Posts Tagged ‘firma grafometrica’

Autenticazione grafometrica tra privacy ed esigenze di conservazione: è vera semplificazione?

Wacom bamboo pen di cnycompguy, su Flickr

Wacom bamboo pen di cnycompguy, su Flickr

Sul sito del Garante per la protezione dei dati personali sono state recentemente pubblicate le motivazioni, di fatto e di diritto, sulla scorta delle quali il Garante medesimo autorizza il gruppo bancario Unicredit, che aveva avanzato apposita istanza nell’ottica di migliora e snellire i propri servizi, a “trattare” i dati biometrici derivanti dalle firme dei propri clienti.
La lettura del dispositivo offre molteplici spunti di riflessione:
1) in primo luogo va precisato che il Garante ammette il trattamento dei dati biometrici non già per operazioni di sottoscrizione digitale bensì per quelle di autenticazione (= verifica dell’identità della persona che si presenta allo sportello), autenticazione che avviene mediante comparazione (matching) tra la firma apposta al momento su tablet e quelle conservate come “modello” in una apposita base di dati
2) in secondo luogo è interessante osservare come a) nella fase iniziale di enrollement vengano acquisite, da ciascun cliente, ben 6 firme (ciò al fine di crearsi un “profilo medio” di come un individuo firma) ma anche come b) successivamente il sistema sia in grado di “tracciare” l’eventuale processo di modifica nel tempo del modo in cui il cliente scrive (questa dinamicità, per inciso, preoccupa il Garante in quanto potrebbe rivelare aspetti comportamentali dell’individuo)
3) le misure tecnologiche di sicurezza sono molteplici: crittografia tanto al momento della firma quanto in quello del trasferimento dei dati; NON residenza della firma all’interno del tablet (che funge da mero “supporto” di scrittura, definito signpad) bensì in database dedicati all’interno di server siti sul territorio nazionale; conservazione dei dati di log
4) la conservazione dei dati biometrici relativi alla firma dura fintantoché è instaurato il rapporto tra il cliente e la banca; una volta venuto a cessare quest’ultimo c’è l’obbligo della loro cancellazione immediata (al netto di tempi tecnici ed eventuali contenziosi legali pendenti).
Personalmente, pur trovando la maggior parte di queste prescrizioni comprensibili, mi chiedo se esse non siano eccessive e rischino di annullare tutti i potenziali vantaggi. Ad esempio, pur avendo io già a suo tempo espresso perplessità sull’affidabilità del “sistema tablet” nel suo complesso, ritengo che la firma biometrica su tavoletta dovrebbe permettere di sottoscrivere un documento e non ridursi a mero strumento preliminare di verifica dell’identità del cliente (verifica che, beninteso, va fatta)! Che senso ha effettuare l’autenticazione con firma biometrica per poi sottoscrivere le successive operazioni bancarie attraverso strumenti quali le smart card che di certo non brillano per praticità?
Mi pare che in un simile sistema i grattacapi crescano esponenzialmente: infatti, non fossero bastate tutte le preoccupazioni derivanti dalla conservazione dei certificati, delle marche temporali, etc. ci si trova ora a dover conservare per un arco temporale indefinito (quale può essere la durata del rapporto che si instaura tra una banca ed i suoi clienti) pure quelli biometrici relativi alle firme!
Anche alla luce della “Guida alla Firma Digitale” predisposta dall’allora CNIPA, versione 1.3 dell’aprile 2009 (citata dallo stesso Garante), e delle riflessioni dell’avvocato Lisi che avevo riportato in un altro mio post di qualche tempo fa non sarebbe più naturale, oltre che economicamente vantaggioso, sottoscrivere (e non solo autenticare) su tablet, concentrando su questo gli sforzi di conservazione?

iNotebook, a cavallo tra carta e digitale

Di norma quando pensiamo alla scrittura su tablet la nostra mente corre veloce al pennino con il quale “scriviamo”, a mano libera, direttamente sulla superficie della tavoletta.
Da Targus arriva in commercio l’iNotebook, un prodotto decisamente interessante che qui descrivo velocemente non perché io abbia chissà quali finalità promozionali ma molto più semplicemente perché esso rappresenta un interessante punto di congiunzione tra mondo analogico e digitale e potrebbe, se sviluppato nella giusta direzione, togliere alcuni grattacapi che assillano gli archivisti in questi ultimi tempi (ma facendogliene venire di nuovi!).
Ma come funziona l’iNotebook? Come si intuisce dal video postato qui sopra il funzionamento è alquanto semplice: mentre scriviamo sulla nostra agenda (di carta comune) con una speciale penna ad inchiostro con incorporato un sensore, una barra (la si vede chiaramente sul lato superiore) cattura i segnali provenienti via infrarossi dalla penna e li ritrasmette automaticamente via Bluetooth all’iPad. Il risultato è dunque stupefacente: nel momento stesso in cui scriviamo sull’agenda sullo schermo del nostro tablet compare, quasi per magia, il testo. Una volta finito di scrivere possiamo passare a lavorare direttamente sul tablet (la penna si trasforma in stilo), dove possiamo evidenziare il testo, sottolinearlo, impostare sfondi, etc. ed ovviamente inviare il tutto via posta elettronica oppure salvarlo sulla nuvola attraverso servizi quali l’immancabile Dropbox oppure AirPlay.
E se per caso non abbiamo il nostro iPad a portata di mano nessuna paura: il sensore posto sull’agenda può immagazzinare fino a 100 pagine, le quali saranno poi inviate al tablet alla prima sincronizzazione utile!
Un sistema siffatto presenta dunque degli innegabili vantaggi: in primo luogo si gode di tutta la libertà della scrittura a mano libera ma con il vantaggio di ritrovarsi tutto il lavoro pure in digitale e di poterlo qui proseguire e condurre a termine; in secondo luogo si aprono interessanti prospettive in fatto di firma grafometrica ed è su questo che voglio soffermarmi un istante.
Targus non dice se vengono memorizzate anche le caratteristiche biometriche della nostra scrittura (=> della nostra firma) quali ductus, pressione, inclinazione, etc. ma la sensazione netta è di no: l’iNotebook non è stato ideato per fungere da dispositivo di firma (se così fosse stato si sarebbe fatto ricorso ad una trasmissione da agenda a tablet crittografata e non sfruttando un “banale” segnale Bluetooth così come ci dovrebbe essere una banca dati per contenere in sicurezza tutti i dati biometrici).
Assodato dunque che iNotebook non è stato concepito per sottoscrivere digitalmente i documenti, va riconosciuto che un siffatto sistema, adeguatamente sviluppato, potrebbe presentare delle caratteristiche interessanti: se mai un giorno infatti sarà prevista la memorizzazione dei dati biometrici, nel momento in cui andremo a redigere, che so, un testamento olografo o una compravendita tra privati, ci troveremo in possesso dell’originale cartaceo e contemporaneamente del corrispettivo documento nativo digitale (nel senso che non è frutto di un’operazione di digitalizzazione e/o scannerizzazione) entrambi debitamente sottoscritti! Inutile dire che dal punto di vista conservativo il lavoro dell’archivista ne trarrebbe nel contempo giovamento così come vedrebbe insorgere nuove problematicità: giusto per sollevarne alcune, la presenza di un documento su carta e di uno sul tablet può indurci a parlare di originale in duplice copia? Quale dei due conserviamo come buono? L’analogico, il digitale od entrambi (con annessa duplicazione degli sforzi e dei costi ma pure con qualche certezza in più, stante le rodate metodologie di conservazione esistenti per i documenti cartacei a fronte dei mille dubbi che avvolgono la conservazione dei documenti digitali)?
Insomma, tanti pro ma anche tanti contro, non c’è che dire! Possiamo comunque stare tranquilli. Si tratta solo di ipotesi e, così com’è ora, l’iNotebook è un prodotto di nicchia: infatti, a prescindere dal fatto che ad oggi è pensato esclusivamente per l’iPad di Apple, ha anche un costo non indifferente sia di acquisizione (179,99 dollari) che di mantenimento (una penna nuova costa 49,99 dollari ed una ricarica 7,99; relativamente economica solo la carta, costando un’agenda originale 4,99 dollari…). Decisamente non per tutte le tasche!

Ancora sulla firma grafometrica

40+86 Tablet

40+86 Tablet di bark, su Flickr

Ritorno velocemente sull’argomento della firma grafometrica affrontato in un mio post di pochi giorni fa dal momento che su questo interessante tipo di firma è intervenuto l’avvocato Andrea Lisi, presidente ANORC, il quale ha sgombrato il campo da ogni dubbio circa la sua validità legale; rimandando all’articolo di Lisi per una trattazione più esaustiva riporto un passaggio che mi sembra dirimente (il grassetto è mio; n.d.r.):

Questo tipo di firma [la biometrica grafometrica, n.d.r.] può certamente essere sussumibile nel genus ampio della firma elettronica avanzata […]. Ma, in verità, questa tipologia di firma costituisce più propriamente una categoria a sé stante e deve ritenersi riconosciuta nell’ordinamento giuridico italiano proprio perché già prevista dal nostro codice civile: essa è semplicemente una firma autografa riversata non su un foglio di carta, ma associata indissolubilmente a un documento informatico, a patto che esso abbia i requisiti tipici previsti per garantire la forma scritta ai sensi dei già citati artt. 20 e 21 del CAD. Quindi, pur con una specifica attenzione alle problematiche tipiche della corretta formazione del documento informatico, della corretta conservazione dell’oggetto informatico contenente documento e dati di firma biometrica e con una particolare considerazione alle delicate questioni di sicurezza e privacy che la protezione del dato biometrico comporta, possiamo affermare che la firma autografa digitale o grafometrica può trovare le ragioni giuridiche per una sua autonoma esistenza e validità nei principi generali del nostro ordinamento

In altri termini dal punto di vista legale non esistono motivi ostativi all’utilizzo della firma grafometrica; anche Lisi evidenzia alcune problematicità inerenti le modalità di formazione del documento e soprattutto la sua conservazione dal momento che esso contiene la firma, ritenuto dato sensibile e pertanto soggetto alla normativa sulla Privacy.
Da parte mio sottoscrivo in pieno e ribadisco come tutto sia risolvibile con un approccio “archivistico” di ampio respiro, l’unico in grado di risolvere le problematiche già evidenziate, ovvero: a) definizione di rigorose procedure di utilizzo di questi strumenti di nuova generazione, b) necessità di uploadare e sincronizzare costantemente i documenti con essi creati (e firmati) nei server presenti nei (minimo due) data center => c) realizzati in siti geograficamente distanziati e di proprietà dell’organizzazione.

%d blogger hanno fatto clic su Mi Piace per questo: