Come nell'operatività tradizionale, il firmatario, prima di apporre la firma sul tablet, viene identificato dalla Banca, anche in ottemperanza alla normativa antiriciclaggio, tramite riconoscimento diretto ovvero tramite idoneo documento identificativo in corso di validità.

La connessione univoca della firma al firmatario è garantita dall'identificazione del cliente da parte dell'operatore della Banca che, per normativa, verifica sempre l'identità del soggetto che sta mettendo in atto l'operazione (come da punto 1), e inoltre dal fatto che l'atto stesso è una sottoscrizione autografa che, di per sé, storicamente assolve questa funzione.

Durante tale sottoscrizione autografa sono raccolte tutte le informazioni utilizzabili e strumentali ai fini dell'attuazione di una perizia calligrafica, quali la velocità del tratto, la pressione della penna, l'accelerazione durante la fase di scrittura, i movimenti complessivi della mano durante l'acquisizione, ossia i cosiddetti "dati biometrici".

La soluzione di Firma Elettronica Avanzata consente al firmatario di avere il controllo completo di quanto mostrato sul tablet al momento della firma; in particolare il cliente è in grado di:

• visionare sul tablet tutte le parti del documento;
• utilizzare gli appositi controlli per ingrandire/rimpicciolire il testo del documento;
• identificare in modo intuitivo tutte le parti del documento dove è prevista una firma;
• decidere durante la fase di apposizione della firma di cancellare la stessa;
• annullare l'operazione anche dopo che è stata apposta l'ultima firma.

I "documenti informatici", dopo essere stati firmati dall'interessato, vengono firmati dalla Banca tramite l'apposizione di uno specifico certificato digitale, utilizzando il formato PDF/A per la loro rappresentazione. Si tratta di uno standard internazionale ISO 19005, sottoinsieme dello standard PDF, appositamente pensato per l'archiviazione e la consultazione nel lungo periodo di documenti elettronici anche tramite diversi software. Ciò al fine di garantire l'integrità del documento in termini di non modificabilità e inalterabilità del suo contenuto.

Si specifica, inoltre, che al blocco biometrico (parametri biometrici più impronta del documento pdf) viene altresì apposta un'ulteriore firma di integrità a livello software. Nel caso venga modificato, anche solo un bit di quel documento, all'apertura dello stesso verrà visualizzato un messaggio che indica che il documento è stato modificato in data posteriore all'apposizione della firma stessa. Tale processo garantisce sotto il profilo tecnico l'integrità del documento cui la firma è apposta e dunque, sotto il profilo giuridico, soddisfa il requisito dell'integrità richiesto dalle norme vigenti.

I documenti così generati vengono successivamente archiviati dalla Banca secondo le norme di conservazione dei documenti (conservazione sostitutiva) previsti all'interno del Codice dell'Amministrazione Digitale (di seguito CAD).

I dati dell'operazione disposta sono riepilogati dalla Banca nell'estratto conto periodico; è altresì possibile richiedere alla Banca una copia cartacea del documento con cui è stata disposta l'operazione oppure, in alternativa, ricevere copia del documento in formato elettronico tramite il servizio di rendicontazione on line (SellaBox).

In tutti i casi i documenti possono essere recuperati, consultati, stampati, anche su richiesta del soggetto interessato, durante tutto il periodo di conservazione.

Centrico S.p.A. è il soggetto erogatore della soluzione di Firma Elettronica Avanzata.

La Banca adotta tutti i più moderni meccanismi di sicurezza in merito alla manipolazione del "documento informatico". In particolare, con riguardo al servizio, viene utilizzato il formato PDF/A statico che, con l'apposizione dello specifico certificato digitale e conservato secondo le regole del CAD, consente di appurare che lo stesso non subisca modifiche nel tempo.

Ogni "documento informatico" dopo l'apposizione della firma sul tablet dal firmatario, assume una caratteristica univoca che consente di ricondurre in maniera certa la volontà espressa al momento della firma (connessione assicurata dall'unione della firma all'hash del documento sottoscritto). I dati biometrici rilevati dal tablet sono inviati al software di gestione in modalità sicura e cifrata.

Al termine dell'operazione di firma, sia che essa sia stata conclusa con successo sia che, eventualmente, sia stata annullata, i dati temporaneamente rilevati dal tablet e inviati al software per la loro gestione vengono distrutti dalla memoria dello stesso per evitare utilizzi impropri.

La firma elettronica apposta sul tablet viene associata in maniera sicura e non modificabile al "documento informatico" contenente i dati dell'operazione, garantendo la connessione univoca della firma al firmatario, nonché della firma al documento.

In pratica viene calcolata un'impronta del contenuto completo del documento; la firma elettronica viene applicata all'impronta calcolata utilizzando i parametri biometrici rilevati dal tablet. Se il documento prevede più firme viene ripetuto, per ogni firma raccolta, il meccanismo appena descritto. I dati biometrici di ogni firma raccolta vengono poi cifrati, utilizzando una specifica "chiave" asimmetrica, e inclusi all'interno del documento sottoscritto.

La parte privata della chiave, indispensabile per de-cifrare i dati biometrici delle singole firme, sarà custodita da un pubblico ufficiale.

Il documento cosi costituito viene poi firmato utilizzando uno specifico certificato digitale emesso da una Certification Authority riconosciuta dal legislatore.

Il trasferimento dei dati e la loro memorizzazione nel "vettore biometrico" è protetto con le seguenti tecnologie crittografiche:

• canali di trasmissione https a 128bit;
• crittografia simmetrica standard AES con chiave a 256 bit segreta;
• RSA 2048 bit con chiave privata per la cifratura della chiave AES.

I clienti possono richiedere, gratuitamente, presso la propria Succursale di riferimento copia cartacea del modulo di adesione al servizio di FEA, nonché degli atti e dei documenti bancari e finanziari così sottoscritti.

Come previsto dalla normativa vigente, la Banca ha stipulato in data 22/09/2014 una polizza assicurativa - rilasciata da primarie compagnie di assicurazione (Reale Mutua) abilitate a esercitare nel campo dei rischi industriali - per la responsabilità civile da danno a terzi eventualmente derivante dalla fornitura del servizio di Firma Elettronica Avanzata.

Il Cliente può ottenere copia di tutta la documentazione relativa al servizio di FEA o con questa sottoscritta. In particolare, attraverso i canali a disposizione, è possibile ottenere copia o duplicato de:

• il Modulo di adesione al servizio;
• i documenti sottoscritti con la Firma Elettronica Avanzata.

L'attivazione del servizio è subordinata all'adesione dell'interessato attraverso la sottoscrizione per accettazione delle condizioni relative al servizio medesimo.

In ogni caso, l'adesione al servizio non esclude la possibilità di richiedere, in ogni momento, la sottoscrizione dei documenti in formato cartaceo, nonché di richiedere una copia cartacea della documentazione firmata.

La copia del documento che attesta l'adesione al servizio sarà conservato secondo quanto previsto dalla vigente normativa. Inoltre la Banca si impegna a fornire gratuitamente una copia del documento, attestante l'adesione al servizio, al firmatario che ne faccia richiesta.

Resta inteso che, in qualunque momento, potrà essere revocato il consenso all'utilizzo del servizio, sottoscrivendo, con firma autografa, la documentazione relativa alla cessazione del medesimo.

Sono a disposizione della clientela i consueti canali di assistenza per eventuali problematiche o informazioni relative al servizio di Firma Elettronica Avanzata.

I dati raccolti sono conservati dalla Banca, con modalità idonee a garantire elevati livelli di sicurezza (chiave crittografia asimmetrica), per un periodo non superiore alle finalità per le quali sono stati raccolti.

L'accesso al modello cifrato avviene esclusivamente tramite l'utilizzo della chiave privata detenuta dal soggetto terzo fiduciario e nei soli casi in cui si renda indispensabile per l'insorgenza di un contenzioso sull'autenticità della firma e a seguito di richiesta dell'autorità giudiziaria o se necessario per effettuare verifiche, su richiesta del Cliente, sulla validità delle operazioni compiute.

Nel caso in cui si renda necessario l'accesso al modello cifrato, fare riferimento al seguente link.

In qualità di titolare del trattamento la Banca raccoglie i dati biometrici dei Clienti, rilevati dall'apposizione della firma (quali ad esempio: la velocità nell'atto di apposizione della firma, la pressione esercitata, l'accelerazione dei movimenti).

Il trattamento dei dati biometrici è strumentale alla fornitura del servizio di firma elettronica avanzata, ragion per cui il mancato conferimento dei dati impedisce la fornitura del servizio.

I dati biometrici:

1. sono trattati conformemente alla normativa vigente e nel rispetto scrupoloso dei principi di necessità, pertinenza e non eccedenza di cui al combinato disposto degli artt. 3 ed 11 del D.lgs. 30 giugno 2003, n. 196.
2. sono trattati con modalità informatizzate ed esclusivamente se strumentali alla fornitura del servizio di firma elettronica avanzata.
3. Non sono oggetto di comunicazione, salvo quanto sopra specificato, né di diffusione.