Sulle tecnologie blockchain e di registro distribuito (Dlt) il nostro Governo ha scelto – con il decreto semplificazioni 2019 – di procedere ex lege con una “dichiarazione di intenti” piuttosto generica e di corto respiro, dal sapore più politico che giuridico, la cui formulazione lascia spazio a un pericoloso equivoco e al rischio di “impazzimento” del nostro sistema normativo.
La vera novità, piuttosto, sarebbe l’approvazione di regole tecniche validate a livello europeo o nazionale – come il Regolamento eIDAS e il CAD del resto pretendono – le quali stabiliscano con certezza cosa una tecnologia basata su DLT possa o non possa garantire, seguendo precisi standard.
DLT e Blockchain, cosa si muove in Europa
Il punto di partenza, dicevamo, è il cosiddetto “Decreto Semplificazioni 2019” volto apparentemente ad introdurre alcune interessanti novità sul valore giuridico dei dati garantiti (e “certificati”) dalle tecnologie di registro distribuito e blockchain, evidentemente sulla scia di quanto approvato dal Parlamento Europeo con una risoluzione in materia, risalente agli inizi di ottobre di quest’anno (Tecnologie di registro distribuito e blockchain: creare fiducia attraverso la disintermediazione).
Com’è noto, la Commissione europea ha dato vita negli ultimi mesi a diverse iniziative volte ad “esplorare” le potenzialità delle cosiddette “tecnologie di registro distribuito” (DLT – distributed ledger technologies) delle quali la blockchain è solo una delle possibili varianti.
La strada in Europa sembra essere così segnata: con la Risoluzione del 3 ottobre, il Parlamento Europeo ha, infatti, chiesto alla Commissione di sviluppare uno studio per valutare i potenziali scenari di sviluppo derivabili da una più ampia diffusione della tecnologia, in diversi settori di attività (ambientale ed energetico, sanitario, dei trasporti, di supply chain, istruzione, industrie creative e diritti d’autore, finanziario). Questo perché la DLT “è una tecnologia in continua evoluzione che necessita di un quadro favorevole all’innovazione che consenta e incoraggi la certezza del diritto e rispetti il principio della neutralità tecnologica, promuovendo nel contempo la protezione dei consumatori, degli investitori e dell’ambiente, aumentando il valore sociale della tecnologia, riducendo il divario digitale e migliorando le competenze digitali dei cittadini”, come espresso dallo stesso Parlamento, tra i considerando del documento.
Il decreto italiano
Evidentemente, la strada europea non è stata solo tracciata, ma prosegue la sua evoluzione, per diverse ragioni, da soppesare con attenzione. E l’Italia? A fronte dell’avanzamento continentale, il decreto del nostro Governo è intriso di una (deludente) evanescenza.
Una volta fornita una definizione di “tecnologie basate su registri distribuiti”[1], secondo il principio di neutralità tecnologica – si riconosce ai dati in essi registrati la stessa validità giuridica attribuita a informazioni e dati certificati attraverso l’uso di altre tecnologie. La formulazione, nella sua indeterminatezza, contiene un (pericolosissimo) equivoco di fondo: lascia intendere che il principio della neutralità tecnologica giustifichi l’equiparazione di tutte le tecnologie, così utilizzabili allo stesso modo e dunque valide giuridicamente in re ipsa. Se ciò trovasse fondamento, dovremmo meditare per il prossimo futuro una specifica normativa per ogni nuova tecnologia che potrebbe essere potenzialmente utile a determinati scopi giuridicamente rilevanti! E credo che un’ipotesi del genere non sia utile anche solo immaginarla.
I rischi di una normativa che insegue la tecnologia
Occorre tuttavia ricordare un principio tanto elementare, quanto di difficile applicazione: la normativa – quella primaria e più generale – non deve mai porsi come obiettivo quello di inseguire una tecnologia. Tale principio si può comprendere ancora meglio da un punto di vista logico-giuridico, se pensiamo che le caratteristiche di generalità e astrattezza – caratteristiche che dovrebbero essere poste a fondamento di qualsiasi norma giuridica – disegnano il potere che ha ogni norma di spaziare per ricomprendere casistiche ampie e complesse regolamentate secondo diritto. Diversamente, nel caso in cui il legislatore affermasse un comportamento di codificazione teso a rinnovare di volta in volta il suo intervento in ambito tecnologico, ciò costituirebbe una deroga automatica e implicita a giustificare a priori un corredo di “norme speciali”. Comportamento quest’ultimo da ritenersi -appunto- inaccettabile perché, di fatto, confliggerebbe con i principi basilari del diritto costituzionale, ma soprattutto con il buon senso, determinando un impazzimento del nostro già martoriato sistema normativo (non solo in materia di diritto dell’informatica, in verità).
Logicamente è possibile anche comprendere come oggi sia vano lo sforzo di considerare – come sembrerebbe voler ottenere questo decreto – il dato digitale in qualche modo sempre “certificato” da una “tecnologia blockchain” e quindi giuridicamente sempre valido. Come ho già avuto modo di precisare in diverse occasioni, un dato, un’informazione, un documento, se connotati da un contenuto giuridicamente rilevante, non possono non avere un generico rilievo giuridico. Ovvio che il loro valore formale e probatorio deve essere, però, valutato a seconda della loro affidabilità (anche dal punto di vista informatico). La tecnologia blockchain o comunque tutte le tecnologie DLT sono sempre in grado di assicurare provenienza, integrità, sicurezza e immodificabilità a dati, informazioni e documenti informatici? Se la risposta è affermativa allora la loro valenza formale e probatoria è già ben custodita nell’alveo di una normativa primaria come il Codice dell’amministrazione digitale (si fa riferimento ovviamente all’attuale art. 20 contenuto nel D. Lgs. 82/2005[2]). Ma queste cose ce le ripetiamo dagli anni ’90, in verità!
Dopotutto questo è lo stesso approccio tenuto dalle regole tecniche di cui al DPCM 13 novembre 2014: l’art. 3 di tali regole tecniche non muta il valore giuridico e probatorio del documento informatico (oggetto della normativa primaria), ma chiarisce attraverso quali tecnologie si possa arrivare alla documentazione di un atto, un dato o un fatto giuridicamente rilevante. E quindi, oltre che nella citata normativa primaria generale, anche nelle generiche definizioni dell’art. 3 citato può quindi rientrare il documento informatico quale registrazione informatica delle informazioni risultanti da transazioni o processi informatici (lett c) o quale generazione o raggruppamento anche in via automatica di un insieme di dati o registrazioni, provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti (lett d). Se poi queste definizioni non venissero ritenute idonee – e non se ne comprenderebbero comunque le ragioni – a ricomprendere i DLT nella natura già regolamentata del documento informatico giuridicamente rilevante, allora sarebbe comunque più corretto intervenire allungando questo elenco piuttosto che agire sconsideratamente e in modo poco sistematico sulla normativa primaria, come si è pensato di procedere oggi.
Repetita iuvant. Ma è sempre così?
E in quest’ottica, la vera rivoluzione normativa a cui brindare in futuro, potrebbe essere un’altra, ossia l’approvazione di regole tecniche validate a livello europeo o nazionale – come il Regolamento eIDAS e il CAD del resto pretendono – le quali stabiliscano con certezza cosa una tecnologia basata su DLT possa o non possa garantire, seguendo precisi standard (attualmente in corso di approvazione).[3]
Alla luce di queste considerazioni, non sembra essere la strada della ripetizione quella giusta per accostare le tecnologie digitali al diritto, ma dovrebbe essere piuttosto quella di sviluppare una visione di ampio respiro in grado di prevedere non già il domani, ma il dopo domani.[4]
__________________________________________________________________
- Come “le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche” in modo da garantire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati, o in chiaro o ulteriormente crittografati, purché “verificabili da ciascun partecipante, non alterabili e non modificabili” ↑
- In particolare, l’art. 20 1-bis del CAD precisa che il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. Si ricorda che lo stesso comma continua riferendo che in tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. Giusto per completezza si ribadisce che per il combinato disposto di eIDAS e CAD il documento informatico è, oggi, definito come il documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti, quindi anche un dato registrato in modo affidabile può possedere una natura documentale, secondo la nostra normativa generale. ↑
- Sono ben 11 gli standard ISO in fase di sviluppo, per quanto riguarda il settore di DLT e Blockchain; è sufficiente consultare la pagina del Comitato ISO/TC 307, preposto a tale scopo: https://www.iso.org/committee/6266604.html ↑
- Parafrasando un estratto delle Lettere dalla prigionia di Aldo Moro. ↑
