Nel corso delle precedenti newsletter mensili, abbiamo tentato di accompagnare i nostri lettori in una serie di approfondimenti legati al tema della blockchain e degli smart contracts[1]. Il Data Act[2], nel regolamentare il diritto di accesso ai dati prodotti dagli IoT (Internet of Things o Internet delle cose) e nel contesto più ampio relativo ad una strategia europea dei dati (cd. European Data Strategy), prevede anche delle disposizioni specifiche inerenti ai contratti intelligenti o smart contracts in inglese.
Il Regolamento in parola, direttamente applicabile in tutta l’Unione Europea senza necessità di recepimento da parte di leggi nazionali, entrerà pienamente in vigore a partire dal 12 settembre 2025, con alcuni differimenti agli anni successivi limitatamente ad alcune sezioni o disposizioni di dettaglio e rimandando al 2028 una valutazione globale del regolamento e presentando al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo una relazione sulle principali conclusioni tratte (art. 46).
La definizione di contratto intelligente è contenuta nell’art. 2 rubricato “Definizioni” secondo cui, uno smart contract è un “programma informatico utilizzato per l’esecuzione automatica di un accordo o di parte di esso utilizzando una sequenza di registrazioni elettroniche di dati e garantendone l’integrità e l’accuratezza del loro ordine cronologico” e dovrà rispettare i requisiti previsti dal Data Act solo se utilizzato per “rendere disponibili i dati” (cfr. art. 2 pt. 39, QUI)
In altre parole il corposo regolamento (composto da 119 Considerando e 50 articoli), al fine di rispondere alle necessità dell’economia digitale e di eliminare gli ostacoli al buon funzionamento del mercato interno dei dati, intende stabilire “un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale base.” (cfr. Considerando n. 3) e, quindi, obbligando i produttori e i progettisti di dispositivi IoT a condividere i dati generati dall’uso dei dispositivi con gli utenti o con terze parti designate dagli utenti.
Una rivoluzione copernicana per i fornitori di servizi IoT e per le aziende
L’approvazione del Data Act rappresenta una rivoluzione significativa sia per i fornitori di Internet delle cose (IoT) che per le aziende (ed in particolare microimprese, piccole imprese e medie imprese) interessate ad accedere ai dati generati dagli IoT. Con questo atto, gli utenti di dispositivi IoT possono richiedere la condivisione di questi dati con terze parti, nel rispetto di determinate condizioni e limiti (articolo 4). Il Regolamento europeo impone ai fornitori di IoT (titolari dei dati) e ai destinatari terzi di stipulare un “accordo di condivisione” dei dati volto a regolamentare il flusso di informazioni. Il Data Act prevede anche l’uso di smart contract per questi accordi, segnando la prima regolamentazione dell’Unione Europea su questo tipo di contratto. Degno di nota è il Considerando n. 104 nella parte in cui afferma che per promuovere l’interoperabilità degli strumenti per l’esecuzione automatica di accordi di condivisione dei dati è necessario “stabilire requisiti essenziali relativi ai contratti intelligenti redatti da professionisti per altri o integrati in applicazioni che sostengono l’attuazione di accordi per la condivisione dei dati”, creando una connessione sempre più stretta tra il diritto e le nuove tecnologie.
Smart contracts e condivisione dei dati
Gli smart contract offrono vari vantaggi, tra cui la possibilità di ridurre i costi, soprattutto quando gli accordi di condivisione dei dati variano minimamente, ad esempio cambiando solo l’ambito di applicazione. Questi contratti intelligenti possono anche servire come misura di protezione per impedire l’uso non autorizzato o alla divulgazione dei dati da parte dei destinatari (art. 11). Inoltre, le norme sui contratti intelligenti si applicano a qualsiasi accordo di condivisione dei dati, non solo quelli tra titolari e destinatari. Ciò significa che anche l’industria delle criptovalute, che fa largo uso dei contratti intelligenti, dovrà conformarsi al regolamento in parola se gli accordi sottostanti mirano alla “condivisione dei dati”. Tuttavia, il Considerando n. 6 precisa che il Data Act, nel prevedere cd. “norme orizzontali”, lasci aperta la possibilità tanto all’Unione Europea quanto gli ordinamenti nazionali l’onere di “affrontare le situazioni specifiche dei settori pertinenti”.
Requisiti tecnici degli smart contracts
Con riferimento agli aspetti tecnici, in particolare per i servizi di trattamento dei dati, il regolamento pone in capo alla Commissione europea il potere di adottare atti al fine di integrare il regolamento ed istituire un “meccanismo di controllo delle tariffe di passaggio imposte dai fornitori di servizi di trattamento dei dati sul mercato, e di specificare ulteriormente i requisiti essenziali in materia di interoperabilità” (Considerando n. 113).
L’art. 36 (rubricato: “Requisiti essenziali relativi ai contratti intelligenti per l’esecuzione degli accordi di condivisione dei dati”) prevede che il venditore di applicazioni che utilizzano i contratti intelligenti o, in sua assenza, l’azienda (esercente attività di impresa commerciale, imprenditoriale o professionale), deve assicurare che gli smart contracts rispettino i seguenti requisiti essenziali, qui di seguito elencati:
- robustezza e controllo dell’accesso: lo smart contract, infatti, deve essere progettato by design in modo tale da offrire meccanismi di controllo dell’accesso e un grado di robustezza molto elevato per evitare errori funzionali e resistere alla manipolazione di terzi;
- cessazione e interruzione sicure (cd. kill switch) per cessare l’esecuzione automatizzata delle transazioni ad opera dello smart contract e prevedere al contempo funzioni interne tali da reimpostarlo o trasmettergli l’istruzione di fermarsi o interrompere il proprio funzionamento allo scopo di evitare esecuzioni accidentali future;
- archiviazione e continuità dei dati, per garantire, nel caso in cui si debba procedere alla risoluzione o alla disattivazione di un contratto intelligente, che vi sia la possibilità di archiviare i dati relativi alle transazioni nonché la logica e il codice del contratto intelligente al fine di tenere traccia delle operazioni effettuate sui dati in passato (cd. verificabilità);
- controllo dell’accesso, per garantire che un contratto intelligente sia protetto mediante meccanismi rigorosi di controllo dell’accesso sul piano della governance;
- coerenza, con i termini dell’accordo di condivisione dei dati che il contratto intelligente esegue.
[1] L’ultimo articolo “BLOCKCHAIN E SMART CONTRACT [EP 10/10]” è disponibile QUI.
[2] Regolamento (UE) n. 2023/2854 del Parlamento Europeo e del Consiglio del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) n. 2017/2394 e la direttiva (UE) n. 2020/1828 (regolamento sui dati).