Guida alla firma digitale nei servizi bancari: OTP, QES e riconoscimento
In Italia, la firma digitale in ambito bancario è disciplinata dal Decreto Legislativo 385/1993 (TUB - Testo Unico Bancario), che stabilisce i criteri secondo cui le banche devono garantire l'autenticazione e l'integrità delle transazioni. L'articolo 49-ter del TUB obbliga gli intermediari a implementare sistemi di autenticazione forte (SCA - Strong Customer Authentication) per le operazioni di pagamento.
Parallelamente, la Commissione Nazionale per le Società e la Borsa (CONSOB), in attuazione del Decreto Legislativo 58/1998 (TUF - Testo Unico della Finanza), disciplina l'uso della firma digitale nelle operazioni di borsa e negli strumenti finanziari. Queste normative garantiscono che:
A livello europeo, il Regolamento (UE) 910/2014 eIDAS ha armonizzato le norme sulla firma digitale in tutti gli Stati membri. Questo regolamento introduce tre livelli di firma elettronica:
Per le operazioni bancarie e finanziarie in Italia, spesso si utilizza la QES, poiché garantisce il più alto livello di certezza legale e non può essere contestata in tribunale (presunzione di validità). A partire dal 2026, le banche intensificheranno l'adozione della QES per aumentare la trasparenza nei rapporti con i clienti e semplificare le procedure di sottoscrizione contrattuale.
Qualified Electronic Signature (QES) La QES è riconosciuta con lo stesso valore probatorio di una firma autografa presso i tribunali italiani ed europei. Questo significa che un documento sottoscritto con QES non può essere disconosciuto facilmente dal sottoscrittore e rappresenta la forma di sottoscrizione digitale più robusta dal punto di vista legale.
OTP significa One-Time Password, cioè una password usa e getta. È uno dei sistemi di autenticazione più diffusi nelle banche italiane ed europee. Ogni volta che effettui un'operazione sensibile (bonifico, cambio di beneficiario, sottoscrizione di un prodotto), la banca invia un codice univoco (solitamente di 6 cifre) via SMS, email o tramite app mobile.
L'OTP funziona secondo il principio TOTP (Time-based One-Time Password) o HOTP (HMAC-based One-Time Password). Nel primo caso, il codice scade dopo 30-60 secondi; nel secondo, rimane valido per un numero limitato di utilizzi. La banca verifica che il cliente inserisca il codice esatto entro il tempo limite, garantendo così che chi effettua l'operazione è il titolare dell'account. L'algoritmo genera una nuova password ogni volta, rendendo virtualmente impossibile per un attaccante prevedere il codice successivo.
L'OTP offre una protezione ragionevole contro accessi non autorizzati, a costo praticamente nullo per la banca. È facile da implementare, da comprendere per il cliente e sufficientemente sicuro per operazioni di importo medio. La sua diffusione è quasi universale in Italia e rappresenta lo standard minimo di sicurezza.
Tuttavia, presenta vulnerabilità note: phishing SMS (attaccanti inviano SMS falsi che simulano la banca), interception della comunicazione non crittografata, social engineering che convince il cliente a rivelare l'OTP a terzi, e falsa sensazione di sicurezza se la SIM viene clonata o il numero portato su altro dispositivo. Nel 2026, le banche stanno progressivamente abbinando l'OTP a metodi di autenticazione ulteriori per aumentare la sicurezza complessiva.
Mai rivelare il tuo OTP a nessuno, nemmeno se contattato da un numero che sembra bancario. Le banche legittime non chiedono mai l'OTP via telefono o email. Se ricevi una richiesta sospetta, chiama direttamente il numero di servizio clienti della banca presente sul retro della carta o accedi al sito ufficiale senza cliccare su link ricevuti via email.
La QES richiede l'utilizzo di un certificato digitale qualificato, rilasciato da un Gestore di Certificazione Qualificato (Certification Service Provider - CSP). In Italia, i principali fornitori accreditati sono Aruba, Namirial, Intesi Group e pochi altri. Questi gestori sono sottoposti a rigidi controlli da parte dell'AgID (Agenzia per l'Italia Digitale) e devono rispettare standard internazionali di sicurezza.
Il certificato qualificato contiene la chiave pubblica del sottoscrittore, i dati identificativi (nome, cognome, codice fiscale), la validità temporale (solitamente 3 anni) e la firma digitale del gestore che lo rilascia. Quando sottoscrivi un documento con QES, il software di firma utilizza la tua chiave privata per creare un'impronta digitale (hash) del documento. Questa impronta viene cifrata con la chiave privata, creando la firma. Il documento, la firma e il certificato rimangono indissolubilmente legati: qualsiasi modifica posteriore invalida la firma.
Oggi la QES è disponibile anche tramite app mobile (firma remota), in cui la chiave privata rimane custodita su server protetti del gestore di certificazione. Questo approccio è sempre più diffuso nelle banche italiane per operazioni come apertura di nuovi conti, sottoscrizione di finanziamenti e mutui, cambio di condizioni contrattuali e operazioni di investimento. La firma remota elimina la necessità di hardware specifico, rendendola accessibile a chiunque possieda uno smartphone.
Accanto alla firma remota, persiste l'uso della smartcard fisica, su cui risiede il certificato. Alcuni istituti ancora richiedono questo metodo per ragioni di compliance normativa o di elevatissima sicurezza, specialmente per operazioni di grande valore economico. La smartcard offre il vantaggio che la chiave privata non esce mai dal dispositivo fisico.
Preferisci sempre la QES quando possibile Se devi firmare documenti bancari importanti (come un mutuo, un fido o un investimento di rilievo), preferisci sempre una QES su dispositivo mobile o smartcard rispetto a una semplice OTP. La QES offre una prova legale più robusta in caso di controversie future e tut
Le guide Moneyside hanno carattere educativo e informativo. Non costituiscono consulenza finanziaria, legale o fiscale ai sensi del D.Lgs. 58/1998 (TUF) e della Direttiva MiFID II. Verifica sempre le informazioni con fonti ufficiali o un professionista qualificato.