La Firma Elettronica Avanzata: il valore legale, la sicurezza e gli
by user
Comments
Transcript
La Firma Elettronica Avanzata: il valore legale, la sicurezza e gli
Fabio Di Resta Avvocato - LLM - ISO 27001 ICT Security Auditor - Studio Legale Di Resta* LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI (ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE) Sommario Nell’Agenda digitale italiana ed europea viene data sempre più importanza all’informatizzazione e all’esigenza di utilizzare l’Information and Communication Technology per semplificare e portare efficienza nella pubblica amministrazione. In tale contesto, i processi di digitalizzazione e di dematerializzazione della pubblica amministrazione sono percorsi obbligatori per l’innovazione e l’efficienza del nostro paese. Questi processi necessitano di strumenti pratici e usabili da parte del cittadino e della pubblica amministrazione, la firma elettronica avanzata per le sue caratteristiche è uno strumento che potrebbe portare l’innovazione tecnologica necessaria e permettere di superare il digital divide nel nostro paese. Questa nuova tipologia di firma elettronica introdotta con le modifiche apportate a seguito della riforma del Codice dell’Amministrazione Digitale (entrata in vigore il 25 gennaio 2011) è stata successivamente modificata con Decreto legge n. 179 del 18 ottobre 2012. Con la firma elettronica avanzata (FEA) si introduce nel panorama normativo italiano una firma che ha un valore legale assimilabile alle più tradizionali firme digitali e firme elettroniche qualificate, sebbene se ne distingua profondamente. La FEA presenta, infatti, caratteristiche del tutto peculiari, non necessita di un dispositivo sicuro in senso proprio, né di un certificato qualificato né di un sistema di chiavi asimmetrico, la FEA nasce anche svincolata da autorizzazioni preventive. Da una parte la mancanza di vincoli normativi stringenti la rende particolarmente appetibile dal mercato e dai fornitori di soluzioni di firme elettroniche, dall’altra ci sono una serie di limiti connessi ai rischi di minor sicurezza delle soluzioni di FEA. Nel decreto attuativo, entrato in vigore a giugno 2013, vengono descritti i requisiti normativi volti a prevenire e ridurre i rischi intrinseci delle soluzioni di FEA, con particolare riguardo al “sole control” da parte dell’utilizzatore. Tuttavia, occorre un’analisi molto attenta di ciascuno dei requisiti normativi prescritti. Il rischio che si corre altrimenti è che l’assenza di controllo preventivo comporti di fatto anche la mancanza di un riconoscimento giudiziale dell’efficacia legale pari alla scrittura privata, un’eventualità molto grave per l’ente utilizzatore. *Si A bstract In the European and Italian Digital Agenda to computerize the public administration through the ICT employment both in order to simplify and to bring more efficiency - is considered more and more important. In this context, digitization and dematerialization processes are compulsory paths to lead to innovation and effectiveness. These processes need practical and usable instruments for citizens and public administration. The advanced electronic signature has all features to support these processes both for technological innovation and to overcome the digital divide in our country. This new type of electronic signature was foreseen by the legislative reform of the Digital Administrative Code (legislative decree no. 85, 7 March 2005, as modified by the legislative decree no. 235, 30 December 2010 and later by Government decree no. 179, 18th October 2012). This type of signature is strongly different from the traditional ones, digital signature and qualified electronic signature, has almost no legal bindings, no qualified certifications, no Secure-Signature Creation Devices; moreover, there are no preliminary authorisation. Nonetheless, in order to guarantee that this signature is legally effective, all mandatory legal requirements should be satisfied. In this respect, the decree (Prime Minister decree no. 68380, 22 February 2013), entered into force in June 2013, provides specific requirements of the advanced electronic signature through a technical legislation. This pays particular attention to the aspects of the “sole control” by the user. Lastly, the future challenge of the advanced electronic signature will be its compliance with the law, without this there are no guarantees that this signature will be accepted as a legal evidence in a Court. ringrazia il contributo dell’avvocato Emiliano Vitelli che ha collaborato alla revisione di alcune parti del presente articolo. Speciale Sicurezza ICT 113 Fabio Di Resta 1. Introduzione alla firma elettronica avanzata (FEA) Come è noto al fine di garantire piena autenticità con valore legale alla firma apposta su un documento informatico, sia esso una fattura elettronica, un contratto, un documento inviato tramite posta elettronica, occorre utilizzare una firma elettronica che assicura l’efficacia della scrittura privata. In questo contesto, la vera novità sul piano della normativa italiana è rappresentata proprio dalla firma elettronica avanzata; tale firma, disciplinata nel Codice della Amministrazione Digitale (come modificato dal decreto legislativo del 30 dicembre 2010, n. 235 e successivamente dal decreto legge n. 179 del 18 ottobre 2012), ha acquisito un valore legale che la equipara alla firma digitale e alla firma elettronica qualificata e pertanto gli viene attribuito il medesimo valore della firma autografa scritta di pugno. Il valore legale della firma elettronica avanzata viene disciplinato dall’art. 21 comma 2 (novella entrata in vigore il 25 gennaio 2011). La norma prevedeva, tuttavia, l’applicazione della presunzione di riconducibilità del dispositivo al titolare ovvero vi era un’ inversione dell’onere della prova a carico dell’utilizzatore che appone una firma elettronica avanzata valida: “L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”. Questa presunzione è attualmente una prerogativa esclusiva delle sole firme digitali e qualificate, a seguito della modifica apportata con il decreto legge n. 179 del 18 ottobre 2012 . 2. Le principali caratteristiche della FEA Sul piano applicativo e dei limiti di utilizzo della firma elettronica avanzata vi è da rilevare che può essere impiegata in un ambito molto ampio, ma a differenza delle altre due tipologie di firme, ai sensi dell’art. 21 comma 2-bis sono esclusi esplicitamente quei contratti che trasferiscono i diritti di proprietà o che costituiscono una comunione di beni immobili, gli atti che costituiscono ovvero trasferiscono diritti reali su beni immobiliari e gli altri contratti comunque indicati nell’art. 1350, dal n. 1 al n. 12 del Codice Civile. La FEA non potrà essere, inoltre, utilizzata in soluzioni di firma remota né per realizzare soluzioni di firma automatica, il Decreto del Presidente del Consiglio dei Ministri, n. 68380 del 22 febbraio 2013 (di seguito indicato come DPCM) relativo alle regole tecniche sulle firme elettroniche1 confermano questo orientamento, definendo la firma remota come: “una particolare procedura di firma elettronica qualificata o digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi da parte dei titolari delle stesse”. Analogamente, la firma automatica viene definita come: “una particolare procedura di firma elettronica qualificata o digitale eseguita previa autorizzazione del sottoscrittore che mantiene il controllo esclusivo delle proprie chiavi di firma, ma in assenza di un presidio puntuale e continuo da parte di questo”. Ulteriore aspetto che distingue la FEA è che questa non sarà soggetta alla sorveglianza da parte del DigitPA, l’art. 55 comma 1 del DPCM asserisce infatti che: “la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva”. Mentre come è noto per la firma digitale e per la firma elettronica qualificata è previsto un sistema di vigilanza che riguarda, in particolare, sia i certificatori qualificati sia l’adeguatezza tecnologica dei dispositivi sicuri per la generazione e custodia delle chiavi private2. Quest’ultimo punto relativo all’assenza di sistema di sorveglianza, a parere di chi scrive, rappresenta il limite principale della FEA, come si avrà modo di mostrare infatti questa firma, ha dei requisiti di sicurezza più generici e inferiori rispetto alle altre due tipologie di firma. Questo aspetto solleva tra gli operatori dubbi in ordine ai rischi di false sottoscrizioni ovvero di modifica dei documenti sottoscritti, tali rischi sono stati parzialmente risolti con la previsione 1 DPCM n. 68380 del 22 febbraio 2013 “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”. Pubblicato in Gazzetta Ufficiale il 21 maggio 2013 ed entrato in vigore il 5 giugno 2013. 2 L’art. 6 delle regole tecniche in materia di firma digitale, attualmente in vigore (DPCM del 22 febbraio 2013), stabilisce che la generazione della coppia di chiavi deve avvenire assicurando l’unicità, un livello di sicurezza adeguato della coppia generata e la segretezza della chiave privata, analogamente, il DigitPa gestisce un sistema di vigilanza affinché le chiavi private siano adeguatamente protette sul piano tecnologico tramite codici personali. Inoltre, con riguardo particolare ai dispositivi sicuri l’art. 35 del CAD prevede una procedura di accertamento gestita dall’Organismo di certificazione della sicurezza informatica (OCSI). 114 Speciale Sicurezza ICT LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI (ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE) di un sistema di garanzie contro i danni ovvero il ricorso alla copertura assicurativa di cui si dirà anche in seguito3. Con il presente articolo si cercherà di chiarire al lettore il quadro di riferimento normativo ed i requisiti legali specifici richiesti, mettendo in evidenza i vantaggi e le criticità delle soluzioni di firma di maggiore interesse sul mercato. Si ritiene opportuno a questo punto fare qualche premessa sulla evoluzione normativa che ha portato alla firma elettronica avanzata; la firma è stata disciplinata per la prima volta a livello comunitario con la direttiva 1999/93/CE, successivamente recepita nel nuovo CAD. Si riporta per completezza il testo il secondo comma dell’art. 5: “Gli Stati membri provvedono affinché una firma elettronica non sia considerata legalmente inefficace e inammissibile come prova in giudizio unicamente a causa del fatto che è: • in forma elettronica, o • non basata su un certificato qualificato, o • non basata su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, ovvero • non creata da un dispositivo per la creazione di una firma sicura.” Da un esame del primo comma del medesimo articolo emerge con sufficiente chiarezza che le sole firme elettroniche avanzate ad avere valore pari alla firma autografa dovrebbero essere quelle costituite da un certificato qualificato e che impiegano un dispositivo sicuro per la generazione della firma: firma digitale e firma elettronica qualificata. Il secondo comma sopra riportato richiama, invece, proprio gli elementi definitori della firma elettronica avanzata disciplinata del nuovo CAD, da tali elementi, che svincolano le soluzioni di FEA da requisiti stringen- ti, si ritiene che questa firma avrebbe dovuto molto probabilmente avere un valore di elemento di prova liberamente valutabile dal giudice piuttosto che di firma con valore pari alla firma autografa come invece previsto nell’art. 21 comma 2 del CAD. Nel quadro normativo comunitario, è anche importante menzionare la direttiva 2006/123/CE sui servizi nel mercato interno, la quale introduce un quadro giuridico volto all’agevolazione dell’esercizio della libertà di stabilimento dei prestatori di servizi nonché della libera circolazione dei servizi. In particolare, nell’ambito della semplificazione amministrativa impone agli Stati Membri di garantire le condizioni per espletare per via elettronica formalità amministrative in diversi ambiti, tra i quali: la creazione di imprese e la fornitura transfrontaliera di servizi. Tale normativa impatta inevitabilmente sulle regole tecniche in corso di adozione in materia di firma elettronica avanzata dovendosi garantire la più ampia interoperabilità con gli altri sistemi informatici (in tale ambito rientra anche la problematica dell’adozione dei formati4). 3. Analisi dei requisiti normativi della FEA Passiamo ora ad analizzare più nello specifico i requisiti legali della firma elettronica avanzata5 (FEA) introdotti nel nuovo CAD: questi sono finalizzati a garantire che il documento informatico sottoscritto elettronicamente assicuri l’autenticità e l’integrità del documento sottoscritto6, e più specificamente: • l’insieme di dati identificativi (in forma elettronica) del sottoscrittore devono essere collegati ai dati contenuti nel documento informatico tali da consentire una connessione univoca con il firmatario e garantire la verifica dell’integrità e l’immodificabilità dei dati conte- Art. 57, comma 2, Ibid. Decisione della Commissione del 25 febbraio 2011, che istituisce i requisiti minimi per il trattamento transfrontaliero dei documenti firmati elettronicamente dalle autorità competenti a norma della direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno. 5 Si ricorda che la nozione di Firma elettronica avanzata era già presente nell’art. 2 della Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche, la quale definisce la firma elettronica avanzata come: una firma elettronica che soddisfi i seguenti requisiti: a) essere connessa in maniera unica al firmatario; b) essere idonea ad identificare il firmatario; c) essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; d) essere collegata ai dati cui si riferisce in modo da consentire l'identificazione di ogni successiva modifica di detti dati. 6 Art. 1 lett. q bis) del CAD. 3 4 Speciale Sicurezza ICT 115 Fabio Di Resta nuti nel documento; • sui mezzi con i quali si genera la firma deve esserci un controllo esclusivo del sottoscrittore; • per l’identificazione del firmatario è sufficiente un certificato digitale “non qualificato”; • non è richiesto il dispositivo sicuro di sottoscrizione (non vi è l’obbligo di osservanza dei requisiti stabiliti dall’Allegato III Direttiva 1999/93/Ce)7. Per procedere con la analisi della FEA si può ricorrere a quanto mostrato in Tabella 1. Tipologia di firma elettronica FD8 (chiavi asimmetriche) FEQ FEA Tabella 1. Requisiti delle diverse tipologie di firma elettronica. La tabella mette in evidenza i requisiti che caratterizzano le diverse tipologie di firma elettronica alla quale la legge conferisce un valore legale equivalente alla scrittura privata ovvero alla comune firma autografa scritta di pugno. Nella prima colonna vengono indicate la firma digitale (FD), la firma elettronica qualificata (FEQ) e la FEA, nelle altre due colonne, il requisito del Secure Signature Creatione Device (SSCD) ovvero dispositivo sicuro di firma, dispositivo che genera e garantisce che la chiave privata usata per la sottoscrizione venga protetta secondo i livelli di sicurezza richiesti dalla legge e dalla normativa tecnica. Con l’acronimo CQ si indica invece il requisito relativo al certificato qualificato emesso da una CA. Una riflessione specifica merita il tema del dispositivo sicuro in riferimento alla firma digitale dato che nella definizione legale di firma digitale del nuovo CAD viene omesso il dispositivo sicuro. Questo aspetto ha sollevato non pochi problemi interpretativi e di coerenza con l’intero impianto normativo vigente. Appare a questo punto doverosa una premessa in merito al dispositivo sicuro di firma. Come è noto, il dispositivo sicuro di firma ha la precipua funzione di generare e di proteggere la chiave privata impedendo l’intercettazione da parte di terzi, proprietà che viene disciplinata tramite il concetto di SSCD CQ SI SI SI NO SI NO “controllo esclusivo” ovvero “sole control”9. Il controllo esclusivo riguarda i mezzi con i quali si identifica il firmatario (dispositivo che custodisce la chiave privata). Poiché nel mondo digitale la firma elettronica autentica e la firma elettronica non genuina sono indistinguibili, la autenticità della sottoscrizione è strettamente legata al controllo esclusivo della chiave privata/dispositivo sicuro sul quale l’utilizzatore deve esercitare un possesso continuato. Per quanto detto, sotto un profilo concettuale non può non concludersi che la mancanza di un dispositivo sicuro nella firma digitale deve essere considerata un refuso commesso dal legislatore. Su un piano più sistematico, questa tesi è avvalorata anche 7 È da evidenziare che l’art. 56 del DPCM sulla firma digitale differenzia tra soggetti che offrono soluzioni di firma elettronica avanzata per conto proprio e soggetti offrono tali soluzioni per terzi, l’art. 60 limita l’ambito di utilizzo della firma elettronica avanzata ai rapporti giuridici intercorrenti tra il sottoscrittore e questo soggetto. 8 Altro requisito caratteristico della firma digitale è l’impiego di un sistema di chiave asimmetriche, tale proprietà differenzia questa tipologia di firma dalla firma elettronica qualificata, differenza quest’ultima che rileva solo come possibile soluzione tecnica presente nel testo normativo non esistendo allo stato un certificato qualificato non basato su una coppia di chiavi asimmetriche; nella normativa la firma elettronica qualificata è definita in modo molto sintetico indicando il certificato qualificato e il dispositivo sicuro, la firma di digitale viene invece definita puntualmente, salvi in ogni caso i rilievi riportati nella presente analisi. Si riporta per maggiore chiarezza il testo dell’articolo 1 lett. s) del CAD per il quale la firma digitale è: “basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.” 9 Il disconoscimento della sottoscrizione ovvero la querela di falso dovrà limitarsi alla prova contraria per quanto attiene alle firme elettroniche qualificata e digitale, ossia la prova che il dispositivo era stato sottratto al titolare, anche solo temporaneamente. Purtroppo la prova della sottrazione del dispositivo, in assenza di una specifica denuncia o di prova testimoniale che attesti tale circostanza negativa, appare molto difficile da dimostrare dovendosi provare che il dispositivo non era nel possesso del titolare. Si tratta appunto nello specifico di una prova c.d. negativa che come noto è molto difficile da fornire nel processo. 116 Speciale Sicurezza ICT LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI (ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE) dal fatto che nel CAD sono presenti numerose disposizioni di legge nelle quali la firma digitale è equiparata alla firma elettronica qualificata. Inoltre, nelle regole tecniche in vigore (DPCM) sono presenti alcuni articoli fondamentali nei quali si parla di dispositivo sicuro per la generazione delle firme (art. 7). A sostegno di questa tesi si consideri infine la disposizione contenuta nell’art. 11 del DPCM: in questo articolo si afferma che la firma digitale è generata con “dispositivi sicuri” al fine di impedire l’intercettazione della chiave privata. Anche l’art. 8 prescrive il requisito del dispositivo sicuro per la creazione della firma digitale (rectius firma digitale remota). Infine, per ragioni di completezza si ritiene opportuno aggiungere all’analisi della FEA qualche riflessione sotto un profilo processuale civile. Sia la firma elettronica avanzata che quelle qualificata e digitale sottostanno alla previsione normativa di cui all’art. 2702 c.c. sulla scrittura privata. Tuttavia mentre per la prima si ritiene possa funzionare il meccanismo processuale del disconoscimento ai sensi dell’art. 214 c.p.c. e segg., per le seconde l’unica strada plausibile sembra essere quella della querela di falso. Questa tesi trova fondamento nel fatto che le stesse vanno ricondotte nell’alveo del concetto di firma “legalmente riconosciuta" espresso dalla norma in parola. Con il disconoscimento, alla parte che si vede produrre in giudizio l’atto sottoscritto sarà sufficiente dichiarare che la firma non è ad essa riconducibile e sarà quindi l’avversario a dover chiederne la verificazione (molto probabilmente il prestatore del servizio potrebbe essere costretto a dimostrare l'affidabilità del sistema di FEA). In tema, invece, di querela di falso, è la parte che assume la falsità ad essere onerata di instaurare, ai sensi degli artt. 221 c.p.c. e segg., l’apposita procedura davanti al Collegio e, si badi bene, a pena di nullità, indicare le prove e gli elementi della falsità. Sotto il profilo delle modalità probatorie volte a superare la presunzione di riconducibilità della FD e della FEQ al proprio titolare (art. 21, comma 2 bis CAD) si può asserire che oltre a possibili, sebbene difficili, produzioni documentali, appare verosimile la necessità di ricorrere alla prova testimoniale. Si tratterà quindi di provare c.d. “fatti negativi” (p.e., il non aver utilizzato, almeno temporaneamente, la firma) alla cui complessa problematica si può fare soltanto un rapidissimo cenno. La giurisprudenza, infatti, ritiene che di regola, i capitoli di prova aventi ad oggetto fatti negativi non Speciale Sicurezza ICT possono essere ammessi, in quanto ben difficilmente il teste sarebbe in grado di escludere in assoluto la verificazione di una determinata circostanza; ciò anche se la Corte di Cassazione, sul punto, ha anche avuto modo di precisare che la prova dei fatti negativi può essere fornita mediante presunzioni, le quali possono essere basate su fatti positivi (p.e. circostanze incompatibili tra luogo di custodia del dispositivo e\o file e quelle relative al luogo di presenza del titolare, sue attività svolte, ecc.), che, se pur non esattamente contrari a quelli negativi, siano tuttavia idonei a far desumere il fatto negativo. Proseguendo con l’analisi della firma elettronica avanzata l’articolo 21 del CAD equipara la FEA alla firma digitale ed elettronica qualificata purché vengano garantite l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento sottoscritto. Mentre vi da ricordare che nel DPCM entrato a vigore a giugno 2013, come già accennato, la presunzione di riconducibilità della firma al sottoscrittore rimane una prerogativa delle sole firma digitali e qualificate. 4. Le possibili applicazioni della FEA e le problematiche giuridiche connesse: il One Time Password e la firma grafometrica Con riguardo specifico al requisito dell’identificazione certa del sottoscrittore, le diffuse soluzioni basate su tecniche di strong authentication soddisfano sicuramente tale requisito. Tuttavia, le criticità si pongono in ordine all’integrità e all’immodificabilità dei dati contenuti nel documento da sottoscrivere. La firma elettronica avanzata potrebbe essere infatti realizzata tramite una soluzione come gli One Time Password (OTP) utilizzati per l’home banking oppure con una soluzione di firma grafometrica delle tavolette elettroniche. Esaminando più in dettaglio la rispondenza degli OTP ai requisiti stabiliti dalla normativa per la FEA, risulta evidente che questa soluzione comunemente adottata solo come strong authentication non garantisce tout court l’integrità e l’immodificabilità del documento informatico associato, ma necessita in primo luogo di una struttura dei dati che soddisfi tali requisiti. Tenuto conto dei limiti anzidetti, tale soluzione sembra invece rispondere al requisito del controllo esclusivo permettendo di generare delle password dinamiche nell’esclusivo controllo del titolare del dispositivo. Questo è comunque un requisito indispen- 117 Fabio Di Resta sabile affinché la FEA sia considerata valida ed abbia pertanto non solo un valore legale pari alla firma autografa. A questo punto, è importante sottolineare che le caratteristiche peculiari della firma elettronica avanzata portano più correttamente a concepire tale firma come parte di un processo di gestione documentale piuttosto che una semplice soluzione applicativa che appone una firma disgiunta dalla gestione del documento informatico. Questo approccio sembra da condividersi ancor più se si riflette sul fatto che l’output del sistema informatico al quale si accede tramite OTP deve essere in grado di assicurare che il documento informatico presenti una struttura dei dati (rectius, processo di gestione documentale che genera la struttura dati) che dia evidenza di quanto è stato sottoscritto e che tale struttura garantisca l’integrità e l’immodificabilità dei dati. La possibilità di utilizzare la FEA tramite un dispositivo OTP potrebbe risolvere in particolare i problemi di garantire l’efficacia di scrittura privata in ambito bancario dove questo dispositivo è molto diffuso; ci si riferisce in particolare ai contenziosi sorti relativamente all’integrazione dei contratti di intermediazione mobiliare nei quali l’Istituto di credito è stato ritenuto soccombente poiché “l’accesso alla pagina web tramite portale […] è avvenuto mediante inserimento di username e password, da parte dell’utente […], ma è altresì vero che è indiscutibilmente mancata la trasmissione (dai clienti della banca) di un documento contenente la pattuizione integrativa ex articolo 30 lettera e del Regolamento Consob” (Tribuna di Reggio Emilia, 5 ottobre 2011). La possibilità di impiego del dispositivo OTP anche come soluzione di FEA anche in questo contesto risulta confermata dall’interpretazione contenuta nella pronuncia sopraccitata, sebbene nei chiarimenti contenuti nella comunicazione della Consob (DI/30396 del 21 Aprile 2000) si facesse riferimento esclusivo alla sola firma digitale per le operazioni di c.d. trading online, nella stessa si dà rilevanza, invece, al solo fatto che la firma elettronica abbia valore di scrittura privata, soprattutto tenendo in conto che i successivi interventi legislativi hanno ampliato il novero delle firma elettroniche con valore di scritture privata. Proseguendo con l’analisi delle soluzioni che pos- sono rispondere ai requisiti della FEA, si ritiene possibile realizzare delle firme conformi ai requisiti della FEA mediante l’utilizzo di dispositivi, quali ad esempio le tavolette grafiche o i tablet PC, che consentono di utilizzare tecniche di tipo grafometrico. Tali firme grafometriche vengono realizzate tramite l’utilizzo di una particolare penna elettronica che, utilizzata come una normale penna su una tavoletta grafica, permette di registrare tutte quelle caratteristiche che rendono unica la firma. Non è quindi una semplice scansione della nostra firma, bensì una vera e propria sottoscrizione effettuata su un dispositivo elettronico. Tali caratteristiche, che non dipendono tanto dall’immagine stessa creata dalla scrittura ma piuttosto da diversi aspetti e comportamenti, quali ad esempio la pressione che viene esercitata sulla penna o la velocità con cui si scrive, vengono considerati uniche perché inimitabili10. Essendo inimitabili possono essere quindi connessi univocamente con il firmatario e utilizzate come chiave per garantire la verifica dell’integrità del documento e l’autenticità del firmatario. Naturalmente i mezzi utilizzati per la firma (mano e dispositivi elettronici) sono sotto il controllo esclusivo del firmatario. La firma grafometrica, quindi, possiede tutti i requisiti minimi indispensabili per poter essere considerata una FEA. Tale firma, in assenza di un certificato qualificato, non può essere considerata né firma digitale né firma elettronica qualificata. Come in tutti i processi che implementano l’utilizzo di tecniche biometriche è necessario però effettuare un’accurata identificazione degli utenti: ovvero un preventivo processo tramite il quale vengono acquisite le caratteristiche biometriche di ogni utente. Come è noto, tale processo, denominato di registrazione (enrollment), consiste nella lettura di quelle caratteristiche della firma con le quali verrà costruito il campione (template), si tratta di un’operazione necessaria per il riconoscimento nelle successive autenticazioni. Con specifico riguardo alle funzionalità di firma, tale firma affinché assuma valore di FEA dovrebbe soddisfare i requisiti stabiliti dalla Direttiva 1999/93/CE e del CAD ed in particolare occorre che vengano soddisfatti i requisiti di identificazione ovvero vi sia una “connessione univoca della firma al 10 Approfondimenti tecnici sul tema della firma biometrica sono riportati nei seguenti articoli: “La firma biometrica: un ponte verso la de materializzazione senza Digital Divide”, Giovanni Manca, pagg. 40 e 76, Rivista Information Security, gennaio/febbraio 2011. 118 Speciale Sicurezza ICT LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI (ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE) firmatario” e di integrità e immodificabilità del documento informatico. Quanto al primo aspetto, questo dovrebbe essere risolto tramite delle regole univoche per la verifica dell’identità al momento del rilascio del dispositivo di firma, come per esempio ricorrendo a certificati digitali (attestazione su fonte oggettiva sull’identità da parte del prestatore e sottoscrizione della dichiarazione di utilizzo del dispositivo da parte del titolare) emessi dal prestatore di servizi. Con riguardo agli altri due requisiti, questi vengono soddisfatti applicando la funzione di hash al documento informatico da sottoscrivere al fine di ottenere l’impronta che verrà poi cifrata tramite il template biometrico. Pertanto, le soluzioni di firma biometrica che rispettano tali requisiti saranno da considerare Firme Elettroniche Avanzate tenuto conto anche che eventuali procedure di verifica dell’integrità saranno comunque possibili apponendo nuovamente la firma ovvero confrontando tali firme con un catalogo delle firme11. Le principali criticità connesse alla firma grafometrica derivano dall’instabilità (o mancanza di permanenza) nel tempo della firma: così, infatti, con il passar degli anni cambia il nostro organismo, anche le caratteristiche della nostra scrittura potrebbero variare (l’angolo di inclinazione della penna, il numero di volte che la stessa viene sollevata dalla carta), tanto da creare un template diverso da quello memorizzato nell’enrollment. Sarà quindi possibile avere degli errori durante il riconoscimento: • False Rejection Rate (FRR): per FRR si intende la percentuale di firme valide che vengono rigettate dal sistema. • False Acceptance Rate (FAR): FAR, invece, rappresenta la percentuale di firme accettate dal sistema e che, invece, non sono autentiche. Questi due concetti sono parte essenziale delle analisi biometriche e sono sicuramente indispensabili nel definire l’ambito di impiego delle firme biome- triche, dalle banche alle assicurazioni, ai contratti in ambito Telco e pubblica amministrazione. Ciò che è indispensabile in tali casi è trovare un equilibrio tra falsi positivi e falsi negativi (EER – Equal Error Rate) adatto al contesto. Per fare qualche esempio, in un ambito nel quale si stipulano giornalmente migliaia di contratti di valore pari a poche decine di euro una certa percentuale di casi di falso positivo potrebbe essere accettabile; se invece si tratta di contratti di valore molto superiore e nell’ordine dei migliaia di euro, il falso positivo potrebbe essere molto ridotto e probabilmente dovrebbero essere proferiti casi di falso negativo. Infine non può essere trascurato l’aspetto normativo relativo alla protezione dei dati personali. Come è noto agli specialisti del settore, i dati biometrici e anche i template biometrici sono ritenuti dati personali, perché sono sempre indirettamente identificativi delle persone ai cui si riferiscono. In materia, ci sono numerose pronunce del Garante per la protezione dei dati personali12, nonché documenti ufficiali del Gruppo art. 29 (Gruppo dei Garanti europei), i quali ritengono che il dato biometrico sia da ritenersi un dato personale in quanto tale dato, sebbene criptato, è da ritenersi “ragionevolmente” identificabile da parte degli incaricati (tramite associazione del template al codice numerico e al nominativo), dal vigilatore dei dati, azienda costruttrice e titolare. È bene sottolineare che il fatto che l’utilizzazione dei dati biometrici/template sia da considerarsi un trattamento di dati identificativi non costituisce di per sé un vincolo legale insormontabile per tali soluzioni. Tuttavia andrà sempre analizzata la soluzione sia sotto il profilo della sicurezza/protezione del dato che sotto il profilo del contesto e delle finalità di utilizzo. È infatti assodato che l’utilizzo dei dispositivi di riconoscimento biometrico utilizzati in modo massivo come sistema di rilevazione presenze in azienda non è da ritenersi generalmente una soluzione conforme alla normativa privacy. D’altro canto, l’utilizzo dei dispositivi biometrici per finalità di controllo accessi è cosa diversa dalle finalità di Vi è da rilevare che la costituzione e gestione di un catalogo di firme biometriche può sollevare problemi con la normativa in materia di protezione di dati personali, l’analisi di tali aspetti verrà affrontata nel proseguo. 12 A questo riguardo il Garante italiano ha sostanzialmente escluso l’utilizzazione generalizzata di dispositivi di riconoscimento di impronte digitali per la rilevazione delle presenze dei dipendenti in azienda, a titolo esemplificativo, in tal senso si è espresso nel provvedimento nel quale si esclude che l’accesso in banca sia esclusivamente vincolato al rilascio delle impronte digitali, Provv. Garante, in Bollettino, n. 91, gennaio 2008. Cfr. Provv. Garante, 19 novembre 1999, in Bollettino, n. 10, p. 68, Provv. Garante, 21 luglio 2005, in Bollettino, n. 63. Anche il Decalogo su corpo e privacy, 9 maggio 2006, del Garante tenta di dare una risposta alle criticità che sorgono in ordine all’utilizzazione delle tecniche di riconoscimento biometrico in azienda. 11 Speciale Sicurezza ICT 119 Fabio Di Resta garantire l’autenticità di un documento. Occorrerà trovare quindi uno specifico bilanciamento tra le esigenze di innovazione e la ricerca dell’efficienza tramite soluzioni ICT e la protezione dei dati, la tutela della dignità e identità personale. Questo bilanciamento dovrà individuarsi tramite finalità e contesti che giustifichino l’impiego di tali dispositivi biometrici. Si ricorda molto sinteticamente che i principi di correttezza, di necessità e di proporzionalità hanno condotto il Garante privacy a tenere in particolare conto, gli aspetti di sicurezza, la filiera dei soggetti che possono accedere ai dati, la disponibilità dei template memorizzati sui dispositivi (p.e. smart card) per il solo interessato, il numero ristretto di persone che hanno accesso alle aree riservate, lo scopo di deterrenza connesso ai rischi di subire reati in una determinata zona/aree ad alta densità di criminalità. Costituiscono un esemplificazione di quanto detto i sistemi di riconoscimento di impronte digitali, eventualmente connessi a sistemi di videosorveglianza, installate nelle Banche per finalità di controllo accessi13 (Art. 17 C.d.P., c.d. prior checking). A questo riguardo è opportuno osservare, tenuto conto di alcune peculiarità e che l’utilizzo concerneva la firma digitale anziché la firma elettronica avanzata, il Garante privacy ha recentemente esaminato la richiesta di verifica preliminare del sistema di sottoscrizione dei documenti con firma digitale basato su un sistema di autenticazione biometrica effettuata tramite tablet utilizzato nelle operazioni allo sportello, ritenendo lecito il trattamento dei dati biometrici effettuato dalla banca Unicredit (Provv. Garante privacy, 31 gennaio 2013, Verifica preliminare). Nell’ambito della presente indagine è, infine, opportuno per fini di completezza anche menzionare, molto schematicamente, le soluzioni che sicura- mente soddisfano i requisiti di FEA poichè indicate specificamente nel DPCM. In base a quanto disposto le soluzioni alle quali viene riconosciuto il valore legale di FEA nei confronti della PA saranno: • la Posta Elettronica Certificata per PA (nei limiti della firma del messaggio spedito); • la Carta di Identità Elettronica; • la Carta Nazionale Servizi. 5. I requisiti normativi e le criticità per adottare una soluzione di FEA Le soluzioni di Firma Elettronica Avanzata vengono offerte dai soggetti che realizzano per conto proprio nell’ambito del processo di dematerializzazione per fini istituzionali, societari, commerciali. Tali soluzione potranno essere realizzate all’interno dell’organizzazione anche tramite fornitori esterni, questi soggetti devono però svolgere tali prestazioni nell’”ambito dell’attività di impresa”. Caratteristica fondamentale delle firme elettroniche avanzate è che tali soluzioni saranno utilizzabili “limitatamente ai rapporti giuridici intercorrenti tra il sottoscrittore e il soggetto” e nell’ambito del processo di dematerializzazione (Art. 60 del DPCM)14. La disposizione poc’anzi richiamata è da interpretarsi nel senso che l’utilizzazione del dispositivo di FEA non potrà avere valore legale nei confronti di altri soggetti privati o pubblici15 che non siano i soggetti stessi che hanno rilasciato la soluzione per proprio conto. Infine, con riguardo alle criticità, dovute con molta probabilità a problematiche connesse a vincoli normativi del rispetto della Direttiva 2006/123/CE, vi è da rilevare che nel DPCM non 13 Questi sono alcuni dei contesti nei quali sono stati ammessi i sistemi di riconoscimento biometrico, aree di accesso riservato in particolari ambiti come aeroporti, aree di accesso al sistema produttivo, aree di accesso riservato nella gestione del sistema idrico, ecc.. Finora, in questo contesto, le verifiche preliminare sono state limitate quasi esclusivamente alle finalità di controllo accessi e generalmente su sistemi di riconoscimento di impronte digitali installati in aree riservate, si richiamano tra le molte le seguenti pronunce: Provv. Garante privacy, 27 ottobre 2005, Boll. n. 65; Provv. Garante privacy, 23 novembre 2005, Boll. n. 66; Provv. Garante, 1 febbraio 2007, Boll. n. 80; Provv. Garante, 17 settembre 2009, Boll. n. 208. 14 La ragione della limitazione è condivisibile tenuto conto di quanto stabilito nell’articolo 57 del DPCM, il quale stabilisce che l’identificazione certa dell’utente deve essere effettuata dallo stesso fornitore che opera per proprio conto. Lo stesso dovrà poi consegnare all’utente una dichiarazione sulle condizioni di utilizzo, la quale verrà conservata per un periodo di 20 anni, fornire una copia della dichiarazione e pubblicare le modalità di richiesta della stessa, infine, rendere note le caratteristiche del sistema richieste per la FEA e consentire un uso alternativo di firma digitale e firma elettronica qualificata ove applicabile. Cfr. art. 23 ter comma 2 del CAD, il quale conferisce ai documenti amministrativi informatici sottoscritti con FEA efficacia di scrittura privata nell’ambito del procedimento amministrativo. 15 Cfr. art. 23 ter comma 2 del CAD, il quale conferisce ai documenti amministrativi informatici sottoscritti con FEA efficacia di scrittura privata nell’ambito del procedimento amministrativo. 120 Speciale Sicurezza ICT LA FIRMA ELETTRONICA AVANZATA: IL VALORE LEGALE, LA SICUREZZA E GLI AMBITI APPLICATIVI (ADVANCED ELECTRONIC SIGNATURE: LEGAL EFFECTIVENESS, SECURITY AND SCOPE) vengono definite con chiarezza le regole di identificazione univoche. Tali regole sono infatti necessarie per un’identificazione certa ed affidabile dell’utilizzatore della firma che assicuri sufficienti garanzie contro eventuali abusi da parte di terzi. In tale contesto, l’art. 57 comma 2 del DPCM relativo alle regole tecniche sulle firma elettroniche prevede che al fine di proteggere i firmatari e i terzi da eventuali danni i soggetti che adottano soluzione di FEA devono rispondere di danni nella misura di cinquecentontomila euro anche ricorrendo a coperture assicurative. L’articolo in esame mette in evidenza il chiaro rischio di false sottoscrizioni nonché la possibilità di modificare i documenti sottoscritti tramite FEA qualora non vengano adottate soluzioni non sufficientemente sicure. A parere di chi scrive appare evidente che la disciplina dell’art. 56 (caratteristiche della soluzione di firma elettronica avanzata) lascia fin troppo margine a chi voglia utilizzare tali soluzioni; in assenza di un sistema di sorveglianza l’affidabilità di soluzioni di FEA viene attribuita alla serietà dei prestatori che considerando la propria immagine aziendale come un valore prioritario eviteranno di trovarsi in difficoltà in caso di contestazioni in sede di giudizio. Seguono più nello specifico una serie di interrogativi ancora aperti: Chi è il soggetto dell’organizzazione che compirà l’identificazione e su quali basi oggettive? Gli incaricati saranno adeguatamente formati? L’esigenza di poter garantire danni derivanti dall’attività svolta nella misura di cinquecentoeuro anche con il ricorso alla copertura assicurativa saranno un sufficiente incentivo per il mercato di riferimento (art. 57 comma 2 del DPCM)? Ed infine, non essendo obbligatoria l’adozione di certificazioni secondo i common criteria per il dispositivo sicuro, tali dispositivi hanno un livello di sicurezza sufficiente per evitare il proliferarsi di furti di identità e abusi di terzi? È probabile ed auspicabile che tali interrogativi 16 possano trovare puntuali interventi volti a garantire maggiore sicurezza, sia con riguardo agli ambiti operativi di utilizzo della FEA sia con riguardo alle forme di garanzie previste contro forme di abuso. Infine, un requisito stringente per i prestatori di servizi di FEA rivolta ai soggetti che adottano tali soluzioni come scopo dell’ “attività di impresa”, è costituito dall’obbligo di certificazione ISO/IEC 27001 relativo ai sistemi di gestione della sicurezza delle informazioni e dall’obbligo di certificazione 9001 sui sistemi di qualità16 per soluzioni rivolte alle pubbliche amministrazioni. Per concludere l’analisi delle soluzioni tecniche che soddisfano i requisiti di Firma Elettronica Avanzata, nonostante le problematiche connesse al valore probatorio di questa tipologia firma pensata in sede comunitaria per essere considerata come elemento di prova e non con valore pari alla firma digitale – ci sono infatti delle problematiche irrisolte – si può affermare che esistono potenzialmente numerose tipologie di soluzioni che rispettano tali requisiti. Occorre tuttavia esaminare le caratteristiche specifiche sul piano tecnico-legale delle soluzioni per verificare la corrispondenza con quanto disposto dalle normative. In conclusione, di fronte alle firme digitali e alle firme elettroniche qualificate, la firma elettronica avanzata presenta funzionalità e caratteristiche diverse, questo implica la necessità di un’attenta valutazione su diversi piani non solo di convenienza economica, ma anche legale ed organizzativo. Il rischio, infatti, è quello del proliferarsi di soluzioni non sufficientemente sicure e che potrebbero non trovare in giudizio una conferma del valore legale atteso dall’utilizzatore. Infine, si dovrebbe tenere in conto anche l’ambito di impiego che, come nel caso della firma grafometrica, può dar luogo a possibili violazioni della normativa sulla protezione dei dati personali nonostante le recenti aperture sulla questione da parte del Garante privacy. Tali certificazioni non sono richieste alle persone giuridiche private possedute o controllate dalla PA e alle persone giuridiche pubbliche. Speciale Sicurezza ICT 121 Fabio Di Resta Fabio Di Resta: dopo la laurea in giurisprudenza si specializza in Gran Bretagna in diritto dell’informatica in ambito comunitario. Inizia l’attività di consulenza legale per società di primaria importanza occupandosi sin da subito di problematiche giuridiche attinenti alla protezione dei dati personali e al diritto delle nuove tecnologie. In tale contesto ha maturato 10 anni di esperienza partecipando a progetti nazionali ed internazionali per multinazionali e svolgendo consulenze legali su aspetti di sicurezza organizzativa nel quadro della ISO 27001 e delle best practice relative all’ICT. Si occupa intensamente anche di aspetti giuridici, nel quadro Codice dell’Amministrazione Digitale, su progetti di dematerializzazione per conto di importanti enti pubblici e società private. I temi nei quali ha acquisito particolare competenza vanno dagli aspetti legali della sanità elettronica, della protezione dei dati personali applicata ai più diversi ambiti e le problematiche giuridiche connesse al Codice dell’Amministrazione Digitale. Ha pubblicato inoltre numerosi volumi tra i quali: Protezione delle Informazioni. Privacy e sicurezza, Inside telematiche. Frodi e sicurezza, La tutela dei dati personali nella Società dell’Informazione, Il Fascicolo Sanitario Elettronico ed altri. Pubblica infine regolarmente su riviste specialistiche, partecipa a conferenze, lezioni e seminari sul tema del diritto dell’informatica e della privacy presso diverse università prestigiose. 122 Speciale Sicurezza ICT