lo stesso valore giuridico della firma apposta singolarmente, purché il certificato sia qualificato e valido al momento della firma. Il fatto che la stessa sessione di autenticazione copra più file non altera la natura qualificata della singola firma. Ogni file firmato contiene la firma crittograficamente indipendente.
    Cosa succede se il certificato scade mentre sto firmando un batch?
    Se il certificato scade durante la sessione di firma, i file elaborati prima della scadenza sono firmati validamente; quelli elaborati dopo potrebbero risultare con firma non valida. Il software di norma verifica la validità del certificato prima di avviare il batch e blocca l'operazione se è scaduto. Controlla la scadenza del certificato prima di avviare batch importanti: in Aruba Sign vai su Impostazioni → Certificati.
    Come verifico la validità delle firme dopo un batch?
    Puoi usare gli stessi software (Aruba Sign, Dike GoSign, Firma4NG) nella modalità Verifica, o il Validatore ufficiale del Ministero dell'Economia e delle Finanze (MEF) disponibile su firma.infocert.it o sul sito AgID. Per la PA è consigliabile verificare almeno un campione dei file dopo batch grandi, per intercettare eventuali errori di rete o timeout durante la firma remota.
    Dike GoSign free non supporta la firma multipla: cosa faccio?
    Hai tre strade: (1) upgradi a GoSign PRO (~60 €/anno, max 10 file per OTP con firma remota, illimitato col token); (2) installi gratuitamente Aruba Sign — se hai un certificato remoto Aruba è la scelta migliore per i batch; (3) usi Firma4NG di Namirial se il tuo certificato è compatibile. Molti tecnici PA con certificato InfoCert non sanno che Aruba Sign può essere usato anche come interfaccia per token di altri provider tramite PKCS#11.
    Posso aprire un file P7M senza installare nulla?
    Sì. Il nostro Estrattore P7M online ti permette di estrarre il documento originale da qualsiasi file .p7m direttamente nel browser, senza installare software e senza inviare nulla a server. Supporta PDF, DOCX, XLSX, XML, e molti altri formati. L'elaborazione avviene interamente sul tuo dispositivo.