NOTA INFORMATIVA SULLA FIRMA ELETTRONICA AVANZATA (FEA)
GRAFOMETRICA
Documento
predisposto da Dondi Salotti S.r.l. (di seguito Dondi) ai sensi dell’articolo
57, commi 1 e 3, del Decreto del Presidente del Consiglio dei Ministri del
22/02/2013, contenente le regole tecniche in materia di generazione,
apposizione e verifica delle firme elettroniche avanzate, qualificate e
digitali (di seguito “Decreto Regole Tecniche”), pubblicato nella Gazzetta
Ufficiale n. 117 del 21/05/2013, attuativo del Codice dell’Amministrazione
Digitale (Decreto Legislativo n. 82 del 07/03/2005, di seguito “CAD”)
INFORMAZIONI
GENERALI
(Decreto
Regole Tecniche, art. 57 comma 1, lettere b, c)
La Firma
Grafometrica
Nell’ambito
delle iniziative volte ad innovare e a migliorare l’efficienza dei propri
processi, Dondi ha introdotto una nuova modalità di firma dei contratti di
vendita e dei documenti ad essi collegati basata su una soluzione informatica
che consente di sottoscrivere i documenti in formato elettronico, con l’obiettivo
di ridurre e, ove possibile, eliminare nel corso del tempo l’uso della carta.
La
sottoscrizione dei predetti documenti avviene mediante l’utilizzo della firma
grafometrica, che consiste in una firma elettronica apposta dal cliente
attraverso uno stilo elettronico (una pen drive, vale a dire una sorta di penna
elettronica), azionato direttamente dalla sua mano analogamente a quanto accade
con una tradizionale penna ad inchiostro, sulla superficie sensibile di un
dispositivo di firma. Tale dispositivo è costituito da una tavoletta grafica
(tablet o apparecchio analogo) dotata di uno schermo in grado di rilevare
l’immagine del segno grafico della firma apposta dal cliente mediante lo stilo
elettronico e di rilevare contestualmente anche i dati biometrici della firma
del cliente. Tali dati biometrici vengono associati al documento informatico
riprodotto sullo schermo della tavoletta. I dati biometrici sono i dati,
ricavati dalle caratteristiche biometriche comportamentali del cliente,
rilevati dal dispositivo di firma al momento dell’apposizione della firma
grafometrica e consistono in: pressione, accelerazione, ritmo, velocità,
movimento.
Il
documento recante la sottoscrizione con la firma grafometrica e i dati
biometrici del cliente viene memorizzato attraverso un programma informatico
che rende immodificabile il documento così sottoscritto e indecifrabili i dati
biometrici.
Conclusa
l’operazione di sottoscrizione, viene avviato il processo di conservazione del
documento informatico sottoscritto, conformemente alla normativa vigente.
La firma
grafometrica e l’intero servizio di firma elettronica avanzata sono resi
disponibili al cliente da Dondi, ai sensi dell’art. 55, comma 2, lett. a) del
Decreto Regole Tecniche. Dondi si è rivolta ad una primaria società informatica
che – ai sensi dell’art. 55, comma 2, lett. b) del Decreto Regole Tecniche –
realizza la soluzione di firma grafometrica con valore di firma elettronica
avanzata e che dispone altresì della qualifica di Certification Authority ai
sensi della normativa vigente.
I
documenti che possono essere sottoscritti con la firma grafometrica
La firma
grafometrica consentirà al cliente di sottoscrivere i contratti di vendita ed
eventuali documenti ad essi collegati per i quali Dondi avrà reso, nel corso
del tempo, disponibile tale servizio.
Il
processo di sottoscrizione
Il
servizio di firma grafometrica consente al Cliente di:
- Visualizzare
e leggere il documento sullo schermo del dispositivo di firma;
- Sottoscrivere
il documento sullo schermo del dispositivo di firma con stile elettronico,
analogamente alla sottoscrizione tradizionale mediante una penna ad inchiostro
su di un documento cartaceo.
La
consegna del documento informatico sottoscritto
Il
documento informatico è consegnato al cliente che lo ha sottoscritto rendendolo
disponibile, in formato pdf all’indirizzo di posta elettronica indicato dal
cliente. Naturalmente, il cliente nel corso del tempo potrà variare l’indirizzo
di posta elettronica, e comunicare il nuovo indirizzo a Dondi.
Al momento
della sottoscrizione del contratto di somministrazione, il cliente potrà
richiedere il rilascio di una copia cartacea dei documenti sottoscritti. In
qualunque momento potrà richiedere un duplicato informatico o una copia
cartacea del documento informatico sottoscritto, per tutto il periodo in cui
Dondi è tenuta per legge a conservare la documentazione sottoscritta.
La
conservazione a norma dei documenti informatici sottoscritti dal contraente
I
documenti informatici ai quali è stata apposta la firma grafometrica vengono
inviati ad un soggetto terzo (abilitato a svolgere il servizio di conservazione
dei documenti informatici) per la conservazione conforme alla normativa
vigente, disciplinata nel CAD e nelle norme attuative (in particolare, il
Decreto del Presidente del Consiglio dei Ministri del 3/12/2013, pubblicato
nella Gazzetta Ufficiale n. 59 del 12/03/2014). La conservazione ha lo scopo di
conferire al documento informatico le caratteristiche di immodificabilità,
autenticità, integrità affidabilità, leggibilità e reperibilità, tramite la
memorizzazione dei documenti informatici su di un idoneo supporto informatico
che ne permette la conservazione per la durata prevista dalla legge. Una volta
concluso il processo di sottoscrizione del contratto di vendita e degli altri
documenti ad esso collegati, il documento informatico è inviato da Dondi al
conservatore. Periodiche verifiche sull’integrità e la leggibilità dei
documenti sono svolte sul sistema di conservazione al fine di garantire un alto
livello di affidabilità e di qualità del servizio.
LA
DICHIARAZIONE DI ACCETTAZIONE DELL’UTILIZZO DELLA FIRMA GRAFOMETRICA
(Decreto Regole Tecniche, art. 57 comma 1, lettere b, c, d)
L’utilizzo
della firma grafometrica con valore di firma elettronica avanzata può avvenire
solo successivamente all’esplicita accettazione, da parte del cliente, di
avvalersi di tale modalità di firma.
Tale
accettazione è espressa in una specifica dichiarazione, contenuta in un modulo
di adesione che Dondi o l’intermediario da essa incaricato sottopone al cliente
(unitamente al contratto di vendita e all’informativa sul trattamento dei dati
personali), e da questi appositamente sottoscritta. Al momento della sua sottoscrizione,
copia di tale modulo di adesione è rilasciata al cliente, che potrà comunque
chiedere, in qualunque momento, il rilascio di una ulteriore copia, anche
utilizzando l’apposito modulo presente sul sito web denominato “Modulo di
richiesta copia della dichiarazione di accettazione”
In
qualunque momento l’accettazione potrà essere liberamente revocata dal cliente,
compilando l’apposito modulo presente sul sito web e denominato “Modulo di
richiesta revoca dal servizio FEA”, potrà quindi tornare a sottoscrivere
eventuali successivi contratti di vendita con la tradizionale firma autografa
apposta sui documenti cartacei.
Il modulo
di adesione contenente la dichiarazione di accettazione delle condizioni del
servizio di firma elettronica avanzata e copia del documento di riconoscimento
con cui è avvenuto l’identificazione del cliente saranno conservati da Dondi
per almeno venti anni, come previsto dal Decreto Regole Tecniche.
L’adesione
al servizio di firma elettronica avanzata non esclude la possibilità di
richiedere, in qualunque momento, di sottoscrivere i documenti in formato
cartaceo con firma autografa tradizionale.
CARATTERISTICHE
DEL SISTEMA DI FIRMA GRAFOMETRICA
(Decreto
Regole Tecniche, art. 57 comma 1, lettere e,f)
Il
dispositivo di acquisizione della firma grafometrica è uno strumento che
consente di rilevare i dati biometrici del cliente, successivamente alla
dichiarazione di accettazione del servizio di firma elettronica espressamente
sottoscritta.
La firma del cliente viene racchiusa e sigillata elettronicamente all’interno
del documento informatico, attraverso programmi informatici idonei a garantire
la privacy e la sicurezza informatica richieste dal legislatore. In tal modo
Dondi potrà visualizzare esclusivamente il segno grafico (l’immagine) della
firma del cliente, senza poter disporre dei dati biometrici, in quanto resi
indecifrabili dai suddetti programmi informatici. La cifratura dei dati
biometrici è assicurata da un meccanismo di cifratura standard costituito da
una coppia di chiavi asimmetriche crittografiche, di cui una pubblica ed una
privata. Di esse, solo la parte pubblica è nella disponibilità di Dondi che la
custodisce secondo rigorose procedure di sicurezza. La parte privata,
necessaria per la decifrazione dei dati biometrici, è invece nella
disponibilità di un soggetto terzo (una società informatica qualificata
dall’Agenzia per l’Italia Digitale come Certification Authority). Allo scopo di
garantire il massimo livello di sicurezza al cliente, l’attivazione della
chiave privata richiede il ricorso a credenziali di accesso in possesso della
Certification Authority, custodite secondo rigorose procedure interne, nella
piena osservanza delle disposizioni del Garante della Privacy. In tal modo,
nessuno dei soggetti è da solo in grado di accedere ai dati biometrici del
cliente. La conservazione dei dati biometrici della firma da parte di Dondi è
necessaria per attribuire alla firma grafometrica il valore di una firma
elettronica avanzata, e quindi per attribuire al contratto di vendita così
sottoscritto l’efficacia legale prevista dall’art. 2702 del codice civile,
ovvero lo stesso valore legale di un contratto sottoscritto con firma autografa
tradizionale.
I documenti che il cliente sottoscrive con la firma grafometrica messa a disposizione
da Dondi sono pertanto documenti informatici che posseggono lo stesso valore
legale dei corrispondenti documenti cartacei sottoscritti con firma autografa
tradizionale. Sul piano tecnico, soddisfano i requisiti di sicurezza definiti
dalla normativa vigente ed integrano le caratteristiche che debbono essere
garantite da una firma elettronica avanzata (come previsto dall’art. 56, comma
1, del Decreto Regole Tecniche), che di seguito elenchiamo:
- identificazione
del firmatario del documento: il cliente che intende
sottoscrivere i contratti di vendita con la firma grafometrica è identificato
tramite un idoneo documento di riconoscimento, di cui Dondi deve conservare
copia per almeno venti anni (art. 57, comma 1, lett. b del Decreto Regole
Tecniche);
- connessione
univoca della firma al firmatario: la sottoscrizione del cliente
(la cui identità è stata previamente verificata) avviene davanti al personale
di Dondi;
- controllo
esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i
dati biometrici eventualmente utilizzati per la generazione della firma
medesima: i programmi e i dispositivi informatici utilizzati permettono di
registrare tutte le caratteristiche comportamentali specifiche del firmatario,
rendendo ancora più certa l’attribuzione della firma a colui che risulta essere
firmatario. La procedura di registrazione dei dati biometrici consente di
visualizzare, anche a distanza di tempo, la firma apposta sul documento
informatico e, se necessario o se disposto dalle Autorità, di poterla
confrontare con altre firme apposte dallo stesso firmatario;
- possibilità
di verificare che il documento informatico sottoscritto non abbia subito
modifiche dopo l’apposizione della firma: il programma informatico
utilizzato permette di applicare al documento informatico sottoscritto
un’impronta informatica (hash), al momento dell’apposizione della firma. Il
controllo della corrispondenza tra tale impronta (sigillata all’interno della
firma apposta nel documento informatico) e un’impronta ricalcolata
successivamente consente di verificare che il documento informatico non abbia
subito modifiche dopo l’apposizione della firma;
- possibilità
per il firmatario di ottenere evidenza di quanto sottoscritto: il
servizio di firma elettronica avanzata adottato da Dondi consente al cliente di
visualizzare il documento da firmare sull’apposito schermo della tavoletta
grafica, dotata di caratteristiche dimensionali e delle apposite funzioni di
posizionamento e ingrandimento idonee a permettere un’agevole leggibilità del
documento. Egli potrà inoltre richiedere, al momento della sottoscrizione,
copia cartacea del documento informatico originale recante la sua
sottoscrizione con firma grafometrica;
- individuazione
del soggetto che eroga la soluzione di firma grafometrica: Dondi
eroga la soluzione di firma grafometrica, realizzata da un soggetto terzo
qualificato in base alla normativa vigente (art. 55, comma 2, lettera b del
Decreto Regole Tecniche), che fornisce una soluzione di firma grafometrica
conforme alle prescrizioni dell’art. 56 del Decreto Regole Tecniche e dotata
delle caratteristiche tecniche idonee a soddisfare i requisiti previsti dal CAD
per l’acquisizione del valore di firma elettronica avanzata; il Cliente è sempre
in grado di identificare con certezza la società Dondi (soggetto che eroga la
soluzione di firma) in quanto i dipendenti e/o collaboratori di Dondi informano
con puntualità e chiarezza il Cliente del servizio e i loghi sono ben
evidenziati;
- assenza di
qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli
atti, fatti o dati nello stesso rappresentati: i documenti informatici
(in formato pdf), dopo essere stati sottoscritti dal contraente, vengono
“chiusi” dall’intermediario e resi immodificabili tramite l’emissione di un
certificato digitale da parte del soggetto terzo che realizza la soluzione di
firma elettronica avanzata. I documenti informatici sono poi inviati ad un
soggetto terzo per la conservazione a norma, e nella fase di archiviazione è ad
essi apposta una firma digitale da parte del responsabile della conservazione;
- connessione
univoca della firma al firmatario: è assicurata dall’associazione
dei dati biometrici della firma con un’impronta informatica, calcolata e
verificabile a posteriori, che identifica in modo univoco il documento che il
contraente ha sottoscritto. La protezione dei dati biometrici è garantita da
una cifratura a coppia di chiavi crittografiche asimmetriche, di cui una
pubblica e una privata. La chiave pubblica, custodita secondo rigorose
procedure di sicurezza, è nella disponibilità di Dondi, mentre la chiave
privata, necessaria per la decifrazione dei dati biometrici, è invece nella
disponibilità di un soggetto terzo (qualificato dall’Agenzia per l’Italia
Digitale come Certification Authority). Allo scopo di garantire il massimo
livello di sicurezza al cliente, l’attivazione della chiave privata richiede il
ricorso a credenziali di accesso in possesso di Dondi custodite secondo
rigorose procedure interne, nella piena osservanza delle disposizioni del
Garante della Privacy. In tal modo, nessuno dei soggetti è da solo in grado di
accedere ai dati biometrici del cliente.
INFORMAZIONI
RIGUARDANTI LA COPERTURA ASSICURATIVA
(Decreto
Regole Tecniche, art. 57, comma 3)
In
conformità alla normativa vigente, Dondi ha stipulato con una primaria
Compagnia assicuratrice una polizza assicurativa di responsabilità civile a
tutela dei danni eventualmente cagionati a terzi per problemi tecnici derivanti
dall’utilizzo della firma grafometrica per un ammontare ad euro
cinquecentomila (500.000€).
DOWNLOAD
MODULISTICA SUPPLEMENTARE
Modulo di richiesta della copia della dichiarazione di accettazione del servizio FEA
Modulo di richiesta della revoca dal servizio di FEA