PROCEDIMENTO AMMINISTRATIVO E FIRME ELETTRONICHE: QUALE RUOLO PER LA FIRMA

GRAFOMETRICA ?

Giovanni Manca – Advisory Board ANORC

12 dicembre 2013ROMA-TAR LAZIO

2

Argomenti

• Aspetti tecnici e principali caratteristiche della firma grafometrica.

• Le diverse soluzioni adottabili e le loro peculiarità.

• Gli ambiti di utilizzo della firma elettronica avanzata e della firma grafometrica.

3

Lo scenario di riferimento

•Il 25 gennaio 2011 è entrato in vigore il decreto legislativo 30 dicembre 2011, n. 235 che ha modificato il codice dell’amministrazione digitale – CAD (DLgs 7 marzo 2005, n. 82).

•Tali modifiche sono significative e hanno impatti sul valore legale del documento informatico, sulla sua conservazione digitale e in generale sul suo ciclo di vita.

•Il nuovo impianto normativo segue la linea politica degli ultimi Governi che continua a ritenere la dematerializzazione (digitalizzazione) cruciale per lo sviluppo. Il contenitore di riferimento per queste norme è noto anche come AGENDA DIGITALE (Legge 17 dicembre 2012, n. 221).

•Mancano ancora decreti tecnici e provvedimenti accessori di natura tecnica e organizzativa.

4

La firma elettronica avanzata - 1

•La nuova definizione di firma elettronica avanzata è cruciale in quanto si stabilisce per essa una nuova efficacia pari a quella prevista dal 1350 e dal 2702 del Codice Civile.

•A livello europeo si parla di AdES (Advanced Electronic Signature).

•Essa consente l’identificazione del firmatario del documento con connessione univoca ad esso.

•Viene creata con mezzi sui quali il firmatario può conservare un controllo esclusivo.

•Sono rilevabili le modifiche successive al documento informatico.

5

La firma elettronica avanzata - 2

•I dati per la creazione della firma sono univocamente assegnati a un titolare.

•Devono garantire l’identificabilità del titolare. – Non è obbligatoria la presenza di un certificato digitale.

•Per la FEA, con le ultime modifiche normative, non è più stabilito che “l’utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria”.

•Per garantire l’integrità è possibile l’applicazione degli standard CADES (estensione dei file .p7m), XADES e PADES (formato PDF) (già presenti nelle vigenti regole tecniche).

6

Aspetti tecnici per la FEA - 1

• Non esiste una tecnologia di riferimento per la FEA che è un procedimento che deve soddisfare i requisiti stabiliti nelle Regole Tecniche.

• E’ quindi chi propone una FEA che dichiara: quanto proposto soddisfa le regole e i requisiti specifici di tipo organizzativo.

• Al momento il mercato richiede una FEA basata su PKI semplificate o basata su tecniche grafometriche.

• Le tecniche grafometriche vengono utilizzate, sia per sottoscrivere il documento, sia per attivare una firma qualificata. In quest’ultimo caso ovviamente non stiamo parlando di FEA.

7

Aspetti tecnici per la FEA - 2

• Ricordando che la firma qualificata è una FEA basata su un certificato qualificato e creata mediante un dispositivo sicuro.

• … si ottiene una FEA togliendo dalla firma qualificata il certificato qualificato e il dispositivo sicuro.

• Abbiamo così una FEA/PKI dove viene proposta una firma simile alla qualificata ma con certificati generati “in casa” e creata tramite server tradizionali o HSM non necessariamente certificati.

• Sono fondamentali le questioni organizzative e le soluzioni di sicurezza utilizzate nella realizzazione. Non rispettarle significa non avere una FEA e la sua specifica efficacia probatoria.

8

La firma grafometrica

•E’ basata sulle caratteristiche comportamentali del titolare (ritmo, pressione, velocità, accelerazione, movimento, etc.) che firma con uno stilo su una tavoletta grafica che può generalmente rilevare anche la pressione del tratto.

•Di per sé rappresenta una firma elettronica. Adeguatamente connessa ad un sistema documentale organizzato può divenire una firma elettronica avanzata.

•Nei prodotti di mercato viene quasi sempre reso disponibile uno strumento di tipo forense per l’analisi grafologica della sottoscrizione. In tal modo nulla cambia in caso di contestazione della sottoscrizione.

•La qualità “grafotecnica” resa dallo strumento è una criticità della soluzione adottata.

Caratteristiche dei dispositivi di firma

• I device utilizzati per l’apposizione di firme grafometriche sono dispositivi hardware dotati di tecnologia touch in grado di rilevare i principali parametri della firma dell’utente

• E’ possibile distinguere due macro categorie di devices

Tablet dedicati

Dispositivi mobili

Dispositivi Caratteristiche

• Dispositivi hardware (tablet) dedicati dotati di tecnologia touch

• Postazioni fisse o portatili• Connettività verso pc via USB• Associati a speciali penne per

l’apposizione delle firme• Massima accuratezza nella rilevazione

dei parametri• Possibilità di impiego per enrollment

(prima registrazione parametri di firma) e verifica

• Costo tra i 50 e i 500 euro (10”) circa in funzione delle caratteristiche del display (b/n vs colori, risoluzione, ecc.)

Parametri rilevati

• Pressione• Velocità• Ritmo• Accelerazione• Movimenti aerei

• Velocità• Ritmo• Accelerazione• Movimenti aerei

• Dispositivi mobili dotati di tecnologia touch (es. iPad)

• Utilizzo non limitato alla sola apposizione di firme

• Connettività verso pc e alla rete• Accuratezza dei parametri rilevati

minore rispetto ai device dedicatiL’impossibilità di rilevare la

coordinata pressione tramite dispositivi mobili ne

riduce il livello di confidenza

La firma biometrica può essere una firma elettronica avanzata

• La firma biometrica è un processo di calcolo, legalmente equiparato ad una firma elettronica avanzata.

• Si basa sulle caratteristiche grafometriche rilevate dal tratto a penna per generare il documento firmato.

• Per elaborare tali caratteristiche (template biometrico), sono usati specifici devices – le tavolette di firma - e software ad-hoc.

• I parametri biometrici sono allegati al contratto, che contiene in calce anche la firma “tradizionale” a penna digitalizzata.

• La validazione della firma avviene direttamente in digitale, confrontando i parametrici biometrici della firma con il profilo della firma “depositato” (in analogia ai cartellini firma “tradizionali”)

Contratto +

Contratto digitale con firma

«tradizionale»digitalizzata

Caratteristiche

Firma biometrica

Generazione della firma

Trasmissione contratto e verifica della firma

Contrattodigitale +

Presso lo sportello oppure “fuori sede”

Templatebiometrico

di firma

Templatebiometrico

di firma

Il processo di firma grafometrica

Sicurezza del documento sottoscritto

• H1 serve a garantire un controllo “semplice” sull'integrità e può essere condotto da qualsiasi utente senza disporre di informazioni segrete mediante il semplice ricalcolo dell'hash.

• H2 consente un controllo sull’integrità più “complesso”. La funzione hash in questo caso riceve in input i dati biometrici in chiaro, quindi deve necessariamente essere elaborata in un ambiente adeguatamente protetto e solo su specifiche autorizzazioni delle parti coinvolte. La Master Key privata (MKS) dovrebbe essere conservata in ambiente sicuro (es. Notaio, CA, HSM)

• La firma del documento viene effettuata con la classica tecnica delle chiavi asimmetriche. Anche in questo caso esistono diverse soluzioni tecnologiche dei Fornitori in merito alla creazione delle chiavi KP e KS .

• Per la protezione del dato biometrico si consiglia:– Eseguire la cifratura del dato biometrico nel modo più efficace possibile;– Cancellare in modo sicuro il dato biometrico non appena eseguita la

cifratura.

Ambiti di utilizzo della FEA

• La FEA (come processo) può trovare utilizzo:

– Ove non si voglia utilizzare un certificato qualificato;– Ove non si voglia utilizzare un dispositivo sicuro per la

creazione della firma;– Ove si vogliono utilizzare dispositivi di identità personale già

presenti;– Ove l’analisi funzionale del progetto evidenzia che la FEA

(esclusa la grafometria) sia più economica e efficiente di altre soluzioni;

Firma grafometrica: vantaggi e principali utilizzi

• La firma grafometrica ha il vantaggio di rendere possibile l’implementazione elettronica della sottoscrizione di un documento, permettendo all’utente di firmare nello stesso modo in cui ha sempre fatto su carta.

• Maggiore usabilità rispetto ai metodi di firma digitale/qualificata. L’utente che sottoscrive non deve possedere nulla al di fuori della propria mano !

• Attivazione del processo di dematerializzazione all’origine !

• I maggiori utilizzi che si riscontrano:

– In ambito bancario: utilizzo massivo allo sportello – In ambito TLC: acquisizione di contratti telefonici

Ambiti di utilizzo della FG

La firma grafometrica è un particolare tipo di firma che si può ottenere utilizzando dati biometrici comportamentali dell’utente legati all’apposizione materiale della firma come ad esempio ritmo, pressione esercitata, velocità,

accelerazione del movimento, angolo d’inclinazione, numero di volte in cui la penna viene sollevata dalla carta, ecc

• La firma grafometrica può essere utilizzata:

– Come credenziale di autenticazione;– Come modello di Firma Elettronica;– Come modello di FEA, nell’ipotesi in cui sia caratterizzata da determinati

requisiti, quali: l’identificazione certa del firmatario, il legame indissolubile tra firma e documento informatico sottoscritto, la garanzia dell’integrità del connubio composto dal documento e dal dato biometrico di firma;

– Come elemento di identificazione all'interno di uno schema di Firma Digitale (ad es. accesso in remoto al proprio certificato di firma custodito ad esempio in un HSM);

Caso d’uso di un processo di firma

• Dopo aver acceso il tablet ed aver avviato l’applicazione di firma il programma richiede di selezionare il file pdf che si intende firmare.

• Il file selezionato viene visualizzato sul tablet e l’utente avvia il processo di firma attraverso l’apposita icona.

• L’utente selezione all’interno del documento pdf l’area dove apporre la firma e procede con l’apposizione.

• Viene visualizzato il documento pdf con l’immagine grafica della firma.

Firma grafometrica e grafologia forense

• La perizia grafica su base grafologica è una tecnica utilizzata da anni in particolar modo in ambito giudiziario per definire e distinguere la produzione grafica di un individuo da quella di qualsiasi altro.

• In questo contesto la firma grafometrica semplifica di molto l’indagine, in quanto fornisce un maggiore numero d’informazioni rispetto a quelle che si otterrebbero sul cartaceo. Inoltre mentre su supporto cartaceo l’operazione di confronto risente della soggettività dell’osservatore, nella firma grafometrica i dati sono numerici e quindi oggettivi.

Firma grafometrica e grafologia forense

• La perizia grafica su base grafologica è una tecnica utilizzata da anni in particolar modo in ambito giudiziario per definire e distinguere la produzione grafica di un individuo da quella di qualsiasi altro.

• In questo contesto la firma grafometrica semplifica di molto l’indagine, in quanto fornisce un maggiore numero d’informazioni rispetto a quelle che si otterrebbero sul cartaceo. Inoltre mentre su supporto cartaceo l’operazione di confronto risente della soggettività dell’osservatore, nella firma grafometrica i dati sono numerici e quindi oggettivi.

19

•La firma elettronica avanzata basata su tecniche grafologiche ha le potenzialità per diventare una “killer application”.

• Il mercato si è tuffato in queste tecnologie con un fortissimo entusiasmo e una certa superficialità soprattutto sulla trasparenza nella sicurezza delle soluzioni.

•La circostanza che le soluzioni proposte aumentano di un paio di unità al mese non aiuta lo scenario di sicurezza.

•Per fortuna esistono prodotti di adeguata affidabilità ma

l’attenzione degli esperti di sicurezza (e delle istituzioni) deve essere massima e costante almeno fino a un consolidamento omogeneo e stabile dell’offerta.

Considerazioni finali

Contatti

Giovanni Mancae-mail:

mncgnn59@gmail.com