Garante Privacy: sì alla firma grafometrica per i servizi bancari, purché sia una “firma elettronica avanzata”
In data 12 settembre 2013, il Garante della Privacy si è pronunciato a favore dell’utilizzo della firma grafometrica da parte di una Banca, ammettendo il trattamento dei dati personali (anche biometrici) purché:
1. la stessa adempia alle disposizioni del Codice Privacy
2. il particolare tipo di firma rientri nell’alveo della cosiddetta firma elettronica avanzata ˗ così come delineata dal Codice dell’Amministrazione Digitale (CAD) e dal d.P.C.M 22 febbraio 2013 ˗ quale sistema in grado di attestare con certezza l’identificazione del sottoscrittore, nonché l’integrità e immodificabilità del documento firmato.
L’Autorità accoglie l’istanza di verifica preliminare presentata dalla Banca, avente ad oggetto il sistema di firma grafometrica appositamente creato per migliorare i processi di interazione tra banca e clienti ˗ mediati dall’attività dei promotori ˗ nonché al fine di assicurare più elevati standard di sicurezza per i servizi finanziari.
La firma grafometrica oggetto della disamina è un particolare sistema di sottoscrizione˗identificazione basato sull’utilizzo combinato di firme elettroniche, unito alla contestuale raccolta di dati personali e biometrici.
Nello specifico, il promotore finanziario utilizza un dispositivo di firma (tablet) con il quale raccoglie l’immagine della sottoscrizione, nonché il ritmo, la velocità, la pressione, l’accelerazione, il movimento. Tali dati vengono sottoposti ad una doppia cifratura: la prima attraverso chiave simmetrica e la seconda mediante chiave pubblica associata ad un certificato di firma, cosiddetto “certificato di protezione della Banca”, contenuto nel dispositivo stesso (tablet).
In questa fase la procedura di raccolta, crittazione e incorporazione dei dati nel documento garantisce l’impossibilità di risalire alle condizioni di salute dei firmatari. Particolare attenzione va però posta sull'ulteriore garanzia derivante dal fatto che il suddetto sistema di sottoscrizione, una volta che i dati sono incorporati nel documento, provvede alla cancellazione degli stessi attraverso la sovrascrittura della ram del dispositivo di firma. Inoltre, i dati di cui sopra non sono visibili “in chiaro”, se non nell’ipotesi, unica eccezione, di una decrittazione in presenza di richiesta delle Autorità competenti, nei soli casi stabiliti dalla legge.
I dati cifrati sono quindi inseriti in appositi campi del documento sottoscritto e registrato in formato .pdf, il quale successivamente viene inviato attraverso un canale di comunicazione cifrata al sistema documentale della Banca e alla Società incaricata della gestione/conservazione degli stessi, in conformità ai requisiti previsti dal CAD.
Inoltre, al fine di consentire la successiva verifica circa l’integrità della firma e del documento informatico su cui è apposta, sono generate stringhe di hash mediante crittografia basata su chiave pubblica associata ad un certificato rilasciato dalla Società incaricata della conservazione a norma.
Alla luce del sistema così delineato, l’Autorità esamina l’adempimento degli obblighi previsti dalla normativa privacy riscontrando in positivo:
1. il rispetto dei principi di necessità, liceità, finalità e proporzionalità del trattamento in quanto il sistema è preordinato alla raccolta di circoscritte informazioni, per di più non “in chiaro”, il trattamento è lecito ai sensi della documentazione prodotta e dichiarazioni rese anche ai sensi dell’articolo 169, i dati sono conservati nei limiti delle finalità (indicate agli interessati, ai sensi dell’articolo 11, comma 1 , lettera b) e per periodo di tempo stabilito dalle disposizioni del Codice Civile e Testo Unico Bancario;
2. l’esistenza di idonea informativa (in cui è dichiarato il carattere facoltativo del conferimento dei dati) per la richiesta di del libero consenso, ai sensi dell'articolo 13 e 23;
3. la corretta indicazione dei soggetti titolari, responsabili e incaricati del trattamento (nell’ordine Banca, Società incaricata della conservazione dei documenti, promotori finanziari);
4. l’adozione di idonee misure di sicurezza, tra cui il fatto che la società preposta al rilascio dei certificati di firma e di cifratura sia accreditata presso l’Agenzia per l’Italia Digitale, nonché il fatto che la chiave privata e il relativo codice di sblocco associati al “certificato di protezione della Banca” sono tenuti separati.
Pertanto il Garante avvalla l’utilizzo di tale sistema previa continua ottemperanza ai suddetti obblighi e sino a che il sistema di firma ˗ il quale allo stato attuale soddisfa i requisiti previsti dal CAD e le specifiche tecniche stabilite dall’ISO/IEC 27001:2005 nonché determina un trattamento effettuato con le modalità indicate e nei limiti delle finalità dichiarate ˗ non violi l’articolo 11 comma 1 lettera a) e b) del Codice Privacy.
L’autorità aggiunge inoltre che, qualora non siano ancora state previste, devono essere predisposte, al fine di garantire costante riservatezza dei dati e sicurezza dei sistemi di firma:
(i) misure per ridurre i rischi di installazione abusiva di software e malware ovvero di modificazione della configurazione del dispositivo;
(ii) sistemi di gestione del dispositivo, anche attraverso funzionalità remote di wiping da applicare in caso di smarrimento;
(iii) policy per la gestione degli incidenti.
In data 12 settembre 2013, il Garante della Privacy si è pronunciato a favore dell’utilizzo della firma grafometrica da parte di una Banca, ammettendo il trattamento dei dati personali (anche biometrici) purché:
1. la stessa adempia alle disposizioni del Codice Privacy
2. il particolare tipo di firma rientri nell’alveo della cosiddetta firma elettronica avanzata ˗ così come delineata dal Codice dell’Amministrazione Digitale (CAD) e dal d.P.C.M 22 febbraio 2013 ˗ quale sistema in grado di attestare con certezza l’identificazione del sottoscrittore, nonché l’integrità e immodificabilità del documento firmato.
L’Autorità accoglie l’istanza di verifica preliminare presentata dalla Banca, avente ad oggetto il sistema di firma grafometrica appositamente creato per migliorare i processi di interazione tra banca e clienti ˗ mediati dall’attività dei promotori ˗ nonché al fine di assicurare più elevati standard di sicurezza per i servizi finanziari.
La firma grafometrica oggetto della disamina è un particolare sistema di sottoscrizione˗identificazione basato sull’utilizzo combinato di firme elettroniche, unito alla contestuale raccolta di dati personali e biometrici.
Nello specifico, il promotore finanziario utilizza un dispositivo di firma (tablet) con il quale raccoglie l’immagine della sottoscrizione, nonché il ritmo, la velocità, la pressione, l’accelerazione, il movimento. Tali dati vengono sottoposti ad una doppia cifratura: la prima attraverso chiave simmetrica e la seconda mediante chiave pubblica associata ad un certificato di firma, cosiddetto “certificato di protezione della Banca”, contenuto nel dispositivo stesso (tablet).
In questa fase la procedura di raccolta, crittazione e incorporazione dei dati nel documento garantisce l’impossibilità di risalire alle condizioni di salute dei firmatari. Particolare attenzione va però posta sull'ulteriore garanzia derivante dal fatto che il suddetto sistema di sottoscrizione, una volta che i dati sono incorporati nel documento, provvede alla cancellazione degli stessi attraverso la sovrascrittura della ram del dispositivo di firma. Inoltre, i dati di cui sopra non sono visibili “in chiaro”, se non nell’ipotesi, unica eccezione, di una decrittazione in presenza di richiesta delle Autorità competenti, nei soli casi stabiliti dalla legge.
I dati cifrati sono quindi inseriti in appositi campi del documento sottoscritto e registrato in formato .pdf, il quale successivamente viene inviato attraverso un canale di comunicazione cifrata al sistema documentale della Banca e alla Società incaricata della gestione/conservazione degli stessi, in conformità ai requisiti previsti dal CAD.
Inoltre, al fine di consentire la successiva verifica circa l’integrità della firma e del documento informatico su cui è apposta, sono generate stringhe di hash mediante crittografia basata su chiave pubblica associata ad un certificato rilasciato dalla Società incaricata della conservazione a norma.
Alla luce del sistema così delineato, l’Autorità esamina l’adempimento degli obblighi previsti dalla normativa privacy riscontrando in positivo:
1. il rispetto dei principi di necessità, liceità, finalità e proporzionalità del trattamento in quanto il sistema è preordinato alla raccolta di circoscritte informazioni, per di più non “in chiaro”, il trattamento è lecito ai sensi della documentazione prodotta e dichiarazioni rese anche ai sensi dell’articolo 169, i dati sono conservati nei limiti delle finalità (indicate agli interessati, ai sensi dell’articolo 11, comma 1 , lettera b) e per periodo di tempo stabilito dalle disposizioni del Codice Civile e Testo Unico Bancario;
2. l’esistenza di idonea informativa (in cui è dichiarato il carattere facoltativo del conferimento dei dati) per la richiesta di del libero consenso, ai sensi dell'articolo 13 e 23;
3. la corretta indicazione dei soggetti titolari, responsabili e incaricati del trattamento (nell’ordine Banca, Società incaricata della conservazione dei documenti, promotori finanziari);
4. l’adozione di idonee misure di sicurezza, tra cui il fatto che la società preposta al rilascio dei certificati di firma e di cifratura sia accreditata presso l’Agenzia per l’Italia Digitale, nonché il fatto che la chiave privata e il relativo codice di sblocco associati al “certificato di protezione della Banca” sono tenuti separati.
Pertanto il Garante avvalla l’utilizzo di tale sistema previa continua ottemperanza ai suddetti obblighi e sino a che il sistema di firma ˗ il quale allo stato attuale soddisfa i requisiti previsti dal CAD e le specifiche tecniche stabilite dall’ISO/IEC 27001:2005 nonché determina un trattamento effettuato con le modalità indicate e nei limiti delle finalità dichiarate ˗ non violi l’articolo 11 comma 1 lettera a) e b) del Codice Privacy.
L’autorità aggiunge inoltre che, qualora non siano ancora state previste, devono essere predisposte, al fine di garantire costante riservatezza dei dati e sicurezza dei sistemi di firma:
(i) misure per ridurre i rischi di installazione abusiva di software e malware ovvero di modificazione della configurazione del dispositivo;
(ii) sistemi di gestione del dispositivo, anche attraverso funzionalità remote di wiping da applicare in caso di smarrimento;
(iii) policy per la gestione degli incidenti.
