Firma digitale: token USB o app? Come scegliere
Te lo diciamo noi: la firma digitale qualificata ha lo stesso valore legale sia su token USB sia tramite app di firma remota. La differenza non è giuridica, è pratica. Il token è un dispositivo fisico che tieni nel cassetto e colleghi al PC. L’app ti permette di firmare da smartphone o browser senza hardware. La scelta dipende da dove e quanto firmi.
Cosa devi sapere subito
- Token e app producono entrambi una firma digitale qualificata, equivalente alla firma autografa ai sensi del CAD (Codice dell’Amministrazione Digitale, art. 21)
- Il token costa in media 25-70 € una tantum più il certificato; l’app di firma remota parte da circa 25-40 € l’anno
- Il token richiede un PC con porta USB (o adattatore); l’app funziona da qualsiasi dispositivo connesso a internet
- Entrambi vanno acquistati da un certificatore accreditato AgID
- Il certificato dura 3 anni, poi si rinnova a pagamento
Token USB e app: cosa sono davvero
Prima di confrontarli, vale la pena chiarire di cosa si parla.
Il token USB è un piccolo dispositivo hardware, simile a una chiavetta. Dentro c’è un chip crittografico che custodisce il tuo certificato di firma. Quando vuoi firmare, colleghi il token al PC, apri il software del certificatore, inserisci il PIN e firmi il documento. Il certificato non lascia mai il chip: anche se il tuo computer fosse compromesso, il malware non può estrarre la chiave privata.
La firma remota tramite app funziona in modo diverso. Il tuo certificato non è su un dispositivo che possiedi, ma su un server protetto (si chiama HSM, Hardware Security Module) gestito dal certificatore. Quando firmi, l’app chiede la tua autorizzazione — di solito un codice OTP o una notifica push — e il server appone la firma per tuo conto. Il risultato è tecnicamente e legalmente identico.
In italiano: nel primo caso il “cassaforte” del certificato è in tasca tua. Nel secondo è in banca, ma la chiave del lucchetto ce l’hai solo tu.
Le differenze concrete: una tabella
| Caratteristica | Token USB | App / Firma remota |
|---|---|---|
| Dispositivo richiesto | PC con porta USB | Qualsiasi dispositivo con internet |
| Costo di ingresso | 25-70 € (hardware + certificato) | 25-40 € (primo anno) |
| Costo annuo dopo il primo anno | ~15-30 € (rinnovo certificato) | ~25-40 € (abbonamento) |
| Uso in mobilità | Difficile (serve PC) | Sì, da smartphone |
| Installazione software | Sì, richiesta | Minima o assente |
| Dipende dalla connessione internet | No (solo per la firma) | Sì, sempre |
| Rischio smarrimento | Sì (dispositivo fisico) | No |
| Compatibilità con tablet/Chromebook | No / limitata | Sì |
| Livello di sicurezza legale | Qualificata | Qualificata |
Quando conviene il token USB
Il token è la scelta giusta in alcuni scenari precisi.
Firmi spesso da postazione fissa. Se sei un professionista — commercialista, notaio, avvocato, ingegnere — e firmi decine di documenti al giorno dalla scrivania, il token è veloce e affidabile. Colleghi, inserisci il PIN, firmi. Non serve internet per la firma in sé (serve solo per la validazione del certificato, che avviene online in background).
Hai già il PC configurato. Il software di firma desktop come ArubaSign, Dike o FirmaOK! è maturo, stabile e supporta tutti i formati: PAdES (PDF), CAdES (p7m) e XAdES. Se sei già abituato a questi strumenti, non hai motivo di cambiare.
Devi firmare documenti riservati senza passare per server di terze parti. Con il token, il documento firmato non transita mai su infrastrutture esterne. Per chi tratta dati sensibili, questo può essere un elemento di valutazione.
Il costo nel lungo periodo è più basso. Se tieni il token tre anni e rinnovi solo il certificato, spendi meno rispetto a un abbonamento annuale alla firma remota. Il break-even dipende dal certificatore e dal piano scelto, ma in genere il token conviene a chi firma regolarmente per anni.
Quando conviene l’app di firma remota
L’app è la scelta giusta in altri scenari altrettanto comuni.
Firmi in mobilità. Sei sempre in giro, usi lo smartphone o il tablet, non hai sempre un PC a portata di mano. La firma remota ti permette di firmare un contratto dal telefono in trenta secondi.
Non vuoi gestire hardware. Il token si può rompere, perdere, dimenticare. Se ti spaventa l’idea di dipendere da un oggetto fisico, l’app elimina il problema alla radice.
Usi un Chromebook, un iPad o un PC senza porte USB. I computer moderni eliminano spesso le porte USB-A tradizionali. Un adattatore risolve, ma aggiunge un passaggio. Con l’app, nessun problema.
Firmi pochi documenti l’anno. Se firmi tre o quattro documenti l’anno, il costo dell’abbonamento alla firma remota è accettabile e non ti impegni in un acquisto hardware.
Ricevi documenti da firmare via email o da portali web. Molti portali (quelli del Registro Imprese, alcune piattaforme di gestione documentale) integrano direttamente la firma remota nel flusso di lavoro. Firmi senza uscire dal browser.
Come fare passo passo: attivare il token USB
- Scegli un certificatore accreditato AgID (vedi la sezione Fonti ufficiali per l’elenco)
- Acquista il kit sul sito del certificatore: ricevi token + codici via posta o corriere
- Installa il software di firma del certificatore sul tuo PC
- Inserisci il token nella porta USB
- Segui la procedura di attivazione guidata: ti viene chiesto di impostare il PIN personale
- Identifica il certificato appena installato nel software di firma
- Firma un documento di prova e verifica la firma tramite lo strumento online del tuo certificatore o di AgID
- Conserva il token in posto sicuro e memorizza il PIN (o conservalo in modo protetto, non scritto sul token stesso)
Come fare passo passo: attivare la firma remota tramite app
- Scegli un certificatore accreditato AgID che offra firma remota
- Registrati sul sito e acquista il servizio di firma remota
- Completa il riconoscimento: di solito tramite SPID, CIE o videochiamata con un operatore
- Scarica l’app del certificatore su smartphone o PC
- Associa il tuo account all’app e configura il secondo fattore (OTP o notifica push)
- Entra nell’app, carica o seleziona il documento da firmare
- Inserisci il PIN e approva la firma tramite OTP o notifica
- Scarica il documento firmato
I principali certificatori: chi sono e cosa offrono
In Italia i certificatori accreditati da AgID per la firma digitale qualificata sono una decina. I più diffusi tra privati e professionisti sono:
| Certificatore | Token USB | Firma remota | Note |
|---|---|---|---|
| Aruba | Sì | Sì | Uno dei più usati dai professionisti, software ArubaSign |
| Infocert | Sì | Sì | Dike come software; firma remota con GoSign |
| Namirial | Sì | Sì | Anche integrazione con suite documentali |
| Poste Italiane | Sì | Sì | Distribuzione capillare, punti fisici in tutta Italia |
| InfoCamere | Sì | Sì | Orientato alle imprese e al Registro Imprese |
Carte alla mano: i prezzi cambiano spesso, soprattutto per la firma remota. Controlla sempre il listino aggiornato sul sito del certificatore prima di acquistare. L’elenco completo e aggiornato dei prestatori attivi è pubblicato da AgID.
I formati di firma: PAdES, CAdES, XAdES
Quando firmi con token o app, il software ti chiede in quale formato vuoi firmare. Non è una scelta tecnica astratta: dipende da cosa ti chiede chi riceve il documento.
PAdES (PDF Advanced Electronic Signatures): il documento resta un PDF. La firma è visibile come un timbro o un campo firma nel file. È il formato più comodo per i comuni scambi di documenti.
CAdES (CMS Advanced Electronic Signatures): il documento viene “busta”to in un file con estensione .p7m. Per aprirlo serve un software di firma. È richiesto da molte PA italiane, in particolare per atti formali.
XAdES (XML Advanced Electronic Signatures): usato per documenti XML, fatture elettroniche e alcuni scambi con la PA.
Se non ti è stato specificato il formato, chiedi a chi riceverà il documento. Se nessuno te lo dice, PAdES è il più universale per i rapporti con privati; CAdES è spesso richiesto per la PA.
Cosa succede quando il certificato scade
Il certificato di firma dura 3 anni dalla data di rilascio. Quando si avvicina la scadenza, il certificatore ti manda una mail di avviso.
Per il token USB: il rinnovo si fa online, senza comprare un nuovo token. Entri nel portale del certificatore, paghi il rinnovo, esegui la procedura guidata con il token collegato al PC. In pochi minuti il certificato viene aggiornato sul chip.
Per la firma remota: il rinnovo avviene tramite l’app o il portale del certificatore, con la stessa procedura di autorizzazione che usi per firmare. Di solito è automatico se hai un abbonamento attivo.
In entrambi i casi: i documenti firmati prima della scadenza restano validi. La firma apposta era valida nel momento in cui è stata fatta. Non devi rifirmare nulla.
Fonti ufficiali
- AgID — Firma elettronica qualificata: panoramica normativa e definizioni
- AgID — Prestatori di servizi fiduciari attivi in Italia: elenco aggiornato dei certificatori accreditati
- Normattiva — CAD, art. 21: valore legale della firma digitale qualificata
- Regolamento eIDAS (UE) n. 910/2014: quadro europeo per le firme elettroniche qualificate
Le cose che chiedete più spesso
Il token USB funziona su tutti i computer?
Su quasi tutti i PC Windows e Mac moderni sì, a patto di installare il software del certificatore. Su Chromebook o tablet la compatibilità è limitata o assente. Se usi spesso dispositivi diversi o non fissi, l’app remota è più pratica.
L’app per la firma digitale è sicura quanto il token?
Sì, se si tratta di firma remota qualificata rilasciata da un certificatore accreditato AgID. Il certificato è custodito su un HSM del certificatore, non sul tuo telefono. La sicurezza è equivalente al token per gli effetti legali.
Posso usare la firma digitale su smartphone senza app dedicata?
Dipende dal servizio. Alcuni portali PA accettano la firma tramite SPID o CIE, che non richiedono firma digitale separata. Se invece devi firmare un PDF o un contratto privato, ti serve l’app del tuo certificatore o un software desktop.
Il token USB va bene per firmare documenti in formato PAdES (PDF)?
Sì. I principali software di firma come ArubaSign, Dike o FirmaOK! supportano PAdES, CAdES e XAdES con qualsiasi token accreditato. Scegli il formato in base a cosa ti chiede chi riceve il documento.
Cosa succede se perdo il token USB?
Devi revocare il certificato immediatamente contattando il tuo certificatore. La procedura è online o telefonica. Il token è protetto da PIN, quindi chi lo trova non può usarlo senza conoscerlo, ma non aspettare: chiama o scrivi al certificatore appena te ne accorgi.
Quanto dura un certificato di firma digitale?
Di solito 3 anni, poi va rinnovato a pagamento. Alcuni certificatori offrono rinnovi anticipati a costo ridotto. Il rinnovo non richiede di comprare un nuovo token: puoi ricaricare il certificato sullo stesso dispositivo.
Posso avere sia il token sia l’app con lo stesso certificato?
No. Token e firma remota sono due prodotti distinti, con due certificati separati. Alcuni certificatori vendono bundle che includono entrambi a prezzo ridotto, se hai bisogno di firmare sia da PC fisso sia in mobilità.
Ultimo aggiornamento: 9 giugno 2026. Revisione prevista: dicembre 2026. In questa versione aggiornati i riferimenti ai certificatori attivi e i prezzi indicativi.