La firma grafometrica è un particolare tipo di Firma Elettronica Avanzata. Quest’ultima è definita dal C.A.D. come un “ insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.

La firma grafometrica è quindi una modalità di Firma Elettronica Avanzata apposta con un gesto manuale, analogo alla firma su carta, su specifici tablet di acquisizione (tablet grafometrici) o anche su tablet di uso generale equipaggiati con specifici programmi software e sensori in grado di registrare oltre all’immagine della firma anche i parametri biometrici come ritmo, velocità, pressione, accelerazione del movimento, angolo di inclinazione della penna e movimento aereo.

http://www.firmadigitalefacile.it/wp-content/uploads/2014/11/Parametri_firma_grafometrica_02_500.jpg

Tali parametri rilevati e campionati più volte al secondo, permettono di identificare la persona che effettua la firma in modo certo e univoco, apportando una notevole ottimizzazione nei costi e nella gestione documentale dei documenti firmati.

Nella firma grafometrica quindi è contenuto un set di informazioni biometriche che vengono strettamente associate a un determinato documento informatico attraverso tecniche crittografiche che possono successivamente consentire lo svolgimento di analisi grafologiche per comprovare l’autenticità della sottoscrizione.

Non si deve confondere la firma grafometrica con quelle realizzate mediante prodotti hardware che si limitano alla sola acquisizione dell’immagine digitale della firma attraverso un tablet poiché in questo caso non sono acquisiti i dati biometrici del sottoscrivente.

Come si appone una firma grafometrica?

Sul mercato sono numerose le aziende che propongono sistemi software per la firma grafometrica. Sebbene, cosi come accade per la firma digitale, ognuno si differenzia dall’altro per alcune specifiche, l’architettura di base è la medesima.

Il sottoscrivente appone la sua firma su un signature pad in grado di registrare quei dati biometrici elencati sopra; da un punto di vista di user experience il firmatario compie il medesimo gesto della firma autografa.

Il tablet grafometrico è collegato alla postazione di lavoro dell’operatore attraverso un canale cifrato che utilizza un algoritmo a chiave simmetrica di tipo AES-128 bit, tale chiave è generata dinamicamente e scambiata secondo l’algoritmo Diffie-Hellman-Merkl.

Grazie al cosiddetto ink effect l’utente è in grado di vedere la propria firma, accettarla oppure rifarla.

Da quel momento il documento informatico porta con sé tutte quelle informazioni che ne garantiscono l’immodificabilità e l’integrità nel tempo.

Quando l’utente sottoscrive il documento, avviene la cifratura e la memorizzazione dei dati biometrici della firma attraverso algoritmi di crittografia asimmetrica, le coppie di chiavi utilizzate risiedono una sull’apparato di firma e un’altra è detenuta da trusted third parties, terze parti fidate come Autorità di Certificazione, Enti o anche Notai specializzati.

Per far sì che in caso di un contenzioso legale si renda necessario verificarne l’integrità, viene calcolata una prima impronta del documento più i dati cifrati con una funzione crittografica di hash SHA -256, su questa impronta e sul dato biometrico in chiaro ne viene calcolata un’altra. La prima impronta calcolata permette un controllo light all’utente che può ricalcolare l’impronta e verifica che il documento non sia stato alterato, la seconda invece necessita di informazioni riservate come le master key simmetriche, tale verifica può essere svolta solo con l’autorizzazione delle parti interessate.

firma_grafometricaI documenti firmati vengono poi inviati al sistema di conservazione, sottoposti al processo di marcatura e memorizzati su supporti informatici in grado di garantire la conservazione per la durata definita dalla legge.

Abbiamo visto che la firma grafometrica si compone di parametri calligrafici del sottoscrivente, ed in quanto tali non possiamo affermare che la verifica sia completamente certa. Essa, come ogni sistema di riconoscimento biometrico, è soggetta a soglie operative facenti capo a due parametri di riferimento: FAR (False Acceptance Rate o “falsi positivi”) e il FRR (False Rejection Rate o “falsi negativi”) essi misurano le percentuali per cui una firma falsa viene accettata come valida e viceversa.

Come è protetta la nostra privacy usando la firma grafometrica?

La firma grafometrica rende i dati biometrici del firmatario lo strumento per cui un documento informatico gli venga associato univocamente; l’utilizzo di tali dati può risultare più o meno invasivo per l’utente che deve essere informato e tutelato sulla conservazione dei propri dati biometrici.

L’Autorità Garante per la protezione dei dati personali ha stabilito per i fornitori di tali servizi una serie di linee guida affinché non avvenga un utilizzo sproporzionato di tali dati a tutela delle libertà personali e che ci sia una notevole attenzione nella sicurezza degli strumenti elettronici utilizzati. I dati biometrici infatti, devono essere utilizzati solamente per gli usi circoscritti a cui l’utente, previa un’informativa chiara, ha dato il consenso.

I principi generali che, secondo l’Autorità Garante, vanno rispettati sono:

  • Liceità
  • Necessità
  • Finalità
  • Proporzionalità

Un’altra questione sollevata dai più scettici è legata alla conservazione dei nostri dati biometrici. Essi possono essere conservati anche in Hardware Security Module o in dispositivi sicuri come token o smart card, che in molti casi contengono già tutto il necessario per poter firmare digitalmente con piena validità legale un documento.

Sebbene la firma grafometrica rappresenti per l’utente una user experience più fluida e meno articolata rispetto agli altri tipi di firma, i dubbi maggiori risiedono nell’utilizzo dei nostri dati biometrici e su un corretto utilizzo di questi che non possa ledere la nostra privacy.

Il rischio maggiore è che strumenti nati per ottimizzare tempi e costi, al fine di migliorare l’interazione tra cittadino ed amministrazione garantendone la massima sicurezza, finiscano per diventare mezzi di controllo di massa.

2 COMMENTS