FIRMA ELETTRONICA AVANZATA GRAFOMETRICA - CONDIZIONI DEL SERVIZIO

Art. 1 Premesse

FIRMA ELETTRONICA AVANZATA GRAFOMETRICA - CONDIZIONI DEL SERVIZIO

l’utilizzo di un certificato di firma intestato a Compass. In questo modo, il documento è reso “non modificabile” in

Compass Banca S.p.A. (di seguito anche “Compass”), offre ai propri clienti un servizio consistente nell’erogazio- ne della firma elettronica avanzata grafometrica (di seguito anche “FEA”). La soluzione proposta è stata realizzata secondo quanto previsto dal Regolamento (UE) n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 (“Regolamento eIDAS”), dal D.Lgs. 82/2005 e dalle specifiche regole tecniche ivi richiamate in tema di Firma Elettronica Avanzata (DPCM 22 febbraio 2013) nonché nel rispetto delle “Linee guida in materia di riconoscimento biometrico e firma grafometrica” emanate dal Garante per la Protezione dei Dati Personali, in allegato al provve- dimento del 12 novembre 2014 n. 513. La soluzione, quindi, permette di sottoscrivere validamente documenti che integreranno il requisito di forma di cui all’art. 1350 n. 13 del Codice Civile e che avranno la stessa efficacia giuridica e probatoria riconosciuta dal nostro ordinamento alle scritture private (art. 2702 del Codice Civile). La FEA consente di sottoscrivere in formato elettronico richieste di emissione dei prodotti offerti da Compass o dalla stessa collocati per conto di società terze (Europ Assistance Italia S.p.A., MetLife Europe d.a.c. Rappresentanza Generale per l’Italia e MetLife Europe Insurance d.a.c. Rappresentanza Generale per l’Italia) (di seguito anche “Terzi”). L’elenco dei pro- dotti sottoscrivibili a mezzo FEA è pubblicato sul sito xxx.xxxxxxx.xx nella sezione dedicata alla FEA. Il presente documento descrive le condizioni di utilizzo del servizio di firma elettronica avanzata con la tecnologia della firma grafometrica, e ne illustra le principali caratteristiche tecnologiche. La sottoscrizione avviene mediante l’utilizzo di un dispositivo elettronico in grado di raccogliere il dato grafometrico. Il dispositivo elettronico utilizzato è un tablet per la sottoscrizione dei documenti. La soluzione proposta prevede l’acquisizione e la successiva conservazione, in forma cifrata all’interno del documento informatico prodotto dal processo e oggetto della sottoscrizione, dei dati biometrici legati al comportamento tenuto in fase di sottoscrizione (“dati grafometrici”). L’adesione al servizio è libera e volontaria, e subordinata alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio. E’ disponibile una modalità alternativa di sottoscrizione dei documenti che è quella cartacea.

Art. 2 Soluzione di firma elettronica avanzata proposta

Il sistema di sottoscrizione proposto si basa sulla raccolta e sulla conservazione, unitamente al documento sotto- scritto, dei dati biometrici legati al comportamento tenuto in fase di sottoscrizione e che permettono, successiva- mente, di verificare l’identità e la volontà del sottoscrittore stesso. La FEA potrà essere utilizzata dal Cliente per la sot- toscrizione ed esecuzione di tutta la documentazione comunque inerente al rapporto con Compass e con uno o più dei soggetti Terzi. Compass, in proprio o per accordo con detti Terzi, individuerà, di volta in volta, la documentazione che ritiene sottoscrivibile mediante la soluzione di FEA qui descritta. In ogni caso, la soluzione di firma elettronica proposta potrà essere resa disponibile al Cliente solo a seguito di sottoscrizione di apposito modulo di accettazione delle presenti “Condizioni del servizio” presso le Filiali. Fermo il diritto del Cliente a richiedere in ogni momento di sottoscrivere con firma autografa (anziché servirsi della FEA) i documenti in formato cartaceo, nonché di richiedere una copia cartacea della documentazione sottoscritta, il Cliente potrà in ogni momento revocare la propria adesione al servizio FEA mediante sottoscrizione di un apposito modulo predisposto da Compass e disponibile presso le filiali. Il personale delle filiali di Compass è a completa disposizione del Cliente per fornire informazioni o assistenza in relazione alla soluzione di FEA adottata.

Art. 3 L’attivazione del servizio

L’attivazione del servizio avviene mediante adesione dell’interessato alle presenti condizioni di servizio attraverso la sottoscrizione tramite firma elettronica semplice della “Dichiarazione di Adesione al Servizio di Firma Elettronica Avanzata Grafometrica”. La validità della FEA è subordinata al completamento delle procedure di identificazione del cliente mediante valido documento di riconoscimento. La copia del modulo attestante l’adesione del servizio sarà conservata per tutta la durata normativamente prevista, garantendone, durante tale periodo di tempo, la disponibi- lità, l’integrità, la leggibilità e l’autenticità. Una copia delle condizioni di servizio viene consegnata al Cliente in sede di adesione. Inoltre Compass si impegna a fornire gratuitamente, in ogni momento, una copia delle condizioni di servizio al Cliente che le ha sottoscritte e che ne faccia richiesta.

Art. 4 Caratteristiche del processo di utilizzo del servizio proposto

La soluzione proposta prevede l’acquisizione, la cifratura e la successiva conservazione dei dati biometrici legati al comportamento tenuto in fase di sottoscrizione (“dati grafometrici”) unitamente al documento informatico pro- dotto dal processo e oggetto della sottoscrizione. L’acquisizione dei dati sopra descritti è perfezionata mediante l’apposizione della sottoscrizione con penna elettromagnetica su tavolette grafiche tecnologicamente avanzate con caratteristiche e livelli di sicurezza tali da garantire un’adeguata protezione dei dati comportamentali acquisiti. Il documento così sottoscritto è prodotto in una forma che consente di mantenere al suo interno tutti gli elementi in grado di verificarne, successivamente e su richiesta di una delle parti (i.e. Cliente, Compass e/o Terzo), la paternità e l’integrità anche a distanza di tempo.

Il processo di sottoscrizione con FEA può essere riassunto nelle seguenti fasi:

a. il Cliente richiede l’esecuzione di un’operazione;

b. l’operatore identifica (anche mediante acquisizione di una copia di un valido documento d’identità) il Cliente e predispone la documentazione relativa all’operazione richiesta;

c. il documento che si intende far sottoscrivere con XXX viene inviato alla tavoletta grafica, sulla quale può essere visualizzato e scorso nella sua interezza;

d. il Cliente prende visione del documento visualizzato sulla tavoletta grafica e appone la propria firma grafometrica nei punti firma evidenziati sulla stessa, mediante una penna elettromagnetica con la quale è possibile, per il trami- te della tavoletta, registrare i dati grafometrici della firma; contestualmente l’operatore avrà modo di seguire, sulla propria console, la fase di apposizione della firma da parte del Cliente. Nessuna interazione nel processo di firma del Cliente sarà consentita all’operatore;

e. il Cliente constata visivamente l’inserimento della propria firma sul documento, nei punti indicati sulla tavoletta, e ne conferma l’apposizione. Eventualmente può annullare e ripetere il processo;

f. a conferma avvenuta, la tavoletta provvede immediatamente a cifrare in modo sicuro i dati grafometrici acquisiti mediante apposito algoritmo crittografico e li invia ad una specifica applicazione software la quale, recepito il mo- dello grafometrico raccolto – che include sia il tratto grafico sia le relative informazioni dinamiche quali pressione, velocità, accelerazione, ritmo e movimento aereo – lo include in forma sicura e immodificabile nel documento sottoscritto tramite apposizione di firma elettronica da parte di Compass;

g. il documento “chiuso” e non modificabile viene inviato in conservazione a norma, al fine di garantirne l’efficacia e la validità nel tempo. La conservazione a norma è un processo che permette di archiviare in modo sicuro i do- cumenti informatici sottoscritti dal Cliente affinché questi restino integri e risultino immodificabili e leggibili nel tempo.

pag 1-2

I documenti generati secondo quanto appena descritto vengono inviati al sistema di archiviazione presso una Certi- fication Authority. La Certification Authority provvede alla firma e alla marcatura temporale dei documenti (questo garantisce l’esistenza del documento in forma immodificabile alla data della marca temporale) e alla conservazione del documento in forma sostitutiva secondo le regole e la normativa vigente. Tutti i documenti restano disponibili sul sistema di conservazione, al quale possono accedere solo alcuni specifici operatori autorizzati, appartenenti al personale di Compass.

Art. 5 Connessione univoca della firma al firmatario

COM524_04_19

La soluzione di firma proposta si basa sull’acquisizione dei dati grafometrici statici e dinamici legati all’azione della sottoscrizione, quale elemento sul quale il firmatario, con un elevato livello di sicurezza, mantiene un controllo esclu- sivo, ai sensi del Regolamento e IDAS.

Art. 6 Connessione univoca della firma al documento sottoscritto

Al fine di garantire la connessione univoca della firma al documento, l’applicazione di firma:

i) calcola per il documento generato dalla transazione, prima dell’apposizione sullo stesso della firma, una stringa di numeri e lettere (tramite c.d. algoritmo di “hash”), detta “impronta”, quale elemento univoco di identificazione del documento prodotto;

ii) riceve dalla tavoletta in maniera sicura (criptandoli) i dati biometrici della firma (sia “statici” che “dinamici”) e li abbina ad un’impronta del documento calcolata in precedenza utilizzando un apposito algoritmo di hash;

iii) “chiude” e cifra l’insieme dei dati di firma (stringa del documento e dati biometrici), con le chiavi di sottoscrizione in possesso di Compass. Solo tramite l’intervento di un soggetto terzo indipendente e custode della chiave priva- ta tali dati potranno essere decifrati e verificati. Il soggetto terzo che custodisce la “chiave privata” è il Notaio.

Il documento informatico originale potrà essere decifrato, in caso di necessità, per l’esibizione in giudizio, a seguito di una richiesta dell’autorità giudiziaria, su richiesta del cliente in accordo con Compass ovvero per esigenze di Com- pass e/o del Terzo, per la verifica dell’integrità del contenuto dello stesso e della paternità della firma apposta, solo con il concorso del possessore della chiave “privata”.

Art. 7 Garanzie di integrità e immodificabilità del documento sottoscritto

A garanzia dell’integrità e immodificabilità del documento viene ricalcolata l’impronta del documento, questa volta successiva all’apposizione dei dati di firma e su tale impronta viene apposta una sottoscrizione elettronica mediante

quanto l’eventuale alterazione diviene immediatamente verificabile anche con programmi di lettura di documenti di comune diffusione quale Adobe Acrobat Reader il quale, in caso di modifica di un documento avvenuta dopo la chiusura con firma digitale, ne evidenzia l’alterazione.

Art. 8 Assenza di codici eseguibili o macroistruzioni nei documenti sottoscritti

Il documento prodotto è in un formato tale da impedire l’inserimento all’interno dello stesso di programmi o istruzio- ni potenzialmente atti a modificare gli atti, fatti o dati rappresentati nel documento medesimo.

Art. 9 Descrizione delle procedure di sicurezza

Tutti i documenti informatici, una volta generati in esecuzione delle procedure interne Compass saranno sottoposti dal sistema informativo di Compass al cliente in formato .pdf sul Tablet e non saranno modificabili mediante software di scrittura, né prima né dopo la sottoscrizione da parte del cliente. Inoltre, dopo l’apposizione della firma automa- tica da parte di Compass, sarà possibile verificare in qualunque momento l’integrità del documento. Né durante il processo di firma né tantomeno durante la permanenza dei dati sui sistemi Compass, i dati grafometrici saranno oggetto di verifica, né potranno mai fornire informazioni sullo stato di salute del cliente firmatario. In definitiva, il Servizio di FEA che verrà fornito alla clientela di Compass e dai partner, in conformità a quanto previsto dalle norme tecniche, è in grado di garantire:

a) la connessione univoca della firma al soggetto che la ha apposta ;

b) il controllo esclusivo del sistema di generazione della firma da parte del firmatario, in quanto i dati graf metrici sono generati direttamente dallo stesso firmatario;

c) la possibilità di rilevare se i documenti informatici sottoscritti siano stati modificati dopo l’apposizione della firma da parte del cliente.

Si precisa che Compass, conformemente a quanto previsto dalla normativa di riferimento, ha provveduto a dotarsi di apposita copertura assicurativa al fine di proteggere i Titolari della “Firma Elettronica Avanzata” e i terzi eventuali danni cagionati da inadeguate soluzioni tecniche (Responsabilità Civile da Contratti, derivante da errori, negligenze, omissioni- Estensione di garanzia alle attività volte ad erogare soluzioni di “FIRMA ELETTRONICA AVANZATA”).

Art. 10 Applicazione delle misure di sicurezza

In ciascuna fase del trattamento Compass garantisce non solo l’adozione delle misure minime di sicurezza previ- ste dall’Allegato B del Codice Privacy, ma anche l’adozione delle ulteriori misure di sicurezza messe a disposizione dall’attuale conoscenza tecnica, volte ad ottenere l’irreversibilità e l’immodificabilità dei dati grafometrici raccolti nonché ad escluderne il rischio di corruzione o sottrazione. Le misure di sicurezza adottate da Compass e dai Partner nell’erogazione del servizio risultano infatti corrispondenti agli elevati standard di sicurezza offerti dal mercato in base alle attuali conoscenze tecniche e scientifiche: tali misure sono illustrate in maniera analitica nei documenti di sicurezza dei partner. Nel presente paragrafo si descrivono sinteticamente le misure più rilevanti ai fini della sicurez- za dei dati grafometrici. La soluzione implementata da Compass per supportare il processo di firma si basa sull’ap- plicazione residente sui sistemi centrali di Compass ed accessibile solo all’interno della rete informatica di Compass dai singoli computer. L’assenza di una connettività interna (network) tra i sistemi Compass ed i singoli computer rende irraggiungibile l’applicazione e pertanto non risulta consentita l’interazione tra i singoli computer ed il Tablet: la mancata interazione con il Tablet inibisce la possibilità di gestire il processo di firma. Nel caso in cui sia già iniziato il processo di firma, l’interruzione improvvisa della connettività interna, comporta la perdita di tutti i dati grafometrici fino a quel momento raccolti ed il documento informatico viene immediatamente cancellato. Compass garantisce la sicurezza dei propri data center mediante server dedicati accessibili solo attraverso firewall, segregazioni logiche e fi- siche delle informazioni, profilazione degli utenti abilitati all’accesso alle informazioni ed alle applicazioni specifiche. I Tablet non possiedono un sistema operativo atto all’installazione di software ma interagiscono esclusivamente con il client di firma grafometrica. Il dato grafometrico acquisito dal Tablet viene criptato a pacchetti direttamente durante il processo di firma. Una volta inviati al client di firma vengono incorporati con il documento, cancellati e sovrascritti dalla memoria (ram) del computer, non risultando conseguentemente visualizzabili né dagli operatori né da altri operatori interni a Compass o da parte di altri operatori coinvolti nella gestione documentale.

Art. 11 Modalità per ottenere la documentazione

Il presente documento, contenente le informazioni relative alle caratteristiche del Servizio ed alle tecnologie su cui esso si basa è pubblicato sul sito internet di Compass Banca S.p.A. (xxx.xxxxxxx.xx) risultando in tal modo sempre accessibile ai Clienti. Qualora ne faccia richiesta, il Cliente ha diritto di ricevere gratuitamente copia della dichiara- zione di accettazione delle Condizioni del Servizio ed ogni altra informazione atta a dimostrare la sussistenza delle caratteristiche del Servizio.

Art. 12 Verifica del contratto elettronico sottoscritto

Al fine di poter ottenere evidenza di quanto sottoscritto il Cliente può accedere al documento informatico, verificarne e validarne il contenuto, attraverso i canali, gli strumenti e nelle modalità citate nel presente documento. Compass renderà disponibile il contratto sottoscritto come documento informatico (il “contratto elettronico”) tramite e-mail all’indirizzo fornito dal Cliente in fase di stipula, In ogni caso, tale modalità di messa a disposizione del contratto elettronico sottoscritto non esclude la possibilità per il Cliente di richiedere in ogni momento una copia cartacea del contratto sottoscritto.

Art. 13 Obblighi del Cliente

Al fine di consentire a Compass Banca S.p.A., l’erogazione e il corretto utilizzo del Servizio il Cliente ha l’obbligo di:

a) fornire a Compass Banca S.p.A., durante la fase di identificazione di cui all’art. 3, la copia di un valido documento d’identità, ed ogni altra informazione necessaria all’identificazione di cui garantisce la veridicità e, ove si tratti di documenti, la conformità all’originale;

b) avvisare prontamente Compass Banca S.p.A. di ogni variazione delle informazioni fornite in fase di identificazione.

Art. 14 Sospensione e revoca del Servizio

Il Servizio può essere sospeso da parte di Compass Banca S.p.A., previa comunicazione da parte della stessa ai sensi dell’art. 19 che segue, nelle ipotesi di:

a) sospetta truffa;

b) mancata identificazione del Cliente ai sensi dell’art. 3;

c) richiesta da parte del Cliente;

d) violazione o mancato adempimento da parte del Cliente degli obblighi previsti dall’art. 13.

e) provvedimento delle Autorità competenti, ivi compresi quelli cautelari e/o inerenti alla limitazione della capacità giuridica del Cliente.

Fatto salvo il diritto di Compass Banca S.p.A. di risoluzione nell’ipotesi di inadempimento contrattuale e di applicazio- ne di ogni altro rimedio previsto dalla legge, il Servizio può essere revocato da parte di Compass Banca S.p.A., sotto forma di risoluzione automatica ai sensi e per gli effetti dell’art. 1456 Cod. Civ. nelle seguenti ipotesi:

a) provvedimenti delle Autorità competenti, ivi compresi quelli dell’Autorità giudiziaria a carico del Cliente (quali, a titolo esemplificativo, per truffa connessa all’utilizzo del Servizio, decreto di sequestro preventivo, confisca di beni, provvedimento restrittivo della libertà personale, ovvero nei casi in cui il Cliente sia indagato in o sottoposto a un procedimento penale inerente a reati contro il patrimonio);

b) indebito utilizzo del prodotto Compass Banca S.p.A. sottoscritto dal Cliente. In tali casi, contestualmente alla so- spensione o risoluzione del contratto relativo al prodotto Compass Banca S.p.A sottoscritto a mezzo FEA, Compass Banca S.p.A. provvederà alla revoca del Servizio.

Art. 15 Revoca del consenso

Il Cliente può in qualsiasi momento revocare il consenso all’utilizzo del Servizio.

La revoca del Servizio comporta l’impossibilità da parte del Cliente di accedere e utilizzare il Servizio stesso per la sottoscrizione di un nuovo contratto Compass Banca S.p.A.

Art. 16 Durata

Il Servizio ha la durata di 5 anni, ferma restando la validità ed efficacia delle sottoscrizioni effettuate mediante FEA anche oltre tale periodo di durata.

Art. 17 Informativa in materia di Privacy ai sensi dell’art. 13 del Regolamento UE 2016/679 e della normativa nazio- nale vigente funzionale al trattamento dei dati biometrici

I dati forniti dal Cliente, dall’eventuale Coobbligato, ovvero dalla persona fisica che agisce per proprio conto o di un’entità finanziata di cui è legale rappresentante o procuratore con potere di firma (di seguito anche l’“Interessato”), siano essi comuni e/o biometrici, connessi all’utilizzo del servizio di “Firma Grafometrica”, vengono trattati da Com- pass Banca S.p.A. (di seguito, “Compass”), con sede in Xxx Xxxxxxx, 00 – 00000 Xxxxxx, in qualità di Titolare del trattamento, ai sensi del Regolamento UE 2016/679 (di seguito, “Regolamento o GDPR”), della normativa nazionale vigente in materia di protezione di dati personali e del Provvedimento generale in tema di biometria approvato dal Garante privacy il 12 novembre 2014.

1. Titolare del trattamento

Il Titolare del trattamento è Compass Banca S.p.A. Con sede in Xxx Xxxxxxx, 00 – 00000, Xxxxxx, nella persona del

legale rappresentante pro tempore.

2. Responsabile della Protezione dei dati (Data Protection Officer)

Compass ha nominato il “responsabile della protezione dei dati” previsto dal Regolamento (c.d. DPO). Per tutte le questioni relative al trattamento dei Suoi Dati Personali e/o per esercitare i diritti previsti dal Regolamento stesso può contattare il DPO ai seguenti indirizzi email:

- xxx.xxxxxxxxxx@xxxxxxxxxx.xxx;

- xxxxxxxxxxxxx@xxx.xxxxxxxxxx.xxx.

3. Finalità del trattamento e natura facoltativa o obbligatoria del conferimento dei dati personali

I dati personali, vengono trattati da Compass per le seguenti finalità:

- per contribuire a conferire maggiore certezza nei rapporti giuridici con Lei intercorrenti e ridurre il rischio di sostitu- zioni di persona e di frodi;

- per rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso relativo al disconoscimento della sottoscrizione in sede giudiziale;

- per ottemperare agli obblighi previsti dalla legge, dai regolamenti e/o dalla normativa comunitaria ed internazio- nale. Il trattamento consiste nell’acquisizione e conservazione della sottoscrizione apposta, invece che sul normale foglio di carta, su di un apposito Tablet in grado di acquisire, oltre all'immagine della sottoscrizione, anche una serie di informazioni relative alle caratteristiche comportamentali di natura biometrica (pressione, velocità, acce- lerazione, ritmo, movimento aereo e tratto grafico, c.d. “dati grafometrici”) relative all’azione della sottoscrizione. I dati grafometrici raccolti sono sostanzialmente simili a quelli che comunemente sono riscontrabili da un analisi della sottoscrizione su carta anche se vengono acquisiti con maggior rigore e oggettività, restando indipendenti da caratteristiche variabili come la qualità o lo spessore della carta e la tipologia di penna utilizzata.

Il processo di sottoscrizione viene sempre abilitato previa identificazione del firmatario e i dati grafometrici raccolti sono elaborati creando modelli biometrici che vengono immediatamente criptati mediante l’utilizzo di una coppia di chiavi asimmetriche di lunghezza pari a 4096 bit, di queste quella privata è detenuta da un soggetto terzo fiduciario (Notaio).

I modelli cifrati utilizzando la chiave pubblica sono poi racchiusi e sigillati elettronicamente all’interno del documento informatico a cui si riferiscono, attraverso un processo tale da garantire la sicurezza e la riservatezza del firmatario. In particolare, neanche Compass potrà in alcun modo venire a conoscenza dei modelli grafometrici in chiaro, potendo visualizzare solo l’immagine della firma sul documento informatico.

I dati non vengono memorizzati, nemmeno temporaneamente, all’interno degli strumenti di acquisizione utilizzati e, una volta trasformati in appositi modelli biometrici e incorporati nel documento, vengono cancellati e sovrascritti dalla memoria (RAM) del computer sul quale è stato installato il programma informatico per la loro gestione, non risultando visualizzabili né dagli operatori incaricati di Compass Banca, né da alcun altro soggetto coinvolto nel trattamento.

Su tutti gli strumenti informatici utilizzati nel processo di sottoscrizione grafometrica sono state adottate idonee misure tecniche e informatiche al fine di contrastare il rischio di installazione di software e di modifica della confi- gurazione degli stessi.

La chiave privata corrispondente a quella utilizzata in fase di acquisizione del modello biometrico e necessaria per accedere a quest’ultimo viene conservata da un soggetto terzo fiduciario (Il Notaio nominato Responsabile del trat- tamento) che fornisce idonee garanzie di indipendenza e sicurezza nella conservazione della medesima chiave e ne permetterà l’utilizzo esclusivamente nei casi previsti dalla legge, su richiesta delle Autorità competenti, ed in particolare in presenza di richiesta dell’Autorità Giudiziaria in caso di contenzioso relativo al disconoscimento della sottoscrizione.

La coppia di chiavi da utilizzare viene generata da soggetto terzo fiduciario (Xxxxxx). A seguito della generazione delle chiavi secondo la lunghezza richiesta la chiave scelta come pubblica viene consegnata a Compass o a società da questa delegata al fine di garantirne la sua corretta gestione e utilizzo all’interno degli applicativi di firma grafo- metrica. La chiave privata, invece, rimane al soggetto terzo fiduciario incaricato della sua custodia che la conserverà presso i propri archivi.

Con specifico Atto Pubblico, il Notaio certificherà tutti i passaggi descritti e darà conto di tutti tali dati tecnici e standard qualitativi. In caso di eventuale contenzioso vengono sottoposti al soggetto terzo fiduciario (Xxxxxx) i dati biometrici criptati, che vengono decodificati a mezzo della chiave privata conservata. Il processo di decodifica avvie- ne nel rispetto di rigorose misure di sicurezza.

Dato qualificante, anch’esso riconducibile all’intervento del Pubblico Ufficiale, è che durante tutto il processo la chiave privata viene mantenuta segreta per non invalidare eventuali altri documenti con la stessa firmati.

Per maggiori dettagli sulle specifiche modalità di detto trattamento e sulle misure di sicurezza adottate è possibile rivolgersi al Titolare del trattamento nelle modalità in seguito indicate (vd. “Esercizio dei diritti dell’interessato”).

Fermo il suo diritto di utilizzare o meno il servizio di firma elettronica avanzata per sottoscrivere documentazione relativa al Suo rapporto con Compass servizi e prodotti – finanziari e/o assicurativi – venduti e/o collocati da Com- pass per conto di terzi (i “Terzi”), nonché le relative modifiche e/o integrazioni ai suddetti prodotti, nel rispetto delle forme richieste dalla legge o dalla volontà delle parti, il conferimento dei dati per le suddette finalità è facoltativo e un eventuale rifiuto al rilascio dei dati o del consenso da parte Sua non comporta pregiudizio alcuno. L’unica conseguenza sarà l’impossibilità di utilizzare il sistema di firma grafometrica mentre sarà sempre possibile ricorrere all’apposizione della firma tradizionale autografa su supporto cartaceo.

La successiva revoca del consenso al trattamento dei dati necessari per l’utilizzo del sistema di firma grafometrica determinerà la disattivazione del servizio stesso. In tal caso, tutti i documenti sottoscritti con firma grafometrica in data precedente alla revoca saranno conservati a cura dei soggetti individuati da Compass, quali originali, per la durata imposta o, comunque, consentita dalla legge, anche in relazione al contenuto di tali documenti.

4. Base Giuridica

La base giuridica è data dall’adempimento di leggi, esecuzione degli obblighi contrattuali, legittimo interesse preva- lente del titolare o di terzi cui i dati vengono comunicati e dal consenso espresso dell’interessato.

5. Categorie di dati personali e fonte dei dati

Compass tratta i dati personali biometrici forniti liberamente dall'Interessato.

6. Modalità del trattamento dei dati personali

I dati saranno trattati mediante strumenti manuali, informatici e telematici con logiche strettamente connesse alle finalità sopra indicate e comunque nel rispetto delle disposizioni contenute nel Regolamento, nella normativa na- zionale vigente in materia di protezione di dati personali e nel citato provvedimento generale del 12 novembre 2014. I dati, in forma sempre criptata se grafometrici, sono conservati a cura del Responsabile del Sistema di conservazione Infocert S.p.A. (nel seguito anche solo “Infocert”), anche avvalendosi di soggetti terzi, comunque espressamente nominati quali Responsabili del trattamento dei dati nell'ambito delle attività di archiviazione e conservazione a norma dei documenti firmati elettronicamente.

pag 2-2

Si precisa che tale tipologia di trattamento dei Suoi dati, regolarmente notificata all’autorità di controllo ed effettuata in osservanza al provvedimento generale del 12 novembre 2014, è gestita con applicazioni informatiche e su supporti informatici ed è effettuata esclusivamente da personale specificatamente preposto quale incaricato del trattamento e debitamente informato sugli obblighi di riservatezza e sicurezza previsti dal Regolamento e dalla normativa nazio- nale vigente in materia di protezione di dati personali, in modo tale da garantire la massima riservatezza e sicurezza degli stessi. I dati non potranno in alcun modo essere oggetto di diffusione.

I dati personali raccolti saranno trattati altresì da:

a) società di servizi facenti parte del Gruppo Mediobanca e, in particolare, M.I.S S.C.p.A., xxx Xxxxx, 0, 00000 Xxxxxx, alla quale sono affidate le attività di gestione del sistema informativo aziendale e del centro stampa;

b) eventuali società delegate per la realizzazione materiale dei servizi di conservazione digitale a norma (“Conserva- tore”) e in qualità di Responsabile esterno del trattamento.

In aggiunta a quanto precede alle lettere a) e b) e nel caso in cui il servizio di firma elettronica avanzata sia da Lei utilizzato per la sottoscrizione di servizi e/o prodotti – finanziari e/o assicurativi – venduti e/o collocati da Compass per conto di terzi, nonché per la sottoscrizione di modifiche e/o integrazioni ai suddetti servizi e/o prodotti, i dati personali, con esclusione di quelli biometrici, saranno trasmessi ai relativi terzi, i cui servizi e/o prodotti sono ven- duti e/o collocati da Compass, che li tratteranno in qualità di autonomi titolari del trattamento in virtù del rapporto direttamente instaurato con Lei. In tale ipotesi, Compass metterà a Sua disposizione l’informativa del terzo in sede di instaurazione del rapporto mediante sottoscrizione con firma elettronica avanzata. In ogni caso il trattamento delle informazioni che La riguardano avverrà con logiche strettamente correlate alle finalità suddette e sarà improntato ai principi di correttezza, liceità, trasparenza e avverrà con modalità idonee a garantirne la sicurezza e la riservatezza. I modelli biometrici raccolti, inoltre e come già precisato, sono trattati con sistema di cifratura e sono inaccessibili al personale e agli addetti alla manutenzione, essendo previsto un particolare procedimento per decifrarli con la necessaria presenza di un soggetto terzo fiduciario (Notaio incaricato quale Responsabile del trattamento) indipen- dente ed esterno alla struttura organizzativa di Compass, che sarà il depositario delle chiavi crittografiche idonee a decifrare le informazioni biometriche conservate. Nei casi in cui è consentita la decifrazione dei dati biometrici, gli

stessi potranno essere trattati anche dai Terzi sopra menzionati e/o per conto degli stessi.

In caso di cessione dei crediti derivanti dal rapporto di finanziamento, i documenti informatici contenenti in forma criptata i dati biometrici relativi alla firma da lei apposta potranno essere trasmessi da Compass al cessionario del credito, fermo restando che la decriptazione sarà possibile esclusivamente secondo le modalità e nei casi sopra illustrati. Il Titolare dà atto di avere adottato idonee procedure e misure connesse al trattamento automatizzato a garanzia e tutela dell’Interessato che può esercitare i suoi diritti mediante comunicazione scritta da inviarsi a: info@ xxxxxxx.xx.

7. Soggetti ai quali possono essere comunicati i dati personali

I dati personali raccolti da Compass saranno trattati altresì da:

a) società di servizi facenti parte del Gruppo Mediobanca e, in particolare, M.I.S S.C.p.A., xxx Xxxxx, 0, 00000 Xxxxxx, alla quale sono affidate le attività di gestione del sistema informativo aziendale e del centro stampa;

b) eventuali società delegate per la realizzazione materiale dei servizi di conservazione digitale a norma (“Conserva- tore”) e in qualità di Responsabile esterno del trattamento.

In aggiunta a quanto precede alle lettere a) e b) e nel caso in cui il servizio di firma elettronica avanzata sia da Lei utilizzato per la sottoscrizione di servizi e/o prodotti – finanziari e/o assicurativi – venduti e/o collocati da Compass per conto di terzi, nonché per la sottoscrizione di modifiche e/o integrazioni ai suddetti servizi e/o prodotti, i dati personali, con esclusione di quelli biometrici, saranno trasmessi ai relativi terzi, i cui servizi e/o prodotti sono ven- duti e/o collocati da Compass, che li tratteranno in qualità di autonomi titolari del trattamento in virtù del rapporto direttamente instaurato con Lei. In tale ipotesi, Compass metterà a Sua disposizione l’informativa del terzo in sede di instaurazione del rapporto mediante sottoscrizione con firma elettronica avanzata. In ogni caso il trattamento delle informazioni che La riguardano avverrà con logiche strettamente correlate alle finalità suddette e sarà improntato ai principi di correttezza, liceità, trasparenza e avverrà con modalità idonee a garantirne la sicurezza e la riservatezza. I modelli biometrici raccolti, inoltre e come già precisato, sono trattati con sistema di cifratura e sono inaccessibili al personale e agli addetti alla manutenzione, essendo previsto un particolare procedimento per decifrarli con la necessaria presenza di un soggetto terzo fiduciario (Notaio incaricato quale Responsabile del trattamento) indipen- dente ed esterno alla struttura organizzativa di Compass, che sarà il depositario delle chiavi crittografiche idonee a decifrare le informazioni biometriche conservate. Nei casi in cui è consentita la decifrazione dei dati biometrici, gli stessi potranno essere trattati anche dai Terzi sopra menzionati e/o per conto degli stessi.

In caso di cessione dei crediti derivanti dal rapporto di finanziamento, i documenti informatici contenenti in forma

criptata i dati biometrici relativi alla firma da lei apposta potranno essere trasmessi da Compass al cessionario del credito, fermo restando che la decriptazione sarà possibile esclusivamente secondo le modalità e nei casi sopra illustrati. Il Titolare dà atto di avere adottato idonee procedure e misure connesse al trattamento automatizzato a garanzia e tutela dell’Interessato che può esercitare i suoi diritti mediante comunicazione scritta da inviarsi a: info@ xxxxxxx.xx.

9. Data retention (periodo di conservazione)

I dati biometrici riferiti al dato grezzo d’origine, al campione biometrico, oppure ai dati ottenuti tramite elaborazio- ne di quelli precedentemente citati (modelli o riferimenti biometrici), devono essere oggetto del trattamento per il periodo di tempo strettamente necessario a perseguire gli scopi per i quali sono stati raccolti e trattati, fatta salva l’eventuale applicabilità di specifiche disposizioni in casi particolari (in ragione di specifiche previsioni di legge o per la tutela di un diritto in sede giudiziaria).

Si specifica che il dato grezzo biometrico impiegato nella realizzazione del modello biometrico può essere trattato solo durante le fasi di registrazione e di acquisizione necessarie al confronto biometrico, e non deve essere memoriz- zato se non per il tempo strettamente necessario alla generazione del modello stesso.

10. Trasferimento di dati personali extra – UE

I dati personali, in conformità a quanto precede e per le finalità indicate, possono essere trasferiti in Paesi extra-UE. In tal caso, il Titolare assicura sin d'ora che il trasferimento dei dati extra-UE sarà regolato in conformità a quanto pre- visto dal Capo V del Regolamento e autorizzato in base a specifiche decisioni dell'Unione Europea. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei dati basando tale trasferimento: a) su decisioni di adeguatezza dei Paesi terzi destinatari espressi dalla Commissione europea; b) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell'art. 46 del Regolamento; c) sull'adozione di norme vincolanti d'impresa.

11. Diritti dell’interessato

I soggetti cui si riferiscono i dati personali hanno diritto, in qualunque momento, di ottenere da Compass la conferma dell’esistenza dei dati, di un loro trattamento, il contenuto l’origine, l’esattezza (chiedendone, se del caso, l’integra- zione o l’aggiornamento o la rettifica (artt. 15 e 16 del Regolamento) tramite accesso agli stessi.

Essi possono chiedere la cancellazione, la limitazione al trattamento, revocare il consenso, chiedere la portabilità dei dati, proporre reclamo all’autorità di controllo e opporsi in ogni caso, per motivi legittimi, al loro trattamento (art. 17 e ss. del Regolamento).

Il Titolare provvederà, anche tramite apposite strutture designate, a prendere in carico la richiesta e a fornire, senza ingiustificato ritardo e comunque, al più tardi, entro un mese dal ricevimento della stessa, le informazioni relative all’azione intrapresa riguardo alla richiesta.

L’Interessato potrà in qualsiasi momento esercitare i diritti a lui attribuiti anche inviando una raccomandata a.r. a Compass Banca S.p.A. con sede in Xxx Xxxxxxx, 00 - 00000, Xxxxxx ovvero una comunicazione scritta a: info@com- passit.

Compass adotta misure ragionevoli per garantire che i dati personali inesatti siano rettificati o cancellati.

Art. 18 Descrizione copertura assicurativa

Come previsto dalla normativa vigente, Compass Banca S.p.A. ha stipulato una polizza assicurativa per la responsa- bilità civile rilasciata da Generali Italia S.p.A., una delle primarie compagnie assicurative abilitate ad esercitare nel campo dei rischi industriali, avente massimale di Euro 500.000,00 al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche.

Art. 19 Comunicazioni

Le comunicazioni si intendono validamente inviate all’indirizzo indicato dal Cliente in sede di richiesta del Servizio. Le comunicazioni per Compass Banca S.p.A. devono essere indirizzate al seguente recapito:

Compass Banca S.p.A. Xxxxxxx Xxxxxxx x. 0000 - 00000 Xxxxxx.

Nelle comunicazioni inviate a Compass Banca S.p.A. il Cliente, oltre ad allegare una copia del documento d’identità in corso di validità, dovrà aver cura di apporre la propria firma leggibile e di indicare:

a) i propri dati anagrafici;

b) il proprio indirizzo;

c) un recapito telefonico;

Ogni comunicazione ai sensi delle presenti Condizioni del Servizio dovrà essere effettuata in lingua italiana.

Art. 20 Legge applicabile

COM524_04_19

Le Condizioni del Servizio sono regolate dalle leggi della Repubblica Italiana.

Cognome e nome Luogo e data di nascita Codice fiscale

Dichiarazione di Adesione Servizio Firma Elettronica Avanzata FEA

Lette le Condizioni di adesione al Servizio di Firma Elettronica Avanzata Grafometrica fornite da Compass Banca S.p.A., nel rispetto della normativa in materia di formazione e conservazione dei documenti Informatici, apponendo la firma elettronica sotto riportata:

• dichiaro di aderire ai Servizio di Firma Elettronica Avanzata in modalita grafometrica erogato da Compas Banca S.p.A.;

• dichiaro il mio accordo a utilizzare documenti informatici nei rapporti con Compass Banca s.p.A., acconsento a sottoscri- vere ogni documento contrattuale, ivi compresi i prodotti distribuiti in abbinamento facoltativo al finanziamento medesimo, mediante dispositivi hardware per la rilevazione grafometrica di firma, con Tablet e penna elettronica;

• autorizzo Compass Banca S.p.A. a registrare e memorizzare i tratti caratteristici della mia firma quali la forma, pressione, il tempo, la velocita, l’accelerazione, l’inclinazione con i quali la stessa è stata apposta (cd. dati biometrici della firma);

• autorizzo Compass Banca S.p.A. a trasmettere presso la casella e-mail eventualmente comunicata il duplicato della pre- sente dichiarazione di adesione, la documentazione precontrattuale e la copia dell'eventuale contratto sottoscritto con la firma elettronica avanzata in modalita grafometrica.

Firma del Cliente