Omni Firma — Accesso

OmniFirma

Accedi

Questa pagina

ℹ️

Per questa pagina non c'è ancora una guida specifica. Trovi comunque la Guida rapida, il Glossario, le FAQ e la sezione Risoluzione problemi negli altri tab.

Vuoi suggerire una guida per questa pagina? Scrivici a support@omnisolution.it.

Sei nuovo? Ecco il setup in 5 step

Configura l'email mittente — Vai in Impostazioni → Email. Inserisci SMTP host, porta, utente, password. Premi "Invia test": se ricevi l'email di test sei a posto.

Senza email funzionante OmniFirma non può consegnare i documenti al cliente.

(Opzionale) Configura gli SMS — Se vuoi spedire l'OTP via SMS, in Impostazioni → SMS attiva il provider OpenAPI e inserisci token (Produzione o Sandbox) + mittente alfanumerico 3-11 char.

Senza SMS, l'OTP arriva via email — funziona comunque, ma alcuni clienti lo preferiscono via SMS.

Compila i dati azienda — In Impostazioni → Azienda inserisci ragione sociale, logo, colore brand. Compaiono in tutte le email e nel piè di pagina del Foglio firme.

Crea la prima firma di test — Dashboard → Nuova firma. Carica un PDF, metti la tua email come "Firmatario", la tua email come "Operatore". Manda. Riceverai documento + OTP — segui il flusso come se fossi il cliente.

(Avanzato) Collega AHR / AHRW — Se usi AdHoc Revolution o AHRW Workspace, vai in AHR → Setup connessione. Puoi importare i documenti direttamente dal gestionale.

Hai già configurato tutto? Ecco il flusso quotidiano

✨

Per ogni offerta/contratto da far firmare:

Vai in "Nuova firma", carica il PDF, indica firmatario.
Il cliente riceve email + (opz.) SMS con OTP.
Tu ricevi automaticamente il PDF firmato non appena il cliente conferma.
L'audit trail è sempre accessibile dalla dashboard, anche dopo mesi.

Cos'è OmniFirma

OmniFirma è una piattaforma di firma elettronica per offerte, contratti e qualsiasi PDF tu debba far firmare al cliente. Conforme a Reg. UE 910/2014 (eIDAS) e D.Lgs 82/2005 (CAD).

⚡

OmniFirma non sostituisce la firma digitale qualificata su smart card o token (es. SPID-firma, Aruba, InfoCert). Produce una Firma Elettronica Avanzata (FEA), sufficiente per il 95% degli usi commerciali. Per atti notarili o registri pubblici serve la firma qualificata — puoi attivare il provider QeSeal in Impostazioni.

Come funziona, in 4 step

Tu carichi il PDF e indichi email + (opz.) cellulare del cliente.

Il cliente riceve il documento via email e un codice OTP via SMS o email.

Il cliente apre il link, verifica l'OTP, disegna la firma col dito o col mouse e conferma.

Tu ricevi automaticamente il PDF firmato con sigillo PAdES, foglio firme e audit trail SHA-256.

Tipi di firma

Tipo	Quando usarlo
Singola	Un solo firmatario (es. accettazione offerta cliente).
Multi sequenziale	Più firmatari in ordine (es. tu firmi prima, poi il cliente).
Multi parallela	Più firmatari indipendenti (es. due amministratori contemporanei).

Cosa contiene il PDF firmato

Documento originale con tag sostituiti da indicatori discreti
Foglio delle firme: tratto autografo + metadata (nome, data, IP, hash) di ogni firmatario
Audit trail: cronologia immutabile di ogni evento con catena di hash SHA-256
Sigillo PAdES incorporato — alterare il PDF invalida la firma

Integrazioni

AHR / AHRW: importa documenti dal gestionale AdHoc Revolution (PostgreSQL + SQL Server)
AHRW Workspace: tile OmniFirma direttamente nel menu del gestionale del cliente
SMS via OpenAPI.com: Sandbox per test + Produzione per il vivo
Email SMTP: qualsiasi server (Office 365, Gmail, aziendale, ecc.)
API REST + Webhook: per integrare con software terzi

Termini tecnici tradotti

In ordine alfabetico. Sentiti libero di tornare a questa pagina quando incontri un termine sconosciuto.

Audit trail: Cronologia immutabile di ogni evento avvenuto durante la firma (link aperto, OTP inviato, OTP verificato, firma apposta, ecc.) con timestamp, IP, geolocalizzazione approssimata e hash di catena. Standard probatorio in caso di contestazioni.
CAD: Codice dell'Amministrazione Digitale (D.Lgs 82/2005), normativa italiana che definisce i livelli di firma elettronica e il loro valore legale.
Catena di hash (hash chain): Tecnica crittografica: ogni evento dell'audit trail contiene l'hash SHA-256 dell'evento precedente. Modificare o cancellare un evento "spezza" la catena ed è rilevabile matematicamente.
eIDAS: Regolamento UE 910/2014 che disciplina identità digitale e firme elettroniche nell'Unione. OmniFirma è conforme alla parte FEA.
FEA — Firma Elettronica Avanzata: Firma con identificazione del firmatario (via OTP) e integrità garantita crittograficamente. Valore probatorio pieno per la maggior parte dei rapporti contrattuali B2B.
FES — Firma Elettronica Semplice: Livello base: identificazione del firmatario senza obblighi crittografici stringenti. OmniFirma supera questo livello.
FEQ — Firma Elettronica Qualificata: Livello massimo (richiede certificato qualificato + dispositivo sicuro, tipicamente smart card o token con codice PIN). Equiparata alla firma autografa per qualsiasi tipo di atto. OmniFirma la supporta tramite provider esterni (es. OpenAPI QeSeal).
Firmatario: La persona che firma il documento. In multi-firma ci sono più firmatari, ognuno con il suo signer-token personale.
Operatore: L'utente di OmniFirma che crea la sessione di firma e invia il documento al cliente. Riceve la copia firmata a chiusura.
OTP — One-Time Password: Codice numerico monouso (6 cifre) inviato al cliente via SMS o email per verificarne l'identità prima della firma. Validità 10 minuti, max 5 tentativi.
PAdES: PDF Advanced Electronic Signatures: standard ETSI per incorporare firme digitali dentro un PDF in modo che siano verificabili senza software esterno (Adobe Reader le riconosce nativamente).
Sessione di firma: Un'istanza di richiesta di firma. Comprende il PDF, i firmatari, gli OTP, le clausole, l'audit trail. Identificata da un token.
Signer-token: Identificatore univoco personale per un singolo firmatario in una multi-firma. È quello che finisce nel link inviato via email.
SHA-256: Algoritmo di hash crittografico usato da OmniFirma per l'impronta del documento e per la catena di audit. Praticamente impossibile da invertire o "collidere" con metodi noti.
Sigillo qualificato (QSeal / QeSeal): Firma elettronica qualificata applicata in modo automatico da un'organizzazione (es. la tua azienda) e legalmente equivalente alla firma autografa per atti pubblici. Richiede provider certificato.

Errori comuni e come risolverli

⚠️

Il cliente dice di non aver ricevuto la mail.

Chiedigli di controllare spam/posta indesiderata (le email automatiche finiscono spesso lì).
Verifica nella dashboard che lo stato sia "DOCUMENTO_INVIATO" e non "INVIO_FALLITO".
Se lo è, vai in Impostazioni → Email → Invia test e rifai un check.
In ultima istanza puoi reinviare il documento dalla dashboard.

⚠️

Il cliente dice che l'OTP è scaduto.

L'OTP dura 10 minuti. Se il cliente apre la mail dopo, deve cliccare "📧 Invia codice via email" sulla pagina firma per ricevere un nuovo codice.
Se ha cliccato il pulsante e ne ha ricevuto uno nuovo: la mail precedente non è più valida, deve usare il codice della mail più recente.

⚠️

SMS non arrivano (OpenAPI errore 422 / sender invalido). Il mittente dev'essere 3-11 caratteri alfanumerici + spazi. Esempi validi: OmniFirma, Omni Firma. Esempi non validi: Om!, Sender12345678, OmniFirma srl spa (troppo lungo).
Inoltre, per inviare verso numeri italiani il sender deve essere stato pre-registrato sul tuo account OpenAPI (verifica aziendale AGCOM).

⚠️

Il PDF non viene firmato (errore in fase di firma).

Verifica che il PDF originale non sia già firmato digitalmente (OmniFirma non può aggiungere firme PAdES su PDF già firmati con altri tool).
Verifica che non sia protetto da password.
Se contiene moduli interattivi (form fields) complessi possono interferire — esporta il PDF in versione "flat" prima di caricarlo.

🚨

Token API / password trapelati in log o screenshot. Devi assumere che chiunque abbia visto il token possa usarlo:

Ruota immediatamente il token dalla dashboard del provider (OpenAPI, SMTP, ecc.).
Aggiorna il valore in Impostazioni di OmniFirma.
Se il leak riguarda dati di clienti finali (es. email/telefono), valuta gli obblighi GDPR di notifica (entro 72h al Garante in caso di rischio rilevante).

Codici di stato e cosa significano

Stato	Significato	Cosa fare
`IN_ATTESA_OTP`	Documento inviato, in attesa che il cliente verifichi l'OTP.	Aspetta. Se passano giorni, ricontatta il cliente.
`OTP_VERIFICATO`	Cliente ha verificato il codice ma non ha ancora firmato.	Il cliente sta probabilmente leggendo il documento. Pazienza.
`FIRMATO`	Procedura completata, PDF firmato consegnato.	Niente. Lo trovi nella dashboard.
`RIFIUTATA`	Il cliente ha esplicitamente rifiutato la firma.	Contattalo per capire il motivo. La sessione è chiusa.
`REVOCATA`	Tu (operatore) hai annullato la richiesta.	Crea una nuova sessione se serve rifirmare.
`SCADUTA`	Il termine massimo è passato senza firma.	Crea una nuova sessione e reinvia.

Sì: è una FEA (Firma Elettronica Avanzata) a norma del Regolamento eIDAS (UE 910/2014) e del CAD (D.Lgs 82/2005). Il PDF include sigillo PAdES con hash SHA-256, audit trail immutabile e identificazione del firmatario via OTP.

Per atti che richiedono firma qualificata (es. contratti notarili, atti di trasferimento immobiliare) attiva il provider QeSeal in Impostazioni → Sigillo qualificato.

Sì, è un caso d'uso perfetto. La FEA di OmniFirma è ammessa per contratti B2B, ordini d'acquisto, contratti di servizio, condizioni generali, accettazioni di offerte e simili. Non è necessario il valore di firma qualificata per questi documenti.

Sì all'interno dell'UE grazie al mutuo riconoscimento eIDAS. Fuori UE dipende dalla normativa locale: paesi anglosassoni (USA UETA / ESIGN, UK Electronic Communications Act) e Svizzera (ZertES) riconoscono firme equivalenti. Per altri stati verifica caso per caso.

No, non si può revocare una firma retroattivamente (è la natura della firma elettronica: una volta apposta, esiste). Puoi però rescindere il contratto firmato con i normali strumenti legali (recesso, risoluzione, ecc.).

Prima della firma, puoi revocare la richiesta dalla dashboard — il link smette di funzionare e l'evento "REVOCATA" finisce nell'audit.

Step diagnostici:

Chiedi al cliente di guardare in spam (email) o blocco messaggi sconosciuti (SMS).
Sulla pagina firma il cliente ha i pulsanti "📧 Invia codice via email" e (se ha cellulare) "📱 Invia codice via SMS" — cliccarli rispedisce lo stesso codice. Se è scaduto ne genera uno nuovo.
Verifica in dashboard che il tracking dica "OTP_INVIATO" e non "INVIO_FALLITO".
Test SMTP/SMS dalla pagina Impostazioni con un tuo numero/email.

10 minuti dalla generazione. Dopo è scaduto e bisogna richiederne uno nuovo. Massimo 5 tentativi di inserimento prima del blocco temporaneo.

Al momento WhatsApp è in roadmap (vedi flag "Abilita pulsante WhatsApp" in Impostazioni). Quando attivo, l'OTP arriverà anche con un link wa.me per click-to-chat. Il canale principale resta SMS o email.

Sandbox usa l'endpoint test.sms.openapi.com: gli SMS NON vengono recapitati, niente costi. Utile per validare token/sender/payload prima del go-live.

Produzione usa sms.openapi.com: invii reali con addebito. Token diverso da quello sandbox.

Il flag in Impostazioni commuta tra i due. Puoi salvare entrambi i token e fare switch istantaneo.

Per inviare SMS verso numeri italiani con sender alfanumerico (es. "OmniFirma" invece di un numero), devi verificare l'azienda sul portale OpenAPI: caricare visura camerale, P.IVA, documento legale rappresentante. Tempo medio: 1-3 giorni lavorativi.

Dopo la verifica puoi registrare fino a 10 sender per account.

Dipende dal provider e dal paese di destinazione. OpenAPI per SMS Italia parte da ~3 centesimi/SMS, calo per volumi. La fatturazione è a parti di messaggio: 160 caratteri GSM-7 = 1 parte, 153 da multipart; messaggi con accenti/emoji usano UCS-2 (70 char/parte, 67 multipart).

Sì. In AHR → Setup connessione imposti host/database/utente/azienda. OmniFirma legge i documenti firmabili (offerte, contratti, ordini) direttamente da DOC_MAST/DOC_DETT e crea la sessione di firma con un click.

Funziona sia con AHRW (PostgreSQL) sia con AHR/AdHoc Standard (SQL Server).

È un'integrazione che inserisce OmniFirma nel menu applicativo AHRW del cliente. L'utente del gestionale clicca un riquadro "OmniFirma" e ci si trova dentro senza login.

Vai in AHR → AHRW Workspace (tile menu) per installare/verificare/disinstallare. Coesiste con il tile OmniChannel se presente.

md_category, md_containers, ba_apparea, md_gadgets, md_pages, md_pages_gadgets, md_containers_pages, md_pagesperm. Tutti i record hanno marker cpccchk='omnifrm01' per essere identificati al disinstall.

In più viene copiato il file jsp/omnifirma_portlet.jsp nella cartella Tomcat di AHRW.

È una pagina che OmniFirma aggiunge in coda al PDF. Contiene:

Per ogni firmatario: tratto autografo come filigrana + metadata (nome, data, IP, hash documento, codice fiscale se fornito).
Audit trail completo: cronologia di tutti gli eventi (link aperto, OTP inviato/verificato, firma apposta) con timestamp, IP, geolocalizzazione.

Il foglio è parte integrante del documento firmato: alterarlo invalida la firma PAdES.

Inserisci la stringa {{FIRMA}} nel punto dove vuoi che il cliente firmi. OmniFirma lo riconosce, lo copre con una nota discreta ("Firma sul Foglio delle firme →") e fa apparire la firma sul Foglio finale.

Per documenti senza tag, OmniFirma firma comunque sul Foglio firme in coda.

Sì: ogni {{FIRMA}} nel PDF viene gestito come un marcatore separato. Il Foglio firme finale resta uno solo. Hai anche {{FIRMA_CLAUSOLE}} per indicare clausole vessatorie (art. 1341 c.c.) che richiedono accettazione esplicita.

Sì. Aprendolo in Adobe Reader vedrai la banda verde "Le firme nel documento sono valide" se nessuno l'ha alterato. La banda diventa rossa se qualcuno ha modificato il file dopo la firma.

I PDF (originale + firmato) sono archiviati in SQLite come BLOB. Per requisiti specifici di crittografia at-rest:

Metti omni_firma.db su un volume BitLocker (Windows) o LUKS (Linux).
Configura backup cifrati S3 con SSE-KMS (in roadmap).

Le password (SMTP, SMS API) sono cifrate con AES-256 prima del salvataggio in DB.

Solo utenti con account creato dall'admin (sezione Utenti). Ogni utente ha un ruolo: user (operatore normale), admin (gestisce utenti e impostazioni), superadmin (multi-tenant).

L'accesso è protetto da password con hash bcrypt + rate limit anti-bruteforce.

No, è progettato per essere inalterabile:

Trigger SQLite vietano UPDATE/DELETE sulla tabella eventi (append-only).
Ogni evento contiene l'hash SHA-256 dell'evento precedente (catena hash): modificare un evento spezza la catena ed è rilevabile.
L'intera catena è incorporata nel PDF firmato come Audit Trail: alterare il PDF invalida la firma PAdES.

Sì: usa multi-firma sequenziale. Crea la richiesta indicando 2 firmatari (te + il cliente). Tu firmi prima, riceve il link il cliente, firma il cliente, ricevete entrambi la copia firmata finale.

Niente di grave: lo stato è salvato sul server. Riapri il link dall'email e riparti dall'ultimo passo (OTP o firma).

Sì, dalla dashboard sulla scheda della richiesta puoi prorogare o impostare una data di scadenza. Superata la data, lo stato diventa SCADUTA e il link smette di funzionare.

Sì, vai in Statistiche: vedi le firme per stato, mese, firmatario. Puoi esportare CSV/Excel dei dati. L'API REST /api/v1/signatures ti permette di tirare giù i dati a programma.

SSO via SAML 2.0 e OIDC è in roadmap (Q3 2026). Al momento auth interna con password + reset email. Se hai necessità urgenti per un cliente enterprise, contattaci a support@omnisolution.it.

Sì: /api/v1/*, autenticata con API Key. Endpoint principali: creare sessione, leggere stato, scaricare PDF firmato, ricevere audit. Documentazione OpenAPI/Swagger disponibile in menu utente → Docs API.

Sì: dal menu utente Webhook registri uno o più URL che ricevono POST quando avvengono eventi (sessione firmata, rifiutata, OTP fallito, ecc.). Payload JSON firmato con HMAC-SHA256.

Scorciatoie da tastiera

Tasto	Azione
`F1`	Apre questa guida (ovunque tu sia)
`Esc`	Chiude la guida, modali aperti, dropdown
`Ctrl` + `F5`	Ricarica la pagina bypassando la cache
`Tab`	Naviga tra i campi del form
`Enter`	Conferma il form attivo

Lato firmatario (pagina cliente)

Tasto	Azione
`Tab`	Sposta il focus tra OTP input, bottoni "Invia codice", pad firma
`Enter` nel campo OTP	Equivale a premere "Verifica"
Click destro sul pad firma	(Su desktop) Riapre il menu disegno/upload firma

Come contattare il supporto

Canale	Quando usarlo	Tempi di risposta
📧 Email support@omnisolution.it	Domande non urgenti, richieste di funzionalità, configurazione approfondita.	Entro 1 giorno lavorativo
📞 Telefono 06.45.44.35.80	Urgenze, blocchi operativi, supporto attivo durante il setup iniziale.	Lun-Ven 9-13 / 14-18
💬 Vincenzo Longobardi 335.13.23.606 elong@omnisolution.it	Esigenze commerciali, demo, integrazione complessa, accordi enterprise.	Risposta diretta

Cosa includere nella richiesta

Per aiutarti più velocemente, includi nella mail di supporto:

Cosa stavi facendo (es. "Stavo creando una firma con cliente X")
Cosa è successo (es. "Premuto Conferma, ha caricato per 30 sec e poi errore")
Messaggio d'errore esatto (uno screenshot va benissimo)
Token sessione se rilevante (lo trovi nell'URL della pagina firma, è quel codice random dopo /firma/)
Versione OmniFirma (la trovi in fondo alla dashboard o nelle Impostazioni)