IoT Conference 2019
Applicazioni
 

30/04/2013

Share    

La nuova frontiera della firma grafometrica

Questa particolare tipologia di firma può essere inserita nei processi documentali di relazione con la clientela

Non più carta e penna, ma tablet e penna. Saranno questi gli strumenti che utilizzeremo per firmare documenti e sottoscrivere contratti con banche ed assicurazioni, ma anche con la Pubblica Amministrazione e con società appartenenti ai settori della GDO, media, energy, retail... La firma grafometrica è ormai una realtà e lo sarà sempre di più perché fa parte del più ampio processo di dematerializzazione auspicato in tutti i settori della società. In questo contesto, le banche italiane si stanno impegnando attivamente anche nell’ottica della riduzione dei costi e dell’ottimizzazione dei processi.

 

 

La tecnologia

Prima di considerare in particolare il caso del settore finanziario, cerchiamo di capire a cosa facciamo riferimento quando parliamo di firma grafometrica. Per firma grafometrica si intende una modalità di firma elettronica avanzata rilevata attraverso un ‘signature pad’, un supporto tecnologico specifico (un pad di firma o un più evoluto tablet pc) che registra, oltre all’immagine grafica della firma, cinque parametri biometrici indispensabili per una perizia calligrafica. Tali parametri sono: ritmo, accelerazione, inclinazione, pressione, velocità. La user experience del firmatario è molto simile a quella della firma di un documento cartaceo: iI device fisico installato presso uno sportello bancario mostra al sottoscrittore il documento che sta firmando e il cosiddetto ‘ink effect’ permette di visualizzare immediatamente la propria firma. Completata la firma l’utente può decidere di accettarla premendo con la penna il pulsante di OK sulla tavoletta o di rifarla annullando l’operazione appena compiuta.
Su ciascuna firma hanno luogo una serie di controlli di sicurezza sull’identità del presentatore; la firma viene successivamente registrata nel sistema informativo e collegata al documento su cui è apposta in modo inalterabile. Il documento prodotto viene archiviato digitalmente con l’attributo della firma (come se fosse stata apposta tradizionalmente) e con i dati grafometrici di identificazione. La firma grafometrica che, come abbiamo detto, garantisce una connessione univoca al firmatario del documento e la sua univoca identificazione, può assumere la validità di firma elettronica avanzata: criptando i dati biometrici relativi a una firma grafometrica si genera uno ‘specimen digitale’ (depositato e conservato presso apposite strutture); la corrispondenza fra firma grafometrica e specimen digitale consente di attivare una procedura di firma del tutto assimilabile a quella di una firma elettronica avanzata/qualificata.

 

 

Processi totalmente digitali


Così configurata, la firma grafometrica permette la dematerializzazione di interi processi aziendali, generando molteplici vantaggi ambientali ed economici; si vedrebbero infatti significativamente ridotti i processi di gestione cartacea dei documenti, normalmente caratterizzati da difficoltà di condivisione e archiviazione, mancanza di trasparenza, tempi di ricerca elevati, facilità di errori, smarrimenti, perdite ed altre più o meno costose inefficienze. Rispetto a un concetto di dematerializzazione antiquato, purtroppo ancora molto diffuso allo stato attuale, nel quale la gestione del documento parte dal cartaceo per poi passare al digitale, il processo di firma grafometrica consente di lavorare direttamente in digitale semplificando e velocizzando il processo e andando a tagliare una buona parte dei costi diretti e indiretti legati alla scansione e all’archiviazione.

 

 

L’utilizzo in banca


Ma quali sono all’atto pratico i possibili ambiti di utilizzo della firma grafometrica in banca? La firma grafometrica è una tipologia di firma compatibile unicamente con il canale filiale, poiché soltanto le filiali possono verosimilmente dotarsi di pad/tablet per la raccolta di tale tipologia di firma. Allo sportello la firma grafometrica potrà essere impiegata per la sottoscrizione delle distinte delle contabili delle operazioni eseguite in cassa; allo stato attuale, potrebbe apparentemente esserlo anche per la sottoscrizione dei contratti (e relativa documentazione complementare), ma l’effettiva possibilità di utilizzarla per la firma di tali tipologie di documenti è subordinata alla completa definizione del quadro normativo, con la pubblicazione delle regole tecniche in materia di firme.
Facendo riferimento alle attività bancarie realizzate attraverso il canale online, è invece necessario utilizzare altri tipi di firma: la firma elettronica avanzata/qualificata (effettuata attraverso connected token/unconnected token/token virtuali/token mobile e smart card), che può essere utilizzata per contratti successivi al primo e per la documentazione complementare ai contratti, e la firma digitale, utilizzabile anche per la sottoscrizione del primo contratto (sulle diverse tipologie di firma vedi box).
I progetti e i processi di dematerializzazione sono altamente strategici per le banche perché, inserendosi nel quadro più generale di una migliore gestione delle informazioni e dei documenti, permettono di creare efficienza. Con l’obiettivo di indagare questo fenomeno CeTIF ha avviato nel 2012 un’attività di ricerca dedicata specificamente all’argomento Paperless. Il gruppo di ricerca (composto da Banca Popolare dell’Emilia Romagna, Banca Popolare di Milano, Banca Popolare di Sondrio) si è dedicato a confrontare soluzioni legali e operative alternative nei processi di document management, per individuare prassi in essere o future, oltre che soluzioni ICT condivise.
Gli intermediari finanziari coinvolti nella ricerca hanno inoltre mostrato un forte interesse per l’attivazione tra loro di forme di collaborazione e sinergie nello sviluppo, nelle realizzazione, nella gestione e nella manutenzione di sistemi per la dematerializzazione. Gli ambiti sui quali sembra più probabile una cooperazione sono stati individuati nell’acquisto di tablet, nello sviluppo dell’architettura a supporto dei sistemi documentali, nell’elaborazione di sistemi per l’archiviazione digitale e nel rilascio di certificati digitali.
Il gruppo di partecipanti alla ricerca ha indagato la possibilità di gestire in modo dematerializzato tanto le distinte e le contabili delle operazioni eseguite in cassa, quanto i contratti sottoscritti allo sportello, con la relativa documentazione complementare. Ciascuna delle due tipologie di documento viene normalmente prodotta in duplice copia: una copia per la banca, consistente nel documento firmato dal cliente e controfirmato dalla banca, e una copia per il cliente, consistente in un documento firmato dalla banca che viene poi consegnato al cliente. Il processo di dematerializzazione e di apposizione della firma grafometrica permetterà di abolire la produzione cartacea della copia banca di tali documenti, che sarà archiviata digitalmente già corredata della firma del cliente; le analisi in corso stanno inoltre valutando l’opportunità di abolire anche la copia cartacea destinata al cliente, favorendo prassi quali l’invio della stessa all’indirizzo e-mail o all’area riservata di home-banking del cliente.

 

 

Le diverse tipologie di firma


Firma Elettronica avanzata. La firma elettronica avanzata, emessa da ciascuna banca, è un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico; tali dati consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, sono creati con mezzi sui quali il firmatario può conservare un controllo esclusivo e sono collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.
Firma elettronica qualificata. È un particolare tipo di firma elettronica avanzata, emessa anch’essa dalle singole banche, basata su un certificato qualificato, realizzata mediante un dispositivo sicuro per la creazione della firma rilasciato da un ente certificatore e basato su un certificato qualificato.


Le tecnologie per l’autenticazione e il successivo utilizzo di queste tipologie di firma sono:
• Connected token, quali chiavette USB.
• Unconnected token, token virtuali e mobile token, che permettono di generare la firma senza necessità di connettere un dispositivo dedicato a un personal computer.
• Smart card.
• Pad di firma/tablet pc per la raccolta della firma (grafometrica) che determinerà lo ‘sblocco’ e l’utilizzo della firma elettronica avanzata/qualificata.


Firma grafometrica. È un particolare tipo di firma elettronica avanzata rilevata attraverso il supporto tecnologico specifico (tramite un pad di firma o un più evoluto tablet pc) che registra, oltre all’immagine grafica della firma, cinque parametri biometrici, indispensabili per una perizia calligrafica.
Firma digitale. È un particolare tipo di firma elettronica avanzata emessa da una Certification Authority (CA) o da altro ente autorizzato, basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente rispettivamente al titolare, tramite la chiave privata, e al destinatario, tramite la chiave pubblica, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.


Le tecnologie per l’autenticazione e il successivo utilizzo della firma digitale sono:
• Connected token, quali chiavette USB.
• Unconnected token, token virtuali e mobile token, che permettono di apporre la firma senza necessità di connettere un dispositivo dedicato a un personal computer.
• Smart card.

 

 

Il fattore sicurezza


È completamente sicuro utilizzare la firma grafometrica? Chi o che cosa mi garantisce che la mia firma non venga estrapolata dal contesto e poi utilizzata per firmare altri documenti?
I dati biometrici, sia quelli statici sia quelli dinamici, della firma vengono cifrati e memorizzati nel documento utilizzando tecniche di crittografia asimmetrica che rendono praticamente impossibili modifiche al documento e accessi non autorizzati. La protezione dei dati viene assicurata in tutte le fasi del processo, sia sull’hardware sia sul software attraverso molteplici livelli di controllo. Innanzi tutto specifici device garantiscono un’encryption dei dati trasmessi fra il tablet utilizzato per la raccolta dei dati e il pc client, normalmente utilizzato nelle applicazioni bancarie. I dati biometrici rilevati dal tablet vengono poi legati in modo inscindibile al documento da firmare e protetti da qualsiasi tentativo di modifica o infiltrazione. In particolare l’hash del documento da firmare viene aggiunto al dato biometrico raccolto in modo da connettere univocamente la firma grafometrica e il documento da firmare.
Questo ‘pacchetto’ viene cifrato utilizzando una chiave pubblica di un certificato; successivamente il pacchetto così composto viene trasferito attraverso una connessione Https che garantisce, oltre a ulteriore cifratura dei dati trasmessi, un’autenticazione del client pc rispetto al sistema che gestisce la firma. La sicurezza di questa trasmissione viene inoltre garantita dall’utilizzo di certificati digitali.

 

 

Cosa dice la Legge


La firma grafometrica è un particolare tipo di Firma elettronica avanzata (FEA) e, come tale, è normata dal D. Lgs 7 marzo 2005 - Codice dell’amministrazione digitale e dal successivo D.lgs 235/2010 (Modifiche ed integrazioni al D. Lgs 7 marzo 2005, n. 82, recante Codice dell’amministrazione digitale, a norma dell’articolo 33 della legge 18 giugno 2009, n. 69). Importanti novità normative sulla FEA sono contenute nel decreto sviluppo BIS (d.l. 18 ottobre 2012, n. 179, recante ulteriori misure urgenti per la crescita del Paese, convertito in legge il 13 dicembre e pubblicato sul Supplemento ordinario n. 208 alla Gazzetta Ufficiale n. 294 del 18 dicembre 2012) nel quale vengono risolti due nodi fondamentali: il disconoscimento della firma elettronica avanzata e l’idoneità a integrare il requisito della forma scritta degli atti e dei contratti con questa firmati. Il quadro normativo tuttavia sarà completo solo quando sarà pubblicato il decreto contenente le regole tecniche in materia di firme (al momento disponibile in forma di bozza sul sito dell’Agenzia digitale per l’Italia). Riassumendo, quindi, è possibile realizzare una firma grafometrica che possa essere considerata FEA in attesa che il decreto attuativo ne sancisca una validità a livello legale e giudiziario.

 

*Gruppo di ricerca CeTIF
 

 

TORNA INDIETRO >>