SIGILLO DIGITALE

Verifica fatture Vidima: sigillo crittografico ECDSA P-256

Ogni fattura PDF firmata, ogni cliente protetto dalle frodi 'business email compromise'. Come funziona il sigillo crittografico esclusivo Vidima, e cosa garantisce davvero.

Il problema: come sapere se una fattura è autentica?

Immagina questo scenario, comune in Ticino e in tutta la Svizzera italofona: ricevi via email un PDF con una fattura per CHF 4.870. L'intestazione dice "Studio X", l'IBAN è una banca svizzera, il QR-Bill sembra corretto. Paghi.

Dopo due settimane, lo Studio X ti chiama dicendo che la fattura non è loro. Qualcuno ha intercettato la mail vera, modificato l'IBAN sostituendolo con uno proprio (frode "man-in-the-middle"), e ti ha rispedito il PDF identico nell'aspetto. I tuoi 4.870 CHF sono andati a un truffatore in Lituania.

Questo non è uno scenario ipotetico. È uno schema noto come "business email compromise" (BEC), responsabile di centinaia di milioni di CHF rubati in Svizzera ogni anno secondo Fedpol e MELANI. Le banche, per quanto sofisticate, non possono fermarlo: l'IBAN sul QR-Bill è tecnicamente valido, semplicemente non è quello del fornitore reale.

Il problema di fondo: un PDF è solo bit. Chiunque può modificarlo senza lasciare traccia visibile.

La soluzione Vidima: sigillo crittografico per-fattura

Vidima risolve il problema con la crittografia. Ogni fattura PDF generata viene firmata digitalmente con un algoritmo crittografico standard (ECDSA P-256), e il risultato della firma viene incorporato in un secondo QR-Code stampato in alto a destra della fattura, accanto al numero del documento — distinto dal QR-Bill di pagamento in fondo alla pagina.

Il tuo cliente può:

  1. Aprire l'app fotocamera del telefono (o un'app QR generica).
  2. Inquadrare il secondo QR.
  3. Atterrare automaticamente su verify.vidima.ch.
  4. Vedere in chiaro: chi ha emesso la fattura, quando esattamente, l'importo, e se quel PDF è autentico al 100%.

Se anche un solo byte del PDF è stato modificato dopo l'emissione — un IBAN cambiato, un importo gonfiato, una data alterata — la verifica fallisce. Il sistema dice "INVALIDO" e l'utente sa di non pagare.

Esclusiva Vidima

Nessun altro software di fatturazione svizzero, al 2026, offre verifica crittografica per-fattura. È una funzione costruita da Helvecraft come risposta diretta al problema BEC che colpisce le microimprese ticinesi e svizzere.

ECDSA P-256 spiegato in 2 minuti

ECDSA sta per "Elliptic Curve Digital Signature Algorithm". P-256 è la curva specifica (definita NIST SP 800-186 / FIPS 186-5). Insieme costituiscono uno standard di firma digitale usato da TLS, Bitcoin, Apple Wallet, passaporti elettronici svizzeri.

L'idea base, senza matematica:

P-256 produce firme di 64 byte (512 bit), abbastanza compatte da entrare in un QR-Code di dimensione media insieme ai metadati della fattura.

Anatomia del sigillo (FAT2 format)

Il sigillo Vidima usa un formato custom chiamato FAT2 (Fattura Authenticated Token v2). Quello che viene incorporato nel QR è una stringa che decodificata contiene:

L'intero token è poi codificato in base64url (URL-safe) e inserito nel QR. La dimensione tipica è 300-400 byte — entra agevolmente in un QR versione 8-10 a livello correzione errore M.

Come si verifica (passo-passo)

Due modi:

Modo 1: scan via mobile

  1. Apri l'app fotocamera del telefono.
  2. Inquadra il QR-Code del sigillo (NON il QR-Bill di pagamento — il sigillo è quello più piccolo, in alto a destra della fattura, accanto al numero del documento).
  3. Tocca il link che appare: porta a https://verify.vidima.ch/?token=....
  4. Il browser apre il verifier ufficiale, decodifica il token, recalcola la firma usando la chiave pubblica inclusa, e mostra:
    • Esito (VALIDO / INVALIDO).
    • Issuer (studio/impresa che ha firmato).
    • Numero fattura, importo, valuta.
    • Timestamp di emissione.

Modo 2: paste manuale

Se non puoi scansionare (es. PDF aperto su un computer senza fotocamera), vai su verify.vidima.ch, copia-incolla la stringa del token dal QR (tutti i lettori QR su desktop la decodificano), clicca "Verifica". Stesso risultato.

Cosa esattamente conferma il sigillo

Una verifica positiva conferma 4 fatti matematicamente certi:

  1. Identità dell'emittente. La fattura è stata firmata dalla chiave privata associata al certificato di quello specifico studio/impresa. Nessun altro al mondo può aver firmato a suo nome.
  2. Timestamp. La fattura è stata emessa al momento dichiarato dall'iat. (Nota: il timestamp è dichiarato dal firmatario; per timestamp legalmente vincolante serve un sigillo qualificato — vedi sotto).
  3. Importo dichiarato. L'importo nel sigillo corrisponde a quello visibile sulla fattura. Se qualcuno ha alterato l'importo visibile, le due cifre non corrisponderanno e si vedrà immediatamente.
  4. Integrità del PDF. Il PDF non è stato modificato dopo l'emissione (verificato tramite l'hash SHA-256). Cambia un singolo carattere, un singolo pixel, e l'hash cambia, e la firma diventa invalida.

Cosa NON conferma il sigillo

Trasparenza: il sigillo Vidima non è una panacea. Ecco cosa non fa:

Confronto con altri sistemi

SistemaCosa faValore legaleCosto
Sigillo Vidima (ECDSA P-256)Verifica integrità + identità emittente per ogni fatturaIndizio probatorio forte, non FEAIncluso in CHF 149
Firma elettronica qualificata (FEA)Equivalente alla firma manoscritta autografaPieno (forma scritta qualificata)CHF 50-200/anno per certificato + costo per firma
e-fattura italiana (XML SdI)Trasmissione obbligatoria via Sistema di InterscambioRiconoscimento fiscale ITVariabile (incluso in molti software)
PEC con allegato PDFPosta certificata, prova di consegnaProva di trasmissione, non di integrità contenuto~CHF 30-60/anno
Hash SHA-256 pubblicato su blockchainTimestamp pubblico immutabileProva di esistenza, non di identità~CHF 5-50 per transazione

Il sigillo Vidima si posiziona come "buona difesa contro frodi quotidiane, gratis e immediato". Per documenti che richiedono il massimo rigore legale, FEA resta lo standard.

Privacy: i tuoi dati non lasciano il computer

Una delle preoccupazioni naturali su sistemi di "verifica online" è: quali dati vengono trasmessi?

Risposta breve: solo il sigillo. Niente di privato.

In dettaglio:

Link al verifier ufficiale

Per testare la verifica con una fattura Vidima reale, vai su:

→ verify.vidima.ch

Il verifier è gratuito, anonimo, e funziona per chiunque — sia che tu sia cliente Vidima, sia che tu abbia semplicemente ricevuto una fattura da uno studio che usa Vidima e voglia controllare prima di pagare.

Per emettere fatture con sigillo, hai bisogno di Vidima. Vedi la guida QR-Bill per come si integra con il pagamento svizzero standard, e la guida IVA per la gestione fiscale.

Fatture autentiche, verificate, fuori dalla portata dei truffatori.

Vidima firma ogni fattura con ECDSA P-256. I tuoi clienti pagano sicuri, tu emetti tranquillo.