FIRMA ELETTRONICA AVANZATA (FEA): FIRMA GRAFOMETRICA

Sommario

Normativa di riferimento

Manuale operativo

Caratteristiche del sistema

Caratteristiche delle tecnologie

Chiavi e Certificati: Chiave pubblica di cifratura, Chiave privata di cifratura e Certificato di firma

Indennizzi

Privacy

 

Normativa di riferimento

L’Istituto di Istruzione Superiore “Giacomo Antonietti” di Iseo (BS), nell’ambito dello sviluppo di processi innovativi volti a ridurre l’uso della carta e aumentare l’efficienza dei processi, ha scelto di mettere a disposizione dei propri utenti un servizio di Firma Elettronica Avanzata, basato su Grafometria ai sensi del D.Lgs. 7 marzo 2005, n. 82, il “Codice dell’amministrazione digitale”, in ottemperanza al DPCM 22 febbraio 2013, “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71” ed al Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 n. 513 del Garante per la protezione dei dati personali.

Le soluzioni tecnologiche adottate consentono di sostituire i documenti cartacei con cosiddetti documenti informatici, in grado di rendere più veloce l’operazione di raccolta della sottoscrizione dell’utente, garantendo la medesima validità ed efficacia probatoria dei tradizionali documenti cartacei, ai sensi degli Articoli 2702 e 1350, comma 1, numero 13 del Codice Civile. Inoltre, l’utilizzo di tali sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frodi e il fenomeno dei furti di identità e, dall’altro, ha lo scopo di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti, preventivi e tutti quei documenti prodotti dall’IIS Antonietti in sede giudiziaria.

L’IIS Antonietti consapevole della possibilità di cui al punto precedente, ha scelto di adottare, nei rapporti con i propri utenti, un particolare servizio di elaborazione e sottoscrizione dei documenti con Firma Elettronica Avanzata (in breve “FEA” oppure “Firma Grafometrica”), di seguito denominato “Servizio”, che consente di apporre la propria firma utilizzando uno speciale tablet ed una penna elettronica; si tratta di sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal D.Lgs. 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” che non prevedono la conservazione centralizzata di dati biometrici.

L’operazione di apposizione della Firma Elettronica Avanzata da parte dell’utente, caratterizzata da semplicità e immediatezza, permette di registrare ed elaborare, all’interno del documento informatico, oltre al tratto grafico della firma, una serie di dati comportamentali propri dell’utente nell’atto della sottoscrizione, quali la velocità, la pressione esercitata, l’accelerazione dei movimenti, nonché i movimenti effettuati dalla penna quando è sollevata dal tablet (salti in volo); essi assumono il valore di dati biometrici.

Il Servizio proposto garantisce il rispetto dei requisiti di legge ed in particolare, l’identificazione dell’utente, la connessione univoca della firma al firmatario, nonché della firma al documento sottoscritto ed il controllo esclusivo del sistema di generazione della firma in capo all’utente medesimo; le caratteristiche tecniche della soluzione, inoltre, garantiscono l’integrità del documento in termini di immodificabilità ed inalterabilità del suo contenuto (Art. 56 delle Regole Tecniche – DPCM 22 febbraio 2013).

Manuale operativo

Per visionare il manuale operativo clicca qui

 

Caratteristiche del sistema

La descrizione riportata di seguito è nel rispetto degli obblighi indicati alla lettera e) dell’art. 57 del DPCM 22.02.2013 (rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dall’art. 56, comma 1).

Identificazione del firmatario del documento:

al fine dell’identificazione, gli operatori dell’IIS Antonietti richiedono all’utente un documento di riconoscimento in corso di validità. Il tratto grafico unitamente ai dati biometrici, rilevati con adeguata precisione, dal tablet all’atto della firma, sono propri ed identificativi del soggetto che la appone.

Connessione univoca della firma al firmatario:

è soddisfatta dal tablet e dal software di Firma che garantiscono

  • la connessione univoca tra dispositivo di firma ed il software di Firma,
  • il legame tra HASH del documento e la firma dell’Utente

Controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima:

L’utente ha il controllo esclusivo del sistema di generazione della firma, avendo sempre la possibilità per ogni singola firma apposta, sul documento, di:

  • visualizzare il documento in modo da aver evidenza di quanto da lui sarà sottoscritto,
  • apporre la firma sul documento,
  • confermare la firma apposta,
  • cancellare la firma apposta e ripetere la firma,
  • annullare l’operazione di firma.

Possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma:

Il firmatario ha sempre la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma; presso AgID all’URL http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/firme-elettroniche/software-verifica sono disponibili, gratuitamente, una serie di software conformi alla Deliberazione CNIPA 21 maggio 2009, n. 45. Anche Adobe Acrobat Reader® è in grado di eseguire la verifica.

Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto:

Il firmatario ha sempre evidenza di quanto sottoscrive perché sul dispositivo è visualizzato il documento, inoltre potrà richiedere l’invio del documento per e-mail o PEC o la stampa dello stesso.

Individuazione del soggetto di cui all’art. 55, comma 2, lettera a):

Il firmatario è sempre in grado di identificare con certezza la scuola (il soggetto che eroga la soluzione di firma) in quanto gli operatori dell’IIS Antonietti informano con puntualità e chiarezza l’utente del servizio ed i loghi sono ben evidenziati.

Assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati:

E’ garantita dalla tipologia dei documenti che sono tutti in formato PDF non modificabili e privi di qualsiasi funzione che possano nel tempo modificare il contenuto originale del documento.

Connessione univoca della firma al documento sottoscritto:

E’ garantita dal software di Firma che utilizza algoritmo SHA per collegare il documento alla firma.

 

I requisiti sopra descritti soddisfano l’art. 56 delle Regole Tecniche [DPCM 22/02/2013] e l’Art. 21 comma 2-bis del CAD.

 

Caratteristiche delle tecnologie

La descrizione riportata di seguito è nel rispetto degli obblighi indicati alla lettera f) dell’art. 57 del DPCM 22.02.2013 (specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto).

L’IIS G. Antonietti di Iseo (BS) e Technology Estate hanno prestato particolare attenzione alla sicurezza del dato biometrico acquisito. Mentre l’utente esegue la firma, i dati biometrici che la caratterizzano sono immediatamente cifrati dal Client di firma con la chiave simmetrica AES, la cui chiave a sua volta è cifrata con la chiave pubblica dell’algoritmo asimmetrico RSA.

Il firmatario ha il controllo esclusivo del processo di firma, e dispone delle seguenti funzioni:

  • scorrere il documento in modo di aver evidenza di quanto da lui sarà sottoscritto;
  • firmare con la penna elettronica sul display del dispositivo di firma nell’apposita area di firma presentata in modo esplicito;
  • confermare la firma apposta con il tasto [Fine];
  • cancellare la firma apposta e di ripetere la firma con il tasto [Riprova];
  • annullare l’operazione di firma con il tasto [Annulla].

 

Con la conferma da parte del firmatario della firma apposta, il Client di Firma immediatamente calcola l’impronta del documento informatico con l’algoritmo SHA.

I dati biometrici cifrati, la chiave AES cifrata, il tratto grafico ed altri dati, sono inseriti nel documento PDF. Alla fine del processo il Client di Firma, firma il documento in standard PAdES, con un certificato di firma qualificato, secondo la deliberazione CNIPA 21 maggio 2009, n.45 [CNIPA Del.45].

Quest’ultima firma garantisce l’integrità (documento non alterato) e autenticità (autore Technology Estate) del documento informatico.

 

Il sistema descritto da una parte acquisisce dati personali comportamentali, riconducibili alla biometria, dall’altra prevede che tali dati non siano nella disponibilità del soggetto che li detiene, dando un altissimo livello di sicurezza al processo di firma.

 

Chiavi e Certificati

La descrizione riportata di seguito è nel rispetto del Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014 n. 513 paragrafo 4.4 del Garante della protezione dei dati personali e del DPCM 22.02.2013.  

 

  • Chiave pubblica di cifratura

La chiave pubblica di cifratura è compilata con il software di Firma ed è utilizzata dallo stesso per cifrare la chiave AES, che a sua volta è utilizzata per cifrare i dati biometrici ed altre informazioni utili al processo di firma.

Le chiavi pubblica e privata sono generate dalla Certification Authority Consiglio Nazionale del Notariato (S.C.N.N.) accreditata presso AgID.

  • Chiave privata di cifratura

La chiave privata di cifratura, l’unica in grado di estrarre in chiaro la chiave AES che a sua volta è utilizzata per decifrare i dati biometrici, è conservata da un ente terzo fiduciario: la Certification Authority Consiglio Nazionale del Notariato (S.C.N.N.).

L’ente terzo sarà chiamato dall’autorità giudiziaria in caso di contenzioso e seguirà le modalità di consegna indicate dalla stessa.

In nessun caso l’IIS Antonietti avrà disponibilità di tale chiave come pure il firmatario.

  • Certificato di firma

Il certificato di firma digitale è utilizzato dal Client di Firma al termine del processo di Firma Elettronica Avanzata, per garantire l’integrità (documento non alterato) e autenticità (autore Technology Estate) del documento digitale.

Il Certificato è generato dalla Certification Authority In.Te.S.A. S.p.A. (An IBM Company) accreditata presso AgID.

 

Indennizzi

L’IIS Antonietti, soggetto che eroga la soluzione di Firma Elettronica Avanzata, come indicato nelle Regole Tecniche [DPCM 22/02/2013] art. 57 comma 4, non è tenuto alla stipula di apposita polizza assicurativa per responsabilità civile.

 

Privacy

L’adozione della firma grafometrica implica il trattamento dei dati biometrici.

La cifratura dei dati grafometrici è effettuata con le modalità descritte al paragrafo 15.2 del Manuale Operativo ed i dati non sono usufruibili né dall’IIS Antonietti, né dall’utente firmatario.

Essendo l’IIS Antonietti il Titolare del trattamento dei dati ha provveduto a notificare il trattamento come previsto dal Regolamento UE n. 2016/679.

Il Garante ha inserito nel registro dei trattamenti la notifica dell’IIS Antonietti.

La notifica è accessibile gratuitamente a chiunque per via telematica all’URL https://web.garanteprivacy.it/rgt/NotificaEsplora.php.

Le notifiche accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.