...

La Firma Elettronica Avanzata: il valore legale, la sicurezza e gli

by user

on
Category: Documents
16

views

Report

Comments

Transcript

La Firma Elettronica Avanzata: il valore legale, la sicurezza e gli
Fabio Di Resta
Avvocato - LLM - ISO 27001 ICT Security Auditor - Studio Legale Di Resta*
LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI
AMBITI APPLICATIVI
(ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE)
Sommario
Nell’Agenda digitale italiana ed europea viene data sempre più importanza all’informatizzazione e all’esigenza di
utilizzare l’Information and Communication Technology per
semplificare e portare efficienza nella pubblica amministrazione. In tale contesto, i processi di digitalizzazione e di dematerializzazione della pubblica amministrazione sono percorsi
obbligatori per l’innovazione e l’efficienza del nostro paese.
Questi processi necessitano di strumenti pratici e usabili da
parte del cittadino e della pubblica amministrazione, la firma
elettronica avanzata per le sue caratteristiche è uno strumento
che potrebbe portare l’innovazione tecnologica necessaria e permettere di superare il digital divide nel nostro paese. Questa
nuova tipologia di firma elettronica introdotta con le modifiche
apportate a seguito della riforma del Codice
dell’Amministrazione Digitale (entrata in vigore il 25 gennaio 2011) è stata successivamente modificata con Decreto
legge n. 179 del 18 ottobre 2012. Con la firma elettronica
avanzata (FEA) si introduce nel panorama normativo italiano una firma che ha un valore legale assimilabile alle più
tradizionali firme digitali e firme elettroniche qualificate, sebbene se ne distingua profondamente. La FEA presenta, infatti, caratteristiche del tutto peculiari, non necessita di un dispositivo sicuro in senso proprio, né di un certificato qualificato né
di un sistema di chiavi asimmetrico, la FEA nasce anche
svincolata da autorizzazioni preventive. Da una parte la
mancanza di vincoli normativi stringenti la rende particolarmente appetibile dal mercato e dai fornitori di soluzioni di
firme elettroniche, dall’altra ci sono una serie di limiti connessi ai rischi di minor sicurezza delle soluzioni di FEA. Nel
decreto attuativo, entrato in vigore a giugno 2013, vengono
descritti i requisiti normativi volti a prevenire e ridurre i rischi
intrinseci delle soluzioni di FEA, con particolare riguardo al
“sole control” da parte dell’utilizzatore. Tuttavia, occorre
un’analisi molto attenta di ciascuno dei requisiti normativi
prescritti. Il rischio che si corre altrimenti è che l’assenza di
controllo preventivo comporti di fatto anche la mancanza di un
riconoscimento giudiziale dell’efficacia legale pari alla scrittura
privata, un’eventualità molto grave per l’ente utilizzatore.
*Si
A bstract
In the European and Italian Digital Agenda to computerize the public administration through the ICT employment both in order to simplify and to bring more efficiency - is considered more and more important. In this context, digitization and dematerialization processes are compulsory paths to
lead to innovation and effectiveness. These processes need practical and usable instruments for citizens and public administration. The advanced electronic signature has all features to
support these processes both for technological innovation and to
overcome the digital divide in our country. This new type of
electronic signature was foreseen by the legislative reform of the
Digital Administrative Code (legislative decree no. 85, 7
March 2005, as modified by the legislative decree no. 235, 30
December 2010 and later by Government decree no. 179,
18th October 2012). This type of signature is strongly different from the traditional ones, digital signature and qualified
electronic signature, has almost no legal bindings, no qualified
certifications, no Secure-Signature Creation Devices; moreover, there are no preliminary authorisation. Nonetheless, in
order to guarantee that this signature is legally effective, all
mandatory legal requirements should be satisfied. In this
respect, the decree (Prime Minister decree no. 68380, 22
February 2013), entered into force in June 2013, provides
specific requirements of the advanced electronic signature
through a technical legislation. This pays particular attention
to the aspects of the “sole control” by the user. Lastly, the
future challenge of the advanced electronic signature will be its
compliance with the law, without this there are no guarantees
that this signature will be accepted as a legal evidence in a
Court.
ringrazia il contributo dell’avvocato Emiliano Vitelli che ha collaborato alla revisione di alcune parti del presente articolo.
Speciale Sicurezza ICT
113
Fabio Di Resta
1. Introduzione alla firma elettronica avanzata (FEA)
Come è noto al fine di garantire piena autenticità
con valore legale alla firma apposta su un documento informatico, sia esso una fattura elettronica, un
contratto, un documento inviato tramite posta elettronica, occorre utilizzare una firma elettronica che
assicura l’efficacia della scrittura privata.
In questo contesto, la vera novità sul piano della
normativa italiana è rappresentata proprio dalla firma
elettronica avanzata; tale firma, disciplinata nel
Codice della Amministrazione Digitale (come modificato dal decreto legislativo del 30 dicembre 2010, n.
235 e successivamente dal decreto legge n. 179 del
18 ottobre 2012), ha acquisito un valore legale che la
equipara alla firma digitale e alla firma elettronica
qualificata e pertanto gli viene attribuito il medesimo
valore della firma autografa scritta di pugno.
Il valore legale della firma elettronica avanzata
viene disciplinato dall’art. 21 comma 2 (novella entrata in vigore il 25 gennaio 2011). La norma prevedeva, tuttavia, l’applicazione della presunzione di riconducibilità del dispositivo al titolare ovvero vi era un’
inversione dell’onere della prova a carico dell’utilizzatore che appone una firma elettronica avanzata
valida: “L’utilizzo del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia prova
contraria”. Questa presunzione è attualmente una
prerogativa esclusiva delle sole firme digitali e qualificate, a seguito della modifica apportata con il decreto legge n. 179 del 18 ottobre 2012 .
2. Le principali caratteristiche della FEA
Sul piano applicativo e dei limiti di utilizzo della
firma elettronica avanzata vi è da rilevare che può
essere impiegata in un ambito molto ampio, ma a differenza delle altre due tipologie di firme, ai sensi dell’art. 21 comma 2-bis sono esclusi esplicitamente
quei contratti che trasferiscono i diritti di proprietà o
che costituiscono una comunione di beni immobili,
gli atti che costituiscono ovvero trasferiscono diritti
reali su beni immobiliari e gli altri contratti comunque indicati nell’art. 1350, dal n. 1 al n. 12 del Codice
Civile.
La FEA non potrà essere, inoltre, utilizzata in
soluzioni di firma remota né per realizzare soluzioni
di firma automatica, il Decreto del Presidente del
Consiglio dei Ministri, n. 68380 del 22 febbraio 2013
(di seguito indicato come DPCM) relativo alle regole
tecniche sulle firme elettroniche1 confermano questo
orientamento, definendo la firma remota come: “una
particolare procedura di firma elettronica qualificata
o digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi da parte dei titolari delle stesse”. Analogamente, la firma automatica
viene definita come: “una particolare procedura di
firma elettronica qualificata o digitale eseguita previa
autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, ma in
assenza di un presidio puntuale e continuo da parte
di questo”.
Ulteriore aspetto che distingue la FEA è che questa non sarà soggetta alla sorveglianza da parte del
DigitPA, l’art. 55 comma 1 del DPCM asserisce infatti che: “la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna
autorizzazione preventiva”. Mentre come è noto per
la firma digitale e per la firma elettronica qualificata è
previsto un sistema di vigilanza che riguarda, in particolare, sia i certificatori qualificati sia l’adeguatezza
tecnologica dei dispositivi sicuri per la generazione e
custodia delle chiavi private2.
Quest’ultimo punto relativo all’assenza di sistema
di sorveglianza, a parere di chi scrive, rappresenta il
limite principale della FEA, come si avrà modo di
mostrare infatti questa firma, ha dei requisiti di sicurezza più generici e inferiori rispetto alle altre due
tipologie di firma. Questo aspetto solleva tra gli operatori dubbi in ordine ai rischi di false sottoscrizioni
ovvero di modifica dei documenti sottoscritti, tali
rischi sono stati parzialmente risolti con la previsione
1 DPCM n. 68380 del 22 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e
digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”. Pubblicato in
Gazzetta Ufficiale il 21 maggio 2013 ed entrato in vigore il 5 giugno 2013.
2 L’art. 6 delle regole tecniche in materia di firma digitale, attualmente in vigore (DPCM del 22 febbraio 2013), stabilisce che la generazione della coppia
di chiavi deve avvenire assicurando l’unicità, un livello di sicurezza adeguato della coppia generata e la segretezza della chiave privata, analogamente, il
DigitPa gestisce un sistema di vigilanza affinché le chiavi private siano adeguatamente protette sul piano tecnologico tramite codici personali. Inoltre, con
riguardo particolare ai dispositivi sicuri l’art. 35 del CAD prevede una procedura di accertamento gestita dall’Organismo di certificazione della sicurezza
informatica (OCSI).
114
Speciale Sicurezza ICT
LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI
(ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE)
di un sistema di garanzie contro i danni ovvero il
ricorso alla copertura assicurativa di cui si dirà anche
in seguito3.
Con il presente articolo si cercherà di chiarire al
lettore il quadro di riferimento normativo ed i requisiti legali specifici richiesti, mettendo in evidenza i
vantaggi e le criticità delle soluzioni di firma di maggiore interesse sul mercato.
Si ritiene opportuno a questo punto fare qualche
premessa sulla evoluzione normativa che ha portato
alla firma elettronica avanzata; la firma è stata disciplinata per la prima volta a livello comunitario con la
direttiva 1999/93/CE, successivamente recepita nel
nuovo CAD. Si riporta per completezza il testo il
secondo comma dell’art. 5:
“Gli Stati membri provvedono affinché una firma
elettronica non sia considerata legalmente inefficace
e inammissibile come prova in giudizio unicamente a
causa del fatto che è:
• in forma elettronica, o
• non basata su un certificato qualificato, o
• non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero
• non creata da un dispositivo per la creazione
di una firma sicura.”
Da un esame del primo comma del medesimo
articolo emerge con sufficiente chiarezza che le sole
firme elettroniche avanzate ad avere valore pari alla
firma autografa dovrebbero essere quelle costituite
da un certificato qualificato e che impiegano un dispositivo sicuro per la generazione della firma: firma
digitale e firma elettronica qualificata. Il secondo
comma sopra riportato richiama, invece, proprio gli
elementi definitori della firma elettronica avanzata
disciplinata del nuovo CAD, da tali elementi, che
svincolano le soluzioni di FEA da requisiti stringen-
ti, si ritiene che questa firma avrebbe dovuto molto
probabilmente avere un valore di elemento di prova
liberamente valutabile dal giudice piuttosto che di
firma con valore pari alla firma autografa come invece previsto nell’art. 21 comma 2 del CAD.
Nel quadro normativo comunitario, è anche
importante menzionare la direttiva 2006/123/CE sui
servizi nel mercato interno, la quale introduce un
quadro giuridico volto all’agevolazione dell’esercizio
della libertà di stabilimento dei prestatori di servizi
nonché della libera circolazione dei servizi. In particolare, nell’ambito della semplificazione amministrativa impone agli Stati Membri di garantire le condizioni per espletare per via elettronica formalità
amministrative in diversi ambiti, tra i quali: la creazione di imprese e la fornitura transfrontaliera di servizi. Tale normativa impatta inevitabilmente sulle
regole tecniche in corso di adozione in materia di
firma elettronica avanzata dovendosi garantire la più
ampia interoperabilità con gli altri sistemi informatici (in tale ambito rientra anche la problematica dell’adozione dei formati4).
3. Analisi dei requisiti normativi della FEA
Passiamo ora ad analizzare più nello specifico i
requisiti legali della firma elettronica avanzata5
(FEA) introdotti nel nuovo CAD: questi sono finalizzati a garantire che il documento informatico sottoscritto elettronicamente assicuri l’autenticità e l’integrità del documento sottoscritto6, e più specificamente:
• l’insieme di dati identificativi (in forma elettronica) del sottoscrittore devono essere collegati ai dati contenuti nel documento informatico tali da consentire una connessione univoca con il firmatario e garantire la verifica dell’integrità e l’immodificabilità dei dati conte-
Art. 57, comma 2, Ibid.
Decisione della Commissione del 25 febbraio 2011, che istituisce i requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno.
5 Si ricorda che la nozione di Firma elettronica avanzata era già presente nell’art. 2 della Direttiva 1999/93/CE del Parlamento europeo e del
Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche, la quale definisce la firma elettronica avanzata come: una
firma elettronica che soddisfi i seguenti requisiti:
a) essere connessa in maniera unica al firmatario;
b) essere idonea ad identificare il firmatario;
c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo;
d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati.
6 Art. 1 lett. q bis) del CAD.
3
4
Speciale Sicurezza ICT
115
Fabio Di Resta
nuti nel documento;
• sui mezzi con i quali si genera la firma deve
esserci un controllo esclusivo del sottoscrittore;
• per l’identificazione del firmatario è sufficiente un certificato digitale “non qualificato”;
• non è richiesto il dispositivo sicuro di sottoscrizione (non vi è l’obbligo di osservanza dei
requisiti stabiliti dall’Allegato III Direttiva
1999/93/Ce)7.
Per procedere con la analisi della FEA si può
ricorrere a quanto mostrato in Tabella 1.
Tipologia di firma elettronica
FD8 (chiavi asimmetriche)
FEQ
FEA
Tabella 1. Requisiti delle diverse tipologie di firma elettronica.
La tabella mette in evidenza i requisiti che caratterizzano le diverse tipologie di firma elettronica alla
quale la legge conferisce un valore legale equivalente
alla scrittura privata ovvero alla comune firma autografa scritta di pugno.
Nella prima colonna vengono indicate la firma
digitale (FD), la firma elettronica qualificata (FEQ) e
la FEA, nelle altre due colonne, il requisito del Secure
Signature Creatione Device (SSCD) ovvero dispositivo sicuro di firma, dispositivo che genera e garantisce che la chiave privata usata per la sottoscrizione
venga protetta secondo i livelli di sicurezza richiesti
dalla legge e dalla normativa tecnica. Con l’acronimo
CQ si indica invece il requisito relativo al certificato
qualificato emesso da una CA.
Una riflessione specifica merita il tema del dispositivo sicuro in riferimento alla firma digitale dato che
nella definizione legale di firma digitale del nuovo
CAD viene omesso il dispositivo sicuro. Questo
aspetto ha sollevato non pochi problemi interpretativi e di coerenza con l’intero impianto normativo
vigente. Appare a questo punto doverosa una premessa in merito al dispositivo sicuro di firma. Come
è noto, il dispositivo sicuro di firma ha la precipua
funzione di generare e di proteggere la chiave privata impedendo l’intercettazione da parte di terzi, proprietà che viene disciplinata tramite il concetto di
SSCD
CQ
SI
SI
SI
NO
SI
NO
“controllo esclusivo” ovvero “sole control”9.
Il controllo esclusivo riguarda i mezzi con i quali
si identifica il firmatario (dispositivo che custodisce la
chiave privata). Poiché nel mondo digitale la firma
elettronica autentica e la firma elettronica non genuina sono indistinguibili, la autenticità della sottoscrizione è strettamente legata al controllo esclusivo
della chiave privata/dispositivo sicuro sul quale l’utilizzatore deve esercitare un possesso continuato.
Per quanto detto, sotto un profilo concettuale
non può non concludersi che la mancanza di un dispositivo sicuro nella firma digitale deve essere considerata un refuso commesso dal legislatore. Su un
piano più sistematico, questa tesi è avvalorata anche
7 È da evidenziare che l’art. 56 del DPCM sulla firma digitale differenzia tra soggetti che offrono soluzioni di firma elettronica avanzata per conto proprio e soggetti offrono tali soluzioni per terzi, l’art. 60 limita l’ambito di utilizzo della firma elettronica avanzata ai rapporti giuridici intercorrenti tra il
sottoscrittore e questo soggetto.
8 Altro requisito caratteristico della firma digitale è l’impiego di un sistema di chiave asimmetriche, tale proprietà differenzia questa tipologia di firma dalla
firma elettronica qualificata, differenza quest’ultima che rileva solo come possibile soluzione tecnica presente nel testo normativo non esistendo allo stato un
certificato qualificato non basato su una coppia di chiavi asimmetriche; nella normativa la firma elettronica qualificata è definita in modo molto sintetico
indicando il certificato qualificato e il dispositivo sicuro, la firma di digitale viene invece definita puntualmente, salvi in ogni caso i rilievi riportati nella presente analisi. Si riporta per maggiore chiarezza il testo dell’articolo 1 lett. s) del CAD per il quale la firma digitale è: “basata su un certificato qualificato
e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di
documenti informatici.”
9 Il disconoscimento della sottoscrizione ovvero la querela di falso dovrà limitarsi alla prova contraria per quanto attiene alle firme elettroniche qualificata e
digitale, ossia la prova che il dispositivo era stato sottratto al titolare, anche solo temporaneamente. Purtroppo la prova della sottrazione del dispositivo, in
assenza di una specifica denuncia o di prova testimoniale che attesti tale circostanza negativa, appare molto difficile da dimostrare dovendosi provare che il
dispositivo non era nel possesso del titolare. Si tratta appunto nello specifico di una prova c.d. negativa che come noto è molto difficile da fornire nel processo.
116
Speciale Sicurezza ICT
LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI
(ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE)
dal fatto che nel CAD sono presenti numerose disposizioni di legge nelle quali la firma digitale è equiparata alla firma elettronica qualificata. Inoltre, nelle
regole tecniche in vigore (DPCM) sono presenti
alcuni articoli fondamentali nei quali si parla di dispositivo sicuro per la generazione delle firme (art. 7).
A sostegno di questa tesi si consideri infine la disposizione contenuta nell’art. 11 del DPCM: in questo
articolo si afferma che la firma digitale è generata
con “dispositivi sicuri” al fine di impedire l’intercettazione della chiave privata. Anche l’art. 8 prescrive il
requisito del dispositivo sicuro per la creazione della
firma digitale (rectius firma digitale remota).
Infine, per ragioni di completezza si ritiene
opportuno aggiungere all’analisi della FEA qualche
riflessione sotto un profilo processuale civile. Sia la
firma elettronica avanzata che quelle qualificata e
digitale sottostanno alla previsione normativa di cui
all’art. 2702 c.c. sulla scrittura privata. Tuttavia mentre per la prima si ritiene possa funzionare il meccanismo processuale del disconoscimento ai sensi dell’art. 214 c.p.c. e segg., per le seconde l’unica strada
plausibile sembra essere quella della querela di falso.
Questa tesi trova fondamento nel fatto che le stesse
vanno ricondotte nell’alveo del concetto di firma
“legalmente riconosciuta" espresso dalla norma in
parola.
Con il disconoscimento, alla parte che si vede
produrre in giudizio l’atto sottoscritto sarà sufficiente dichiarare che la firma non è ad essa riconducibile
e sarà quindi l’avversario a dover chiederne la verificazione (molto probabilmente il prestatore del servizio potrebbe essere costretto a dimostrare l'affidabilità del sistema di FEA).
In tema, invece, di querela di falso, è la parte che
assume la falsità ad essere onerata di instaurare, ai
sensi degli artt. 221 c.p.c. e segg., l’apposita procedura davanti al Collegio e, si badi bene, a pena di nullità, indicare le prove e gli elementi della falsità.
Sotto il profilo delle modalità probatorie volte a
superare la presunzione di riconducibilità della FD e
della FEQ al proprio titolare (art. 21, comma 2 bis
CAD) si può asserire che oltre a possibili, sebbene
difficili, produzioni documentali, appare verosimile
la necessità di ricorrere alla prova testimoniale. Si
tratterà quindi di provare c.d. “fatti negativi” (p.e., il
non aver utilizzato, almeno temporaneamente, la
firma) alla cui complessa problematica si può fare
soltanto un rapidissimo cenno.
La giurisprudenza, infatti, ritiene che di regola, i
capitoli di prova aventi ad oggetto fatti negativi non
Speciale Sicurezza ICT
possono essere ammessi, in quanto ben difficilmente il teste sarebbe in grado di escludere in assoluto la
verificazione di una determinata circostanza; ciò
anche se la Corte di Cassazione, sul punto, ha anche
avuto modo di precisare che la prova dei fatti negativi può essere fornita mediante presunzioni, le quali
possono essere basate su fatti positivi (p.e. circostanze incompatibili tra luogo di custodia del dispositivo
e\o file e quelle relative al luogo di presenza del titolare, sue attività svolte, ecc.), che, se pur non esattamente contrari a quelli negativi, siano tuttavia idonei
a far desumere il fatto negativo.
Proseguendo con l’analisi della firma elettronica
avanzata l’articolo 21 del CAD equipara la FEA alla
firma digitale ed elettronica qualificata purché vengano garantite l’identificabilità dell’autore, l’integrità e
l’immodificabilità del documento sottoscritto.
Mentre vi da ricordare che nel DPCM entrato a vigore a giugno 2013, come già accennato, la presunzione di riconducibilità della firma al sottoscrittore
rimane una prerogativa delle sole firma digitali e qualificate.
4. Le possibili applicazioni della FEA e le
problematiche giuridiche connesse: il One
Time Password e la firma grafometrica
Con riguardo specifico al requisito dell’identificazione certa del sottoscrittore, le diffuse soluzioni
basate su tecniche di strong authentication soddisfano sicuramente tale requisito. Tuttavia, le criticità si
pongono in ordine all’integrità e all’immodificabilità
dei dati contenuti nel documento da sottoscrivere.
La firma elettronica avanzata potrebbe essere
infatti realizzata tramite una soluzione come gli One
Time Password (OTP) utilizzati per l’home banking
oppure con una soluzione di firma grafometrica delle
tavolette elettroniche. Esaminando più in dettaglio la
rispondenza degli OTP ai requisiti stabiliti dalla normativa per la FEA, risulta evidente che questa soluzione comunemente adottata solo come strong
authentication non garantisce tout court l’integrità e
l’immodificabilità del documento informatico associato, ma necessita in primo luogo di una struttura
dei dati che soddisfi tali requisiti.
Tenuto conto dei limiti anzidetti, tale soluzione
sembra invece rispondere al requisito del controllo
esclusivo permettendo di generare delle password
dinamiche nell’esclusivo controllo del titolare del dispositivo. Questo è comunque un requisito indispen-
117
Fabio Di Resta
sabile affinché la FEA sia considerata valida ed abbia
pertanto non solo un valore legale pari alla firma
autografa.
A questo punto, è importante sottolineare che le
caratteristiche peculiari della firma elettronica avanzata portano più correttamente a concepire tale
firma come parte di un processo di gestione documentale piuttosto che una semplice soluzione applicativa che appone una firma disgiunta dalla gestione
del documento informatico.
Questo approccio sembra da condividersi ancor
più se si riflette sul fatto che l’output del sistema
informatico al quale si accede tramite OTP deve
essere in grado di assicurare che il documento informatico presenti una struttura dei dati (rectius, processo di gestione documentale che genera la struttura
dati) che dia evidenza di quanto è stato sottoscritto e
che tale struttura garantisca l’integrità e l’immodificabilità dei dati.
La possibilità di utilizzare la FEA tramite un dispositivo OTP potrebbe risolvere in particolare i problemi di garantire l’efficacia di scrittura privata in
ambito bancario dove questo dispositivo è molto diffuso; ci si riferisce in particolare ai contenziosi sorti
relativamente all’integrazione dei contratti di intermediazione mobiliare nei quali l’Istituto di credito è
stato ritenuto soccombente poiché “l’accesso alla
pagina web tramite portale […] è avvenuto mediante
inserimento di username e password, da parte dell’utente […], ma è altresì vero che è indiscutibilmente
mancata la trasmissione (dai clienti della banca) di un
documento contenente la pattuizione integrativa ex
articolo 30 lettera e del Regolamento Consob”
(Tribuna di Reggio Emilia, 5 ottobre 2011).
La possibilità di impiego del dispositivo OTP
anche come soluzione di FEA anche in questo contesto risulta confermata dall’interpretazione contenuta nella pronuncia sopraccitata, sebbene nei chiarimenti contenuti nella comunicazione della Consob
(DI/30396 del 21 Aprile 2000) si facesse riferimento
esclusivo alla sola firma digitale per le operazioni di
c.d. trading online, nella stessa si dà rilevanza, invece,
al solo fatto che la firma elettronica abbia valore di
scrittura privata, soprattutto tenendo in conto che i
successivi interventi legislativi hanno ampliato il
novero delle firma elettroniche con valore di scritture privata.
Proseguendo con l’analisi delle soluzioni che pos-
sono rispondere ai requisiti della FEA, si ritiene possibile realizzare delle firme conformi ai requisiti della
FEA mediante l’utilizzo di dispositivi, quali ad esempio le tavolette grafiche o i tablet PC, che consentono di utilizzare tecniche di tipo grafometrico.
Tali firme grafometriche vengono realizzate tramite l’utilizzo di una particolare penna elettronica
che, utilizzata come una normale penna su una tavoletta grafica, permette di registrare tutte quelle caratteristiche che rendono unica la firma. Non è quindi
una semplice scansione della nostra firma, bensì una
vera e propria sottoscrizione effettuata su un dispositivo elettronico.
Tali caratteristiche, che non dipendono tanto dall’immagine stessa creata dalla scrittura ma piuttosto
da diversi aspetti e comportamenti, quali ad esempio
la pressione che viene esercitata sulla penna o la velocità con cui si scrive, vengono considerati uniche perché inimitabili10.
Essendo inimitabili possono essere quindi connessi univocamente con il firmatario e utilizzate
come chiave per garantire la verifica dell’integrità del
documento e l’autenticità del firmatario.
Naturalmente i mezzi utilizzati per la firma (mano e
dispositivi elettronici) sono sotto il controllo esclusivo del firmatario. La firma grafometrica, quindi, possiede tutti i requisiti minimi indispensabili per poter
essere considerata una FEA.
Tale firma, in assenza di un certificato qualificato,
non può essere considerata né firma digitale né firma
elettronica qualificata. Come in tutti i processi che
implementano l’utilizzo di tecniche biometriche è
necessario però effettuare un’accurata identificazione
degli utenti: ovvero un preventivo processo tramite il
quale vengono acquisite le caratteristiche biometriche di ogni utente.
Come è noto, tale processo, denominato di registrazione (enrollment), consiste nella lettura di quelle caratteristiche della firma con le quali verrà
costruito il campione (template), si tratta di un’operazione necessaria per il riconoscimento nelle successive autenticazioni.
Con specifico riguardo alle funzionalità di firma,
tale firma affinché assuma valore di FEA dovrebbe
soddisfare i requisiti stabiliti dalla Direttiva
1999/93/CE e del CAD ed in particolare occorre
che vengano soddisfatti i requisiti di identificazione
ovvero vi sia una “connessione univoca della firma al
10 Approfondimenti tecnici sul tema della firma biometrica sono riportati nei seguenti articoli: “La firma biometrica: un ponte verso la de materializzazione senza Digital Divide”, Giovanni Manca, pagg. 40 e 76, Rivista Information Security, gennaio/febbraio 2011.
118
Speciale Sicurezza ICT
LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI
(ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE)
firmatario” e di integrità e immodificabilità del documento informatico.
Quanto al primo aspetto, questo dovrebbe essere
risolto tramite delle regole univoche per la verifica
dell’identità al momento del rilascio del dispositivo di
firma, come per esempio ricorrendo a certificati digitali (attestazione su fonte oggettiva sull’identità da
parte del prestatore e sottoscrizione della dichiarazione di utilizzo del dispositivo da parte del titolare)
emessi dal prestatore di servizi.
Con riguardo agli altri due requisiti, questi vengono soddisfatti applicando la funzione di hash al
documento informatico da sottoscrivere al fine di
ottenere l’impronta che verrà poi cifrata tramite il
template biometrico. Pertanto, le soluzioni di firma
biometrica che rispettano tali requisiti saranno da
considerare Firme Elettroniche Avanzate tenuto
conto anche che eventuali procedure di verifica dell’integrità saranno comunque possibili apponendo
nuovamente la firma ovvero confrontando tali firme
con un catalogo delle firme11.
Le principali criticità connesse alla firma grafometrica derivano dall’instabilità (o mancanza di permanenza) nel tempo della firma: così, infatti, con il
passar degli anni cambia il nostro organismo, anche
le caratteristiche della nostra scrittura potrebbero
variare (l’angolo di inclinazione della penna, il numero di volte che la stessa viene sollevata dalla carta),
tanto da creare un template diverso da quello memorizzato nell’enrollment. Sarà quindi possibile avere
degli errori durante il riconoscimento:
• False Rejection Rate (FRR):
per FRR si intende la percentuale di firme
valide che vengono rigettate dal sistema.
• False Acceptance Rate (FAR):
FAR, invece, rappresenta la percentuale di
firme accettate dal sistema e che, invece, non
sono autentiche.
Questi due concetti sono parte essenziale delle
analisi biometriche e sono sicuramente indispensabili nel definire l’ambito di impiego delle firme biome-
triche, dalle banche alle assicurazioni, ai contratti in
ambito Telco e pubblica amministrazione.
Ciò che è indispensabile in tali casi è trovare un
equilibrio tra falsi positivi e falsi negativi (EER –
Equal Error Rate) adatto al contesto. Per fare qualche esempio, in un ambito nel quale si stipulano giornalmente migliaia di contratti di valore pari a poche
decine di euro una certa percentuale di casi di falso
positivo potrebbe essere accettabile; se invece si tratta di contratti di valore molto superiore e nell’ordine
dei migliaia di euro, il falso positivo potrebbe essere
molto ridotto e probabilmente dovrebbero essere
proferiti casi di falso negativo.
Infine non può essere trascurato l’aspetto normativo relativo alla protezione dei dati personali. Come
è noto agli specialisti del settore, i dati biometrici e
anche i template biometrici sono ritenuti dati personali, perché sono sempre indirettamente identificativi delle persone ai cui si riferiscono.
In materia, ci sono numerose pronunce del
Garante per la protezione dei dati personali12, nonché documenti ufficiali del Gruppo art. 29 (Gruppo
dei Garanti europei), i quali ritengono che il dato
biometrico sia da ritenersi un dato personale in quanto tale dato, sebbene criptato, è da ritenersi “ragionevolmente” identificabile da parte degli incaricati (tramite associazione del template al codice numerico e
al nominativo), dal vigilatore dei dati, azienda
costruttrice e titolare.
È bene sottolineare che il fatto che l’utilizzazione
dei dati biometrici/template sia da considerarsi un
trattamento di dati identificativi non costituisce di
per sé un vincolo legale insormontabile per tali soluzioni. Tuttavia andrà sempre analizzata la soluzione
sia sotto il profilo della sicurezza/protezione del
dato che sotto il profilo del contesto e delle finalità
di utilizzo. È infatti assodato che l’utilizzo dei dispositivi di riconoscimento biometrico utilizzati in
modo massivo come sistema di rilevazione presenze
in azienda non è da ritenersi generalmente una soluzione conforme alla normativa privacy. D’altro
canto, l’utilizzo dei dispositivi biometrici per finalità
di controllo accessi è cosa diversa dalle finalità di
Vi è da rilevare che la costituzione e gestione di un catalogo di firme biometriche può sollevare problemi con la normativa in materia di protezione di
dati personali, l’analisi di tali aspetti verrà affrontata nel proseguo.
12 A questo riguardo il Garante italiano ha sostanzialmente escluso l’utilizzazione generalizzata di dispositivi di riconoscimento di impronte digitali per
la rilevazione delle presenze dei dipendenti in azienda, a titolo esemplificativo, in tal senso si è espresso nel provvedimento nel quale si esclude che l’accesso
in banca sia esclusivamente vincolato al rilascio delle impronte digitali, Provv. Garante, in Bollettino, n. 91, gennaio 2008. Cfr. Provv. Garante, 19
novembre 1999, in Bollettino, n. 10, p. 68, Provv. Garante, 21 luglio 2005, in Bollettino, n. 63. Anche il Decalogo su corpo e privacy, 9 maggio
2006, del Garante tenta di dare una risposta alle criticità che sorgono in ordine all’utilizzazione delle tecniche di riconoscimento biometrico in azienda.
11
Speciale Sicurezza ICT
119
Fabio Di Resta
garantire l’autenticità di un documento.
Occorrerà trovare quindi uno specifico bilanciamento tra le esigenze di innovazione e la ricerca dell’efficienza tramite soluzioni ICT e la protezione dei
dati, la tutela della dignità e identità personale.
Questo bilanciamento dovrà individuarsi tramite
finalità e contesti che giustifichino l’impiego di tali
dispositivi biometrici.
Si ricorda molto sinteticamente che i principi di
correttezza, di necessità e di proporzionalità hanno
condotto il Garante privacy a tenere in particolare
conto, gli aspetti di sicurezza, la filiera dei soggetti
che possono accedere ai dati, la disponibilità dei template memorizzati sui dispositivi (p.e. smart card) per
il solo interessato, il numero ristretto di persone che
hanno accesso alle aree riservate, lo scopo di deterrenza connesso ai rischi di subire reati in una determinata zona/aree ad alta densità di criminalità.
Costituiscono un esemplificazione di quanto detto i
sistemi di riconoscimento di impronte digitali, eventualmente connessi a sistemi di videosorveglianza,
installate nelle Banche per finalità di controllo accessi13 (Art. 17 C.d.P., c.d. prior checking).
A questo riguardo è opportuno osservare, tenuto
conto di alcune peculiarità e che l’utilizzo concerneva la firma digitale anziché la firma elettronica avanzata, il Garante privacy ha recentemente esaminato la
richiesta di verifica preliminare del sistema di sottoscrizione dei documenti con firma digitale basato su
un sistema di autenticazione biometrica effettuata
tramite tablet utilizzato nelle operazioni allo sportello, ritenendo lecito il trattamento dei dati biometrici
effettuato dalla banca Unicredit (Provv. Garante privacy, 31 gennaio 2013, Verifica preliminare).
Nell’ambito della presente indagine è, infine,
opportuno per fini di completezza anche menzionare, molto schematicamente, le soluzioni che sicura-
mente soddisfano i requisiti di FEA poichè indicate
specificamente nel DPCM. In base a quanto disposto
le soluzioni alle quali viene riconosciuto il valore
legale di FEA nei confronti della PA saranno:
• la Posta Elettronica Certificata per PA (nei
limiti della firma del messaggio spedito);
• la Carta di Identità Elettronica;
• la Carta Nazionale Servizi.
5. I requisiti normativi e le criticità per adottare una soluzione di FEA
Le soluzioni di Firma Elettronica Avanzata vengono offerte dai soggetti che realizzano per conto
proprio nell’ambito del processo di dematerializzazione per fini istituzionali, societari, commerciali. Tali
soluzione potranno essere realizzate all’interno dell’organizzazione anche tramite fornitori esterni, questi soggetti devono però svolgere tali prestazioni
nell’”ambito dell’attività di impresa”.
Caratteristica fondamentale delle firme elettroniche avanzate è che tali soluzioni saranno utilizzabili
“limitatamente ai rapporti giuridici intercorrenti tra il
sottoscrittore e il soggetto” e nell’ambito del processo di dematerializzazione (Art. 60 del DPCM)14. La
disposizione poc’anzi richiamata è da interpretarsi
nel senso che l’utilizzazione del dispositivo di FEA
non potrà avere valore legale nei confronti di altri
soggetti privati o pubblici15 che non siano i soggetti
stessi che hanno rilasciato la soluzione per proprio
conto.
Infine, con riguardo alle criticità, dovute con
molta probabilità a problematiche connesse a vincoli normativi del rispetto della Direttiva
2006/123/CE, vi è da rilevare che nel DPCM non
13 Questi sono alcuni dei contesti nei quali sono stati ammessi i sistemi di riconoscimento biometrico, aree di accesso riservato in particolari ambiti come
aeroporti, aree di accesso al sistema produttivo, aree di accesso riservato nella gestione del sistema idrico, ecc.. Finora, in questo contesto, le verifiche preliminare sono state limitate quasi esclusivamente alle finalità di controllo accessi e generalmente su sistemi di riconoscimento di impronte digitali installati in aree
riservate, si richiamano tra le molte le seguenti pronunce: Provv. Garante privacy, 27 ottobre 2005, Boll. n. 65; Provv. Garante privacy, 23 novembre
2005, Boll. n. 66; Provv. Garante, 1 febbraio 2007, Boll. n. 80; Provv. Garante, 17 settembre 2009, Boll. n. 208.
14 La ragione della limitazione è condivisibile tenuto conto di quanto stabilito nell’articolo 57 del DPCM, il quale stabilisce che l’identificazione certa dell’utente deve essere effettuata dallo stesso fornitore che opera per proprio conto. Lo stesso dovrà poi consegnare all’utente una dichiarazione sulle condizioni di
utilizzo, la quale verrà conservata per un periodo di 20 anni, fornire una copia della dichiarazione e pubblicare le modalità di richiesta della stessa, infine,
rendere note le caratteristiche del sistema richieste per la FEA e consentire un uso alternativo di firma digitale e firma elettronica qualificata ove applicabile.
Cfr. art. 23 ter comma 2 del CAD, il quale conferisce ai documenti amministrativi informatici sottoscritti con FEA efficacia di scrittura privata nell’ambito del procedimento amministrativo.
15 Cfr. art. 23 ter comma 2 del CAD, il quale conferisce ai documenti amministrativi informatici sottoscritti con FEA efficacia di scrittura privata nell’ambito del procedimento amministrativo.
120
Speciale Sicurezza ICT
LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI
(ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE)
vengono definite con chiarezza le regole di identificazione univoche. Tali regole sono infatti necessarie
per un’identificazione certa ed affidabile dell’utilizzatore della firma che assicuri sufficienti garanzie contro eventuali abusi da parte di terzi. In tale contesto,
l’art. 57 comma 2 del DPCM relativo alle regole tecniche sulle firma elettroniche prevede che al fine di
proteggere i firmatari e i terzi da eventuali danni i
soggetti che adottano soluzione di FEA devono
rispondere di danni nella misura di cinquecentontomila euro anche ricorrendo a coperture assicurative.
L’articolo in esame mette in evidenza il chiaro
rischio di false sottoscrizioni nonché la possibilità di
modificare i documenti sottoscritti tramite FEA qualora non vengano adottate soluzioni non sufficientemente sicure. A parere di chi scrive appare evidente
che la disciplina dell’art. 56 (caratteristiche della soluzione di firma elettronica avanzata) lascia fin troppo
margine a chi voglia utilizzare tali soluzioni; in assenza di un sistema di sorveglianza l’affidabilità di soluzioni di FEA viene attribuita alla serietà dei prestatori che considerando la propria immagine aziendale
come un valore prioritario eviteranno di trovarsi in
difficoltà in caso di contestazioni in sede di giudizio.
Seguono più nello specifico una serie di interrogativi ancora aperti:
Chi è il soggetto dell’organizzazione che compirà
l’identificazione e su quali basi oggettive? Gli incaricati saranno adeguatamente formati?
L’esigenza di poter garantire danni derivanti dall’attività svolta nella misura di cinquecentoeuro
anche con il ricorso alla copertura assicurativa saranno un sufficiente incentivo per il mercato di riferimento (art. 57 comma 2 del DPCM)?
Ed infine, non essendo obbligatoria l’adozione di
certificazioni secondo i common criteria per il dispositivo sicuro, tali dispositivi hanno un livello di
sicurezza sufficiente per evitare il proliferarsi di furti
di identità e abusi di terzi?
È probabile ed auspicabile che tali interrogativi
16
possano trovare puntuali interventi volti a garantire
maggiore sicurezza, sia con riguardo agli ambiti operativi di utilizzo della FEA sia con riguardo alle
forme di garanzie previste contro forme di abuso.
Infine, un requisito stringente per i prestatori di servizi di FEA rivolta ai soggetti che adottano tali soluzioni come scopo dell’ “attività di impresa”, è costituito dall’obbligo di certificazione ISO/IEC 27001
relativo ai sistemi di gestione della sicurezza delle
informazioni e dall’obbligo di certificazione 9001 sui
sistemi di qualità16 per soluzioni rivolte alle pubbliche
amministrazioni.
Per concludere l’analisi delle soluzioni tecniche
che soddisfano i requisiti di Firma Elettronica
Avanzata, nonostante le problematiche connesse al
valore probatorio di questa tipologia firma pensata in
sede comunitaria per essere considerata come elemento di prova e non con valore pari alla firma digitale – ci sono infatti delle problematiche irrisolte – si
può affermare che esistono potenzialmente numerose tipologie di soluzioni che rispettano tali requisiti.
Occorre tuttavia esaminare le caratteristiche specifiche sul piano tecnico-legale delle soluzioni per verificare la corrispondenza con quanto disposto dalle
normative.
In conclusione, di fronte alle firme digitali e alle
firme elettroniche qualificate, la firma elettronica
avanzata presenta funzionalità e caratteristiche diverse, questo implica la necessità di un’attenta valutazione su diversi piani non solo di convenienza economica, ma anche legale ed organizzativo. Il rischio,
infatti, è quello del proliferarsi di soluzioni non sufficientemente sicure e che potrebbero non trovare in
giudizio una conferma del valore legale atteso dall’utilizzatore. Infine, si dovrebbe tenere in conto anche
l’ambito di impiego che, come nel caso della firma
grafometrica, può dar luogo a possibili violazioni
della normativa sulla protezione dei dati personali
nonostante le recenti aperture sulla questione da
parte del Garante privacy.
Tali certificazioni non sono richieste alle persone giuridiche private possedute o controllate dalla PA e alle persone giuridiche pubbliche.
Speciale Sicurezza ICT
121
Fabio Di Resta
Fabio Di Resta: dopo la laurea in giurisprudenza si specializza in Gran Bretagna in diritto dell’informatica
in ambito comunitario. Inizia l’attività di consulenza legale per società di primaria importanza occupandosi
sin da subito di problematiche giuridiche attinenti alla protezione dei dati personali e al diritto delle nuove tecnologie. In tale contesto ha maturato 10 anni di esperienza partecipando a progetti nazionali ed internazionali
per multinazionali e svolgendo consulenze legali su aspetti di sicurezza organizzativa nel quadro della ISO
27001 e delle best practice relative all’ICT. Si occupa intensamente anche di aspetti giuridici, nel quadro
Codice dell’Amministrazione Digitale, su progetti di dematerializzazione per conto di importanti enti pubblici
e società private. I temi nei quali ha acquisito particolare competenza vanno dagli aspetti legali della sanità
elettronica, della protezione dei dati personali applicata ai più diversi ambiti e le problematiche giuridiche connesse al Codice dell’Amministrazione Digitale. Ha pubblicato inoltre numerosi volumi tra i quali: Protezione
delle Informazioni. Privacy e sicurezza, Inside telematiche. Frodi e sicurezza, La tutela dei dati personali
nella Società dell’Informazione, Il Fascicolo Sanitario Elettronico ed altri. Pubblica infine regolarmente su riviste specialistiche, partecipa a
conferenze, lezioni e seminari sul tema del diritto dell’informatica e della privacy presso diverse università prestigiose.
122
Speciale Sicurezza ICT
Fly UP