Firma biometrica vs firma digitalizzata
ottobre 27, 2011 Lascia un commento
Primo concetto fondamentale da chiarire : la firma autografa digitalizzata non ha nessun valore legale!
Questo dovrebbe essere un concetto chiaro a tutti, spero…
Se firmate un documento a penna (la buona vecchia BIC) e lo fotocopiate, la fotocopia non ha valore legale, solo l’originale ha valenza legale ed è opponibile a terzi. Ovviamente lo stesso discorso vale per i fax e per i documenti digitali (es. PDF contenenti l’immagine della firma).
Nell’ultimo articolo abiamo parlato della soluzione di Intesa San Paolo basata su tablet. E’ importante sottolineare che questi tablet non sono “normali”, ovvero non c’entrano nulla con iPad o simili.
I tablet utilizzati da Intesa San Paolo sono in grado di registrare, oltre al movimento della “penna”, anche il ritmo, la velocità , la pressione e l’accellerazione.
Questi sono i dati utilizzati da un perito calligrafico per stabilire se la firma sia originale; sono personali e specifici di ogni essere umano! Un po’ come l’impronta digitale, vocale o della retina. Questi dati si chiamano dati biometrici della firma, da qui il termine firma biometrica.
Un dispositivo in grado di intercettare e registrare questi dati è anche in grado di “riconoscere” se due firme appartengano alla stessa persona. Ovviamente questo tipo di algoritmi non è “assolutamente sicuro”, nessuna firma è uguale e la firma cambia con l’età , diciamo semplicemente che ci sono dei “margini di errore”.
Ma come si trasformano questi dati in una firma digitale? Non conosco le specifiche tecniche delle varie soluzioni, ma, secondo me, più o meno lavorano così :
Il tablet produce, a fronte della firma di Mario Rossi, un codice derivato dai dati biometrici. Questo codice è univocamente associato a Mario. Il codice viene passato ad un HSM sul quale è memorizzato il certificato privato di firma dell’untete Mario Rossi, tramite l’HSM vengono eseguite tutte le operazione crittografiche (esattamente come sul lettore di smart card).
Siamo abbituati ad avere il certificato di firma sulla smart card, utilizzabile tramite PIN; con questo sistema il certificato non è sulla smart card ma sull’HSM, il PIN è sostitutito dai dati biometrici della firma.
Per approfondimenti vi consiglio di leggere questo articolo.