La firma digitale sui documenti consiste nella creazione di una “busta crittografica” in cui sono inseriti, il documento originale e il file di firma, che comprende la chiave di verifica della stessa.

La firma digitale è obbligatoria nel momento in cui la fattura viene emessa nei confronti delle Pubbliche Amministrazioni, mentre per le fatture B2B l’inserimento della firma non è obbligatorio, dal punto di vista normativo.

Dunque, il cedente che emette fattura B2B o B2C può scegliere di inserire la firma digitale sui documenti trasmessi tramite il SdI, oppure può decidere di non firmarli.

Per inserire la firma digitale su una fattura elettronica è necessario un certificato di firma elettronica qualificata rilasciato, ad una persona fisica, da un soggetto accreditato presente nell’ elenco dei certificatori autorizzati, pubblicato sul sito dell’Agenzia per l’Italia Digitale.

Il Sistema di Interscambio ammette i seguenti formati di firma:

• CAdES-BES (Cryptographic Message Syntax Advanced Electronic Signatures) con struttura aderente alla specifica pubblica ETSI TS 101 733 V1.7.4, così come previsto dalla normativa in materia a partire dal 1 settembre 2010. Con modalità CAdES possono essere firmati tutti i tipi di documento. In questo caso il file firmato presenterà una estensione .p7m

Per poterne verificare la firma digitale apposta con estensione p7m, di seguito un elenco di software gratuiti e a norma di legge:

• DigitalSign (Composed)
• Firma Ok (Postecom)
• Sign’ncryptll (Digitaltrust)
• PkNet (Intesi Group)
• DIKE (Infocert)
• DSTK (Primeur Security Service)

• XAdES-BES (XML Advanced Electronic Signatures), con struttura aderente alla specifica pubblica ETSI TS 101 903 versione 1.4.1, così come previsto dalla normativa in materia a partire dal 1 settembre 2010. L’unica modalità accettata per questo tipo di firma è quella “enveloped”. Inoltre la firma XAdES deve presentare gli element Reference con URI=“” oppure con URI=“#iddoc” dove iddoc indica l’identificativo del documento da firmare: non è possibile quindi omettere l’attributo URI all’interno degli elementi Reference.

Una volta inviata la fattura, il Sistema di Interscambio verificherà la validità del certificato di firma, rispondendo con notifica di scarto qualora:

• 00100: il certificato di firma risulta scaduto, quindi non valido;
• 00101: il certificato di firma risulta revocato, quindi non valido;
• 00107: il certificato non è valido;
• 00103: nella firma digitale non è presente un riferimento temporale;
• 00105: il riferimento temporale della firma apposta non è coerente.