Nella nostra contemporaneità, digitale e paperless vanno a braccetto, ciò per una serie di ordini di ragioni.
Ti sei mai chiesto quali soluzioni digitali implementare nella tua organizzazione?
Bene, oggi voglio parlarti della modalità di acquisizione della firma grafometrica mediante tablet/pad con pennino ottico: la così detta firma elettronica avanzata (FEA). La FEA può difatti rappresentare un’ ottima modalità per rivedere alcune metodologie di lavoro nella tua azienda, in primis perché la digitalizzazione risulta ormai essere uno dei fattori abilitanti del vivere ecosostenibile. Infatti, la così detta svolta green – che non riguarda unicamente le fonti energetiche di cui si sente parlare – fa anche riferimento all’implementazione di soluzioni paperless, fondate sulla trasformazione e gestione dei documenti cartacei in formato elettronico ed idonei a conservare il loro valore giuridico mediante la firma elettronicamente apposta.
La variante digitale di apposizione della firma spinge verso la riduzione degli inaccettabili sprechi di carta attuali, ciò senza trascurare la maggior produttività di cui beneficerebbe l’organizzazione unitamente al risparmio di costi, risparmio che si attesta intorno ad un 30% degli attuali costi, perché, ricordiamolo, il cartaceo costa all’azienda e allo stesso tempo all’ecosistema (alberi, acqua, trasporto).
Inoltre, la digitalizzazione comporta ulteriori benefici, primo fra tutti lo snellimento, la semplificazione e la fluidificazione di taluni processi aziendali. Un esempio su tutti è l’ufficio Risorse Umane digitalizzato.
Dove può intervenire dunque la semplificazione in azienda?
I principali ambiti di fluidificazione si sviluppano e prendono forma a partire dalla:
- gestione dell’archivio (digitalizzazione passiva)
- digitalizzazione di processo del workflow di funzione (digitalizzazione dinamica)
Nel contesto appena cennato, si inserisce la firma digitale ed elettronica che, a partire dal 2004-2005, rientra a pieno titolo nelle buone pratiche volte all’implementazione di soluzioni ad alto valore aggiunto in ottica di dematerializzazione, efficientamento di processo ed ecosostenibilità. Un possibile esempio di dematerializzazione è dato dall’utilizzo della posta elettronica certificata (PEC) che ormai da anni ha quasi totalmente sostituito le ormai preistoriche raccomandate con ricevuta di ritorno.
Bene, ora siamo giunti a poter apporre elettronicamente la firma anche sui documenti contrattuali a distanza.
Infatti, salvo il caso di sottoscrizione autenticata (sottoscrizione autografa di proprio pungo autenticata da un Pubblico Ufficiale), le scritture private – di cui all’articolo 1350, primo comma, numeri da 1 a 12 del codice civile – se fatte con documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13, del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.
Nonostante tutto, in Italia la gestione documentale è ancora prevalentemente di tipo cartaceo. I predetti sistemi digitali di dematerializzazione sono ancora poco ottimizzati, non diffusi e responsabili di tanti sprechi, rallentamenti ed inefficienze a livello di processi time-to-market oriented.
Occorre, quindi, che si ponga maggiore attenzione sulle modalità di firma diverse dalla apposizione autografa sul documento.
Quali tipologie di firma esistono?
La firma elettronica e la firma digitale costituiscono i macro contenitori cui fanno riferimento le sottoscrizioni informatiche, che si differenziano sia a livello giuridico che tecnico.
Per questo motivo voglio eliminare ogni dubbio e definire con precisione cosa si intende per:
- firma elettronica
- firma elettronica qualificata
- firma digitale
- firma elettronica avanzata
Il corpus normativo sotteso all’utilizzo dei dispositivi di firma elettronica è dato dal Regolamento (EU) n. 910/2014 (c.d. Regolamento eIDAS). Sono in particolare individuate tre (3) diverse tipologie di firma elettronica:
- La firma elettronica semplice è la tipologia di sottoscrizione informatica più comune, ma è anche la più debole. Essa, infatti, non utilizza strumenti in grado di garantire l’univoca autenticità e l’integrità del documento firmato. Il regolamento eIDAS sull’identità digitale all’articolo 3 definisce la firma elettronica come “L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di autenticazione informatica”. I metodi di autenticazione informatica a cui il regolamento fa riferimento sono, ad esempio, l’uso di un PIN o della combinazione di username e password per l’accesso a un servizio. Un tipico esempio di firma elettronica può essere quindi un messaggio di posta elettronica ordinaria.
- La firma elettronica qualificata (FEQ) si pone su un gradino più elevato rispetto alla firma elettronica avanzata. Infatti, la firma elettronica qualificata è la sottoscrizione informatica più forte in termini di sicurezza del certificato e dello strumento attraverso il quale viene sottoscritta. Al contrario delle precedenti, infatti, per apporre una FEQ è necessario un hardware specifico, che può essere un lettore smart card, USB o un token. In questo caso, la firma è legata ad un certificato emesso da una terza parte, ovvero un ente erogatore di servizi fiduciari (Trusted Services) e viene garantita sia l’autenticità di chi la appone sia l’assenza di modifiche al documento. Viene definita precisamente dall’ art. 12 eIDAS come “La firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma, quale l’apparato strumentale usato per la creazione della firma elettronica”.
- Firma digitale: cos’è rispetto alla firma elettronica? La firma elettronica è rappresentativa di un principio giuridico generale, mentre la firma digitale costituisce una tipologia specifica di firma elettronica qualificata. La firma digitale è prevista solo in Italia ed è regolamentata dal CAD (Codice Amministrazione Digitale ovvero il D. Lgs. n.82 del 7 marzo 2005 così come novellato dal D. Lgs n.179 del 26 agosto 2016). Nell’art.1 comma 1 ter, lett. s) del CAD, la firma digitale viene definita come “un particolare tipo di Firma Qualificata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Questa tipologia di firma richiede quindi una particolare modalità tecnologica, ovvero la crittografia a chiavi asimmetriche. I mezzi più diffusi per apporre la firma digitale sono il token e la smart card.
Cos’è invece la firma grafometrica?
La firma grafometrica è un tipo di firma elettronica avanzata (FEA), con valore legale, che richiede sostanzialmente l’impiego di un tablet o di uno schermo sensibile e di un “pennino” ad hoc detto penna ottica. In genere nel tablet è riprodotto il documento che deve essere sottoscritto, come se fosse un documento cartaceo vero e proprio, con l’unica differenza che la firma viene apposta sullo schermo del tablet, grazie all’impiego della penna ottica. In questo modo il sistema acquisisce i parametri biometrici tipici di quella firma e li codifica creando un legame univoco e inscindibile tra questa e il documento. La firma acquisita viene in questo modo associata al documento informatico (formato PDF) che ne riproduce il contenuto e lo rende visibile sullo schermo per impedire che il testo da sottoscrivere venga alterato. L’esempio più tipico della firma grafometrica è quella che molte banche richiedono per la sottoscrizione dei moduli contrattuali o delle informative privacy -per evitare falsificazioni e per mettere in relazione in modo univoco la firma al suo titolare- oppure le firme richieste nelle strutture ospedaliere per quanto concerne l’acquisizione del consenso informato del paziente al trattamento sanitario come momento essenziale di realizzazione del progetto terapeutico.
Validità giuridica della firma elettronica avanzata
Secondo il CAD quella grafometrica risponde pienamente ai requisiti previsti per la Firma Elettronica, ma non soltanto. Infatti, quando viene raccolta – seguendo un procedimento che parte dall’identificazione del firmatario fino ad una garanzia di integrità del documento e della garanzia dello stesso – la firma grafometrica si può configurare come firma elettronica avanzata. Ed è in questo caso che, secondo il CAD, ha lo stesso valore giuridico di una sottoscrizione autografa.
Ma quali sono i requisiti da soddisfare?
- la connessione univoca al firmatario
- l’idoneità ad identificare il firmatario
- la realizzazione mediante dati per la creazione di una firma elettronica che il firmatario può utilizzare sotto il proprio esclusivo controllo con un elevato livello di sicurezza
- il collegamento ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati
L’art. 20 comma 1 bis del CAD attribuisce alla FEA l’efficacia prevista dall’articolo 2702 c.c. ovvero il quale prescrive che “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni di chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.” Ne consegue che la FEA ha acquisito un valore legale che la equipara alla firma digitale e alla firma elettronica qualificata e pertanto gli viene attribuito il medesimo valore della firma autografa scritta di pugno. Ai fini del valore legale della firma elettronica avanzata (art. 20 comma 1 bis CAD così come novellato) si applica la presunzione di riconducibilità del dispositivo al titolare. Pertanto, in un eventuale giudizio la persona alla quale viene attribuita una FEA può disconoscere tale firma e sarà onere della controparte provare che quella firma è stata in realtà apposta da chi la disconosce. A tal proposito, si ricorda che è valida la FEA formata, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore).
Il nostro Legislatore attribuisce pertanto a tale tipologia di firma la medesima efficacia probatoria prevista, ex art. 2702 c.c., per le scritture private, pertanto sarà, in caso di lite giudiziaria sul documento, il Giudice a vagliare la validità della firma grafometrica apposta.
I parametri grafometrici
Si evince l’indubbio vantaggio pratico, ma ci sono dei risvolti anche in tema di gestione e protezione dei dati personali dei firmatari come previsto dalla normativa privacy e dalla GDPR compliance. Il riferimento è all’identificazione biometrica del firmatario. L’apposizione della firma comporta il trattamento – previa informativa all’interessato rispetto ai trattamenti che si andranno a porre in essere ex art. 13 del GDPR – dei seguenti parametri grafometrici che, ex art. 9 par. 1 e par.2 lett. a) del GDPR, saranno raccolti:
- pressione della mano sulla superficie
- velocità del tratto
- accelerazione
- movimento aereo
- ritmo di scrittura
Cautele
La firma grafometrica quindi permette l’apposizione della firma autografa su un documento PDF, tramite l’uso di pc, tablet, smartphone capaci di registrare i parametri biometrici del firmatario nel momento in cui appone la propria sottoscrizione.
Poiché la sicurezza e la protezione della firma grafometrica, come di tutte le firme digitali, sono continuamente esposte ad un potenziale rischio di violazione a livello di sicurezza informatica, della tutela dei dati biometrici si è occupato il Provvedimento prescrittivo del Garante per la protezione dei dati personali n. 513/2014. Esso dispone infatti, tra l’altro, che i dati biometrici possono essere resi disponibili solo se richiesti dall’Autorità Giudiziaria e solo se è in corso un contenzioso.
Inoltre, per poter procedere a tal genere di trattamento di dati personali non è sufficiente il legittimo interesse del Titolare del Trattamento ex lett. f dell’art.6 o l’allegazione della base giudica legittimante il trattamento di cui all’art. 6 lett. b del GDPR -ovvero per l’essere il trattamento necessario ai fini dell’esecuzione di un contratto di cui l’interessato è parte o per l’esecuzione di misure precontrattuali dallo stesso richieste-, ma occorrerà uno specifico consenso dell’interessato, che il Titolare dovrà trattenere e debitamente conservare per un determinato periodo di tempo, che sarà oggetto di valutazione interna all’organizzazione.
In conclusione
La firma grafometrica ha indubbi vantaggi, ma in considerazione della raccolta di dati personali nella versione delle categorie particolari di dati (i vecchi dati sensibili) ex art. 9 del GDPR, occorre implementare una soluzione per gestire in modo sicuro e proteggere i dati raccolti.
Bisognerà coinvolgere un partner tecnologico affidabile e che dia idonee garanzie e rassicurazioni sia rispetto alle competenze tecniche, sia rispetto alle capacità di gestione della data protection e della GDPR compliance.
Stante il trattamento di dati personali sarà inoltre necessario operare seguendo i seguenti step:
- occorrerà compiere una ricognizione di mercato per individuare un partner commerciale
- il player individuato andrà nominato responsabile esterno del trattamento dati personali per conto della società Titolare ex art. 28 del GDPR
- bisognerà procedere con l’aggiornamento del registro dei trattamenti, stante appunto l’introduzione di un nuovo trattamento di dati personali
Richiedimi una valutazione della tua organizzazione al fine di studiare insieme la strada verso la digitalizzazione più corretta per la tua azienda. Digitalizzazione da realizzare mediante una transizione “dolce”, ma fondata su solide basi.
Il presente articolo ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.