Mi hanno rubato la mano!informaticagiuridica.unipv.it/convegni/2012/STUCCHI.pdf · 2018-09-09 ·...

Mi hanno rubato la mano!Come gestire ed implementare correttamente la firma grafometrica nei processi documentali

Notaio Eugenio Stucchi

Pavia 23 novembre 2012Collegio Ghislieri

Tutti i diritti riservati © Eugenio Stucchi 2012

Che cosa è la firma “grafometrica”


Come gestire ed implementare correttamente la firma grafometrica nei processi documentali Notaio Eugenio Stucchi

State contenti, umana gente, al quia;ché, se potuto aveste veder tutto,mestier non era parturir Maria;Dante, Purgatorio III, 37-39

Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3


• firma elettronica

• ottenuta vergando la propria firma non su carta, ma su apposita tavoletta elettronica

• a mezzo di appo sita penna elettronica



Ma più nel dettaglio, cosa accade?

Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3

Attenzione al WYS(ign)IWYGA differenza del mondo cartaceo, dove il sottoscrittore fisicamente possiede e modifica il supporto che sta sottoscrivendo, nel mondo digitale siamo in una situazione MOLTO diversa.

Siamo nella caverna di Platone.



Ma più nel dettaglio, cosa accade?

Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3

Per questo motivo gli HW di firma più evoluti presentano un’interfaccia WYSIWYG, What You Sign Is What You Get.In realtà il problema persiste, ma l’ansia del sottoscrittore è minore.

Che cosa è la firma “grafometrica”• Attraverso lo specifico hardware descritto, viene catturato non solo il segno

grafico della firma, che è il parametro più evidente, e che attraverso il cosiddetto ink effect, viene “incollato” sul .pdf

• Sono acquisiti anche tutta una serie di dati ulteriori che molto più del tratto grafico, caratterizzano univocamente ogni sottoscrittore



• Posizione, tempo, pressione, velocità, accelerazione e ritmo della sottoscrizione sono tutti parametri che vengono acquisiti e digitalizzati, ed attraverso i quali è possibile identificare il sottoscrittore con margini di errore molto bassi




?

Qualora sia “connessa ai dati” sarà firma elettronica “avanzata”

Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3

È una firma “biometrica”


Come gestire ed implementare correttamente la firma grafometrica nei processi documentali Notaio Eugenio StucchiTu

tti i

dir

itti r

iser

vati

© E

ugen

io S

tucc

hi 2

013


• Non vi può essere dubbio alcuno sul fatto che tutti i parametri della firma così acquisita, sono dati “biometrici” in quanto legati alla biometria individuale del sottoscrittore

• Stranamente tuttavia tale dato viene spesso trascurato o non espresso con la dovuta chiarezza, forse per una sorta di mal inteso “pudore” o timore verso la biometria



• Posizione, tempo, pressione, velocità, accelerazione e ritmo della sottoscrizione sono tutti parametri che vengono acquisiti e digitalizzati, ed attraverso i quali è possibile identificare il sottoscrittore con margini di errore molto bassi

Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3




Attraverso la firma “grafometrica” la biometria della nostra calligrafia e della nostra mano viene digitalizzata, e connessa ai dati del documento sottoscritto.

Due sono le conseguenze:• in primo luogo si pone un problema di “privacy” e quindi di coordinamento con le disposizioni del “codice in materia di protezione dei dati personali” d.lgs. 196/2003;

• in secondo luogo si pone il problema di duplicazioni non autorizzate di tali dati

Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3

➡ ALCUNI PROBLEMI: DUPLICABILITA’ ALL’INFINITO e ASSENZA DELL’ORIGINALE

• la firma grafometrica in quanto digitale è solo un numero o un insieme di numeri

• come tale ogni riproduzione dello stesso numeroè indistinguibile dalle precedenti

• può essere utile l’esempio del numero di telefono

• allo stato attuale è impossibile distinguere tra originale e copia

• anche ipotetici contrassegni, firme o marche temporali

• hanno altre funzioni, ma non quella di contrassegnare l’originalenon fanno altro che aggiungere numeri ad altri numeri, tutti sempre duplicabili ed irriconoscibili

0115176094 0115176094


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201

3Come gestire ed implementare correttamente la firma grafometrica nei processi documentali Notaio Eugenio Stucchi



tti i

dir

itti r

iser

vati

© E

ugen

io S

tucc

hi 2

013 Ora chi ci rubasse i dati biometrici costituenti la nostra firma grafometrica,

potrebbe usarli e duplicarli centinaia di volte, eventualmente anche introducendo un “rumore” digitale al fine di variarle leggermente, ed in ogni caso sarebbe impossibile riconoscere l’originale dalla copia.

Chi in passato ci rubava un foglio firmato in bianco, poteva al massimo riempirlo fraudolentemente una volta.



tti i

dir

itti r

iser

vati

© E

ugen

io S

tucc

hi 2

013

Chi ci rubasse i dati biometrici della firma grafometrica è come se ci rubasse la mano



tti i

dir

itti r

iser

vati

© E

ugen

io S

tucc

hi 2

013

Sono noti ad esempio i casi di impiegati bancari infedeli che hanno falsificato contratti cartacei.

Qualora ci rubassero i dati biometrici sarebbe impossibile capire quali firme siano state apposte in originale e quali in copia fraudolentemente clonata.


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


1) adeguatamente criptati all’origine, con chiavi di cifratura a standard industriale; nessuno dei dati biometrici deve essere visibile, all’infuori del tratto grafico dell’utente. La crittografia deve avvenire direttamente sulla tavoletta, prima ancora di giungere sul documento.

2) le chiavi di cifratura dei dati biometrici non devono essere in possesso di alcuna delle parti;

3) è necessario l’intervento di un “terzo fidato” che provveda a generare, custodire, e decrittare i dati biometrici

4) l’intero processo di generazione, utilizzo, custodia ed eventuale decrittazione del dato biometrico in casi di contenzioso debbono avvenire in condizioni di massima sicurezza, mantenendo riservate le chiavi private e tutelando il dato biometrico;

5) appare opportuno che di tale sicurezza e di tutto l’intero processo, sia data certificazione e veste giuridica incontestabile.

Questo non vuol dire che la firma grafometrica non deve essere utilizzata, ma che per essere utilizzata correttamente si debbono rispettare alcune linee guida


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


1) Adeguatamente criptati: come la firma viene criptata e connessa ai dati del documento

Mentre il sottoscrittore esegue la firma i dati biometrici vengono cifrati con standard industriale. Viene utilizzata una chiave asimmetrica a 1024 o 2048 bit o superiore. La cifratura avviene direttamente sull’HW di firma, utilizzando la chiave pubblica preinstallata sull’HW.

Contemporaneamente tali dati vengono memorizzati nel documento in forma criptata.Solo con la conoscenza della chiave privata i dati biometrici possono essere estratti dal documento.

Per garantire la possibilità di verificare l’integrità del documento viene calcolata una prima impronta dello stesso più i dati biometrici cifrati con una funzione di hash di tipo SHA-256. Questa informazione viene memorizzata nel documento.

Una seconda impronta da utilizzarsi in caso di contenzioso viene calcolata sulla prima e sui dati biometrici in chiaro. Anch’essa viene memorizzata nel documento.

Completate le operazioni di registrazione e memorizzazione i dati non cifrati vengono cancellati dalle memorie e sovrascritti in modo sicuro.


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


Qual’è il motivo di tale doppia impronta?

La prima consente una verifica cosiddetta “light”, sull’integrità del documento.In sostanza una qualsiasi alterazione del documento va a “rompere” l’impronta che non risulta più coerente ad un controllo.

La seconda consente invece una verifica più approfondita, basata sul dato biometrico. Tale controllo viene effettuato esclusivamente in caso di contenzioso e di disconoscimento della firma.E’ necessario a tal fine mettere a disposizione il dato biometrico in chiaro, previa decrittazione dello stesso a mezzo della chiave privata.


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


2) Le chiavi di cifratura non debbono essere MAI in possesso delle parti.

Nessuna delle parti deve essere in possesso delle chiavi private in nessun momento e non deve in alcun modo controllarne la generazione.

In qualche applicazione invece si è visto contraenti forti che provvedono a generare e custodire le chiavi a mezzo di società più o meno ricollegate al gruppo. Tale procedura non è corretta.

Sono proprio le chiavi di cifratura dei dati biometrici che devono essere gestite con il massimo rigore durante tutti i processi di generazione, consegna, custodia e decrittazione.

Chi provvede a generare le chiavi può essere un qualsiasi terzo specializzato, una Autorità di Certificazione, che provveda anche a custodire le chiavi private, ovvero un Notaio specializzato in tali processi.


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


3) E’ necessario un “terzo fidato” ....... affidabile!!!

La generazione e gestione delle chiavi asimmetriche è il cuore del processo ed è operazione complessa, ma resa banale da un normale computer. Il processo è quindi nella sostanza molto semplice. Chiunque con un semplice computer o anche con uno smartphone può generare una valida coppia di chiavi asimmetriche, e conservare poi le stesse.. in cantina.

Molto meno semplice è invece strutturare il processo di generazione, consegna, conservazione e decrittazione in modo sicuro.


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


4) Sicurezza del processo HW e SW in tutte le fasi

Laddove però si voglia coniugare oltre alla massima sicurezza tecnica, anche la massima sicurezza giuridica circa l’integrità dell’intero processo, dalla generazione della coppia di chiavi secondo standard tecnici predefiniti, alla consegna della chiave pubblica, alla custodia della chiave privata, alla eventuale decrittazione sicura del dato biometrico, e si voglia certificare lo stesso nel modo più forte ed incontestabile che il nostro ordinamento giuridico consenta, appare utile affidare tutti tali processi alla gestione di un Notaio specificamente specializzato e formato in tale settore, il quale intervenendo come Pubblico Ufficiale attesti e “sigilli” l’integrità del processo.

Tali banali operazioni quindi possono essere affidate in sostanza a chiunque abbia un minimo di dimestichezza con gli strumenti informatici, ovvero, salendo nella qualità del processo, affidando gli stessi ad autorità di certificazione, che si occupino di generare e custodire le chiavi attraverso ad esempio dispositivi HSM o equivalenti.

5) Certificazione della procedura: possibile contributo del Notaio


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


Tutti i punti prima accennati sono come si è visto tutti intimamente legati. E’ sufficiente un anello debole nella catena e la sicurezza della firma è compromessa.

GENERAZIONE E CONSEGNA:- HW dedicato e sicuroIl processo di generazione delle chiavi avviene su un HW dedicato, disconnesso dalla rete, e blindato. Si accede solo a mezzo di doppia autenticazione sia HW che SW.Tutte le porte sono disabilitate ed è disabilitato anche il plug and play per evitare la connessione di periferiche non autorizzate.

- SW open source: Sulla macchina è installato esclusivamente il sistema operativo base e un unico SW, dedicato alla generazione delle chiavi. Entrambi sono open source, per avere la più assoluta conoscibilità di tutte le operazioni poste in essere dalla macchina. La macchina appena accesa compie solo l’operazione di generazione random della coppia di chiavi. (Particolare attenzione è stata posta nella scelta di una macchina con processore ad alta capacità di randomizzazione, per avere chiavi il più possibile diverse).

- Consegna chiave pubblicaLa chiave pubblica non richiede cautele particolari e viene consegnata al richiedente sia in formato “cartaceo” (sic!) che digitale, a mezzo PEC o altro.

Un esempio concreto: come abbiamo affrontato il problema


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


CUSTODIA

La chiave privata viene esclusivamente visualizzata a video e stampata a mezzo dell’unica porta USB abilitata. La chiave viene sia conservata in forma cartacea, che in forma digitale.Punto qualificante è che la chiave viene portata in conservazione digitale, sul Sistema di Conservazione a Norma del Notariato SCNN. In questo modo è possibile beneficiare di continuità operativa pressoché infinita come meglio infra precisato.



Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


DECRITTAZIONE

Una possibile criticità è data dalla esigenza di decrittare il dato biometrico e portarlo in chiaro, al fine di rendere possibili eventuali controlli grafometrici da parte di periti.Il problema è dato dal fatto che la chiave privata, nonostante la decrittazione deve rimanere riservata, pensa la messa in pericolo dell’autenticità di tutti i documenti firmati con quella determinata coppia di chiavi.

Ecco che pertanto il Notaio non consegnerà la chiave, ma procederà altresì personalmente all’opera di decrittazione, in ambiente sicuro avente le medesime caratteristiche di quello appena descritto, e metterà a disposizione del perito il dato biometrico in chiaro per gli accertamenti opportuni.



Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


ATTO PUBBLICO

Di tutti i processi qui elencati, viene redatto apposito rogito Notarile. Un vero e proprio Atto Pubblico, che fa prova fino a “querela di falso” delle operazioni che vengono poste in essere.

I vantaggi sono diversi:- efficacia probatoria pressoché assoluta: dell’integrità del processo, del tipo di operazioni messe in atto viene data la certificazione più forte che il nostro ordinamento giuridico consente;

- continuità operativa: l’atto pubblico una volta rogato diventa “bene pubblico” svincolato dalla sfera personale del Notaio che lo ha posto in essere. Del pari la chiave privata, depositata in conservazione digitale presso la struttura pubblica del notariato, può avere continuità operativa pressoché infinita, essendo depositata da un Pubblico Ufficiale presso una struttura Pubblica.



Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


A prescindere dalla soluzione tecnica prescelta, è importante impostare il processo da principio seguendo i più rigorosi standard di sicurezza. La storia ci insegna infatti che trascurare la sicurezza è spesso una scorciatoia miope. Perché se ci sono falle di sicurezza queste prima o voi vengono a galla spesso in modo irrimediabile.

E’ vero che non dobbiamo chiedere al digitale più di quello che chiediamo alla carta, e quindi ad un certo punto è necessario arrestare la ricerca dell’assoluto.E’ anche vero però che il digitale, a causa della sua infinita replicabilità, trasmissibilità a distanza in tempo reale, amplifica all’ennesima potenza eventuali minime criticità che nel mondo cartaceo sarebbero trascurabili.

Impostare male i processi di firma grafometrica infatti, facendo sorgere problemi di sicurezza gravi, potrebbe segnare un significativo rallentamento nella sua diffusione, se non una prematura estinzione.

IN OGNI CASO FORTE ATTENZIONE ALLA SICUREZZA


Tutt

i i d

iritt

i ris

erva

ti ©

Eug

enio

Stu

cchi

201


In tutto questo processo l’anello debole è quello della gestione delle chiavi di crittografia dei dati biometrici.

Se le chiavi di cifratura venissero violate, distinguere tra dati biometrici “veri” e “falsi” sarebbe impossibile.

Ecco che quindi è importante sia dotarsi di processi adeguatamente sicuri, sia disporre di una valida e robusta certificazione che tali processi sono stati puntualmente seguiti.

Notaio Eugenio Stucchi

Grazie !!

[email protected]

Mi hanno rubato la mano!informaticagiuridica.unipv.it/convegni/2012/STUCCHI.pdf · 2018-09-09 ·...

Documents

Transcript of Mi hanno rubato la mano!informaticagiuridica.unipv.it/convegni/2012/STUCCHI.pdf · 2018-09-09 ·...