La firma grafometrica – I Parte

Sono ormai diversi anni che si parla di firma grafometrica e del suo impiego negli studi professionali e nelle imprese, e nel presente articolo, suddiviso in due parti, analizzeremo il suo funzionamento, l’efficacia probatoria  ed alcuni esempi di impiego nei processi  di digitalizzazione.
 
 
Con il termine firma grafometrica si intende la generazione dell’immagine grafica e dei dati biometrici di tipo comportamentale in forma elettronica, a seguito della sottoscrizione autografa eseguita su speciali dispositivi quali tablet o palmari.
L’impiego sempre più diffuso della firma grafometrica quale strumento di sottoscrizione (non analizzeremo in questa sede il suo impiego quale procedura di autenticazione biometrica come da provvedimento del Garante privacy del 31 gennaio 2013), è essenzialmente da ricondurre alla sua semplicità d’uso ed all’assenza di barriere tecnologiche dato che la firma viene sempre eseguita manualmente (i.e. sottoscrizione autografa), ma anziché essere eseguita su carta viene effettuata su appositi supporti in grado di intercettare precisi dati biometrici di tipo comportamentale quali la velocità, l’accelerazione, la decelerazione, la pressione, i tratti ed i movimenti aerei, l’angolo di inclinazione e di rotazione della penna.
 
E’ necessario sin da subito rilevare che la firma grafometrica può essere di almeno due diverse tipologie:

• firma grafometrica con la sola immagine grafica, ove in sostanza vi è la generazione della sola immagine grafica della firma e dove viene garantita la sua connessione univoca al firmatario ed al documento informatico sottoscritto. E’ utile sin da subito rammentare che non è il caso della scansione della sottoscrizione autografa eseguita su carta e poi con un semplice “copia-incolla” apposta sul documento informatico, quanto una precisa procedura informatica in grado di generare un’immagine grafica della firma ed associarla univocamente al firmatario ed al documento informatico sottoscritto;
• firma grafometrica con l’immagine grafica ed i dati grafometrici, ove oltre alla immagine grafica della firma vengono generati anche i dati biometrici di tipo comportamentale che consistono in file tipicamente in formato XML che contengono appunto i dati inerenti la velocità, l’accelerazione, la decelerazione, la pressione, i tratti ed i movimenti aerei, l’angolo di inclinazione e di rotazione della penna, ed eventualmente anche la forma tridimensionale della firma.

 
Con riguardo alla firma grafometrica è necessario evidenziare almeno 5 importanti aspetti:
? La firma grafometrica è una firma elettronica
Potrà sembrare superfluo ricordarlo, ma la firma grafometrica, qualora sia in grado di creare dei dati elettronici connessi al documento informatico sottoscritto ed impiegati dal firmatario per firmare, è una firma elettronica, dato che secondo l’art.3 punto 10) del regolamento eIDAS (regolamento 910/2014), con firma elettronica si intende “dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”, e come vedremo in seguito, se vengono rispettate talune garanzie può essere annoverata nell’ambito delle firme elettroniche avanzate;
? La firma grafometrica è un processo
Diversamente dalla firma digitale ove la sua generazione viene eseguita all’interno di appositi dispositivi sicuri per la generazione delle firme (i.e. smart card, token USB, HSM) e tramite l’ausilio di speciali algoritmi (i.e. SHA-256 ed RSA), la firma grafometrica è il risultato di un processo composto da una serie di step e procedure informatiche che se non correttamente implementate potrebbero generare non poche criticità. Mentre quindi la firma digitale è l’output di una procedura informatica basata sulla cifratura asimmetrica eseguita all’interno di speciali dispositivi sicuri per la generazione delle firme che devono rispettare precise certificazioni di sicurezza e di protezione, e quindi con un margine di errore pressoché inesistente, la firma grafometrica è l’output di un  processo e quindi con un margine di errore ben più alto;
? La firma grafometrica va conservata in solo formato digitale
I documenti informatici sottoscritti con una firma grafometrica esigono una conservazione digitale, dato appunto che i dati grafometrici in essi contenuti, così come eventuali altri dati generati per garantire la connessione univoca della firma al firmatario, devono essere preservati in un ambiente in grado di garantirne la loro integrità, autenticità, affidabilità, leggibilità e reperibilità, e quindi in sostanza devono essere conservati unicamente in un sistema di conservazione conforme alle regole tecniche di cui al DPCM 3 dicembre 2013. Da rilevare poi che i suddetti documenti informatici qualora stampati su supporto cartaceo, non sono in grado di trasferire sulla carta i dati e le informazioni inglobati nel documento, così come del resto avviene con la firma digitale;
? La firma grafometrica deve adottare standard internazionali
I dati grafometrici devono essere prodotti e gestiti secondo standard internazionali, dato appunto che dovranno essere utilizzati a distanza di anni dal perito grafologo giudiziario in caso di disconoscimento della sottoscrizione (art.214 del Codice di procedura civile). In buona sostanza quindi, è necessario che i dati grafometrici siano conformi allo Standard ISO 19794-7 Information technology — Biometric data interchange formats, e generare quindi dati grafometrici non conformi ai suddetti standard potrebbe creare la spiacevole situazione di un loro totale inutilizzo da parte del perito grafologo giudiziario nell’ambito delle proprie attività di verifica e comparazione della firma grafometrica (art. 216 del Codice di procedura civile);
? La firma grafometrica può essere disconosciuta
Diversamente dalla firma digitale ove a norma dell’art.21 secondo comma del CAD “L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”, nel caso della firma grafometrica questo non è applicabile, e mentre impiegando la firma digitale vi è una presunzione di utilizzo del dispositivo di firma in capo al titolare e comunque non può essere contestata la regolarità della firma dato che è molto semplice verificarla (si parla infatti di disconoscimento nell’utilizzo del dispositivo di firma, e non disconoscimento della firma), nel caso della firma grafometrica questa può sempre essere disconosciuta secondo le disposizioni di cui all’art. 214 del Codice di procedura civile (disconoscimento della sottoscrizione), dopodichè sarà il perito grafologo giudiziario ad indicare nella perizia se la firma grafometrica disconosciuta è “apocrifa” (firma non originale) oppure “non apocrifa” (firma originale).
 
Nello svolgere la propria attività il perito grafologo giudiziario seguirà le medesime procedure già seguite da anni nell’ambito delle verifiche svolte sui documenti cartacei, e quindi per esempio potrà adottare le regole dettate dalla scuola Italiana (o Morettiana) oppure dalla scuola Francese, ma è chiaro che in caso di verifiche di firme grafometriche vi sono alcuni aspetti da tener presente:

• il saggio grafico dovrà essere svolto impiegando il medesimo dispositivo e penna (modello e versione) di quello già utilizzato a suo tempo per generare la firma grafometrica, dato che un diverso dispositivo potrebbe avere un diverso spessore del piano di appoggio utilizzato per sottoscrivere oppure una diversa dimensione della finestra su cui eseguire la firma, che chiaramente potrebbero impattare su come viene eseguita la firma grafometrica rendendola non comparabile;
• la comparazione delle firme grafometriche potrà essere eseguita impiegando la sola immagine grafica della sottoscrizione oppure impiegando sia l’immagine grafica che i dati grafometrici, e comunque in entrambi i casi dovranno essere utilizzati validi strumenti software appositamente progettati per tali attività.

 
 
Umberto Zanini, Dottore Commercialista e Revisore Legale