01
Capitolo uno
Quando una firma è davvero importante
L'approvazione standard copre il 95% delle esigenze di evidenza dei documenti regolamentati. L'altro 5% richiede una firma che regga contro il ripudio. Distinguere quale è quale è la prima decisione.
La parola “firma” nelle conversazioni sulla gestione documentale spesso confonde due cose molto diverse. L’approvazione standard tramite il workflow di approvazione sequenziale è una — una persona nominata autenticata tramite Entra che clicca “Approva” in un flusso governato, con l’evento scritto nel log di audit. È evidenza sufficiente per la maggior parte dei workflow documentali regolamentati. Il log di audit risponde a ogni domanda “chi ha approvato cosa” con attribuzione, ruolo, versione e timestamp.
Una firma crittografica è qualcosa di diverso. Vincola l’identità del firmatario agli esatti byte del PDF in modo tale che fallirebbe la verifica se il PDF venisse modificato. È ciò che è necessario quando il peso legale del documento richiede il non-ripudio — quando il firmatario non può credibilmente dire in seguito “non ero io” o “non era quello che ho firmato.”
Approvazione standard
Sufficiente per la maggioranza
Il log di audit registra chi ha approvato, in quale ruolo, su quale versione, con quale timestamp. Sufficiente per ISO 9001 clausola 8.5, HIPAA §164.312(b), GDPR Art. 5(2), e per la maggior parte dei requisiti di audit trail 21 CFR Part 11 §11.10(e). La maggior parte delle approvazioni documentali vive qui.
Firma PAdES
Quando il vincolo crittografico è importante
Richiesta quando il documento firmato dovrà affrontare un controllo legale al di là del programma di compliance interno dell'organizzazione — contratti esterni, presentazioni ai regolatori, policy firmate dove esiste rischio di ripudio, obblighi con terze parti. PAdES aggiunge prova crittografica all'approvazione standard.
Approvazione standard sufficiente
SOP interne, policy che si applicano solo all'interno dell'organizzazione, procedure revisionate dal team compliance. Il log di audit è l'evidenza. PAdES non aggiunge valore.
Firma PAdES giustificata
Contratti, presentazioni ai regolatori, attestazioni firmate a terze parti, accordi con i clienti. La firma viaggia fuori dal tenant; il vincolo crittografico è la difesa.
PAdES avanzata richiesta
Presentazioni di protocolli di sperimentazione clinica, contratti di alto valore, presentazioni normative dove la verifica dell'identità del firmatario è attesa dal ricevente. PAdES avanzata aggiunge la verifica via SMS/documento d'identità.
Qualificata o AGID richiesta
Obblighi specifici AGID italiani, firme elettroniche qualificate eIDAS, workflow specifici CAdES. Non supportati nella nostra integrazione DocuSign — è necessario uno strumento separato.
La lezione di compliance: paga per il vincolo crittografico solo quando il peso legale del documento lo richiede genuinamente. Per la maggior parte dei flussi di approvazione, il log di audit standard è l'evidenza che la norma richiede.
02
Capitolo due
PAdES semplice vs avanzata — i due livelli
Entrambi i livelli vincolano la firma al PDF crittograficamente. La differenza è la verifica dell'identità — quanto il ricevente può essere certo che il firmatario sia chi dice di essere.
PAdES (PDF Advanced Electronic Signature) è uno standard ETSI che definisce come le firme elettroniche si incorporano nei documenti PDF. L’integrazione DocuSign supporta due livelli PAdES, entrambi con vincolo crittografico completo:
| Proprietà |
PAdES semplice |
PAdES avanzata |
| Vincolo crittografico |
Sì — firma vincolata ai byte del PDF |
Sì — stesso vincolo crittografico |
| Verifica identità |
Autenticazione email + identità M365 del firmatario via click-through |
Livello di verifica identità — codice SMS, verifica documento d'identità, o KBA (autenticazione basata su conoscenza) |
| Forza di non-ripudio |
Forte all'interno di un'organizzazione |
Sufficiente per dispute contrattuali esterne |
| Uso tipico |
Policy interne firmate, contratti standard con partner consolidati, documenti normativi di routine |
Contratti di alto valore con nuove controparti, presentazioni normative ad agenzie, firme degli sponsor di sperimentazioni cliniche |
| Costo per firma |
Inferiore (tier base DocuSign) |
Superiore (tier avanzato DocuSign + costo accessorio verifica identità) |
La distinzione è importante perché PAdES semplice gestisce la maggior parte delle esigenze di firma dei clienti a un costo per firma significativamente inferiore. Usare sempre avanzata è costoso. Usare sempre semplice manca i casi in cui il ricevente si aspetta la verifica dell’identità.
03
Capitolo tre
Cosa è crittograficamente vincolato
Il vincolo crittografico è specifico. Cosa protegge e cosa non protegge determina se è lo strumento giusto per il tuo caso d'uso.
Una firma PAdES vincola cinque elementi in una struttura crittografica verificabile incorporata nel PDF:
I byte del PDF
Un hash del contenuto del PDF. Qualsiasi modifica dopo la firma invalida la firma.
Nome + email del firmatario
Dall'envelope DocuSign, legati alla sessione autenticata che ha prodotto la firma.
Timestamp della firma
Dall'autorità di timestamping di DocuSign. Verificabile indipendentemente.
Autorità di emissione
Certificato di firma di DocuSign emesso da una CA attendibile. Catena di fiducia verificabile da qualsiasi visualizzatore PDF.
Scopo della firma
Il significato della firma come dichiarato al momento della firma — "approvato come Chief Compliance Officer," "firmato come parte contrattuale," ecc.
Cosa non è coperto dal vincolo crittografico:
- La provenienza interna del PDF prima della firma. La firma dice “questo esatto PDF è stato firmato da questa persona.” Non dice nulla su chi ha creato il PDF o cosa è successo prima della cerimonia di firma.
- L’intento del firmatario al di là del motivo dichiarato. Le dispute legali sull’intento vivono ancora nell’interpretazione contrattuale.
- Gli eventi dopo la firma, a meno che non rompano nuovamente il vincolo. Copiare il PDF firmato non incide sulla firma; modificarlo sì.
Per il tipico workflow documentale regolamentato — dove il log di audit registra tutto prima della firma e la firma crittografica registra il momento della firma stesso — questi due livelli di evidenza insieme sono completi.
04
Capitolo quattro
DocuSign come cerimonia, non archivio
Una distinzione sottile ma importante su come è cablata l'integrazione: DocuSign esegue la cerimonia di firma; il PDF firmato torna in SharePoint come versione autorevole. DocuSign non è l'archivio.
Molte integrazioni DocuSign lasciano il PDF firmato nel vault di DocuSign, con un link di ritorno dal sistema di origine. Questo pattern crea due posti in cui vive la “versione autorevole” — una divisione che complica gli audit, i requisiti di residenza dei dati e la policy di conservazione.
La nostra integrazione funziona diversamente. DocuSign è solo il meccanismo di firma — dove avviene la cerimonia crittografica, l’identità viene verificata (per PAdES avanzata) e la firma viene applicata. Nel momento in cui la firma è completata, il PDF firmato viene restituito a SharePoint e diventa la versione pubblicata autorevole. DocuSign non mantiene il documento come sistema di record; lo fa SharePoint.
1
Step di approvazione raggiunto
Lo step di firma si attiva
Il flusso di approvazione sequenziale raggiunge uno step configurato come "firmato DocuSign." Il sistema costruisce un envelope DocuSign dal PDF corrente e lo invia all'email del firmatario designato.
2
Il firmatario riceve il link
Autenticazione in DocuSign
Il firmatario apre il link, esamina il PDF nel visualizzatore di DocuSign, completa qualsiasi verifica dell'identità richiesta (per PAdES avanzata) e firma. La firma viene applicata crittograficamente al PDF.
3
Il PDF firmato ritorna
Di nuovo in SharePoint come versione autorevole
DocuSign restituisce il PDF firmato al prodotto del ciclo di vita attivo via webhook. Il PDF sostituisce la versione non firmata nella cronologia del documento; il log di audit registra l'evento di firma con tutti i metadati crittografici.
✓
La pubblicazione procede
PDF firmato come versione pubblicata
Il flusso di approvazione continua allo step successivo (o si completa). Il PDF firmato è ciò che gli utenti finali vedono nell'area pubblica. La copia di DocuSign diventa un riferimento ridondante — la fonte autorevole è nel tuo tenant.
Perché questa architettura è importante. Residenza dei dati: il documento firmato rimane nel tuo tenant M365. Scope di audit: DocuSign è un vendor di firma, non un sistema di record — il tuo scope di compliance non si espande a includere DocuSign come archivio documentale. Retrieval: il PDF firmato vive dove vivono tutti gli altri documenti, quindi i retrieval di audit funzionano allo stesso modo indipendentemente dal fatto che un documento specifico sia stato firmato o meno.
05
Capitolo cinque
Quando PAdES semplice è sufficiente
Contesti di firma specifici in cui PAdES semplice fornisce non-ripudio sufficiente senza il costo della verifica avanzata dell'identità.
Policy interne firmate
Codice etico, policy di utilizzo accettabile, impegni interni firmati dai dipendenti. L'identità del firmatario è già stabilita dall'autenticazione Entra; PAdES semplice aggiunge il vincolo della firma senza l'overhead della verifica dell'identità.
Contratti con controparti abituali
Contratti di rinnovo, SOW con vendor esistenti, emendamenti commerciali con partner noti. La relazione di identità è già stabilita; PAdES semplice fornisce l'impegno crittografico senza nuova verifica dell'identità.
Presentazioni normative standard
Presentazioni di routine ai regolatori che accettano PAdES semplice come standard — la maggior parte degli organi di regolamentazione è passata ad accettare PAdES standard come conforme ai loro requisiti di firma elettronica.
4
ATTESTAZIONI COMPLIANCE
Attestazioni interne di compliance
"Ho revisionato questa policy e attesto la conformità" — il riconoscimento è da parte di un dipendente noto. PAdES semplice è più che sufficiente per il peso legale dell'attestazione all'interno dell'organizzazione.
06
Capitolo sei
Quando PAdES avanzata è richiesta
Contesti in cui il ricevente ha genuinamente bisogno della verifica dell'identità — e dove PAdES semplice sarebbe non conforme o inadeguata.
Contratti esterni di alto valore
Contratti sopra soglie finanziarie specifiche dove il ricevente si aspetta la verifica dell'identità. Molti grandi clienti enterprise richiedono PAdES avanzata per i contratti che firmano con i fornitori.
Primo contratto con nuova controparte
Quando non esiste una relazione di identità precedente, PAdES avanzata fornisce il livello di verifica dell'identità che manca a PAdES semplice. Particolarmente prezioso per parti internazionali dove la verifica di persona non è possibile.
Firme degli sponsor di sperimentazioni cliniche
Protocolli di sperimentazione clinica, record di rilascio del prodotto sperimentale, documenti approvati dallo sponsor dove gli organi di regolamentazione si aspettano la firma con identità verificata.
Impegni finanziari sopra soglia
Impegni finanziari firmati, grandi ordini di acquisto, autorizzazioni di tesoreria — contesti in cui i controlli interni dell'organizzazione richiedono la verifica dell'identità allo step di firma.
Una raccomandazione pratica. Configura il default per ogni tipo di documento durante l’implementazione. SOP e policy interne usano l’approvazione standard (nessuna firma). I contratti esterni usano PAdES semplice per default. I contratti di alto valore (sopra una soglia definita dall’organizzazione) usano PAdES avanzata per default. Il comportamento di firma corrisponde quindi automaticamente al tipo di documento.
07
Capitolo sette
Cosa non supportiamo
Modalità di firma che esulano dall'integrazione DocuSign PAdES, e cosa devono fare i clienti che ne hanno bisogno.
Essere espliciti su cosa non è supportato previene sorprese durante l’implementazione. L’integrazione DocuSign copre PAdES semplice e avanzata. Non copre:
Firme CAdES
CAdES è uno standard di firma separata usato in alcuni contesti normativi (in particolare nei workflow del settore pubblico europeo). Modello di fiducia diverso da PAdES. Non supportato; i clienti che necessitano di CAdES usano strumenti esterni dedicati.
Firme elettroniche qualificate (eIDAS)
Le firme qualificate eIDAS richiedono un dispositivo di creazione della firma qualificato e un certificato qualificato da un fornitore di servizi fiduciari qualificato. DocuSign fornisce firma elettronica avanzata, non qualificata. Per i requisiti qualificati è necessuno strumento integrato QTSP.
Firma specifica AGID
I requisiti AGID italiani (firma digitale tramite smart card nazionali, firma digitale remota) utilizzano un modello di fiducia italiano specifico. Non supportato nella nostra integrazione. I clienti con obblighi AGID usano uno strumento separato accanto al DMS.
Firme in stile manoscritto senza crittografia
Firme "disegnate" o digitate che non includono il vincolo crittografico. Non offerte — se la firma non vincola crittograficamente, non è materialmente diversa dall'approvazione nel log di audit, quindi non aggiungiamo un meccanismo più debole sopra.
Per i clienti che necessitano di queste modalità: la maggior parte usa il DMS e lo strumento di firma specializzato in parallelo. Il DMS governa il ciclo di vita del documento; lo strumento specializzato gestisce la modalità di firma specifica. L’output firmato dallo strumento specializzato torna nel DMS come documento normale se è necessaria ulteriore governance. Questo ibrido è comune nei clienti del settore pubblico italiano e nei contesti di firma qualificata eIDAS.
08
Capitolo otto
La firma come tipo di step di approvazione
Piuttosto che un workflow separato, la firma PAdES è configurata come un tipo di step di approvazione. Un flusso, un audit trail, un'esperienza integrata.
Nel workflow di approvazione sequenziale, ogni step è configurato con un tipo. L’approvazione standard è un tipo (approvazione click-through, il log di audit registra). La firma DocuSign è un altro — lo step notifica il firmatario tramite DocuSign invece dell’interfaccia di approvazione standard, esegue la cerimonia di firma e restituisce il PDF firmato al flusso.
Dal punto di vista della gestione documentale, lo step di firma si comporta come qualsiasi altro step di approvazione. Il flusso continua allo step successivo in caso di successo. Il log di audit registra l’evento di firma con tutti i metadati crittografici. L’identità del firmatario viene tracciata. Il binding di versione viene mantenuto. Il flusso si interrompe in caso di fallimento (rifiuto, timeout della firma) nello stesso modo in cui lo fa su qualsiasi altro rifiuto.
Un workflow, non due
La firma avviene all'interno del flusso di approvazione, non in un processo separato avviato da DocuSign. L'autore non cede il controllo a uno strumento diverso; il sistema instrada attraverso DocuSign e ritorna.
Un audit trail
Gli eventi di firma scrivono nello stesso log di audit degli eventi di approvazione. La cronologia completa del documento è in un posto — nessuna riconciliazione tra il log di DocuSign e il log del DMS.
Il PDF firmato è la versione
Il PDF firmato diventa la versione principale alla pubblicazione. Non una "copia firmata" separata accanto a una "versione originale." Un documento autorevole, con la firma incorporata.
Gli autori non cambiano strumento
L'autore avvia il flusso di approvazione. Il firmatario riceve la richiesta di firma. Entrambi lavorano nel loro contesto — l'autore nel DMS, il firmatario tramite la propria email. Nessuno gestisce due applicazioni.
09
Capitolo nove
Mappatura compliance — specifiche Part 11
Quali proprietà PAdES soddisfano quali clausole Part 11 — per i clienti con programmi Part 11 attivi.
| Clausola |
Requisito |
Come PAdES lo soddisfa |
| §11.50(a) |
I record elettronici firmati devono contenere il nome stampato del firmatario, la data e l'ora della firma e il significato della firma. |
La firma PAdES incorpora nome del firmatario, timestamp e motivo della firma nel PDF sia visibilmente che crittograficamente. |
| §11.70 |
Le firme elettroniche devono essere collegate ai rispettivi record elettronici per garantire che le firme non possano essere estratte, copiate o trasferite. |
Il vincolo crittografico rende rilevabile l'estrazione, la copia o il trasferimento — qualsiasi tale modifica invalida la firma alla verifica. |
| §11.100(a) |
Ogni firma elettronica deve essere univoca per un individuo e non deve essere riutilizzata o riassegnata ad altri. |
Le firme si vincolano a un'identità Entra nominata (autenticata in DocuSign) — nessun account di firma condiviso. |
| §11.200(a) |
Impiegare almeno due componenti di identificazione distinti come un codice di identificazione e una password. |
Autenticazione email + credenziali M365 (tipicamente MFA imposta a livello di tenant) forniscono l'autenticazione a due fattori alla cerimonia di firma. |
| §11.10(e) |
Audit trail sicuro, generato da computer, con timestamp. |
Il log di audit DMS registra l'evento di firma con tutti i metadati crittografici; DocuSign fornisce un audit trail aggiuntivo lato firma come evidenza ridondante. |
Il prodotto fornisce la capacità di firma che i clienti usano nel loro programma di compliance alla Part 11. Non fornisce un sistema di firma "validato Part 11" — questa affermazione richiede lo scope di validazione del cliente (IQ/OQ/PQ), che rimane con il team QA del cliente.
10
Capitolo dieci
Pattern di implementazione
Tre pattern concreti per integrare la firma PAdES nella configurazione del tipo di documento, con regole approssimative su quando ciascuno si applica.
Pattern 1
Default: nessuna firma
SOP interne, policy, procedure operative. L'approvazione standard tramite log di audit è sufficiente. La maggior parte dei tipi di documenti dei clienti vive qui. Prezzi: nessun consumo DocuSign.
Pattern 2
Ultimo step: PAdES semplice
Contratti esterni con partner consolidati, presentazioni normative di routine, attestazioni commerciali. L'ultimo step di approvazione è configurato come firmato DocuSign (semplice). Prezzi: una transazione PAdES semplice per documento approvato.
Pattern 3
Ultimo step: PAdES avanzata
Contratti di alto valore, firme degli sponsor di sperimentazioni cliniche, presentazioni normative che richiedono la verifica dell'identità. Ultimo step configurato come PAdES avanzata con metodo di verifica richiesto (SMS, KBA, documento d'identità). Prezzi: PAdES avanzata + costo accessorio verifica identità per transazione.
Un suggerimento di configurazione. Lascia che il tipo di documento determini il pattern piuttosto che lasciare che gli autori decidano per documento. “Tutti i contratti con fornitori usano PAdES semplice” come configurazione del tipo di documento è più difendibile di “l’autore sceglie” — quest’ultimo invita incidenti del tipo “ho dimenticato di abilitare la firma”. I default del tipo di documento impongono la policy come comportamento strutturale.
La firma PAdES è l’ultimo miglio dell’evidenza documentale — l’impegno crittografico che la sola approvazione standard non può fornire. Per il sottoinsieme di documenti che la richiedono genuinamente, l’integrazione con DocuSign all’interno del flusso di approvazione sequenziale rende la firma un dettaglio operativo piuttosto che un workflow separato. Per tutto il resto, l’approvazione standard registra l’evidenza che le normative richiedono effettivamente.
Una conversazione di 30 minuti con il nostro team è di solito sufficiente per mappare quali dei tuoi tipi di documento necessitano genuinamente della firma PAdES e quali possono fare affidamento sull’approvazione standard — evitando sia il costo dell’eccessiva firma che il gap di compliance della firma insufficiente.
