SignNTrack – Swiss E-Signature Software & Document Management

Log in

Firma elettronica qualificata (QES) – Definizione e quadro legale

Cos’è la QES, quando è obbligatoria e come garantisce l’equivalenza alla firma autografa in Svizzera (ZertES) e nell’UE (eIDAS).

Aggiornato: Tempo di lettura: ~9 min

La firma elettronica qualificata (QES) è il massimo livello di garanzia della firma digitale. In UE è disciplinata dal regolamento eIDAS e in Svizzera dalla legge ZertES. La QES è equivalente alla firma autografa quando sono soddisfatti requisiti tecnici e procedurali ben precisi (certificati qualificati, dispositivi/servizi qualificati, identificazione forte).

Definizione di QES

Per QES si intende una firma elettronica creata con un certificato qualificato rilasciato da un Qualified Trust Service Provider (QTSP) e generata tramite dispositivo qualificato o servizio di creazione qualificato. La QES garantisce:

  • Autenticità del firmatario (identità verificata);
  • Integrità del documento (rilevazione di modifiche);
  • Non ripudio (forte valore probatorio).

Confronto livelli: vedi SES vs. AES vs. QES.

Quadro legale: eIDAS & ZertES

In UE, eIDAS stabilisce che la QES è legalmente equivalente alla firma a penna. In Svizzera, ZertES definisce i presupposti per il riconoscimento della QES e la sua efficacia in atti che richiedono forma scritta. Per aspetti di privacy nei processi di firma, vedi GDPR e firme elettroniche.

Componenti tecniche della QES

  • Certificato qualificato intestato al firmatario, emesso da QTSP riconosciuto.
  • Dispositivo o servizio qualificato (QSCD o servizio remoto) che protegge le chiavi private.
  • Identificazione forte del firmatario (ad es. ID check/eID, KYC, video-identificazione).
  • Formato di firma (es. PAdES/XAdES/CAdES) con marca temporale affidabile.
  • Audit trail completo degli eventi (invio, accesso, OTP, firma) – vedi audit trail & conformità.

Quando usare la QES

  • Atti che richiedono forma scritta o valore probatorio massimo.
  • Contratti di banca e assicurazioni ad alto rischio.
  • Appalti pubblici e procedure con requisiti formali stringenti.
  • Deleghe e procure, patti sensibili o di elevato impatto economico.

Per altri casi può essere sufficiente AES con identificazione adeguata.

Flussi pratici: on-device vs. remoto

  • On-device (smart card/chiavetta/QSCD): massima segregazione delle chiavi, gestione fisica del dispositivo.
  • Remoto/Cloud QES: chiavi protette in HSM qualificati; il firmatario autorizza con autenticazione forte (es. OTP + biometria/ID).

Entrambe le modalità possono essere qualificate se rispettano i requisiti. Con SignnTrack è possibile orchestrare QES remota dentro flussi multi-firma con ruoli e reminders.

Verifica e validazione

Per verificare una QES:

  1. Apri il PDF firmato (PAdES) o il pacchetto firma (XAdES/CAdES);
  2. Controlla validità del certificato (catena, CRL/OCSP);
  3. Conferma la marca temporale e l’integrità (hash);
  4. Abbina gli eventi dell’audit trail all’identità del firmatario.

Conserva il file originale, i certificati e le evidenze di verifica per future perizie.

Riconoscimento transfrontaliero

La QES è progettata per l’interoperabilità. Nelle relazioni Svizzera–UE, verifica che i QTSP e i formati siano riconosciuti nella giurisdizione di destinazione e che il processo d’identificazione sia accettabile in entrambi i sistemi.

Best practice di implementazione

  1. Mappa dei documenti e requisiti di forma → scegli SES/AES/QES di conseguenza.
  2. Identificazione forte allineata al rischio (ID check/eID/Wallet).
  3. Marca temporale e audit trail firmato/sigillato su ogni firma.
  4. Conservazione di originale, certificati, OCSP/CRL e policy di retention.
  5. Privacy by design e conformità GDPR.

FAQ – Firma elettronica QES

La QES è davvero equivalente alla firma autografa?

Sì. In UE (eIDAS) e in Svizzera (ZertES) la QES è equiparata alla firma a penna quando generata con certificati e dispositivi/servizi qualificati.

Serve sempre la QES?

No. È richiesta quando serve forma scritta o massima forza probatoria. Per molti atti basta una AES correttamente implementata.

Come funziona la QES remota in cloud?

Le chiavi sono custodite in HSM qualificati dal QTSP; il firmatario autorizza l’uso tramite autenticazione forte (es. OTP e fattori aggiuntivi). Il processo è tracciato nell’audit trail.

Come si verifica una QES su un PDF?

Apri il PDF (PAdES) e verifica catena di certificazione, stato OCSP/CRL, marca temporale e integrità. Conserva originale, certificati e log come prova.

Attiva la firma elettronica qualificata con SignnTrack

QES remota con audit trail, marca temporale e integrazioni pronte. Conforme a eIDAS/ZertES e alle migliori pratiche di sicurezza.

Prova gratuita

In sintesi: la firma elettronica qualificata fornisce l’equivalenza legale alla firma a penna grazie a certificati, dispositivi e procedure qualificati. Usala quando la forma scritta o l’alto rischio lo richiedono; altrove, valuta AES.