11/02/2023

Firma Autografa, Digitalizzata o Digitale? Guida alla Validità Legale e alla Mobile Forensics




Nel mondo “paperless” di oggi, i dispositivi mobili sono diventati i principali strumenti per la sottoscrizione di documenti. Dagli smartphone ai tablet utilizzati negli sportelli bancari, la firma non è più solo inchiostro su carta.

Tuttavia, per un esperto di Mobile Forensics o per un consulente tecnico, la confusione terminologica può essere fatale. Confondere una “firma digitalizzata” con una “firma digitale” può compromettere l’esito di una perizia o la validità di un contratto.

In questo articolo analizzeremo le differenze tecniche e giuridiche tra le varie tipologie di firma e il loro impatto sulle indagini digitali.

1. Il caos delle definizioni: Facciamo chiarezza

 

Spesso i termini vengono usati come sinonimi, ma tecnicamente (e legalmente) sono mondi opposti. Ecco la gerarchia:

A. Firma Autografa (La tradizione)

 

È la classica firma apposta manualmente con penna su un supporto cartaceo.

  • Caratteristiche: Analizzabile tramite perizia calligrafica tradizionale (pressione, tratto, velocità).

  • Contesto: Mondo analogico.

B. Firma Digitalizzata (L’inganno visivo)

 

Questa è la trappola più comune. Si tratta della semplice scansione o fotografia di una firma autografa, poi incollata come immagine (es. .jpg o .png) su un documento elettronico (Word, PDF).

  • Natura: È una semplice rappresentazione grafica.

  • Problema Forense: Non contiene metadati crittografici che legano univocamente l’autore al documento. È facilmente falsificabile con un semplice “copia-incolla” (Photoshop).

C. Firma Elettronica Avanzata (FEA) e Grafometrica

 

Qui entriamo nel territorio della Mobile Forensics. Spesso realizzata su tablet o pad specifici (es. in banca o dai corrieri), questa firma rileva i dati biometrici del firmatario.

  • Dati acquisiti: Ritmo, velocità, pressione, accelerazione e coordinate spaziali.

  • Sicurezza: I dati biometrici vengono solitamente cifrati e inglobati nel documento.

D. Firma Digitale (Il “Gold Standard”)

 

Nota legalmente come Firma Elettronica Qualificata (FEQ). Non riguarda la “grafia” del nome, ma è un processo matematico basato su crittografia asimmetrica (chiave pubblica e privata), spesso utilizzando token USB, Smart Card o sistemi OTP remoti.

  • Garanzie: Autenticità, Integrità (il documento non è stato modificato dopo la firma) e Non ripudio.

2. La Validità Legale in Italia (CAD e eIDAS)

 

In ambito forense, la domanda cruciale è: “Quanto vale questa firma davanti a un giudice?”. Il riferimento è il CAD (Codice dell’Amministrazione Digitale) e il regolamento europeo eIDAS.

Tipo di Firma Valore Probatorio
Firma Digitalizzata (Semplice) Debole. È liberamente valutabile dal giudice. In caso di disconoscimento, spetta a chi la presenta provare che è autentica (inversione dell’onere della prova a svantaggio del presentatore).
Firma Autografa Forte. Fa piena prova fino a querela di falso.
Firma Elettronica Avanzata (Grafometrica) Forte. Ha l’efficacia della scrittura privata (art. 2702 c.c.). L’onere della prova è a carico di chi vuole disconoscerla.
Firma Digitale (Qualificata) Massimo. Presunzione di riconducibilità al titolare. Equivale (e supera) la firma autografa con autentica notarile in termini di sicurezza informatica.

3. L’approccio della Mobile Forensics

 

Perché questo argomento è cruciale per chi si occupa di analisi forense su dispositivi mobili?

Poiché sempre più contratti vengono “firmati” su smartphone o tablet, il perito forense deve saper distinguere cosa ha davanti.

Analisi dei Metadati

 

Di fronte a un PDF estratto da uno smartphone, il forensic examiner non deve limitarsi a guardare l’aspetto visivo. Deve analizzare la struttura del file:

  • Hash del file: Per verificare l’integrità.

  • Certificati: Verificare se il documento è firmato con un certificato valido, revocato o scaduto.

  • Biometria (nel caso di FEA): Se si ha accesso al dato grezzo (spesso protetto), si possono analizzare i vettori di pressione e velocità, richiedendo strumenti specifici di grafometria forense, non semplice calligrafia.

Il rischio della “Firma Digitalizzata” sui Mobile

 

Molte app per smartphone permettono di “disegnare” la firma con il dito sullo schermo o di incollare una foto della firma.

Attenzione: Dal punto di vista forense, una firma disegnata col dito su uno schermo capacitivo (senza rilevazione di pressione) è spesso equiparata a una firma elettronica semplice (basso valore legale), poiché manca la precisione biometrica necessaria per identificare univocamente il firmatario.

Il Protocollo Operativo: Le Best Practices per la Certificazione della Firma

 

In ambito di Mobile Forensics, quando un perito si trova a dover analizzare un documento firmato su un dispositivo (smartphone, tablet o PC), non può limitarsi a un’osservazione visiva. Deve seguire un rigoroso protocollo tecnico per trasformare un file in una prova inoppugnabile.

Ecco le fasi operative fondamentali e le tecniche utilizzate per la certificazione:

1. Acquisizione e Catena di Custodia

 

Prima ancora di analizzare la firma, il perito deve garantire che il reperto digitale non venga alterato.

  • Bit-Stream Image: Si lavora sempre su una “copia forense” (bit-a-bit) del file o del dispositivo, mai sull’originale.

  • Calcolo dell’Hash: Appena acquisito il documento (es. PDF, XML, P7M), si calcola l’impronta digitale del file (MD5, SHA-256). Questo valore servirà a dimostrare in tribunale che il documento analizzato è identico a quello estratto, bit per bit.

2. Analisi Tecnica: Distinguere per Certificare

 

Il metodo di analisi cambia radicalmente in base alla tipologia di firma identificata.

A. Validazione della Firma Digitale (FEQ)

 

Se il documento presenta una Firma Digitale (basata su certificati crittografici), il perito esegue una Verifica Crittografica:

  • Verifica della CA (Certification Authority): Si controlla che l’ente emittente sia nella Trusted List europea.

  • Controllo Revoche (OCSP/CRL): Si interroga il server dell’ente certificatore per verificare se, al momento della firma (e non solo oggi), il certificato fosse valido, non scaduto e non revocato.

  • Verifica di Integrità: Si conferma che l’hash del documento contenuto nella busta crittografica corrisponda all’hash ricalcolato. Se anche un solo bit è cambiato (es. un salvataggio successivo), la firma “si rompe” e il software segnala l’anomalia.

B. Analisi della Firma Grafometrica (FEA)

 

Questa è la sfida più complessa nella Mobile Forensics. I dati biometrici (pressione, velocità, accelerazione, coordinate X/Y) sono solitamente criptati all’interno del PDF secondo lo standard ISO/IEC 19794-7.

  • Estrazione dei Vettori: Il perito, spesso su autorizzazione del giudice, deve richiedere la chiave privata per decriptare il pacchetto biometrico.

  • Analisi Comparativa: Una volta ottenuti i dati grezzi (“il video” della firma), si utilizzano software specifici (come Namirial o Wacom tools) per confrontare il “ductus” (il movimento) con firme di comparazione acquisite su dispositivi simili.

  • Coerenza del Device: Si verifica nei metadati se il dispositivo di cattura (es. un tablet Samsung con S-Pen o una tavoletta Wacom) era tecnicamente in grado di registrare la pressione (livelli di pressione 1024/2048/4096). Se il device non supporta la pressione, il valore probatorio crolla.

C. Analisi della Firma Digitalizzata (Immagine Semplice)

 

Nel caso di una semplice scansione incollata (“Firma Elettronica Semplice”), l’analisi si sposta sulla Image Forensics:

  • Analisi dei Metadati (Exif/XMP): Si cerca traccia del software che ha generato il file (es. “Photoshop”, “Preview”, “CamScanner”).

  • ELA (Error Level Analysis): Si analizza il livello di compressione dei pixel. Se la firma ha un livello di compressione diverso dallo sfondo del foglio, è un forte indizio che l’immagine è stata incollata a posteriori (montaggio).

  • Artefatti Visivi: Ricerca di “halos” (aloni) o bordi pixelati che denotano un copia-incolla grossolano.

3. La Relazione Tecnica

 

Al termine, il perito redige una relazione che non esprime pareri soggettivi (“sembra autentica”), ma certezze tecniche:

  1. Il documento è integro? (Sì/No in base all’Hash)

  2. L’identità del firmatario è garantita da un certificato qualificato? (Sì/No)

  3. I dati biometrici (se presenti) sono compatibili con il saggio grafico dell’autore?

Nota per i Legali: In assenza di questi passaggi tecnici, una stampa cartacea di un documento nativo digitale è priva di metadati e perde gran parte del suo valore probatorio in caso di contestazione.

Conclusione

 

La differenza tra una firma valida e carta straccia digitale risiede nella tecnologia sottostante, non nell’aspetto grafico.

Per i professionisti della Mobile Forensics, la sfida è duplice:

  1. Acquisire correttamente il documento digitale dal dispositivo senza alterarne i metadati.

  2. Classificare correttamente la tipologia di firma per fornire al legale o al giudice un quadro chiaro del valore probatorio dell’evidenza.

Non basta che ci sia scritto un nome: bisogna validare la catena di fiducia crittografica o biometrica che lo sostiene.

FABRIZIO

Articoli recenti