Vediamo tutti gli aggiornamenti sullo stato dell’arte in materia di sicurezza, interoperabilità e periziabilità della firma grafometrica.
Come si verifica una firma grafometrica
Il sottoscrittore firma il documento (nella quasi totalità dei casi pratici un documento in formato PDF) utilizzando uno stilo attivo o passivo (attivo: alimentato, passivo: non alimentato) su un dispositivo in grado di raccogliere il tratto della sottoscrizione e, in maniera protetta, di connetterlo in modo indissolubile a quanto si vuole sottoscrivere.
Poiché le strutture dati della firma grafometrica prodotte dalle varie soluzioni sono leggibili solo dallo strumento di analisi grafologica dello stesso fornitore è molto utile disporre di strutture dati omogenee prodotte su un tracciato standard per i dati grafometrici, che in tal modo possono essere analizzati da un qualsiasi strumento di analisi in grado di elaborare questo tracciato.
Naturalmente devono essere applicate le regole stabilite nel Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014) che impone di rendere disponibili i dati biometrici solo su richiesta dell’Autorità Giudiziaria quando si è in presenza di un contenzioso.
Nel Provvedimento sono fornite le Regole di protezione del dato biometrico e le indicazioni organizzative per un suo trattamento rispettoso della privacy.
Una volta che il dato è estratto dal suo ambiente protetto è possibile elaborarlo in modo “interoperabile”.
Le strutture dati ISO/IEC 19794-7 (2014) e lo stato dell’arte
È indispensabile generare i dati in un formato standard; a questo scopo è indispensabile produrre i dati biometrici in formato ISO/IEC 19794-7 (2014). Questo è lo standard di riferimento sul tema.
Nel citato standard vengono stabilite le strutture dati e la rappresentazione dei parametri biometrici che caratterizzano la sottoscrizione grafometrica.
Per esempio le coordinate cartesiane X e Y del tratto grafico, il tempo di acquisizione della coordinata e la differenza di tempo calcolata sulla base della frequenza di campionamento del dispositivo di acquisizione dati. Tutti questi dati sono rappresentabili in un modo standard secondo un tracciato record e la rappresentazione dei dati definita in ISO/IEC 19785-1.
Altri dati sono utili per l’analisi in un giudizio anche se non contemplati nello standard ISO/IEC 19794-7. Tra questi i dispositivi utilizzati per la sottoscrizione e l’acquisizione del dato. Questo potrebbe essere utile, ad esempio, per determinare la calibrazione della pressione per un dispositivo che ne consente l’acquisizione.
Sicurezza, uno scenario in evoluzione
Negli ultimi mesi si sono verificati alcuni eventi che migliorano lo scenario che si sta analizzando in questa sede. La sicurezza dei sistemi grafometrici è rimasta stabile con alcune punte di eccellenza. La certificazione dei sistemi ai sensi dei Common Criteria (standard di riferimento per la sicurezza di questo tipo di hardware e software) non è mai decollata per la mancanza di domanda sul tema. Le aziende investono se ci sono obblighi di legge o specifica domanda del mercato e non c’è né l’una, né l’altra cosa.
Molto importante è la pubblicazione da parte degli esperti di AGI (Associazione Grafologica Italiana) del documento “Le buone prassi per l’analisi forense di firme grafometriche” dove si danno fondamentali indicazioni ai periti grafologi per la conduzione professionale della perizia grafologica in ambiente grafometrico.
Sul piano dell’interoperabilità, proseguendo quanto detto in precedenza, lo stato dell’arte del mercato potrebbe essere adeguato se a livello normativo ci fosse l’obbligo di rappresentazione standard delle sottoscrizioni “in chiaro”.
Per raggiungere questo obiettivo i tempi sono maturi.
AIFAG ha aggregato le varie professionalità, indispensabili per raggiungere l’obiettivo. In testa le aziende produttrici, poi i grafologi, esperti del Notariato e anche le istituzioni con il coinvolgimento di AgID (l’Agenzia per l’Italia Digitale).
Linee guida Agid sulla firma elettronica avanzata
L’ultimo sforzo può concretizzarsi con un gruppo di lavoro coordinato da AgID per la scrittura delle Linee guida previste nell’articolo 61, comma 6 delle Regole tecniche sulle sottoscrizioni informatiche, DPCM 22 febbraio 2013.
6. (…), al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, l’Agenzia elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche.
In tali Linee guida si possono indicare metodi “legali” per decifrare i dati biometrici della firma, per la verifica della stessa a prescindere dallo strumento grafotecnico utilizzato dal perito (oggi l’interoperabilità è puramente teorica) con una visione comune di istituzioni, aziende ed esperti.
Queste linee guida potrebbero anche indicare buone prassi nella rappresentazione della firma “a vista”. In numerosi casi (Es. l’acquisto di una SIM card) la firma riportata sul documento viene deformata e rimpicciolita rendendo scarsamente efficace la perizia in sede giudiziaria.
Raggiunta l’interoperabilità i limiti stabiliti nell’articolo 60 del DPCM 22 febbraio 2013 possono essere eliminati ampliando il mercato di riferimento.
Sigla, visto, firma e sottoscrizione: differenze ed esempi di utilizzo
