Qualche giorno fa mi è stato chiesto di fare un piccolo intervento, ad un corso di formazione dell’Ordine dei Dottori Commercialisti di Novara, sull’utilizzo della firma grafometrica nello studio professionale. La cosa, oltre ad avermi fatto molto piacere, mi ha anche dato lo spunto per scrivere questo breve articolo, che riassume gli elementi caratterizzanti la firma grafometrica ed il suo utilizzo negli studi professionali.
Tutti noi ormai abbiamo confidenza con firme digitali, token o smart card, spesso gestiamo i nostri documenti direttamente in formato digitale, stampando poco o almeno cercando di ridurre al minimo i volumi di carta, secondo la regola: “quello che nasce digitale rimane digitale“. Cosa succede però quando abbiamo la necessità di far firmare un documento ad un soggetto che non è in possesso di un dispositivo di firma digitale? Le soluzioni sono semplici: o stampiamo il documento e lo facciamo firmare normalmente, e poi lo trattiamo da documento analogico, oppure possiamo dotarci di strumenti per la firma grafometrica.
Ma cosa si intende per firma grafometrica? E’ semplicemente un dispositivo, formato da un tablet, una penna ed un software, che consentono di firmare un documento informatico, generalmente in formato pdf, a mano libera come se fosse un comune documento cartaceo. Mentre il soggetto firma verranno registrate le caratteristiche della sua firma, come pressione, accelerazione, velocità e il dato biometrico contenente queste caratteristiche viene criptato all’interno del documento firmato. In caso ci dovesse essere bisogno di fare una perizia su quella firma, tramite una master key, o master password in possesso di un soggetto terzo e attraverso una specifica richiesta, sarà possibile estrarre il dato biometrico dal documento per farci le perizie del caso.
Tuttavia, per dare pieno valore legale ai nostri documenti digitali firmati con questo strumento, non basta un tablet ed un software, ma bisogna configurare un processo che renda il nostro strumento di firma grafometrica una firma elettronica avanzata (FEA). Per meglio comprendere cosa si intende per Firma Elettronica Avanzata ci rifacciamo al D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale – CAD) il quale all’Art. 1 da la definizione dei vari tipi di firma elettronica, ed in particolare:
- Firma Elettronica: “l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.
- Firma Elettronica Avanzata: “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
Si può immediatamente notare che a differenza della firma elettronica semplice, che il legislatore ha volutamente definito il termini molto generali, non specificando quali debbano essere i livelli di sicurezza o le caratteristiche della firma, nella FEA compaiono caratteristiche che la differenziano e ne aumentano la sicurezza rispetto alla firma elettronica semplice. In primo luogo ci deve essere un’identificazione del firmatario, deve essere dunque certa l’identità di chi firma. In secondo luogo deve esserci una connessione univoca della firma al firmatario, ogni singola firma deve essere connessa ad uno ed un solo soggetto. Terzo elemento fondamentale è il controllo esclusivo: chi firma deve essere sempre in grado di vedere cosa sta firmando, dove e come, deve esserci sempre la totale trasparenza durante tutto il processo di firma. Ultimo elemento ma di fondamentale importanza, il documento non deve poter essere più modificato dopo l’apposizione della firma, e deve esserci il modo di verificare che non abbia subito modifiche.
Se riusciamo ad ottenere dunque un processo che ci consente di:
- identificare il firmatario;
- associare univocamente la firma al firmatario;
- dare un controllo esclusivo al firmatario durante il processo di firma;
- impedire la modifica del documento dopo la firma;
allora il nostro strumento di firma grafometrica avrà le caratteristiche di FEA e per tanto pieno valore legale, come disciplinato dall’Art. 21 del Codice dell’Amministrazione Digitale: “Il documento informatico, cui è apposta una firma elettronica, sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.”
La FEA dunque non rappresenta solo uno strumento, ma è un processo che deve essere completato facendo particolare attenzione a verificare che siano inclusi e verificati tutti i passaggi fondamentali che la normativa ci richiede al fine di ottenere un documento informatico valido a norma di legge.
Una piccola parentesi va aperta per quanto riguarda l’aspetto privacy di questo strumento. Con il Provvedimento del Garante per la protezione dei dati personali del 12 novembre 2014, pubblicato in G.U. n. 280 il 2 dicembre 2014, che espone di adempimenti in tema di biometria e sottoscrizione dei documenti informatici a mezzo firma grafometrica, c’è stata una semplificazione per gli adempimenti da adottare. Infatti, se lo strumento della firma grafometrica è utilizzato per la firma di documenti digitali, e vengono rispettate le misure di sicurezza previste dal Provvedimento sopracitato, non è più necessario richiedere l’autorizzazione preventiva al Garante.