Automatizzazione del processo di firma, dalla connessione mente-mano agli impatti privacy - Agenda Digitale

xxx

Automatizzazione del processo di firma, dalla connessione mente-mano agli impatti privacy

È interessante approfondire il legame tra digitalizzazione e sinergia mente-corpo nei processi di sottoscrizione dei documenti, come per esempio la firma grafometrica o la firma biometrica, che richiedono attenzione da parte degli esperti soprattutto in campo forense

02 Apr 2021
Daniela Mazzolini

Grafologa Forense, Collaboratore Dipartimento Peritale A.G.I. (Associazione Grafologica Italiana)

Patrizia Pavan

Grafologa Forense, Coordinatore Dipartimento Peritale A.G.I. (Associazione Grafologica Italiana)

Riflettendo sul fatto che “il gesto grafico è sotto l’immediata influenza del cervello[1]”, è interessante notare come i traguardi raggiunti in ambito medico, con il perfezionamento degli strumenti diagnostici e attraverso l’introduzione delle neuro-immagini hanno permesso di “oggettivare” la stretta correlazione tra le funzioni cerebrali e il prodotto grafico. Quest’ultimo è altresì direttamente associato con l’atto motorio dello scrivente, per cui lo scrivere è il risultato della sinergia tra la mente, il cervello e il corpo, senza sottovalutare l’ambiente, lo stato emotivo della persona coinvolta e tutte quelle variabili extra-grafiche.

L’automatizzazione di tale processo porta a personalizzare la scrittura di ciascuno ed in modo particolare la firma, al punto che essa assume un valore intrinseco che va al di là del semplice tratto grafico che vediamo. Approfondiamo questo rapporto, analizzando anche come interviene l’esperto grafologo.

Caratteristiche fisiologiche e comportamentali

Ulteriori progressi si sono compiuti nello studio del “comportamento grafico” di un individuo, con l’introduzione degli indicatori biometrici legati al processo di scrittura, che permettono di analizzare e misurare i tratti distintive riferibili al soggetto scrivente. Il sistema di riconoscimento biometrico si basa sull’individuazione di caratteristiche che permettono di distinguere un soggetto da un altro e che ogni persona deve possedere. Tali caratteristiche possono essere fisiologiche come le impronte digitali, l’altezza, il peso, il colore, la dimensione dell’iride, la retina, la sagoma e il palmo della mano, la vascolarizzazione, la forma dell’orecchio, la fisionomia del volto, e comportamentali, ossia azioni che normalmente l’individuo compie come i movimenti del corpo, lo stile di battitura sulla tastiera, l’impronta vocale, la manoscrittura e la firma.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Mentre quelle fisiologiche sono immutate nel tempo, le caratteristiche biometriche legate al comportamento si modificano nel corso degli anni, perché influenzate da molti fattori che sono legati imprescindibilmente all’evoluzione e successiva involuzione che caratterizza la vita di ogni essere umano. Come la voce diviene più profonda superata la fase adolescenziale e il corpo subisce una modificazione significativa nella sua struttura così la scrittura si personalizza rispetto al modello grafico appreso nei primi anni del percorso scolastico. Ma per quale ragione la scrittura e in particolare la firma occupano un posto privilegiato nel contesto comportamentale identificatorio? Il valore che viene attribuito alla firma ha radici nella storia più antica dell’uomo. Partendo dagli scritti il cui valore e la cui riconducibilità era legata ad un sigillo di ceralacca con l’effige del casato o della dinastia, si arriva ai giorni nostri dove è ancora riconosciuta come mezzo usuale e consolidato di sottoscrizione. Il soggetto apponendo la propria firma si identifica in essa che diviene il “suggello” personale del contenuto del testo.

La verifica della firma grafometrica: i nuovi scenari per la periziabilità

L’introduzione oramai nel quotidiano di dispositivi (banche, assicurazioni) in grado di catturare e registrare una serie di parametri, quali pressione, tempo, velocità e di restituirci nell’immediato un’esperienza di scrittura estremamente verosimile anche da un punto di vista visivo a quella convenzionale, ha consentito di replicare su di un “device” un comportamento usuale, come quello di scrivere con una penna su un foglio di carta, favorendo il passaggio dal mondo analogico a quello digitale.

Le sperimentazioni

Le potenzialità di questa nuova tecnologia hanno dato inizio a numerose sperimentazioni in ambito medico[2] e rieducativo[3] ed hanno aperto nuovi orizzonti per il grafologo forense, chiamato a svolgere l’accertamento tecnico finalizzato al riconoscimento della paternità di uno scritto.

In ambito peritale-forense tale innovazione ha permesso di acquisire le caratteristiche grafiche della firma in forma numerica rendendoli oggettivabili e quantizzabili, offrendo quindi un nuovo strumento di indagine ai grafologi forensi, che permette di conferire una maggiore forza probatoria alle risultanze che emergono dalle indagini da loro espletate.

Il caso della firma biometrica

Parliamo quindi di firma con dati biometrici o firma biometrica. La sottoscrizione (firma) tradizionale su carta che è da sempre espressione della individualità del soggetto scrivente, con tutti i significati psico-sociali che la contraddistinguono ora diviene “Firma Grafometrica”, cioè la sua controparte digitale che mantiene comunque, come già detto, il suo significato intrinseco. Ciò che ne risulta è un prodotto grafico simile a quella convenzionale da un punto di vista esteriore, così che si può riconoscerla come “propria” sullo schermo del tablet analogamente a quella realizzata sul foglio di carta. (Fig.1) A differenza di quella tradizionale essa viene tradotta (grazie ad una elaborazione informatica) in un insieme di dati numerici, risultanti dalla registrazione del movimento di uno stilo durante il processo di scrittura. (Fig.2)

Fig. 1

Fig. 2

Attraverso tali dispositivi e la tecnologia che li supporta, è possibile acquisire non solo l’immagine grafica, il disegno “geometrico” del tratto grafico cioè l’aspetto “statico”, ma soprattutto le caratteristiche “dinamiche” riconducibili al processo di scrittura durante l’apposizione della firma. Questo passaggio tra aspetto statico e dinamico è la chiave di volta che permette alla grafologia forense di superare i limiti della soggettività ed acquisire l’oggettività necessaria per la dimostrazione degli elementi rilevati irrobustendo in tal modo il valore probatorio delle conclusioni a cui l’esperto perviene. (Fig.3)

Fig. 3 le linee rappresentano

  • verde: pressione
  • rossa: asse delle y
  • blu: asse delle x
  • arancio: velocità

Ciò non significa affidare l’accertamento ad una esclusiva elaborazione statistico/matematica dei dati, che non può tenere conto di tutte le variabili che entrano in gioco nel comportamento scritturale. L’accertamento tecnico di una firma biometrica non può prescindere da un’analisi di tipo qualitativo, che spetta al grafologo forense, il quale valuterà tutte le ipotesi di lavoro pertinenti al caso di specie.

Firma biometrica e GDPR

Oltre all’aspetto prettamente tecnico-grafico, con la firma biometrica si pongono ulteriori questioni, legate alla protezione dei dati personali. I dati biometrici che sono “per loro natura, direttamente e univocamente collegati all’individuo e denotano in generale un’intrinseca, universale e irreversibile relazione tra corpo e identità, necessitano di garanzie particolari e cautele in caso di trattamento” (V. Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 G.U. n. 280 del 2 dicembre 2014). In tale contesto, l’esperto forense si trova ad affrontare un nuovo scenario per il quale la sua competenza relativa agli adempimenti tecnici più specifici legati all’indagine peritale deve essere integrata da quella specifico connesso trattamento dei dati biometrici.

Cosa cambia da un punto di vista procedurale nel momento in cui un giudice dispone un accertamento tecnico digitale con firma biometrica?

Firma e documento informatico

Il documento informatico è la rappresentazione informatica di atti il cui contenuto è conservato in forma elettronica. Il processo che porta alla creazione di tale tipo di documento parte da un file (contratto, atto da stipulare) in formato PdfA nel quale è inserito un campo firma costituito da un insieme di proprietà definite dallo standard del pdf stesso. Sia il documento iniziale che la firma che vi sarà inserita al momento della sottoscrizione saranno corredati da una impronta informatica identificativa (HASH1+HASH2)[4] in una concatenazione sequenziale che terminerà con la cifratura del documento finale che genererà un ulteriore codice di HASH di chiusura. In altre parole l’HASH del pdf con il campo firma (1) unito all’HASH dei dati biometrici della firma (2) saranno cifrati con la chiave pubblica del certificato qualificato generando in questa concatenazione un’ulteriore impronta di HASH di chiusura.

L’insieme di questi passaggi ha come scopo quello di proteggere il documento e i dati in esso conservati da eventuali aggiunte o modifiche. Anche solo al variare di un unico carattere, sia una semplice virgola, punto piuttosto che una parola si ottiene una impronta di HASH diversa. Assume, alla luce di ciò, importanza determinante la verifica da parte dell’incaricato, della integrità dei documenti che saranno oggetto di accertamento peritale e il corretto trattamento dei dati biometrici al loro interno.

Scenario operativo

Quando l’Esperto in analisi e comparazione della grafia è incaricato dall’Autorità Giudiziaria di svolgere un accertamento tecnico “tradizionale”, avente come oggetto firme vergate su supporto cartaceo con penna ad inchiostro, si trova a dover svolgere una serie di adempimenti che sinteticamente si articolano nelle seguenti fasi:

  • accettazione dell’incarico e giuramento
  • acquisizione della documentazione in originale e/o in copia
  • operazioni peritali, disamina tecnica e stesura della relazione
  • deposito dell’elaborato e restituzione dei documenti in originale e/o in copia precedentemente acquisiti.

L’esperto in analisi e comparazione della firma grafometrica nel medesimo ruolo si trova a dover affrontare uno scenario simile ma con specificità diverse, derivate dal fatto che i documenti non sono su supporto cartaceo, ma in forma digitale, contenente dei dati biometrici soggetti a protezione.

Rispetto alla modalità di incarico convenzionale, di cui si è detto, ciò che cambia è che l’originale del documento non è più unico (cartaceo), ma potenzialmente replicabile, con tutte le conseguenze che ne derivano per il trattamento del dato biometrico. Non è più custodito presso la cancelleria del tribunale e ritirabile da parte dell’Esperto nominato da Giudice, quindi necessità di una nuova procedura di acquisizione, per essere trasferito all’Esperto forense incaricato dall’Ufficio (Consulente Tecnico d’Ufficio), e successivamente ai Consulenti Tecnici nominati dalle Parti (C.T.P.). Si aprono pertanto due possibili modalità per il conferimento dell’incarico.

  • In presenza
  • Da remoto

In presenza

Le modalità procedurali in presenza prevedono che nella fase di estrazione dei dati biometrici[5] siano presenti il CTU[6] o CTP del Pm[7] con il proprio dispositivo di criptazione e decriptazione (Token-Smartcard); il soggetto che detiene i documenti (PdfA) correlati dai relativi dati biometrici della firma o delle firme che sono oggetto di indagine, i consulenti tecnici di parte CTP[8] e/o procuratori con i loro dispositivi a chiavi asimmetriche e l’incaricato detentore della chiave di decifratura. Quest’ultimo provvederà a verificare l’integrità del documento e/o documenti contenenti le firme “biometriche” e traferire il materiale al CTU e, se presenti, contestualmente ai CTP e/o Procuratori, dopo averli cifrati nuovamente con le chiavi pubbliche fornite dalle parti.

Nel caso in cui i consulenti di parte non siano presenti il CTU, se autorizzato dall’ A.G., in sede di operazioni peritali potrà condividere il materiale con loro. Considerando che ogni vettore biometrico è da considerarsi un originale si rende imprescindibile un corretto trattamento dei dati acquisiti, sia in questa prima delicata fase che successivamente in quella della valutazione, elaborazione e soprattutto conservazione del “materiale”. Le Buone Prassi a tal proposito invitano a creare quello che comunemente viene indicato “ambiente bianco” cioè, una postazione di lavoro dedicata scollegata dalla rete, con sistemi anti malware aggiornati ed idonei così da evitare quanto più possibile la violazione dei dati biometrici.

Nel caso che non sia possibile la contestuale presenza delle parti in special modo del CTU o del detentore della chiave di decriptazione, si rende necessario condividere i documenti informatici corredati del vettore biometrico tramite posta certificata e, per fare questo “in sicurezza” nasce l’esigenza di definire i vari passaggi e le procedure che ne garantiscano la corretta trasmissione.

Da remoto

Successivamente alle disposizioni dell’Autorità Giudiziaria e in ottemperanza alle disposizioni vigenti in materia di protezione dei dati, il soggetto che detiene la chiave di decifratura dei file contenenti i dati biometrici delle firme in oggetto, estrarrà in chiaro i dati, ne verificherà la loro integrità e corrispondenza (verifica dell’impronta di HASH), quindi li invierà al consulente d’ufficio (CTU), dopo averle nuovamente cifrate con la chiave pubblica inviata precedentemente dal CTU, ciò a garanzia che la successiva decriptazione possa avvenire solo da parte dell’esperto stesso, unico detentore della chiave privata. Lo stesso verrà attuato nei confronti delle parti, CTP e/o procuratori.

In tale contesto è importante riuscire a tracciare i dati perché ogni vettore biometrico che viene condiviso è un originale (si creano n/originali) e la perdita o la violazione della sua integrità sarebbe di difficile individuazione.

Conclusione

L’attento svolgimento delle procedure sia nel rispetto delle norme vigenti relative al trattamento dei dati biometrici indicate nel provvedimento del Garante della Privacy, che di quelle legate più genericamente al ruolo del consulente del giudice (CTU) dovrà essere necessariamente dettagliate e riportate nei verbali della relazione conclusiva per dare riscontro delle varie fasi procedurali avvenute.

Tale regola già adottata usualmente in un ambito di accertamento tradizionale assume in questo contesto “digitale” un elemento imprescindibile per l’attendibilità della relazione finale. L’errore umano, se pur possibile, può essere contenuto potenziando la formazione di base, l’aggiornamento costante e tenendo sempre conto di quelle che sono le linee guida indicate dalla comunità scientifica.[9]

_

Note

  1. Sollange Pellat
  2. Vessio, G. (2019). Dynamic Handwriting Analysis for Neurodegenerative Disease Assessment: A Literary Review. Applied Sciences9(21), 4666.
  3. https://oppimi.org/
  4. È un algoritmo che trasforma dati di lunghezza variabile in una stringa binaria di dimensione fissa chiamata valore di hash o impronta del messaggio.
  5. Nel caso di un procedimento tradizionale è il momento in cui si acquisiscono i documenti cartacei
  6. Consulente Tecnico d’Ufficio
  7. Pubblico Ministero
  8. Consulente Tecnico di Parte
  9. ENFSI Best Practice Manual for the Forensic Examination of Handwriting.
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3