Firma grafometrica, cos’è e quale tecnologia utilizza

Ascolta l’articolo in podcast

La norma di riferimento in materia di firme elettroniche è il Regolamento UE n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno. Conosciuto con l’acronimo eIDAS –  electronic IDentification Authentication and Signature, il Regolamento fornisce “una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea”. Colmando così quello spazio lasciato libero dalla Direttiva precedente (1999/93/CE), che trattava le firme elettroniche senza fornire un quadro transfrontaliero e transettoriale completo (come è scritto nello stesso Regolamento al considerando 3).

eIDAS ha avuto un forte impatto sulla normativa italiana, sia perché ha rivisto la definizione di documento informatico, sia perché ha definito le diverse tipologie di firme elettroniche riconosciute in ambito europeo: firma elettronica, firma elettronica avanzata e firma qualificata. Essendo la norma europea di grado superiore, queste definizioni sono state accolte dalla normativa italiana e nella fattispecie nel Codice dell’amministrazione digitale (CAD).

In questa sede ci interessa in particolare la Firma Elettronica Avanzata.

Firma Elettronica Avanzata

Indicata con l’acronimo FEA, la firma elettronica avanzata è definita al numero 11) dell’articolo 3 del Regolamento, come quella che soddisfa i seguenti requisiti (esplicitati nell’art. 26):

• è connessa unicamente al firmatario;
• è idonea a identificare il firmatario;
• è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo;
• è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Inoltre la FEA è un elemento che contribuisce, con il certificato qualificato e un dispositivo tecnologico, a definire la firma elettronica qualificata.

Nella normativa italiana la definizione di Firma Elettronica Avanzata è stata eliminata, avendo accolto quella del regolamento europeo. Rimangono però dei richiami nel CAD, quando si precisa che perché abbia gli stessi effetti giuridici ed efficacia probatoria della firma qualificata, debba soddisfare una serie di requisiti stabiliti da AgID, così come previsto dall’art.71 del CAD. Ulteriori regole tecniche sono stabilite per la FEA nel Titolo V del DPCM 22 febbraio 2013.

Un esempio di FEA è la firma grafometrica.

Cos’è la firma grafometrica

La firma grafometrica tecnicamente è un processo di calcolo, legalmente equiparato a una firma elettronica avanzata. Si realizza su un dispositivo (di solito un tablet) in grado di cogliere il tratto della sottoscrizione, registrare i dati biometrici dello scrivente e di connetterli, in maniera protetta, al documento che si vuole sottoscrivere. Il gesto che si compie è analogo a quello che si fa firmando su carta. La validazione della firma avviene direttamente in digitale, confrontando i parametri biometrici della firma con il profilo depositato. Per dati biometrici si intende, ad esempio, la velocità di scrittura o la pressione esercitata o anche il numero di volte che lo strumento di scrittura viene sollevato nell’atto di firma.

La firma grafometrica soddisfa il requisito della connessione univoca e della identificazione certa del firmatario e del suo controllo esclusivo sullo strumento di firma.

Le firme grafometriche devono essere distinte da quelle firme che invece si realizzano con sistemi che, limitandosi ad acquisire solamente l’immagine della firma e non anche i dati biometrici, non memorizzano gli elementi caratteristici del tratto di colui che sottoscrive il documento.  Queste firme sono facilmente disconoscibili perché firme elettroniche semplici, che non rispondono ai requisiti fissati dall’AgID per garantire sicurezza, integrità e immodificabilità del documento. Il valore probatorio dei documenti con firma semplice è liberamente valutabile in giudizio. Non è così per quelli con firma grafometrica.

Firma grafometrica e privacy

In materia di privacy, alla firma grafometrica si applicano le regole stabilite nel Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014), che fornisce indicazioni organizzative per un trattamento del dato biometrico nei limiti della normativa. Accanto al provvedimento il Garante ha redatto anche delle specifiche Linee Guida (Linee Guida in materia di riconoscimento biometrico e firma grafo-metrica), per assicurare e mantenere alti livelli di sicurezza nell’utilizzo di particolari tipi di dati biometrici.

Secondo il Garante l’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa può essere utilizzata per la firma elettronica avanzata, ma solo con il consenso degli interessati. In ambito pubblico tale consenso non è invece necessario, in virtù delle specifiche finalità istituzionali perseguite dalle amministrazioni (dovranno comunque essere resi disponibili sistemi alternativi – cartacei o digitali- di sottoscrizione, che non comportino l’utilizzo di dati biometrici).

Il “Provvedimento generale prescrittivo in tema di biometria”, emanato in data 12 novembre 2014, è di notevole rilevanza e rappresenta una nuova frontiera per la sicurezza e la gestione dei dati personali e della biometria: la grande novità sta nell’utilizzo facilitato dei dati biometrici che,  per le finalità perseguite e in base al livello di rischio, rientrano nella categoria giudicata dall’Autorità “a basso rischio”. I soggetti pubblici e privati possono adottare direttamente gli strumenti di controllo, senza dover più presentare richiesta di verifica preliminare all’Autorità. La condizione perché tale semplificazione sia realizzata è che vengano rispettati i presupposti di legittimità, contenuti nel Codice della Privacy e nelle Linee Guida, e che siano adottate tutte le misure e gli accorgimenti tecnici descritti nel provvedimento in esame.

Al punto 4.4 del Provvedimento si legge:

Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” che non prevedono la conservazione centralizzata di dati biometrici. L’utilizzo di tali sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frode e il fenomeno dei furti di identità e, dall´altro, ha lo scopo di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale in sede giudiziaria.

La soluzione tecnologica

Gli strumenti di firma sono dei device dotati di tecnologia touch, in grado di rilevare i principali parametri della firma dell’utente. Si racchiudono in due macro categorie: tablet dedicati a tale funzione o dispositivi mobile. Il tablet Samsung Galaxy Tab A è un buon esempio di dispositivo mobile. Questo device supporta l’applicazione GipoFirma. GipoFirma integra il processo di firma elettronica sviluppato da Namirial, azienda leader in questo settore e partner di Samsung, avvalendosi di un hub Web documentale (denominato Hub Doc e gestito da Ianiri Informatica) per il trasferimento e l’archiviazione dei documenti firmati. La firma grafometrica ha pieno valore legale ed è completamente wireless. Il processo di interscambio documentale e di consultazione è compatibile con qualsiasi gestionale.

GipoFirma sfrutta la tecnologia Samsung Knox Configure che, oltre a fornire un efficace metodo per proteggere i dati e impedire qualsiasi compromissione del dispositivo, permette di configurare in modo personalizzato le impostazioni di Android. Knox Configure scarica e installa in automatico un profilo che prevede i parametri di configurazione necessari alle esigenze degli utenti, inoltre abilita alcune personalizzazioni che aumentano il livello di sicurezza. La tecnologia di sicurezza sviluppata da Samsung consente, per esempio, di impedire la disinstallazione dell’applicazione GipoFirma per evitarne la rimozione accidentale con relativa interruzione del servizio.

Considerazioni finali

Sono numerosi i vantaggi racchiusi dalla firma grafometrica: si pensi all’autenticazione e alla certificazione della proprietà della firma, all’integrità del documento firmato e al suo trattamento. E’ una modalità di firma integrabile con molte piattaforme di gestione documentale presenti sul mercato e dà la possibilità di effettuare firme multiple sui documenti informatici. Inoltre nasce digitale, con piena validità legale, determinando un’ottimizzazione del processo di archiviazione, con un notevole risparmio di costi.