DEMATERIALIZZAZIONE - Il Documento Digitale

DEMATERIALIZZAZIONE
LA FIRMA GRAFOMETRICA:
UN GIUSTO EQUILIBRIO TRA
TECNOLOGIA E PRIVACY
di Marco Della Femina
La firma grafometrica è uno specifico tipo di firma elettronica disciplinata dal Codice dell’Amministrazione Digitale: è una
procedura informatica che permette di rilevare la firma autografica, mediante l’impiego di un supporto tecnologico che
memorizza, oltre all’immagine grafica della firma, anche altri parametri.
Al termine del processo di elaborazione la firma viene registrata in un sistema informatico e collegata al documento in
questione, che viene poi archiviato.
I
34
continui provvedimenti legislativi finalizzati ad uno snellimento
e semplificazione delle procedure amministrative ci spingono a
ragionare sulle tematiche dell’agere amministrativo e l’influenza
che su di questo ha l’avvento delle moderne tecnologie(1). Nel corso degli ultimi tempi, l’innovazione tecnologica ha prodotto una
profonda e radicale trasformazione della società, contrassegnato
da un massiccio e pervasivo impiego delle cosiddette tecnologie
dell’informazione e della comunicazione (I.C.T.)(2). Le tecnologie
della informazione e della comunicazione costituiscono un elemento-chiave di ogni strategia di ammodernamento delle amministrazioni e dei pertinenti servizi(3).
L’utilizzo di questi strumenti rappresenta, quindi, il punto di partenza per una Pubblica Amministrazione che deve diventare completamente digitale. La diffusione delle tecnologie dell’informazione
e della comunicazione è fortemente condizionata dalle regole che
ne definiscono il quadro normativo. Innovazione e norme sono legate da un rapporto di reciproca influenza molto articolato, reso
ancor più complesso dall’accelerazione tecnologica. Se i due aspetti
non procedono di pari passo, la normativa rischia di diventare un
ostacolo, invece, che una risorsa per promuovere e incoraggiare lo
sviluppo.
Il Codice dell’Amministrazione Digitale disciplina quattro tipologie di firme informatiche(7). Con l’espressione firma elettronica,
disciplinata dall’art. 1, comma 1, lett. Q del Codice, s’intende “un
insieme di dati in forma elettronica, riconducibili all’autore connessi
ad atti o fatti giuridicamente rilevanti contenuti in un documento
informatico, utilizzati come metodo di identificazione informatica”.
La firma elettronica, quindi, più che a una vera e propria firma, dà
vita ad un processo di autenticazione cui sono riferibili minori requisiti di sicurezza rispetto alle altre firme (le c.d. forti). La disciplina legislativa garantisce alla firma elettronica un valore probatorio:
la firma è liberamente valutabile dal giudice in fase di giudizio, in
base a caratteristiche oggettive di qualità e sicurezza.
Il D.Lgs. 7 marzo 2005, n. 82 denominato Codice dell’Amministrazione Digitale o, comunemente , CAD(4), è un corpus organico di
norme finalizzate all’introduzione, implementazione e quotidiano
utilizzo delle tecnologie informatiche nell’agire delle Pubbliche Amministrazioni. Il sistema normativo generale delineato dal CAD ha
trovato chiara specificazione e preciso completamento nel Decreto
del Presidente del Consiglio dei Ministri del 22 febbraio 2013 che
individua caratteristiche e condizioni applicative delle diverse tipologie di firma previste dalla normativa(5).
Proprio sulla differente valenza giuridica e probatoria dei diversi
tipi di firma, si fonda la classificazione delle diverse tipologie di firma elettronica in due aree (6):
a) firme deboli, che consentono di ricondurre il documento ad
un soggetto con un certo grado di “affidabilità” senza garantire l’integrità del documento stesso;
b) firme forti, sono quelle per cui il firmatario non può disconoscere semplicemente la sottoscrizione, ma si rende necessaria la querela di falso. Queste firme garantiscono l’identità
dell’autore e l’integrità del documento firmato.
La sua creazione presuppone l’utilizzo di mezzi sui quali il firmatario mantiene il controllo esclusivo. Quest’ultimo elemento assicura
la connessione univoca con il firmatario e, quindi, la paternità giuridica del documento. La firma elettronica avanzata presenta delle
caratteristiche uniche: in primis, la normativa non vincola la firma
elettronica avanzata a particolari riferimenti tecnici o determinati
applicativi software. Sono, pertanto, ipotizzabili differenti soluzioni
di firma, anche molto diverse tra loro, che in sostanza rispettino i
requisiti previsti dalla vigente normativa: l’integrità e l’autenticità
del documento sottoscritto ed il controllo esclusivo del dispositivo di firma da parte del firmatario. Gli strumenti che attualmente
raggiungono un maggiore panorama di diffusione sono quelli che
utilizzano nella sottoscrizione le parole d’ordine temporanee (one
time password - OTP) e i dati biometrici: in particolare, le soluzioni di firma grafometrica. In secondo luogo, l’offerta di soluzioni di
firma elettronica avanzata, che non richiede alcuna autorizzazione
preventiva, è possibile da parte di tutti i soggetti che intendono
utilizzarla nei rapporti con terze parti per motivi istituzionali, societari o commerciali e dalla pubblica amministrazione. Il documento
IL DOCUMENTO DIGITALE
NUMERO I / MMXIV
La firma elettronica avanzata, disciplinata dall’art. 1, comma 1,
lett. Q-bis del Codice, è “un insieme di dati in forma elettronica
allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono
la connessione univoca al firmatario, creati con mezzi sui quali il
firmatario può conservare un controllo esclusivo, collegati ai dati
ai quali detta firma si riferisce in modo da consentire di rilevare se i
dati stessi siano stati successivamente modificati.”(8)
La firma grofometrica:
un giusto equilibrio tra tecnologia e privacy
informatico che viene sottoscritto con una firma elettronica avanzata ed è costituito in ottemperanza alle regole tecniche, ha piena
validità fino a querela di falso.
La firma elettronica qualificata, disciplinata dall’art. 1, comma 1,
lett. R del Codice, è basata su un certificato, appunto, “qualificato”,
che garantisce l’identificazione univoca del titolare, rilasciato da
certificatori accreditati e realizzato mediante un dispositivo sicuro
per la generazione della firma che soddisfa particolari requisiti di
sicurezza. Infine, la firma digitale(9), disciplinata dall’art. 1, comma
1, lett. S del Codice, è un particolare tipo di firma elettronica avanzata basato su un certificato qualificato e su un sistema di doppia
chiave crittografica, una pubblica, contenuta nel certificato qualificato, ed una privata, custodita dal mittente che, nel loro uso congiunto, servono a garantire e a verificare la provenienza e l’integrità
di un documento informatico o di un insieme di documenti informatici. In questo caso, si utilizza una particolare tecnologia, ossia
quella della crittografia a chiavi asimmetriche(10).
È dilagante, nell’ultimo periodo, lo sviluppo di un particolare
tipo di firma elettronica avanzata, meglio nota come firma grafometrica. Non si comprendono le ragioni che portano all’utilizzo
dell’aggettivo “grafometrica” in luogo di “biometrica”, se non per
motivazioni che traggono la loro scaturigine nel timore e nella
soggezione del confronto con le tematiche della privacy. Nata per
facilitare le comunicazioni e lo scambio di documenti, questa evoluzione tecnologica della tradizionale firma costituisce una valida
soluzione in termini di risparmio, sia dal punto di vista economico
che temporale. La firma grafometrica, in termini pratici, è una procedura informatica che permette di rilevare la firma autografica
attraverso l’impiego di un supporto tecnologico(11). La firma grafometrica è uno specifico tipo di firma elettronica avanzata prevista
e disciplinata dal Codice dell’Amministrazione Digitale. Importanti
novità in materia sono state sancite dal c.d. Decreto Sviluppo bis,
già richiamato D.L. n. 179 del 2012, con il quale vengono chiuse due
questioni fondamentali: il disconoscimento della firma elettronica
avanzata e l’idoneità ad integrare il requisito della forma scritta degli atti e dei contratti con questa firmati.
La firma grafometrica è rilevata con un signature pad, cioè un
preciso supporto tecnologico che memorizza, oltre all’immagine
grafica della firma, cinque fondamentali parametri biometrici: il
ritmo, l’accelerazione, l’inclinazione, la pressione e la velocità(12).
Terminato il processo di elaborazione manuale della propria firma,
l’utente può decide se accettarla o riproporla, annullando l’operazione appena eseguita. Su ciascuna firma hanno luogo una serie di
controlli di sicurezza sull’identità di chi l’appone. La firma, infatti,
viene registrata in un sistema informativo e collegata immutabilmente al documento in questione. Il documento prodotto viene
archiviato, poi, digitalmente con l’aggiunta della firma, cioè come
nella trasposizione cartacea, e con i dati biometrici di identificazione. In tal modo, la firma grafometrica garantisce una connessione
inequivocabile al firmatario e consente di valere come firma elettronica avanzata: criptando i dati biometrici relativi ad una firma
grafometrica si genera uno specimen digitale; il processo di relazione tra la firma grafometrica e lo stesso permette di porre in essere
l’assimilazione della stessa alla firma elettronica avanzata(13). Le
peculiarità salienti della firma grafometrica sono rinvenibili nella
Signature pad
sua sicurezza, nell’integrità del documento sottoscritto e nella sua
probatio, ovvero la verifica. In primis, per quanto attiene la sicurezza, questa è assicurata dal fatto che mentre il firmatario appone il
suo signum, i dati biometrici di natura statica e dinamica vengono
cifrati e memorizzati nel documento utilizzando tecniche di crittografia asimmetriche. Pertanto, affinché possano essere desunti i
dati biometrici, per una loro ipotetica valutazione in sede legale, è
necessaria la conoscenza della chiave primaria.
Al termine del procedimento di memorizzazione i dati non cifrati vengono cancellati e sovrascritti in modalità sicura. In secondo
luogo, l’integrità viene assicurata mediante l’applicazione di funzioni di hash ed il calcolo di due impronte, elaborate conformemente
al processo sopra descritto. Infine, la verifica della firma grafometrica trova spazio solo se viene applicata direttamente sul dato biometrico decifrato: questo, sia statico che dinamico viene rilevato
da appositi strumenti e riprodotto sotto forma di onda, per ogni
parametro che costituisce la grafia del firmatario(14). Non vi può
essere dubbio alcuno sul fatto che tutti i parametri della firma
così acquisita, sono dati biometrici in quanto legati alla sfera individuale, soggettiva, unica del sottoscrittore.
Emerge così, chiaramente la conseguenza di un necessario coordinamento con le disposizioni del “Codice in materia di protezione
dei dati personali”, D.Lgs. n. 196 del 2003(15). Proprio su queste
tematiche si innesta una recentissima decisione del Garante per
la protezione dei dati personali: il provvedimento n. 396 del 2013
è relativo al tema “Dati biometrici e processi di sottoscrizione
elettronica”(16). È la prima pronuncia del Garante in tema di firma elettronica avanzata di tipo grafometrico, cioè con l’ausilio del
supporto biometrico nel momento della genesi della firma. La rilevanza del provvedimento risiede nel fatto che i dati biometrici
sono specificamente utilizzati come parte integrante del processo
di sottoscrizione: infatti viene scandagliato un processo “in grado
di consentire la sottoscrizione in forma elettronica di atti, contratti
e altri documenti relativi a prodotti e servizi offerti dalla banca attraverso… l’utilizzo combinato di firme elettroniche e… la raccolta
di dati biometrici comportamentali desunti dalla firma apposta dai
clienti su appositi tablet in dotazione ai medesimi promotori”.
Il Garante per la Privacy ha chiarito che l’utilizzo di strumentazioni e tecniche capaci di rilevare le caratteristiche “dinamiche” della
firma determina un trattamento di dati biometrici di natura comportamentale e, quindi, soggetta alla disciplina di tutela dei dati
personali.
NUMERO I / MMXIV
IL DOCUMENTO DIGITALE
35
La firma grofometrica:
un giusto equilibrio tra tecnologia e privacy
smissione di informazioni.
3. AA.VV., Dieci tesi sull’e-government, pubblicato su www.astrid.it.
4. Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’ammini-
L’Autorità ha sostenuto che il trattamento posto in essere dalla
banca fosse lecito, sottolineando sia il fatto che tale processo “non
risulta connotato, ancorché effettuato con strumenti elettronici, da
specifici ed evidenti rischi per gli interessati”, sia che le nuovissime
Regole tecniche in materia di generazione, apposizione e verifica
delle firme elettroniche avanzate, qualificate e digitali contemplano esplicitamente i dati biometrici legati alla condotta del firmatario, tra le condizioni utilizzabili ai fini della generazione della
firma elettronica avanzata. Il trattamento oggetto di verifica, con
il consenso informato dei firmatari(17) e per il soddisfacimento di
finalità note agli stessi(18) può essere d’ausilio per conferire maggiore certezza ai rapporti giuridici. Il Garante per la privacy chiede,
in aggiunta e a fondamento, che sia assicurata sempre la massima
attenzione al corretto utilizzo, da parte dei soli utenti abilitati, dei
dispositivi per la raccolta dei dati biometrici.
L’Autorità prescrive l’adozione di idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della
configurazione dei dispositivi in dotazione ai promotori, adottando,
altresì, ogni accorgimento utile a contrastare l’azione di eventuali
agenti malevoli. Il Garante ritiene necessaria l’adozione di un sistema di gestione dei dispositivi impiegati nei trattamenti in esame
basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo
sicuro: in particolare, dovranno risultare disponibili applicativi nei
casi di furto o sottrazione dei dispositivi in argomento.
Si dovrà, altresì, prevedere adeguate politiche di gestione degli inconvenienti relativi alla sicurezza nell’ambito delle diverse fasi del
processo biometrico e del conseguente sviluppo grafometrico(19).
Il provvedimento in esame del Garante garantirà il take-off di soluzioni di firma elettronica avanzata basata sullo sviluppo di dati
biometrici(20).
L’obiettivo di fondo è, quindi, sempre il medesimo: digitalizzare a
tutto tondo, dalla genesi alla conservazione dei documenti.©
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
NOTE
1. M. BUFFACCHI, Meno carta più digitale, passando per la semplifi2.
36
cazione, pubblicato su www.contabilita-pubblica.it, consultato in
data 24/02/2014.
Con questa definizione si intendono l’insieme delle soluzioni
tecnologiche e infrastrutturali (sia hardware che software), che
consentono la raccolta, la conservazione, il trattamento e la tra-
IL DOCUMENTO DIGITALE
NUMERO I / MMXIV
18.
19.
20.
strazione digitale, G.U. n.112 del 16-5-2005, - Suppl. Ordinario n.
93. La locuzione firma digitale, a ben pensarci, rappresenta un
paradigma di figure retoriche. Il concetto in re ipsa trae la sua
origine da una metafora: mette in relazione, cioè, due domini di
conoscenze, quale quello pragmatico con quello tecnologico.
L’applicazione è certamente determinante per i fini cognitivi .
Non vi è dubbio, comunque, che la sottoscrizione autografa e
le firme informatiche sono entità assai dissimili. L’utilizzo dello
stesso termine, firma, spinge all’associazione, o meglio, alla sua
sovrapposizione concettuale, soprattutto per ciò che attiene al
regime giuridico. È poi certamente un ossimoro: il sostantivo
firma appartiene alla sfera umana, mentre l’aggettivo digitale si
relaziona al mondo informatico. Qualsiasi cosa in forma digitale
può essere copiata, mentre dovrebbe essere impossibile copiare
una firma prodotta dall’uomo. Sulla scia di questo ragionamento
si arriva ad una nuova figura retorica, il paradosso.
Le regole tecniche sono state approvate con D.P.C.M. 22 febbraio
2013, G.U. n. 117 del 21-5-2013. Per quanto riguarda la firma elettronica avanzata, hanno introdotto una liberalizzazione che lascia
agli operatori massima autonomia. Si confronti, B. SANTACROCE,
Dalla firma digitale alla firma biometrica: quadro giuridico di riferimento per l’applicazione dei nuovi dispositivi di firma, in P. RIDOLFI, Il nuovo CAD: Commenti e prospettive, SIAV, 2011.
G. NAVONE, Instrumentum digitale: teoria e disciplina del documento informatico, Giuffrè, 2012 e, sia consentito, M. DELLA
FEMINA, L’identità digitale nella Pubblica Amministrazione del III
millennio, Informazioni della Difesa, 2013.
L’espressione firma elettronica è volutamente neutra, come proposto da G. FINOCCHIARO, La metafora ed il diritto nella normativa sulla cosiddetta firma grafometrica, Il diritto dell’informazione
e dell’informatica, Giuffrè, 2013.
M. MARTONI, Documento informatico e firme elettroniche, in
Temi di diritto dell’informatica, Giappichelli, 2011.
G. FINOCCHIARO, Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell’Amministrazione Digitale, in Contratto e Impresa, 2011.
G. NAVONE, La firma digitale ed il sistema di certificazione quale
nuovo strumento di pubblicità legale, Diritto dell’Internet, 2008:
secondo l’autore, la firma digitale è comune al linguaggio tecnico–informatico e a quello tecnico–giuridico, ma in questo secondo utilizzo acquisisce un significato persino più circoscritto del
contesto informatico, in quanto designa una specifica tecnica di
identificazione dell’autore.
V. FREDIANI, Firma grafometrica, l’ultima tappa della digitalizzazione informatica, tratto dal sito http://www.consulentelegaleinformatico.it.
G. MANCA, Il decalogo della firma grafometrica, Information Security, 2012.
P. GALATELLI, L. ALTIERI e S. PICCIRILLO, La nuova frontiera della
firma grafometrica, Office Automation, 2013.
Per una completa ricostruzione, si confronti G. MANCA, Il decalogo della firma grafometrica, Information Security, 2012.
Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di
protezione dei dati personali, G.U. n.174 del 29-7-2003 - Suppl.
Ordinario n. 123.
L. FOGLIA, Grafometria e firma elettronica avanzata: il Garante
della Privacy si pronuncia positivamente, TEME – Tecnica e Metodologia Economale, 2013.
Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di
protezione dei dati personali, G.U. n.174 del 29-7-2003 - Suppl.
Ordinario n. 123, qui richiamato agli artt. 13 e 23.
Sancito all’art. 11, comma 1, lett. b del sopra citato codice
F. FOGLIO, Firma grafometrica e privacy: il recente provvedimento del Garante, tratto da www.ewitness.eu.
Maggiore dettaglio e precisazioni in G. FINOCCHIARO, Alcune
precisazioni sul provvedimento del Garante privacy sulla firma
grafometrica, www.blogstudiolegalefinocchiaro.it. ◊

Download Report