RICONOSCIMENTO TRAMITE WEBCAM: TANTI I CAMPI IN CUI POTRÀ TROVARE FACILE APPLICAZIONE GRAZIE ANCHE ALL’IDENTITÀ DIGITALE

A CURA DELL’AVV.TO ROBERTO SCAVIZZI E IL PROF. STEFANO RUSSO, DOCENTI DI INFORMATICA GIURIDICA IN AMBITO INTERNAZIONALE PRESSO IL DIPARTIMENTO DI GIURISPRUDENZA DELLA LUISS GUIDO CARLI CON LA COLLABORAZIONE DI MARTA GAIA CASTELLAN, CONSULENTE DI PROCESSO E NORMATIVA DI INFOCERT.

Le Certification Authority di firma digitale, letteralmente Autorità di Certificazione, sono terze parti fidate e garanti (trusted third party), abilitate a rilasciare certificati qualificati di firma digitale tramite una procedura che segue standard internazionali e sotto la supervisione dell’Agenzia per l’Italia Digitale. La materia è disciplinata dalla Direttiva europea 1999/93/CE, ora eIDAS (in fase di progressiva entrata in vigore), dal DPCM 22 febbraio 2013 e dal CAD, Codice dell’Amministrazione Digitale. Fin dalla loro nascita queste autorità hanno il principale compito di ‘riconoscere’ in maniera certa, ad esempio de visu, il titolare a cui si sta rilasciando la firma digitale. La firma digitale, infatti, è intrinsecamente connessa all’identità del titolare (perfino nel certificato di firma compaiono nome, cognome e codice fiscale del firmatario).

Fino ad oggi ‘riconoscere’ significava farsi identificare con certezza e tramite riscontro con un documento di identità valido da un pubblico ufficiale o da funzionari incaricati direttamente dalla CA.

Ora non è più l’unica possibilità.

VANTAGGI DEL RICONOSCIMENTO WEBCAM

È stato recentemente brevettato da InfoCert, con l’approvazione di AgID, sentito il Garante per la protezione dei dati personali, il riconoscimento tramite webcam. InfoCert, infatti, che investe costantemente in ricerca e innovazione, è la prima Certification Authority ad offrire questa modalità di riconoscimento a distanza.

L’esigenza era tanto semplice quanto importante: rilasciare firme digitali a km 0, direttamente alla propria postazione pc a casa o in ufficio, con la stessa sicurezza garantita dal riconoscimento tradizionale. Tutto quello che occorre è un computer collegato a internet dotato di webcam e un documento di identità valido.

L’utente, dunque, si collega al portale InfoCert tramite una web-conference che viene registrata, datacertata e conservata in forma protetta nel data center della CA. Vengono poi sempre effettuati dei controlli di verifica dell’identità fornita e dei documenti esibiti. L’incaricato, infatti, effettua foto del viso, del documento di identità fronte e retro che l’utente mostra davanti alla webcam e perfino, se necessario, dell’apposizione in tempo reale di firma autografa. L’utente effettua il pagamento on-line, tramite carta di credito e riceve il suo certificato di firma e il suo dispositivo sicuro in qualche giorno tramite corriere postale.

Nonostante il brevetto sia di recente attuazione, vi sono già numerosi casi d’uso che vanno oltre la semplice vendita di firme digitali da parte di InfoCert e dei suoi partner. Numerose banche on-line, ad esempio, stanno richiedendo l’uso di questa modalità di riconoscimento per i propri clienti al fine di aprire e gestire un conto corrente e per ottemperare alle nuove disposizioni antiriciclaggio, che prevedono delle misure di riconoscimento atte ad evitare usi illegali dei conti correnti online.

Sono ancora tanti i campi in cui il riconoscimento tramite webcam potrà trovare facile applicazione, soprattutto in un momento storico in cui il tema dell’identità digitale è nelle agende di tutti gli Stati membri dell’Unione Europea.

APPROFONDIMENTO NORMATIVO

Ripercorriamo ora i passaggi normativi che hanno reso possibile questa innovazione, sia nella normativa europea che italiana, ragionando sul concetto cardine di ‘publica fides’.

In applicazione dell’articolo 19 Codice dell’Amministrazione Digitale (d’ora innanzi ‘CAD’), il certificatore che “rilascia […] certificati qualificati deve […] provvedere con certezza alla identificazione della persona che fa richiesta della certificazione”. Pertanto, qualora si decidesse di procedere alla identificazione via web del soggetto richiedente la firma digitale, si dovrebbe utilizzare un trovato tecnologico o una strumentazione già esistente in grado di garantire, sul piano giuridico, la ‘certa’ identificazione del richiedente la firma digitale. Al riguardo, occorre richiamare la normativa europea relativa all’attività dei certificatori e la normativa nazionale afferente alla identificazione della persona.

Preliminarmente, occorre sottolineare come, allo stato, risulti parzialmente vigente la direttiva 1999/93/CE poiché, il legislatore europeo mediante l’emanazione del Regolamento 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno ha inteso abrogare, da subito, alcune parti della direttiva e, a far data dal 1 luglio 2016, l’intero corpus normativo in essa contenuto. Dunque è opportuno soffermare l’attenzione su alcuni principi applicativi di rilevante importanza per la materia in oggetto enunciati nel Regolamento che, a breve, diverrà cogente nell’ambito dell’ordinamento giuridico italiano, in ogni sua parte.

Naturalmente, le osservazioni che seguono risultano pertinenti anche in relazione alle disposizioni normative contenute nella parte di direttiva 1999/93/CE tutt’ora vigente.

In applicazione del Considerando (1) del Reg. 910/2014 la creazione di un clima di “…fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale”. Ebbene, nel caso in esame, l’elemento della ‘fiducia’ risulta di precipua importanza ai fini del più ampio e sicuro utilizzo del riconoscimento da remoto tramite web del richiedente la firma digitale. In tal senso, sottolinea il legislatore europeo, “La mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi”.

Non a caso la norma in esame, nel Considerando (2), sottolinea come detta normativa miri a “rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei sevizi elettronici pubblici e privati, nonché dell’ebusiness e del commercio elettronico, nell’Unione europea”.

Al riguardo, ex art. 3 comma 15) Reg. 910/2014 per ‘certificato qualificato di firma elettronica’, si deve intendere il “certificato di firma elettronica che è rilasciato da un prestatore di servizi fiduciari qualificato ed è conforme ai requisiti di cui all’allegato I”. Inoltre, secondo l’art. 3 comma 16) Reg. 910/2014 si definisce ‘servizio fiduciario’ “un servizio elettronico fornito normalmente dietro remunerazione” che, fra le varie attività, provvede alla “creazione, verifica e convalida di firme elettroniche…”. Infine, in applicazione dell’art. 3 comma 19) Reg. 910/2014 per ‘prestatore di servizi fiduciari’ si deve intendere la “persona fisica o giuridica che presta uno o più servizi fiduciari, o come prestatore di servizi fiduciari qualificato o come prestatore di servizi fiduciari non qualificato”.

In particolare l’art. 19 del Reg. 910/2014, che ha abrogato la direttiva 1999/93/CE, impone ai prestatori di servizi fiduciari qualificati e non qualificati di adottare “le misure tecniche e organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi fiduciari da essi prestati”.

Dunque, le riflessioni che seguiranno in relazione alle caratteristiche del trovato tecnologico o della strumentazione già esistente da utilizzare per implementare la procedura di riconoscimento via Web, verteranno proprio sulla concreta e corretta applicazione del prefato principio enunciato nell’art. 19 Reg. 910/2014, allorché, alla data del 1 luglio 2016, detta prescrizione normativa diverrà cogente.

Non a caso l’art. 2 della Direttiva 1999/93/CE dedicato alle ‘Definizioni’ qualifica come ‘Prestatore di servizi di certificazione’ un’entità o una persona fisica o giuridica “che rilascia certificati o fornisce altri servizi connessi alle firme elettroniche”.

Al riguardo è opportuno ricordare come il Considerando (12) della cennata Direttiva sottolinei come:

  1. i servizi di certificazione possano “essere forniti o da un’entità pubblica ovvero da una persona giuridica o fisica quando è costituita secondo il diritto nazionale”;
  2. “gli Stati membri non dovrebbero vietare ai prestatori di servizi di certificazione di operare al di fuori dei sistemi di accreditamento facoltativo; si dovrebbe garantire che tali sistemi di accreditamento non riducano la concorrenza nel settore dei servizi di certificazione”;

Di talché appare opportuno soffermare l’attenzione sull’accentuata rilevanza attribuita dalla normativa recentemente emanata (Reg. 910/2014) in merito all’elemento di natura prettamente economica della ‘fiducia’. Confrontando il Reg. 910/2014 con le prescrizioni sopra richiamate afferenti alla Direttiva 1999/99/CE, risulta evidente come il legislatore comunitario del ‘99 attribuisse precipua importanza all’aspetto della concorrenza, tralasciando l’aspetto altrettanto importante della diffusa ‘fiducia’ nell’utilizzo degli strumenti informatici e telematici.

Probabilmente, il fortissimo ed imprevedibile sviluppo del settore ICT, verificatosi negli ultimi 15 anni, ha stimolato il legislatore europeo a riflettere, in modo assai corretto ad avviso di chi scrive, sulla necessaria enfatizzazione del concetto di ‘fiducia’ in subiecta materia. Da ciò l’introduzione nella normativa di recente emanazione di vari richiami al concetto cardine della ‘fiducia’.

Per quanto attiene alle modalità di identificazioni previste dalla normativa nazionale è opportuno osservare quanto segue.

Le modalità di identificazione di un soggetto sono previste dal Testo Unico delle Leggi di pubblica sicurezza (d’ora innanzi ‘TULPS’), dal Codice di Procedura Penale, dalla legge sul notariato n. 89 del 16 febbraio 1913 e, infine, dal D.P.R. 445/2000 contenente il ‘Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa’.

In relazione alla normativa in tema di pubblica sicurezza per quanto attiene alle persone pericolose o sospette o a soggetti che non sono in grado o si rifiutano di provare la loro identità l’autorità di pubblica sicurezza ha facoltà di:

  • ordinare loro di essere “sottoposti a rilievi segnaletici”;
  • di ordinare “alle persone pericolose o sospette di munirsi, entro un dato termine, della carta di identità e di esibirla ad ogni richiesta degli ufficiali o degli agenti di pubblica sicurezza.” (art. 4 TULPS)

Ex art. 349 commi 1 e 2 c.p.p., relativamente alla ‘Identificazione della persona nei cui confronti vengono svolte le indagini e di altre persone’, la polizia giudiziaria ha il potere di “procede alla identificazione della persona nei cui confronti vengono svolte le indagini e delle persone in grado di riferire su circostanze rilevanti per la ricostruzione dei fatti. Inoltre, precisa la cennata norma, “…Alla identificazione della persona nei cui confronti vengono svolte le indagini può procedersi anche eseguendo, ove occorra, rilievi dattiloscopici, fotografici e antropometrici nonché altri accertamenti.”

In merito alle attività di identificazione da parte del notaio l’art. 49 L. N. statuisce che “Il notaio deve essere certo dell’identità personale delle parti e può raggiungere tale certezza, anche al momento della attestazione, valutando tutti gli elementi atti a formare il suo convincimento. In caso contrario il notaio può avvalersi di due fidefacienti da lui conosciuti, che possono essere anche i testimoni.” (art. 49 L.N.).

Da ultimo, occorre sottolineare, quanto prescritto nelle norme di applicazione generale contenute negli artt. 1 e 35 D.P.R. 445/2000 relative ai ‘documenti di identità e di riconoscimento’.

Tali prescrizioni contengono regole basilari afferente alle modalità di identificazione tramite documentazione.

Al riguardo l’art. 1 lett. c) D.P.R. 445/2000 attribuisce la qualifica di ‘Documento d’identità’ ad ogni documento “…munito di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o informatico, da una pubblica amministrazione italiana o di altri Stati, che consenta l’identificazione personale del titolare

Inoltre secondo l’art. 35 D.P.R. 445/2000: “[1] In tutti i casi in cui nel presente testo unico viene richiesto un documento di identità, esso può sempre essere sostituito dal documento di riconoscimento equipollente ai sensi del comma 2. [2] Sono equipollenti alla carta di identità il passaporto, la patente  di  guida,  la  patente nautica, il libretto di pensione, il patentino  di  abilitazione  alla  conduzione di impianti termici, il porto  d’armi,  le  tessere  di  riconoscimento,  purché   munite  di fotografia  e  di timbro o di altra segnatura equivalente, rilasciate da un’amministrazione dello Stato.”

Di talché, è stato autorevolmente rilevato come ogni individuo sia caratterizzato da “…particolarità psico-fisiche che lo distinguono da ogni altro e, addirittura, lo rendono, unico ed irripetibile, nell’ambito della specie umana. Tali differenziazioni, sono tanto più importanti, quanto più è grande lo sviluppo demografico della comunità umana di riferimento; molto di più, quando la comunità stessa diviene una società civile, soggetta quindi ad un ordinamento giuridico.”

Alla stregua di quanto sopra osservato, la predetta dottrina sottolinea come: (i) “In questo caso, alla identificazione fisica, corrisponde l’identificazione giuridica, virtualmente ricostruita, secondo modelli biunivoci di riferimento, attinenti alle caratteristiche antropomorfiche e all’assegnazione delle generalità personali, riconosciute dal particolare ordinamento giuridico nel quale la persona è collocata…”; (ii) Il termine ‘identità’ derivi  “…dal termine medioevale identicus, che a sua volta è di derivazione latina (voce idem), come significato di ’lo stesso’.”

Ciò premesso, l’autore conclude precisando come sia “…ben evidente che l’identità di cui adesso parliamo non è da intendersi assoluta, quanto piuttosto, relativa. Infatti, ciò di cui ci occupiamo, altro non è che il raffronto tra due distinte individualità, questa volta assolute (si pensi a due impronte digitali da porre a confronto, delle quali l’una appartiene a persona certa), espressione di una medesima realtà. I dati salienti della persona […] vengono quindi confezionati in un documento atto a certificare, appunto, l’identità della persona titolare del documento stesso.”[1].

Pertanto, ai fini di una corretta identificazione personale tramite il documento d’identità sembrerebbe opportuno verificare se: (i) il documento è stato rilasciato da un’Amministrazione dello Stato; (ii) il documento reca la fotografia del soggetto; (iii) nel documento sono presenti i dati anagrafici del soggetto; (iv) il documento presenta il seriale identificativo; (v) il documento presenta idonei sistemi anticontraffazione[2].

In considerazioni dei prefati rilievi, ai fini della ‘certa’ identificazione del soggetto richiedente la firma digitale mediante utilizzo di webcam e di connessione internet il trovato tecnologico o la soluzione tecnologica già esistente utilizzata per tali finalità dovrebbe garantire l’inequivoco accertamento dei seguenti elementi:

  • se il documento è stato rilasciato da un’amministrazione dello Stato;
  • se il documento risulta autentico;
  • se il documento presenta dati anagrafici corretti del soggetto. Al riguardo si pensi alle possibili oggettive difficoltà derivanti dalla impossibilità di verificare la correttezza dei dati anagrafici di soggetti di nazionalità estera. Si tratta in buona sostanza delle medesime difficoltà che può incontrare l’ufficiale dello Stato civile il quale ha l’obbligo di identificare i soggetti che interagiscono con il proprio ufficio;
  • che il seriale identificativo sia presente;
  • che il documento presenti idonei sistemi di contraffazione

Dunque, le modalità di ripresa delle immagini dovranno poter garantire la non alterabilità e/o sostituibilità del soggetto ripreso e di tutte le immagini e/o suoni che vengono ‘catturati’ nel corso della ripresa tramite webcam.  Inoltre, le modalità di ripresa dovranno consentire le verifiche sopra richiamate.

Per giungere ad un effettiva e ‘certa’ identificazione del soggetto, potrebbe risultare particolarmente utile avvalersi di un trovato tecnologico o di una soluzione algoritmica che consentisse l’invio in tempo reale delle informazioni raccolte alle banche dati delle Forze dell’ordine per la verifica dei dati anagrafici, del numero seriale, della fotografia presente nel documento d’identità ripreso tramite webcam e dell’immagine della firma apposta dal richiedente durante la ripresa audiovisiva. Con l’utilizzo di adeguate soluzioni tecnologiche, la verifica in merito all’identità dei soggetti richiedenti risulterebbe di più agile e rapida esecuzione.

Ovviamente, come già previsto dall’attuale procedura, i video realizzati dovranno essere protetti in modo adeguato ed il trattamento dei dati personali da parte del certificatore dovrà avvenire nel rispetto del D. Lgs. 196/2003. Non a caso anche le immagini contenute nel video sono qualificabili come dati personali. Pertanto, il trattamento di tali dati in assenza di consenso esplicito del titolare potrebbe comportare conseguenze di natura civile e penale per l’utilizzatore.

9 dicembre 2015

[1] G. Fontana, 2001, L’identificazione delle persone, finalizzata allo svolgimento della indagine preliminare, alla luce delle modificazioni apportate al codice di procedura penale, in materia di “giusto processo in www.Diritto.it.

[2] R. Pomponio, S. Marascio, M. Malatesta, D. Verdi, I vari aspetti dell’identificazione personale in Carabinieri.it.