Firma grafometrica e dintorni: nuove opportunità e limiti nella dematerializzazione dei processi

Ad un anno dall’entrata in vigore della normativa che istituisce in modo definitivo le soluzioni di firma elettronica avanzata (dpcm 22 febbraio 2013), proponiamo una breve riflessione sulle opportunità che finora si sono evidenziate e chiarite in relazione a questa tecnologia, con particolare riferimento alla soluzione di firma grafometrica, senza tacere dei limiti e delle criticità ad essi intrinseci.

Anzitutto un inquadramento generale del tema.

In Italia da oltre dieci anni è in vigore la possibilità di apporre firme valide su documenti elettronici attraverso la Firma Digitale: una soluzione, tecnicamente ben identificata, che elegge a “firma valida”, un processo di certificazione di documenti elettronici basato su tecniche di cifratura asimmetrica che prevede l’utilizzo di certificati digitali, associati a singole persone ben identificate (sottoscrittori), rilasciati da soggetti qualificati riconosciuti e autorizzati a livello nazionale (Autorità di Certificazione).

La firma digitale, per intenderci quella in genere associata ad una smartcard con un PIN, non ha avuto un grande successo. Quanto meno non ha avuto successo in termini di diffusione di massa. In diverse realtà pubbliche e private la firma digitale è stata e rimane uno strumento efficace per la dematerializzazione e per la conseguente re-ingegnerizzazione di importanti processi operativi (un esempio significativo in tal senso lo raccontiamo come caso di successo al quale abbiamo contribuito in modo importante).Firma digitale

Il successo limitato della firma digitale in Italia è, in parte, spiegato dalle tante inefficienze ed inerzie imputabili alla nostra Pubblica Amministrazione: tanto per raccontarne una, ieri ho tentato di inviare ad INAIL una dichiarazione aziendale firmata digitalmente e mi sono sentito chiedere la cortesia di preferire una firma su carta con annesso invio via fax!

La ragione determinante però si riconosce in relazione ad un limite intrinseco di questo tipo di soluzione: se per firmare occorre dotarsi di uno strumento personale aggiuntivo, oneroso e non banale da ottenere, non è possibile ipotizzare che tutti i cittadini italiani ne siano dotati.

Non potendo dare per scontato in generale, a priori, di poter ottenere la firma digitale da tutti, questa rimane relegata a processi ove i “firmatari” sono soggetti noti  e “sotto controllo”. E’ sufficiente infatti che in un processo documentale sia ipotizzabile la necessità di una firma di un soggetto esterno all’organizzazione (un cittadino, un paziente, altre aziende, altri enti…), perché tale processo non si possa completamente de-materializzare.

Diversa potenzialità potrebbe esprimere la firma digitale se diventasse, ad esempio, uno strumento integrato obbligatoriamente nella carta di identità. Ma queste cose, logicamente semplici e con effetti potenzialmente rivoluzionari, pare che in Italia (e non solo) non siano nemmeno ipotizzabili.

Questa lunga premessa a proposito della firma digitale, ci pare importante per capire appieno la potenzialità innovativa delle firme qualificate. Ed in particolare di quella implementazione di firma qualificata nota come firma grafometrica.

La firma grafometrica è una soluzione basata sulla raccolta di dati biometrici identificativi del firmatario, che sfrutta l’analogia con il processo di firma autografa su carta: se le caratteristiche di una firma su carta sono ritenute, a norma di legge, sufficienti per appurare l’identità del firmatario, l’insieme dei dati di forma, ritmo, precisione, velocità, inclinazione della penna, … rilevabili da tecnologie disponibili su tavolette grafiche o schermi sensibili, non può essere considerato da meno.

firma grafometrica a sportelloIl vantaggio principale di questa soluzione di firma rispetto a quella Digitale è che non richiede alcun dispositivo aggiuntivo in possesso esclusivo del firmatario e pertanto si può considerare alla portata di tutti.

In aggiunta, rispetto ad altre possibili soluzioni di firma qualificata, la firma grafometrica, proponendo un’esperienza utente praticamente identica alla firma tradizionale su carta, garantisce una facile comprensione ed accettazione da parte del firmatario.

Evidentemente si tratta di una soluzione ottimale per la sottoscrizione di documenti “a sportello”, da parte di utenti esterni all’organizzazione che possiede il processo (es. raccolta consensi privacy all’accettazione di un pronto soccorso).

A fianco ai vantaggi detti, è importante chiarire anche le criticità ed i limiti di questo strumento per evitare facili entusiasmi e semplicistiche applicazioni

Come detto, la firma grafometrica è una firma basata sulla raccolta di dati biometrici. Come tale, presenta alcune criticità in relazione alla normativa sulla Privacy a causa dell’intrinseco trattamento di dati personali sensibili di tipo biometrico che comporta.

Un’altra criticità, particolarmente rilevante da un punto di vista tecnico, si riscontra in relazione alla necessità che il dato biometrico raccolto sia associato in modo esclusivo ed inscindibile al documento firmato. Questa criticità, risolta dai fornitori di questa tecnologia – in modo più o meno rigoroso – attraverso un processo operativo che si serve di tecniche di cifratura, rimane un aspetto delicato che è sempre bene approfondire e verificare a fondo prima di consegnare la dematerializzazione del proprio processo a questo tipo di soluzione.

Un difetto da non sottovalutare della firma grafometrica è il fatto che la verifica della sua validità, ovvero della corrispondenza tra i dati biometrici raccolti sul documento (la firma) e l’identità del firmatario non sono automatici: un accertamento conclusivo a questo proposito richiede comunque l’intervento di un perito calligrafico che dovrà esaminare il dato biometrico, decifrato con una chiave privata in possesso di un soggetto terzo garante.

Da questo punto di vista la firma grafometrica fa un passo indietro non banale rispetto a quanto ci ha abituato la Firma Digitale. Anche per questo motivo, quando possibile, è indubbiamente meglio continuare a preferire l’utilizzo della Firma Digitale.

Ultimo ma non ultimo, la firma grafometrica non si presta ad essere utilizzata come firma remota: il fatto che per firmare occorra un dispositivo particolare (la tavoletta o lo schermo sensibile), normalmente non presente sui Personal Computer o sui Tablet, preclude la possibilità di contemplare questa soluzione di firma per transazioni a distanza con soggetti non pre-identificati a priori. In definitiva dunque, la firma grafometrica non è ancora la soluzione per la sottoscrizione di un contratto consumer su Internet.

Grazie al fatto che la normativa non arriva ad ingabbiare le soluzioni di firma qualificata in specifiche soluzioni tecniche, la sfida per mettere a punto processi/soluzioni di firma che possano garantire punti di forza mirati in corrispondenza di specifici processi da automatizzare, rimane aperta e stimolante.

Per una soluzione di firma grafometrica implementata in un progetto reale di successo, non perdetevi: grafoSemplice: la firma grafometrica multi-applicativo