FIRMA ELETTRONICA AVANZATA
Caratteristiche Tecnologiche del sistema realizzato dalla Banca del Fucino S.p.A. firma elettronica avanzata
(ai sensi dell'art. 57, lett.e) e delle Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digital, pubblicate in Gazzetta Ufficiale n. 117 del 21.05.2013, attuative del Codice dell'Amministrazione Digitale - decreto legislativo 07.03.2005, n.82 e successive modificazioni).
Data ultimo aggiornamento 15/02/2021
La Banca del Fucino S.p.A. (di seguito anche più brevemente “la Banca”) mette a disposizione della clientela, per gran parte dei documenti, quali ordini e copie contabili, la possibilità di firma su tavoletta digitale in sostituzione della firma su carta.
Questa tecnologia permette di offrire un servizio più veloce e sicuro e contribuisce anche al rispetto dell'ambiente, eliminando la stampa del documento da firmare (che appunto viene firmato direttamente in formato digitale).
La "Firma Grafometrica" (la firma apposta su tablet con una particolare penna) è regolata, ammessa e anzi favorita dalla normativa vigente, ed in particolare:
- dal cosiddetto "Codice dell’Amministrazione Digitale" (di cui al D.Lgs. 7 marzo 2005, n. 82 e successive modificazioni)
- dalle cosiddette "Regole Tecniche" (di cui al Decreto del Presidente del Consiglio dei Ministri del 22 febbraio 2013, di seguito indicato come “DPCM”),
- dal "Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014" (G.U. n. 280 del 2/12/2014), provvedimento n.513 del Garante per la protezione dei dati personali
I documenti firmati con la firma elettronica avanzata hanno un valore analogo a quelli con la firma autografa su carta, ed hanno infatti l’efficacia della scrittura privata.
Le “Regole Tecniche” prevedono che la Banca, come utilizzatrice della tecnologia di “Firma Elettronica Avanzata”, pubblichi nel proprio sito Internet le informazioni riportate nel seguito allo scopo di informare dettagliatamente il Cliente.
Il processo di Firma Elettronica Avanzata prescelto dalla Banca del Fucino S.p.A. (denominato FirmaEA) si basa essenzialmente sull’utilizzo della firma grafometrica, che si ottiene dal rilevamento dinamico dei dati calligrafici della sottoscrizione effettuata con apposita penna elettronica collegata ad una tavoletta grafica e prevede l’apposizione della firma autografa del cliente su un’apposita tavoletta di firma - o Tablet - che rileva le informazioni di biometria comportamentale (posizione, tempo, pressione, velocità, accelerazione) tipicamente analizzate da un perito calligrafo, e utilizzate per imputare univocamente una firma ad un determinato soggetto.
Per elaborare queste informazioni sono utilizzati specifici “device” (nel caso di specie i Tablet) e appositi software; questi ultimi hanno il compito di “pilotare” i device e acquisire i dati di biometria comportamentale.
L’utilizzo congiunto dei device, dello specifico software e delle soluzioni di certificazione consente di rendere autoconsistente il documento informatico (un documento è autoconsistente quanto contiene al suo interno tutti gli elementi necessari a stabilirne l’autenticità) che contiene i dati biometrici cifrati relativi alla sottoscrizione dell’utente nonché quanto dallo stesso sottoscritto; tali dati non sono organizzati e conservati in un database ma rimangono esclusivamente in forma criptata all’interno del documento informatico.
La Banca ha deciso di adottare il suddetto processo di Firma Elettronica Avanzata denominato FirmaEA, basato sulla firma Grafometrica, al fine di garantire quanto previsto dalla normativa in materia, e cioè:
a. l'identificazione del firmatario del documento;
b. la connessione univoca della firma al firmatario;
c. il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
d. la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma;
e. la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
f. l'individuazione del soggetto (ovvero la Banca del Fucino S.p.A.) che eroga soluzioni di firma elettronica avanzata;
g. l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
h. la connessione univoca della firma al documento sottoscritto.
Di seguito si specifica meglio, con riferimento ai punti dell’elenco sopra riportato, il processo adottato dalla Banca.
1. Identificazione del firmatario del documento (art. 56, comma 1, lettera a, del DPCM 22/02/2013).
La Banca, prima di far aderire il cliente alla soluzione FirmaEA, effettua l’identificazione del Cliente medesimo mediante un documento di identità in originale e in corso di validità, inoltre, al momento di ogni sottoscrizione, controlla l’identificazione effettuata.
2. Connessione univoca della firma al firmatario (art. 56, comma 1, lettera b, del DPCM 22/02/2013).
La connessione univoca della firma al firmatario è garantita:
- sia dall'identificazione certa del Cliente da parte dell'operatore della Banca che, per normativa, verifica sempre l'identità del soggetto che sta mettendo in atto l'operazione;
- sia dal fatto che la firma è apposta dal firmatario di suo pugno con penna elettronica su un apposito dispositivo (tablet) in presenza dell'operatore della Banca (non si tratta di firme da remoto) e dall'acquisizione/registrazione delle caratteristiche dinamiche della firma autografa (dati di biometria comportamentale) da parte della soluzione tecnologica.
Le caratteristiche registrate corrispondono alla scansione temporale di posizione, cioè il movimento, la velocità, l’accelerazione, la pressione acquisite con opportuna risoluzione. La suddetta rappresentazione informatica della firma racchiude informazioni superiori alla raccolta della firma autografa su carta e permette di effettuare l’eventuale perizia grafica, in modo del tutto equivalente ad una firma autografa su carta.
3. Garanzia del controllo esclusivo del firmatario del sistema di generazione della firma (art. 56, comma 1, lettera c, del DPCM 22/02/2013).
Durante la fase di firma, il sistema è sotto il controllo esclusivo del firmatario. Lo schermo del dispositivo di firma, il tablet, mostra i dati principali dell’operazione, consentendo al firmatario di verificare personalmente i propri dati. Durante l'apposizione della firma, lo schermo del tablet rappresenta in tempo reale il segno grafico tracciato ed apposite funzioni consentono al firmatario, in caso di errori, di cancellare la propria firma.
Meccanismi di sicurezza sviluppati nell’ambito del software di firma non permettono l’utilizzo di dati che non siano inseriti in modalità cosiddetta “live”: l’apposizione della firma è possibile soltanto online.
4. Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma (art. 56, comma 1, lettera d, del DPCM 22/02/2013).
L'integrità del documento informatico è presidiata dalla procedura di inserimento dei dati biometrici (criptati) del firmatario nel documento PDF e la successiva apposizione di una firma digitale della Banca a chiusura del processo.
Le tecnologie di firma elettronica utilizzate includono le impronte informatiche (hash) del contenuto soggetto a sottoscrizione. Il controllo della corrispondenza tra un'impronta ricalcolata e quella "sigillata" all'interno delle firme permette di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l'apposizione della firma.
5. Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto (art. 56, comma 1, lettera e, del DPCM 22/02/2013).
Prima di apporre la propria firma il Cliente/firmatario può visualizzare il contenuto in tutte le sue parti (per le contabili può visualizzare i dati principali dell’operazione da lui disposta). Le caratteristiche del dispositivo di firma elettronica avanzata sono opportunamente scelte per garantire la miglior leggibilità. Il firmatario riceve copia di quanto sottoscritto nelle forme convenute con la Banca.
6. Individuazione del soggetto erogatore della soluzione di firma elettronica avanzata (art. 56, comma 1, lettera f, del DPCM 22/02/2013).
La Banca del Fucino S.p.A. è il soggetto erogatore della soluzione di firma elettronica avanzata.
7. Assenza nell'oggetto della sottoscrizione di qualunque elemento idoneo a modificarne gli atti, i fatti e i dati in esso rappresentati (art. 56, comma 1, lettera g, del DPCM 22/02/2013).
La soluzione FirmaEA scelta dalla Banca utilizza solo documenti informatici in formati atti a garantire l'assenza, nell'oggetto della sottoscrizione, di qualunque elemento idoneo a modificare gli atti, i fatti e i dati in essi rappresentati.
8. Connessione univoca della firma al documento sottoscritto (art. 56, comma 1, lettera h, del DPCM 22/02/2013).
I dati della firma vengono inseriti nel documento in una struttura, detta "vettore grafometrico” che li unisce indissolubilmente all'impronta informatica del documento sottoscritto. Questa struttura è protetta con opportuna tecnica crittografica, al fine di preservare la firma da ogni possibilità di estrazione o duplicazione. La chiave crittografica per l'estrazione delle informazioni biometriche è in possesso di un soggetto terzo fiduciario designato da Cedacri S.p.A. (Sede Legale: Via del Conventino n. 1, 43044 Collecchio - PR), realizzatore della soluzione di Firma Elettronica Avanzata erogata dalla Banca del Fucno S.p.A. Al di fuori del normale processo online di cifratura e acquisizione della firma elettronica avanzata, che viene eseguito con modalità sicure, essa potrà essere usata soltanto in sede di perizia per attestare l'autenticità del documento e della sottoscrizione o comunque quando previsto dalla normativa vigente (si veda il successivo punto 18). In sostanza i dati grafometrici/biometrici vengono criptati/cifrati con un certificato la cui chiave non è in possesso della Banca, né di Cedacri, e legati indissolubilmente al documento informatico poiché lo stesso viene "sigillato" con la firma digitale della Banca.
9. Caratteristiche delle tecnologie utilizzate nel servizio di firma elettronica avanzata che consentono di garantire i requisiti di cui ai precedenti punti.
Il trasferimento dei dati e la loro memorizzazione nel "vettore grafometrico" è protetto con le seguenti tecnologie crittografiche:
- Algoritmo di firma: SHA256 RSA
- Chiave pubblica RSA 1024 bit
- Criptatura dei dati biometrici con firma di Cedacri SpA
- Firma del documento PDF con firma della Banca
10. Modalità attraverso cui i clienti possono richiedere copia gratuita del modulo di adesione, da questi sottoscritto, al servizio di firma elettronica avanzata.
I Clienti possono richiedere, gratuitamente, presso la propria Filiale di riferimento copia cartacea del modulo di adesione al servizio FirmaEA.
11. Modalità attraverso cui i clienti possono richiedere le informazioni di cui ai precedenti punti da 1 a 8.
Il presente documento, contenente le informazioni relative alle caratteristiche del servizio FirmaEA ed alle tecnologie su cui questo si basa, è pubblicato sul sito internet della Banca, www.bancafucino.it, risultando in tal modo sempre disponibile per i Clienti ed il pubblico in generale. Per ogni ulteriore informazione, è possibile inoltre fare riferimento alle Filiali della Banca.
12. Copertura assicurativa che Banca del Fucino S.p.A. è tenuta a stipulare per la responsabilità civile da danno a terzi per un ammontare non inferiore a euro cinquecentomila.
Come previsto dalla normativa vigente, la Banca ha provveduto a rinnovare in data 12/09/2020 specifica copertura assicurativa, con polizza n. IFL0011441 della Compagnia ECOM BROKER SRL, per la responsabilità civile da danno a terzi eventualmente derivante dalla fornitura del servizio di Firma Elettronica Avanzata.
13. Procedura di richiesta documenti
Il Cliente può ottenere copia di tutta la documentazione relativa al servizio FirmaEA o con questa sottoscritta.
In particolare, è possibile ottenere copia o duplicato de:
- il modello sottoscritto dal Cliente per l’adesione al servizio ed eventuali altre informazioni;
- i documenti sottoscritti con la Firma Elettronica Avanzata in modalità grafometrica.
I documenti in oggetto sono forniti al cliente su richiesta dello stesso alle Filiali della Banca.
14. Soluzione tecnologica utilizzata
La soluzione tecnologica utilizzata per FirmaEA in modalità grafometrica si compone di tre macroelementi:
- la postazione di sportello con il pad di visualizzazione del documento e raccolta di firma elettronica;
- le applicazioni informatiche di creazione del documento;
- la piattaforma di firma grafometrica, integrata con i servizi di certificazione digitale e conservazione del documento informatico.
La suddetta soluzione tecnologica implica che la Banca non conserva presso di sé i dati grafometrici/biometrici e non ne ha mai la visibilità "in chiaro". Infatti, l’applicazione informatica che riceve i dati grafometrici/biometrici dal device di raccolta li cifra direttamente all’interno della memoria del computer e successivamente li unisce al documento sottoscritto in forma cifrata.
Tutti i documenti restano disponibili sul sistema di conservazione per la durata prevista dalla legge.
15. Revoca del consenso da parte del cliente
Il Cliente può in qualsiasi momento revocare il consenso all’utilizzo del servizio FirmaEA sottoscrivendo con firma autografa su carta, presso gli sportelli della Banca, l’apposito modulo "Revoca Consenso e Servizio FirmaEA".
16. Servizio di assistenza
I Clienti che necessitino di assistenza, informazioni aggiuntive sul servizio FirmaEA o richiedano la cessazione del servizio medesimo possono rivolgersi ad una qualsiasi delle Filiali della Banca.
17. Modalità di generazione, consegna e conservazione delle chiavi di cifratura
Informazioni e documentazione circa le modalità di gestione delle chiavi di cifratura da parte dell’ente certificatore (Certification Authority) CedacriCert, società del gruppo Cedacri SpA, sono contenute nel sito web www.Cedacricert.it ed in particolare nel “Manuale Operativo Servizio CedacriCert” disponibile alla pagina http://www.cedacricert.it/cedacricert/Documentazione
Il processo di creazione della copia dei certificati per la singola banca e per una eventuale rigenerazione del certificato Cedacri è il seguente:
- richiesta formale da parte della Banca o di Cedacri;
- generazione da parte di Cedacri (Ufficio SICU) del certificato con chiave privata che viene installato in una smartkey;
- generazione del certificato con chiave pubblica a partire dal certificato contenuto nella smartkey;
- conservazione della smart key in modo sicuro fino alla sua consegna al soggetto terzo fiduciario, in alternativa, produzione dei due certificati in presenza del terzo fiduciario cui viene immediatamente consegnata la smartkey contenente la chiave privata;
- consegna al personale che cura l’implementazione del processo di Firma Elettronica Avanzata del certificato con chiave pubblica per il suo utilizzo all’interno del processo stesso.
18. Modalità di accesso alla firma grafometrica da parte del soggetto terzo di fiducia o da parte di tecnici qualificati
Nei soli casi in cui si renda indispensabile per l'insorgenza di un contenzioso sull'autenticità della firma e a seguito di richiesta dell'autorità giudiziaria è prevista la messa a disposizione del perito grafologo, nominato dalla parte interessata, di una postazione in ambiente sicuro dalla quale accedere ai dati grafometrici cifrati. Il perito grafologo dovrà essere in possesso della chiave di decifratura recuperata dal terzo fiduciario previa autorizzazione di Cedacri o dell’autorità giudiziaria.
La postazione in ambiente sicuro sarà resa disponibile in Cedacri e, avrà accessi in rete limitati a quanto necessario per le perizie, disporrà del software necessario all'interrogazione della base dati contenente i documenti con allegati i dati biometrici cifrati e disporrà del client per la decifratura e la visualizzazione dei dati biometrici per l'effettuazione della perizia.