Il tema dell’interoperabilità tra sistemi di FEA grafometrica è sempre più importante, considerando anche il sempre più elevato numero di sottoscrizioni che vengono apposte tramite una “penna elettronica”.
Nel seguito forniamo una panoramica sullo stato dell’arte e i possibili sviluppi sul tema.
La firma grafometrica
Sono passati quattro anni da quando sono stati presentati in ambito AIFAG (oggi confluita in ANORC mercato) i risultati sulla possibilità di utilizzare standard internazionali per migliorare le verifiche grafologiche per la FEA grafometrica.
In quel contesto furono presentati i risultati dei test di interoperabilità coordinati da Giuseppe Pirlo dell’Università di Bari e basati sullo standard ISO/IEC 19794-7.
I risultati, lo ricordiamo, furono estremamente positivi e incoraggianti.
Una Linea guida aggiornata sulle regole tecniche della sottoscrizione informatica potrebbe definire la firma grafometrica come una fattispecie di firma elettronica realizzata con un gesto manuale del tutto analogo alla firma autografa su carta. I dati biometrici di una firma grafometrica si acquisiscono mediante uno o più dispositivi in grado di acquisire dinamicamente specifiche caratteristiche del movimento di uno stilo elettronico o di un dito del sottoscrittore.
E’ noto che questa firma elettronica può divenire avanzata se soddisfa una serie di requisiti stabiliti nella vigente norma di riferimento che è il DPCM 22 febbraio 2013.
Le modalità di verifica della firma grafometrica
Per meglio comprendere la problematica è utile riproporre la modalità di verifica di una firma grafometrica.
Il sottoscrittore firma il documento (nei fatti un documento in formato PDF) utilizzando uno stilo attivo o passivo (attivo: alimentato – passivo: non alimentato) su un dispositivo in grado di raccogliere il tratto della sottoscrizione e, in maniera protetta, di connetterlo in modo indissolubile a quanto si vuole sottoscrivere.
Non trascurabile è la circostanza che le strutture dati della firma grafometrica prodotte dalle varie soluzioni sono leggibili solo dallo strumento di analisi grafologica dello stesso fornitore. Quindi sarebbe molto utile disporre di strutture dati omogenee conformi ad un tracciato standard per i dati grafometrici, che in tal modo possono essere analizzati da un qualsiasi strumento di analisi in grado di elaborare questo tracciato.
Devono essere rispettate le regole stabilite nel Provvedimento prescrittivo del Garante per la protezione dei dati personali (n. 513/2014) che impone di rendere disponibili i dati biometrici solo su richiesta dell’Autorità Giudiziaria, nei fatti quando si è in presenza di un contenzioso.
Nel Provvedimento sono fornite le Regole di protezione del dato biometrico e le indicazioni organizzative per un suo trattamento rispettoso della privacy.
Una volta che il dato è estratto dal suo ambiente protetto è possibile elaborarlo in modo “interoperabile”.
Le strutture dati ISO/IEC 19794-7 (2014) e lo stato dell’arte
E’ indispensabile generare i dati in un formato standard; a questo scopo è indispensabile produrre i dati biometrici in formato ISO/IEC 19794-7 (2014) che rappresenta lo standard di riferimento sul tema.
Nel citato standard vengono stabilite le strutture dati e la rappresentazione dei parametri biometrici che caratterizzano la sottoscrizione grafometrica.
Per esempio le coordinate cartesiane X e Y del tratto grafico, il tempo di acquisizione della specifica coordinata e la differenza di tempo calcolata sulla base della frequenza di campionamento del dispositivo di acquisizione dati.
Tutti questi dati sono rappresentabili in un modo standard secondo un tracciato record e la rappresentazione dei dati definita in ISO/IEC 19785-1.
Altri dati sono utili per l’analisi in un giudizio anche se non contemplati nello standard ISO/IEC 19794-7. Tra questi i dispositivi utilizzati per la sottoscrizione e l’acquisizione del dato. Questo potrebbe essere utile, ad esempio, per determinare la calibrazione della pressione per un dispositivo che ne consente l’acquisizione.
L’utilizzo da parte del sottoscrittore del dito cambia solo lo scenario di generazione della firma ma questo ha impatti importanti sulla perizia grafica da parte del grafologo.
A tal proposito è molto importante la pubblicazione da parte degli esperti di AGI (Associazione Grafologica Italiana) del documento “Le buone prassi per l’analisi forense della scrittura” dove si forniscono al perito le indicazioni per la conduzione professionale della perizia grafologica in ambiente grafometrico.
Le linee guida e interoperabilità
Gli sforzi del mercato di riferimento e dei periti dovrebbe essere supportato da norme specifiche che possono trovare sede adeguata nelle Linee guida previste nell’articolo 61, comma 6 del sopra citato DPCM 22 febbraio 2013.
6. (…), al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, l’Agenzia elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche.
In tali Linee guida si possono indicare metodi “legali” per decifrare i dati biometrici della firma, per la verifica della stessa a prescindere dallo strumento grafotecnico utilizzato dal perito (oggi l’interoperabilità è puramente teorica) con una visione comune di istituzioni, aziende ed esperti.
Inoltre, considerato che in numerosi casi (Es. patente, carta d’identità, acquisto di una SIM card) la firma riportata sul documento viene deformata e rimpicciolita rendendo scarsamente efficace la perizia in sede giudiziaria, tali linee guida potrebbero indicare buone prassi nella riproduzione di questa tipologia di firma “a vista”. E’ importante ricordare anche che una stabile e condivisa interoperabilità della FEA grafometrica consente anche di eliminare i limiti d’uso stabiliti nell’articolo 60 del DPCM 22 febbraio 2013. Questa eliminazione potrebbe tradursi in una formulazione dell’articolo 60 come di seguito proposto:
Art. 60 Interoperabilità della firma elettronica avanzata
- La firma elettronica avanzata realizzata in conformità con le disposizioni delle presenti regole tecniche deve garantire l’interoperabilità nella verifica delle sottoscrizioni. Per quanto concerne la firma elettronica avanzata realizzata tramite firma grafometrica si adotta lo standard ISO/IEC 19794-7.
- Le fattispecie di firma elettronica avanzata basate sulla tecnologia crittografica a chiave pubblica sono conformi ai formati previsti ai sensi dell’art. 4, comma 2.
- E’ consentito l’utilizzo di ulteriori modalità di generazione della firma elettronica avanzata previa disponibilità a titolo gratuito delle specifiche tecniche necessarie per la verifica della validità della sottoscrizione. Le specifiche sono pubblicate da AgID sul proprio sito internet.
Conclusioni
In attesa di questo, auspicabile, nuovo scenario è comunque fondamentale sottolineare che è importante verificare la propria procedura di verifica di una firma grafometrica. Tale verifica dovrebbe avvenire su scenari ovviamente realistici ma non reali poiché i dati binari delle firme non possono essere resi disponibili se non in sede giudiziaria.
Una buona prassi di mercato dovrebbe essere quella di disporre di un perito grafologo di riferimento che abbia acquisito una formazione specifica relativa all’analisi qualitativa e quantitativa dei dati, alla conoscenza dello strumento tecnologico, nonché alla normativa di riferimento per la verifica della FEA grafometrica.
Periodicamente è poi indispensabile condurre dei test su campioni di firme grafometriche anche al fine di verificare l’efficacia e l’efficienza della procedura e dei soggetti che la conducono, compreso l’intervento del custode della master key, chiave crittografica alla base di ogni validazione di FEA grafometrica.
