Firma Grafometrica

FIRMA ELETTRONICA AVANZATA IN MODALITA’ GRAFOMETRICA
MANUALE INFORMATIVO
(DPCM 22 Febbraio 2013 – Art. 57)


1. DEFINIZIONI

  • Novomatic: Novomatic Italia S.p.A.;
  • Soggetto Erogatore: Soggetto che mette a disposizione dei propri Clienti una soluzione di Firma Elettronica Avanzata. Viene così definito dall’art. 55, comma 2, lett. a), del DPCM 22 febbraio 2013;
  • Soggetto Realizzatore: Soggetto che realizza soluzioni di firma elettronica avanzata in favore dei Soggetti Erogatori che le richiedono. Viene così definito dall’art. 55, comma 2, lett. b), del DPCM 22 febbraio 2013;
  • Cliente: il soggetto richiedente l’erogazione del servizio di FEA;
  • Firma Elettronica Avanzata (“FEA”): “insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”;
  • Firma Grafometrica: modalità di firma apposta su tablet grafometrico che possiede requisiti informativi e giuridici che consentono, nel rispetto delle regole tecniche previste, di qualificarla come FEA;
  • Documenti Informatici: Contratti offerti da Novomatic ai propri Clienti, sottoscrivibili mediante FEA ed atti negoziali ad essi connessi;
  • Nota Informativa: il presente documento predisposto da Novomatic ai sensi di quanto previsto dall’articolo 57, commi 1 e 3, del DPCM 22.2.2013.

2. INFORMAZIONI INTRODUTTIVE
Novomatic Italia S.p.A. è un Soggetto Erogatore di una soluzione di Firma Elettronica Avanzata e adotta la modalità di firma grafometrica per la sottoscrizione di tutti i documenti informatici per i quali si renderà possibile tale modalità di firma, utilizzando infrastrutture tecnologiche e software forniti da un Soggetto Realizzatore di primaria importanza a livello nazionale.
Nell’ambito della fattispecie FEA, particolare importanza riveste, appunto, la firma grafometrica, che viene apposta con una penna elettronica su un tablet ad alta sensibilità in grado di rilevare i dati biometrici del Cliente, quali: posizione della penna, pressione, tratto in aria (percorso della penna fino a 1 cm di distanza dalla tavoletta) e tempo. I dati biometrici sono utilizzati per attribuire univocamente la firma apposta al soggetto che l'ha eseguita attraverso apposito software.
I tablet in dotazione al personale Novomatic e autorizzati al servizio di firma grafometrica sono dotati di soluzione MDM Mobile Iron che impedisce l’installazione di software e le modifiche di configurazione dei dispositivi tablet, a meno che non si venga esplicitamente autorizzati.
Tramite sistema MDM (Mobile Device Management) viene forzata l’istallazione sui tablet grafometrici di soluzioni di antivirus/antimalware/firewall volti ad inibire tentativi di accesso abusivo ai dati. Tramite il sistema MDM sono, infine, disponibili adeguate funzionalità di remote wiping (ovvero funzionalità di cancellazione sicura applicabili, ad esempio, nei casi di smarrimento o sottrazione dei tablet).
I documenti che il Cliente sottoscrive con la Firma Grafometrica sono documenti informatici che, sul piano giuridico, hanno lo stesso valore dei documenti cartacei sottoscritti con firma autografa e che, sul piano tecnico, soddisfano i requisiti di sicurezza definiti dalla normativa vigente.

Il presente documento contiene tutte le informazioni tecniche e organizzative necessarie a garantire che la soluzione FEA erogata in modalità grafometrica da Novomatic sia conforme alle Regole Tecniche dettate dal DPCM 22 febbraio 2013 e al Provvedimento Generale Prescrittivo in tema di biometria del 12 novembre 2014 a firma del Garante per la Protezione dei Dati Personali. A tal fine vengono, altresì, descritte le regole generali e le procedure seguite da Novomatic per l’erogazione e l’utilizzo del servizio.

Questo Manuale, valido ed efficace anche per le altre società appartenenti al Gruppo Novomatic Italia che, in futuro, avessero necessità di avvalersi del servizio FEA qui richiamato e descritto, viene pubblicato ed è prelevabile in download dal sito internet www.novomatic.it, unitamente al Documento redatto dal Soggetto Realizzatore NAMIRIAL S.p.A. e denominato “Caratteristiche tecniche della soluzione di Firma Elettronica Avanzata Grafometrica e misure messe in atto in tema di privacy”.

3. RIFERIMENTI NORMATIVI

  • D.Lgs. 30 giugno 2003, n. 196: Codice per la protezione dei dati personali;
  • D.Lgs. 7 marzo 2005, n. 82: Codice dell’Amministrazione Digitale (“CAD”) e successive modifiche e integrazioni;
  • DPCM 22 febbraio 2013: Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali;
  • Garante per la Protezione dei Dati Personali: Provvedimento Generale Prescrittivo in tema di biometria del 12 novembre 2014.

4. IL SOGGETTO REALIZZATORE. LA SOLUZIONE NAMIRIAL.

Namirial è il Soggetto Realizzatore della soluzione di FEA utilizzata da Novomatic.

La tecnologia di Firma Grafometrica di NAMIRIAL S.p.A. (di seguito NAMIRIAL CA), denominata FirmaGrafoCerta, consente di dichiarare il processo di sottoscrizione come un processo di Firma Elettronica Avanzata Autografa (FEA), se inserita in un flusso organizzativo corrispondente ai requisiti normativi conformi alle specifiche Regole Tecniche di cui al DPCM 22 febbraio 2013.

Con la FEA possono essere gestiti tutti i documenti, salvo quanto previsto dall’articolo 25 del Codice dell’amministrazione digitale, le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, le quali, se fatte con documento informatico, devono essere sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale.

4.1. Caratteristiche

Gli elementi disponibili nell’apposizione della sottoscrizione da parte del cliente sono i dati biometrici e comportamentali, quali: Posizione della penna, Pressione, Tratto in aria (percorso che fa la penna quando non tocca nel device, fino a 1cm ), e Tempo. E’ possibile elaborare velocità e accelerazione ai fini di analisi forensi.

I dati biometrici vengono cifrati con un certificato definito “Masterkey” di cifratura 2048 bit o superiore.

I dati cifrati vengono successivamente inseriti nel Documento Informatico in pdf attraverso la creazione di una firma conforme allo standard europeo denominato PAdES. La soluzione prevede che, a sigillo di ogni firma apposta sul documento dal Cliente, sia applicato un certificato rilasciato da NAMIRIAL CA.

La chiave privata utilizzata per la firma digitale del modello PAdES è in possesso di NAMIRIAL CA., soggetto terzo, che fornisce idonea garanzia di indipendenza e sicurezza nella conservazione della suddetta chiave privata.

L’univocità della connessione tra la Firma Grafometrica ed il Documento Informatico sottoscritto dal Cliente viene garantita:

  • Dalla sottoscrizione effettuata davanti all’operatore, previa identificazione del Cliente firmatario;
  • dall’associazione dei valori grafometrici della firma con un’impronta informatica apposta sul Documento Informatico che identifica in modo univoco quanto sottoscritto dal Cliente;

In caso di contenzioso è possibile effettuare opportuna perizia grafologica, in modo del tutto equivalente ad una firma su carta ed i dati biometrici acquisiti da NAMIRIAL CA vengono interpretati dagli esperti grafologi attraverso strumenti sviluppati in collaborazione con l’A.G.I. (Associazione Grafologi Italiani).

NAMIRIAL CA fornisce, infatti, due software:

  • Firmacerta Forense, per la valutazione dei dati biometrici;
  • Namirial Grafologico, per la gestione delle misurazioni su immagini e scansioni;

Il software forense è oggi il più avanzato presente nel panorama nazionale ed ha ricevuto l’attestazione da parte dell’A.G.I., in quanto è in grado di fornire tutti gli elementi utili ad una perizia grafologica. E’ in grado di valutare anche firme apposte con soluzioni concorrenti purché i dati biometrici siano conformi agli standard ISO.

La soluzione ha ricevuto l’attestazione da parte della principale Associazione Grafologica Italiana, a riprova dell’impegno e della professionalità di Namirial.

4.2. Conformità alla normativa

La tecnologia di firma grafometrica scelta da Novomatic abilita l’adozione di una soluzione di FEA in piena conformità alle Regole Tecniche del DPCM del 22 febbraio 2013. La firma elettronica avanzata, normata al titolo V di tale Decreto, si caratterizza come un processo. Gli articoli relativi alla FEA (artt. da 55 a 60) sono osservati scrupolosamente con soluzioni tecniche innovative che sono state, peraltro, sottoposte a verifiche esterne per alcuni progetti già effettuati: Ispettori Banca D’Italia, Autorità per l’Energia, Agenzia Italiana del Farmaco e Garante Privacy.

In dettaglio, la soluzione garantisce pienamente i requisiti tecnici della FIRMA ELETTRONICA AVANZATA secondo quanto previsto dall’Art.56 delle Regole tecniche (DPCM 22 febbraio 2013) e prima ancora dall’Art. 1 del CAD:

  • l’identificazione del Cliente firmatario del documento;
  • la connessione univoca della firma al Cliente;
  • il controllo esclusivo da parte del Cliente firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici utilizzati per la generazione della firma;
  • la possibilità di verificare in ogni momento che l’oggetto della sottoscrizione non abbia subito modifiche dopo l’apposizione della firma;
  • la possibilità per il Cliente firmatario di ottenere evidenza di quanto sottoscritto;
  • l’individuazione del Soggetto Erogatore del servizio di firma elettronica avanzata;
  • l’assenza di qualunque elemento nell’oggetto della sottoscrizione, idoneo a modificare gli atti, fatti o dati nello stesso rappresentati
  • la connessione univoca della firma al documento sottoscritto.

4.3. Garanzie per il Cliente

Garanzia del controllo esclusivo del firmatario sul sistema di generazione della firma.
Durante la fase di firma, il sistema è sotto il controllo esclusivo del Cliente firmatario. Lo schermo del tablet grafo metrico mostra il documento completo, consentendo al firmatario di verificare personalmente il documento che da li a poco andrà, se desiderato, a sottoscrivere. Durante la procedura di firma lo schermo rappresenta in tempo reale il segno grafico tracciato ed apposite funzioni consentono in qualsiasi momento al firmatario di cancellare in caso di errori la firma senza che l’operatore possa in alcun modo interferire sino alla conclusione dell’operazione o all’annullamento del processo

Garanzia che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma.
Il documento informatico sottoscritto include le impronte informatiche (HASH) del contenuto soggetto a sottoscrizione. Il controllo della corrispondenza tra un’impronta raccolta e quella “firmata” all’interno delle firme permette di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma stessa.

Garanzia della possibilità per il firmatario di ottenere evidenza di quanto sottoscritto.
All’atto della presentazione del documento per la firma, il firmatario può visualizzare il contenuto in tutte le sue parti. Le caratteristiche del dispositivo di firma elettronica avanzata sono appositamente scelte per garantire un ottimo livello di leggibilità. Successivamente il firmatario potrà, nelle forme eventualmente convenute con Novomatic visualizzare il documento elettronico firmato per mezzo di uno strumento informatico standard, di cui avrà piena disponibilità, su supporto duraturo che permetta la conservazione e la stampa del documento in ogni momento (es. software gratuito PDF Reader).

4.4. Caratteristiche di sicurezza

La soluzione NAMIRIAL FirmaCerta lavora esclusivamente sulla RAM e utilizza un algoritmo che cifra i dati biometrici simultaneamente all’acquisizione non lasciando mai in memoria la totalità dei punti (comunicazione a blocchi). I dati biometrici sono quindi protetti in tempo reale e non sono mai disponibili contemporaneamente in chiaro sui dispositivi. Inoltre, sono inseriti immediatamente nel Documento Informatico in pdf senza possibilità di cancellazione se non eliminando il pdf firmato e riattivando un nuovo processo di firma sul documento originale.

I dati biometrici vengono fusi nel Documento Informatico in pdf direttamente sul terminale dotato di sistema operativo e non viaggiano mai separatamente in rete.

Le applicazioni, sviluppate con tecniche di anti-reversing e di obfuscation del codice, vengono sottoposte a rigorosi controlli di sicurezza sia nella fase di sviluppo (processo certificato 27001) che nella fase di test, attraverso l'utilizzo di static code analyzer. Vengono periodicamente eseguiti dei test con metodologia OcWASP (Open Web Application Security Project) e OPST (OSSTMM Professional Security Tester).

5. PROCEDURA DI FIRMA DEL DOCUMENTO INFORMATICO DA PARTE DEL CLIENTE.

Di seguito la sintesi del processo di firma dei Documenti Informatici proposti da Novomatic.

1. Il personale di Novomatic, ovvero procacciatori ad essa riconducibili, identifica il Cliente attraverso un documento di identità originale ed in corso di validità, di cui viene acquisita copia digitale. Tale procedimento di identificazione viene eseguito soltanto al primo accesso al servizio di firma elettronica raccolta ed avviene sotto il controllo del Cliente medesimo;
2. Il Cliente prende visione sul tablet del Documento Informatico e della Informativa relativa al servizio di FEA ivi riportata, che dovrà essere espressamente sottoscritta per accettazione;
3. Il Cliente firma direttamente sul tablet grafometrico con un effetto grafico simile alla classica firma su carta e constata visivamente l’inserimento della propria firma sul documento nei punti indicati sul tablet grafometrico;
4. Durante la fase di firma, il sistema è sotto il controllo esclusivo del Cliente firmatario. L’operatore Novomatic avrà modo di seguire la fase di apposizione della firma da parte del Cliente, ma non gli sarà consentita alcuna interazione nel processo;
5. Successivamente alla firma il Cliente potrà, secondo le modalità convenute con Novomatic in sede contrattuale, visualizzare il documento elettronico firmato gratuitamente per mezzo di uno strumento informatico standard, di cui avrà piena disponibilità, su supporto duraturo che permetta la conservazione e la stampa del documento in ogni momento.

Al termine del processo di firma il documento è sottoscritto, non è più modificabile e ne viene garantita l’integrità e la leggibilità nel tempo.

Il Soggetto Erogatore del servizio provvederà a conservare copia del documento di identità del Cliente, acquisita digitalmente, ed ogni altra informazione in grado di dimostrare la conformità dell’intero processo a quanto previsto dalla legge (cfr. art. 57, comma 1, lett. b), del DPCM 22 febbraio 2013.

6. COPERTURA ASSICURATIVA.

Il DPCM 22 febbraio 2013, all’art. 57, comma 2, prevede che al fine di proteggere i titolari della firma elettronica avanzata e i terzi da eventuali danni cagionati da inadeguate soluzioni tecniche, i soggetti che erogano o realizzano soluzioni di firma elettronica si dotano di una copertura assicurativa per la responsabilità civile rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali, per un ammontare non inferiore ad euro cinquecentomila.
Nell’interesse del Cliente e in ottemperanza a quanto sopra indicato, pertanto, Novomatic ha provveduto ad adeguarsi alle vigenti prescrizioni di legge.

 

 

aams

© 2017 Novomatic Italia S.p.A. Tutti i diritti sono riservati. Numero R.E.A. RM - 1268859 | P.Iva 03677960407

INFORMATIVA: Questo sito utilizza cookie di profilazione di terze parti per migliorare l’esperienza di navigazione degli utenti.

Se accedi ad un qualunque elemento sottostante questo banner acconsenti all’installazione dei cookie. Se vuoi saperne di più o negare il consenso all’installazione dei cookie clicca qui. Per saperne di piu'

Approvo