Chiavette JSIGN3: revoca, scadenze e cosa verificare
03/07/2026
Stampa la pagina
La revoca delle chiavette firma digitale JSIGN3 riguarda solo i dispositivi con chip specifico non più conforme dal 29 giugno 2026. Non tutte le chiavette sono coinvolte: è necessario verificare il proprio dispositivo e le comunicazioni del fornitore. In caso positivo, occorre scegliere tra sostituzione, smart card o firma remota, valutando compatibilità e modalità operative. Agire in anticipo evita blocchi nelle procedure telematiche e garantisce continuità nell’utilizzo della firma digitale.
Negli ultimi giorni molti professionisti hanno ricevuto comunicazioni sulla revoca di alcune chiavette di firma digitale. La notizia ha creato dubbi, anche perché non riguarda tutti i dispositivi in circolazione.
Il primo punto da chiarire è questo: non tutte le chiavette di firma digitale saranno revocate.
La revoca riguarda i dispositivi che contengono il chip JSIGN3, spesso indicato anche come JS3. Si tratta del chip presente nella SIM interna della chiavetta. Su quella SIM sono memorizzati i certificati di firma digitale e, in alcuni casi, anche il certificato CNS.
La ragione della revoca è tecnica e normativa. Il dispositivo JSIGN3 V1.1.4 era stato riconosciuto conforme ai requisiti previsti per i dispositivi qualificati di creazione della firma elettronica. Tale conformità, però, è stata prorogata solo fino al 29 giugno 2026. Dopo tale data, i certificati di firma contenuti nei dispositivi interessati non potranno più essere utilizzati.
Questo non significa che ogni utente debba sostituire automaticamente la propria chiavetta.
Occorre prima verificare se il dispositivo contiene effettivamente il chip JSIGN3. Il fatto che un collega abbia ricevuto una comunicazione non comporta che anche altri dispositivi siano coinvolti. La verifica va fatta sul singolo dispositivo.
Chi è interessato dalla revoca dovrebbe avere ricevuto comunicazioni dal proprio fornitore nei mesi precedenti. Se non si è ricevuto nulla, è probabile che la chiavetta non rientri tra quelle interessate. Tuttavia non si può escludere che l’avviso sia stato cancellato, ignorato o finito nello spam.
La verifica tecnica può essere fatta inserendo la chiavetta nel computer e controllando il tipo di chip tramite il software aggiornato di gestione della firma digitale, con i relativi driver e con l’ultima versione del programma di firma.
Per i dispositivi Tinexta Visura/Namirial, la comunicazione segnala che il certificato non è più rinnovabile. La ragione indicata è la perdita della certificazione tecnica richiesta dalla normativa vigente. Per questo, dal 29 giugno 2026, i certificati presenti nei dispositivi interessati saranno revocati e non più utilizzabili. La soluzione indicata è la richiesta di un nuovo dispositivo.
Per Aruba la decorrenza comunicata risulta dal 30 giugno 2026. In alcune comunicazioni viene indicata la possibilità di passare alla firma remota; in altre viene precisato che, per continuare a usare il servizio, è necessario procedere con un nuovo acquisto secondo le modalità previste dalla convenzione e con l’eventuale codice sconto comunicato all’utente. Per questo è importante leggere con attenzione la comunicazione ricevuta dal proprio fornitore e non affidarsi a indicazioni generiche.
Un ulteriore aspetto riguarda la CNS (Carta Nazionale dei Servizi). Alcune comunicazioni indicano che il certificato di autenticazione CNS presente sul medesimo dispositivo resta valido fino alla sua naturale scadenza, anche se viene meno il certificato qualificato di firma digitale. Tuttavia, nel caso di passaggio alla firma remota, occorre considerare che la firma remota non equivale alla chiavetta fisica e può non mantenere le stesse funzioni operative, in particolare per l’autenticazione CNS.
Va considerato anche il tema dell’uso pratico della firma remota. Le comunicazioni Aruba richiamate dagli Ordini tecnici indicano che la firma remota richiede una connessione Internet attiva e l’utilizzo del software ArubaSign aggiornato. In alcuni casi viene anche segnalato che non è possibile firmare offline o tramite software di terze parti, salvo successive soluzioni tecniche.
Quindi la scelta non è solo economica. Chi utilizza la firma digitale per depositi telematici, accessi con CNS o software specifici deve verificare prima se la soluzione proposta è compatibile con il proprio modo di lavorare.
In sintesi, chi ha una chiavetta coinvolta deve valutare una di queste soluzioni: sostituire il dispositivo, acquistare una nuova smart card o aderire alla soluzione proposta dal fornitore, se disponibile e compatibile con le proprie esigenze.
È importante non attendere il momento del deposito telematico. Scoprire che la chiavetta non funziona al momento della firma di un atto può creare problemi, soprattutto in prossimità di una scadenza.
I controlli da fare sono tre.
Primo: verificare se sono arrivate comunicazioni dal proprio fornitore di firma digitale.
Secondo: controllare se la chiavetta contiene il chip JSIGN3 o JS3.
Terzo: in caso di dispositivo coinvolto, procedere per tempo alla sostituzione o alla diversa soluzione indicata dal fornitore.
Chi ritiene di avere diritto a un rimborso, perché il dispositivo viene revocato prima della scadenza naturale per la quale era stato acquistato, dovrà rivolgersi direttamente al proprio fornitore.
La revoca delle chiavette JSIGN3 non è quindi una revoca generalizzata delle firme digitali. È una misura legata a uno specifico tipo di dispositivo e alla relativa certificazione tecnica.
Il consiglio operativo è semplice: verificare subito il proprio dispositivo, conservare le comunicazioni ricevute e, se la chiavetta è coinvolta, scegliere per tempo la soluzione più adatta.