Firma Grafometrica

Firma Grafometrica


Normativa di riferimento


L’Agenzia Regionale Toscana per L'Impiego (ARTI), nell’ambito dello sviluppo di processi innovativi volti a ridurre l’uso della carta e aumentare l’efficienza dei processi, ha scelto di mettere a disposizione dei propri Utenti un servizio di Firma Elettronica Avanzata, basato su Grafometria ai sensi del D.Lgs. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale", in ottemperanza al DPCM 22 febbraio 2013 recante “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71.” ed al Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014 n. 513 del Garante per la protezione dei dati personali.
Le soluzioni tecnologiche adottate consentono di sostituire i documenti cartacei con cosiddetti documenti informatici, in grado di rendere più veloce l’operazione di raccolta della sottoscrizione dell’Utente, garantendo la medesima validità ed efficacia probatoria dei tradizionali documenti cartacei, ai sensi degli Articoli 2702 e 1350, comma 1, numero 13 del Codice Civile. Inoltre, l'utilizzo di tali sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frodi e il fenomeno dei furti di identità e, dall'altro, ha lo scopo di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti, preventivi e tutti quei documenti prodotti da ARTI in sede giudiziaria.
ARTI, consapevole della possibilità di cui al punto precedente, ha scelto di adottare, nei rapporti con i propri Utenti, un particolare servizio di elaborazione e sottoscrizione dei documenti con Firma Elettronica Avanzata (in breve “FEA” oppure “Firma Grafometrica”), di seguito denominato “Servizio”, che consente di apporre la propria firma utilizzando un tablet/Sign pad ed una penna elettronica; si tratta di sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D.Lgs. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale" e dal REGOLAMENTO (UE) N. 910/2014 del parlamento europeo e del consiglio del 23 luglio 2014 (eIDAS)  che non prevedono la conservazione centralizzata di dati biometrici.
L’operazione di apposizione della Firma Elettronica Avanzata da parte dell’Utente, caratterizzata da semplicità e immediatezza, permette di registrare ed elaborare, all’interno del documento informatico, oltre al tratto grafico della firma, una serie di dati comportamentali propri dell’Utente nell’atto della sottoscrizione, quali la velocità, la pressione esercitata, l’accelerazione dei movimenti, nonché i movimenti effettuati dalla penna quando è sollevata dal tablet (salti in volo); essi assumono il valore di dati biometrici.
Il Servizio proposto garantisce il rispetto dei requisiti di legge ed in particolare, l’identificazione dell’Utente, la connessione univoca della firma al firmatario, nonché della firma al documento sottoscritto ed il controllo esclusivo del sistema di generazione della firma in capo all’ Utente medesimo; le caratteristiche tecniche della soluzione, inoltre, garantiscono qualità, sicurezza, integrità e immodificabilità del suo contenuto (Art. 56 delle Regole Tecniche - DPCM 22 febbraio 2013).

 

Caratteristiche del sistema

La descrizione riportata di seguito è nel rispetto degli obblighi indicati alla lettera e) dell’ Art. 57 del DPCM 22.02.2013 (rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’art. 56, comma 1). 

   a) l’identificazione del firmatario del documento;
Al fine dell’identificazione, gli Operatori di ARTI richiedono all’Utente un documento di riconoscimento in corso di validità.
Il tratto grafico unitamente ai dati biometrici, rilevati con adeguata precisione, dal tablet all’atto della firma, sono propri ed identificativi del soggetto che la appone.

   b) la connessione univoca della firma al firmatario;
E’ soddisfatta dal tablet/Sign Pad e dal Software di Firma che garantiscono:
•    la connessione univoca tra dispositivo di firma ed il Software di Firma, 
•    il legame tra HASH del documento e la firma dell’Utente.

   c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
L’Utente ha il controllo esclusivo del sistema di generazione della firma, avendo sempre la possibilità per ogni singola firma apposta, sul documento, di:
•    Visualizzare il documento in modo da aver evidenza di quanto da lui sarà sottoscritto,
•    Apporre la firma sul documento,
•    Confermare la firma apposta,
•    Cancellare la firma apposta e ripetere la firma,
•    Annullare l’operazione di firma.

    d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
L’Utente ha sempre la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma; presso AgID all’ URL http://www.agid.gov.it/identita-digitali/firme-elettroniche/software-verifica, sono disponibili, gratuitamente, una serie di software conformi alla [CNIPA DEL.45]. Anche Adobe Acrobat Reader® è in grato di eseguire la verifica.

    e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
L’Utente ha sempre evidenza di quanto sottoscrive perché sul dispositivo è visualizzato il documento, inoltre potrà richiedere la stampa del documento originale, o l’invio dello stesso per e-mail o PEC.

    f) l’individuazione del soggetto di cui all’art. 55, comma 2, lettera a), Agenzia Regionale Toscana per L'Impiego;
l’Utente è sempre in grado di identificare con certezza ARTI (il soggetto che eroga la soluzione di firma) in quanto gli Operatori di ARTI informano con puntualità e chiarezza l’Utente del servizio ed i loghi sono ben evidenziati.

    g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
E’ garantita dalla tipologia dei documenti che sono tutti in formato PDF non modificabili e privi di qualsiasi funzione che possano nel tempo modificare il contenuto originale del documento.

    h) la connessione univoca della firma al documento sottoscritto;
E’ garantita dal Software di Firma che utilizzano algoritmo SHA per collegare la firma al documento.

I requisiti sopra descritti soddisfano l’art. 56 delle Regole Tecniche [DPCM 22/02/2013] e l’Art. 21 comma 2-bis del CAD.

 

Caratteristiche delle tecnologie

La descrizione riportata di seguito è nel rispetto degli obblighi indicati alla lettera f) dell’Art. 57 del DPCM 22.02.2013 (specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto) 
L’Agenzia Regionale Toscana per L'Impiego e Argentea Srl hanno prestato particolare attenzione alla sicurezza del dato biometrico acquisito. Mentre l’Utente esegue la firma, i dati biometrici che la caratterizzano sono immediatamente trattati con l’algoritmo FSS di Wacom, arricchiti con dati utili ad un eventuale perizia, cifrati con una chiave AES256 generata in modo random dal Software di firma SIGN PRO PDF. La chiave AES, generata in modo random, è crittografata con le chiave pubblica dal certificato di cifratura asimmetrica con algoritmo RSA. I dati criptati con chiave AES e la stessa chiave AES criptata con chiave pubblica RSA sono inseriti in un unico blob. A conclusione del processo è apposta la firma elettronica al documento informatico.

L’Utente ha il controllo esclusivo del processo di firma, e dispone delle funzioni:
•    di scorrere il documento in modo di aver evidenza di quanto da lui sarà sottoscritto,
•    di firmare con la penna elettronica sul display del dispositivo di firma nell’apposita area di firma presentata in modo esplicito,
•    con il tasto [OK] si confermare la firma apposta, 
•    con il tasto [Cancella] si cancellare la firma apposta e si ripetere la firma, 
•    con il tasto [Annulla] si annullare l’operazione di firma. 

Con la conferma da parte dell’Utente della firma apposta, il SECURESIGN immediatamente cifra il vettore biometrico ricevuto assieme dall’HASH del documento ed altri dati utili per garantire l’univocità della firma.
I dati biometrici cifrati, la chiave AES256 cifrata ed il tratto grafico, sono inseriti nel documento PDF. Alla fine del processo il Software di Firma SECURESIGN, firma il documento in standard PAdES, con un certificato digitale, secondo la deliberazione CNIPA 21 maggio 2009, n.45 [CNIPA Del.45].
Quest’ultima firma garantisce l’integrità (documento non alterato) e autenticità (autore ARTI) del documento informatico.

Il sistema descritto da una parte acquisisce dati personali comportamentali, riconducibili alla biometria, dall’altra prevede che tali dati non siano nella disponibilità del soggetto che li detiene, dando un altissimo livello di sicurezza al processo di firma.

 

Chiavi e Certificati

La descrizione riportata di seguito è nel rispetto del Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014 n. 513 paragrafo 4.4 del Garante della protezione dei dati personali e del DPCM 22.02.2013. 

CHIAVE PUBBLICA DI CIFRATURA
La chiave pubblica di cifratura è utilizzata dal Software di Firma per cifrare la chiave AES256, che a sua volta è utilizzata per cifrare i dati biometrici ed altre informazioni utili al processo di firma.
Le chiavi pubblica e privata sono generate da ACTALIS GRUPPO ARUBA, prestatore di servizi fiduciari qualificato, iscritto presso il registro pubblico dell’AgID.

CHIAVE PRIVATA DI CIFRATURA
La chiave privata di cifratura, l’unica in grado di estrarre in chiaro la chiave AES256 che a sua volta è utilizzata per decifrare i dati biometrici, è conservata da un ente terzo fiduciario: ACTALIS GRUPPO ARUBA prestatore di servizi fiduciari qualificato iscritto presso il registro pubblico dell’AgID .
L’ente terzo sarà chiamato dall’autorità giudiziaria in caso di contenzioso, e seguirà le modalità di consegna indicate dalla stessa.
In nessun caso ARTI avrà disponibilità di tale chiave come pure l’Utente.

CERTIFICATO DI FIRMA
Il certificato di firma digitale è utilizzato dal Software di Firma al termine del processo di Firma Elettronica Avanzata, per garantire l’integrità (documento non alterato) e autenticità (autore ARTI) del documento digitale. 
Il Certificato è generato da ACTALIS GRUPPO ARUBA prestatore di servizi fiduciari qualificato iscritto presso il registro pubblico dell’AgID.

 

Indennizzi

ARTI, soggetto che eroga la soluzione di Firma Elettronica Avanzata, come indicato nelle Regole Tecniche [DPCM 22/02/2013] art. 57 comma 2, ha stipulato polizza assicurativa per responsabilità civile con primaria Compagnia di Assicurazioni abilitata ad esercitare nel campo dei rischi industriali, per la copertura dei rischi dell’attività svolta e dei danni a tutela delle parti.

 

Privacy

L’adozione della firma grafometrica implica il trattamento dei dati biometrici.
La cifratura dei dati grafometrici è effettuata con le modalità descritte al paragrafo 15.2 del Manuale Operativo ed i dati non sono usufruibili né da ARTI, né dall’Utente, né da Argentea Srl.

ARTI, Titolare del trattamento dei dati come indicato nell’articolo 13 del GDPR mette a conoscenza l’Utente, tramite l’informativa, con quale modalità e per quale finalità saranno trattati i suoi dati.
Nell’Informativa è fatto riferimento all’articolo 9 comma 1 del GDPR in riferimento ai dati biometrici come categoria particolare di dati personali.

Ultimo aggiornamento: 17.07.2024
Condividi