Blockchain e diritto: primi passi normativi e cenni problematici
Introduzione
Prima di entrare nel vivo della materia, richiamiamo i parametri normativi di riferimento: il Regolamento EU 910/2014 (cd. eIDAS) e l'art. 8-ter del D.Lgs. 135/2018 (cd. Decreto Semplificazioni 2019).
Il Regolamento eIDAS disciplina tutto ciò che è relativo ai
sistemi di identità e identificazione digitale, agli effetti
giuridici di tali sistemi - basati su certificati qualificati- e alla garanzia di
interscambio e interoperabilità in ambito europeo[1].
Il Decreto Semplificazioni 2019 ha, invece, introdotto alcune definizioni volte
a dare un primo riconoscimento giuridico alle tecnologie in analisi,
determinando quali effetti giuridici sono ad esse ricollegabili mediante un
riferimento diretto al Regolamento eIDAS.
La maggior parte della disciplina, però, veniva rimandata a una normazione tecnica secondaria a cura di AgID[2], la quale purtroppo non ha mai visto la luce.
Nei cenni che si forniranno in questo contributo si intende porre l'attenzione sulla distanza che ancora pare incolmabile fra l'essere della tecnologia e il dover essere del diritto.
1. Cenni di informatica: Dlt e Blockchain
L'esame della normativa e delle problematiche ad essa connesse non può prescindere da un breve cenno esplicativo.
Cosa sono queste tecnologie?
Siamo nel mondo delle Distributed Ledger Technologies (DLT), tecnologie che si basano sul peer-to-peer o meglio definite come "registri elettronici distribuiti geograficamente su un'ampia rete di nodi[3], i cui dati sono protetti da potenziali attacchi informatici grazie al fatto che le stesse informazioni sono ridondate, verificate e validate mediante l'adozione di diversi protocolli comunemente accettati da ciascun partecipante. La gestione di tali registri è di fatto decentralizzata[4], in quanto l'archiviazione in modo sicuro di informazioni criptate è basata su algoritmi di consenso che coinvolgono tutti o parte dei partecipanti, ovvero su meccanismi utili a far sì che tutti i nodi della rete concordino sull'insieme di transazioni valide"[5].
Il necessario consenso di tutti i nodi è l'elemento cui fa riferimento il termine "distributed", poiché tutti contribuiscono a garantire la validità e la sicurezza del registro, senza la possibilità di esercitare un potere decisionale unilaterale su tutto il registro[6], impedendo ad esempio la modifica dei dati in esso contenuti. Ciò è dovuto al fatto che i dati vengono salvati in modo ridondante su ogni nodo, in modo che qualsiasi di essi può verificare l'integrità di altri nodi confrontandoli con i dati salvati sul proprio registro.
Le blockchain sono un sottoinsieme delle DLT, in cui i dati delle transazioni sono ordinati e collegati nei registri secondo sequenze temporali e l'alterazione di blocchi di sequenze precedenti dovrebbe impedire l'ulteriore validazione di quelli nuovi, determinando così un sistema potenziale di "inalterabilità" e "immutabilità" dei dati storici delle transazioni.
Sono tecnologie che vogliono assicurare un elevato grado di resistenza a possibili attacchi informatici, anche se "tecnicamente" non è impossibile immaginare un attacco in grado di alterare i dati dei registri della blockchain, mentre già sono noti tipi di attacchi che importano l'indisponibilità del servizio[7] o altri che possono determinarne una minore affidabilità[8].
2. Blockchain: approccio interpretativo alla normativa e cenni problematici
L'art. 8-ter, co 1 del Decreto Semplificazioni 2019 riporta "si definiscono «tecnologie basate su registri distribuiti» le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l'aggiornamento e l'archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili."
Si nota, sin da una prima lettura, come il legislatore abbia perso di vista la differenza che corre fra le DLT in generale e la blockchain come sottogruppo, arrivando a farle coincidere. Da questa sovrapposizione non può che derivarne che il legislatore stia includendo nella definizione la più vasta tipologia di DLT, ovvero le blockchain, ma esclude dal riconoscimento le "altre" tecnologie DLT[9].
Proseguendo nell'analisi della definizione, si deve poi
porre l'attenzione ai requisiti della "inalterabilità" e "immodificabilità" dei
dati salvati nei registri e crittografati.
Non sono caratteri, però, a cui rispondono in assoluto tutte le blockchain. Tendenzialmente le più diffuse e famose fra il pubblico garantiscono un alto livello (ma non tecnicamente assoluto) di immodificabilità, mentre quelle neonate o poco affermate potrebbero proprio non garantirlo, pur sfruttando algoritmi di registrazione dei dati in sequenza temporale ridondati su nodi geograficamente diffusi.
Si potrebbe allora pensare che il legislatore intenda
riconoscere e disciplinare solo blockchain di tipo permissionless, ma che succede con quelle di tipo permissioned?
Nelle prime[10], infatti, tutti gli utenti possono accedere alla blockchain fungendo da nodo per i registri certificati e tutti gli utenti hanno gli stessi diritti e l'integrità di tutti i nodi è necessaria per la prosecuzione delle transazioni in modo corretto. Nelle seconde[11], invece, l'intera blockchain potrebbe non essere pubblica e pertanto non accessibile a tutti, alcuni nodi potrebbero avere più poteri di altri e potrebbe essere necessario il solo consenso di uno o pochi nodi per operare modifiche ai dati salvati nei registri.
Il problema principale della definizione posta dal legislatore, quindi, è il discrimine dal punto di vista legale circa i dati salvati sulle diverse blockchain: alcuni si vedrebbero riconosciuti (per il solo fatto di essere permissionless) il valore di prova piena pur non garantendo sostanzialmente l'immutabilità, che resta solo un potenziale tecnologico, mentre altri dati non godrebbero di alcun riconoscimento solo perché l'algoritmo prevede nodi con poteri superiori ad altri, ma magari garantiscono contrattualmente l'immutabilità proprio grazie al controllo operato dai nodi superiori. Tale problematica emerge nitida dall'analisi del co 3 della norma in esame, che attribuisce alle DLT blockchain di cui al comma 1, l'effetto giuridico della validazione temporale di cui all'art 41 del Reg. eIDAS[12].
La lettura della norma potrebbe portare gli interpreti a dividersi in due filoni molto differenti fra loro:
- per alcuni si dovrebbe operare la completa esclusione delle blockchain permissioned perché in natura tecnicamente non rispondenti ai criteri della immutabilità e inalterabilità;
- oppure, in modo forse più ragionevole, si potrebbe ritenere che le tecnologie permissionless ricadano nel co 2 dell'art. 41 eIDAS e godano quindi di una presunzione di accuratezza temporale, mentre le altre tecnologie ricadrebbero nel co1 dello stesso, senza negargli in toto un riconoscimento quanto agli effetti giuridici di certezza temporale, pur non godendo di una presunzione di legge, da cui deriva il conseguente onere della prova in giudizio a carico di chi voglia far valere l'accuratezza dei dati salvati nel registro.
Rimaniamo, però, con alcuni dubbi aperti. Se volessimo essere tecnicamente precisi nemmeno Bitcoin, che è la blockchain che garantisce uno dei più alti livelli di immutabilità dei dati, rientrerebbe nei parametri della normativa. È come se il diritto fosse ancora molto distante dalla realtà tecnologica per come esiste, dal momento che si preoccupa di definire ciò che ancora "non" esiste nella sostanza. In alternativa, si dovrebbe ritenere che si vuole spingere la tecnologia a garantire determinati requisiti per godere del riconoscimento di effetti giuridici, ignorando ciò che già esiste. Come si risolveranno, però, le eventuali controversie che potrebbero sorgere da transazioni blockchain che non rispondono ai requisiti attualmente previsti dall'ordinamento? Non è un po' rischioso lasciare che strumenti finanziari diffusi, anche fra i consumatori, di fatto pongano proprio a carico del contraente debole l'onere probatorio della validità della transazione?
Alla luce delle problematiche aperte, oggi possiamo dire soltanto di avere un indirizzo: cercare di prediligere blockchain che abbiano i requisiti di legge, sempre che esistano.
Dott.ssa Camilla Ragazzi
[1] In sostanza questo Regolamento rappresenta il quadro europeo dei sistemi di posta elettronica certificata, di identità digitale del cittadino, di firme elettroniche qualificate e non, di prestatori fiduciari di servizi di autenticazione, ovvero quelle società ammesse a detenere e rilasciare certificati a pagamento che garantiscano la sicurezza e la certezza dei dati ad essi associati al fine di garantirne validi effetti giuridici.
[2] Agenzia per l'Italia Digitale, www.agid.gov.it
[3] Che possono essere rappresentati ad esempio dai singoli acquirenti di criptovalute.
[4] O si usa dire anche "democratica", perché distribuita equamente su tutti i nodi, ndr.
[5] Dal sito UIBM italiano: https://tinyurl.com/2p9nkefm
[6] La differenza fra tecnologie permissionless e permissioned, soprattutto in ambito blockchain, la si riprende poco più avanti, esaminando la disciplina posta dal legislatore italiano.
[7] Ad es. gli attacchi DDoS, direct denial of service: si paralizza un nodo blockchain inondandolo di richieste e impedendo di fatto di eseguire ulteriori transazioni legittime.
[8] Il caso del majority attack, generalmente poco temuto dagli inventori di algoritmi di blockchain perché molto costoso da attuare, ma di fatto potrebbe portare a frodare il sistema consentendo di spendere due volte la stessa somma.
[9] Che abbiamo già specificato sono quelle che potrebbero non utilizzare una sequenza di archiviazione nei registri di tipo temporale.
[10] Fra cui Bitcoin e la maggior parte delle criptovalute disponibili fra il pubblico
[11] Fra cui Ripple, criptovaluta utilizzata per transazioni internazionali fra commercianti e acquirenti con valute diverse, ma entrambe le parti della transazione devono utilizzare la blockchain Ripple.
[12] "Articolo 41": Effetti giuridici della validazione temporale elettronica
1. Alla validazione temporanea elettronica non possono essere negati gli effetti giuridici e l'ammissibilità come prova
in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti della validazione temporanea elettronica qualificata.
2. Una validazione temporale elettronica qualificata gode della presunzione di accuratezza della data e dell'ora che
indica e di integrità dei dati ai quali tale data e ora sono associate.[...].