Il presente contributo analizza la disciplina prevista dal nuovo Codice degli appalti pubblici della verificabilità telematica delle garanzie fideiussorie rilasciate su piattaforme di gestione funzionanti tecnologia “blockchain”.
1. Premessa
Il presente contributo intende analizzare la disciplina della verificabilità telematica delle garanzie fideiussorie, inserita all’interno del D. lgs. n. 36/2023 (nuovo Codice degli appalti pubblici), in particolare quando queste ultime sono rilasciate su piattaforme di gestione che funzionano grazie alla nuova tecnologia c.d. “a registri distribuiti”, più comunemente conosciuta come tecnologia “blockchain”[1]. Tale aspetto della nuova disciplina degli appalti si delinea già foriero di complessità applicative, dubbi e perplessità, che verranno sciolti, come spesso accade, nella pratica quotidiana di tali istituti.
2. I registri distribuiti per la digitalizzazione (Art. 19 e art. 30)
La digitalizzazione del ciclo di vita degli appalti, quale precisa milestone del Piano di ripresa e resilienza – PNRR (M1C1-70), ha una sua statura autonoma nel nuovo Codice dei contratti pubblici. Il legislatore ha infatti dedicato la parte II del Libro I del Codice proprio al raggiungimento di tale obiettivo, mirando ad incentivare l’utilizzo dei servizi digitali da parte della stazione appaltante e degli operatori economici per facilitare e velocizzare l’adempimento degli oneri amministrativi connessi all’espletamento delle procedure di aggiudicazione.
In tal senso si orientano le disposizioni dell’art. 19 e dell’art. 30 dello stesso. L’art. 19 esprime un generale favor verso l’utilizzo delle procedure automatizzate con espresso riferimento alla valutazione delle offerte ai sensi dell’articolo 30; l’art. 30, invece, è la prima disposizione ad abilitare l’utilizzo delle nuove tecnologie, sia di intelligenza artificiale che di registri distribuiti e rappresenta un primo tentativo di porre una disciplina generale per l’ammissibilità della decisione automatizzata da parte della stazione appaltante[2].
È in tale contesto che si inserisce l’utilizzo, già sperimentato in taluni settori[3], ma mai fatto proprio dal legislatore a livello di sistema di approvvigionamento pubblico, delle tecnologie a registro distribuito (D.l.t. o Distributed ledgers technology) per l’emissione e gestione delle garanzie fideiussorie nel ciclo di vita dei contratti pubblici.
3. L’art. 106 comma 3 – l’opzione blockchain
In continuità con i due articoli appena analizzati, l’art. 106 (che disciplina le modalità di emissione , i contenuti e le modalità di presentazione delle garanzie per la partecipazione degli Operatori Economici (OE) alle procedure ad evidenza pubblica) al comma 3 prevede che la garanzia provvisoria a corredo dell’offerta debba essere rilasciata e firmata digitalmente, nonché verificabile telematicamente presso l’emittente “ovvero gestita mediante ricorso a piattaforme operanti con tecnologie basate su registri distribuiti ai sensi dell’articolo 8-ter, comma 1, del decreto-legge 14 dicembre 2018, n. 135”[4] . La congiunzione “ovvero” non è stata inserita in maniera casuale: l’intento del legislatore era proprio quello, da una parte, di lasciare all’operatore economico la facoltà di richiedere l’emissione di una polizza fideiussoria tramite la tecnologia c.d. blokchain e, dall’altra, all’amministrazione di accogliere nel bando di gara anche le garanzie emesse su una Distributed Ledger Technologies (DLT). È stata, quindi, sostanzialmente inserita nel testo di legge una “opzione blockchain”.
Tale opzione è poi favorita da un incentivo al suo utilizzo, previsto al comma 8 del medesimo articolo: si contempla infatti l’ipotesi che l’importo della garanzia e del suo eventuale rinnovo sia ridotto del 10 per cento, cumulabile con le altre riduzioni previste nell’articolo, qualora l’operatore abbia presentato una fideiussione che sia gestita mediate ricorso a piattaforme operanti con i registri distribuiti.
a. La definizione di blockchain
Pur considerata la rilevanza che gli viene attribuita, queste nuove tecnologie non sono in alcun modo anche solo tratteggiate nei loro elementi principali all’interno del nuovo Codice. Nel caso delle tecnologie a registri distribuiti, l’art. 106 rinvia alla definizione che ne viene data all’interno del D. L. n. 135/2018, art. 8-ter, il quale dispone che: “Si definiscono “tecnologie basate su registri distribuiti” le tecnologie e i protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili”. Una tale definizione, come si vedrà, non rispecchia pienamente quello che è il modello di blockchain richiesto dalle Regole tecniche AgID; tuttavia, restituisce in maniera generale quelli che sono gli elementi principali di una tale tecnologia.
Le tecnologie a registri distribuiti rappresentano, quindi, un meccanismo di database (o registro) avanzato che consente di archiviare i dati in blocchi (“block”) collegati tra loro in una catena (“chain”) in modo cronologicamente coerente e di condividere, in assoluta trasparenza, le informazioni all’interno della rete dei soggetti che partecipano alla catena. La certezza (della garanzia, in questo caso) sarà quindi garantita dalla crittografia dei “pacchetti di dati” presenti in ogni blocco o nodo della catena, creando così un modello “trust by computation”[5]. Tale attività di crittografia, complessa a livello computazionale, viene effettuata tramite la c.d. funzione di hash, che, al termine del processo, restituisce quello che è il c.d. “hash value”, ovvero il risultato della criptazione su un determinato dataset. Per poter decriptare il contenuto del blocco, è necessario ottenere una chiave crittografica che permetta di sciogliere il contenuto, operando una sorta di “inversione” della funzione di hash.
Tra le varie tecnologie il cui utilizzo si sta sperimentando in ambito pubblico, la blockchain è quella che “più di tutte intercetta il paradigma della trasparenza amministrativa”[6].Ciò dipende dal fatto che la blockchain è un registro che viene replicato integralmente in ogni nodo della catena, cosicché ogni nodo contiene una copia di tutto il registro ed è a sua volta accessibile (e modificabile) solo da coloro che possiedono la giusta “chiave” per decriptarne il contenuto. In tal modo, la tenuta del registro è decentralizzata, nel senso che si basa sul consenso di ognuno dei partecipanti alla catena: il contenuto di ogni blocco non può essere modificato se non vi è un accordo dei partecipanti a ciascun blocco della catena. Il dato certificato dal consenso dei partecipanti alla rete e che nasce sul registro distribuito si forma già accessibile, aperto, mantenendo, però, una sua immutabilità e affidabilità che dovrebbe fare il paio con la necessità di “riservatezza”[7].
4. Le Regole Tecniche AgID e le relative FAQ
In attuazione di questa “opzione blockchain” stabilita dall’art. 106, comma 3, del nuovo Codice, l’Agenzia per l’Italia Digitale ha adottato, lo scorso giugno, le “Regole tecniche – requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale”, il cui capitolo 6 si sofferma sulle piattaforme di gestione delle garanzie fideiussorie. Tale capitolo si occupa di (i) indicare i requisiti funzionali e di interoperabilità delle piattaforme ai fini della certificazione AgID e (ii) di stabilire “le caratteristiche cui devono essere conformi i registri distribuiti utilizzati nell’ambito delle piattaforme di gestione delle garanzie fideiussorie”[8].
a. Le caratteristiche dei registri distribuiti per l’emissione della fideiussione
Pur richiamando la generale definizione di tecnologie di registri distribuiti sopra citata di cui all’art. 8 ter, comma 1, del D. L. n. 135/2018, le Regole tecniche esprimono un favor per un certo modello di blockchain, quello c.d. “permissioned”: l’utilizzo di una tale tipologia di blockchain viene individuata, in primo luogo, come condizione necessaria da rispettare al fine di consentire la protezione dei dati personali; inoltre, è lo stesso modello di governance delle piattaforme (di cui ai punti 6.2-5.1 e 5.2 delle Regole tecniche) ad essere basato su una blockchain permissioned.
Questo tipo di blockchain presenta delle caratteristiche differenti rispetto alle c.d. blockchain “permissionless”[9], così che il richiamo alla definizione del 2018 sembra già arrancare non solo rispetto agli intervenuti sviluppi dell’ingegneria informatica, ma persino rispetto alle stesse prescrizioni inserite nel dato normativo.
La blockchain permissionless è caratterizzata da una libera accessibilità a chiunque voglia partecipare alla catena, attraverso un meccanismo di consenso che non abbisogna di un soggetto terzo certificatore che si ponga quale autorità intestata del controllo della rete. Il funzionamento di un tale registro è completamente lasciato ad un meccanismo di consenso libero e non subordinato ad alcuna preventiva autorizzazione.
Al contrario, la particolarità della tipologia permissioned (conosciuta anche come blockchain di tipo “privato”) consiste, più che in un accesso libero ai nodi della catena, nel fatto che le operazioni sulla catena vengono gestite da uno o più soggetti a ciò specificatamente autorizzati (c.d. master nodes). In tal modo, si riesce a mantenere un certo controllo sui soggetti che possono accedere alla catena e, di riflesso, sullo stesso contenuto inserito in ognuno dei “blocchi”.
b. Il gestore della piattaforma e il soggetto che rilascia la garanzia
Non emerge, dall’articolato del codice e dalle Regole AgID, una coincidenza tra il soggetto che gestisce la piattaforma e quello che rilascia la garanzia. Il gestore della piattaforma, infatti, è sottoposto ad una serie di obblighi, non solo in merito alla tipologia di registro distribuito utilizzato, ma anche in relazione alla provenienza della garanzia.
Infatti, sia l’art. 106, che le Regole tecniche AgID, richiedono al gestore della piattaforma che l’emissione della garanzia fideiussoria nel registro distribuito (c.d. scrittura della garanzia) avvenga ad opera di “imprese bancarie o assicurative che rispondano ai requisiti di solvibilità previsti dalle leggi che ne disciplinano le rispettive attività, oppure dagli intermediari finanziari iscritti nell’albo di cui all’articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, che svolgono in via esclusiva o prevalente attività di rilascio di garanzie e che sono sottoposti a revisione contabile da parte di una società di revisione iscritta nell’apposito albo e che abbiano i requisiti minimi di solvibilità richiesti dalla vigente normativa bancaria assicurativa”[10]. L’identificazione elettronica di tali soggetti deve avere un livello di garanzia significativo o elevato con riferimento al Regolamento eIDAS[11].
Il Codice rimanda, quindi, a tutta quella serie di soggetti che sono già stati “certificati” ai fini del rilascio delle fideiussioni più tradizionali. In questo modo si realizza un’equipollenza tra le garanzie fideiussorie al di là della modalità con cui sono rilasciate, poiché i soggetti che le rilasciano non si modificano, anche nel caso di garanzia iscritta nel registro distribuito.
c. Come funziona l’emissione della garanzia e la verifica da parte della stazione appaltante
Allo stato dell’arte, non è ancora puntualmente definito il funzionamento delle piattaforme di gestione delle garanzie fideiussorie. Come si è detto, sono previste nelle Regole tecniche alcune condizioni che devono essere garantite dal gestore della piattaforma durante il loro funzionamento.
Si può ricavare qualche informazione in più nelle FAQ pubblicate dall’AgID il 17 luglio scorso che chiariscono alcune delle prescrizioni inserite nelle Regole tecniche[12]. In particolare, al cap. 6 di tali FAQ, la domanda 6.2 afferma che: i) le piattaforme dovranno essere interoperabili con i dati ANAC per la verifica del CIG e con le piattaforme di approvvigionamento digitale di cui all’art. 25 del nuovo Codice, dalle quali le piattaforme per le garanzie fideiussorie si distinguono; ii) una volta che la fideiussione sia stata rilasciata dal soggetto autorizzato, la piattaforma deve memorizzare tramite la blockchain la c.d. “impronta” della garanzia, chiamata nelle stesse Regole tecniche “hash value”[13], sia nella versione finale che in eventuali versioni intermedie. A questo punto, l’impronta dovrebbe essere inserita nel fascicolo di gara per poter essere, poi, verificata da parte della stazione appaltante.
Una tale verifica potrebbe avvenire grazie alla messa a disposizione, da parte del gestore della piattaforma, di una chiave di decriptazione che “sblocchi” il contenuto criptato (tramite funzione di hash), accedendo in tal modo ai dati della fideiussione direttamente inseriti nel blocco della catena con cui opera la piattaforma. Oppure, si potrebbe ipotizzare che l’hash value sia inserito direttamente nel FVOE (fascicolo virtuale dell’operatore economico) e che la stazione appaltante, tramite una chiave generale di decriptazione, ottenuta tramite un accordo con uno o più dei soggetti autorizzati al rilascio delle fideiussioni, possa poi, accedendo al fascicolo, direttamente verificare l’origine e lo stato della garanzia. Quest’ultima ipotesi è anche un buon esempio d’attuazione di quel sistema di e-procurement completamente interoperabile positivizzato dall’art. 19 del nuovo Codice.
Come sempre, sarà la prassi a chiarire come le disposizioni del Codice da una parte e le indicazioni delle Regole tecniche dall’altra saranno attuate nel ciclo di vita “quotidiana” degli appalti.
Quel che è certo è che il nuovo Codice, rendendo possibile l’emissione di una polizza fideiussoria direttamente sulla Dlt, vuole permettere all’operatore economico di fornire una certificazione di origine della fideiussione e di renderne certo, se non il contenuto, almeno le componenti formali, quali la data di sottoscrizione e il soggetto sottoscrittore stesso. In questo modo, una serie di informazioni che non sarebbero immediatamente disponibili alla stazione appaltante (quali le fideiussioni) fanno parte in modo automatico dell’appalto “digitale”.
5. Considerazioni conclusive
L’obiettivo sostanziale dell’“opzione blockchain” dovrebbe essere, quindi, di semplificare ulteriormente il processo di gestione delle fideiussioni tramite il supporto della tecnologia a registri distribuiti, realizzando un’interoperabilità e integrazione tra i sistemi dei diversi attori, nonché digitalizzando e automatizzando il processo di emissione, svincolo, condivisione e controllo all’interno delle procedure di selezioni del contraente. La dematerializzazione delle fideiussioni, la riduzione delle richieste di verifica di autenticità e la maggiore trasparenza all’interno del mercato potrà rappresentare un importante passo verso uno sempre maggiore “efficienza” dell’approvvigionamento pubblico.
Tuttavia, residuano delle incertezze applicative, che derivano, come si è detto, da un contesto normativo ancora assai scarso.
Inoltre, l’utilizzo di una tecnologia blockchain solo permissioned se, da una parte, sembra più coerente con un contesto ordinamentale qual è quello del diritto degli appalti, o, più in generale, del diritto pubblico, nel quale il ruolo dell’autorità (o delle Autorità) si mantiene forte e pervasivo; dall’altro lato, però, fa venir meno quella che è la principale caratteristica di tali tecnologie, ovvero la disintermediazione dei processi data l’assenza dei tradizionali meccanismi di validazione del consenso, che è ritenuto valido a prescindere e in quanto frutto di una comunione libera e consapevole[14].
Gli artt. 30 e 106 del nuovo Codice e le Regole tecniche AgID aprono a molteplici scenari che, verosimilmente richiederanno un certo impegno da parte delle Pubbliche Amministrazioni: se è sempre più favorito l’utilizzo di tali tecnologie nello svolgimento dell’attività amministrativa, bisogna tener conto di quanto recita l’art. 19 del nuovo Codice, il cui comma 5 (“Le stazioni appaltanti e gli enti concedenti assicurano la formazione del personale addetto, garantendone il costante aggiornamento”) finisce per imporre la creazione di un percorso formativo del personale amministrativo in relazione ad una tecnologia dal costante (e rapido) sviluppo.
Non solo, le stesse stazioni appaltanti e enti concedenti, in vista della ormai conclamata interoperabilità e integrazione di tutti i sistemi che partecipano al contesto di e-procurement, dovranno procedere ad una profonda revisione dei processi interni, non solo in funzione di una verificabilità telematica tramite blockchain delle garanzie fideiussorie, ma anche al fine di compiere tale verificabilità adottando le giuste misure tecniche per assicurare la protezione, riservatezza e integrità dei dati.
La verificabilità telematica tramite piattaforme di gestione delle garanzie fideiussorie che utilizzano sistemi di tecnologia a registro distribuito, lungi dall’essere un tema di portata generale che impatta sull’intera materia dei contratti pubblici, sembra però dimostrare in maniera concreta quali sono le difficoltà, tecniche, organizzative, educative e giuridiche, che dovranno essere affrontate nei prossimi mesi da tutti i soggetti che partecipano al ciclo di vita digitale dei contratti pubblici.
[1] Il termine “tecnologie a registro distribuito” (Distributed ledgers technology, o D.L.T.) è il termine più corretto per riferirsi a tutta quelle serie di tipologie di registri distribuiti che sono stati o vengono sviluppati oggigiorno; tuttavia, nella prassi si è soliti utilizzare il termine “blockchain” come fosse una sineddoche, considerato che la blockchain è solo uno dei tipi di registri distribuiti possibili. Nel presente articolo, si utilizzeranno, per comodità, i due termini in maniera equivalente.
[2] Eppure la generale disciplina dell’art. 30 sembra confliggere con il criterio posto dalla legge delega che sembra limitare il ricorso all’automazione alla sola attività di valutazione delle offerte, come anche ribadito nell’art. 19. Cfr. M. Di Carlo e M. Lorusso, Intelligenza artificiale e blokchain: le procedure automatizzate, in Il Codice appalti. Guida operativa al Dlgs 36/2023 per professionisti, imprese e amministrazioni pubbliche, L. Tufarelli e M. Di Carlo (a cura di), Il Sole24Ore, 2023, p. 49.
[3] Ex multis, si pensi al recente caso di sperimentazione del Cetif (Centro di ricerca su Tecnologie e servizi finanziari dell’Università Cattolica di Milano) supervisionato da Banca D’italia e Ivass, che ha messo a punto una piattaforma per la digitalizzazione delle fideiussioni su Dlt. La piattaforma, ad oggi pronta ad entrare in funzione, è realizzata con partner tecnologici quali Nexi e Reply. Si può leggere del progetto sul sito del Cetif al seguente link: https://www.cetif.it/about-us-they-say/fideiussioni-svolta-sulla-blockchain-costi-piu-bassi-e-meno-rischi-di-frodi.
[4] Art. 106, comma 3, secondo periodo del Dlgs 36/2023.
[5] La felice espressione è di M. H Casey, P. Vigna, La macchina della verità. La blockchain e il futuro di ogni cosa, FrancoAngeli, Milano, 2018
[6] G. Lo Sapio, Il tormentato rapporto tra blockchain e pubblica amministrazione nel prisma dei contratti pubblici, in federalismi.it, n. 26, 2023, p. 116.
[7] Questa opinione non è completamente condivisa dalla dottrina più recente sul tema: G. Lo Sapio, Il tormentato rapporto, cit., p. 121, parla di una immodificabilità della Blockchain che sembra porsi in frontale contrasto con la riservatezza, “emergendo tensioni, allo stato, ancora non risolte”.
[8] Regole tecniche AgID, cap. 6, pf. 6.1, p. 34
[9] Per una generale visione sulle tipologie di tecnologie a registri distribuiti ad oggi sviluppate, si veda Aa. Vv., Blockchain e smart contract. Funzionamento, profili giuridici e internazionali, applicazioni pratiche, R. Battaglini, M. T. Giordano (a cura di), Giuffrè, Milano, 2019.
[10] Art 106, comma 3, primo periodo, D. Lgs. n. 36/2023; cfr. Regole tecniche AgID, cap. 6, pf. 6.2-5.2, p. 35.
[11] Cfr. Regole tecniche AgID, cap. 6, pf. 6.2-5.1, p. 35
[12] Cfr. AgID, FAQ Regole Tecniche: “Requisiti tecnici e modalità di certificazione delle Piattaforme di approvvigionamento digitale”, versione 1.0 del 17 luglio 2023. Se ne può leggere al presente link: https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2023/07/18/procurement-pubblicate-faq-relative-regole-tecniche-piattaforme-approvvigionamento.
[13] Regole tecniche AgID, cap. 6, pf. 6.2-2, p. 35. Cfr. quanto si è detto infra sulla “funzione di hash”.
[14] Tuttavia, seppur le tecnologie blockchain permissionless siano considerate generalmente incompatibili con la natura della pubblica amministrazione, è stato notato che “alcuni studi (…) hanno individuato già misure specifiche in grado di risolvere il problema con assoluta sicurezza. In quest’ottica l’utilizzo di blockchain private o ibride potrebbe garantire un grado di affidabilità e trasparenza sicuramente migliore rispetto a quello offerto dai sistemi tradizionali senza però comportare gli eccessivi costi di validazione del consenso”, cfr. M. Matassa, Blockchain e pubblica amministrazione: stato dell’arte e prospettive, in Istituzioni del federalismo, 2021, n. 3, p. 812.