• Studio Legale Cappello

La blockchain permissionless a servizio della Pubblica Amministrazione

La digitalizzazione e l’informatizzazione della Pubblica Amministrazione italiana è diventato un obiettivo strategico delle politiche normative, nazionali ed europee, degli ultimi anni.

Se in una fase iniziale l’obiettivo era il raggiungimento del c.d. e-government, la fase successiva e più recente tende al raggiungimento del c.d. open government.


Con e-government si intende non solo la digitalizzazione del documento cartaceo ma dell’intero procedimento amministrativo, presupponendo un’amministrazione pubblica on line, che disponga di servizi efficienti, dinamici e moderni.


L’open government è, invece, un diverso modello di amministrazione pubblica che mira a procedimenti e decisioni più trasparenti e aperti alla partecipazione dei cittadini attraverso tre principi cardine: la trasparenza delle informazioni; la partecipazione dei cittadini nei processi decisionali e nella definizione delle politiche; l’accountability, ovvero l’obbligo dei governi di “rendere conto” ai cittadini del proprio operato.



La realizzazione di un obiettivo tanto ambizioso, soprattutto se confrontato alle lungaggini burocratiche della pubblica amministrazione italiana, non può prescindere dal supporto delle nuove tecnologie.

In particolare, la Blockchain è, tra le nuove tecnologie, quella che promette i maggiori vantaggi per l’efficientamento dei procedimenti amministrativi, in termini di tempo e costo, con un notevole incremento della sicurezza della rete.


La Blockchain è una piattaforma software che ospita dati e transazioni. I dati, una volta traslati nella piattaforma, sono distribuiti contemporaneamente a tutti i computer della piattaforma e replicati in blocco, uniti l’uno con l’altro come una catena.

L’importanza dell’implementazione della Blockchain nel settore amministrativo è, senza dubbio, condivisa a livello europeo. Basti pensare che, per orchestrare, favorire e stimolare l’innovazione offerta dalla Blockchain, ben 23 paesi europei hanno deciso di dare vita alla European Blockchain Partnership, una iniziativa che punta a favorire la collaborazione tra gli Stati membri per lo scambio di esperienze e di expertise, sia sul piano tecnico sia su quello della regolamentazione.


Ma il punto più importante di questa partnership riguarda la progettazione e il lancio di una Blockchain dell’Unione Europea da sviluppare in sinergia con i piani del Digital Single Market, come base e infrastruttura per il settore pubblico e per le imprese private.


Per quanto riguarda l’Italia, il fulcro della discussione tra gli amministrativisti non attiene tanto all’implementazione della Blockchain nel settore pubblico, seppur ancora poco discussa a livello accademico, quanto alla contrapposta fazione tra sostenitori delle blockchain permissionless e permissioned.


La Blockchain permissionless è la Blockchain per eccellenza, in quanto la nascita della prima Blockchain nel 2008, ad opera di Satoshi Nakamoto, era, appunto, permissionless.

La prima fondamentale differenza tra Blockchain permissioned e permissionless attiene all’autorizzazione all’ingresso in piattaforma, vincolato nel primo caso e libero nel secondo caso.

Sul punto, si legge molto spesso che la mancanza di autorizzazione all’ingresso implichi che chiunque possa avere accesso alla piattaforma. Al riguardo, è opportuno fare un chiarimento, in quanto, è vero che la Blockchain permissionless si fonda sulla libertà di accesso alla piattaforma, incarnando il concetto stesso alla base di questa tecnologia, ossia la decentralizzazione, ma sempre previa identificazione univoca digitale.


È importante, infatti, distinguere tra identificazione degli utenti e libertà di accesso alla piattaforma, vale a dire che l’accesso è sempre condizionato all’espletamento delle procedure di identificazione univoca digitale che devono attestare la perfetta coincidenza della identità fisica, traslandola in identità digitale.

Autorizzazione ad accedere vuol dire che si fa riferimento ad un ecosistema chiuso, a cui possono accedere solo i soggetti autorizzati.


Inoltre, mentre nelle Blockchain permissionless ogni nodo è validatore e verificatore dei dati e delle transazioni registrate su tutti i nodi, sulle Blockchain permissioned non tutti i nodi hanno la stessa funzione, ma solo determinati nodi hanno il potere di validare e verificare i dati e le informazioni, così come hanno il potere di autorizzare l’accesso alla piattaforma.

L’assunto ha riflessi in termini di trasparenza e di fiducia. Nelle Blockchain permissionless, la perfetta trasparenza, dovuta al ruolo paritario tra i nodi che possono verificare e validare le informazioni e le transazioni, permette di definire il sistema come trustless, vale a dire non è necessario fidarsi di un’autorità centrale deputata alla validazione dei dati, come avviene nei sistemi centralizzati, ma si instaura un processo di fiducia nel sistema, sostenuto dalla consapevolezza di poter verificare i dati storicizzati dalla piattaforma.


Le piattaforme permissioned, viceversa, hanno una centralizzazione più o meno variabile, ma prevedono, in ogni caso, un ruolo centrale di taluni nodi, rinunciando a parte della trasparenza tipica della Blockchain. Tale parziale o totale oscuramento, ha riflessi in termini di fiducia, in quanto i nodi non potranno fidarsi necessariamente del sistema ma dovranno fidarsi dei nodi validatori, in quanto non potranno vedere ogni operazione né potranno partecipare alla validazione dei dati.

La differenza con i sistemi tradizionali accentrati, in altri termini, è che, nella Blockchain permissioned, l’accentramento avviene su più nodi e non su un’unica unità centrale.


Tale impostazione, peraltro, contrasterebbe con la stessa normativa interna che sancisce “la libertà di accesso di chiunque ai dati e ai documenti detenuti dalle pubbliche amministrazioni” (art. 2 del D.lgs. 33/2013 sul riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni).


La partecipazione ai dati ed ai documenti, con i giusti limiti imposti per questioni di diritto pubblico o privato, è quindi garantita a “chiunque” e non solo agli autorizzati.

Fermo restando, tra l’altro, che la privacy può essere sempre attuata con la criptazione di determinati dati sensibili, privati o pubblici.

Il parziale decentramento delle Blockchain permissioned ha riflessi anche in termini di sicurezza e metodo del consenso.


Un algoritmo di consenso può essere definito come il meccanismo attraverso cui la Blockchain raggiunge il consenso. Le Blockchain permissionless sono sviluppate come sistemi distribuiti e, poiché non si basano su un’autorità centrale, i nodi distribuiti devono concordare sulla validità delle transazioni. Inoltre, la replicazione del dato su tutti i nodi della piattaforma si traduce in un incremento di sicurezza contro eventuali data breach.


La piattaforma blockchain, infatti, non è inviolabile in assoluto ma, replicando il dato su ogni nodo, rende di fatto troppo “costoso” il tentativo di compromettere la piattaforma, in quanto dovrebbe essere violato ogni nodo della piattaforma per poter modificare un singolo dato.

È chiaro, quindi, che la solidità di una rete Blockchain si fonda, non sul sistema, ma sul numero di nodi partecipanti. Qualunque nodo sarà in grado di accedere al libro mastro e verificare la correttezza delle transazioni o vedere se i dati inseriti sono coerenti, risalendo alla storicizzazione dei dati registrati.

Per tale ragione, le Blockchain permissioned sono considerate meno sicure, in quanto hanno meno nodi e registrano solo alcune operazioni su tutti i nodi, privilegiando l’accentramento di talune informazioni.

Chiarite le differenze fondamentali tra le Blockchain permissionless e permissioned, è opportuno analizzare le ragioni espresse dalla dottrina a sostegno della Blockchain autorizzata.


La differenza tra Blockchain permissioned ed permissionless è spesso dominata da estrema confusione.

Le stesse differenze appena delineate, seppur pacifiche per gli informatici, risultano assai spesso confuse nell’ambito giuridico. In tal modo, si legge molto spesso che l’unica differenza tra Blockchain permissionless e permissioned risieda nel fatto che in quest’ultima possa accedere “chiunque” e che non vi siano differenze di sorta in termini di metodo del consenso, sicurezza e trasparenza.


L’assunto è facilmente contestato dalla stessa struttura tecnica che sorregge la Blockchain. Quel che sfugge, spesso, è che la piattaforma non è inviolabile in assoluto, ossia non è la tecnologia, come già detto, ad essere inviolabile. La creazione della Blockchain ha risposto ad esigenze di maggiore sicurezza decentralizzando i dati su tutti i nodi della piattaforma, ed è tale replicazione multipla a tradursi in un costo eccessivo per chi intenda violare i dati registrati sulla piattaforma. Al tempo stesso, la nozione di trasparenza e partecipazione al consenso attiene alla distribuzione del dato su ogni nodo che partecipa alla validazione della transazione e può verificare i dati registrati. Una piattaforma in cui solo alcuni nodi hanno il potere di validare e verificare tutti i dati si traduce in un parziale oscuramento sia in termini di trasparenza che di partecipazione al metodo del consenso.


La contraddizione più diffusa tra i giuristi, sostenitori delle Blockchain permissioned, attiene proprio al fatto che pongano a fondamento della propria scelta l’importanza della Blockchain per garantire trasparenza, sicurezza, decentralizzazione e partecipazione al consenso da parte dei cittadini che non devono essere meri destinatari delle certificazioni amministrative ma partecipi al processo decisionale.

Per altro verso, questa stessa corrente dottrinaria aggancia la preferenza per le Blockchain permissioned alla necessaria presenza di nodi validatori che operino quali erogatori di soluzioni di firma elettronica con la valenza probatoria di cui all’articolo 2702 c.c..


A tale esigenza, in realtà, ha già risposto il legislatore, prevedendo lo strumento dello SPID, attuativo della direttiva europea eIDAS (Reg. UE n. 94/2014 electronic IDentification Authentication and Signature) con cui l’Italia ha riconosciuto il sistema pubblico di identità digitale come mezzo di accesso ai servizi online della P.A., per l’identificazione univoca digitale dei cittadini nel territorio europeo.


Con le linee guida emanate dall’Agid il 26 marzo 2020, è stato previsto l’utilizzo del sistema SPID per poter firmare i documenti da remoto con valenza di prova scritta ai sensi dell’art. 2702 del Codice Civile.


Pertanto, non sono necessari nodi validatori, ma è sufficiente utilizzare lo SPID che è già previsto proprio per il settore pubblico ed ha la funzione di identificare e permettere la sottoscrizione di documenti con la stessa validità di cui all’articolo 2702 c.c..


A sostegno della preferenza per le Blockchain permissioned, tale corrente dottrinaria fonda altri due rilievi: le migliori performance tecniche e la “volatilità” della piattaforma permissionless.

L’assunto è frutto di un equivoco in termini tecnici. La migliore performance delle piattaforme permissioned è legata, in realtà, al minor numero di nodi che partecipano alla piattaforma, per cui le registrazioni dei dati sono più veloci. Una piattaforma pubblica, in cui potenzialmente possono partecipare tutti i cittadini italiani, non potrà tecnicamente avvalersi di tale “velocità”, salvo voler consentire l’accesso solo a taluni cittadini, traducendosi in una ovvia violazione del diritto dei cittadini esclusi.


La migliore performance non è, quindi, legata ad una asserita “volatilità” delle Blockchain permissionless. Non è la blockchain ad essere “volatile” ma la criptovaluta ospitata dalla piattaforma che, in assenza di una regolamentazione normativa o di un organo centrale, ha ovviamente un “prezzo” assai volatile.


Preme, in ogni caso, sottolineare che talune piattaforme utilizzano algoritmi di consenso e metodi di crittografia dei dati che migliorano l'efficienza della Blockchain senza rinunciare alla sicurezza.

Il concetto di volatilità viene, per altro verso, agganciato alla partecipazione volontaria dei nodi ed ai meccanismi di mercato che espongono a fluttuazioni di mercato e comprometterebbero la capacità operativa della piattaforma, rendendola non operativa nel tempo, perché potrebbe spingere i nodi ad “abbandonare” la piattaforma.


L’assunto è privo di logica, oltre che di fondamento.


In primis, la Pubblica Amministrazione offre pubblici servizi indispensabili al cittadino. Pertanto, la “partecipazione” del cittadino alla piattaforma non sarebbe legata a finalità speculative ma alla necessità di avvalersi di un servizio pubblico efficiente e trasparente.

Inoltre, è necessario specificare che le piattaforme si fondano su token e coin, utilizzati per caricare ed eseguire gli smart contract e le dApps, ma non tutte le piattaforme permissionless ospitano token ed coin con un valore di scambio o un elevata speculatività.


Facendo riferimento alla tripartizione condivisa anche dalle normative estere (come quella Svizzera) i token ed i coin possono essere di tre tipologie: 1. utility, ossia utilizzati per accedere ed usufruire dei servizi offerti dalla piattaforme; 2. security, equivalenti a partecipazioni a quote societarie; 3. payment, utilizzati come moneta di scambio.


I token ed i coin del tipo utility hanno, quindi, una speculatività limitata ai servizi offerti dalla piattaforma, pur attuando il meccanismo di ricompensa dei miners e dei masternode, che hanno un ruolo essenziale per l’operatività della piattaforma.


In definitiva, i timori mossi da parte dei giuristi nei confronti dell’applicabilità delle Blockchain permissionless alla Pubblica Amministrazione, si traducono in una nuvola di fumo.


Se l’open government si fonda sulla trasparenza delle informazioni, sulla partecipazione dei cittadini nei processi decisionali e nella definizione delle politiche e sull’accountability, ovvero l’obbligo dei governi di “rendere conto” ai cittadini del proprio operato, come può una Blockchain permissioned, parzialmente oscurata ed accentrata, garantire tutto questo?


Il passaggio dall’attuale sistema di governo della Pubblica Amministrazione a quello espresso dall’open government non si limita ad efficientare il procedimento amministrativo, ma impone una partecipazione dei cittadini attiva e una trasparenza nei dati pubblici che non può essere attuata con sistemi accentrati, che sarebbero una replica dell’attuale sistema.


La verità, palese, è che vi è un errore di fondo, vale a dire cercare di plasmare la Blockchain all’attuale assetto normativo ed ai rapporti giuridici tra pubblici poteri e cittadini come oggi impostati, cercando di replicare il paradigma della centralizzazione del potere decisionale, mascherandolo con una decentralizzazione solo apparente. Quel che sfugge, a ben vedere, è la comprensione che la tecnologia è sempre più veloce del legislatore, si sviluppa e muta i rapporti interpersonali a prescindere dai profili giuridici, dovendo essere il legislatore ad adattarsi alla tecnologia e non viceversa, come già è stato e come sarà anche con la Blockchain.


La novità della Blockchain non risiede nella trasparenza o meno, tanto acclamata, ma nella partecipazione del cittadino al procedimento amministrativo, a quella condivisione collettiva di dati che è presupposto per l’assunzione delle decisioni. La Blockchain può rivoluzionare la Pubblica Amministrazione, invertendo la rappresentanza decisionale accentrata, con una nuova formula di partecipazione attiva del cittadino al processo decisionale.


Il rapporto tra cittadino e Pubblica Amministrazione muterà, a prescindere dai timori mossi, e la Blockchain permissionless è la migliore soluzione per l’attuazione non solo della trasparenza, dell’economia e del buon andamento della Pubblica Amministrazione, ma per realizzare, finalmente, un nuovo rapporto di fiducia nell’amministrazione pubblica.