La bozza del nuovo Regolamento eIDAS introduce un altro aspetto innovativo relativa ai registri elettronici. Questo documento è presentato dalla Commissione Europea nella proposta “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea” pubblicata il 3 giugno 2021.
Si tratta delle novità introdotte con i nuovi articolo 45 nonies e 45 decies in materia di registri elettronici cioè, per quanto si può dedurre dall’articolato, di blockchain e registri distribuiti.
Prima della lettura di questo articolo è utile, per chi non lo ha già fatto, leggere quanto pubblicato al collegamento seguente:
Il testo della proposta di modifica, come pubblicato nella traduzione ufficiale in italiano dalla Commissione è il seguente:
SEZIONE 11
REGISTRI ELETTRONICI
Articolo 45 nonies
Effetti giuridici dei registri elettronici
1. A un registro elettronico non possono essere negati gli effetti giuridici e l'ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per i registri elettronici qualificati.
2. Un registro elettronico qualificato gode della presunzione dell'unicità e dell'autenticità dei dati in esso contenuti, nonché dell'accuratezza della data e dell'ora di tali dati e del loro ordine cronologico sequenziale all'interno del registro.
Articolo 45 decies
Requisiti per i registri elettronici qualificati
1. I registri elettronici qualificati soddisfano i requisiti seguenti:
a) sono creati da uno o più prestatori di servizi fiduciari qualificati;
b) garantiscono l'unicità, l'autenticità e il corretto sequenziamento dei dati inseriti nel registro;
c) garantiscono il corretto ordine cronologico sequenziale dei dati nel registro e l'accuratezza della data e dell'ora degli stessi;
d) registrano i dati in modo tale che sia possibile individuare immediatamente qualsiasi successiva modifica degli stessi.
2. Si presume che i requisiti di cui al paragrafo 1 siano stati rispettati ove un registro elettronico adempia le norme di cui al paragrafo 3.
3. La Commissione può, mediante atti di esecuzione, stabilire i numeri di riferimento delle norme applicabili ai processi di esecuzione e registrazione di un insieme di dati in un registro elettronico qualificato e alla creazione di tale registro. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 48, paragrafo 2.";
Prima di analizzare l’articolato è indispensabile citare anche la definizione di registro elettronico come stabilita nella proposta di cui al numero 53) nell’articolo 3 dedicato alle definizioni.
53) “registro elettronico”, un registro elettronico di dati a prova di manomissione, che garantisce l’autenticità e l’integrità dei dati che contiene, nonché l’accuratezza della data e l’ora e dell’ordine cronologico di tali dati.
L’articolo 45 nonies stabilisce la validità legale del registro elettronico nel tipico stile della normativa comunitaria già applicato per le firme, i sigilli elettronici e le altre fattispecie trattate nel Regolmento vigente.
Nel secondo paragrafo dell’articolo vengono stabiliti gli effetti giuridici di un registro elettronico qualificato.
L’articolo 45 decies stabilisce i requisiti per i registri elettronici qualificati e lo fa riprendendo i concetti della definizione. I requisiti stabiliti sono senza dubbio strettamente collegati ai concetti basilari della DLT (Distribuited Ledger Technology) ovvero della tecnologia dei registri distribuiti (spesso indicati come blockchain) ma la parola “distribuito” non viene utilizzata, si parla di “decentrato”.
Risulta interessante il principio dell’accuratezza di data ed ora per i dati nel registro che può favorire nuovi sistemi di validazione temporale alternativi alla marcatura temporale. Questi nuovi meccanismi già oggetto di attenzione scientifica hanno il vantaggio di essere indipendenti dai certificati digitali che hanno il problema della scadenza della validità.
Il lettore che vuole approfondire questo specifico argomento, può consultare il draft di specifica Internet, RFC al collegamento seguente:
L’articolo 45 decies si conclude che la previsione, facoltativa per la Commissione, di emettere atti di esecuzione che, una volta applicati rendono i requisiti del registro elettronico qulaificati conformi al Regolamento.
Il tradizionale approccio comunitario, tecnologicamente neutro, non consente valutazioni specifiche sulla realizzazione dei registri elettronici.
Qualche dettaglio in più ce lo fornisce il considerando 34) nelle premesse:
I registri elettronici qualificati registrano dati in maniera tale da garantirne l'unicità, l'autenticità e il corretto sequenziamento senza possibilità di manomissioni. I registri elettronici combinano l'efficacia della validazione temporale dei dati e la certezza riguardo al loro originatore, in maniera simile alla firma elettronica, con l'ulteriore vantaggio di consentire modelli di governance maggiormente decentrati, adatti alle cooperazioni multilaterali. Tali registri creano ad esempio una pista di controllo affidabile per quanto riguarda la provenienza delle merci nel commercio transfrontaliero, sostengono la tutela dei diritti di proprietà intellettuale, consentono mercati della flessibilità nel settore dell'energia elettrica, forniscono le basi per soluzioni avanzate di identità autosovrana e sostengono servizi pubblici più efficienti e trasformativi. Al fine di evitare la frammentazione del mercato interno è importante definire un quadro giuridico paneuropeo che consenta il riconoscimento transfrontaliero dei servizi fiduciari per la registrazione dei dati nei registri elettronici.
Si notino la citazione di modelli di governance decentrati (decentralized nel testo originale) e la traduzione “originale” ma letterale di audit trail con pista di controllo. La citazione dell’identità autosovrana è un altro elemento cruciale per determinare che la Commissione intende sviluppare queste tematiche anche sul tema dell’identità digitale distribuita.
In conclusione, si tenga in conto che il testo analizzato è relativo alla proposta di modifica del Regolamento eIDAS e quindi il testo pubblicato dalla Commissione può essere modificato o addirittura espunto in sede definitiva.
In ogni caso, qualora le modifiche proposte divengano operative, risulta cruciale l’emissione di regole sul tema, oggi facoltative, per evitare l’annoso problema che delega al mercato l’applicazione del “tecnologicamente neutro” che raramente, in particolare nell’ambito eIDAS, ha portato a risultati apprezzabili, soprattutto in tema di interoperabilità trans nazionale e trans settoriale. Su questi temi, comunque, gli enti di standardizzazione comunitaria stanno già lavorando alacremente.
A breve si attende una ulteriore bozza stabile del Regolamento.
Ne daremo tempestiva evidenza.