Il non ripudio è una nozione legale e la legge non è esente da contesto. Dalla visione restrittiva e crittografica delle cose, un MAC mostra che qualcuno che conosceva la chiave MAC era coinvolto in qualche punto; ma sia il cliente (tu) che la banca tecnicamente "conoscono" quella chiave (la "conosci" perché è incorporata nel tuo token digipass, mentre il server della banca contiene lo stesso valore per verificare il valore inserito) . Pertanto, il crittografo dice: il MAC non aiuterà a dimostrare le cose in caso di contenzioso tra i due proprietari di chiavi, tu e la banca.
I giudici e gli avvocati non sono però crittografi. Quello che vogliono è fare una valutazione olistica di chi è più probabilmente il truffatore in quel contesto. Il server della banca contiene il segreto, ma quel server potrebbe trovarsi in un bunker con pesanti controlli di accesso (videocamere, smart card per connessioni sysadmin, moduli di sicurezza hardware ...). La banca proverà a fornire ampie prove del fatto che l'elusione dei propri sistemi di protezione senza lasciare traccia sarebbe costata molto più dell'importo in contenzioso, rendendo così poco plausibile l'utilizzo del noto tasto MAC per calcolare il valore MAC contestato. Ma il valore MAC esiste, quindi deve essere stato calcolato sul lato cliente .
È tutta questione di onere della prova e dipende molto dal Paese. Quando i paesi stabiliscono leggi per le "firme elettroniche", di solito fanno molta attenzione a non essere troppo specifici sugli elementi tecnici coinvolti nel processo. Invece, dichiarano che ci sono "buoni sistemi" che sono stati debitamente certificati sotto il controllo di un ente governativo, o di una società di revisione accreditata, che sono "difficili da sovvertire"; cosicché, in caso di contenzioso, spetterà al cliente trovare prove della contraffazione della firma, piuttosto che richiedere alla banca prove che la firma sia autentica. Un sacco di mezzi tecnici possono essere impiegati per ottenere questo stato "certificato buono"; firme digitali crittografiche (come RSA o DSA) sono convenienti per questo, ma non sono né strettamente necessarie né sufficienti.
(Se leggi francese, vedi come fa la Francia .)
Un altro aspetto del problema è minacce . Questa è la pietra angolare delle "firme", il tipo che fai con una penna su un pezzo di carta. Tali firme possono di solito essere contraffatte, molto più facilmente di quanto non facciano realmente aprire un gettone digipass o hackerare su un server bunkerizzato. E, in effetti, la banca contiene necessariamente nei suoi vault, da qualche parte, un modello di riferimento per la tua firma, in modo da poterlo imitare. Le firme manoscritte continuano a "funzionare", legalmente parlando, a causa del seguente cambiamento: contraffare una firma o, al contrario, ripudiare la propria firma, è un reato gravemente punito. Rischiare anni di carcere per una questione così banale come una transazione commerciale sarebbe irrazionale.