Grafometria e Firma Elettronica Avanzata: il Garante privacy si pronuncia positivamente

di avv. Luigi Foglia – Digital & Law Department
Con il provvedimento n.  396 del 12 settembre 2013, il Garante Privacy si è ancora una volta pronunciato sul tema “Dati biometrici e processi di sottoscrizione elettronica”.
Anche in questo caso, il Garante è intervenuto in risposta a una richiesta di verifica preliminare (art. 17 del Codice Privacy) avanzata da un istituto bancario ma, a differenza degli altri due provvedimenti precedenti (n. 36 e 37 del 31 gennaio 2013) già ampiamente commentati, stavolta il caso sottoposto a verifica vede i dati biometrici utilizzati come parte integrante del processo di sottoscrizione e non solo per la corretta identificazione e l’attivazione di un certificato di firma digitale da remoto.

Se, infatti, nei provvedimenti del gennaio 2013 il processo di autenticazione era "autonomo e distinto rispetto alle procedure di firma delle disposizioni bancarie e/o di sottoscrizione di contratti" e l’apposizione della firma sul tablet costituiva semplicemente la condizione di avvio di un processo di autenticazione prodromico al processo di firma digitale remota, nel provvedimento del 12 settembre, invece, viene esaminato un processo “in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca attraverso […] l’utilizzo combinato di firme elettroniche e […] la raccolta di dati biometrici comportamentali desunti dalla firma apposta dai clienti su appositi tablet in dotazione ai medesimi promotori”. 
Siamo di fronte, quindi, alla prima pronuncia del Garante in tema di FEA grafometrica, ovvero di FEA realizzata anche mediante l’utilizzo di dati biometrico/comportamentali legati alla fase di sottoscrizione.
Il processo di sottoscrizione, così come descritto dalla Banca proponente la verifica preliminare, prevede che a seguito di informativa e acquisizione del consenso all’utilizzo della procedura (e dei dati biometrici necessari), il cliente, visualizzato il contratto in formato elettronico, lo sottoscriva mediante un apposito tablet opportunamente configurato e in grado di acquisire i valori fondamentali (pressione, accelerazione, ritmo, velocità e movimento) legati al comportamento del sottoscrittore. I dati acquisiti grazie al tablet vengono immediatamente cifrati mediante un certificato simmetrico (così da impedirne fin da subito la loro leggibilità in chiaro) e successivamente ulteriormente cifrati tramite una chiave pubblica relativa a un certificato digitale denominato "certificato di protezione". I dati cifrati e incorporati nel documento vengono poi "cancellati e sovrascritti dalla memoria (ram) del computer utilizzato” così da rendere inaccessibile il dato biometrico in chiaro.
Il certificato privato corrispondente alla chiave pubblica utilizzata (senza il quale risulta pressoché impossibile decifrare i dati biometrici) viene conservato da un Certificatore accreditato per il rilascio di certificati di firma digitale, che risulta essere anche il fornitore dell’intera soluzione di FEA grafometrica. I “codici di sblocco” di tale chiave privata vengono, invece, rilasciati alla sola Banca proponente: sarà quindi necessario l’apporto di entrambi i soggetti per procedere alla decifratura dei dati biometrici legati al documento sottoscritto. 
Al contrario, invece, la procedura e gli accordi tra le parti prevedono che la decifrazione dei dati biometrici e il relativo accesso "in chiaro" siano consentiti "esclusivamente nei casi previsti dalla legge, su richiesta delle Autorità competenti" mediante un applicativo reso disponibile dal fornitore della soluzione e specificamente realizzato per permettere le varie analisi forensi necessarie alla corretta verifica della firma.
Il processo si conclude con la conservazione a norma (D.Lgs 82/2005 e Delib. CNIPA 11/04) dei documenti così formati che verranno mantenuti, nei limiti delle finalità indicate, per il periodo di tempo stabilito dalle disposizioni vigenti (art. 2220 cod. civ.; art. 119 del d.lgs. n. 385/1993), fatta salva l’esigenza di una loro ulteriore conservazione in ragione di eventuali contestazioni in sede giudiziaria. 
Il Garante, esaminato il processo di firma, ha preliminarmente riaffermato quanto sostenuto dal Gruppo per la tutela dei dati personali ex art. 29 della direttiva 95/46/Ce, il quale ritiene che l’utilizzo di sistemi basati sull’impiego di dispositivi in grado di rilevare le caratteristiche "dinamiche" della firma determini un trattamento di dati biometrici di natura comportamentale e come tale riconducibile nell’ambito di applicazione della disciplina di tutela dei dati personali (cfr. documento di lavoro sulla biometria del 1° agosto 2003, Wp 80; cfr. altresì Parere 3/2012 sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193; v. anche Provv. Garante 31 gennaio 2013, cit.). 
Il Garante, poi, afferma la liceità del trattamento posto in essere dalla banca sottolineando sia il fatto che tale trattamento “non risulta connotato, ancorché effettuato con strumenti elettronici, da specifici ed evidenti rischi per gli interessati” (anche in ragione delle misure di sicurezza dichiarate dal titolare e dei rigidi protocolli operativi previsti per legge in capo all’organismo certificatore), sia che il recente D.P.C.M. 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali) contempla espressamente i dati biometrici legati al comportamento del firmatario tra gli elementi utilizzabili ai fini della generazione della firma elettronica avanzata (art. 56).
Oltre a essere lecito, il trattamento oggetto di verifica, effettuato esclusivamente previa acquisizione del libero consenso informato dei firmatari (artt. 13 e 23 del Codice) e per il perseguimento di legittime finalità rese note agli interessati (artt. 11, comma 1, lett. b), del Codice), può efficacemente contribuire – attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente – a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti/interessati. 
Per quanto attiene, poi, all’osservanza dei princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d) del Codice), il sistema descritto, nelle modalità di configurazione indicate – tali cioè, secondo la società, da non consentire, in nessun caso, l’acquisizione di informazioni relative allo stato di salute degli interessati –, risulta predisposto per raccogliere un numero circoscritto di informazioni (tassativamente indicate ne: l’immagine della firma, il ritmo, la velocità, la pressione, l’accelerazione, il movimento), allo stato non eccedenti o ultronee rispetto alle finalità dichiarate dalla società. Inoltre, i dati biometrici non saranno accessibili "in chiaro" al titolare se non nei casi previsti e su espressa richiesta dell’autorità giudiziaria.
Sotto il profilo della sicurezza dei dati trattati, il Garante ritiene che l’insieme degli accorgimenti adottati nell’intero processo di gestione dei dati biometrici degli interessati costituiscano, nel complesso, misure di sicurezza che, sulla base delle attuali conoscenze, possono essere ritenute idonee, anche in considerazione del fatto che il sistema risulta conforme alle "specifiche tecniche" stabilite dall’ISO – nel caso di specie relative ai requisiti previsti per la gestione della sicurezza informatica: ISO/IEC27001:2005 –, già ritenute rilevanti dal Garante anche sotto il profilo della disciplina di protezione dei dati personali (cfr. provv. 14 luglio 2011, doc. web n.1836335; provv. 26 maggio 2011, doc. web n. 1832558; provv. 2 dicembre 2010, doc. web n. 1779678).
Proprio in tema di sicurezza del processo, il Garante considera adeguato che la società deputata all’emissione dei certificati di firma e di cifratura sia un ente certificatore accreditato presso AgID ex art. 29 CAD e che la chiave privata e il relativo codice di sblocco associati al certificato di sicurezza Fineco, utilizzato per la cifratura dei dati biometrici, siano sempre tenuti separati, scongiurando così la possibilità di procedere alla decifratura del dato biometrico se non nei casi in cui si renda necessaria una perizia disposta dall’Autorità giudiziaria.
Accanto alle misure già implementate il Garante richiede, però, che sia prestata sempre la massima attenzione al corretto utilizzo, da parte dei soli utenti abilitati, dei dispositivi per la raccolta dei dati biometrici. A tale proposito, il Garante prescrive l’adozione, ove non siano ancora previste, di idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware). 
Inoltre il Garante ritiene necessaria l’adozione di un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro: in particolare, dovranno risultare disponibili funzionalità di remote wiping nei casi di smarrimento o sottrazione dei dispositivi. La banca dovrà altresì prevedere adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico.
Infine, il Garante ricorda che in base alla regola n. 25 del disciplinare tecnico in materia di misure minime di sicurezza, la Banca dovrà farsi rilasciare dall’installatore il previsto attestato di conformità, da conservarsi a cura del titolare medesimo.
Il commentato provvedimento del Garante dà, quindi, il via libera a una specifica soluzione di FEA basata su dati biometrici, lasciando ben sperare quanti stanno implementando soluzioni simili e sono ancora in attesa di richiedere la verifica al Garante. In ragione, poi, del fatto che molte richieste di verifica di procedimenti simili sono già giunte e che probabilmente, dopo il provvedimento del 12 settembre, saranno seguite da numerose altre, il Garante ha manifestato, almeno informalmente, l’intenzione di produrre un provvedimento generale in materia. In attesa, però, di tale provvedimento generale e secondo quanto disposto dal Codice Privacy (soprattutto alla luce delle considerazione del gruppo di lavoro europeo sopra riportate), tutti coloro che hanno intenzione di utilizzare un processo di FEA basato su dati biometrici dovranno predisporre una specifica richiesta di verifica in quanto i provvedimenti conseguenti alla verifica sono immediatamente applicabili solo alla particolare situazione in oggetto.

Per approfondire l’argomento firme elettroniche:

Corso D&L -12 dicembre 2013 – Roma
Firme elettroniche: normativa e utilizzo – Firma digitale, firma elettronica avanzata e firma grafometrica
docenti del corso: Avv. Luigi Foglia (Consulente D&L); Dott. Fabrizio Venettoni (Cassa Depositi e Prestiti); Dott. Pietro Paolo Trimarchi (Ragioneria Generale dello Stato)