La blockchain per firme elettroniche ancora più sicure

Per prima cosa, spieghiamo in breve e in parole semplici che cos'è la blockchain. La traduzione del termine, ovvero "catena di blocchi", può aiutarci a chiarire il modo in cui funziona questa tecnologia, che può essere definita come un database decentralizzato in cui blocchi di dati criptati e collegati tra loro tramite un riferimento crittografico (detto hash) sono salvati su diversi "nodi", ovvero singoli computer. I blocchi possono essere aggiunti al database, ma non possono essere eliminati né modificati.

Immaginiamo di avere un documento molto importante. Invece di conservarlo in una singola copia nel caveau di una banca - che può subire un furto, rimanere distrutto in un incendio, ecc - lo incidiamo in più copie su un materiale che non può essere alterato, rinchiudiamo ogni copia in una scatola chiusa a chiave che la protegge da occhi indiscreti, e distribuiamo le varie copie a persone diverse, che le terranno nelle loro casseforti.

Come puoi facilmente capire, la sicurezza del mio documento ora è di molto aumentata, perché è stato reso immutabile e la sua conservazione è stata decentralizzata, in modo che se anche uno dei "nodi" fosse attaccato e il documento alterato o distrutto, resterebbe ancora intatto nella sua forma originale negli altri.

Non solo, ma la blockchain offre anche importantissime garanzie di trasparenza, dal momento che tutte le parti possono verificare indipendentemente le transazioni attraverso sistemi crittografici, non dovendosi per così dire "fidare" di una piattaforma di servizi.

Un simile sistema è utilissimo in tutte quelle circostanze in cui ci sia bisogno di garantire l'inalterabilità e la sicurezza di un insieme di dati, proprio come nel caso delle firme elettroniche.

Come abbiamo raccontato tante volte, esistono diverse tipologie di firma elettronica con livelli di sicurezza crescenti, dalle più vulnerabili firme elettroniche semplici alla firma elettronica avanzata e a quella qualificata, che offrono garanzie a norma di legge.

Ma questo non significa che le firme, anche le più sicure, siano esenti da vulnerabilità informatiche, che diventa particolarmente importante arginare laddove si parla di documenti di rilevanza cruciale (come contratti, atti di compravendita immobiliare, bilanci di impresa, ecc). Tra i punti di maggiore criticità legati alla cybersecurity ci sono:

• Violazioni dei server centralizzati in cui sono conservati i dati delle operazioni
• Manipolabilità degli audit
• Mancanza di prove temporali universali
• Fallimento dei provider di servizi (ad esempio i provider di firma o quelli di e-archiving) o altre problematiche di business, legali o fisiche (come disastri naturali) che rendono i dati conservati non più accessibili o sicuri
• Documenti falsificati indistinguibili dagli originali grazie all'intelligenza artificiale generativa

Queste vulnerabilità aprono la strada a:

• Furti di dati
• Frodi
• Contestabilità delle firme
• Dubbi sul loro valore legale

Per le sue caratteristiche e applicazioni, la tecnologia blockchain può aiutare a superare queste sfide attraverso soluzioni tecnologiche avanzate.

La blockchain può contribuire a incrementare la sicurezza e la fiducia nell'uso della firma elettronica in diversi modi, offrendo soluzioni concrete per professionisti e aziende.

Una volta che un dato viene registrato nel database, non può essere alterato né eliminato. E questo perché ogni "blocco" della "catena" è legato al precedente tramite hash crittografico, quindi per alterarne uno occorrerebbe alterare anche tutti quelli successivi. Il che, dato che parliamo di database decentralizzati composti da diversi nodi, richiede risorse di tempo ed energia tali da renderlo nei fatti impossibile.

Gli algoritmi di crittografia avanzati che sono applicati ai dati trasmessi tramite blockchain assicurano la massima protezione e confidenzialità delle informazioni, incluse quelle più sensibili (come firme, dati biometrici, e così via). Questo livello di sicurezza informatica è particolarmente importante nel contesto GDPR, dove la protezione dei dati personali è cruciale per la conformità normativa.

Tuttavia, è importante notare che l'utilizzo della blockchain per dati personali presenta sfide tecniche significative: l'European Data Protection Board raccomanda infatti di evitare, quando possibile, la conservazione di dati personali direttamente sulla blockchain se questo entra in conflitto con i principi di protezione dei dati, in particolare il diritto alla rettifica e alla cancellazione.

La certificazione tramite blockchain offre un'unica fonte di verità sull'autenticità di un documento, prevenendo l'uso di possibili falsi resi particolarmente realistici e indistinguibili dagli originali grazie all'uso dell'intelligenza artificiale generativa. In un'epoca in cui distinguere il vero dal falso, grazie all'IA, diventa sempre più difficile anche in ambito documentale, questa tecnologia permette di avere fondamentali certezze sui dati.

Mentre in un database centralizzato i dati vengono conservati in un unico server che può essere violato, un sistema blockchain si basa su un numero di nodi che vanno da poche unità a migliaia, nei quali i dati sono distribuiti in un numero conseguente di copie crittografate. Questo rende ad esempio gli attacchi informatici a scopo di ricatto (ransomware) del tutto inefficaci, e in generale incrementa in modo esponenziale la sicurezza dei dati, che non dipendono più da un unico punto di conservazione.

Dal momento che le parti coinvolte possono verificare in modo autonomo le transazioni, senza doversi "fidare" di quanto affermato da un provider di servizi, la trasparenza risulta senza alcun dubbio aumentata, incrementando così anche la fiducia nelle firme e nei documenti.

Vediamo ora come può funzionare un percorso di firma elettronica all'interno di una soluzione che utilizza la blockchain:

• Il documento viene preparato e caricato nella piattaforma di firma
• Il sistema crea un hash crittografico unico dal documento stesso
• Il firmatario sigla il documento usando una chiave privata
• La piattaforma combina hash, identità digitale verificata, marca temporale e geolocalizzazione per fornire massima tracciabilità alla firma
• La transazione viene quindi registrata nel database distribuito
• I nodi validano la legittimità della transazione
• Le parti coinvolte ricevono una prova della registrazione crittografica della transazione

Fino a qui, la blockchain sembra in grado di risolvere tutte le problematiche che possono affliggere le firme elettroniche. Tuttavia, questa tecnologia non è priva di potenziali criticità e di rischi di cybersecurity, tra cui non possiamo non citare:

• Attacchi alle infrastrutture periferiche - quelli che usano la blockchain sono, come abbiamo spiegato, database decentralizzati. Tuttavia nei servizi di questo tipo esistono dei punti di centralizzazione, come ad esempio le interfacce, che possono essere vulnerabili agli attacchi, soprattutto al phishing.
• Crittografia debole - se implementata seguendo le migliori pratiche, la crittografia è praticamente inscalfibile. Al contrario, se questa è debole, i cybercriminali potrebbero riuscire a decifrarla.
• Attacchi sui nodi nei sistemi piccoli - nei sistemi a pochi nodi, come molti dei sistemi blockchain privati, basta comprometterne alcuni per mettere sotto scacco il sistema.
• Mancanza di competenze specializzate - l'implementazione e la gestione di sistemi blockchain richiedono competenze tecniche avanzate e formazione specifica che non tutti i professionisti e le aziende possiedono.

Apriamo un poco lo sguardo dalle firme elettroniche alla più generale questione della gestione documentale. Esistono ormai diverse piattaforme e soluzioni che propongono servizi che combinano questa tecnologia con la gestione dei documenti, ma come funzionano? E in che modo la blockchain può influire sulla gestione documentale?

Com'è facile capire, sono diversi i modi in cui questa tecnologia può essere applicata alla gestione dei documenti, ad esempio, di un'azienda, ma anche di un ente della pubblica amministrazione:

• Incrementando la sicurezza di conservazione dei documenti, che risultano salvati su un database decentralizzato
• Rendendo i documenti inalterabili
• Garantendo trasparenza e tracciabilità dei documenti a tutte le parti coinvolte, limitando i contenziosi
• Riducendo il rischio di frodi e contraffazioni
• Diminuendo il consumo di carta grazie all'archiviazione digitale sicura della documentazione 

Il regolamento eIDAS 2.0 (Regolamento UE 2024/1183) è entrato in vigore il 30 maggio 2024 dopo essere stato approvato dall'Europa l'11 aprile 2024. Introduce nuovi servizi fiduciari qualificati, tra cui i registri elettronici. Questi ultimi, assimilabili dal punto di vista tecnologico alla blockchain, fungeranno appunto da sistema di certificazione della registrazione di dati, garantendone immutabilità e sicurezza.

Diverse istituzioni pubbliche e aziende hanno già adottato la blockchain come modalità di certificazione di documenti di grande importanza, dai diplomi di laurea emessi da alcune università ai bilanci aziendali, passando per un impiego in ambito giornalistico per combattere le fake news.

Anche il Passaporto Digitale di Prodotto (DPP, digital product passport) che entrerà progressivamente in vigore dal 18 febbraio 2027, utilizza la blockchain per fornire una traccia di origine dei prodotti a beneficio dei clienti, che sono più informati nelle loro scelte di consumo, garantendo tracciabilità nella supply chain.

Anche se al momento le applicazioni della blockchain nell'ambito della certificazione sono a macchia di leopardo, non mancano le sperimentazioni istituzionali, come la European Blockchain Service Infrastructure (EBSI) promossa dalla Commissione Europea, e stanno emergendo standard specifici che potrebbero aprire le porte a un'entrata di questa tecnologia nella conformità normativa.

È dunque possibile che fra qualche anno questa tecnologia diventi il nuovo standard per la certificazione documentale nel settore pubblico e privato. Tuttavia, non siamo ancora a quel punto e occorrerà attendere ulteriori sviluppi normativi.

Altra questione di grande importanza a livello aziendale ma anche per le transazioni tra privati o tra privati e aziende è quella degli smart contract. Questi sono dei contratti digitali che hanno in realtà forma di software informatici, i quali eseguono automaticamente determinate istruzioni presenti nel contratto stesso al verificarsi di precise condizioni.

Il tutto viene registrato in blockchain, per cui il contratto e le regole e condizioni stabilite tra le parti risultano immutabili e inalterabili.

Facciamo un esempio:

• Le due parti stabiliscono un contratto di fornitura in forma di smart contract, che riguarda una partita di magliette spedite da una ditta di produzione tessile a un rivenditore. Le condizioni del contratto vengono scritte in codice informatico e certificate tramite blockchain.
• Lo smart contract monitora la spedizione della merce e, al momento della consegna e della verifica dell'idoneità della merce stessa, fa partire automaticamente il pagamento, senza bisogno di ulteriori interventi, offrendo sicurezza alle parti e snellendo il lavoro amministrativo in azienda.

Gli smart contract possono rappresentare un'importante innovazione per la gestione di accordi tra le parti, in quanto offrono forti garanzie di adesione ai termini del contratto. Il loro ambito di applicazione, però, è limitato a quei casi d'uso in cui un software può avverare le condizioni di contratto in modo automatico, senza l'intervento umano.

Oggi come oggi, la legge nazionale ed europea dà alla figura del prestatore di servizi fiduciari qualificato il compito di fornire la tecnologia di firma e certificarne l'apposizione in modo sicuro e in conformità con la normativa.

La validità delle firme elettroniche, nei confini stabiliti dalla legge, è dunque già garantita, a patto di utilizzare una tipologia di firma sicura e adatta all'importanza dei documenti da firmare.

La blockchain può tuttavia rappresentare una sicurezza in più che è possibile scegliere di aggiungere per documenti di grande importanza, come contratti, atti di compravendita, bilanci di esercizio, polizze assicurative e in generale per quei dati che si desidera proteggere dalle falsificazioni, dai data breach e dal tempo.

In particolare, può essere utile nel settore:

• Sanitario, per consensi informati e atti clinici - dove la sicurezza dei dati sensibili è cruciale
• Assicurativo e bancario - per garantire tracciabilità e immutabilità delle transazioni finanziarie
• Supply chain - per certificare l'origine e il percorso dei prodotti lungo tutta la filiera
• Pubblica amministrazione - per la certificazione di atti ufficiali e registri pubblici

Desideri cominciare a implementare la blockchain nella tua azienda? Ecco alcune buone pratiche che dovresti tenere a mente, specialmente per professionisti che si avvicinano per la prima volta a queste soluzioni tecnologiche:

• Non lasciarti abbagliare dall'hype, e adottala solo dove realmente serve, senza inutile dispendio di risorse ed energie
• La formazione del tuo team è cruciale per garantire un'implementazione piena e un corretto andamento del tuo progetto di trasformazione tecnologica, che non può prescindere dalla presenza di professionisti dalle competenze adeguate
• Valuta con attenzione le soluzioni a tua disposizione, scegliendone una che metta al centro buone pratiche di cybersecurity
• Stabilisci processi e regole chiare per la gestione del sistema
• Assicurati che la soluzione scelta sia conforme al GDPR e alle normative sulla protezione dei dati

La risposta è: al momento attuale no. La normativa europea eIDAS e il Codice dell'Amministrazione Digitale offrono già ampie garanzie sul valore legale delle firme e sulla loro incontestabilità in sede giuridica, a patto ovviamente, come dicevamo, di scegliere una tipologia dalla sicurezza elevata e un prestatore di servizi fiduciari qualificato che assicuri conformità.

Yousign garantisce la sicurezza e la validità legale delle tue firme elettroniche grazie alla piena conformità al regolamento eIDAS, senza necessità di blockchain per la maggior parte dei casi d'uso aziendali. La nostra soluzione offre già tutti gli elementi di sicurezza informatica, tracciabilità e valore probatorio richiesti dalla normativa europea e italiana.

Per i casi più critici che richiedono un livello di certificazione ulteriore, Yousign può integrare soluzioni di notarizzazione blockchain su richiesta, offrendo la massima flessibilità per professionisti e aziende con esigenze specifiche.