Innovazione e digitalizzazione documentale, due parole sempre più ripetute negli ultimi anni, che dovrebbero avere sempre come fine ultimo non solo il risparmio economico, ma anche la semplificazione dei rapporti. In verità , risparmio e semplificazione, che in molti altri settori iniziano a dare i loro innegabili frutti, stentano un po’ a realizzarsi nel campo documentale, nonostante il documento sottoscritto elettronicamente a livello normativo sia ormai del tutto parificato al documento analogico (su carta)1 e, in alcuni casi, sia addirittura obbligatorio utilizzarlo al posto del documento cartaceo2!
Inoltre, anche dove la normativa richiede, per la validità di un atto scritto, l’utilizzo di elementi ulteriori alla sottoscrizione pensati per il supporto cartaceo, il documento elettronico può certamente essere utilizzato al posto del documento cartaceo: timbri, sigilli, punzoni, contrassegni e marchi, difficilmente riproducibili nei documenti elettronici, sono, infatti, sostituiti dall’utilizzo della firma digitale (art. 24 del D.Lgs. 82/2005 Codice dell’Amministrazione Digitale o CAD).
Anche nel mondo assicurativo, con il regolamento ISVAP n. 27 del 14 ottobre 2008, si è voluto permettere e regolare l’emissione, la tenuta e la conservazione digitale dei registri e degli altri documenti assicurativi.
L’art. 4, in particolare, prevede che anche i registri assicurativi possono essere formati, alternativamente, su supporti cartacei o informatici, “nel rispetto delle regole tecniche stabilite dal decreto legislativo 7 marzo 2005, n. 82 e dalle relative norme di attuazione, nonchè del decreto del Ministero dell’Economia e delle Finanze del 23 gennaio 2004 (omissis)”. Il successivo art. 8, poi, consente che anche la documentazione assicurativa (le proposte di assicurazione, i contratti di assicurazione, i trattati, i certificati medici, i fascicoli di sinistro, le comunicazioni delle imprese delegatarie, delle imprese cedenti e delle imprese gestionarie e, in genere, la documentazione di supporto per le annotazioni nei registri assicurativi), anche se ancora emessa o ricevuta con modalità analogiche (quindi su supporto cartaceo), possa essere conservata con modalità digitali sostitutive.
Ci sembra utile riferire comunque che strumenti come la firma digitale, anche laddove richiesti obbligatoriamente (si pensi alle società che dal 2010 hanno l’obbligo di servirsi della firma digitale per inviare tutti i propri atti alle Camere di commercio), stanno entrando con molta difficoltà nella pratica quotidiana e non riescono a semplificare davvero la vita degli imprenditori. Infatti, negli ultimi anni, proprio in considerazione dello scarso sviluppo della firma digitale basata sull’utilizzo di smart card o appositi token usb, sempre più spesso vengono proposte dai fornitori di soluzioni IT strumenti di firma biometrica o, più correttamente, grafometrica che permettono di sottoscrivere un documento (ad esempio una polizza assicurativa) basando l’identificazione del titolare di un certificato di firma digitale sull’analisi delle caratteristiche fisiche del suo comportamento in fase di sottoscrizione, in modo da rendere molto più usabile e immediato il processo di sottoscrizione digitale.
Sul punto è innanzitutto opportuno sgombrare il campo da possibili confusioni terminilogiche e tecnologiche, distinguendo le firme grafometriche (con acquisizione di dati biometrici) dalle firme realizzate con prodotti hardware che si limitano ad acquisire l’immagine digitale della firma del sottoscrivente attraverso un tablet, poichè in tale procedimento non viene registrato alcun dato biometrico. L’acquisizione della sola immagine della sottoscrizione potrebbe al massimo rappresentare una forma (molto debole) di sottoscrizione elettronica semplice (alla quale viene riconosciuto dal nostro ordinamento un valore probatorio più debole rispetto alle firme digitali o avanzate)3.
Nei sistemi in cui, invece, l’acquisizione di dati dal tablet non si limiti alla mera immagine della firma, ma riguardi anche i dati grafometrici che caratterizzano il comportamento del sottoscrivente (parametri quali la velocità di scrittura, la pressione esercitata, l’angolo d’inclinazione della penna, l’accelerazione del movimento, il numero di volte che la penna viene sollevata dalla carta), tale processo di firma grafometrica può essere utilizzato come credenziale forte di autenticazione4 per l’attivazione da remoto di un certificato di firma digitale (custodito ad esempio in un HSM5).
In pratica, sottoscrivendo su un tablet è possibile, in maniera del tutto trasparente all’utente, attivare un certificato conservato in un ambiente sicuro (e quindi non tenuto su chiave usb o smart card) e sottoscrivere digitalmente una polizza assicurativa che ha pieno valore legale!
L’utilizzo della firma grafometrica come modello di sottoscrizione digitale rende però indispensabile che la firma apposta sul tablet sia confrontata con una firma precedentemente acquisita e conservata su di una banca dati (con le conseguenti ripercussioni in tema di privacy e trattamento dei dati6): solo l’esito positivo del confronto permetterà lo sblocco del certificato e la firma digitale del documento.
Una soluzione di sottoscrizione elettronica che preveda la raccolta dei dati biometrici, pur in assenza dell’attivazione di un certificato di firma digitale, può essere, inoltre, sicuramente7 ricompresa nel più ampio novero delle firme elettroniche avanzate (FEA) nelle ipotesi in cui sia caratterizzata da ulteriori requisiti, quali: l’identificazione certa del sottoscrittore, il legame indissolubile tra firma e documento informatico sottoscritto, la garanzia dell’integrità del connubio composto dal documento e dal dato biometrico della firma8.
Le firme elettroniche avanzate, reintrodotte recentemente nel nostro ordinamento giuridico, sono state (quasi del tutto) parificate alle firme qualificate e a quelle digitali riconoscendo loro la stessa efficacia probatoria delle scritture private (art. 2702 del Codice Civile). Anche per le FEA, infatti, il dispositivo di firma si presume utilizzato dal titolare, salvo che questi ne dia prova contraria. Negli effetti, quindi, a prescindere da alcuni casi indicati dal codice stesso (art. 1350 commi 1-12), le FEA possono essere validamente utilizzate in sostituzione della sottoscrizione autografa e potranno essere disconosciute solo fornendo la prova che il dispositivo di firma sia stato utilizzato da altri fraudolentemente (e nonostante la sua corretta custodia da parte del titolare).
Al momento sono certi solo i requisiti fondamentali di tali tipologie di firma insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati ma entro qualche mese dovrebbero essere approvate in via definitiva le Regole tecniche attualmente disponibili solo in Bozza sul sito di DigitPA9.
Tali Regole tecniche prevedono un’assoluta libertà tecnologica lasciata agli sviluppatori di soluzioni di firma elettronica avanzata e l’assenza di un qualsiasi controllo preventivo da parte di DigitPA. D’altro canto, le firme avanzate avranno un valore limitato al solo contesto in cui vengono utilizzate (tra il sottoscrittore e il soggetto che offre il servizio di firma) e le loro condizioni di utilizzo dovranno essere preventivamente accettate per iscritto. A tal fine, il soggetto che realizza la soluzione di firma elettronica avanzata dovrà informare gli utenti in merito agli esatti termini e condizioni relativi all’uso del servizio, compresa ogni eventuale limitazione dell’uso.
Le soluzioni di firma elettronica avanzata, è doveroso sottolinearlo, non sono costituite da un determinato software, nè da una determinata tecnologia, ma rappresentano un insieme variabile di tecnologia e processi organizzativi, di cui si deve dare garanzia di sicurezza e affidabilità in modo tale da permettere la riconducibilità di un documento informatico, reso immodificabile, al soggetto che l’ha sottoscritto.
Accanto a tali categorie principali, è comunque possibile considerare, più correttamente, la firma grafometrica come una tipologia di firma a sè stante, per la quale già esiste un riconoscimento nel nostro codice civile: essa altro non è, infatti, che una firma autografa riversata non su un foglio di carta, ma associata indissolubilmente a un documento informatico, a patto che esso abbia i requisiti tipici previsti per garantire la forma scritta ai sensi dei già citati artt. 20 e 21 del CAD10. Possiamo quindi concludere che, in attesa della pubblicazione delle Regole Tecniche sulle firme elettroniche, possiamo già trovare nel nostro ordinamento gli elementi giuridici a supporto della validità e dell’autonomia della firma autografa digitale11 o grafometrica.
La firma autografa, scritta di proprio pugno, in fondo, non è stata sempre e solo legata alla carta. Nel tempo, varie tecnologie e supporti analogici sono stati utilizzati per acquisire e conservare i segni distintivi di ogni individuo: lo scalpello e la pietra per lo scultore, il pennello e la tela per il pittore, e così via. Allo stesso modo, mediante nuove tecnologie digitali di acquisizione e conservazione, è possibile rilevare e preservare nel tempo gli stessi elementi grafometrici preservati sulla/dalla carta. Un nuovo modo, quindi, di intendere la firma grafometrica che permetta di utilizzarla senza ricorrere sempre e comunque al preventivo confronto della firma apposta con quelle precedentemente raccolte e conservate in appositi database. Una firma che, opportunamente acquisita e legata al documento13, al pari della sottoscrizione su carta, potrà essere verificata14, qualora venisse disconosciuta in giudizio, con tecniche molto simili a quelle attualmente utilizzate dai periti grafologici.
L’utilizzo di tale tipologia di firma, però, non deve mai prescindere da una corretta formazione del documento informatico, un’adeguata conservazione dell’oggetto informatico (composto dal documento e dai dati della firma biometrica) e da una particolare attenzione verso le delicate questioni di sicurezza e privacy che essa, comunque, solleva.
1 L’art. 21 del D. Lgs. 82/2005 (Codice dell’Amministrazione Digitale CAD) riconosce al documento sottoscritto con firma elettronica avanzata, qualificata o digitale, la stessa efficacia riconosciuta dal codice civile alle scritture private (art. 2702 c.c.).
2 L’art. 40 comma 1 del D. Lgs. 82/2005, prevede che “le pubbliche amministrazioni formano gli originali dei propri documenti con mezzi informatici”.
3 L’art. 21 comma 1 del CAD così recita: “Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità , sicurezza, integrità e immodificabilità “.
4 Secondo l’allegato B) al Codice Privacy le credenziali di autenticazione possono consistere “in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave”.
5 Gli HSM (Hardware Security Module) sono dei dispositivi particolarmente sicuri che permettono di attivare a distanza un certificato di firma digitale.
6 Qualunque trattamento di dati biometrici rende indispensabile una notificazione al Garante (ex art. 37 lett. a del Codice Privacy) e la proposizione di un interpello alla stessa Autorità Garante ai sensi dell’art. 17 del Codice Privacy.
7 Oltre che per la corretta identificazione, infatti, i dati biometrici raccolti possono essere utilizzati come “dato per la creazione della firma” (si veda la Direttiva 1999/93/CE), al fine di soddisfare tutti i requisiti necessari per una firma elettronica avanzata, cifrando, ad esempio, l’impronta del documento mediante l’utilizzo dello stesso “template” biometrico raccolto.
8 Anche nei processi che adottano tale configurazione della firma grafometrica si richiede la creazione di un database biometrico al fine di garantire l’identificazione certa del firmatario, con i relativi profili privacy e di corretto trattamento dei dati che vengono in rilievo.
9 Schema di DPCM ai sensi degli articoli 20, co. 3, 24, co. 4, 28, co. 3, 32, co. 3, lettera b), 35, co. 2, 36, co. 2, e 71, del D.Lgs. 7 marzo 2005 n. 82 (liberamente scaricabile al seguente indirizzo: http://www.digitpa.gov.it/sites/default/files/20110704_DPCM_Firma_Elettronica.pdf). Si ricorda che con l’articolo 22 del D.L. n. 83/2012 (“Misure urgenti per la crescita del Paese”) è stato soppresso il DigitPA e le sue funzioni sono passate alla nuova Agenzia per l’Italia digitale.
10 La firma grafometrica viene richiamata anche nel CAD all’art. 25 comma 2: “l’autenticazione della firma elettronica, anche mediante l’acquisizione digitale della sottoscrizione autografa, o di qualsiasi altro tipo di firma elettronica avanzata consiste nell’attestazione, da parte del pubblico ufficiale, che la firma è stata apposta in sua presenza dal titolare, previo accertamento della sua identità personale, della validità dell’eventuale certificato elettronico utilizzato e del fatto che il documento sottoscritto non è in contrasto con l’ordinamento giuridico”.
11 Un riconoscimento, seppur indiretto, dell’esistenza giuridicamente rilevante di tale tipologia di firma, lo si ha anche nel CAD (art. 25) e nella recente normativa sull’atto pubblico informatico redatto da notaio (D.Lgs 110/2010) che riconoscono, al pubblico ufficiale, la possibilità – così come avviene per le firme “analogiche” – di autenticare le firme autografe acquisite digitalmente.
12 In realtà le più avanzate tecniche grafometriche permettono di acquisire un numero superiore di informazioni, e con una maggiore accuratezza, di quelle normalmente rilevabili da un esperto grafologo sulla carta.
13 Il processo di acquisizione della firma mediante tecniche digitali prevede l’immediata criptazione dei dati biometrici rilevati dalla tavoletta, la fusione di tali dati con il documento informatico che si intende sottoscrivere e la memorizzazione di tutti i dati così elaborati su di un supporto in grado di preservarne la leggibilità nel tempo.
14 La verifica della sottoscrizione avverrà mediante la decriptazione dei dati biometrici. Qualora, ad esempio, si sia scelto di ricorrere ad una soluzione di crittografia asimmetrica, la chiave necessaria per decifrare correttamente i dati biometrici dovrà essere richiesta ad una terza parte fidata (un ente certificatore o un notaio, ad esempio).