Il non ripudio di eventi o azioni nelle transazioni elettroniche
Quando parliamo di sicurezza informatica, il non ripudio assume un’importanza fondamentale. Si tratta del concetto che, in diversi casi, può dare valore ad un documento informatico, soprattutto se è stata apposta una firma digitale.
Consente inoltre di assicurare a chi sfrutterà tale documento una certa sicurezza. Senza la possibilità che il firmatario possa contestare in seguito la firma.
Oggi più che mai, in un mondo fatto di transazioni informatizzate, tale concetto appare quindi imprescindibile. Con il non ripudio, tutti coloro che parteciperanno ad una transazione non potranno rinnegarla.
Si tratta però di un concetto che non tutti padroneggiano adeguatamente. Per tale ragione, abbiamo deciso di dedicargli questa guida.
Cosa si intende per non ripudio
Il concetto di non ripudio è stato introdotto in ambito giuridico. Si tratta del contesto per il quale un soggetto non può negare o rifiutare un’azione, un evento, un impegno.
Una volta che il consenso è stato dato, insomma, tale consenso non può essere ritirato.
Ma il non ripudio non è fondamentale solamente in ambito legale, quando per esempio si firma un contratto. Dato l’elevato numero di transazioni digitali e di trasmissioni di documenti elettronici, questo concetto è stato esteso anche alle azioni elettroniche e digitali.
E, nello specifico ambito digitale, è stato approfondito all’interno di normative internazionali differenti.
La ISO/IEC 27000:2018, ad esempio, lo definisce come la possibilità di dimostrare un evento o un’azione, oltre che le sue entità originarie.
Capiamo bene, grazie a questa definizione, che si tratta di un concetto molto ampio. I suoi ambiti di applicazione sono vari, come testimoniato dalla norma UNI CEN ISO IEC 27002:2022 che lo ha approfondito.
Il non ripudio va garantito nei trasferimenti di informazioni, ma anche per gestire processi di business. Inoltre, anche applicazioni e crittografia, al fine di garantire la massima sicurezza, devono prevedere il principio del non ripudio.
Una specifica forma di non ripudio è quella che riguarda i dati. In questo caso, intendiamo l’impossibilità per un eventuale firmatario di negare la sua firma. Chi ha firmato un documento, o inviato determinati dati, non può assolutamente negare a posteriori la firma o l’invio.
In questo modo, viene garantita la validità del documento e dei dati.
Anche questa tipologia di non ripudio è fondamentale nelle transazioni, dato che la validità di dati e documenti in quest’ambito si rivela fondamentale.
Come garantire il non ripudio: gli strumenti a disposizione
È ovvio che, al fine di garantire il non ripudio, esistono diversi strumenti atti a dimostrare un evento, una transazione, l’invio di dati, una firma.
Lo strumento chiave, soprattutto quando si tratta di documenti, è la firma digitale. Infatti, grazie alla crittografia e agli algoritmi che la sottendono, una firma digitale viene considerata come una sorta di garanzia di non ripudio.
Questo tipo di firma, da sola, può confermare che i dati contenuti nel documento sono autentici.
Solo il firmatario può firmare digitalmente un documento, dato che alla chiave pubblica della firma digitale viene ad associarsi anche quella privata. Apporre la firma digitale, tra l’altro, oltre che per garantire il non ripudio serve anche per garantire, al contempo, che i dati non si possano modificare successivamente.
Per sua caratteristica, infatti, la firma digitale deve garantire che il documento acquisisca, mediante la firma stessa, non ripudio, autenticità e integrità.
In merito a queste due caratteristiche, queste indicano rispettivamente l’attendibilità del firmatario e la certezza che il documento non sia stato manomesso.
La firma digitale, in sostanza, protegge i partecipati ad eventi o transazioni: il firmatario non potrà avere ripensamenti in futuro.
Ma la firma digitale non è l’unico strumento che permette di garantire il non ripudio. Anche l’utilizzo di blockchain, la crittografia, percorsi di audit e eventuali timestamps lo garantiscono.
In merito alla crittografia, garantisce ovviamente la segretezza dei dati, oltre che la sicurezza che chi invia i dati non possa negare di averlo fatto.
La marca temporale (o timestamp), invece, serve per poter certificare data e ora. Composta da una sequenza di caratteri alfanumerici univoca, è in grado di certificare un contenuto.
Al suo interno, oltre ce data e ora, vengono indicati anche numero di serie, identità del sottoscrittore, chiave per la verifica.
Il ruolo della blockchain
Tra i vari strumenti che agiscono come garanzia di non ripudio, la blockchain ha acquisito, nel tempo, un ruolo di spicco.
Com’è noto, infatti, la sicurezza della blockchain risiede nel suo meccanismo “a blocchi”, che vengono protetti da crittografia. In questo modo, eventuali modifiche vengono impedite, anche perché i vari blocchi sono connessi tra loro, e eventuali manomissioni verrebbero immediatamente scoperte.
Allo stesso modo, tutte le transazioni sono perfettamente tracciabili, e questo garantisce il non ripudio.
Altre misure di garanzia
E ancora, per garantire il non ripudio, esistono tutta una serie di misure, tecniche e organizzative, che possono essere utili.
L’utilizzo di protocolli di sicurezza per lo scambio di informazioni, ad esempio, garantisce che i dati siano integri e che non vengano modificati. Allo stesso modo, la possibilità di consultare un registro relativo alle informazioni permette di risalire al loro creatore, oltre che ad eventuali modifiche.
A queste misure di garanzia di tipo tecnico, si associano anche quelle organizzative.
Per garantire il non ripudio, dati e informazioni vanno archiviati in maniera sicura. Per la protezione di informazioni e dati, inoltre, devono essere previste e disposte chiare procedure di sicurezza.
Il non ripudio in Italia: a che punto siamo?
Al momento, nel nostro Paese, siamo in una sorta di fase di stallo. Sebbene sia stato disposto un Regolamento Europeo in merito, in Italia tale regolamento non è stato ancora ufficialmente pubblicato.
Ci riferiamo al Regolamento eIDAS 2, che riguarda diversi aspetti di autenticazione e identificazione elettronica e aggiornerà il precedente Regolamento.
Il nuovo regolamento, in particolare, introduce il Portafoglio Europeo di Identità Digitale.
Data la diffusione di strumenti come questi nuovi portafogli digitali, che consentono ai cittadini un’autenticazione sicura, è stato necessario un aggiornamento.
La garanzia di non ripudio è fondamentale in questo contesto. Sarà necessario garantirlo nelle transazioni, anche non concluse. Inoltre, permetterà di verificare la provenienza, l’integrità e la genuinità delle informazioni.