Blog
📣 Garda Base: il gestionale su misura, al prezzo di uno standard
Sviluppo software

Firma Elettronica Qualificata Massiva: API di Firma Remota vs Smart Card con Garda Informatica Agent

Giovanni Chiodi | 5 giugno 2026

Nello sviluppo di software gestionali personalizzati, l'integrazione della Firma Elettronica Qualificata (FEQ) su base massiva è un requisito sempre più frequente. Si pensi alla necessità di firmare centinaia di dichiarazioni XML per l'Agenzia delle Dogane (formato XAdES-BES) o altrettanti Rapporti di Prova in PDF per i laboratori di analisi chimiche (formato PAdES-BES) su base quotidiana.

A livello ingegneristico e di architettura software, l'automazione di questo processo si scontra spesso con barriere economiche e tecnologiche imposte dai Prestatori di Servizi Fiduciari Qualificati (QTSP).

In questo articolo analizziamo i due approcci principali per implementare la firma massiva in un software gestionale cloud: l'integrazione di API di Firma Remota tradizionali e la soluzione architetturale proprietaria Garda Informatica Agent basata su smart card hardware e standard aperti.

L'approccio tradizionale: API di Firma Remota#

La firma remota si basa su un modulo HSM (Hardware Security Module) ospitato nei data center del QTSP. Per automatizzare il processo da un gestionale cloud, gli utenti invocano le funzionalità di firma tramite web service dedicati.

Sebbene l'esperienza utente sia lineare, l'analisi dei costi (TCO) e i vincoli architetturali evidenziano criticità significative per le PMI:

  • Costi di esercizio elevati: i QTSP fatturano l'accesso alle proprie API con canoni annuali elevati (mediamente intorno ai 3.000 €/anno), a cui si sommano circa 100 €/anno per ogni singolo certificato di firma emesso.
  • Tariffazione a consumo: molti fornitori applicano scaglioni di prezzo basati sul volume di firme mensili, rendendo i costi operativi variabili e difficilmente prevedibili.
  • Costi di integrazione e Lock-in: l'implementazione delle API proprietarie richiede un investimento iniziale stimabile in circa 3.000 € tra sviluppo e setup. Cambiare QTSP in futuro comporta la re-implementazione dei web service e il riacquisto di tutti i certificati, a causa della scarsa adozione diffusa degli standard di interoperabilità come il Cloud Signature Consortium (CSC).

L'approccio alternativo: Smart Card + Garda Informatica Agent#

L'alternativa sviluppata nei nostri laboratori sposta il focus hardware dal cloud del QTSP alla postazione locale dell'utente, sfruttando un dispositivo crittografico standard dal costo irrisorio: la smart card (o token USB).

Una smart card FEQ ha un costo medio di 40-50 € con validità triennale e un lettore da tavolo costa circa 10 €. Dal punto di vista software, tutti i dispositivi di firma qualificata rispondono allo standard PKCS#11 , che definisce un'API indipendente dalla piattaforma per l'interazione con i token crittografici tramite i driver distribuiti dal produttore (librerie dinamiche .dll).

Per colmare il gap comunicativo tra il browser (dove risiede il gestionale cloud) e l'hardware locale, abbiamo sviluppato Garda Informatica Agent, un modulo software nativo installato sul PC dell'operatore.

Il Flusso Architetturale della Firma Massiva

L'ottimizzazione del processo non risiede nel trasferimento massivo dei file, bensì nella firma del solo digest crittografico. Il flusso si articola nei seguenti passaggi:

  1. Generazione dei Digest (Cloud): Il gestionale in cloud recupera i documenti da firmare (es. 100 file PDF o XML) e per ciascuno calcola l'impronta digitale (digest) di pochi byte.
  2. Invocazione dell'Agent: Il gestionale invia l'insieme dei digest a Garda Informatica Agent tramite un canale di comunicazione locale sicuro.
  3. Autenticazione Locale: L'Agent mostra il riepilogo della richiesta di firma, comunica con la smart card tramite lo standard PKCS#11 e richiede all'utente l'inserimento del PIN di firma (garantendo la conformità sul controllo esclusivo della chiave).
  4. Computazione Crittografica: La smart card firma i digest localmente sul suo chip. Anche in caso di documenti di grandi dimensioni (es. PDF da 100MB), il PC dell'utente elabora e trasmette solo stringhe di pochi byte.
  5. Finalizzazione (Cloud): L'Agent restituisce i digest firmati al gestionale in cloud, il quale provvede a iniettarli nei file originari per generare i documenti finali conformi (PAdES, XAdES o CAdES).

Analisi Comparativa: API Remota vs Garda Informatica Agent#

Parametro Architetturale / EconomicoAPI Firma Remota (QTSP)Smart Card + Garda Informatica Agent
Costo Hardware / Certificato~100 € / anno per utente~40-50 € ogni 3 anni (Smart Card FEQ standard)
Canone Servizio / API~3.000 € / annoIncluso nel modulo del framework gestionale
Scalabilità sui VolumiSpesso limitata o tariffata a consumoIllimitata (nessun costo per singola firma)
Banda di Rete RichiestaVariabile (spesso richiede l'invio del file intero)Minima (vengono scambiati solo i digest in byte)
Lock-in del FornitoreElevato (API proprietarie del QTSP)Assente (funziona con qualsiasi smart card PKCS#11)
Integrazione nei ProcessiRichiede sviluppo ad hoc per ogni QTSPTrasparente, gestito dal framework software

Conformità Normativa e Standard eIDAS#

Un software di firma non può prescindere dal rigore normativo. Per garantire la piena validità legale dei documenti trattati, Garda Informatica Agent integra la libreria open source DSS (Digital Signature Services) , promossa e mantenuta direttamente dall'Unione Europea.

La libreria DSS garantisce la perfetta aderenza al Regolamento eIDAS e alle specifiche tecniche ETSI. Questo ci permette di generare strutture di firma standardizzate e verificabili da qualsiasi software di controllo ufficiale (come GoSign, ArubaSign o i verificatori delle PA):

  • PAdES (PDF Advanced Electronic Signatures): Utilizzato principalmente per la reportistica, i rapporti di prova e la documentazione leggibile.
  • XAdES (XML Advanced Electronic Signatures): Indispensabile per l'interazione con i web service della Pubblica Amministrazione, come i flussi operativi dell'Agenzia delle Dogane.
  • CAdES e ASiC: Supportati nativamente per scenari di archiviazione e buste crittografiche avanzate.

Conclusioni#

Grazie all'architettura a componenti del nostro framework META-Sviluppo RAPIDO, l'integrazione di Garda Informatica Agent non richiede la riscrittura del codice da zero, ma si configura come un modulo riutilizzabile e adattabile alle specifiche esigenze del flusso di lavoro del cliente.

L'approccio basato su smart card e agent locale dimostra come sia possibile ottenere l'automazione massiva dei processi di firma abbattendo i costi fissi delle API remote, preservando le prestazioni di banda e garantendo la conformità alle normative europee vigenti.

Autore: Giovanni Chiodi
Senior software developer con più di 16 anni di esperienza nello sviluppo di soluzioni web based, enterprise, su misura. Dal 2011 socio fondatore di Garda Informatica Snc condivide questa avventura col fratello Lorenzo.

Che soluzione cerchi?#

Read more!

Newsletter

Ti è piaciuto questo articolo? Iscriviti alla newsletter

Di tanto in tanto pubblichiamo nuovi articoli come questo. Se vuoi essere avvisato lascia il tuo indirizzo e-mail di seguito.

Non invieremo mai SPAM e non condivideremo la tua e-mail con altri. Per maggiori informazioni consulta la privacy policy.

Attendere prego...

Menu principale
Home
Gestionali in Cloud
Da Excel a Web App
Rifacimento Software Legacy
Garda Base
Blog
Indice
 closeIcona closesearchIcona searchmore vertIcona more vertmenuIcona menushareIcona sharelinkIcona linkarrow upwardIcona arrow upward