Modulo 04 · Firma

Firma digitale eIDAS — FES, FEA, FEQ

Firma elettronica integrata su tre livelli: semplice, avanzata e qualificata, conforme eIDAS 910/2014 e CAD.

Richiedi demo personalizzata Torna a tutti i moduli

Cos'è la firma elettronica eIDAS in ambito assicurativo?

La firma elettronica eIDAS è il sistema di firma digitale conforme al Regolamento UE 910/2014 che garantisce validità legale alle polizze e contratti firmati elettronicamente in tutta l'Unione Europea. Il regolamento distingue tre livelli (FES, FEA, FEQ); la FEQ ha equivalenza giuridica della firma autografa (art. 25 eIDAS). NewPicass 14.Net implementa tutti e tre i livelli nativamente, con integrazione SPID/CIE come identity provider, marca temporale TSA Actalis, sigilli PAdES su PDF in modalità incrementale e workflow di firma multi-firmatario. Conforme anche al CAD italiano (D.Lgs. 82/2005) e al Regolamento IVASS sulla distribuzione (Reg. 40/2018).

Per chi

Chi firma documenti assicurativi

ContraentiFirma polizza con OTP, SPID, CIE — anche da mobile, senza stampa

BeneficiariFirma di accettazione, quietanza di pagamento, atti di svincolo

Personale internoUnderwriter, claims handler: firma con certificato qualificato remoto

Broker & coverholderFirma contratti binding authority, deleghe operative, BDX consegnati

Funzionalità chiave

Tre livelli, un solo workflow integrato

Livelli di firma

FES: OTP via SMS o email per firma rapida bassa-criticità
FEA: identificazione documento + selfie liveness + grafometrica
FEA: upgrade via identificazione SPID L2/L3 o CIE
FEQ: certificato qualificato remoto via CSC API
FEQ: supporto USB token per firma autonoma del firmatario
Multi-firmatario: catena di firme con sigilli PAdES incrementali

Compliance & standard

Marca temporale TSA Actalis (RFC 3161)
Sigilli elettronici PAdES, CAdES, XAdES
Hash SHA-256, chiavi RSA-2048
Conformità eIDAS 910/2014, art. 25-26
Conformità CAD italiano (D.Lgs. 82/2005)
Conservazione a norma AgID via partner certificati

Workflow tipico

Dalla polizza in stato "DA FIRMARE" al documento PAdES finale

Generazione PDF polizza

Il back-office genera il PDF della polizza usando i template del cedente. Identificazione del livello di firma richiesto (FES/FEA/FEQ) in base al tipo polizza e all'importo.

Invio al firmatario

Email/SMS al contraente con link sicuro alla pagina di firma. Il documento è visualizzato nel browser, con evidenza dei punti da firmare e delle condizioni accettate.

Identificazione del firmatario

FES: OTP via SMS. FEA: SPID/CIE o video-identificazione con riconoscimento documento. FEQ: PIN del certificato qualificato remoto presso il TSP del firmatario.

Apposizione firma

Il PDF viene firmato server-side (per FEQ) o client-side (per grafometrica). Sigillo PAdES applicato in modalità incrementale: le firme precedenti restano valide.

Marca temporale TSA

Richiesta TSA Actalis che certifica data e ora del documento firmato. Il timestamp è apposto come sigillo separato nel PDF.

Conservazione & notifica

Il PDF firmato + marca temporale è archiviato nel document store, indicizzato e disponibile per ricerca. Notifica push al produttore, email al beneficiario.

Tecnologie

Stack tecnico

Firma & PDF

iText7 pyhanko microservizio SHA-256 · RSA-2048 PAdES · CAdES · XAdES

Identity & TSA

SPID SAML 2.0 CIE · AgID ID CSC API (Cloud Signature) TSA Actalis · RFC 3161

FAQ

Domande frequenti sulla firma eIDAS

Qual è la differenza tra FES, FEA e FEQ?

FES (Firma Elettronica Semplice) è qualunque dato elettronico associato a un firmatario, es. spunta su checkbox. FEA (Firma Elettronica Avanzata) permette identificazione univoca del firmatario, è sotto suo controllo esclusivo e rileva modifiche post-firma (es. firma grafometrica + identificazione documento). FEQ (Firma Elettronica Qualificata) è una FEA basata su certificato qualificato emesso da un Trust Service Provider qualificato: secondo eIDAS art. 25 ha equivalenza giuridica della firma autografa.

Quando devo usare una FEQ in ambito assicurativo?

La FEQ è richiesta quando il documento ha effetti negoziali significativi e si vuole massima certezza giuridica: polizze fideiussorie verso PA (CIG, L210, AGEA), contratti di binding authority, deleghe di sottoscrizione, polizze ad alto premio. Per polizze retail e adempimenti operativi è normalmente sufficiente una FEA.

NewPicass 14.Net usa SPID o CIE per la firma?

Entrambi. SPID (Sistema Pubblico di Identità Digitale, SAML 2.0) e CIE (Carta d'Identità Elettronica) sono integrati come identity provider per la fase di identificazione che consente l'upgrade della firma a FEA. Per la FEQ la piattaforma si integra con Trust Service Provider qualificati italiani (Actalis, InfoCert, Aruba, Namirial) via CSC API (Cloud Signature Consortium API).

Cos'è una marca temporale TSA e perché serve?

La marca temporale è un'attestazione cifrata che certifica l'esistenza di un documento a una data e ora precise, emessa da un'autorità di certificazione (TSA = Time Stamping Authority) secondo lo standard RFC 3161. In ambito assicurativo serve per dare data certa a polizze e contratti firmati. NewPicass si integra con TSA Actalis e altre TSA certificate AgID.

I PDF firmati restano validi nel tempo se aggiungo firme dopo?

Sì, grazie al formato PAdES con sigilli incrementali. Quando un secondo firmatario aggiunge la sua firma, il PDF è modificato in modalità append (senza riscrivere le sezioni firmate dal primo): le firme precedenti restano valide e verificabili indipendentemente. Stesso meccanismo per le marche temporali successive.

Moduli correlati

Parliamone · 45 minuti

Vuoi vedere Firma digitale eIDAS — FES, FEA, FEQ in azione sui tuoi flussi?

45 minuti con un nostro tecnico, senza script commerciali. Ci mostri il vostro processo attuale e vi mostriamo concretamente come questo modulo risolverebbe i punti critici.

Richiedi demo Parla con un tecnico