Privilegi e implicazioni della firma grafometrica

di Raffaele Riccio

La firma autografa tradizionalmente impiegata per siglare accordi, contratti o altri atti aventi rilevanza giuridica da diversi anni è stata sostituita da una modalità di sottoscrizione decisamente più efficace e innovativa: la firma grafometrica. Normalmente, ormai, molti servizi bancari, assicurativi, alcuni servizi sanitari nonché numerose altre operazioni economiche possono essere attivati e autorizzati apponendo la propria firma su un dispositivo mobile, solitamente una tavoletta grafica ad alta sensibilità (tablet) che attiva un processo informatico di elaborazione della firma medesima, in grado di garantirne l’unicità e l’indissolubile associazione con il documento sottoscritto e il relativo firmatario.

In una realtà fortemente governata dalla tecnologia e dai documenti informatici, la firma grafometrica, dunque, rappresenta una modalità di sottoscrizione alternativa di sottoscrizione di documenti e atti. In particolare, essa costituisce un nuovo tipo di firma apposta mediante mezzi informatici.

La nascita della firma grafometrica non deve collegarsi al presente o agli ultimi anni. Si consideri, infatti, che il legislatore italiano già da diverso tempo si è preoccupato di riconoscere la valenza giuridica di simili nuove tipologie di firma con il Codice dell’Amministrazione digitale (D.lgs. 82/2005 e successive modifiche), delineando l’esistenza di ben 4 tipologie di “firme informatiche” e, cioè: la firma elettronica semplice, la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale.

La firma grafometrica, in particolare, costituisce uno dei metodi di apposizione della firma elettronica avanzata (FEA). In particolare, il legislatore, ritiene che la firma elettronica avanzata sia una firma con alcune caratteristiche di sicurezza, non meglio identificate (a differenza di quanto previsto per la firma elettronica qualificata e la firma digitale).  Tale firma, infatti, è definita come “un insieme di dati in forma elettronica allegati o connessi a un documento informatico che consentono l’identificazione del firmatario del documento”. I meccanismi di identificazione possono essere molteplici (l’utilizzo di un codice personale, possesso di una carta o di un token, l’impiego di dispositivi che raccolgono dati fisici e/o comportamentali di un individuo).

La firma grafometrica apposta su tablet soddisfa quanto richiesto in termini generali dal D.lgs. 82/2005 perché permette l’identificazione del firmatario mediante l’utilizzo di un dispositivo in grado di rilevare alcune caratteristiche comportamentali (e non fisiche, si badi) di colui che la appone.

La tecnica grafometrica sicuramente si rileva più sicura rispetto alle altre forme di firma elettronica avanzata perché impedisce qualsivoglia falsificazione e, soprattutto, risulta più facile e pratica da utilizzare.

L’impiego della firma grafometrica presuppone il rispetto di specifici adempimenti a carico di tutti coloro che acquisiscono tali tipologie di dati, dal momento che notevoli sono le implicazioni con la normativa a tutela del trattamento dei dati personali, soprattutto alla luce della maggiore sensibilità mostrata dal legislatore europeo con il Regolamento 2016/679 rispetto alla tutela dei dati delle persone fisiche.

Il processo informatico alla base della tecnica grafometrica, infatti, determina l’acquisizione di dati biometrici, categoria di dati espressamente prevista e disciplinata dal suddetto Regolamento europeo e, prima ancora, da alcuni provvedimenti dell’Autorità Garante per la protezione dei dati personali.

Per dati biometrici, in particolare, si intendono quei dati personali che si ricavano da caratteristiche fisiche o comportamentali uniche e identificative di ciascuna persona fisica (si pensi, a titolo esemplificativo, alle impronte digitali, alla forma dell’iride, alle caratteristiche del volto, alla struttura vascolare della retina o alla topografia della mano).

Nel caso di specie, attraverso la firma grafometrica il dispositivo informatico rileva alcuni dati biometrici del firmatario nel momento in cui costui è intento a sottoscrivere un documento informatico. L’acquisizione avviene generalmente mediante un apposito software che interagisce col tablet di firma. Ciò che viene acquisita non è solo l’immagine della firma (dato statistico) ma anche dati dinamici direttamente riconducibili all’atto della scrittura del firmatario. Sono cinque, in particolare, le caratteristiche comportamentali registrate dal dispositivo di registrazione e, cioè, la velocità di scrittura, la pressione esercitata sul tablet, l’angolo di inclinazione della penna, l’accelerazione del movimento e, infine, il numero di volte che la penna viene sollevata dal tablet.

Per tale ragione, dunque, la firma grafometrica può ricondursi alla biometria comportamentale interattiva, piuttosto che alla biometria fisica passiva: le caratteristiche comportamentali dell’individuo diventano parte integrante e distintiva del documento e permettono in via esclusiva la riconducibilità dello specifico documento firmato a colui che ha posto la firma. Il meccanismo della tecnica grafometrica, inoltre, si innesca con un’azione positiva del firmatario che determina un’interazione immediata con il documento e il dispositivo informatico.

È necessario, dunque, che i dati biometrici nascenti da un’operazione di apposizione di firma grafometrica siano prodotti nel rispetto di particolari standards indicati dal Garante per la protezione dei dati. Lo standard ISO/IEC 19794-7 (2014), ad esempio, determina criteri precisi e caratteristiche dei dispositivi da utilizzare per l’acquisizione dei dati (per determinare il calibro della pressione). Un altro importante standard è rappresentato dalla ISO/IEC 19785-1.

I dati biometrici, per espressa previsione normativa, rientrano nella categoria dei dati particolari ex art. 9 Regolamento europeo 2016/679 e il trattamento di una simile tipologia di dati deve avvenire nel rispetto di quanto previsto dal legislatore comunitario e, cioè, assicurandosi che ciò avvenga solo nei casi previsti dal citato art. 9, comma 2 e con l’adozione di adeguate misure di sicurezza. Nella stragrande maggioranza dei casi, il trattamento di dati biometrici deve avvenire solo se l’utente ma espressamente manifestato il proprio consenso. Ed è per questa ragione che, prima ancora che il firmatario sia invitato a sottoscrivere in formato elettronico un documento tramite apposizione di firma su tablet, è necessario che costui sia adeguatamente informato mediante idonea informativa sul trattamento dei dati personali e, quindi, sulle modalità di acquisizione dei dati biometrici, sulla finalità della raccolta, sui tempi e le modalità di conservazione di tali dati da parte del Titolare del trattamento (es. la banca, la struttura sanitaria).

È importante, infatti, che l’adozione del sistema di firma grafometrica garantisca sufficienti livelli di sicurezza per la protezione dei dati del firmatario. Innanzitutto è necessario che i dispositivi utilizzati per la raccolta dei dati (hardware e software) siano tecnologicamente avanzati. I dati grafometrici, inoltre, devono essere integrati nella componente informatica del documento dopo essere stati crittografati. I dati acquisiti sul tablet, infatti, devono essere immediatamente protetti con una chiave di cifratura e, una volta trasferiti all’interno dell’archivio di destinazione per la custodia, devono essere legati indissolubilmente all’impronta del documento (hash).

Successivamente sarebbe opportuno che i dati biometrici raccolti e il l’impronta del documento siano cifrati insieme, a dimostrazione della correlazione univoca tra documento sottoscritto e firma acquisita.

Il documento definitivo, completo anche della sottoscrizione della controparte, diviene immutabile, pena la sua invalidità.

L’acquisizione dei dati biometrici impone al Titolare del trattamento ulteriori adempimenti tali da garantire la massima sicurezza dei dati raccolti e, in particolare, la conservazione dei suddetti dati in appositi archivi (fisici o in cloud) protetti da misure di sicurezza informatica aggiornate.

Sempre relativamente ai profili di compliance all’attuale normativa in materia di protezione dei dati personali, è opportuno che il Titolare dia atto nel registro dei trattamenti delle operazione di raccolta, utilizzo e conservazione dei dati biometrici.

Un ultimo riscontro, inoltre, è opportuno che sia inserito nella valutazione dei rischi dal momento che l’acquisizione e la conservazione di dati biometrici determina un potenziale aumento dei rischi di data breach a carico del Titolare del trattamento che, per tali ragioni, deve assicurare a sé e ai firmatari un corretto processo di gestione di tali dati.

La garanzia della cifratura dei dati biometrici può essere dimostrata tramite certificati di cifratura che attestano la sicurezza delle operazioni di trasferimento dei dati biometrici nonché l’impossibilità di utilizzi fraudolenti di tali dati.

Preso atto del potenziale di sicurezza garantito dal sistema della firma elettronica avanzata, il legislatore attribuisce a tale tipologia di firma la medesima efficacia probatoria prevista ex art. 2702 c.c. per le scritture private.

A differenza di quanto solitamente accade nella stragrande maggioranza delle ipotesi di utilizzo di dati biometrici, l’utilizzo della firma grafometrica non necessariamente può determinare (ex post) un processo di riconoscimento biometrico e, cioè, la verifica automatica dell’identità di un individuo (identità dichiarata preventivamente dal firmatario rispetto all’atto di apposizione della firma sul tablet).

Solo in caso di eventuale contestazione (contenzioso) di un documento da parte del firmatario, infatti, si potrà procedere alla comparazione delle caratteristiche biometriche presenti sul campione biometrico de quo e la firma presente su un campione precedentemente memorizzato in fase di firma di un altro documento informatico.

L’operazione di contestazione determina in tali casi la necessità dell’intervento – in sede giudiziaria – di un perito calligrafo in grado di verificare la genuinità della sottoscrizione.

L’Associazione Grafologica Italiana (AGI) ha pubblicato “Le buone prassi per l’analisi forense di firme grafometriche”, un manuale di ausilio ai periti per la corretta conduzione di una perizia grafometrica.

In definitiva, dunque, la sottoscrizione di documenti informatici si rivela decisamente più comoda e agile nei settori più vari, così come maggiore diviene la riconducibilità di una firma al suo firmatario e al documento sui cui essa è apposta. Ma un simile sistema impone il rispetto di obblighi che devono essere pedissequamente osservati, pena la violazione dei princìpi fondamentali relativi alla tutela della riservatezza di ciascun individuo e, quindi, il rischio di sanzioni.


Biografia

SOFFIENTINI M., Privacy. Protezione e trattamento dei dati, Ipsoa, 2018

Garante per la protezione dei dati personali, provvedimento del 12 novembre 2014 n. 513

Garante per la protezione dei dati personali, Linee Guida in materia di riconoscimento biometrico e firma grafometrica (allegato A al provvedimento del 12 novembre 2014)

MANCA G., Firma elettronica avanzata grafometrica: sicurezza, interoperabilità e periziabilità, in Agenda Digitale, Network Digital360, 26 aprile 2018.


Autore:

 

 

en_USEnglish
it_ITItaliano en_USEnglish