g-docweb-display Portlet

Sistema di firma elettronica avanzata grafometrica. Verifica preliminare - 4 giugno 2015 [4172308]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4172308]

Sistema di firma elettronica avanzata grafometrica. Verifica preliminare - 4 giugno 2015

Registro dei provvedimenti
n. 336 del 4 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTO il d.lgs. 7 marzo 2005, n. 82, recante il "Codice dell´amministrazione digitale";

VISTO il d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71";

VISTO il provvedimento del Garante del 12 novembre 2014, come modificato dal provvedimento del 15 gennaio 2015 (docc. web nn. 3556992 e 3701432);

VISTA la richiesta di verifica preliminare presentata dal XY ai sensi dell´art. 17 del Codice;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Il sistema proposto.

1.1. Il XY, con nota del 3 marzo 2015, successivamente integrata con la comunicazione del 10 aprile 2015, ha presentato a questa Autorità, ai sensi dell´art. 17 del Codice, una richiesta di verifica preliminare relativa all´utilizzo di un sistema di firma elettronica avanzata grafometrica e alla connessa fornitura di tecnologie per la securizzazione dei processi di generazione, deposito ed estrazione di dati criptati ed escrow di chiave per la decifratura di dati biometrici.

Il XY istante intende offrire ai propri clienti un sistema di firma elettronica avanzata grafometrica per la sottoscrizione delle ricevute di consegna delle copie conformi notarili degli atti dalla stessa stipulati.

In qualità di notaio fornitore/erogatore/gestore di F.E.A. (firma elettronica avanzata), nonché di titolare del trattamento dei dati, l´istante vorrebbe avvalersi, nella fase della protezione del dato biometrico, di un particolare servizio di certificazione notarile, c.d. "deposito in escrow di chiavi di cifratura per servizi di FEA", fornito da eWitness Italia s.r.l.

La peculiarità del processo eWitness è il sistema di conservazione a norma e certificazione notarile che consentirebbe di preservare la confidenzialità e la riservatezza della chiave privata di decifratura di dati biometrici garantendo, al contempo, mediante l´assistenza di un notaio (aderente al sistema eWitness), l´efficienza di tutti i servizi attinenti all´escrow di chiavi di cifratura.

Il sistema proposto dal titolare (c.d. notaio gestore) non rientra nei casi di esonero dall´obbligo di presentazione dell´istanza di verifica preliminare previsti dal provvedimento generale del Garante del 12 novembre 2014. Il citato provvedimento (punto 4.4, lett. d))  stabilisce, infatti, che alla chiave privata sia associato un certificato digitale emesso da un certificatore accreditato ai sensi dell´art. 29 del Codice dell´amministrazione digitale (CAD).

Ewitness Italia s.r.l. pur non essendo un soggetto certificatore accreditato ai sensi del CAD, utilizzerebbe, come asserito dall´istante, procedure e tecnologie adatte a soddisfare i requisiti di sicurezza previsti dalla normativa vigente e dal richiamato provvedimento del Garante.

1.2. Il sistema in esame consterebbe, sulla base delle dichiarazioni fornite, di tre distinte fasi la cui interdipendenza, unitamente alla indivisibilità operativa, renderebbe il processo altamente sicuro oltre che certificabile (in ogni sua fase) da un soggetto terzo, non operante in conflitto di interesse con alcuna delle parti coinvolte.

Nel caso di specie il soggetto terzo individuato da eWitness Italia s.r.l., cui la stessa fornirebbe la tecnologia e le infrastrutture dedicate per l´erogazione del servizio, sarebbe un notaio.

A tale notaio sarebbe affidato il ruolo di responsabile della generazione e della conservazione della coppia di chiavi crittografiche (c.d. notaio-responsabile).

Per soddisfare i requisiti di terzietà e indipendenza, il notaio responsabile – su incarico del notaio gestore del servizio di firma grafometrica (con valenza di firma elettronica avanzata) – procederebbe personalmente alla generazione, al frazionamento, alla ricomposizione e all´utilizzo della chiave privata per la decifratura del dato biometrico criptato, mediante la creazione di una virtual room di certificazione notarile di sua proprietà e sotto il suo esclusivo controllo.

Al fine di garantire la riservatezza della chiave privata di decifratura, il notaio responsabile procederebbe alla generazione della coppia di chiavi in una data concordata con il notaio gestore.

La virtual room, generata nell´ambiente eWitness Italia srl, quale luogo utilizzato per la generazione della coppia di chiavi, sarebbe munita del solo sistema operativo, dei programmi e dei dati essenziali per il compimento delle operazioni di seguito descritte.

Il controllo esclusivo e diretto delle operazioni compiute dal notaio responsabile consentirebbe di escludere ogni possibilità di copiatura, duplicazione o alterazione dei dati.

Generata la chiave pubblica di cifratura e la chiave privata di decifratura, il notaio responsabile procederebbe – sempre all´interno della virtual room in cui l´ha generata – al frazionamento della chiave privata di decifratura in tre frazioni ridondanti, per cui sarebbero sufficienti due frazioni su tre a ricostruire la stessa.

Tutte le operazioni compiute dal notaio responsabile all´interno della virtual room sarebbero monitorate e tracciate. Il file di log (daily log) di tutte le operazioni, creato in formato sicuro, verrebbe firmato digitalmente dallo stesso notaio responsabile per essere allegato al verbale delle operazioni.

A conclusione di tali operazioni il notaio responsabile garantirebbe in modo sicuro la cancellazione di tutti gli applicativi utilizzati e dei dati in essi contenuti, rendendone tecnicamente impossibile il recupero successivo.

1.3. Il notaio responsabile, sempre all´interno della virtual room eWitness e senza che il dato possa lasciare in alcun modo il perimetro di sicurezza dell´ambiente virtuale sicuro, invierebbe al sistema di conservazione eWitness le frazioni di chiave privata di decifratura. L´invio consentirebbe al notaio responsabile di accedere al sistema di conservazione solamente per eseguire il deposito delle frazioni di chiave privata di decifratura ma non anche la loro estrazione.

In particolare, due frazioni su tre dell´originaria chiave privata di decifratura sarebbero messe a disposizione in una partizione dedicata del sistema di conservazione a due ulteriori notai designati quali co-responsabili della conservazione.

Il frazionamento della chiave privata di decifratura renderebbe, infatti, i professionisti coinvolti, congiuntamente, responsabili della conservazione. La funzione di responsabilità degli ulteriori pubblici ufficiali consentirebbe, inoltre, di non attribuire in via diretta la confidenzialità della singola frazione di chiave al corrispondente soggetto designato. In questo modo la disponibilità della singola frazione non sarebbe sufficiente a ricostruire la totalità della chiave privata di decifratura.

Una volta conclusa tale ultima operazione, il notaio responsabile procederebbe alla cancellazione sicura della chiave privata di decifratura provvedendo, in seguito, alla cancellazione sicura della virtual room eWitness e di tutte le applicazioni e dei dati in essa contenuti.

Durante tutte le operazioni, almeno un altro notaio e un responsabile tecnico per la sicurezza eWitness assisterebbero come testimoni, al fine di assicurare che nessuno venga in possesso di una copia della chiave privata di decifratura, fino alla sua completa cancellazione.

Anche il sistema di conservazione eWitness, per garantire l´esigenza di riservatezza e di immodificabilità di tutto il patrimonio di dati conservati, memorizzerebbe tutti gli accessi e tutte le operazioni effettuate dal notaio responsabile e dagli altri pubblici ufficiali coinvolti nel processo di conservazione a norma, munendo il file di log (daily log) di marca temporale.

Il daily log del sistema di conservazione sarebbe quotidianamente controfirmato dal notaio responsabile e dagli altri notai co-responsabili del processo di conservazione a norma; in questo modo sarebbe impossibile accedere al dato conservato e decifrato senza lasciare tracce nel sistema.

L´utilizzo della virtual room, unitamente al sistema di file log, garantirebbe a tutti i soggetti coinvolti di verificare in tempo reale le operazioni svolte dal notaio responsabile, escludendo in tal modo ogni possibilità di duplicazione, copiatura o alterazione del dato in chiaro.

A chiusura della prima fase di operazioni finalizzate alla generazione della coppia di chiavi e al frazionamento della chiave privata di decifratura, il notaio responsabile redigerebbe, per atto pubblico notarile, un verbale di quanto avvenuto in sua presenza, adempiendo così a un preciso dovere di documentazione. Il verbale così formato verrebbe poi sottoscritto anche dal notaio e dal responsabile tecnico per la sicurezza presenti come testimoni.

1.4. L´utilizzo della tipologia di sottoscrizione sopra descritta consentirebbe di sostituire i documenti cartacei con i documenti informatici, in grado di rendere più veloce l´operazione di raccolta della sottoscrizione del cliente, garantendo la medesima validità ed efficacia probatoria dei tradizionali documenti cartacei, ai sensi degli artt. 2702 e 1350, c.c..

Il trattamento dei dati biometrici derivanti dall´utilizzo della firma elettronica avanzata avverrebbe nel rispetto dei principi di necessità e proporzionalità.

Il sistema di rilevazione di dati biometrici sarebbe configurato solo per l´acquisizione dei dati indispensabili per l´apposizione di una sottoscrizione informatica conforme ai requisiti minimi legali della firma elettronica avanzata.

Le informazioni inerenti alla posizione, al tempo e alla pressione del segno grafometrico verrebbero raccolte in modo assolutamente "acritico" e trasformate in una stringa di dati binari, senza rendere, in alcun caso, le suddette caratteristiche analizzabili, nemmeno incidentalmente, al fine di risalire ad informazioni che potrebbero riguardare lo stato di salute dell´interessato. Nel caso di patologie inerenti l´instabilità del tratto nel tempo, le informazioni della sottoscrizione sarebbero identiche a quelle grafiche desumibili da una sottoscrizione cartacea.

Le operazioni di trattamento si svolgerebbero in uno studio notarile per atti che prevedono la presenza del pubblico ufficiale e, dunque, sarebbe sempre prevista l´identificazione del firmatario.

Le operazioni di conservazione del documento di riconoscimento si svolgerebbero in conformità all´art. 57, comma 1, lett. b), dPCM 22 febbraio 2013. In particolare, la copia del documento di riconoscimento sarebbe conservata per vent´anni.

Qualora l´utente non intendesse autorizzare l´utilizzo dei dati biometrici, il servizio di firma grafometrica non sarebbe attivato, con la conseguenza che i documenti da sottoscrivere fra le parti sarebbero presentati nel tradizionale formato cartaceo.

I dati biometrici grezzi verrebbero cancellati con operazioni di wiping (sovrascrittura con zeri binari e rilascio dell´area di memoria dopo la sovrascrittura) dopo il tempo minimo necessario alla loro elaborazione per il passaggio al PC sul canale cifrato ai fini della creazione del pacchetto biometrico da inserire nel documento sottoscritto. I dati sarebbero successivamente accessibili solo su richiesta dell´autorità giudiziaria utilizzando esclusivamente la procedura di escrow oggetto dell´istanza di verifica preliminare.

Il procedimento di firma avverrebbe su dispositivi di acquisizione di tipo tablet e l´avvio del procedimento di sottoscrizione sarebbe sempre successivo all´attivazione della cifratura del canale di trasmissione Tablet – PC che utilizza l´algoritmo AES128. I dati biometrici verrebbero decifrati dal driver che controlla la porta USB di connessione al PC. Non sarebbero previste operazioni che utilizzino sottoscrizioni tramite server.

Le postazioni informatiche e i dispositivi destinati a realizzare il sistema di firma grafometrica sarebbero configurati sotto il controllo degli amministratori di sistema incaricati dal titolare. A livello di dominio sarebbero gestite le policy di sicurezza che impedirebbero agli operatori di installare software aggiuntivo e/o modificare la configurazione di sistema. Verrebbero effettuati periodici controlli e audit al fine di verificare la coerenza delle policy definite.

Le postazioni informatiche sarebbero protette da firewall perimetrale. Su tutte le postazioni informatiche sarebbe presente un  software antivirus-antimalware costantemente aggiornato in grado di identificare proattivamente i file a rischio e bloccare le minacce zero-day.

Le policy del software antivirus-antimalware verrebbero definite centralmente dall´amministratore di sistema e non sarebbero alterabili dagli operatori. Anche in questo caso verrebbero effettuati periodici controlli e audit al fine di valutare l´adeguatezza dei sistemi in uso rispetto all´evoluzione tecnologica. Infine, non verrebbero utilizzati dispositivi in mobilità.

2. Le valutazioni dell´Autorità.

2.1. La verifica preliminare presentata all´Autorità ha ad oggetto un trattamento di dati personali biometrici nell´ambito di un sistema di sottoscrizione di documenti informatici mediante firma elettronica avanzata basata su un procedimento grafometrico.

In proposito, deve evidenziarsi che il Gruppo per la tutela dei dati personali ex art. 29 della direttiva 95/46/Ce ha ritenuto che l´utilizzo di sistemi basati sull´impiego di dispositivi in grado di rilevare le caratteristiche "dinamiche" della firma determini un trattamento di dati biometrici di natura comportamentale, come tale riconducibile nell´ambito di applicazione della disciplina in materia di protezione dei dati personali (cfr. documento di lavoro sulla biometria del 1° agosto 2003, Wp 80; cfr. altresì Parere 3/2012 sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193).

Ciò premesso, occorre valutare, se il sistema in esame  possa reputarsi conforme alla disciplina del Codice, con particolare riferimento all´osservanza dei principi di necessità, liceità, finalità e proporzionalità (artt. 3 e 11, comma 1, lett. a), b) e d), del d.lgs. n. 196 del 2003);

2.2. A fronte della documentazione prodotta e delle dichiarazioni rese, il trattamento dei dati biometrici che il Notaio istante intende effettuare risulta lecito.

Occorre, infatti, sottolineare, che dal punto di vista generale, l´utilizzabilità dei dati biometrici nelle procedure di firma dei documenti informatici è già espressamente prevista, a livello normativo, dal d.P.C.M. 22 febbraio 2013 (recante la disciplina tecnica di attuazione delle relative disposizioni contenute nel Codice dell´amministrazione digitale).

In disparte tale riferimento, non si può non rilevare che il sistema proposto, da un lato, contribuirebbe a contrastare eventuali tentativi di frode e il fenomeno dei furti di identità e, dall´altro, sarebbe idoneo a rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale.

Inoltre, nella misura in cui il sistema prospettato risulti effettivamente conforme al quadro normativo vigente, si può ragionevolmente ritenere che il trattamento dei dati biometrici dei firmatari, avvenendo sulla base del libero consenso degli interessati e per il perseguimento di legittime finalità rese preventivamente note a questi ultimi (artt. 13 e 23 del Codice), possa anche soddisfare i requisiti di cui all´art. 11, comma 1, lett. a) e b), del Codice.

Per quanto attiene, poi, all´osservanza dei princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), occorre sottolineare che il sistema descritto, alla luce delle dichiarazioni rese, risulta preordinato all´acquisizione delle sole informazioni pertinenti rispetto alla finalità di autenticazione degli interessati.

2.3. Sotto il profilo della sicurezza dei dati trattati, occorre notare che il sistema proposto dal titolare risulta essere conforme a quanto previsto nel parg. 4.4. del Provvedimento generale del Garante in materia di biometria del 12 novembre 2014, con particolare riguardo alle caratteristiche tecniche e alle prescrizioni ivi individuate, ad esclusione di quanto previsto dalla lettera d), relativamente alla previsione di utilizzare, ai fini della cifratura dei dati biometrici, un certificato digitale emesso da un certificatore accreditato ai sensi dell´art. 29 del Codice dell´amministrazione digitale.

Il sistema proposto, infatti:

• Prevede l´identificazione del firmatario preliminarmente all´attivazione del processo di firma.

• Prevede la disponibilità di sistemi alternativi di sottoscrizione, che non comportino l´utilizzo di dati biometrici.

• Garantisce l´immediata cancellazione dei dati biometrici grezzi e dei campioni biometrici, una volta completato il processo di sottoscrizione.

• Prevede la cifratura della trasmissione dei dati biometrici tra sistemi hardware di acquisizione e postazioni informatiche.

• Adotta misure tali da non consentire l´installazione di software o di modificare la configurazione delle postazioni informatiche e dei dispositivi utilizzati.

• Utilizza un firewall perimetrale e un software antivirus per proteggere i sistemi informatici contro l´azione di malware  e contro i tentativi di accesso abusivo alla rete e ai dati.

Per quanto concerne, invece, le prescrizioni relative al soggetto deputato all´emissione dei certificati digitali di cifratura, nella soluzione proposta, è il notaio responsabile a generare, nella virtual room di certificazione notarile, una coppia di chiavi  crittografiche.

Una volta generate le chiavi crittografiche, il notaio responsabile  procede alla frammentazione della chiave privata di decifratura in tre frazioni ridondanti. Due frazioni su tre della chiave privata di decifratura sono messe a disposizione di due ulteriori notai così da permetterne la conservazione separata.

Conclusa tale ultima operazione, il notaio responsabile cancella in modo irreversibile la chiave privata di decifratura, la virtual room e tutti i dati e le applicazioni in essa contenuti.

Tutte le operazioni si svolgono alla presenza di un altro notaio e del responsabile tecnico per la sicurezza, in qualità di testimoni.

Al termine delle operazioni il notaio responsabile redige, per atto pubblico notarile, un verbale di quanto avvenuto in sua presenza, sottoscritto anche dal notaio e dal responsabile tecnico per la sicurezza presenti.

Tanto premesso, considerata la particolare natura dei soggetti coinvolti nelle operazioni descritte, l´autorevolezza delle evidenze documentali dell´intero processo, realizzate mediante atti pubblici notarili e le misure tecniche implementate, si ritiene che la soluzione proposta garantisca un livello di sicurezza non inferiore a quello individuato dal richiamato Provvedimento generale, con particolare riguardo alla catena di sicurezza di generazione e di conservazione delle chiavi asimmetriche di cifratura.

3. Ulteriori adempimenti.

3.1. Preso atto del trattamento che il notaio istante intende svolgere, si ritiene comunque opportuno, prescrivere, ai sensi dell´art. 17 del Codice, le seguenti ulteriori misure a garanzia degli interessati.

Ferma restando la necessità di attenersi scrupolosamente alle finalità e modalità di trattamento indicate, il titolare del trattamento dovrà fornire agli interessati, oltre agli elementi di cui all´art. 13 del Codice, le indicazioni relative alle caratteristiche del sistema proposto, mettendo in rilievo la possibilità, per coloro che non intendano autorizzare l´utilizzo dei dati biometrici nell´ambito della prospettata soluzione, di avvalersi delle tradizionali modalità di autenticazione e di sottoscrizione degli atti.

Resta fermo che i dati biometrici dei firmatari potranno essere conservati per il solo periodo di tempo strettamente necessario al perseguimento degli scopi per i quali gli stessi sono stati raccolti e successivamente trattati (art. 11, comma 1, lett. e), del Codice), salva la possibilità di una ulteriore conservazione in ragione di specifiche previsioni normative o della tutela di eventuali diritti in sede giudiziaria.

Resta, inoltre, inteso che i dati biometrici dei firmatari non potranno essere utilizzati in operazioni di trattamento non compatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice).

Il titolare, infine, ai sensi dell´art. 37 del Codice, dovrà effettuare la notificazione all´Autorità prima che il trattamento di dati biometrici, correlato all´utilizzo del sistema proposto, abbia inizio.

3.2. Altri Notai che, in qualità di titolari, intendessero effettuare un analogo trattamento di dati biometrici in conformità alle misure indicate e agli accorgimenti prescritti nel presente provvedimento, non sono tenuti a presentare una nuova richiesta di verifica preliminare a questa Autorità.

TUTTO CIÒ PREMESSO, IL GARANTE

a conclusione della verifica preliminare presentata dal XY, relativamente all´utilizzo del sistema di sottoscrizione di documenti informatici tramite firma elettronica avanzata grafometrica, autorizza il trattamento dei dati biometrici e, a tal fine, prescrive al XY istante, ai sensi dell´art. 17 del Codice, di:

– fornire agli interessati, oltre agli elementi di cui all´art. 13 del Codice, le indicazioni relative alle caratteristiche del sistema proposto, mettendo in rilievo la possibilità, per coloro che non intendano autorizzare l´utilizzo dei dati biometrici nell´ambito della prospettata soluzione, di avvalersi delle tradizionali modalità di autenticazione;

– conservare i dati biometrici dei firmatari per il solo periodo di tempo strettamente necessario al perseguimento degli scopi per i quali gli stessi sono stati raccolti e successivamente trattati (art. 11, comma 1, lett. e), del Codice), salva la possibilità di una ulteriore conservazione in ragione di specifiche previsioni normative o della tutela di eventuali diritti in sede giudiziaria;

– non utilizzare  i dati biometrici dei firmatari in operazioni di trattamento non compatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice).

Si ricorda altresì al titolare del trattamento di effettuare, ai sensi dell´art. 37 del Codice, la notificazione all´Autorità prima che il trattamento di dati biometrici, correlato all´utilizzo del sistema proposto, abbia inizio.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 4 giugno 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
4172308
Data
04/06/15

Argomenti


Tipologia

Verifica preliminare

Vedi anche (9)