L’utilizzo della firma elettronica avanzata e grafometrica nel settore pubblico alla luce del nuovo Provvedimento del Garante privacy

Home PA Digitale Gestione Documentale L’utilizzo della firma elettronica avanzata e grafometrica nel settore pubblico alla luce del nuovo Provvedimento del Garante privacy

L’aumento di dispositivi e tecnologie che leggono i nostri dati biometrici per accertare la nostra identità (impronte digitalie e vocali, iride, firma etc) hanno spinto il garante per la privacy a pronunciarsi sui modi in cui la raccolta ed il trattamento di questi dati sono da considerarsi leciti. Nell’ambito della collaborazione di FORUM PA con lo Studio legale Lisi, Luigi Foglia e Sarah Ungaro colgono l’occasione per fare il punto sulle diverse firme elettroniche e i loro ambiti di applicazione.

10 Dicembre 2014

L

Luigi Foglia e Sarah Ungaro*

L’aumento di dispositivi e tecnologie che leggono i nostri dati biometrici per accertare la nostra identità (impronte digitalie e vocali, iride, firma etc) hanno spinto il garante per la privacy a pronunciarsi sui modi in cui la raccolta ed il trattamento di questi dati sono da considerarsi leciti. Nell’ambito della collaborazione di FORUM PA con lo Studio legale Lisi, Luigi Foglia e Sarah Ungaro colgono l’occasione per fare il punto sulle diverse firme elettroniche e i loro ambiti di applicazione.

Nel nostro ordinamento sono disciplinati diversi tipi di firme elettroniche, le quali contribuiscono a determinare il valore giuridico e probatorio dei documenti informatici a cui sono apposte.

I sistemi di firma elettronica si differenziano non solo per le diverse tecnologie utilizzate, ma anche per la loro maggiore o minore capacità di assicurare la presenza di tutti gli elementi idonei a garantire sia l’imputabilità giuridica del documento informatico (cioè, la sua provenienza da parte del soggetto firmatario), sia l’integrità e l’immodificabilità del documento in tal modo firmato (così da poter garantire anche al documento informatico la cd. “forma scritta e sottoscritta”).

Non esiste, quindi, la firma “migliore” in assoluto, ma ogni tipologia di firma può essere utilizzata in modo appropriato in base al livello di “affidabilità giuridica” che si intende conferire al documento informatico che si sta sottoscrivendo.

La stessa amministrazione pubblica non è tenuta a utilizzare sempre e comunque la firma digitale ma, di volta in volta, può individuare differenti soluzioni di firma elettronica a seconda della documentazione che intende sottoscrivere o far sottoscrivere.

In effetti, anche la cosiddetta firma elettronica “semplice” può essere astrattamente idonea a far acquistare al documento informatico su cui è apposta il valore di forma scritta in base alle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del processo attraverso il quale si è formata: la legge richiede al giudice, di volta in volta, di esprimere un giudizio sull’idoneità a soddisfare il requisito della forma scritta e sul relativo valore probatorio di un documento sottoscritto con una firma elettronica semplice, ai sensi dell’art. 20, comma 1 bis, del CAD.

Pertanto, la firma elettronica semplice può essere validamente utilizzata in una pubblica amministrazione per tutti gli atti interni[1], cioè quando il documento informatico da sottoscrivere rimane all’interno del sistema gestionale dell’ente – che ne garantisce la sicurezza informatica, e, in tal modo, anche il valore giuridico – e non necessita quindi del “sigillo di autenticità e integrità” proprio della firma digitale, richiesto invece per sottoscrivere ad esempio un documento informatico contenente un provvedimento definitivamente adottato o un atto da pubblicare sull’albo pretorio on line dell’ente o da trasmettere a un’altra pubblica amministrazione.

Alle altre tre tipologie di firma (avanzata, qualificata e digitale), invece, viene riconosciuta la medesima validità della “forma scritta e sottoscritta”, anche se sono previste alcune limitazioni per l’utilizzo della firma elettronica avanzata (FEA)[2]. In ogni caso, l’art. 23-ter del Codice dell’amministrazione digitale precisa che “i documenti costituenti atti amministrativi con rilevanza interna al procedimento amministrativo sottoscritti con firma elettronica avanzata hanno l’efficacia prevista dall’art. 2702 del codice civile.

A tal proposito, le Regole tecniche sulla firme elettronica avanzata, dettate agli artt. 55 e ss. del DPCM 22 febbraio 2013[3], stabiliscono che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. Tanta libertà di scelta in relazione alle tecnologie e i metodi da utilizzare per realizzare una soluzione di FEA è, però, stata mitigata dalle stesse regole tecniche già richiamate in quanto il valore della FEA è limitato al solo contesto in cui viene utilizzata (tra il sottoscrittore e il soggetto proponente tale modalità di sottoscrizione), rendendo, tra l’altro, necessario che le loro condizioni di utilizzo siano preventivamente accettate per iscritto dagli utenti/sottoscrittori[4]. Per questi motivi, il soggetto che realizza la soluzione di firma elettronica avanzata dovrà in primo luogo informare correttamente il proprio utente in merito agli esatti termini e condizioni del servizio, compresa ogni eventuale limitazione dell’uso.

In ogni caso, occorre tenere presente che tutto il processo relativo alla firma elettronica avanzata deve essere orientato alla sicurezza delle informazioni trattate; ulteriormente, devono essere garantite l’integrità e la leggibilità dei dati e deve inoltre essere impedito ogni possibile accesso abusivo ai dati stessi (soprattutto quando i dati trattati sono di tipo biometrico)[5].

Inoltre, è di estrema importanza che tutte le fasi del processo vengano correttamente registrate e che i relativi log file siano conservati a norma insieme ai documenti e a tutte le altre informazioni relative al processo di firma elettronica. Un idoneo sistema di conservazione, infatti, è in grado di garantire l’integrità dei dati oggetto di archiviazione e consente l’esibizione dei documenti e delle relative informazioni a essi associate (informazioni che, unitamente al documento di riconoscimento, costituiscono la FEA).

Se, infatti, il valore giuridico di una FEA è prestabilito dalla norma, quello che potrebbe essere messo in dubbio è la corretta realizzazione del processo stesso: da qui l’esigenza di poter dimostrare che tutto il processo è stato realizzato in linea con le regole tecniche e secondo quanto portato a conoscenza e accettato dall’utente/sottoscrittore.

Sulla scorta di quanto previsto dall’art. 56 delle citate Regole tecniche, di cui al DPCM 22 febbraio 2013, anche i dati biometrici possono essere utilizzati per la generazione delle firme elettroniche avanzate (art. 56, comma 1, lett. c), in particolare perché si tratta normalmente di dati sotto il controllo esclusivo del firmatario. I dati biometrici, inoltre, possono essere anche utilizzati ai fini del corretto riconoscimento del soggetto che sottoscrive il documento. Se accanto a questo si pensa anche al fatto che non è necessario dotare il sottoscrittore di alcun ulteriore dispositivo per poter procedere alla sottoscrizione (smart card, chiavette usb, token otp, etc.), risulta immediatamente percepibile il positivo impatto di questi sistemi in termini di semplificazione per l’utente/sottoscrittore.

Tra le varie firme che è possibile ottenere utilizzando dati biometrici[6], particolare attenzione meritano le firme grafometriche. Tali firme, infatti, realizzate mediante la memorizzazione dei dati comportamentali dell’utente legati all’apposizione materiale della firma autografa, hanno l’indubbio vantaggio di rendere possibile un’implementazione elettronica della sottoscrizione di un documento, permettendo allo stesso utente di continuare a firmare con modalità molto simili a quelle solitamente usate sulla carta.

A tal proposito, per evitare possibili confusioni, è importate effettuare dei dovuti distinguo tra le firme grafometriche e le firme realizzate con prodotti hardware che si limitano ad acquisire l’immagine digitale della firma del sottoscrivente attraverso un tablet senza però acquisire alcun dato biometrico. Per questo motivo, quest’ultimo tipo di firma può essere facilmente disconosciuto, in quanto rimane privo degli ulteriori elementi grafometrici tipici della “sottoscrizione su carta” e non possiede, quindi, elementi concretamente utilizzabili in un processo di verificazione: la sua efficacia giuridica è residuale e rimane dunque quella prevista dagli artt. 2712 (Riproduzioni meccaniche) e 2719 (Copie fotografiche di scrittura) del Codice Civile[7].

Nei sistemi in cui, invece, l’acquisizione di dati non si limiti alla mera immagine della firma, ma riguardi anche i dati grafometrici ovvero quei dati che caratterizzano il comportamento del sottoscrittore (parametri quali la velocità di realizzazione della firma, la pressione esercitata, l’angolo d’inclinazione della penna, l’accelerazione del movimento, il numero di volte in cui la penna viene sollevata dalla carta: tutti elementi fortemente in grado di distinguere un soggetto da un altro permettendone la corretta identificazione), il processo di firma grafometrica può essere utilizzato sia come metodo d’autenticazione forte (in grado anche di attivare un certificato di firma digitale remota custodito ad esempio in un HSM[8]), sia come credenziale forte di autenticazione per garantire un accesso riservato a un sistema.

L’utilizzo della firma grafometrica come metodo di autenticazione, però, rende indispensabile la creazione di una banca dati contenente gli specimen delle firme biometriche, in modo da permettere il confronto tra quanto già memorizzato e quanto raccolto al momento dell’autenticazione, con le conseguenti ripercussioni in tema di corretto trattamento del dato biometrico. In argomento, infatti, è intervenuto anche il Garante Privacy con il provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014[9].

Il provvedimento riporta un quadro unitario di misure e accorgimenti di carattere tecnico, organizzativo e procedurale necessari per mantenere alti i livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici, semplificando tuttavia alcuni adempimenti. Tale provvedimento si è reso necessario in seguito all’aumento esponenziale dell’uso di dispositivi e tecnologie per la raccolta e il trattamento dei dati biometrici, con la finalità di accertare l’identità personale di un interessato o utente nei casi in cui egli fruisca dei servizi forniti dalla società dell’informazione[10]. Poiché una simile attività potrebbe essere lesiva dei diritti fondamentali dell’interessato, la volontà perseguita dall’Autorità Garante è stata quella di precisare, anche tramite la previsione di un documento "Linee guida in materia di riconoscimento biometrico e firma grafometrica" (allegato al provvedimento in commento) quali siano le operazioni che i titolari del trattamento devono svolgere per agire in conformità ai principi del Codice in materia di protezione dei dati personali e degli standard di sicurezza.

In questo modo il Garante ha voluto individuare delle specifiche tipologie di trattamento per le quali, a condizione di applicare tutte le misure necessarie prescritte, si possa procedere al trattamento senza richiedere alcuna ulteriore verifica preliminare (come sarebbe normalmente previsto dall’art. 17 del Codice Privacy). Il fulcro del provvedimento è costituito dal suo punto 4, laddove si prevedono quattro specifiche ipotesi di trattamento autorizzato. Per ognuno dei contesti presi in esame, il Garante elenca le misure di sicurezza e gli accorgimenti affinché il trattamento sia rispettoso della particolare natura di dati raccolti e utilizzati (intrinsecamente connessi agli elementi identificativi dell’individuo, quali la sua fisicità e il suo comportamento). Pertanto, nonostante ci si riferisca a dati particolarmente delicati, fra di essi se ne possono distinguere alcuni che, tenendo presenti le finalità, la tipologia e le misure di sicurezza applicabili, non comportano un rischio elevato per i diritti fondamentali dell’interessato. Per questi trattamenti, puntualizza il Garante, il titolare è esonerato dal presentare istanza di verifica preliminare ex art. 17 del Codice in materia di protezione dei dati personali, ma è comunque tenuto ad adottare le misure e gli accorgimenti tecnici elencati nel provvedimento e a rispettare i presupposti di legittimità contemplati nel Codice[11].

I quattro contesti nei quali può essere esclusa la presentazione dell’istanza di verifica preliminare sono:

  •  l’autenticazione informatica;
  • il controllo di accesso fisico ad aree "sensibili" dei soggetti addetti all’utilizzo di apparati e macchinari pericolosi;
  • l’uso dell’impronta digitale o della topografia della mano a scopi facilitativi;
  •  la sottoscrizione di documenti informatici.

Nell’ottica della semplificazione degli adempimenti, è importante sottolineare come sia stato precisato che, oltre all’esonero dall’obbligo di verifica preliminare, alcuni trattamenti possono essere effettuati anche senza il consenso dell’interessato: ciò, ad esempio, vale per l’autenticazione informatica, per il controllo degli accessi fisici ad aree sensibili o per la sottoscrizione di documenti informatici in ambito pubblico[12].

In ogni caso, anche in ambito pubblico l’utilizzo di tali tipologie di firma non deve mai prescindere da una corretta formazione del documento informatico, un’adeguata conservazione dell’oggetto informatico (composto dal documento e dai dati della firma biometrica) e da una particolare attenzione verso le delicate questioni di sicurezza e privacy che esso, comunque, solleva.

Anche dal Garante, quindi, è giunta una positiva semplificazione per l’utilizzo di soluzioni di firma avanzata grafometrica in ambito pubblico. Un settore particolarmente interessante è quello sanitario. In tale ambito, infatti, già l’art. 81 del D.Lgs. 196/03, permetteva di raccogliere il consenso al trattamento dei dati (anche sensibili) in forma semplificata: in pratica l’operatore sanitario poteva raccogliere verbalmente il consenso, salvo poi attestarne l’avvenuto rilascio in un verbale scritto. In tale contesto, la possibilità di sottoscrivere, da parte del paziente, documenti quali, ad esempio, l’attestazione di aver ricevuto una corretta informazione medica (cd. consenso medico informato) risulta di particolare interesse, soprattutto laddove è possibile realizzare tali sottoscrizioni elettroniche senza il ricorso, per l’utente /sottoscrittore, ad alcuno strumento aggiuntivo (smart card, token OTP, dispositivi di firma digitale, etc..).

 

* Avv. Luigi Foglia e Avv. Sarah Ungaro Digital&Law Department (www.studiolegalelisi.it)


[1]  Come peraltro confermato dall’art. 34, comma II, del D.Lgs. 82/2005 (Codice dell’Amministrazione digitale), il quale prevede in proposito che “per la formazione, gestione e sottoscrizione di documenti informatici aventi rilevanza esclusivamente interna ciascuna amministrazione può adottare, nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all’articolo 71”.

[2] Si veda, ad esempio, il comma 2 bis dell’art. 21 del D.Lgs. 82/2005 (Codice dell’Amministrazione digitale) o l’art. 60 del DPCM 22 febbraio 2013.

[3] Recante le nuove “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”.

[4]  Con la deroga in ambito sanitario prevista dall’art. 57, comma 5, delle Regole tecniche, in quanto si stabilisce che la dichiarazione di accettazione delle condizioni del servizio da parte dell’utente possa essere effettuata anche oralmente, con le modalità previste per la prestazione del consenso di cui all’art. 81 del D.Lgs. 30 giugno 2003, n. 196.

[5] A tal fine, è necessario adottare standard internazionali relativi alla sicurezza delle informazioni trattate (ISO 27001), come richiesto dall’art. 58 delle citate Regole tecniche in tema di certificazioni obbligatorie per le soluzione di firma elettronica avanzata realizzate da privati in favore di amministrazioni pubbliche (ISO/IEC 27001 e ISO 9001).

[6]  L’Autorità Garante Privacy definisce i dati biometrici come “dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest’ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all’identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto”.

[7] Così anche A. Lisi e L. Foglia in “Firme digitali e Firme grafometriche nei documenti assicurativi informatici” pubblicato su Assicura n. 147 settembre 2012 e su www.anorc.it.

[8] Gli HSM (Hardware Security Module) sono dei dispositivi sicuri per la firma digitale massiva attivabili da processi in remoto generati da un accesso controllato con forme di strong authentication.

[9] Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014.

[10] Nella premessa del Provvedimento si specifica che l’accertamento dell’identità personale può essere anche richiesto “per l’accesso a banche dati informatizzate, per il controllo degli accessi a locali e aree, per l’attivazione di dispositivi elettromeccanici ed elettronici, anche di uso personale, o di macchinari, nonché per la sottoscrizione di documenti informatici”.

[11]  Si veda il “Commento al Provvedimento del Garante su biometria e grafometria”, di L. Foglia e G. Garrisi, su www.anorc.it.

[12] Diversamente, per la sottoscrizione di documenti informatici in ambito privato o per l’utilizzo di impronte digitali e della topografia della mano a scopi facilitativi, il consenso rimane comunque necessario.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!