La firma grafometrica è un particolare tipo di FEA Firma Elettronica Avanzata.
Quest’ultima è definita dal CAD Codice dell’Amministrazione Digitale come un “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.
Quali dati rileva la firma grafometrica
La firma grafometrica è un tipo di FEA apposta manualmente su specifici tablet di acquisizione chiamati tablet grafometrici.
La firma grafometrica può essere apposta anche su tablet di uso generale equipaggiati con specifici programmi software e sensori. ciò li rende in grado di registrare, oltre all’immagine della firma, anche i parametri biometrici. Tali parametri sono ritmo, velocità, pressione, accelerazione del movimento, angolo di inclinazione della penna e movimento aereo.
Rilevati e campionati più volte al secondo, i parametri permettono di identificare in modo certo la persona che firma, ottimizzando i costi e la gestione dei documenti firmati.
Nella firma grafometrica un set di informazioni biometriche è associato a un determinato documento informatico con tecniche crittografiche. Queste consentono di compiere analisi grafologiche per comprovare l’autenticità della sottoscrizione.
La firma grafometrica non va confusa con quelle realizzate mediante prodotti hardware che si limitano ad acquisire l’immagine digitale della firma, poiché in tal caso non si acquisiscono i dati biometrici.
Come si appone una firma grafometrica
Sul mercato sono numerose le aziende che propongono sistemi software per la firma grafometrica. Sebbene, cosi come accade per la firma digitale, ognuno si differenzi dall’altro per alcune specifiche, l’architettura di base è la medesima.
Il sottoscrivente appone la sua firma su un signature pad in grado di registrare i dati biometrici elencati sopra. Da un punto di vista di user experience il firmatario compie lo stesso gesto di quando appone la firma autografa.
Il tablet grafometrico è collegato alla postazione di lavoro dell’operatore attraverso un canale cifrato che utilizza un algoritmo a chiave simmetrica di tipo AES-128 bit. Tale chiave è generata dinamicamente e scambiata secondo l’algoritmo Diffie-Hellman-Merkl.
Grazie al cosiddetto ink effect, l’utente è in grado di vedere la propria firma, accettarla oppure rifarla.
Da quel momento il documento informatico porta con sé tutte quelle informazioni che ne garantiscono l’immodificabilità e l’integrità nel tempo.
Quando l’utente sottoscrive il documento, avviene la cifratura e la memorizzazione dei dati biometrici della firma attraverso algoritmi di crittografia asimmetrica. Le coppie di chiavi utilizzate risiedono una sull’apparato di firma e un’altra è detenuta da trusted third parties, terze parti fidate come autorità di certificazione, enti o anche notai specializzati.
Per far sì che, in caso di contenzioso legale, si possa verificare l’integrità della firma grafometrica, con una funzione crittografica di hash SHA-256 si calcola una prima impronta del documento e dei dati cifrati. Su questa impronta e sul dato biometrico in chiaro si calcola un’altra impronta crittografica.
La prima impronta calcolata permette un controllo light all’utente, che può ricalcolare l’impronta e verifica che il documento non sia stato alterato. La seconda, invece, necessita di informazioni riservate come le master key simmetriche. Tale verifica può essere svolta solo con l’autorizzazione delle parti interessate.
I documenti firmati sono poi sottoposti a marcatura e memorizzati su supporti informatici in grado di garantire la conservazione prevista dalla legge.
Abbiamo visto che la firma grafometrica si compone di parametri calligrafici del sottoscrivente e, in quanto tali, non possiamo affermare che la verifica sia completamente certa. Essa, come ogni sistema di riconoscimento biometrico, è soggetta a soglie operative facenti capo a due parametri di riferimento: FAR (False Acceptance Rate o “falsi positivi”) e il FRR (False Rejection Rate o “falsi negativi”). Essi misurano le percentuali per cui una firma falsa viene accettata come valida e viceversa.
Come è protetta la nostra privacy
La firma grafometrica associa i dati biometrici del firmatario a un documento informatico. L’uso di tali dati può risultare più o meno invasivo per l’utente che deve essere informato e tutelato sulla conservazione dei propri dati biometrici.
L’Autorità Garante per la protezione dei dati personali ha stabilito per i fornitori di tali servizi una serie di linee guida affinché non avvenga un uso sproporzionato di tali dati. E che ci sia, inoltre, una notevole attenzione nella sicurezza degli strumenti elettronici utilizzati. I dati biometrici, infatti, devono essere usati solo nei casi circoscritti in cui l’utente, previa un’informativa chiara, ha dato il consenso.
I principi generali che, secondo il Garante, si devono rispettare sono:
- liceità
- necessità
- finalità
- proporzionalità
Un’altra questione sollevata dai più scettici è legata alla conservazione dei nostri dati biometrici. Essi possono essere conservati anche in Hardware Security Module o in dispositivi sicuri come token o smart card, che in molti casi contengono già tutto il necessario per poter firmare digitalmente con piena validità legale un documento.
