Firma digitale e normativa: corrispondenza tra numero di ".p7m" nel nome file e numero di firme

Piano Triennale Servizi Digitali
1

Buongiorno a tutti, mi sto confrontando su un problema che mi lascia dubbioso ed espongo il caso.
Poniamo che esista un file del tipo “nomeFile.pdf.p7m” in cui sono presenti 3 firme digitali.
Tale file, è valido?
La domanda sorge perchè parlando con l’assistenza del gestionale del protocollo sostengono che il file deve contenere tante volte la dicitura “.p7m” tante quante sono le firme digitali contenute nel file.
Quindi, secondo questo sistema, il file avrebbe dovuto chiamarsi “nomeFile.pdf.p7m.p7m.p7m”
A supporto di questa affermazione viene indicato l’art. 21, co. 6, Delibera CNIPA 45 del 21/5/2009 ( https://www.agid.gov.it/sites/default/files/repository_files/circolari/deliberazione_cnipa_n_45_21-mag-09_0_0.pdf )
Le buste crittografiche di cui al comma 5 possono contenere a loro volta buste crittografiche. In
questo caso deve essere applicata una ulteriore estensione “p7m”

Quindi pongo due domande.

  1. Tale norma è ancora valida o c’è qualcosa di più specifico che la supera?
  2. Vale anche nel caso di firme appaiate (quindi non controfirme?)

Grazie a chi saprà aiutarmi

2

o: non esiste alcuna regola per cui il numero di “.p7m” nel nome del file debba corrispondere al numero di firme. Dipende da come sono state apposte le firme multiple in CAdES:

  • Firme congiunte/parallele: più firme all’interno della stessa busta → il nome resta in genere …p7m una sola volta.

  • Controfirme/nidificate (“a matrioska”): si firma una busta già firmata → alcuni software salvano di nuovo e il nome può diventare …p7m.p7m (o ripetersi più volte). Il nome però non è un indicatore affidabile del numero di firme: il conteggio sta dentro la busta CAdES.

Come verificare quante firme ci sono davvero:

  • usare un verificatore di firma (mostra elenco firmatari e timestamp);

  • in alternativa, strumenti CLI (es. OpenSSL) per ispezionare/estrarre il contenuto, ma per il conteggio è più comodo un verificatore grafico.

Nota pratica (estrazione payload quando è un singolo file, es. PDF):

openssl smime -verify -noverify -binary -inform DER \
  -in "documento.pdf.p7m" -out "documento.pdf"

Se la busta contiene un PDF “imbustato”, otterrai il PDF originale.

Opzionale — soluzione online (disclosure): sono affiliato a CoolUtils; se il tuo .p7m contiene un PDF, questo strumento lo “sbusta” e salva direttamente il PDF:
https://www.coolutils.com/it/online/P7M-to-PDF