DocuSign – Informativa sull’utilizzo di DocuSign

CONDIZIONI GENERALI DI SERVIZIO (“CGS”) PER L’UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA (“FEA”)

Art. 1 – Il servizio di Firma Elettronica Avanzata di Helios SpA

Helios S.p.A., con sede legale in Salerno 84131, Via Fuorni di Sotto 19 int. 7, iscritta nel Registro delle Imprese di Salerno col seguente numero di codice fiscale e Partita IVA 04468130655, CCIAA di Salerno con il n. SA-369507 (“Helios”), intende offrire ai propri clienti e fornitori (“Sottoscrittore”) la possibilità di firmare i documenti contrattuali mediante sistemi di firma elettronica, in linea, inter alia, con:

(i) il Regolamento UE 910/2014 (“eIDAS”);

(ii) il Codice dell’Amministrazione Digitale (D.Lgs. 07 marzo 2005 n. 82 e successive modificazioni; di qui in avanti, “CAD”);

(iii) le Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali di cui al DPCM 22 febbraio 2013 (“Regole Tecniche”).

In particolare, il Sottoscrittore che aderisce al servizio potrà firmare i documenti, tra l’altro, con firma elettronica avanzata (“FEA”).
Ai sensi della normativa italiana ed europea, una firma elettronica si configura come FEA allorché la stessa è ottenuta mediante un processo che garantisca:

a) l’identificazione del firmatario del documento;

b) la connessione univoca della firma al firmatario;

c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;

d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;

e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;

f) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;

g) la connessione univoca della firma al documento sottoscritto.

I documenti sottoscritti mediante FEA avranno l’efficacia giuridica e probatoria riconosciuta dall’ordinamento italiano ai sensi dell’art. 2702 del Codice Civile.

Il servizio di FEA è offerto da Helios per il tramite del proprio fornitore DocuSign Inc. (“DocuSign”). Le caratteristiche del sistema FEA atte a garantire il rispetto di quanto indicato ai precedenti punti (a)-(g) e le tecnologie utilizzate nell’ambito di tale sistema sono consultabili nell’Allegato A alle presenti CGS.

Il Sottoscrittore, preso atto e visionate attentamente le presenti CGS (disponibili nella versione sempre aggiornata sul sito www.heliosenergia.it), dichiara di aderire e aderisce al servizio FEA mediante accettazione delle presenti CGS.

Per quanto non espressamente disciplinato dalle presenti CGS, si rinvia a quanto stabilito dalle disposizioni dell’eIDAS, del CAD e delle Regole Tecniche.

Art. 2 – Termini e condizioni del servizio

Per l’adesione al servizio FEA, l’ordinamento richiede la verifica dell’identità del Sottoscrittore.
L’identificazione del Sottoscrittore, dotato dei necessari poteri, avviene per tramite di un valido documento di riconoscimento del Sottoscrittore, secondo quanto specificato all’art. 3 che segue.

Art. 3 – Attivazione e utilizzo del servizio

Il Sottoscrittore può aderire al servizio FEA fornito da Helios accedendo (mediante click sul tasto “Firma Documento”) al link trasmesso a mezzo e-mail all’indirizzo di posta elettronica comunicato dal Sottoscrittore a Helios.

Il link condurrà ad una pagina web, all’interno della quale verrà richiesto al Sottoscrittore di accettare le presenti CGS e compilare un modulo di identificazione per verificare la sua identità.

Procedura di identificazione:

• Inserire le informazioni riguardanti l’ID (paese di rilascio e tipo di ID, ad esempio passaporto o ID con foto).
• Caricare il documento tramite cellulare o file (entrambi i lati) seguendo le indicazioni sul sito.

Una volta concluso il processo di identificazione, il Sottoscrittore potrà procedere con la sottoscrizione del documento.

Per procedere, è necessario:

1. Accettare, dopo attenta lettura, le presenti CGS cliccando sul campo “Visualizza” e poi sul campo “Accetta”.
2. Procedere con l’apposizione della FEA sul documento cliccando sul campo “Firma”.

L’accettazione delle presenti CGS costituisce espressa dichiarazione di integrale accettazione delle medesime ai sensi e per gli effetti dell’art. 57 comma 1, lett. a) delle Regole Tecniche.

Per finalizzare il processo, il Sottoscrittore deve controllare i propri dati ed accettare i termini e le condizioni relative all’utilizzo del servizio di FEA fornito da DocuSign.

Art. 4 – Revoca del consenso all’utilizzo del servizio FEA

Il Sottoscrittore potrà revocare in qualsiasi momento il proprio consenso all’uso della FEA chiedendo a Helios di firmare il documento in formato cartaceo.

Per la revoca definitiva, è possibile scrivere all’indirizzo docusign@heliosenergia.com.

La revoca comporta l’impossibilità di accedere al servizio di sottoscrizione tramite FEA.

Art. 5 – Ambito di utilizzo
Il Sottoscrittore potrà utilizzare la FEA esclusivamente nei rapporti intercorrenti tra Helios ed il Sottoscrittore stesso.

Art. 6 – Conservazione del documento informatico sottoscritto. Conservazione di ulteriore documentazione
DocuSign provvede all’archiviazione digitale dei documenti sottoscritti dal Sottoscrittore con FEA. DocuSign provvede inoltre all’archiviazione della dichiarazione di accettazione delle presenti CGS e del documento di riconoscimento trasmesso dal Sottoscrittore per un periodo di almeno 20 anni, in ottemperanza a quanto prescritto dalle previsioni normative.
Il Sottoscrittore potrà chiedere gratuitamente copia del documento di riconoscimento di cui al paragrafo precedente e delle presenti CGS accettate dal Sottoscrittore inviando apposita richiesta all’indirizzo docusign@heliosenergia.com.

Art. 7 – Copertura assicurativa
Al fine di proteggere i titolari della FEA e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, Helios, ai sensi dell’art. 57 comma 2 delle Regole Tecniche, si è dotata di idonea copertura assicurativa per la responsabilità civile stipulata con primaria compagnia assicurativa abilitata ad esercitare nel campo dei rischi industriali.

Art. 8 – Trattamento dei dati personali
Helios informa che non è previsto alcun trattamento dei dati personali dei soggetti coinvolti nel processo di FEA. Helios utilizzerà DocuSign quale provider del servizio ed erogazione della piattaforma che gestirà tutto il flusso di firma. Per quanto riguarda la fase di verifica del documento d’identità durante il flusso di FEA, DocuSign è pertanto considerato quale Titolare del Trattamento dei Dati autonomo.
Per qualsiasi informazione, richiesta o per esercitare i propri diritti, è possibile fare riferimento alla sezione Privacy accessibile al seguente link.

Art. 9 – Servizio di assistenza
Per ogni ulteriore informazione, è comunque possibile contattare Helios al seguente indirizzo: docusign@heliosenergia.com.

Art. 10 – Foro Competente
Ferme la competenza inderogabile di cui all’art. 66-bis D.lgs. 6 settembre 2005, n. 206 (Codice del Consumo), per la risoluzione delle controversie relative all’interpretazione delle presenti CGS, nonché all’esecuzione del servizio di FEA, si individua quale foro esclusivo quello di Salerno.

ALLEGATO A – CARATTERISTICHE TECNICHE

DocuSign è la piattaforma che Helios ha scelto per il servizio di firma elettronica dei documenti. Identificato come uno dei Provider tra i più affidabili e utilizzati a livello mondiale, grazie a DocuSign è possibile accedere in qualsiasi momento ai documenti firmati, inviandoli senza correre il rischio di perderli. DocuSign è un servizio di facile utilizzo che garantisce la riservatezza dei dati, che vengono crittografati in maniera sicura. Inoltre, la versatilità e l’aderenza alle normative rendono il processo di firma elettronica legalmente accettato in tutto il mondo.

DocuSign implementa un modello di firma elettronica avanzata con l’ID verifica (la verifica del documento di riconoscimento del firmatario) gestito all’interno del servizio. Questo viene richiesto prima della firma, poiché consente di autenticare il firmatario in modo sicuro. DocuSign supporta la firma elettronica avanzata (remota) nelle modalità descritte di seguito. Ulteriori informazioni sulle caratteristiche tecniche del servizio di firma elettronica fornito da DocuSign sono consultabili a questo [link].

Identificazione univoca del firmatario

DocuSign consente di utilizzare la verifica di un documento di riconoscimento in corso di validità (“ID”) per verificare automaticamente l’identità del Sottoscrittore e fornire FEA ai sensi del eIDAS. Grazie alla verifica dell’ID, DocuSign è in grado di associare in maniera univoca il Sottoscrittore alla FEA.

Cosa viene verificato sull’ID?
DocuSign verificherà che:

• L’ID non è scaduto.
• Il nome corrisponde alla busta come specificato dal mittente.
• Le MRZ (‘machine readable zones’), come il codice a barre, vengono decodificate in informazioni coerenti con il resto dell’ID.
• Le caratteristiche visive/ologrammi sono coerenti con l’aspetto che dovrebbe avere quel tipo di ID.
• Non ci sono prove di manomissioni dei caratteri, spaziatura delle lettere, buchi o altri difetti nell’ID.

Non vengono effettuate chiamate ai database governativi, poiché molti richiedono privilegi dedicati.

Se un ID non viene riconosciuto automaticamente, il Sottoscrittore non sarà in grado di accedere ai documenti. Il team specificato che gestisce la FEA in Helios può rivedere manualmente gli ID come opzione di riserva. Dopo che il team ha verificato ed accettato l’ID, il Sottoscrittore può accedere e firmare il documento. In caso contrario, il Sottoscrittore non può accedere ai documenti e sarà necessario modificare i requisiti di verifica per il Sottoscrittore.

Crittografia dei dati

Crittografando come BLOB (Binary Large Object), il sistema DocuSign protegge l’integrità dei documenti (inclusa la verifica dell’ID) e dei tag mentre i dati sono at rest. Oltre alla crittografia BLOB, protegge i dati in transito abilitando le connessioni TLS all’interno delle API eSignature e delle applicazioni web. In più, ha implementato i certificati SSL (Secure Socket Layer) emessi da DigiCert (un’autorità di certificazione considerata attendibile dai sistemi operativi/browser web). DocuSign fornisce la crittografia end-to-end che copre sia i dati at rest che i dati in transito. Inoltre, utilizza l’hashing dei dati SHA-2 per il controllo dell’integrità all’interno del sistema.

Archiviazione di documenti

DocuSign provvede all’archiviazione della dichiarazione di accettazione delle CGS accettate dal Sottoscrittore e del documento di riconoscimento trasmesso dal Sottoscrittore per un periodo di almeno 20 anni, in ottemperanza a quanto prescritto dalle previsioni normative. Tutti i dati vengono archiviati nei data center dell’UE. I dati possono essere recuperati tramite API ID Evidence Rest, che utilizza la crittografia TLS (Transport Layer Security) affidabile e il protocollo HTTPS sulla porta 443.

Inserimento di un sigillo nel documento firmato (per rilevare eventuali modifiche ai dati)

Una volta apposta la firma elettronica sui documenti, DocuSign inserisce nei documenti un sigillo di antimanomissione (attraverso il metodo “hash” e la crittografia) utilizzando un certificato digitale globale di firma.

Procedure consigliate in caso di controversie

In caso di controversie riguardanti un contratto stipulato per via elettronica, DocuSign garantisce la raccolta e la conservazione di molti elementi che possono risultare determinanti in caso di controversia per impedire eventuali disconoscimenti di una firma. Di seguito l’elenco completo degli elementi disponibili a tale scopo:

• Itinerario di controllo con contrassegno di ora/data di tutte le azioni svolte dal Sottoscrittore.
• Crittografia protetta che consente di leggere e firmare i documenti solo agli utenti designati.
• Firme univoche create da ciascun utente, accessibili solo dagli utenti corrispondenti (team specifico che gestisce la FEA in Helios) e memorizzate online in maniera protetta.
• Aree di firma (Stick-eTab) richieste, che consentono al Sottoscrittore di apporre le iniziali e la firma su parti specifiche del documento.

Intenzione di apporre la firma

Nei documenti cartacei, la collocazione precisa della firma è un criterio importante per stabilire l’intenzione del Sottoscrittore. DocuSign consente tale trasposizione anche nella forma elettronica.

Elementi di protezione della firma

I documenti firmati tramite la piattaforma DocuSign hanno una protezione completa in quanto viene tenuta traccia delle persone che hanno firmato, del tipo di autenticazione con i suoi dati, dell’ora e della data in cui le firme sono state apposte. Tale processo di controllo è definito “certificato di completamento”: il certificato di completamento e i documenti firmati in maniera digitale con sigillo di garanzia sono gli elementi chiave per eseguire un corretto processo di FEA.

Ammissibilità in sede probatoria

Gli Stati membri dell’Unione Europea, tra cui anche l’Italia, prevedono l’ammissibilità in sede probatoria dei record elettronici e delle riproduzioni di questi ultimi. Nel caso della Firma Elettronica Avanzata, il CAD stabilisce che, in caso di disconoscimento, con l’adozione di tale metodologia di firma, risulti fondamentale dimostrare ai tribunali quanto segue:

• L’identificazione del Sottoscrittore e la connessione univoca dello stesso al documento firmato.
• Tale connessione è creata utilizzando dei mezzi sui quali il Sottoscrittore può conservare il controllo esclusivo.
• La possibilità di rilevare se i dati sono stati modificati successivamente all’apposizione della firma elettronica avanzata.

Il documento informatico sottoscritto con firma elettronica avanzata che garantisca i requisiti di cui sopra, ha l’efficacia prevista dall’articolo 2702 del codice civile, il quale stabilisce che: “La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.”

Datacenter

La piattaforma DocuSign eroga il servizio in modalità Software as a Service (SaaS) in regime di Business Continuity attraverso i datacenter ridondati localizzati in Parigi (Francia), Amsterdam (Olanda) e Francoforte (Germania). I dati trattati all’interno del servizio offerto sono dunque memorizzati esclusivamente all’interno del territorio dell’Unione Europea. Tutti i datacenter sono oggetto di certificazione ISO 27001, 27017, 27018, PCI DSS e SSAE 18.

Materiali a supporto

• Come firmare i documenti: Guida alla firma digitale.