Nuovo eIDAS e registri elettronici: regole e impatti per i servizi fiduciari - Agenda Digitale

Le norme

Nuovo eIDAS e registri elettronici: regole e impatti per i servizi fiduciari

La proposta di modifica del regolamento eIDAS presentata a giugno dalla Commissione europea prevede l’introduzione dei registri elettronici, evidente riferimento alla tecnologia blockchain: vediamo cosa prevede il documento

09 Set 2021
Chantal Bomprezzi

Assegnista di ricerca c/o Centro Interdipartimentale Alma Mater Research Institute for Human-Centered Artificial Intelligence (Alma AI), Università di Bologna

bonus bancomat 2020

Nel documento di proposta della Commissione UE per modificare il regolamento eIDAS vi è anche la previsione di alcune novità in materia di servizi fiduciari, tra cui l’introduzione dei registri elettronici. Dalla lettura dell’articolo che prevede la definizione di registro elettronico risulta chiaro il riferimento alla blockchain e ai registri distribuiti, coerentemente con l’intento del legislatore europeo, già espresso nella Risoluzione del Parlamento europeo del 3 ottobre 2018, di fornire una cornice normativa comune in materia.

Il contesto europeo di riferimento

Come esplicitato al considerando 2 della Proposta, l’obiettivo delle istituzioni europee, ribadito recentemente nelle conclusioni del Consiglio europeo dell’1-2 ottobre 2020, è quello del raggiungimento di una “self-sovereign identity”. In altri termini, dovrebbe essere garantita a tutti la possibilità di fruire di servizi digitali, siano essi pubblici o privati, senza dover rinunciare al controllo delle proprie identità e dei propri dati online, come attualmente accade con le grandi piattaforme quali Facebook, Google, etc.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici.
Sicurezza
Cybersecurity

La creazione di un’identità digitale univoca e sicura si scontra con l’uso di soluzioni nazionali divergenti. Sul piano internazionale, il Working Group IV sul Commercio elettronico dell’Uncitral sta lavorando all’elaborazione di un Model Law per il reciproco riconoscimento delle identità e dei servizi fiduciari. A livello europeo, il principio del mutuo riconoscimento permea l’intero Regolamento eIDAS. Proprio per affrontare adeguatamente le dinamiche dei mercati e gli sviluppi tecnologici, si è ritenuto necessario procedere all’aggiornamento e al perfezionamento del predetto Regolamento, pur mantenendone l’architettura di base.

Blockchain e nuovo eIDAS, come saranno i registri distribuiti: ecco le regole

A tale riguardo, l’Unione europea in più occasioni ha ribadito che la tecnologia blockchain potrebbe rappresentare un’opportunità: nella Dichiarazione istitutiva della Blockchain Partnership Europea si afferma che i servizi blockchain-based aiuteranno a preservare l’integrità dei dati e garantiranno una migliore gestione dei dati medesimi da parte dei cittadini e delle organizzazioni che interagiscono con le pubbliche amministrazioni; nella succitata Risoluzione del 3 ottobre 2018, il Parlamento europeo ha dichiarato che la blockchain “può costituire uno strumento che rafforza l’autonomia dei cittadini dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la capacità di scegliere chi possa vedere tali dati”; nel Report “Blockchain and digital identity” dello European Blockchain Observatory and Forum la blockchain viene ritenuta un efficace strumento di sviluppo di identità digitali self-sovereign.

Dal 2018, tutti i Paesi dell’Unione europea più la Norvegia e il Lichtenstein stanno inoltre lavorando con la Commissione europea alla realizzazione della European Blockchain Services Infrastructure (EBSI), un’infrastruttura blockchain con nodi distribuiti in tutta Europa per la fruizione di servizi transfrontalieri per le pubbliche amministrazioni in maniera sicura, interoperabile e basata su forme di identificazione digitale certe e uniche. Anche da qui è nato dunque il bisogno di introdurre nel Regolamento eIDAS un nuovo servizio fiduciario, per evitare la frammentazione del mercato interno mediante la definizione di un quadro paneuropeo unico che ne consenta il riconoscimento transfrontaliero.

Nuovo eIDAS, la definizione di registro elettronico

La Proposta di modifica del Regolamento non contiene la definizione di “blockchain” ma di “registro elettronico”. Secondo il nuovo punto 53 dell’art. 3, esso è “un registro elettronico di dati a prova di manomissione, che garantisce l’autenticità e l’integrità dei dati che contiene, nonché l’accuratezza della data e dell’ora e dell’ordine cronologico di tali dati”. La disposizione prevede pertanto che un registro elettronico possa essere considerato tale se le modalità con cui i dati vengono registrati soddisfano le seguenti caratteristiche: scongiurano la manomissione dei dati; ne garantiscono l’autenticità e l’integrità; prevedono un timestamp dei dati che ne certifichi con accuratezza data e ora; consentono un sequenziamento dei dati in ordine cronologico.

Queste proprietà si ritrovano nel Regolamento (ad esempio, l’accuratezza della data e dell’ora richiama il concetto di validazione temporale elettronica); tuttavia, la novità del registro elettronico, è data dalla loro contestuale presenza. Anche la tecnologia blockchain è, anzitutto, un registro di dati in formato elettronico; in aggiunta, ad essa vengono normalmente riconosciuti gli attributi di cui si è dato conto poc’anzi. Infatti, la peculiarità della blockchain è la cosiddetta tamper-resistance, grazie all’utilizzo di hash che identificano univocamente le singole transazioni concatenandole tra loro attraverso il richiamo all’hash della transazione precedente, in modo che ogni modifica del dato sottostante, determinando la modifica dell’hash e di quelli successivi, sia immediatamente visibile in quanto divergente dalle altre copie della blockchain detenute nei molteplici nodi. L’unico modo per riuscire a manomettere il sistema sarebbe quello di raggiungere la collusione tra la maggioranza dei nodi che, seppur teoricamente possibile, sarebbe un’operazione molto costosa e improbabile, soprattutto in presenza di blockchain permissionless.

In blockchain i dati vengono inseriti attraverso la firma elettronica delle transazioni che utilizza la crittografia asimmetrica, un sistema a doppia chiave pubblico/privata che assicura l’autenticità e l’integrità del dato, ovvero la sicurezza circa l’effettiva provenienza del dato dall’indirizzo elettronico del mittente senza che questo possa venire nel frattempo modificato. Quanto all’accuratezza della data e dell’ora, che richiama il concetto di validazione temporale elettronica, si può fare riferimento al timestamp che viene associato ad ogni blocco di dati al momento della registrazione all’interno del database, associandovi una determinata data ed ora. La concatenazione dei blocchi, di cui si è dato conto sopra, ognuno dei quali richiama il precedente, determina infine la possibilità di tracciare in maniera affidabile la sequenza in ordine cronologico delle transazioni.

Perché manca una definizione: la neutralità tecnologica

Il Regolamento eIDAS è ispirato, tra gli altri, al principio della neutralità tecnologica. Ciò giustificherebbe la scelta di non definire la blockchain, ma più genericamente i registri elettronici. In futuro, infatti, potrebbero nascere tecnologie diverse dalla blockchain, seppur con le medesime caratteristiche, con il rischio di non trovare una copertura normativa. Oltretutto, esistono già sistemi distribuiti alternativi alla blockchain, seppur sprovvisti dell’usuale raggruppamento delle transazioni di dati in blocchi (da cui il nome “blockchain”, che sta per “catena di blocchi”), i quali vengono erroneamente denominati blockchain poiché in grado di fornire le stesse funzionalità. Il rispetto del principio della neutralità tecnologica, invece, rende la disciplina adatta agli sviluppi e alle varianti future, in questo campo presumibilmente molto plausibili e rapidi data la giovinezza della tecnologia.

Tipologie, requisiti ed effetti giuridici dei registri elettronici

La Proposta di modifica contiene una nuova Sezione, la numero 11, dedicata ai registri elettronici. La registrazione (a pagamento) di dati elettronici in un registro elettronico rientra tra i servizi fiduciari aggiunti all’art. 3, punto 16, del Regolamento (insieme all’archiviazione elettronica di documenti elettronici e alla gestione di dispositivi per la creazione di firme elettroniche e sigilli elettronici a distanza), alla lettera f). La Sezione consta di due articoli, il 45 nonies e il 45 decies. Il primo concerne gli effetti giuridici riconosciuti ai registri elettronici. Il primo comma dell’art. 45 novies attua il principio di non discriminazione, elaborato originariamente in seno all’Uncitral e adottato nel Model Law on electronic Commerce del 1996, nel Model Law on Electronic Signatures del 2001 e nella Convention on the Use of Electronic Communications in International Contracts del 2005, poi trasposto anche nel Regolamento eIDAS. Il principio, qui applicato ai registri elettronici, contrasta la negazione di effetti giuridici e l’ammissibilità come prova unicamente per via della forma elettronica.

Dalla lettura congiunta del primo e del secondo comma dell’art. 45 novies emerge poi una suddivisione tra registri elettronici, per così dire, semplici, e registri elettronici qualificati. Le due tipologie si differenziano dal punto di vista dell’effetto giuridico. Più precisamente, l’articolo non disciplina gli effetti giuridici del registro elettronico semplice, ma questi ultimi possono dedursi da quanto disposto per i registri elettronici qualificati, per i quali si presume l’unicità e l’autenticità dei dati in esso contenuti, l’accuratezza della data e dell’ora di tali dati e del loro ordine cronologico sequenziale all’interno del registro.

Sicché, sul piano probatorio, fatta valere la presunzione mediante la dimostrazione del raggiungimento dei requisiti propri di un registro elettronico qualificato (elencati al successivo art. 45 decies), spetterà alla controparte fornire la prova contraria. Viceversa, in caso di registro elettronico semplice varrà la valutazione discrezionale del giudice circa il soddisfacimento dei summenzionati requisiti. In sostanza, i registri elettronici qualificati vanno annoverati tra i servizi fiduciari qualificati (ex art. 3, par. 17, Reg.). Come accennato, l’art. 45 decies elenca i requisiti che un registro elettronico deve soddisfare per ricadere nella definizione di registro elettronico qualificato e godere così della presunzione di cui all’art. 45 novies, secondo comma:

  • la creazione da parte di uno o più prestatori di servizi fiduciari qualificati;
  • la garanzia circa l’unicità, l’autenticità e il corretto sequenziamento dei dati inseriti nel registro;
  • la garanzia del corretto ordine cronologico sequenziale dei dati nel registro e l’accuratezza della data e dell’ora degli stessi;
  • la registrazione dei dati in modo tale che sia possibile individuare immediatamente qualsiasi successiva modifica degli stessi.

Anche in questo caso, dunque, viene confermato l’approccio tecnologicamente neutro, per cui il soddisfacimento dei requisiti non è vincolato all’utilizzo di una determinata modalità tecnica. Caratteristiche tecniche più specifiche possono essere introdotte, come recita il terzo comma, dalla Commissione europea mediante atti di esecuzione adottati secondo la classica procedura prescritta all’articolo 48, par. 2, del Regolamento. La rispondenza dei registri elettronici alle indicazioni contenute in eventuali atti d’esecuzione della Commissione ammette di poter presumere il rispetto dei requisiti elencati all’art. 45 decies, primo comma. Nel complesso, le due norme ricalcano l’impostazione, sia nei principi ispiratori che nella descrizione di tipologie, requisiti ed effetti, degli altri strumenti elettronici del Regolamento eIDAS, quali firme, sigilli, validazioni temporali, etc.

Registri elettronici e art. 8-ter Legge n. 12/2019

L’art. 8-ter della Legge n. 12 dell’11 febbraio 2019, di conversione del decreto legge 14 dicembre 2018, n. 135, rubricato “Tecnologie basate su registri distribuiti e smart contract”, fornisce una definizione di tecnologie basate su registri distribuiti e di smart contracts, a cui riconosce determinati effetti giuridici. La norma, che è già stata oggetto di molte critiche, appare per buona parte in contrasto con le previsioni della Proposta di modifica del Regolamento.

A mente del comma 1 dell’art. 8-ter, sono “tecnologie basate su registri distribuiti” quelle “tecnologie e protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili”. La definizione rimanda evidentemente alle cosiddette“distributed ledger technologies” (o DLT), e dunque si riferisce ad una tecnologia specifica, di cui esplicita alcune caratteristiche tecniche, contrariamente alla scelta del legislatore europeo di sposare il principio di neutralità tecnologica sia nella denominazione che nella descrizione del database.

Il comma 3, poi, sancisce che “la memorizzazione di un documento informatico attraverso l’uso di tecnologie basate su registri distribuiti produce gli effetti giuridici della validazione temporale elettronica di cui all’articolo 41”. La validazione temporale elettronica, secondo la definizione dell’art. 3, par. 1, n. 33 del Regolamento eIDAS consente di accostare data e ora a dati in forma elettronica ad opera di altri dati in forma elettronica, al fine di provare l’esistenza dei medesimi in un determinato momento. Sinonimo di validazione temporale è l’utilizzo dell’espressione “marca temporale” (o “timestamp”), che normalmente viene effettuata mediante funzioni di “hash” in grado di generare un’impronta digitale univoca dei dati da validare.

Nel menzionare la validazione temporale elettronica, il comma 3 rimanda all’art. 41 del Regolamento eIDAS, che disciplina gli effetti giuridici della validazione temporale elettronica. In particolare, se la validazione temporale elettronica è qualificata (e cioè soddisfa determinati requisiti elencati all’art. 42 Reg.), essa gode della presunzione di accuratezza della data e dell’ora indicate e dell’integrità dei dati a cui data ed ora sono associate; in caso contrario, tale valutazione è rimessa al libero apprezzamento del giudice. Il quarto comma della legge italiana subordina la produzione degli effetti giuridici della validazione temporale all’individuazione di determinati standard tecnici elaborati dall’Agenzia per l’Italia digitale.

Il confronto

Come visto, invece, la Proposta di modifica del Regolamento prevede che la registrazione di dati elettronici in un registro elettronico produca effetti giuridici più ampi di quelli di una mera validazione temporale elettronica. Quanto detto è confermato, oltre che dalla lettura dell’art. 45 novies, dal considerando 34 della Proposta, secondo cui “I registri elettronici qualificati registrano dati in maniera tale da garantirne l’unicità, l’autenticità e il corretto sequenziamento senza possibilità di manomissioni…”, combinando “l’efficacia della validazione temporale dei dati e la certezza riguardo al loro originatore, in maniera simile alla firma elettronica, con l’ulteriore vantaggio di consentire modelli di governance maggiormente decentrati, adatti alle cooperazioni multilaterali”.

Nella Proposta non è specificata la possibilità per i dati inclusi nei registri elettronici di soddisfare il requisito della forma scritta, come riconosciuto al terzo comma dell’art. 8-ter della legge italiana agli smart contract operanti su tecnologie basate su registri distribuiti, a determinate condizioni e secondo apposite linee guida predisposte dall’AGID. Purtuttavia, anche questo comma non è stato esente da commenti negativi da parte della dottrina, che ha evidenziato come la disciplina limiti il riconoscimento di tali effetti giuridici rispetto alle ulteriori opzioni ricavabili in via interpretativa sia dalle norme europee che da quelle italiane già esistenti.

In definitiva, qualora le proposte di modifica rimanessero tali e diventassero parte integrante del Regolamento eIDAS all’esito della procedura legislativa, il carattere obbligatorio e direttamente applicabile dello strumento del regolamento imporrebbe allo Stato italiano di adeguare il proprio ordinamento. Ad oggi, comunque, la mancata adozione di standard tecnici e linee guida da parte di AGID rende la disciplina italiana sostanzialmente inapplicata.

Chantal Bomprezzi, PhD

Assegnista di ricerca c/o Centro Interdipartimentale Alma Mater Research Institute for Human-Centered Artificial Intelligence (Alma AI)

Università di Bologna

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3