L’emendamento al DL Semplificazioni sulle tecnologie basate su registri distribuiti, tra le quali rientra anche la blockchain, approvato in Senato (in attesa della Camera), presenta numerose problematicità. Non solo dal punto di vista formale, ma anche e soprattutto dal punto di vista sostanziale. In effetti, molti casi d’uso della blockchain di cui oggi si parla utilizzano un eccesso di tecnologia e sono sostanzialmente “sbagliati”.
Definizione DLT, ambiguità e incoerenze del primo comma
Il primo comma dell’emendamento al DL Semplificazioni che introduce blockchain e smart contract nel nostro ordinamento, definisce le Tecnologie basate su registri distribuiti “le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili”.
Innanzitutto, si evidenzia come questa definizione soffra di ambiguità e incoerenza. Partiamo dall’oggetto della frase ovvero il registro e dalle caratteristiche che deve avere. Deve essere condiviso e distribuito, e qui accettiamo nostro malgrado la discutibile prassi in letteratura che sovrappone shared con distributed, ma quello che è meno comprensibile nella definizione è la frase:
“architetturalmente decentralizzato su basi crittografiche”
Infatti, non è noto agli scriventi né reperibile in letteratura cosa siano le “basi crittografiche” né facilmente comprensibile, o perlomeno ambiguo, cosa intendesse il legislatore con “architetturalmente decentralizzato”. Prendiamo il caso di Bitcoin ad esempio, il suo registro altro non è che una struttura dati replicata integralmente in ogni nodo della rete. Ogni nodo contiene tutto il registro e non una sua porzione. In questo senso andrebbe precisato che di decentralizzato c’è l’accesso al registro, che è libero in lettura e basato su consenso in scrittura. È la gestione del registro e tutto il sistema che la attua ad essere decentralizzato e non il registro in sé.
Una definizione più coerente con lo stato dell’arte sarebbe stata:
“…registro replicabile e verificabile la cui integrità è assicurata da funzioni crittografiche e il cui accesso è decentralizzato e regolato da un protocollo di consenso che permette la scrittura di nuovi elementi nel registro senza contravvenire alle regole imposte dallo specifico dominio”.
Non solo.
L’inalterabilità o immodificabilità prevista dalla norma in commento, non è applicabile considerando l’attuale stato di evoluzione dei vari protocolli conosciuti perché i dati potrebbero essere modificabili e alterabili. Ciò dipende naturalmente dalla Blockchain utilizzata e dai rischi informatici connessi a potenziali modifiche sempre possibili.
Nessun cenno viene poi fatto all’incentivo economico che è il vero motore che garantisce la sicurezza del registro stesso. Una complessa interazione fra gli interessi di tutte le parti coinvolte fa di Bitcoin un sistema monetario informatico particolarmente sicuro, in assenza dell’incentivo economico il sistema semplicemente non funzionerebbe. Un database che usa le funzioni crittografiche non è una blockchain, resta un dignitosissimo database del quale non si capirebbe l’urgenza di una legislazione in tal senso.
Inoltre, la norma stessa prima prevede la possibilità di modificare i dati parlando genericamente di aggiornamento degli stessi, e poi, in maniera del tutto contraddittoria, precisa che tali dati non possono essere modificabili.
L’Italia prova a normare gli smart contract, ecco come: pro e contro
Smart contract, dubbi sull’inquadramento giuridico
Anche il secondo comma lascia alquanto perplessi poiché con l’inquadramento giuridico dello “Smart Contract” si crea di fatto una nuova figura di documento elettronico oltre quelle già chiaramente previste dall’art. 20 comma 1 – bis del Codice dell’Amministrazione Digitale (Decreto legislativo 7 marzo 2005, n. 82), senza alcun coordinamento con la più ampia normativa in materia di negozio giuridico di cui al nostro Codice Civile, come per altro fatto già notare da altri (si vedano in particolare gli articoli di Fulvio Sarzana e Massimiliano Nicotra sul punto).
Anche la scelta di affidare il compito all’Agenzia per l’Italia Digitale e alle linee guida (da definire entro 90 gg. dalla data di entrata in vigore della norma in commento) lascia alquanto perplessi poiché in tal modo il legislatore lascia ad AgID il compito di definire con un atto amministrativo (delle linee guida) le regole tecniche che saranno poi essenziali per dare dignità di forma scritta allo Smart Contract e quindi delle regole che di fatto saranno alla base del nuovo “genus” contrattuale.
Gli Smart Contract non sono altro che una nuova forma di computazione in cui sia il codice eseguibile, che lo stato su cui il codice opera, che tutti i suoi input e i suoi output divengono parte del registro blockchain attraverso il protocollo di consenso. Come tale l’effetto di uno smart contract è quello di creare dei risultati coerenti con il protocollo informatico e con il codice sorgente. In questo senso un dato non è legalmente valido per sé solo perché è il risultato dell’esecuzione di uno smart contract, ma lo smart contract garantisce che se l’input e il codice sorgente hanno un determinato valore legale allora l’output corrispondente sarà coerente con il protocollo della particolare blockchain in oggetto.
Casi d’uso potenzialmente sbagliati
Infine, l’ultima considerazione tecnica è che molti casi d’uso che oggi vengono formulati e risolti tramite una blockchain in realtà soffrono di overkill, ovvero utilizzano un eccesso di tecnologia rispetto ai loro requisiti. Veniamo al caso della certificazione digitale di un titolo di studio. Inserire un attestato di studi in blockchain appare perlopiù inutile, infatti quello che conta veramente è verificare che il documento sia stato rilasciato dall’università e non da un soggetto qualunque. Per fare questo non serve nessuna blockchain, è sufficiente la crittografia nella sua forma più consueta, ovvero l’ente universitario ottiene da una certification authority globale un certificato digitale che certifica il possesso di una determinata chiave pubblica. Con la corrispondente chiave privata l’ente universitario firma digitalmente l’attestato. Chiunque potrà verificare a posteriori l’autenticità dell’attestato. Quindi è molto importante che certi casi d’uso “sbagliati” non diventino poi riferimenti normativi. Il lettore potrebbe chiedersi allora perché parlare tanto di blockchain e di smart contract se poi sono inutili. In realtà non sono inutili, possono essere utilissimi a patto che i problemi siano ben formulati e ne richiedano veramente l’utilizzo.
