In un precedente articolo abbiamo accennato alle principali caratteristiche tecniche della cosiddetta “firma grafometrica”. Come sarà emerso dalla lettura di quelle poche righe, è evidente che una delle caratteristiche principali della firma grafometrica è quella di essere il risultato di una attività propria e personalissima della persona, quale è appunto l’atto della sottoscrizione. La firma grafometrica è quindi una firma biometrica.
Un firma che utilizza e digitalizza dati personalissimi dell’utente, che non possono non essere ricondotti nella delicata sfera dei dati biometrici, e più precisamente dei dati biometrici comportamentali.
1) Firma grafometrica e Privacy: inquadramento generale
Dati biometrici ma non dati “sensibili”
Dal punto di vista giuridico è bene subito precisare che tali dati, ancorché biometrici non sono qualificabili come “dati sensibili” ai sensi del vigente “Codice in materia di protezione dei dati personali” D.Lgs.196/2003, in seguito “Codice”, che circoscrive tale categoria ai soli “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (con forse qualche possibile caveat con riguardo allo “stato di salute”, che almeno è secondo alcuni in parte desumibile dall’analisi attenta della sottoscrizione, soprattutto se portata sotto la spietata “lente di ingrandimento” che è costituita dai moderni programmi di analisi digitali). I dati grafometrici pertanto, in quanto “non sensibili” di per sé non richiederebbero autorizzazioni particolari per essere trattati a’ sensi degli artt.20 e 26 del Codice rispettivamente dedicati ai soggetti Pubblici o Privati, che invece richiedono specifiche autorizzazioni se non previsioni legislative ad hoc.
La questione della “verifica preliminare”
Pur non essendo dati sensibili, è tuttavia subito emersa tra gli operatori la questione se l’implementazione di processi documentali od organizzativi che prevedessero al loro interno l’acquisizione della firma grafometrica richiedesse o meno comunque ed indipendentemente il passaggio attraverso la procedura cosiddetta di “verifica preliminare” quale invece prevista dall’art.17 del Codice per tutti i trattamenti che pur non avendo ad oggetto dati sensibili, causino tuttavia “rischi specifici”. La norma infatti con una disposizione in parte di chiusura e forse volutamente ampia e dagli incerti confini recita che “Il trattamento dei dati diversi da quelli sensibili […] che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.“
Se la maggior parte dei commentatori si è orientata nel senso di ritenere non indispensabile il ricorso alla cosiddetta “verifica preliminare”, è anche vero che tale verifica è stata di fatto consigliata, soprattutto nei casi di trattamento più complessi o rilevanti.
I primi provvedimenti e l’inizio della consultazione pubblica
Nei primi mesi il Garante è stato quindi interessato da diverse e numerose richieste di verifica a’ sensi dell’art.17 del Codice, riguardanti le situazioni più articolate e gli impieghi della grafometria più disparati. Le risposte alle richieste di verifica preliminare sono pubbliche e sono cosultabili sul sito del Garante. Il numero e la varietà di tali domante ha tuttavia spinto l’Autorità a considerare l’opportunità di emanare un provvedimento che avesse carattere generale e che dettasse e palesasse con efficacia erga omnes alcune linee guida e caratteristiche minimali da rispettare, e soprattutto che – se rispettate – esentassero gli operatori dalla non sempre poco onerosa fase di verifica.
La firma grafometrica è infatti una tecnologia che se nei primi mesi ha interessato soprattutto istituti bancari ed assicurativi, e quindi soggetti con strutture e risorse sicuramente importanti, è tuttavia potenzialmente volta a soddisfare la domanda di digitalizzazione anche per soggetti diversi e meno strutturati, quali ad esempio semplici studi professionali, od esercizi commerciali anche di ridotte dimensioni, che difficilmente possono sopportare l’onere di accesso a consulenze tencico legali specializzate, indispensabili al fine una valutazione ad hoc avanti al Garante.
Con questo intento quindi il Garante ha dapprima emanato una bozza di Linee Guida e di Provvedimento, avviando su tali testi nei mesi di maggio e giugno 2014 una consultazione pubblica alla quale hanno partecipato i principali operatori del settore e le principali associazioni di categoria, tra cui ricordiamo in particolare il corposo documento presentato congiuntamente da AIFAG (l’Associazione nazionale che raccoglie i principali operatori sia dal lato della domanda che dell’offerta nel settore della grafometria) e da ANORC (associazione che riunisce gli operatori ed i responsabili della conservazione digitale documentale). Il documento presentato è consultabile qui.)
Il provvedimento visto da vicino
Uno sguardo al provvedimento definitivo
Conclusa la fase di consultazione è stato recentissimamente (26 novembre) pubblicato sul sito del Garante il testo definitivo dei due documenti, il quale nel momento in cui scriviamo risulta ancora in corso di pubblicazione in Gazzetta Ufficiale. E’ possibile trovare il testo completo a questo indirizzo.
Pur plaudendo all’intenzione del Garante di dettare norme generali, e di ridurre di conseguenza gli oneri burocratici per gli operatori ad avviso di chi scrive il provvedimento del Garante è andato almeno in parte “ultra crepidam”, spingendosi in settori dove risulta difficile trovare una qualche legittimazione dell’Autorità a dettare norme più o meno vincolanti. Vedremo più avanti i punti più critici sotto questo aspetto.
Le Linee guida hanno un carattere sostanzialmente didattico e non presentano particolari problematicità o specificità e tecnicamente costituiscono l’allegato “A” al documento principale. Sicuramente di maggior interesse e soprattutto di maggior impatto organizzativo e procedurale risulta invece il testo del Provvedimento (registro dei Provvedimenti n.513 del 12 novembre 2014).
Il testo è strutturato in quattro paragrafi di cui i fondamentali sono il terzo, dedicato alle violazioni ed alle fughe di dati, cosiddetti “data breaches” ed il quarto dedicato alle condizioni per essere esentati dalla verifica preliminare.
Principio fondante di tale testo è quello di costituire da un lato una guida e dall’altro uno strumento di semplificazione degli adempimenti per gli operatori. In questa linea di pensiero è da sottolineare come oltre all’esonero dall’obbligo di verifica preliminare, alcuni trattamenti possano essere effettuati anche senza il consenso dell’interessato (ciò, ad esempio, vale per la cosiddetta “autenticazione” o meglio identificazione informatica, per il controllo degli accessi fisici ad aree sensibili o per la sottoscrizione di documenti informatici purché però realizzata in ambito pubblico).
Gestione dei “data breaches”
Riprendendo testualmente dal provvedimento, il Garante riconosce come le peculiari caratteristiche dei dati biometrici, unitamente ai rischi su di essi incombenti fanno ritenere necessario assoggettare il loro trattamento, all’obbligo di comunicare al Garante il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione, anche anche in coerenza con le previsioni del Regolamento europeo eIDAS in tema di identificazione, autenticazione e firma elettronica.
A questo fine il Garante pone un preciso onere a carico dei titolari del trattamento di comunicare entro ventiquattro ore dalla conoscenza dell’eventuale fatto potenzialmente pericoloso tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici o sui dati personali ivi custoditi. Tali comunicazioni devono essere redatte secondo un preciso schema riportato nell’allegato “B” provvedimento e quindi inviate tramite posta elettronica o posta elettronica certificata all’indirizzo: [email protected]. Chi avesse curiosità può trovare qui il relativo modello http://tinyurl.com/mt8tzgc.
Da segnalare che tale onere e conseguente adempimento, trova la propria base normativa nell’art. 154, primo comma, lettera c) del Codice e comporta in caso di disapplicazione la comminazione della pesante sanzione amministrativa da 30 mila a 180 mila Euro.
I casi di esonero dalla verifica.
La sottoscrizione dei documenti informatici a mezzo firma grafometrica
Il quarto paragrafo è il cuore del provvedimento ed è dedicato alle ipotesi di esonero dalla verifica preliminare. Esso a sua volta è suddiviso in quattro sotto paragrafi, dedicati rispettivamente alla “autenticazione informatica”, al controllo degli accessi, all’uso dell’impronta digitale e della geometria della mano ed infine alla sottoscrizione di documenti informatici, che è la parte che maggiormente ci interessa.
Grafometrica possibile solo se FEA? In ogni caso no a database centralizzati senza valutazione ad hoc.
Entrando nello specifico è possibile notare subito un aspetto che non ci convince, e che già è stato oggetto di specifica segnalazione al Garante nel corso della consultazione pubblica e purtroppo al momento non accolta.
Il Garante infatti dispone in modo invero un po’ equivoco che “Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” che non prevedono la conservazione centralizzata di dati biometrici”
Da una prima lettura del testo sembrerebbe che la firma grafometrica sia utilizzabile solo ed esclusivamente laddove essa sia inserita in un più ampio processo di Firma Elettronica Avanzata (c.d. FEA). Molto in sintesi la FEA è un processo, che aggiunge ad alcune caratteristiche tecnologiche, diversi requisiti documentali e procedurali volti al fine di assicurare particolare peso giuridico alla firma così raccolta, che la rende idonea a sottoscrivere qualsiasi tipo di contratto esclusi solo quelli previsti dai numeri dall’1 al 12 dell’Art.1350 c.c., vale a dire i contratti che riguardano immobili, per i quali è richiesta invece la firma qualificata.
Non si capisce tuttavia cosa centri tutto ciò, e soprattutto quale sia la competenza del Garante a normare in tale settore atteso il fatto che vi possono essere soluzioni di firma grafometrica che soddisfino i più alti requisiti tecnici e di sicurezza, che tuttavia per i motivi più vari assolutamente legittimi non siano inserite in un più ampio processo documentale di FEA. Forse è possibile dare una lettura più coerente con lo spirito del provvedimento, legando l’affermazione invero poco giustificabile, al seguito del paragrafo dove si accenna alle soluzioni che prevedono l’accentramento dei dati biometrici in database centralizzati.
Il Garante quindi secondo tale più razionale tesi, si preoccuperebbe di dire che sono ammesse in assenza di verifica preliminare ad hoc, solo ed esclusivamente le soluzioni di firma grafometrica – FEA che non comportino accentramento di dati biometrici. In sostanza il Garante si preoccuperebbe di dire – invero in modo un po’ infelice – che se si vuole mettere in piedi un database centralizzato, occorre passare attraverso la verifica ad hoc, ma nulla di più.
Nessun cenno tuttavia verrebbe fatto alle soluzioni di Firma Grafometrica non incardinate in processi di FEA, che comunque debbono ad avviso di chi scrive considerarsi perfettamente lecite e non richiedenti alcuna verifica preliminare purché conformi al Codice ed ora al Provvedimento in commento.
Altri requisiti: identificazione, consenso, mezzi alternativi e cancellazione sicura
Altri requisiti meno degni di nota sono la necessità comunque di identificare il firmatario, acquisire il suo consenso alla raccolta dei dati biometrici, garantirgli comunque il possibile ricorso ad alternative cartacee o digitali che non utilizzino dati biometrici digitali e provvedere a cancellare in modo sicuro ogni traccia di dati biometrici al termine della sottoscrizione.
Il terzo fiduciario: Notai in prima linea
Da segnalare quindi è un’importante novità. Per la prima volta viene esplicitamente introdotta ed anzi richiesta come necessaria la specifica figura soggettiva del “terzo fiduciario”, custode della chiave privata che consente l’accesso al modello grafometrico cifrato in caso di contenzioso sull’autenticità della firma o a seguito di richiesta dell’autorità giudiziaria. In sostanza il Garante richiede espressamente che vi sia un soggetto terzo ed imparziale che sia deputato alla custodia della cosiddetta master key privata, che consente in caso di contenzioso di accedere al dato biometrico in chiaro.
Tale figura di per sé non richiede particolari requisiti professionali potendo essere ricoperta da qualunque soggetto. Sempre più di frequente tuttavia è prassi degli operatori richiedere l’intervento di chi istituzionalmente ricopra la qualifica di terzo imparziale, e pertanto di affidare la custodia sicura delle chiavi di cifra a Notai specializzati in tale settore, che generalmente sono anche coloro che provvedono a generare le chiavi di cifra.
Solo “certificati” di cifra?
Un secondo punto che non ci convince, anch’esso oggetto di specifica segnalazione purtroppo non accolta è la richiesta esplicita del Garante a che le chiavi di cifratura siano generate in formato di “certificato”. A parte la discutibile competenza del Garante a spingersi a normare tale settore, non si capisce quale sia il valore aggiunto del ricorso al formato “certificato”, atteso che lo stesso in moltissimi casi potrà anche essere “self signed” e non collegato ad alcuna catena di trust. Una chiave crittografica svolge il suo mestiere indipendentemente dal formato in cui è generata. L’utilità di avere un certificato di cifra sinceramente non la vediamo, soprattutto laddove lo stesso risulti self signed, come è del tutto possibile anzi assai frequente.
Tale certificato inoltre per espressa disposizione del Garante deve essere generato da una Autorità di Certificazione accreditata presso DigitPA. Anche questo requisito ci risulta difficile da comprendere nella sua ratio atteso il fatto che, di nuovo, stiamo parlando di chiavi di cifra, e non di certificati di firma.
Ci sembra in sostanza che il Garante voglia far diventare la firma grafometrica qualcosa di molto simile alla firma qualificata, confondendo però i piani della crittografia con quello dell’imputabilità e della sottoscrizione. In altre parole, nella firma grafometrica vi è esigenza di crittografia per proteggere il dato biometrico.
Nella firma qualificata, vi è un certificato qualificato, collegato a tutta una catena di trust, che ha la funzione non di crittografare, bensì di identificare il suo titolare fino a prova contraria. In questo caso ha un senso che il titolare sia stato ab origine identificato dalla CA, la quale a sua volta sia stata riconosciuta ed accreditata in una catena più o meno lunga fino alla radice di AgID. In questo modo la catena degli effetti giuridici consente di imputare in ultima analisi la firma al soggetto titolare del certificato.
Nulla di tutto questo deve o è necessario che avvenga in caso di firma grafometrica, dove la chiave svolge unicamente funzioni di cifra e non di identificazione.
Altri requisiti: cifratura lungo i cavi, protezione malware, remote wiping
Velocemente diamo conto di qualche altro requisito. Il Garante dispone che la trasmissione dei dati biometrici tra sistemi hardware di acquisizione, postazioni informatiche e server avviene esclusivamente tramite canali cifrati. Ergo anche il passaggio dalla tavoletta al PC deve avvenire in condizioni di sicurezza.
Ovviamente idonee misure debbono poi essere adottate per la protezione da virus e malware. Devono poi essere garantite ulteriori funzioni di sicurezza che rendano disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi.
Lunghezza adeguata al ciclo di vita.. “del documento”?
Un ultimo punto critico ci sia consentito rilevarlo nel requisito che richiede che la chiave di cifratura del dato biometrico, abbia lunghezza “adeguata al ciclo di vita del documento”. Sembrerebbe pertanto possibile la seguente equazione: documento poco importante = chiave di lunghezza ridotta; documento molto importante = chiave di lunghezza maggiore.
Ora, ad avviso di chi scrive trattandosi di dati biometrici, e trattandosi di chiavi che hanno lo scopo di proteggere tali dati, appare errato voler distinguere e graduare la lunghezza delle chiavi a seconda che le stesse ineriscano a documenti di minore o maggiore importanza, atteso il fatto che l’oggetto che esse proteggono (vale a dire il dato biometrico) ha sempre la medesima e assoluta importanza.
La chiave di cifra deve infatti essere orientata non al documento, ma al dato che protegge.
In quest’ottica l’iscrizione alla piscina od alla palestra ha la stessa ed identica importanza che ha la sottoscrizione in calce al rogito di acquisto della propria abitazione, in quanto in entrambi i casi si sta proteggendo l’integrità del dato biometrico della propria mano, il quale in entrambi i casi, se compromesso può causare danni irreparabili.
Verso il rogito grafometrico
Seppur da oltre 12 anni i Notai utilizzino abitualmente e quotidianamente la firma digitale in tutti gli adempimenti afferenti i rogiti notarili, e sia già da tempo possibile stipulare rogiti in formato interamente e nativamente digitale, tale aspetto è stato fin ora limitato all’utilizzo della sola firma digitale. La Commissione Informatica in seno al Consiglio Nazionale del Notariato è tuttavia alle fasi quasi conclusive della elaborazione e rilascio di un sistema di firma grafometrica da utilizzarsi all’interno dei rogiti notarili.
Il motivo dell’apparente ritardo è dato dal fatto che il rogito notarile deve essere consultabile per periodi di tempo lunghissimi, e pressoché infiniti. E’ quindi necessario trovare il modo di garantire la sicurezza degli eventuali dati biometrici raccolti, anche laddove l’originale dell’atto sia “esposto” alla consultazione dopo decine di anni nel futuro, quando probabilmente le chiavi di cifra utilizzate saranno diventate poco più che inutili. Procedure di refresh o riversamento documentale sono quindi all’esame unitamente ad altre possibili soluzioni.
Facebook Comments