Blockchain e valore probatorio dei dati
May 18, 2023 2023-06-19 10:23Blockchain e valore probatorio dei dati
A cura di Lorenzo Savastano[1]
- Blockchain: un nuovo terreno su cui “inseguire il denaro”
Il rapporto “Cryptocurrencies: Tracing the Evolution of Criminal Finances”, pubblicato lo scorso anno dall’agenzia di law enforcement dell’Unione Europea Europol, ha chiaramente evidenziato come l’uso illecito di valute virtuali – per scopi di riciclaggio di capitali di origine illecita – non appaia più confinato all’area del cybercrime, ricollegandosi invece ad ogni tipo di attività illecita (soprattutto, ma non solo) a sfondo economico-finanziario.
Un’osservazione che trova conferma anche nell’ultima newsletter di Banca d’Italia, pubblicata lo scorso dicembre, dove si apprende che le segnalazioni di operazioni sospette riconducibili a digital asset, sensibilmente aumentate negli ultimi tre anni, sono sempre più correlate non solo a crimini tipicamente telematici, come frodi informatiche o a episodi di ransomware, ma anche a illeciti di natura tributaria.
Si tratta di dati che confermano come le “tracce del denaro” – da inseguire, secondo il celebre insegnamento falconiano per la ricostruzione dei più complessi scenari criminali – si siano ormai spostate su terreni meno convenzionali ma sempre più diffusi ed impiegati: i registri virtuali della blockchain.
Al riguardo, si vuole offrire nel presente contributo una riflessione riguardante un dilemma di rilevante impatto nella pratica professionale degli operatori di polizia finanziaria impiegati nella ricostruzione di fenomeni riciclatori perpetrati mediante l’utilizzo della tecnologia dei registri elettronici distribuiti e sintetizzabile nella domanda: qual è il valore probatorio dei dati riportati su una blockchain?
- Distributed Ledger Technology “aperte” e “chiuse”
Come noto, la tecnologia blockchain è una particolare forma di Distributed Ledger Technology (DLT), ovvero un registro elettronico condiviso tra più utenti di un medesimo network informatico, i cui dati sono protetti sia tramite tecniche crittografiche che attraverso la cosiddetta ridondanza dei dati (i.e. copie delle stesse informazioni possono essere validate e archiviate presso tutti i partecipanti attivi al registro)[2].
Nello specifico, si parla di blockchain perché le transazioni memorizzate sono raggruppate in una sequenza di “blocchi” collegati tra loro per via crittografica, creando così una registrazione in ordine cronologico e non modificabile di tutte le transazioni effettuate fino a quel momento.
Tra le varie distinzioni possibili tracciabili nell’alveo delle predette tecnologie, quella che maggiormente si presta ad una lettura “investigativa” in grado di far emergere l’eventuale valore probatorio delle transazioni impresse sui registri elettronici, è quella basata sul modello di governance sottostante da parte degli utenti della rete.
In dettaglio, si suole distinguere tra due macro-tipologie di DLT:
- pubblica o permissionless (“aperte”), ovvero in grado di consentire l’accesso ad ogni utente intenzionato ad unirsi alla rete, sia generando nuove transazioni – assumendo pertanto la funzione di miner (processo di validazione e finalizzazione delle transazioni) – sia leggendo il registro delle transazioni impresse sul registro.
A fronte di tali caratteristiche, protocolli di questo tipo sono prevalentemente utilizzati nel settore delle cosiddette criptovalute (e.g. le blockchain di Bitcoin ed Ethereum), nelle quali ogni partecipante può fare accesso e operare nel network senza che sia necessario rendersi identificabile o essere previamente autorizzato.
- privata o permissioned (“chiuse”), operanti solitamente per conto di una community che condivide un interesse comune e caratterizzate dalla presenza di una “Autorità centrale” preposta alla validazione dei nuovi blocchi della catena ed in grado di discriminare l’accesso degli utenti alla rete. In questo caso, l’accesso al ruolo di miner è limitato ad un numero circoscritto di utenti.
Si tratta, come vedremo, di una distinzione basilare per discernere l’eventuale “tenuta” in sede giudiziaria dei dati impressi sulla tecnologia dei registri elettronici di tipo DLT, dal momento che consente una più agevole lettura sinottica con le attuali disposizioni – di matrice sia europea che nazionale – concernenti il valore probatorio di documenti informatici.
- La normativa unionale e nazionale sul timestamp
Il Regolamento (UE) numero 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014 (in avanti: Regolamento eIDAS), al fine di creare un mercato unico digitale all’interno dei confini politici dell’Unione europea, introduce – tra gli altri – una serie di strumenti utili alla certificazione digitale di dati e informazioni contenute in “tracce elettroniche”.
In particolare, il Regolamento eIDAS delinea una peculiare procedura di validazione dei dati informatici denominata “firma elettronica”, al cui genus appartengono:
- la “firma elettronica” cosiddetta pura: costituita da dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare;
- la “firma elettronica avanzata”: firma elettronica connessa univocamente al firmatario, idonea ad identificarlo, creata con mezzi che il firmatario può utilizzare sotto il proprio esclusivo controllo e collegata ai dati sottoscritti in modo da poterne far rilevare l’eventuale modifica;
- la “firma elettronica qualificata”: firma elettronica avanzata a cui è associato un certificato rilasciato da un prestatore di servizi qualificato.
Il precipitato nazionale delle disposizioni europee è il D. Lgs. 7 marzo 2005, numero 82 (Codice dell’Amministrazione Digitale – CAD) che, oltre ad adattare la normativa domestica agli standard unionali, affianca a tali strumenti la “firma digitale”, ovvero “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici” (vide art. 1, comma 1, lett. s CAD).
Ciò posto, con riferimento al valore probatorio del documento informatico – validato con una delle predette procedure – all’interno dei procedimenti giudiziari, corre evidenziare come il Regolamento eIDAS, all’art. 25 (rubricato “Effetti giuridici delle firme elettroniche”) stabilisca che “a una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate”.
Una regola procedurale, quest’ultima, mutuata in Italia nell’art. 20, comma 1 bis CAD, ove è disposto che il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’art. 2702 del codice civile (ovvero fa piena prova fino a querela di falso) “[…] quando vi è apposta la firma digitale, altro tipo di forma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID [Agenzia per l’Italia digitale, n.d.r.]… in modo da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivocabile la sua riconducibilità all’autore”.
A corollario della richiamata disposizione, il successivo comma 1 ter stabilisce – infine – che “l’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare di firma elettronica, salvo che questi dia prova contraria”.
Più specificamente, l’apposizione di una firma elettronica sul documento produce l’effetto di “marcatura temporale“, definito dalla Corte di Cassazione come “il processo di generazione …, ad opera di una terza parte fidata, di una “firma digitale del documento” cui è associata l’informazione relativa ad una data e ad un’ora certa”[3]. Un effetto giuridico, come evidente, molto simile alla descritta funzione di timestamp propria della tecnologia blockchain.
Qualora, in caso contrario, il documento informatico non risulti autenticato con una delle richiamate procedure tecnologiche, la mentovata disposizione del CAD stabilisce la regola del libero apprezzamento della prova da parte del giudice competente. Nello specifico, ai sensi del secondo periodo del già richiamato comma 1 bis dell’art. 20, CAD, “l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità”.
In tale ipotesi, in particolare, la data e l’ora di formazione del documento informatico saranno opponibili ai terzi solo se “apposte in conformità alle Linee guida” emesse in forza dell’art. 71 CAD, ovvero ai canoni e agli standard di sicurezza informatica contenute (prevalentemente ma non esclusivamente) nel D.P.C.M. del 13 novembre 2014.
- Riflessioni sulle “tracce elettroniche” della blockchain
I sistemi di validazione dei dati digitali enucleati dal CAD, nel rispetto dei parametri unionali del Regolamento eIDAS, riportano il cursore argomentativo alla tecnologia DLT descritta in premessa, dischiudendo una serie di riflessioni operative sull’utilizzabilità – nell’ambito di un procedimento giudiziario – delle informazioni impresse sui registri della blockchain.
Riprendendo la richiamata distinzione tra reti aperte e chiuse, può difatti agevolmente evincersi come la validità “giuridica” delle transazioni impresse su blockchain appaia mutare a seconda della tipologia di “network” in cui le stesse sono ospitate.
Nello specifico:
- nelle blockchain aperte, non essendo richiesta – come visto – la previa identificazione degli utenti, il problema operativo risiede essenzialmente nella riconducibilità della transazione allo user che ne determina la verificazione, dal momento che le chiavi elettroniche non sono rilasciate da soggetti aventi i requisiti ascrivibili ai Trust Service Provider, ovvero i “prestatori di servizi fiduciari qualificati” di cui agli artt. 13 e seguenti del Regolamento eIDAS.
Si tratta, in dettaglio, di una categoria di prestatori di servizi elettronici, forniti normalmente dietro remunerazione, consistenti – inter alia – nella “creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi”, in possesso degli stringenti requisiti previsti dal predetto Regolamento europeo.
Per tale ragione, in tale tassonomia di DLT, appare non configurabile un’assimilazione tout court della rilevanza probatoria delle transazioni riportate su blockchain a quella dei documenti sottoscritti con firma elettronica avanzata, non essendo equiparabili le chiavi crittografiche utilizzate nelle DLT a tale tipologia di firma elettronica. Varrà dunque, in tali casi, la regola della libera valutazione del giudice, che dovrà decidere sull’idoneità del soddisfacimento della forma scritta del documento sulla base dei parametri positivizzati nel richiamato comma 1 bis dell’art. 20 CAD;
- nelle blockchain chiuse, la circostanza che l’accesso sia consentito solo a soggetti già identificati dalla piattaforma che rende disponibile la fruizione del registro informativo, consente di superare in maniera più lineare il problema dell’identificazione dei titolari effettivi delle chiavi crittografiche.
Laddove i provider di servizi connessi a digital asset soddisfino i criteri previsti per la categoria dei predetti TSP, sarà, quindi, possibile creare un sistema di firma elettronica avanzata con cui sottoscrivere le transazioni basate sulla blockchain, vestendo tali informazioni della dignità probatoria prevista dall’art. 2702 del codice civile.
- Il confine tra VASP e TSP
Conclusivamente, al fine di vagliare la “veste giudiziaria” dei dati riportati su un registro elettronico basato sulla tecnologia DLT, occorrerà pertanto misurare la possibile assimilazione delle due categorie di Virtual Asset Service Provider (VASP) disciplinati dal D. Lgs. 21 novembre 2007, n. 231 (ovvero i prestatori di servizi relativi all’utilizzo di valuta virtuale e i prestatori di servizi di portafoglio digitale), alla categoria dei “prestatori di servizi fiduciari qualificati” delineata dal Regolamento eIDAS.
In concreto, dunque, solo qualora i parametri di rilascio delle chiavi crittografiche da parte dei VASP risultino soddisfare i requisiti di sicurezza, integrità e immodificabilità tecnologica imposti dalle richiamate Linee Guida, approntate in ossequio alle disposizioni italiane del CAD e unionali del Regolamento eIDAS, i dati riguardanti le transazioni degli utenti potranno – difatti – considerarsi un documento informatico legalmente riconosciuto.
Una prospettiva che, come evidente, renderebbe le transazioni impresse sulla blockchain non solo indelebili tracce elettroniche a disposizioni degli investigatori, ma anche solidi “elementi di prova” a disposizione dell’Autorità Giudiziaria.
[1] Maggiore della Guardia di Finanza, in servizio presso il Nucleo di Polizia Economico-Finanziaria di Milano (savastano.lorenzo@gdf.it).
[2] In materia, tra i vari contributi, si segnalano: POTENZA G., Fintech e Blockchain, in AA.VV. (a cura di CORAPI E. e LENER R.), I diversi settori del Fintech. Problemi e Prospettive, Milano, 2019, p. 76; ANNUNZIATA F. – CONSO A., Le criptovalute nell’ordinamento italiano ed internazionale, in AA.VV. (a cura di AVELLA F.), Bitcoin e Criptovalute, Milano, 2021, pp. 20 e ss; SAVASTANO L., Following the (vitual) money: il valore probatorio delle transazioni elettroniche impresse sulla blockchain, su Il Centauro – Rivista di formazione ed aggiornamento per le Forze di polizia, n. 256 del maggio 2023.
[3] Cassazione Civ. Sez. I Ord., 13 febbraio 2019, n. 4251.
Cerca
Categorie