Il 3 giugno 2021 è una data che, con ogni probabilità, ricorderemo a lungo. Chiunque (come chi scrive) abbia creduto, studiato e analizzato lo sviluppo dei modelli di identità digitale, vede, oggi, chiudersi un cerchio, e la linea che, sino ad ora, disegnava scenari d’innovazione futuribili, cambia nel segno e nell’impronta, a delineare un tratto marcato di determinazione.
Il 3 giugno 2021 la Commissione ha diffuso una proposta di revisione del regolamento eIDAS[1] per stabilire un quadro comunitario che supporti un’Identità Digitale europea, insieme a un documento di raccomandazioni per lo sviluppo di un nuovo Digital Wallet paneuropeo. Nella proposta emerge un nuovo servizio fiduciario per la gestione di ciò che, non senza qualche timidezza, viene chiamato “registri elettronici”.
A distanza di poche ore dalla pubblicazione di entrambi i documenti, vediamo in questo breve articolo gli elementi che maggiormente impattano l’evoluzione di soluzioni per la marcatura temporale (timestamp) basate su Distributed Ledger, nel rispetto di una governance più decentralizzata. La breve disamina permette altresì di stimare l’impatto sullo sviluppo dei sistemi di Identità Digitale decentralizza, basati sul modello SSI (Self-Sovereign Identity).
I nuovi servizi fiduciari qualificati
Con l’obiettivo di offrire una risposta concreta alle dinamiche dei mercati e agli sviluppi tecnologici, la proposta di revisione del regolamento eIDAS diffusa questo pomeriggio, estende l’attuale elenco dei servizi fiduciari con tre nuovi servizi fiduciari qualificati: fornitura di servizi di archiviazione elettronica, registri elettronici e gestione di dispositivi per la creazione di firme elettroniche e sigilli a distanza.
Si scrive “registri elettronici” … e si legge registri distribuiti.
Sebbene di primo acchito non traspaia alcuna traccia nitida, tale da condurre a ritenere inclusa nella nuova proposta una definizione di registri distribuiti, una più attenta disamina del memorandum esplicativo che accompagna il testo evidenzia ben più di un riferimento a questa tecnologia, laddove si parla di “registri elettronici”. Tali registri (si legge), forniscono agli utenti una prova e una traccia di controllo immutabile per la sequenza delle transazioni e dei dati memorizzati, salvaguardando l’integrità dei dati medesimi.
Un’intera nuova sezione (rubricata come undicesima) del regolamento eIDAS in modifica, stabilisce un quadro per i servizi fiduciari per quanto riguarda la creazione e il mantenimento di registri elettronici e di registri elettronici qualificati.
Un registro elettronico combina la marcatura temporale dei dati e la loro sequenza con la certezza dell’originatore dei dati, simile alla firma elettronica, con l’ulteriore vantaggio di consentire una governance più decentralizzata e adatta alla cooperazione tra più parti.
Questo aspetto rileva per casi d’uso che possono essere costruiti su Distributed Ledger Technology, fra cui si annoverano: Self-Sovereign Identity, attribuzione di una ownership a beni digitali (si pensi, ad esempio, ai vantaggi offerti dagli NFT, i Non-Fungible Token, di cui abbiamo trattato in un precedente articolo), registrazione dei processi aziendali per verificare la conformità ai criteri di sostenibilità e per vari casi d’uso nei mercati dei capitali.
Il considerando n. 34, inoltre, nel ribadire la definizione di registri elettronici qualificati di cui sopra, esemplifica alcune opportunità che rinvengono nell’adozione dei medesimi, fra cui: la creazione di una traccia di controllo affidabile per la provenienza delle merci nel commercio transfrontaliero, il supporto della protezione dei diritti di proprietà intellettuale, lo sviluppo di mercati flessibili dell’energia elettrica, il supporto di servizi pubblici più efficienti, oltre ai già richiamati modelli SSI.
Il nuovo servizio fiduciario di gestione e mantenimento dei registri elettronici
Quantunque il nuovo servizio fiduciario in discorso (si legge sempre nel memorandum) non facesse parte della valutazione d’impatto per la revisione del regolamento eIDAS, è altrettanto vero che esso si basa sui servizi fiduciari esistenti, in quanto combina la marcatura temporale dei dati e la loro sequenza con la certezza dell’autore dei dati, similmente alla firma elettronica.
I registri elettronici aiutano le aziende nell’efficientare il coordinamento di processi cross-party, rendendolo più sicuro e facilitandone la supervisione regolamentare. In assenza di una regolamentazione europea, c’è il rischio che i legislatori nazionali stabiliscano standard nazionali divergenti.
La necessità di includere nel novero dei servizi fiduciari questo servizio, in linea con quanto previsto dal Digital Finance Package diffuso dalla Commissione europea a settembre dello scorso anno (si veda qui un approfondimento a firma di chi scrive), dovrebbe poter evitare la frammentazione del mercato interno, definendo un unico quadro paneuropeo tale da consentire il riconoscimento transfrontaliero dei servizi fiduciari che supportano il funzionamento dei registri elettronici. Questo standard paneuropeo per gli “operatori di nodo” (riteniamo legittimo attribuire a questa definizione il significato di nodo di un’architettura DLT), si applicherà nonostante la promulgazione di normative secondarie dell’UE, eventualmente già attuate o in fase attuativa.
La puntualizzazione in esame non può non indurci a pensare (seppur anche solo per libera associazione …), al Decreto-legge del 14 dicembre 2018 n. 135 (c.d. “Decreto semplificazioni”), la cui regolamentazione secondaria che avrebbe dovuto dare attuazione all’Art.8-ter, al momento in cui si scrive questo articolo non è ancora stata emanata[2].
La certificazione dei prestatori qualificati del servizio di gestione e mantenimento dei registri elettronici
La certificazione come prestatori qualificati di servizi fiduciari relativi alla gestione e al mantenimento dei registri elettronici, dovrebbe fornire certezza giuridica per i casi d’uso che si basano su DLT. Il servizio fiduciario per i registri elettronici e i registri elettronici qualificati, nonché la certificazione come prestatore di servizi fiduciari qualificato per i registri elettronici, dovrebbero vigere a prescindere dalla necessità che i casi d’uso siano conformi al diritto dell’Unione o al diritto nazionale, nel rispetto del diritto dell’Unione.
Quando i registri elettronici, tuttavia, sono utilizzati per l’emissione e/o la negoziazione di obbligazioni, o cryptoasset, i casi d’uso dovrebbero essere compatibili con tutte le norme applicabili in ambito finance e digital finance, quali la direttiva sui mercati degli strumenti finanziari[3] , la direttiva sui servizi di pagamento (PSD2[4] e sue evoluzioni) e il futuro regolamento sui mercati dei cryptoasset[5] (il c.d. “Regolamenti Mi.Ca”). Se i casi d’uso coinvolgono la gestione e il trattamento de dati personali, i fornitori di servizi dovranno parimenti rispettare il GDPR.
Le modifiche al regolamento eIDAS
Per quanto attiene i registri distribuiti, la proposta di revisione del regolamento eIDAS diffusa quest’oggi interviene modificando il positive scope soggettivo e oggettivo, includendo nel quadro giuridico di riferimento i “registri elettronici”[6], estendendo la definizione di “servizio fiduciario” a includere la registrazione di dati elettronici in un registro elettronico[7] e prevedendo l’obbligo di certificazione per i prestatori qualificati del servizio fiduciario in parola.
Una nuova sezione del regolamento (la undicesima) è interamente dedicata ai registri elettronici, ad una prima lettura della quale emergono:
- il riconoscimento degli effetti legali dei registri elettronici;
- i requisiti per i registri elettronici qualificati.
In relazione agli effetti legali, viene chiaramente definito che a un registro elettronico non possono essere negati gli effetti giuridici e l’ammissibilità come prova in un procedimento giudiziario solo per il fatto che è in forma elettronica o che non soddisfa i requisiti per i registri elettronici qualificati. Un registro elettronico qualificato gode della presunzione di unicità e autenticità dei dati che contiene, dell’accuratezza della loro data e ora, e del loro ordine cronologico sequenziale all’interno del registro stesso.
In merito ai registri elettronici qualificati, essi devono soddisfare i seguenti requisiti:
- sono creati da uno o più fornitori di servizi fiduciari qualificati;
- assicurano l’unicità, l’autenticità e la corretta sequenza delle voci registrate nel registro;
- assicurano il corretto ordine cronologico sequenziale dei dati nel registro e l’accuratezza della data e dell’ora di inserimento dei dati;
- registrano i dati in modo tale che qualsiasi cambiamento successivo dei dati sia immediatamente rilevabile.
Il rispetto di detti requisiti è presunto quando un registro elettronico soddisfa le norme che la Commissione può, mediante atti di esecuzione, stabilire (in particolare ci si riferisce ai processi di esecuzione e registrazione di una serie di dati in un registro elettronico qualificato e alla creazione dello stesso).
Conclusioni
Terminiamo questo breve articolo che, scritto nell’immediato post-pubblicazione della proposta di revisione del regolamento eIDAS, ha ritenuto opportuno trattare di un tema, quello delle DLT e dell’Identità Digitale, ampiamente analizzato nei contributi offerti da PagamentiDigitali e Blockchain4Innovation. Rimandiamo il lettore a successivi approfondimenti per altri aspetti estremamente rilevanti del nuovo quadro legislativo comunitario, fra cui vale ricordare (uno su tutti) il nuovo Digital Identity Wallet europeo che, nella previsione della Commissione, dovrebbe essere (indicativamente) realizzato entro il termine di due – quattro anni dall’adozione del nuovo regolamento.
NOTE
[1] Regolamento (UE) 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.
[2] Ricordiamo che nel nostro paese, la memorizzazione di un documento informatico attraverso l’uso di tecnologie basate su registri distribuiti produce gli effetti giuridici della validazione temporale elettronica, ai sensi di quanto previsto dal Decreto-legge del 14 dicembre 2018 n. 135 (c.d. “Decreto semplificazioni”).
[3] Direttiva (UE) 2014/65 del 15 maggio 2014.
[4] Direttiva (UE) 2015/2366 del 25 novembre 2015.
[5] Proposta di regolamento del mercato dei cryptoasset, inclusa nel Digital Finance Package del 24 settembre 2020.
[6] Art. 1, lettera c del regolamento (EU) 910/2014.
[7] Art. 3, punto 16 del regolamento (EU) 910/2014.