Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

LA FIRMA GRAFOMETRICA: UN GIUSTO EQUILIBRIO TRA TECNOLOGIA E PRIVACY

di Marco Della Femina

[five_sixth][toggle Title=”Abstract”]La firma grafometrica è uno specifico tipo di firma elettronica disciplinata dal Codice dell’Amministrazione Digitale: è una procedura informatica che permette di rilevare la firma autografica, mediante l’impiego di un supporto tecnologico che memorizza, oltre all’immagine grafica della firma, anche altri parametri.
Al termine del processo di elaborazione la firma viene registrata in un sistema informatico e collegata al documento in questione, che viene poi archiviato.[/toggle][/five_sixth]

[one_sixth_last]pdf-icon[/one_sixth_last]

[dropcaps style=”fancy”]I[/dropcaps] continui provvedimenti legislativi finalizzati ad uno snellimento e semplificazione delle procedure amministrative ci spingono a ragionare sulle tematiche dell’agere amministrativo e l’influenza che su di questo ha l’avvento delle moderne tecnologie(1). Nel corso degli ultimi tempi, l’innovazione tecnologica ha prodotto una profonda e radicale trasformazione della società, contrassegnato da un massiccio e pervasivo impiego delle cosiddette tecnologie dell’informazione e della comunicazione (I.C.T.)(2). Le tecnologie della informazione e della comunicazione costituiscono un elemento-chiave di ogni strategia di ammodernamento delle amministrazioni e dei pertinenti servizi(3).
L’utilizzo di questi strumenti rappresenta, quindi, il punto di partenza per una Pubblica Amministrazione che deve diventare completamente digitale. La diffusione delle tecnologie dell’informazione e della comunicazione è fortemente condizionata dalle regole che ne definiscono il quadro normativo. Innovazione e norme sono legate da un rapporto di reciproca influenza molto articolato, reso ancor più complesso dall’accelerazione tecnologica. Se i due aspetti non procedono di pari passo, la normativa rischia di diventare un ostacolo, invece, che una risorsa per promuovere e incoraggiare lo sviluppo.

Il D.Lgs. 7 marzo 2005, n. 82 denominato Codice dell’Amministrazione Digitale o, comunemente , CAD(4), è un corpus organico di norme finalizzate all’introduzione, implementazione e quotidiano utilizzo delle tecnologie informatiche nell’agire delle Pubbliche Amministrazioni. Il sistema normativo generale delineato dal CAD ha trovato chiara specificazione e preciso completamento nel Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013 che individua caratteristiche e condizioni applicative delle diverse tipologie di firma previste dalla normativa(5).
Proprio sulla differente valenza giuridica e probatoria dei diversi tipi di firma, si fonda la classificazione delle diverse tipologie di firma elettronica in due aree (6):

  • firme deboli, che consentono di ricondurre il documento ad un soggetto con un certo grado di “affidabilità” senza garantire l’integrità del documento stesso;
  • firme forti, sono quelle per cui il firmatario non può disconoscere semplicemente la sottoscrizione, ma si rende necessaria la querela di falso. Queste firme garantiscono l’identità dell’autore e l’integrità del documento firmato.

Il Codice dell’Amministrazione Digitale disciplina quattro tipologie di firme informatiche(7). Con l’espressione firma elettronica, disciplinata dall’art. 1, comma 1, lett. Q del Codice, s’intende “un insieme di dati in forma elettronica, riconducibili all’autore connessi ad atti o fatti giuridicamente rilevanti contenuti in un documento informatico, utilizzati come metodo di identificazione informatica”. La firma elettronica, quindi, più che a una vera e propria firma, dà vita ad un processo di autenticazione cui sono riferibili minori requisiti di sicurezza rispetto alle altre firme (le c.d. forti). La disciplina legislativa garantisce alla firma elettronica un valore probatorio: la firma è liberamente valutabile dal giudice in fase di giudizio, in base a caratteristiche oggettive di qualità e sicurezza.

La firma elettronica avanzata, disciplinata dall’art. 1, comma 1, lett. Q-bis del Codice, è “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.”(8)

La sua creazione presuppone l’utilizzo di mezzi sui quali il firmatario mantiene il controllo esclusivo. Quest’ultimo elemento assicura la connessione univoca con il firmatario e, quindi, la paternità giuridica del documento. La firma elettronica avanzata presenta delle caratteristiche uniche: in primis, la normativa non vincola la firma elettronica avanzata a particolari riferimenti tecnici o determinati applicativi software. Sono, pertanto, ipotizzabili differenti soluzioni di firma, anche molto diverse tra loro, che in sostanza rispettino i requisiti previsti dalla vigente normativa: l’integrità e l’autenticità del documento sottoscritto ed il controllo esclusivo del dispositivo di firma da parte del firmatario. Gli strumenti che attualmente raggiungono un maggiore panorama di diffusione sono quelli che utilizzano nella sottoscrizione le parole d’ordine temporanee (one time password – OTP) e i dati biometrici: in particolare, le soluzioni di firma grafometrica. In secondo luogo, l’offerta di soluzioni di firma elettronica avanzata, che non richiede alcuna autorizzazione preventiva, è possibile da parte di tutti i soggetti che intendono utilizzarla nei rapporti con terze parti per motivi istituzionali, societari o commerciali e dalla pubblica amministrazione. Il documento informatico che viene sottoscritto con una firma elettronica avanzata ed è costituito in ottemperanza alle regole tecniche, ha piena validità fino a querela di falso.

La firma elettronica qualificata, disciplinata dall’art. 1, comma 1, lett. R del Codice, è basata su un certificato, appunto, “qualificato”, che garantisce l’identificazione univoca del titolare, rilasciato da certificatori accreditati e realizzato mediante un dispositivo sicuro per la generazione della firma che soddisfa particolari requisiti di sicurezza. Infine, la firma digitale(9), disciplinata dall’art. 1, comma 1, lett. S del Codice, è un particolare tipo di firma elettronica avanzata basato su un certificato qualificato e su un sistema di doppia chiave crittografica, una pubblica, contenuta nel certificato qualificato, ed una privata, custodita dal mittente che, nel loro uso congiunto, servono a garantire e a verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici. In questo caso, si utilizza una particolare tecnologia, ossia quella della crittografia a chiavi asimmetriche(10).

È dilagante, nell’ultimo periodo, lo sviluppo di un particolare tipo di firma elettronica avanzata, meglio nota come firma grafometrica. Non si comprendono le ragioni che portano all’utilizzo dell’aggettivo “grafometrica” in luogo di “biometrica”, se non per motivazioni che traggono la loro scaturigine nel timore e nella soggezione del confronto con le tematiche della privacy. Nata per facilitare le comunicazioni e lo scambio di documenti, questa evoluzione tecnologica della tradizionale firma costituisce una valida soluzione in termini di risparmio, sia dal punto di vista economico che temporale. La firma grafometrica, in termini pratici, è una procedura informatica che permette di rilevare la firma autografica attraverso l’impiego di un supporto tecnologico(11). La firma grafometrica è uno specifico tipo di firma elettronica avanzata prevista e disciplinata dal Codice dell’Amministrazione Digitale. Importanti novità in materia sono state sancite dal c.d. Decreto Sviluppo bis, già richiamato D.L. n. 179 del 2012, con il quale vengono chiuse due questioni fondamentali: il disconoscimento della firma elettronica avanzata e l’idoneità ad integrare il requisito della forma scritta degli atti e dei contratti con questa firmati.

La firma grafometrica è rilevata con un signature pad, cioè un preciso supporto tecnologico che memorizza, oltre all’immagine grafica della firma, cinque fondamentali parametri biometrici: il ritmo, l’accelerazione, l’inclinazione, la pressione e la velocità(12). Terminato il processo di elaborazione manuale della propria firma, l’utente può decide se accettarla o riproporla, annullando l’operazione appena eseguita. Su ciascuna firma hanno luogo una serie di controlli di sicurezza sull’identità di chi l’appone. La firma, infatti, viene registrata in un sistema informativo e collegata immutabilmente al documento in questione. Il documento prodotto viene archiviato, poi, digitalmente con l’aggiunta della firma, cioè come nella trasposizione cartacea, e con i dati biometrici di identificazione. In tal modo, la firma grafometrica garantisce una connessione inequivocabile al firmatario e consente di valere come firma elettronica avanzata: criptando i dati biometrici relativi ad una firma grafometrica si genera uno specimen digitale; il processo di relazione tra la firma grafometrica e lo stesso permette di porre in essere l’assimilazione della stessa alla firma elettronica avanzata(13). Le peculiarità salienti della firma grafometrica sono rinvenibili nella sua sicurezza, nell’integrità del documento sottoscritto e nella sua probatio, ovvero la verifica. In primis, per quanto attiene la sicurezza, questa è assicurata dal fatto che mentre il firmatario appone il suo signum, i dati biometrici di natura statica e dinamica vengono cifrati e memorizzati nel documento utilizzando tecniche di crittografia asimmetriche. Pertanto, affinché possano essere desunti i dati biometrici, per una loro ipotetica valutazione in sede legale, è necessaria la conoscenza della chiave primaria.
Al termine del procedimento di memorizzazione i dati non cifrati vengono cancellati e sovrascritti in modalità sicura. In secondo luogo, l’integrità viene assicurata mediante l’applicazione di funzioni di hash ed il calcolo di due impronte, elaborate conformemente al processo sopra descritto. Infine, la verifica della firma grafometrica trova spazio solo se viene applicata direttamente sul dato biometrico decifrato: questo, sia statico che dinamico viene rilevato da appositi strumenti e riprodotto sotto forma di onda, per ogni parametro che costituisce la grafia del firmatario(14). Non vi può essere dubbio alcuno sul fatto che tutti i parametri della firma così acquisita, sono dati biometrici in quanto legati alla sfera individuale, soggettiva, unica del sottoscrittore.

Emerge così, chiaramente la conseguenza di un necessario coordinamento con le disposizioni del “Codice in materia di protezione dei dati personali”, D.Lgs. n. 196 del 2003(15). Proprio su queste tematiche si innesta una recentissima decisione del Garante per la protezione dei dati personali: il provvedimento n. 396 del 2013 è relativo al tema “Dati biometrici e processi di sottoscrizione elettronica”(16). È la prima pronuncia del Garante in tema di firma elettronica avanzata di tipo grafometrico, cioè con l’ausilio del supporto biometrico nel momento della genesi della firma. La rilevanza del provvedimento risiede nel fatto che i dati biometrici sono specificamente utilizzati come parte integrante del processo di sottoscrizione: infatti viene scandagliato un processo “in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca attraverso… l’utilizzo combinato di firme elettroniche e… la raccolta di dati biometrici comportamentali desunti dalla firma apposta dai clienti su appositi tablet in dotazione ai medesimi promotori”.
Il Garante per la Privacy ha chiarito che l’utilizzo di strumentazioni e tecniche capaci di rilevare le caratteristiche “dinamiche” della firma determina un trattamento di dati biometrici di natura comportamentale e, quindi, soggetta alla disciplina di tutela dei dati personali.
L’Autorità ha sostenuto che il trattamento posto in essere dalla banca fosse lecito, sottolineando sia il fatto che tale processo “non risulta connotato, ancorché effettuato con strumenti elettronici, da specifici ed evidenti rischi per gli interessati”, sia che le nuovissime Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali contemplano esplicitamente i dati biometrici legati alla condotta del firmatario, tra le condizioni utilizzabili ai fini della generazione della firma elettronica avanzata. Il trattamento oggetto di verifica, con il consenso informato dei firmatari(17) e per il soddisfacimento di finalità note agli stessi(18) può essere d’ausilio per conferire maggiore certezza ai rapporti giuridici. Il Garante per la privacy chiede, in aggiunta e a fondamento, che sia assicurata sempre la massima attenzione al corretto utilizzo, da parte dei soli utenti abilitati, dei dispositivi per la raccolta dei dati biometrici.

L’Autorità prescrive l’adozione di idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando, altresì, ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli. Il Garante ritiene necessaria l’adozione di un sistema di gestione dei dispositivi impiegati nei trattamenti in esame basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro: in particolare, dovranno risultare disponibili applicativi nei casi di furto o sottrazione dei dispositivi in argomento.

Si dovrà, altresì, prevedere adeguate politiche di gestione degli inconvenienti relativi alla sicurezza nell’ambito delle diverse fasi del processo biometrico e del conseguente sviluppo grafometrico(19). Il provvedimento in esame del Garante garantirà il take-off di soluzioni di firma elettronica avanzata basata sullo sviluppo di dati biometrici(20).
L’obiettivo di fondo è, quindi, sempre il medesimo: digitalizzare a tutto tondo, dalla genesi alla conservazione dei documenti.©

NOTE

  1. M. BUFFACCHI, Meno carta più digitale, passando per la semplificazione, pubblicato su www.contabilita-pubblica.it, consultato in data 24/02/2014.
  2. Con questa definizione si intendono l’insieme delle soluzioni tecnologiche e infrastrutturali (sia hardware che software), che consentono la raccolta, la conservazione, il trattamento e la trasmissione di informazioni.
  3. AA.VV., Dieci tesi sull’e-government, pubblicato su www.astrid.it.
  4. Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale, G.U. n.112 del 16-5-2005, – Suppl. Ordinario n. 93. La locuzione firma digitale, a ben pensarci, rappresenta un paradigma di figure retoriche. Il concetto in re ipsa trae la sua origine da una metafora: mette in relazione, cioè, due domini di conoscenze, quale quello pragmatico con quello tecnologico. L’applicazione è certamente determinante per i fini cognitivi . Non vi è dubbio, comunque, che la sottoscrizione autografa e le firme informatiche sono entità assai dissimili. L’utilizzo dello stesso termine, firma, spinge all’associazione, o meglio, alla sua sovrapposizione concettuale, soprattutto per ciò che attiene al regime giuridico. È poi certamente un ossimoro: il sostantivo firma appartiene alla sfera umana, mentre l’aggettivo digitale si relaziona al mondo informatico. Qualsiasi cosa in forma digitale può essere copiata, mentre dovrebbe essere impossibile copiare una firma prodotta dall’uomo. Sulla scia di questo ragionamento si arriva ad una nuova figura retorica, il paradosso.
  5. Le regole tecniche sono state approvate con D.P.C.M. 22 febbraio 2013, G.U. n. 117 del 21-5-2013. Per quanto riguarda la firma elettronica avanzata, hanno introdotto una liberalizzazione che lascia agli operatori massima autonomia. Si confronti, B. SANTACROCE, Dalla firma digitale alla firma biometrica: quadro giuridico di riferimento per l’applicazione dei nuovi dispositivi di firma, in P. RIDOLFI, Il nuovo CAD: Commenti e prospettive, SIAV, 2011.
  6. G. NAVONE, Instrumentum digitale: teoria e disciplina del documento informatico, Giuffrè, 2012 e, sia consentito, M. DELLA FEMINA, L’identità digitale nella Pubblica Amministrazione del III millennio, Informazioni della Difesa, 2013.
  7. L’espressione firma elettronica è volutamente neutra, come proposto da G. FINOCCHIARO, La metafora ed il diritto nella normativa sulla cosiddetta firma grafometrica, Il diritto dell’informazione e dell’informatica, Giuffrè, 2013.
  8. M. MARTONI, Documento informatico e firme elettroniche, in Temi di diritto dell’informatica, Giappichelli, 2011.
  9. G. FINOCCHIARO, Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell’Amministrazione Digitale, in Contratto e Impresa, 2011.
  10. G. NAVONE, La firma digitale ed il sistema di certificazione quale nuovo strumento di pubblicità legale, Diritto dell’Internet, 2008: secondo l’autore, la firma digitale è comune al linguaggio tecnico–informatico e a quello tecnico–giuridico, ma in questo secondo utilizzo acquisisce un significato persino più circoscritto del contesto informatico, in quanto designa una specifica tecnica di identificazione dell’autore.
  11. V. FREDIANI, Firma grafometrica, l’ultima tappa della digitalizzazione informatica, tratto dal sito http://www.consulentelegaleinformatico.it.
  12. G. MANCA, Il decalogo della firma grafometrica, Information Security, 2012.
  13. P. GALATELLI, L. ALTIERI e S. PICCIRILLO, La nuova frontiera della firma grafometrica, Office Automation, 2013.
  14. Per una completa ricostruzione, si confronti G. MANCA, Il decalogo della firma grafometrica, Information Security, 2012.
  15. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali, G.U. n.174 del 29-7-2003 – Suppl. Ordinario n. 123.
  16. L. FOGLIA, Grafometria e firma elettronica avanzata: il Garante della Privacy si pronuncia positivamente, TEME – Tecnica e Metodologia Economale, 2013.
  17. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali, G.U. n.174 del 29-7-2003 – Suppl. Ordinario n. 123, qui richiamato agli artt. 13 e 23.
  18. Sancito all’art. 11, comma 1, lett. b del sopra citato codice
  19. F. FOGLIO, Firma grafometrica e privacy: il recente provvedimento del Garante, tratto da www.ewitness.eu.
  20. Maggiore dettaglio e precisazioni in G. FINOCCHIARO, Alcune precisazioni sul provvedimento del Garante privacy sulla firma grafometrica, www.blogstudiolegalefinocchiaro.it. ◊

[fancy_heading style=”style2″ size=”small”]Altri articoli di Marco Della Femina[/fancy_heading]

Translate »