1. PROCEDIMENTO AMMINISTRATIVO E FIRME
ELETTRONICHE: QUALE RUOLO PER LA FIRMA
GRAFOMETRICA ?
Giovanni Manca Advisory Board ANORC
12 dicembre 2013
ROMA-TAR LAZIO
2. Argomenti
Aspetti tecnici e principali caratteristiche della
firma grafometrica.
Le diverse soluzioni adottabili e le loro peculiarit.
Gli ambiti di utilizzo della firma
avanzata e della firma grafometrica.
elettronica
2
3. Lo scenario di riferimento
Il 25 gennaio 2011 竪 entrato in vigore il decreto legislativo 30
dicembre 2011, n. 235 che ha modificato il codice
dellamministrazione digitale CAD (DLgs 7 marzo 2005, n.
82).
Tali modifiche sono significative e hanno impatti sul valore
legale del documento informatico, sulla sua conservazione
digitale e in generale sul suo ciclo di vita.
Il nuovo impianto normativo segue la linea politica degli
ultimi Governi che continua a ritenere la dematerializzazione
(digitalizzazione) cruciale per lo sviluppo. Il contenitore di
riferimento per queste norme 竪 noto anche come AGENDA
DIGITALE (Legge 17 dicembre 2012, n. 221).
Mancano ancora decreti tecnici e provvedimenti accessori di
natura tecnica e organizzativa.
3
4. La firma elettronica avanzata - 1
La nuova definizione di firma elettronica avanzata 竪 cruciale
in quanto si stabilisce per essa una nuova efficacia pari a
quella prevista dal 1350 e dal 2702 del Codice Civile.
A livello europeo si parla di AdES (Advanced Electronic
Signature).
Essa consente lidentificazione del firmatario del documento
con connessione univoca ad esso.
Viene creata con mezzi sui quali il firmatario pu嘆 conservare
un controllo esclusivo.
Sono rilevabili
informatico.
le
modifiche
successive
al
documento
4
5. La firma elettronica avanzata - 2
I dati per la creazione della firma sono univocamente
assegnati a un titolare.
Devono garantire lidentificabilit del titolare.
Non 竪 obbligatoria la presenza di un certificato digitale.
Per la FEA, con le ultime modifiche normative, non 竪 pi湛
stabilito che lutilizzo del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia prova contraria.
Per garantire lintegrit 竪 possibile lapplicazione degli
standard CADES (estensione dei file .p7m), XADES e PADES
(formato PDF) (gi presenti nelle vigenti regole tecniche).
5
6. Aspetti tecnici per la FEA - 1
Non esiste una tecnologia di riferimento per la FEA che 竪 un
procedimento che deve soddisfare i requisiti stabiliti nelle
Regole Tecniche.
E quindi chi propone una FEA che dichiara: quanto proposto
soddisfa le regole e i requisiti specifici di tipo organizzativo .
Al momento il mercato richiede una FEA basata su PKI
semplificate o basata su tecniche grafometriche.
Le tecniche grafometriche vengono utilizzate, sia per
sottoscrivere il documento, sia per attivare una firma
qualificata. In questultimo caso ovviamente non stiamo
parlando di FEA.
6
7. Aspetti tecnici per la FEA - 2
Ricordando che la firma qualificata 竪 una FEA basata su un
certificato qualificato e creata mediante un dispositivo sicuro.
si ottiene una FEA togliendo dalla firma qualificata il
certificato qualificato e il dispositivo sicuro.
Abbiamo cos狸 una FEA/PKI dove viene proposta una firma
simile alla qualificata ma con certificati generati in casa e
creata tramite server tradizionali o HSM non necessariamente
certificati.
Sono fondamentali le questioni organizzative e le
soluzioni di sicurezza utilizzate nella realizzazione. Non
rispettarle significa non avere una FEA e la sua specifica
efficacia probatoria.
7
8. La firma grafometrica
E basata sulle caratteristiche comportamentali del titolare (ritmo,
pressione, velocit, accelerazione, movimento, etc.) che firma con
uno stilo su una tavoletta grafica che pu嘆 generalmente rilevare
anche la pressione del tratto.
Di per s辿 rappresenta una firma elettronica. Adeguatamente
connessa ad un sistema documentale organizzato pu嘆 divenire una
firma elettronica avanzata.
Nei prodotti di mercato viene quasi sempre reso disponibile uno
strumento di tipo forense per lanalisi grafologica della
sottoscrizione. In tal modo nulla cambia in caso di contestazione
della sottoscrizione.
La qualit grafotecnica resa dallo strumento 竪 una criticit della
soluzione adottata.
8
9. Caratteristiche dei dispositivi di firma
Dispositivi
Tablet dedicati
I device utilizzati per
lapposizione di firme
grafometriche sono
dispositivi
hardware dotati di
tecnologia touch in
grado di rilevare i
principali parametri
della firma dellutente
E possibile
distinguere due
macro categorie di
devices
Dispositivi mobili
Caratteristiche
Parametri rilevati
Dispositivi hardware (tablet) dedicati
dotati di tecnologia touch
Postazioni fisse o portatili
Connettivit verso pc via USB
Associati a speciali penne per
lapposizione delle firme
Massima accuratezza nella rilevazione
dei parametri
Possibilit di impiego per enrollment
(prima registrazione parametri di firma) e
verifica
Costo tra i 50 e i 500 euro (10) circa in
funzione delle caratteristiche del display
(b/n vs colori, risoluzione, ecc.)
Pressione
Velocit
Ritmo
Accelerazione
Movimenti aerei
Dispositivi mobili dotati di tecnologia
touch (es. iPad)
Utilizzo non limitato alla sola
apposizione di firme
Connettivit verso pc e alla rete
Accuratezza dei parametri rilevati
minore rispetto ai device dedicati
Velocit
Ritmo
Accelerazione
Movimenti aerei
Limpossibilit di rilevare la
coordinata pressione
tramite dispositivi mobili ne
riduce il livello di
confidenza
10. La firma biometrica pu嘆 essere una firma elettronica avanzata
Presso lo sportello oppure fuori sede
Caratteristiche
+
Contratto
La firma biometrica 竪 un processo di
calcolo, legalmente equiparato ad una
firma elettronica avanzata.
Generazione
della firma
Si basa sulle caratteristiche grafometriche
rilevate dal tratto a penna per generare il
documento firmato.
Per elaborare tali caratteristiche (template
biometrico), sono usati specifici devices
le tavolette di firma - e software ad-hoc.
I parametri biometrici sono allegati al
contratto, che contiene in calce anche la
firma tradizionale a penna digitalizzata.
La validazione della firma avviene
direttamente in digitale, confrontando i
parametrici biometrici della firma con il
profilo della firma depositato (in analogia ai
cartellini firma tradizionali)
Template
biometrico
di firma
Contratto
digitale con firma
束tradizionale損
digitalizzata
Firma
biometrica
Trasmissione contratto
e verifica della firma
Contratto
digitale
+
Template
biometrico
di firma
12. Sicurezza del documento sottoscritto
H1 serve a garantire un controllo semplice sull'integrit e pu嘆 essere
condotto da qualsiasi utente senza disporre di informazioni segrete
mediante il semplice ricalcolo dell'hash.
H2 consente un controllo sullintegrit pi湛 complesso. La funzione
hash in questo caso riceve in input i dati biometrici in chiaro, quindi
deve necessariamente essere elaborata in un ambiente adeguatamente
protetto e solo su specifiche autorizzazioni delle parti coinvolte. La
Master Key privata (MKS) dovrebbe essere conservata in ambiente
sicuro (es. Notaio, CA, HSM)
La firma del documento viene effettuata con la classica tecnica delle
chiavi asimmetriche. Anche in questo caso esistono diverse soluzioni
tecnologiche dei Fornitori in merito alla creazione delle chiavi K P e KS .
Per la protezione del dato biometrico si consiglia:
Eseguire la cifratura del dato biometrico nel modo pi湛 efficace possibile;
Cancellare in modo sicuro il dato biometrico non appena eseguita la
cifratura.
13. Ambiti di utilizzo della FEA
La FEA (come processo) pu嘆 trovare utilizzo:
Ove non si voglia utilizzare un certificato qualificato;
Ove non si voglia utilizzare un dispositivo sicuro per la
creazione della firma;
Ove si vogliono utilizzare dispositivi di identit personale gi
presenti;
Ove lanalisi funzionale del progetto evidenzia che la FEA
(esclusa la grafometria) sia pi湛 economica e efficiente di altre
soluzioni;
14. Firma grafometrica: vantaggi e principali utilizzi
La firma grafometrica ha il vantaggio di rendere possibile
limplementazione elettronica della sottoscrizione di un documento,
permettendo allutente di firmare nello stesso modo in cui ha sempre
fatto su carta.
Maggiore usabilit rispetto ai metodi di firma digitale/qualificata. Lutente
che sottoscrive non deve possedere nulla al di fuori della propria mano !
Attivazione del processo di dematerializzazione allorigine !
I maggiori utilizzi che si riscontrano:
In ambito bancario: utilizzo massivo allo sportello
In ambito TLC: acquisizione di contratti telefonici
15. Ambiti di utilizzo della FG
La firma grafometrica 竪 un particolare tipo di firma che si pu嘆 ottenere
utilizzando dati biometrici comportamentali dellutente legati allapposizione
La firma grafometrica pu嘆 essere utilizzata:
materiale della firma come ad esempio ritmo, pressione esercitata, velocit,
accelerazione del movimento, angolo dinclinazione, numero di volte in cui la
Come credenziale dipenna viene sollevata dalla carta, ecc
autenticazione;
Come modello di Firma Elettronica;
Come modello di FEA, nellipotesi in cui sia caratterizzata da determinati
requisiti, quali: lidentificazione certa del firmatario, il legame indissolubile
tra firma e documento informatico sottoscritto, la garanzia dellintegrit del
connubio composto dal documento e dal dato biometrico di firma;
Come elemento di identificazione all'interno di uno schema di Firma
Digitale (ad es. accesso in remoto al proprio certificato di firma custodito
ad esempio in un HSM);
16. Caso duso di un processo di firma
Dopo aver acceso il tablet ed aver
avviato lapplicazione di firma il
programma richiede di selezionare il
file pdf che si intende firmare.
Il file selezionato viene visualizzato
sul tablet e lutente avvia il processo
di firma attraverso lapposita icona.
Lutente selezione allinterno del
documento pdf larea dove apporre
la firma e procede con lapposizione.
Viene visualizzato il documento pdf
con limmagine grafica della firma.
17. Firma grafometrica e grafologia forense
La perizia grafica su base grafologica 竪 una tecnica utilizzata da anni in
particolar modo in ambito giudiziario per definire e distinguere la produzione
grafica di un individuo da quella di qualsiasi altro.
In questo contesto la firma grafometrica semplifica di molto lindagine, in quanto
fornisce un maggiore numero dinformazioni rispetto a quelle che si otterrebbero
sul cartaceo. Inoltre mentre su supporto cartaceo loperazione di confronto
risente della soggettivit dellosservatore, nella firma grafometrica i dati sono
numerici e quindi oggettivi.
18. Firma grafometrica e grafologia forense
La perizia grafica su base grafologica 竪 una tecnica utilizzata da anni in
particolar modo in ambito giudiziario per definire e distinguere la produzione
grafica di un individuo da quella di qualsiasi altro.
In questo contesto la firma grafometrica semplifica di molto lindagine, in quanto
fornisce un maggiore numero dinformazioni rispetto a quelle che si otterrebbero
sul cartaceo. Inoltre mentre su supporto cartaceo loperazione di confronto
risente della soggettivit dellosservatore, nella firma grafometrica i dati sono
numerici e quindi oggettivi.
19. Considerazioni finali
La firma elettronica avanzata basata su tecniche grafologiche ha le
potenzialit per diventare una killer application.
Il mercato si 竪 tuffato in queste tecnologie con un fortissimo
entusiasmo e una certa superficialit soprattutto sulla trasparenza
nella sicurezza delle soluzioni.
La circostanza che le soluzioni proposte aumentano di un paio di
unit al mese non aiuta lo scenario di sicurezza.
Per fortuna esistono prodotti di adeguata affidabilit ma lattenzione
degli esperti di sicurezza (e delle istituzioni) deve essere massima e
costante almeno fino a un consolidamento omogeneo e stabile
dellofferta.
19
