AlertaCert
PrezziBlogSicurezzaSupporto
AccediInizia gratuitamente
Torna al blog
firmaalertasguía

Firma digitale: scadenza e rinnovo passo per passo

Guida per commercialisti e CAF: dove verificare la scadenza della firma digitale qualificata, con quanto anticipo agire e come gestire i certificati di decine di clienti.

Pubblicato il 17 marzo 20267 min di lettura

Sei un commercialista o un consulente del lavoro che gestisce la contabilità di numerosi clienti. A un certo punto, un cliente ti chiama il giorno prima della scadenza della dichiarazione IVA: la sua firma digitale è scaduta tre settimane fa. Il rinnovo richiede almeno 24-48 ore lavorative. Il danno è fatto.

Questa guida è quella che avresti voluto avere prima. Spieghiamo esattamente dove verificare la data di scadenza, con quanto anticipo bisogna muoversi e come automatizzare il monitoraggio quando gestisci non uno ma cinquanta clienti.

Che cos'è la firma digitale qualificata e perché scade?

La firma digitale qualificata (FDQ) è il tipo di firma elettronica con il massimo valore legale nell'Unione Europea, regolata dal Regolamento eIDAS. In Italia viene emessa da Certification Authority (CA) accreditate presso AgID — tra le principali: Aruba, InfoCert, Namirial, Poste Italiane e TI Trust Technologies.

Il certificato di firma è valido per tre anni dalla data di emissione. Alla scadenza, i documenti firmati dopo quella data non avranno valore legale e i portali della Pubblica Amministrazione rifiuteranno i file firmati con certificato scaduto.

Perché non si rinnova automaticamente?

Il rinnovo della firma digitale richiede la verifica dell'identità del titolare da parte della CA. Anche se tecnicamente possibile in via telematica per alcuni provider, è sempre necessaria un'azione attiva del titolare. Non esiste rinnovo automatico.

Dove verificare la scadenza della firma digitale

Opzione 1 — Dal software del dispositivo (smart card / token USB)

1

Apri il software di gestione della CA

Ogni provider ha il proprio software: ArubaSign, DigitalSign (InfoCert), FirmaOK! (Namirial). Inserisci il token o la smart card e avvia il programma.

2

Cerca la sezione 'Certificati' o 'Visualizza certificato'

Il software mostra il nome del titolare, il numero seriale del certificato e — fondamentale — la data di scadenza nel campo 'Valido fino al'.

3

Annota la data e impostala in calendario

Se non usi un sistema di allerte centralizzato, crea un promemoria almeno 90 giorni prima della scadenza per ogni cliente.

Opzione 2 — Dal file .p7m o .p12 (senza dispositivo fisico)

Se hai il file di certificato (.p12, .pfx o .cer), puoi aprirlo direttamente su Windows facendo doppio clic e andando nella scheda Dettagli → campo Valido fino a. Su macOS puoi usare Accesso Portachiavi per le stesse informazioni.

Opzione 3 — Da AlertaCert (per gestire più clienti)

Se gestisci i certificati di molti clienti, verificarli uno per uno non è sostenibile. AlertaCert mostra lo stato di tutti i certificati in un unico cruscotto con semaforo visivo e invia allerte automatiche per e-mail a 90, 60, 30, 15 e 7 giorni prima della scadenza.

Dato pratico

AlertaCert analizza automaticamente i file .cer, .p12 e .pem al momento del caricamento, estrae la data di scadenza, il nome del titolare e il tipo di certificato. Nessuna digitazione manuale.

Con quanto anticipo bisogna rinnovare la firma digitale?

90 giorni
Anticipo consigliato per iniziare la procedura
30 giorni
Minimo per rinnovo senza urgenza
24-48 ore
Tempo minimo di emissione certificato (telematico)

La regola generale usata negli studi con più esperienza è semplice: se il certificato scade entro 90 giorni, è già il momento di informare il cliente. Se scade entro 30, bisogna avviare la procedura immediatamente.

Tendenza 2026: certificati con durata più breve

Il settore dei certificati digitali si sta orientando verso durate più brevi — alcuni organismi internazionali già lavorano con cicli di 200 giorni. In Italia AgID mantiene attualmente 3 anni per la firma qualificata, ma la direzione del mercato è chiara: le scadenze diventeranno più frequenti. Un sistema di allerte automatiche che oggi gestisce 60 certificati dovrà gestire il doppio di rinnovi nei prossimi anni.

Si può rinnovare prima della scadenza?

Sì. La maggior parte delle CA accreditate permette di avviare il rinnovo fino a 180 giorni prima della scadenza. Il nuovo certificato inizia la sua validità triennale dalla data di emissione, non dalla scadenza del precedente. Non c'è alcuna penalizzazione per il rinnovo anticipato.

Come rinnovare la firma digitale: le due strade

Esistono due modalità principali, a seconda del provider e del tipo di dispositivo:

Via A — Rinnovo telematico (senza recarsi allo sportello)

1

Accedi al portale della CA con il certificato ancora valido

Aruba, InfoCert e Namirial offrono il rinnovo online tramite il loro portale clienti. Il certificato attuale deve essere ancora valido al momento della richiesta.

2

Avvia la procedura di rinnovo e verifica i dati

Il portale richiede la conferma dei dati anagrafici e del documento d'identità. Alcuni provider inviano un OTP via SMS per confermare l'identità.

3

Paga il rinnovo e scarica il nuovo certificato

Il costo varia da 20 a 60 euro a seconda del provider e del supporto (smart card, token USB, firma remota). Il nuovo .p12 o il token aggiornato viene reso disponibile entro 24-48 ore.

4

Aggiorna il certificato in AlertaCert

Carica il nuovo file — il ciclo delle allerte riparte automaticamente dalla nuova data di scadenza.

Via B — Rinnovo in presenza (certificato già scaduto)

1

Prenota un appuntamento con la CA o un suo punto di registrazione (RA)

InfoCert, Namirial e Aruba hanno una rete capillare di Uffici di Registrazione. In molti casi è possibile recarsi anche presso CAF e associazioni di categoria convenzionate.

2

Porta la documentazione richiesta

Documento d'identità valido + codice fiscale + tessera sanitaria. Per le persone giuridiche: visura camerale recente + documento del rappresentante legale.

3

Verifica in loco il corretto funzionamento

Prima di lasciare lo sportello, firma un documento di prova per verificare che il nuovo certificato sia operativo e che il PIN sia impostato correttamente.

Errore frequente

Il commercialista non può rinnovare la firma digitale per conto del cliente. La verifica dell'identità richiede sempre la presenza del titolare (o del rappresentante legale per le persone giuridiche). Lo studio può preparare la documentazione e accompagnare il cliente, ma non può sostituirlo.

Gestire la firma digitale di più clienti senza perderne nessuna

Il problema di scala è reale: se gestisci 40 clienti, hai potenzialmente 80 o più certificati attivi tra firme qualificate, CNS e marche temporali. Un foglio Excel con date aggiornate a mano è una bomba a orologeria.

Revisione manuale (Excel)Dipende da qualcuno che aggiorni il file. Un errore di inserimento = cliente che non può firmare.
Portale della CA (uno per uno)Sostenibile fino a ~5 clienti. Con 40 clienti significa ore di lavoro solo per verificare.
AlertaCert (bóveda cloud)Caricamento unico, allerte automatiche, cruscotto con semaforo. Funziona allo stesso modo con 5 o 500 clienti.

Cosa fa AlertaCert per te

  • Analisi automatica: carica il file .cer, .p12, .pem o .der — AlertaCert estrae data di scadenza, nome del titolare e tipo di certificato. Supporta qualsiasi certificato X.509, indipendentemente dal paese di emissione.
  • Organizzazione per cliente: ogni cliente ha il proprio spazio. Firma qualificata, CNS e altri certificati dello stesso soggetto sono raggruppati.
  • Allerte in 5 punti: a 90, 60, 30, 15 e 7 giorni prima di ogni scadenza, viene inviata automaticamente un'e-mail. Configurabile per organizzazione.
  • Cifratura AES-256-GCM: i file sono archiviati cifrati a riposo. Nemmeno il team di AlertaCert può leggere il contenuto.
  • Esportazione CSV: per audit o report interni puoi esportare l'inventario completo dei certificati con date di scadenza.

Oltre la scadenza: sorveglianza della revoca

Un certificato può cessare di essere valido prima della data di scadenza se la CA lo revoca — ad esempio in caso di smarrimento o furto del dispositivo, compromissione della chiave privata, o variazioni nei dati del titolare (cambio di rappresentante legale, cessazione dell'attività).

Il problema è che una revoca non genera alcun avviso visibile per il commercialista. Il cliente prova a firmare un documento e riceve un errore criptico. AlertaCert esegue un processo di rivalidazione notturno che interroga direttamente il server OCSP di ogni CA per tutti i certificati italiani memorizzati. Se una CA revoca un certificato un martedì, il commercialista riceve l'avviso il mercoledì — non tre settimane dopo quando il cliente prova a firmare.

Cos'è OCSP?

L'Online Certificate Status Protocol (OCSP) è il meccanismo con cui le applicazioni chiedono in tempo reale al server della CA: "questo certificato è ancora valido?". La risposta è immediata — non dipende da CRL (liste di revoca) che potrebbero essere non aggiornate. AlertaCert usa OCSP per verificare ogni certificato sotto gestione.

Gestisci le firme digitali di più di 20 clienti?

AlertaCert invia allerte automatiche a 90, 60, 30, 15 e 7 giorni — e verifica le revoche OCSP ogni notte, così lo sai prima del tuo cliente.

Inizia gratis — senza carta di credito

Checklist prima della scadenza di una firma digitale

  • 1Conferma la data esatta di scadenza (software CA o AlertaCert).
  • 2Informa il cliente almeno 90 giorni prima — per iscritto, con la data specifica.
  • 3Verifica se è applicabile il rinnovo telematico (certificato ancora valido) o in presenza.
  • 4Se il rinnovo è in presenza, prenota l'appuntamento con almeno 3 settimane di anticipo.
  • 5Verifica che il cliente ricordi il PIN del dispositivo di firma.
  • 6Dopo il rinnovo, carica il nuovo certificato in AlertaCert per riavviare il ciclo delle allerte.

    • CNS e TS-CNS

    La Carta Nazionale dei Servizi (CNS) e la Tessera Sanitaria con CNS hanno anch'esse un certificato digitale con scadenza propria. AlertaCert gestisce entrambi i tipi e invia allerte separate per ciascuno. Se una CNS scade, il cliente non può accedere ai portali della Pubblica Amministrazione.

    Domande frequenti sulla scadenza della firma digitale

    È sicuro caricare il certificato di un cliente su una piattaforma cloud?

    Sì, con le misure corrette. Il file .cer contiene solo il certificato pubblico — non c'è alcun rischio nel caricarlo. Il file .p12 o .pfx contiene la chiave privata cifrata con PIN: AlertaCert lo archivia con cifratura AES-256-GCM aggiuntiva a riposo, in modo che nemmeno il team di supporto possa accedere al contenuto. In pratica, la chiave privata del tuo cliente è più sicura in AlertaCert che in un'e-mail o in una cartella condivisa senza protezione.

    Posso scaricare i certificati se decido di cambiare strumento?

    Sì, in qualsiasi momento. AlertaCert non è un archivio chiuso — i file sono tuoi. Puoi scaricare qualsiasi .cer, .p12 o .pem dalla piattaforma e esportare l'inventario completo come CSV. Nessuna penalizzazione né periodo di ritenzione forzato.

    Cosa succede se la firma digitale di un cliente scade durante una dichiarazione?

    Se la firma scade mentre il cliente ha dichiarazioni fiscali in sospeso, non potrà firmarle elettronicamente. L'Agenzia delle Entrate non accetta dichiarazioni con certificati scaduti. In quel caso bisogna procedere con il rinnovo urgente e, se la scadenza è imminente, concordare con il cliente la modalità di rinnovo più rapida. È uno dei casi in cui il costo del non anticipare diventa evidente.

    Quanto costa rinnovare una firma digitale?

    I costi variano da 20 a 60 euro per il certificato, a seconda del provider e del tipo di supporto. Aruba è generalmente il provider più economico (circa 25 euro per il solo certificato); InfoCert e Namirial offrono pacchetti con dispositivo incluso. Per gli studi che gestiscono molti clienti, alcuni provider offrono tariffe volume — vale la pena verificare con il referente commerciale della CA.

    La firma digitale italiana vale all'estero?

    La firma digitale qualificata emessa da CA accreditate AgID è riconosciuta in tutti i paesi dell'Unione Europea ai sensi del Regolamento eIDAS. Per l'utilizzo al di fuori dell'UE dipende dalla legislazione del paese destinatario. Per usi puramente italiani (portali PA, dichiarazioni fiscali, fatturazione elettronica) il riconoscimento è pieno.

    Conclusione

    La firma digitale non avvisa quando sta per scadere — e nemmeno quando viene revocata dalla CA. Quella responsabilità ricade sul commercialista o consulente che la gestisce. Con il processo corretto e gli strumenti adeguati, nessuno dei due eventi dovrebbe essere una sorpresa.

    Un certificato scaduto non manda un'e-mail. Manda una telefonata del cliente in panico il giorno della scadenza fiscale. AlertaCert esiste per fare in modo che quel silenzio non arrivi mai.

    Se gestisci più di 10 clienti, il monitoraggio manuale non è più sostenibile. Una bóveda centralizzata con allerte automatiche e sorveglianza delle revoche non è un lusso — è la differenza tra uno studio reattivo e uno proattivo.

    Pronto a semplificare i tuoi certificati?

    Inizia gratuitamente — senza carta di credito.

    Inizia gratis