E’ il caso, ancora una volta, di ribadirlo!

Volendo essere pragmatici, la Firma Elettronica Avanzata non è LA tavoletta grafica di firma, meglio nota come tablet di firma, bensì un processo che deve essere conforme ai vincoli contenuti nel Titolo V delle Regole Tecniche dedicato specificatamente alla Firma Elettronica Avanzata.

La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva.

Art. 55 comma 1- Disposizioni generali
Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali […]

Sull’onda del primo comma dell’articolo 55 su riportato, si è aperto un nuovo “mercato di firme” elettroniche, sostenuto da una forte spinta generata dai produttori/rivenditori di tablet di firma, a loro volta sospinti da una clientela alla ricerca di soluzioni elettroniche di firma USABILI, che ha visto in prima fila gli operatori finanziari (banche e assicurazioni). Nelle more della pubblicazione delle regole tecniche, si è ahimè assitito ad un fiorire di proposte dalla dematerilizzazione facile, che molto, troppo spesso, hanno cavalcato l’onda lunga (durata due lunghissimi anni, vedasi a tal proposito: Habemus DPCM 22 febbraio 2013) dell’incertezza e del poco definito, per vendere soluzioni software e/o hardware dalla dubbia (per non dire altro) validità.

Fatta la doverosa premessa e ciò nonostante, la firma biometrica, meglio nota come firma grafometrica (la firma su tablet che raccoglie/calcola ritmo, velocità, pressione, accelerazione, movimento del gesto di firma), se opportunamente progettata può essere una Firma Elettronica Avanzata, venendoci così a trovare di fronte ad una FEA basata su tecnologie grafometriche.

La firma grafometrica basa la sua solidità su quattro pilastri:

  1. la tecnologia della tavoletta;
  2. la sicurezza nella protezione del dato biometrico;
  3. la sicurezza nella gestione della chiave di protezione (master key) del dato biometrico;
  4. la qualità del tool forensic (grafologia).

I punti suesposti si devono armonizzare con elementi organizzativi e di processo che definiscono gli ambiti entro i quali si sta parlando, e rendendo valida, la fattispecie Firma Elettronica Avanzata, secondo quanto disposto dagli articoli 56 (Caratteristiche delle soluzioni di firma elettronica avanzata) e 57 (Obblighi a carico dei soggetti che erogano soluzioni di firma elettronica avanzata) delle succitate regole tecniche.

Dato che, come abbiamo visto, la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva, l’onere della prova che quella utilizzata è “assolutamente una Firma Elettronica Avanzata”, ricade in capo a chi la realizza e conseguentemente a chi la propone. La fattispecie, come abbiamo visto, è fresca di Gazzetta Ufficiale, non esiste quindi prassi consolidata che definisca in maniera chiara ed inequivocabile quale sia la FEA buona e quella non buona, o quella così e così, ergo, per poterla confezionare/valutare nel migliore dei modi, a prova di possibile disconoscimento in sede giudiziaria (“signor giudice, mi dispiace ma quella con cui ha firmato il mio cliete non è una FEA!”), oltre alla diligenza e al buon senso del buon padre di famiglia, è il caso di rivolgersi ad autorità ed enti che siano in grado di guidare noi tutti (fornitori e consumatori) nel nostro “viaggio elettronico avanzato”.

E’ notizia di questi giorni il parere n. 396 del 12 settembre 2013 del Garante per la protezione dei dati personali (autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy – legge 31 dicembre 1996, n. 675) riguardante il sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da banca Fineco Bank S.p.A. “società operante esclusivamente online e tramite promotori finanziari dislocati su tutto il territorio nazionale di volersi dotare di un sistema (di firma grafometrica, ndr.) in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca”.

Il processo che Fineco ha intenzione di adottare si basa su una soluzione di firma grafometrica sviluppata da Namirial S.p.A. (organismo di certificazione accreditato presso l’Agenzia per l’Italia Digitale) che ha ricevuto la certificazione ISO 27001 per Impostare e Gestire un Sistema di Gestione della Sicurezza delle Informazioni (certificazione espressamente richiesta ex art. 58 delle Regole tecniche – Obblighi per i soggetti che realizzano per terzi soluzioni di firma elettronica avanzata) e su un “Archivio di conservazione a norma” di In.TE.SA. S.p.A. (organismo di certificazione accreditato anch’esso presso l’Agenzia per l’Italia Digitale, incaricato della gestione documentale e nello specifico responsabile della conservazione).

Il processo consta delle seguenti fasi:

  1. i promotori finanziari collaboratori della Banca illustrano al cliente le modalità di fruizione del servizio di “firma grafometrica”;
  2. il servizio verrebbe attivato su base esclusivamente volontaria, previa acquisizione del libero consenso informato di questi ultimi (ove il cliente non intendesse fornire il proprio consenso al trattamento, ovvero lo abbia successivamente revocato, i documenti resteranno sottoscrivibili secondo “il processo tradizionale” di firma su carta);
  3. il promotore rilascia la prevista Informativa ex art. 13 del Codice della Privacy e acquisisce il relativo consenso in caso di adesione al servizio;
  4. il promotore sottopone al cliente (previamente identificato) il documento in formato elettronico;
  5. il cliente appone la “firma grafometrica” su un dispositivo hardware in grado di acquisire i dati biometrici contestualmente all’atto di apposizione della firma;
  6. i dati biometrici cifrati (e “sigillati elettronicamente all’interno del documento informatico cui si riferiscono”) e il tratto grafico della firma sono inseriti in appositi campi del documento registrato in formato pdf;
  7. sono generate una serie di stringhe hash per la successiva verifica dell’integrità della firma e dei documenti acquisiti in formato elettronico;
  8. il documento informatico sottoscritto viene inviato tramite canali sicuri al “Sistema documentale di Fineco” e all'”Archivio di conservazione a norma” di In.TE.SA. S.p.A. per la relativa conservazione;
  9. il cliente riceve una copia cartacea del documento sottoscritto con “firma grafometrica” o, in alternativa, il duplicato informatico via posta elettronica.

In nessuno caso i dati biometrici del firmatario avrebbero “residenza”, nemmeno temporaneamente, all’interno dei “tablet” e, una volta incorporati nel documento, verrebbero “cancellati e sovrascritti dalla memoria del computer”, non risultando conseguentemente visualizzabili né dai promotori finanziari, né da In.TE.SA S.p.A., né, tantomeno, da Fineco Bank S.p.A. e da Namirial S.p.A.

La decifrazione dei dati biometrici e il relativo accesso “in chiaro” sarebbero consentiti “esclusivamente nei casi previsti dalla legge, su richiesta delle Autorità competenti” (tipicamente riconducibili a ipotesi di contenzioso legate al disconoscimento della firma); in tale evenienza, Namirial S.p.A. metterebbe a disposizione del perito calligrafico nominato dall’autorità giudiziaria un apposito strumento (denominato “FirmaCerta Forense”) che consentirà di gestire la procedura di decriptazione secondo elevati standard di sicurezza, garantendo che le operazioni di “cifratura e decifratura [si svolgano] contestual[ment]e […] all’apertura e alla chiusura della perizia”.

Le valutazioni del Garante della protezione dei dati personali (a tutti noto come Garante della Privacy) stabiliscono (fra le altre) che:

  • sotto il profilo della sicurezza dei dati trattati, si può ritenere che l’insieme degli accorgimenti adottati nell’intero processo di gestione dei dati biometrici degli interessati costituiscano, nel complesso, misure di sicurezza che, sulla base delle attuali conoscenze, possono essere ritenute idonee;
  • il metodo di sottoscrizione biometrica può risultare funzionale, anche a garanzia del cliente della banca, in vista di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale, fornendo possibili elementi di valutazione utili anche in sede giudiziaria, in virtù del fatto che l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti. In altri termini, la Firma Elettronica Avanzata garantisce maggiormente il consumatore da frodi;
  • la riservatezza dei dati biometrici durante la fase di raccolta si basa, oltre che sulla robustezza del processo, anche sulla sicurezza dei dispositivi, aspetto sul quale la banca dovrà porre la massima attenzione garantendone l’uso esclusivo, nell’ambito del processo di specie, ai soli utenti (promotori finanziari) abilitati al relativo utilizzo.

In conclusione il Garante accoglie l’istanza di verifica preliminare presentata da Fineco Bank S.p.A., a condizione che:

1. Fineco Bank S.p.A., qualora non vi abbia già provveduto, adotti gli ulteriori presidi tecnici e organizzativi di sicurezza a protezione dei dati biometrici degli interessati:

    • idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware);
    • un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro. In particolare, dovranno risultare disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi;
    • adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico;

2. Fineco Bank S.p.A. si faccia rilasciare e conservi l’attestato di conformità di cui alla regola 25 – Misure di tutela e garanzia – dell’Allegato “B” del Codice (Disciplinare tecnico in materia di misure minime di sicurezza);

3. Fineco Bank S.p.A. osservi effettivamente tutti gli obblighi che, nel corso del procedimento, si è impegnata a rispettare (repetita iuvant) e quelli ulteriori eventualmente gravanti sulla base della disciplina vigente;

4. il processo venga effettuato con le modalità indicate e per le sole finalità dichiarate.

… per le sole finalità dichiarate …