Firma biometrica vs firma digitalizzata


Primo concetto fondamentale da chiarire : la firma autografa digitalizzata non ha nessun valore legale!

Questo dovrebbe essere un concetto chiaro a tutti, spero…

Se firmate un documento a penna (la buona vecchia BIC) e lo fotocopiate, la fotocopia non ha valore legale, solo l’originale ha valenza legale ed è opponibile a terzi. Ovviamente lo stesso discorso vale per i fax e per i documenti digitali (es. PDF contenenti l’immagine della firma).

Nell’ultimo articolo abiamo parlato della soluzione di Intesa San Paolo basata su tablet. E’ importante sottolineare che questi tablet non sono “normali”, ovvero non c’entrano nulla con iPad o simili.

I tablet utilizzati da Intesa San Paolo sono in grado di registrare, oltre al movimento della “penna”, anche il ritmo, la velocità , la pressione e l’accellerazione.

Questi sono i dati utilizzati da un perito calligrafico per stabilire se la firma sia originale; sono personali e specifici di ogni essere umano! Un po’ come l’impronta digitale, vocale o della retina. Questi dati si chiamano dati biometrici della firma, da qui il termine firma biometrica.

Un dispositivo in grado di intercettare e registrare questi dati è anche in grado di “riconoscere” se due firme appartengano alla stessa persona. Ovviamente questo tipo di algoritmi non è “assolutamente sicuro”, nessuna firma è uguale e la firma cambia con l’età , diciamo semplicemente che ci sono dei “margini di errore”.

Ma come si trasformano questi dati in una firma digitale? Non conosco le specifiche tecniche delle varie soluzioni, ma, secondo me, più o meno lavorano così :

Il tablet produce, a fronte della firma di Mario Rossi, un codice derivato dai dati biometrici. Questo codice è univocamente associato a Mario. Il codice viene passato ad un HSM sul quale è memorizzato il certificato privato di firma dell’untete Mario Rossi, tramite l’HSM vengono eseguite tutte le operazione crittografiche (esattamente come sul lettore di smart card).

Siamo abbituati ad avere il certificato di firma sulla smart card, utilizzabile tramite PIN; con questo sistema il certificato non è sulla smart card ma sull’HSM, il PIN è sostitutito dai dati biometrici della firma.

Per approfondimenti vi consiglio di leggere questo articolo.

Annunci

Firma digitale in banca, un’altro passo avanti (seconda parte).


L’altro giorno, leggendo il quotidiano, mi sono imbattuto in questa notizia : Addio carta, ora in banca la firma è digitale.

Questo articolo è veramente interessante, gli amici di firma facile lo hanno commentato a loro volta aggiungendo un po’ di dati numerici.

Prima di entrare nel merito dell’argomento voglio divertirmi un po’ con dei paragoni…

Intesa San Paolo risparmierà  600.000 RISME di carta da stampante (formato A4) ogni anno.

Mettendo queste risme una sopra l’altra a formare una torre, raggiungeremmo l’altezza di 30.000 metri (il Monte Bianco non arriva a 5.000 metri). Mettendole in fila a formare un sentiero, arriveremmo da Milano a Modena. Se il sentiero lo facessimo con i singoli fogli (e non con l’intera risma) faremmo più di 2 volte il giro della terra.

E stiamo parlando della carta prodotta in un solo anno da Intesa San Paolo nell’ambito delle relazioni con la clientela. Non oso pensare ai numeri che verrebbero fuori se calcolati sulla carta prodotta dalla Pubblica Amministrazione Italiana!

Ora però entriamo nel vivo dell’argomento: a me non piace molto la decisione di utilizzare il tablet per la firma (questo è un giudizio soggettivo, personale e probabilmente un po’ di parte).

Non voglio dire che sia sbagliata, per carità ! Lo se benissimo che per una certa tipologia di clientela (quella più anziana) questo metodo è probabilmente il migliore.

Come ho detto in un precedente articolo oggi sarebbe possibile creare delle carte di credito (o bancomat) che contengono anche il certificato per la firma digitale. Il metodo di applicazione della firma digitale in entrambi i casi (tablet o smart card) sarebbe lo stesso, i documenti prodotti sarebbero (tecnologicamente) identici.

Vedo diversi svantaggi nel metodo scelto da Intesa San Paolo, prima di tutto il costo : un device in grado di accettare la firma biometrica costa MINIMO 200 euro, hanno dovuto stanziare fondi per l’acquisto di un lettore per ogni sportello di ogni filiale. In secondo luogo la firma digitale fatta con questo metodo non è portabile (dal punto di vista dell’utente intendo). Io correntista posso utilizzare quella firma digitale ECLUSIVAMENTE allo sportello della mia banca, non altrove.

Lo strumento carta di credito (o bancomat) è basato su una tecnologia che ormai è sdoganata; anche mia madre (che ormai va per i 70 anni) possiede un bancomat e lo usa regolarmente.

Se la mia banca mi mettesse a disposizione un tale strumento sarebbe un risparmio per entrambi : il lettore costa molto meno (10 euro) ed io avrei in mano una firma digitale che potrei usare anche altrove.

Sarà  difficile convincermi che il tablet oggi (e per i prossimi 5 anni) sia meglio della smart card!

Firma digitale contactless, fantasia o realtà?


In questi giorni diversi quotidiani hanno riportato alcune notizie secondo le quali molti player importanti stanno investendo nei pagamenti contactless.

Di chi stiamo parlando? Ma di Microsoft, Apple, Google, RIM e gli altri grandi attori del mercato ICT che stanno spendendo fior di quattrini per sfornare soluzioni basate sulla tecnologia NFC.

Cosa è questa tecnologia? NFC è l’acronimo di Near Field Communication, ovvero un sistema di comunicazione basato sul semplice tocco. In realtà il tocco non serve, l’importante è che i due dispositivi stiano a meno di 4 cm di distanza.

Questa è una tecnologia matura. Ho visto, in laboratorio, i primi esperimenti propedeutici alla creazione di un sistema di pagamento basato su NFC già 3 o 4 anni fa. Ma se questa tecnologia è rimasta nel cassetto fino ad oggi, perchè mai dovrebbe decollare proprio ora?

Lascio a voi le speculazioni del caso, a me basta sapere che se le grandi aziende (Google in testa) stanno investendo dei grossi capitali, sicuramente si vedranno i risultati quanto prima.

Ora ritorniamo a guardare questa notizia dal punto di vista tecnico.

L’NFC è una tecnologia che (tra le tante altre cose) permette di eliminare il cavo USB. Molti cellulari di ultima generazione o smartphone supportano questa tecnologia.

L’obiettivo dei grandi attori dell’ICT è di inserire i dati della carta di credito dentro un dispositivo portatile, ad esempio dentro un cellulare o uno smartphone. Esistono anche dei dispositivi molto più economici, eccone un esempio.

In un articolo che ho pubblicato qualche tempo fa ho spiegato come NON ci fossero vincoli tecnologici nel inserire il certificato di firma digitale dentro il chip della carta di credito.

Ovviamente la maggior parte di questi dispositivi partono dal presupposto di montare una smartcard in formato SIM card.

Ora che abbiamo buttato sul tavolo tutte le carte vediamo di metterle nel giusto ordine.

Gli istituti che emettono carte di credito dovranno iniziare a predisporsi per distribuirle anche in formato SIM card per poterle inserire in un device NFC compatibile.

Si inizieranno a vedere i primi POS che accettano sia smartcard standard che device NFC. Si inizieranno a trovare in commercio PC desktop e notebook che possono connettere periferiche NFC.

La conclusione naturale di questo mio ragionamento è facile da intuire.

Siamo alle porte di un cambio epocale che necessita di una riorganizzazione strutturale. Ci sono i fondi e c’è la volontà di evolvere questa tecnologia.

Sarò ripetitivo, avete ragione, ma l’emittente che inserirà il certificato di firma digitale nel chip della carta di credito avrà dato un ulteriore valore aggiunto alla propria clientela.

Il primo che si organizzerà in tal senso, riuscirà a sfruttare più facilmente i benefici della firma digitale, senza più bisogno di lettori di smartcard nè di token USB.

Per apporre la firma digitale basterà digitare il PIN sulla tastiera del cellulare ed appoggiarlo sulla basetta presente allo sportello.

Firma digitale in banca, un’altro passo avanti.


Abbiamo gia avuto modo di parlare delle ENORMI possibilità della firma digitale inserita nella stessa plastica della carta di credito. Un’altro passo in questa direzione è stato fatto; sarà presto possibile creare assegni sotto forma di documenti firmati tramite la firma digitale.

Tutto dipende da qual’è il vostro concetto di “presto”.

Molti siti che trattano la firma digitale hanno recentemente riportato la notizia: uno per tutti è il sito di ANORC. Non intendo commentare il dettaglio degli articoli del decreto, io sono un informatico… Preferisco fare delle ipotesi (quasi fantascienza) su quali possano essere la modalità di utilizzo di questo nuovo strumento.

Come al solito partiamo dalla realtà attuale e vediamo di rapportare tutti gli elementi del sistema in essere con quello che potrà diventare.

Prima cosa è necessario definire il documento assegno. Attualmente un assegno è un pezzo di carta che prevede l’impostazione di alcuni campi. In inglese diremmo una form, in italiano un modulo. Alcuni dati sono prestampati sul modulo (il nome della banca, le coordinate bancarie di chi emette l’assegno,etc..), altri devono essere riempiti dall’utente o traente (importo in numeri, importo in lettere, data, luogo, il beneficiairio).

Se non sapete cos’è in dettaglio un assegno vi consiglio di andare da un medico, avete dei seri problemi! In alternativa potete leggervi questa pagina.

L’assegno viene firmato dal traente, il beneficiario (o prenditore) può riscuoterlo direttamente nella propria banca. Per ora fermiamoci qui, non addentriamoci nei concetti di girata, di non trasferibile, di circolare, etc… Tentiamo di ipotizzare come si potrebbe implementare il servizio base.

Per creare un assegno sottoforma di documento informatico ho bisogno di due strumenti : un modulo (form) ed una firma digitale. Entrambi gli strumenti sottintendono la presenza di un dispositivo elettronico “importante”, tipicamente un computer (o *pad).

L’utente che intende creare un “assegno informatico” dovrà :

  1. accendere il computer
  2. connettere il lettore ed inserire la smartcard (in alternativa usare il token USB)
  3. attivare il sw per riempire il modulo
  4. se il sw è web, deve avere a disposizione una connessione ad internet
  5. riempire il modulo ed applicare la firma digitale al documento (PDF/A?) creato

Bello, abbiamo ottenuto l’assegno informatico, siamo stati proprio bravi! Ma siamo sicuri? Mi sa che ci siamo persi qualcosa per strada… Nel processo descritto vedo diversi punti da approfondire.

Primo punto : sarebbe auspicabile non doversi portare un PC in giro per emettere un assegno. La differenza di peso tra i due strumenti è veramente troppo grande.

Secondo punto : la connessione a internet è necessaria? secondo me sarà indispensabile. Uno dei problemi più grandi dell’attuale sistema riguarda i dati dell’assegno.

Un utente può emettere assegni scoperti (di importo superiore alla disponibilità in conto) oppure postdatati o senza data. Entrambi i casi sono reati punibili dalla legge. C’è da aspettarsi che le regole tecniche che definiranno le caratteristiche di questo strumento impongano dei vincoli a riguardo.

Ma come? Sul tema importo, non è difficile; basta verificare la disponibilità in conto del denaro. Per quanto riguarda la data il discorso si complica. Lo strumento che oggi garantisce la data certa è la marca temporale. Questo strumento costa però 30 centesimi (a marca).

E’ impensabile che un utente debba portarsi dietro 2kg di computer e spendere 30 centesimi per emettere un assegno!

E’ plausibile che le banche potranno (rispettando determinate regole) diventare delle TSA (TimeStamp Authority) abilitate a garantire la data di emissione di un assegno.

Ultimo punto di attenzione… dove metto il documento che ho creato? Sicuramente lo consegno al beneficiario: tramite mail, facendolo scaricare da un sito web, copiandolo sulla chiavetta USB… e poi?

Il beneficiario porta il documento informatico in filiale e lo riscuote. Ma la filiale come conserverà questo documento? Quali sono le regole da applicare per la conservazione sostitutiva di questa tipologia di documenti informatici?

I vantaggi di un sistema del genere sarebbero molti, soprattutto se la Banca d’Italia (che definirà le regole) imporrà dei vincoli sui formati da utilizzare per il documento assegno.

Potremo riscuotere gli assegni tramite il nostro Internet Banking, senza uscire di casa. Potremo accettare assegni serenamente, senza la paura che siano scoperti.

Certo è che un assegno informatico non è molto diverso da un bonifico, molto dipenderà dai costi del servizio.

Versione 1.1-ga alle porte, quali le novità?


La prossima settimana verrà rilasciata la versione 1.1-ga di sinekarta; questo articolo vuole illustrare le novità principali.

La prima importante funzionalità riguarda l’installazione.

Non tentiamo di nasconderci dietro un dito, installare la versione 1.0 di sinekarta era un vero casino!

Inoltre Alfresco, con l’ultima versione, ha migliorato tantissimo questo aspetto rendendo ancora più evidente la complessità di sinekarta.

Per questo abbiamo creato un installer in grado di rendere l’installazione di sinekarta (quasi) banale.

Un’altra funzione che mancava in sinekarta riguarda il riversamento diretto.

La normativa prevede infatti che il Responsabile della Conservazione Sostitutiva si preoccupi di “verificare periodicamente, con cadenza non superiore a cinque anni, l’effettiva leggibilità dei documenti conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti.”

E’ ora possibile eseguire uno script, implementato tramite ant, per esportare i documenti (ricordiamo che sono dei PDF/A) presenti in archivio su file system; da qui sarà poi possibile (con lo strumento preferito dall’RCS) eseguire una copia sul supporto appropriato.

Ultima importante funzione riguarda la firma digitale generica.

Ci hanno fatto notare che implementare la firma digitale solo per l’RCS era una forte limitazione alle possibilità dello strumento.

Visto che avevamo già implementao il meccanismo per applicare la firma digitale, abbiamo deciso di metterlo a disposizione di qualsiasi utente di Alfresco, non solo per l’RCS.

Abbiamo visto le principali funzionalità che saranno disponibili con la prossima versione ufficiale di sinekarta, ora dobbiamo pensare a quello che ci aspetta.

Stiamo valutando diverse funzionalità che intendiamo implementare per la prossima versione di sinekarta, la 1.2.

E voi cosa ne pensate? Quali sono le funzioni che vorreste vedere implementate su sinekarta?

Qualunque idea, proposta in modo pubblico o privato, è bene accetta.