Oggi, al di là della certificazione della filiera, le tecnologie blockchain vengono utilizzate anche integrate con diversi sistemi informativi e applicativi, per garantire certezza di un determinato flusso e/o processo aziendale digitalizzato. Nessuna blockchain oggi esistente è in grado di gestire e conservare a norma di legge, documenti informatici ed elettronici e quindi informazioni digitali con valore probatorio.
Su questo portale sono già state toccate innumerevoli volte (vedi qui ad esempio) le logiche della conservazione e gestione dei documenti informatici e della loro vitale importanza per le aziende di qualunque settore e dimensione. Quindi daremo per scontato la conoscenza delle logiche normative, di processo e tecniche oltre che di Agid, su come garantire validità legale nel tempo ai documenti aziendali digitali.
Blockchain, disciplina di legge
Partiamo col dire che la blockchain viene disciplinata per la prima volta nel nostro ordinamento dalla legge n.12 del 2019 di conversione del decreto legislativo 135 del 2018, dove vengono definite per la prima volta dal punto di vista giuridico e normativo nel nostro ordinamento i termini di smart contract e di tecnologie basate su registri distribuiti, attribuendo agli smart contract, se operanti sulle tecnologie basate su registri distribuiti, il valore di forma scritta previo rispetto di determinate caratteristiche. In particolare, l’articolo 8-ter introduce le nozioni di smart contract come “programma per elaboratore che opera su tecnologie basate su registri distribuiti e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse e che soddisfa il requisito della forma scritta previa identificazione informatica delle parti interessate”. Questa è la definizione che dà la legge di smart contract.
Per quanto riguarda la definizione di tecnologie basate su registri distribuiti, si parla di “tecnologie e protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, decentralizzato su basi crittografiche tali da consentire registrazione, convalida, aggiornamento, archiviazione dei dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante e pertanto non alterabili e non modificabili”. Queste sono le definizioni che la normativa ha dato di smart contract e tecnologie basate su registri distribuiti.
Inoltre, ricordiamo che la condivisione di un documento informatico attraverso l’uso di tecnologie basate su registri distribuiti produce gli effetti giuridici della validazione temporale elettronica di cui all’art. 41 del Regolamento UE n. 910/2014. Quindi si valida temporalmente (data, ora, giorno, mese, anno,etc..) l’invio di una determinata informazione sulla blockchain.
Documenti informatici e blockchain: gli smart contract
Un esempio di applicazione degli smart contract potrebbe essere l’acquisto di un biglietto di treno. Immaginate che l’acquisto di un biglietto del treno sia regolato da uno smart contract, quindi in realtà andremmo a regolamentare non solo la fase dell’acquisto e quindi del pagamento e della vendita del biglietto ma anche tutte le conseguenze legate a eventuali ritardi, che potrebbero essere già predeterminate e quindi comportare l’esecuzione automatica, ad esempio, di un rimborso rispetto a un ritardo del treno. Quindi si andrebbero a creare una serie di contratti multipli; immaginiamo che il biglietto del treno da Salerno a Milano preveda che il treno si debba fermare a Napoli alle ore 10:50 e invece arriva alle 10:55; il software già prevedrebbe un’ipotesi di rimborso del costo del biglietto per il ritardo accumulato dal treno nel corso del viaggio, automaticamente, già durante il percorso. Il tutto ovviamente certificando anche l’ora, grazie alla validazione temporale, di cui sopra. Questo è un esempio ma se ne potrebbero fare tantissimi altri.
Ovviamente, ci sarebbero alcune considerazioni giuridiche su queste tipologie di contratto che in questo articolo sorvoleremo.
Fatta questa premessa doverosa, andiamo alla gestione dei documenti. Per ora abbiamo parlato di smart contract, ma cosa succede se nel nostro processo aziendale, nel nostro contratto, nel nostro flusso informativo, sono presenti dei documenti con valore legale? Il problema si complica e non poco. Sulla blockchain, infatti, non si possono caricare dei documenti. Ovvero il file PDF o di qualunque altro formato/standard non potrà mai essere memorizzato sulle blockchain. Quello che viene memorizzato è soltanto l’hash con algoritmo SHA256 del documento.
Qui un esempio:
98c615784ccb5fe5936fbc0cbe9dfdb408d92f0f
Quindi sulle blockchain passa una stringa di numeri e lettere che identificano in maniera certa e univoca il documento. In termini di processo, pertanto, cosa si certifica con la memorizzazione su blockchain? Si certifica che in quel determinato giorno, ora, mese e anno, ho caricato un hash di un determinato documento, che identifica in maniera certa l’esistenza di quel documento e quindi del contenuto annesso.
Se, infatti, a distanza di tempo, modificassi anche una sola parola all’interno di quel documento, non ci sarebbe più corrispondenza con l’hash inviato sulla blockchain, in quanto l’hash cambierebbe radicalmente. Per questo motivo, è più indicato utilizzare il termine certificazione su blockchain che notarizzazione.
Il documento in un sistema di conservazione a norma di legge
Il problema, quindi, è che il documento rimane l’oggetto principale che si dovrà andare a gestire e conservare comunque in un sistema di conservazione a norma di legge e quindi secondo le linee guida di Agid. Senza il documento, dell’hash non ce ne faremmo assolutamente nulla. Che l’hash sia memorizzato per sempre sulle blockchain, non vale nulla, se il documento fisico viene perso o non viene conservato in modo adeguato.
Questa considerazione, per altro fondamentale, ci fa comprendere come sia imprescindibile la presenza di un sistema documentale e di conservazione che garantisca che quel documento, di cui abbiamo caricato l’hash sulla blockchain, non solo non venga mai perso ma che venga gestito secondo le logiche normative italiane ed europee (vedi eIDAS) per garantire validità legale nel tempo di quel documento e per garantire che quel documento non subisca modifiche future tali da modificare l’hash. E questi processi non possono essere demandati a nessuna tipologia di blockchain. Non è nata per questo.
È evidente dunque come, senza un sistema documentale sicuro e che risponda alle normative in vigore, dire che le blockchain garantiscono e certificano documenti, è per chi scrive, un errore rilevante. Immaginate come altro esempio pratico, utilizzare i cosiddetti servizi di notarizzazione (termine già abusato) di documenti, che gestiscono il processo di hashing su blockchain, ma che poi non garantiscono la tenuta nel tempo di quel documento/file.
Che fine fa il file? Dove va? Non si perde? Viene reso immodificabile? Ci si rende conto che se un domani cambia l’hash e ho un contenzioso, non posso più dimostrare l’integrità e l’immodificabilità di tutto il contenuto.
Domande di grande rilevanza che meritano un’analisi attenta, anche della normativa primaria. Anche se un domani la stessa normativa cambiasse o scomparisse l’Agid, modificando una norma primaria e permettendo la conservazione dei documenti su blockchain, questo non risolverebbe il problema tecnologico e di processo. Sarà infatti sempre necessario un sistema documentale di contorno che abbia le caratteristiche di sicurezza necessarie a garantire che quel documento/file non sia perso, corrotto o modificabile.