Blockchain e smart contract: le novità previste dal Decreto Semplificazioni

Per prima tra i paesi europei, l’Italia ha fornito una definizione di “tecnologie basate su registri distribuiti” e di “smart contract”, disegnando nel contempo la disciplina generale degli effetti giuridici connessi all’utilizzo di tali tecnologie.

Il riferimento è all’art. 8-ter del Decreto Semplificazioni (D.L. 14 dicembre 2018, n. 135, convertito in legge con L. 11 febbraio 2019, n. 12).

La normativa, specie se confrontata con l’ inerzia dei precedenti esecutivi sul tema, ha il pregio di porsi all’avanguardia nella regolamentazione della tecnologia blockchain “oltre” gli aspetti prettamente finanziari connessi ai fenomeni delle criptovalute e della tokenizzazione.

La formulazione normativa lascia spazio, tuttavia, ad alcuni dubbi interpretativi, che potranno essere in parte risolti in sede di predisposizione delle linee guida che l’AgID dovrà adottare in conformità a quanto indicato nel medesimo Decreto Semplificazioni.

Tecnologie basate su registri distribuiti

Le “tecnologie basate su registri distribuiti” sono definite come “le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili”.

La definizione presenta alcuni margini di ambiguità e di incompletezza.

Un primo punto di attenzione riguarda il requisito della non alterabilità e non modificabilità dei dati. Per quanto consta a chi scrive, ciò non è garantito da alcuno dei protocolli attualmente disponibili.

Anche le blockchain pubbliche più conosciute, Bitcoin ed Ethereum, possono essere alteratecon il consenso della maggioranza dei nodi e, perciò, esposte ai cosiddetti attacchi del 51%. L’ambiguità è accentuata dal fatto che, accanto all’inalterabilità e immodificabilità dei dati, la definizione prevede la possibilità di “aggiornamento” dei dati memorizzati nel registro.

Alcuni commentatori hanno espresso, inoltre, dubbi sul significato dell’espressione “registro … architetturalmente decentralizzato su basi crittografiche”, non essendo noto in cosa consistano i concetti di “basi crittografiche” e di decentralizzazione architetturale del registro.

La definizione, infine, non valorizza gli elementi del protocollo del consenso e dell’incentivo economico, cioè a dire gli elementi centrali e innovativi che contraddistinguono la tecnologia blockchain (intesa come infrastruttura public e permissionless) da semplici database decentralizzati (DLT). Il rischio è di estendere gli effetti giuridici previsti dalla normativa anche a soluzioni private e permissioned, caratterizzate dalla presenza di un “regolatore” centrale e, nella sostanza, non molto diverse da semplici database.

Proprio per quanto concerne gli effetti giuridici, la norma prevede che “la memorizzazione di un documento informatico attraverso l’utilizzo di tecnologie basate su registri distribuiti produce gli effetti giuridici della validazione temporale elettronica di cui all’articolo 41” del Regolamento eIDAS, lasciando all’AgID l’incarico di individuare “entro novanta giorni dalla data in vigore della legge di conversione” del Decreto Semplificazioni “gli standard tecnici che le tecnologie basate su registri distribuiti debbono possedere” al fine della produzione di tali effetti.

La blockchain sarà quindi legalmente idonea a “collegare i dati in forma elettronica a una particolare data e ora, così da provare che questi ultimi esistevano in quel momento”, come da definizione di validazione temporale elettronica di cui all’art. 3, n. 33 del Regolamento eIDAS.

Resta da valutare se anche la memorizzazione in blockchain della sola impronta (hash) del documento informatico (e non del documento informatico in sé) potrà beneficiare degli effetti previsti dalla norma.

La questione presenta importanti risvolti, soprattutto sotto il profilo della data protection: è noto, infatti, che la memorizzazione in blockchain di documenti informatici contenenti dati personali può presentare problematiche sotto diversi profili – tra le quali, ad esempio, l’esercizio da parte dell’interessato del diritto di rettifica e cancellazione, la determinazione di un periodo certo di data retention e i trasferimenti di dati personali extra-UE.

Smart contract

Il Decreto Semplificazioni ha inoltre definito lo smart contract come il “programma per elaboratore che opera su Tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse”.

La definizione presenta elementi di potenziale criticità, specie laddove indica che è la “esecuzione” dello smart contract a vincolare le parti.

È noto che l’efficacia vincolante di un contratto discende dall’accordo delle parti (art. 1326 c.c.) e non dal momento (successivo e potenzialmente inesistente) connesso alla sua esecuzione: e ciò sia che si intenda il concetto “esecuzione” in senso giuridico, come esecuzione della prestazione oggetto del contratto, sia in senso informatico, come atto di eseguire il programma in sé.

Agli smart contract è riconosciuto il requisito della forma scritta “previa identificazione delle parti interessate, attraverso un processo avente i requisiti fissati dall’Agenzia per l’Italia Digitale con linee guida da adottare entro novanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto”.

Si tratta, a ben vedere, di una definizione quantomeno superflua, posto che lo smart contract già costituisce un documento informatico come definito nel Codice dell’Amministrazione Digitale (“documento elettronico che contiene la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”) che, ai sensi dell’art. 20, comma 1-bis CAD, “soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile quando (…) è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”.

Il Decreto Semplificazioni non indica, peraltro, le modalità con le quali lo smart contract possa ottenere, oltra alla forma scritta, lo status di scrittura privata ex art. 2702 c.c.

Lo smart contract formato esclusivamente mediante l’identificazione delle parti interessate attraverso il procedimento che verrà delineato dall’AgID – come previsto dal Decreto Semplificazioni – potrebbe quindi conferire forma scritta allo smart contract, senza farlo rientrare nel novero delle scritture private, con la conseguenza che il relativo valore probatorio dello smart contract sarebbe così “liberamente valutabile in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità” (art. 20, comma 1-bis CAD).

In caso di valutazione negativa da parte del giudice, si giungerebbe al risultato paradossale di confinare lo smart contract nell’alveo dei documenti non sottoscritti, che non hanno “valore giuridico formale e non producono, quindi, effetti sostanziali e probatori” (Cass. Civ. Sez. II Ord., 29/11/2018, n. 30948).

Il coordinamento tra le previsioni del Decreto Semplificazioni e la normativa in materia di documenti informatici e firme elettroniche contenuta nel CAD – demandata alla regolamentazione di secondo livello dell’AgID – rappresenta un punto di fondamentale importanza per lo sviluppo della tecnologia blockchain, così come il prezioso lavoro di standardizzazione attualmente in corso da parte di organizzazioni quali CEN/CENELEC e il Comitato ISO/TC 307.

Marco Galli – Licia Garotti