Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Smart contract e blockchain: quando il codice sfida il diritto - Studio Legale MP - Verona

Un imprenditore di Verona stipula un accordo commerciale con un fornitore straniero. Niente intermediari, niente firma notarile: il contratto vive interamente su una blockchain e si esegue in automatico al verificarsi di una condizione — ad esempio, la consegna della merce certificata da un sensore IoT. Fin qui, tutto sembra efficiente e moderno. Ma quando il fornitore consegna merce difettosa e l'imprenditore vuole bloccare il pagamento automatico già avviato, scopre che non esiste alcun "tasto di emergenza". Il codice ha già eseguito. Il denaro è già trasferito. Il contratto, nella sua logica implacabile, ha "funzionato perfettamente".

Questo scenario non è fantascienza: accade oggi, con frequenza crescente, e pone al giurista domande che il codice civile del 1942 non aveva previsto.

Il quadro normativo italiano: dalla legge 12/2019 al Codice dei Contratti Pubblici

Gli smart contract sono programmi informatici che si eseguono automaticamente su blockchain quando si verificano condizioni predefinite. La questione centrale è se tale strumento possa essere considerato un contratto a tutti gli effetti secondo il diritto civile, oppure se rappresenti soltanto un meccanismo tecnico privo di autonomia giuridica.

Il legislatore italiano ha risposto, almeno in parte, con il decreto-legge 14 dicembre 2018, n. 135 (c.d. "decreto semplificazioni"), convertito in legge 12/2019, il cui art. 8-ter ha introdotto nel nostro ordinamento la prima definizione normativa di tecnologie a registro distribuito e di smart contract. La stessa norma riconosce agli smart contract valore giuridico, equiparando la memorizzazione di un documento informatico su blockchain agli effetti della validazione temporale elettronica. Con l'approvazione della norma, acquistano piena validità giuridica le registrazioni dei documenti informatici su tecnologie blockchain e simili, e gli smart contract, a determinate condizioni, consentono di porre in essere accordi che soddisfano i requisiti della forma scritta quando richiesta dall'ordinamento.

Perché tutto ciò sia valido, occorre che siano rispettati i requisiti di firma digitale, integrità e riconducibilità previsti dal Codice dell'Amministrazione Digitale (CAD). Sul versante del diritto pubblico, il Codice dei Contratti Pubblici (D.Lgs. 36/2023) consente già l'adozione di blockchain e intelligenza artificiale per automatizzare fasi contrattuali.

Sul piano probatorio, tuttavia, il quadro è più sfumato. La validazione temporale tramite blockchain possiede valore giuridico riconosciuto, ma non gode della presunzione automatica di veridicità dei timestamp qualificati: in caso di contestazioni, chi la utilizza dovrà dimostrare l'affidabilità della tecnologia impiegata e la correttezza del processo di registrazione. In concreto, la differenza essenziale riguarda l'onere della prova: mentre il timestamp qualificato gode della presunzione di correttezza, la notarizzazione blockchain dovrà essere provata se contestata.

Il nodo civilistico più delicato riguarda i vizi del consenso e l'interpretazione delle clausole. Sorgono problemi legati all'interpretazione delle clausole, all'applicabilità delle norme su vizi della volontà e all'individuazione della giurisdizione competente in caso di controversie. Uno smart contract, per definizione, una volta confermato e registrato nella blockchain, diventa parte integrante e permanente del registro distribuito e non può più essere modificato unilateralmente da nessuna delle parti. Il principio civilistico della rebus sic stantibus — che consente la revisione del contratto al mutare imprevedibile delle circostanze — stenta a trovare applicazione in un sistema dove l'esecuzione avviene automaticamente, prima ancora che il giudice possa intervenire. Come osservava Rudolf von Jhering, il diritto non è una macchina automatica ma il risultato di una tensione permanente tra norma e realtà sociale: ed è proprio questa tensione che lo smart contract porta allo scoperto.

Sul versante della responsabilità, la responsabilità giuridica in caso di errori contrattuali digitali resta una questione aperta: identificare se il responsabile sia lo sviluppatore, l'utente o la piattaforma non è immediato e richiede un quadro normativo nuovo e chiaro. Integrare componenti di intelligenza artificiale in tali contratti necessita un ulteriore livello di regolazione, che affronti simultaneamente l'AI Act, MiCA e il GDPR, creando un ambiente di compliance particolarmente complesso.

Il conflitto strutturale con il diritto all'oblio: l'antinomia che il legislatore non ha risolto

Qui si apre la vera frontiera critica del tema. La forte resistenza alle modifiche è il motivo per cui si parla di immutabilità della blockchain: ciò, se da un lato costituisce uno dei suoi più grandi punti di forza, dall'altro può comportare dei problemi di compliance con i principi previsti dal Regolamento UE n. 679/2016 (GDPR).

L'art. 17 del GDPR, intitolato "Diritto alla cancellazione", prevede due diritti specifici: il diritto alla cancellazione dei dati da parte del titolare del trattamento e il diritto all'oblio propriamente detto, che è più ampio del primo, in quanto prevede l'obbligo per il titolare che abbia comunicato i dati in oggetto a soggetti terzi non solo di cancellarli, ma anche di informare gli altri titolari della richiesta dell'interessato.

Il paradosso è geometricamente preciso: nel caso della blockchain, il titolare richiesto della cancellazione dei dati non potrà informare tutti gli altri titolari registrando la richiesta di cancellazione dell'interessato sulla medesima blockchain, unico modo per essere certi che l'informazione sia diffusa verso tutti coloro che la utilizzano, altrimenti si avrebbe il paradossale effetto di registrare in maniera immutabile un'informazione che invece deve essere cancellata.

L'Autorità Garante e l'EDPB confermano che l'immutabilità non è un motivo lecito per non conformarsi al GDPR. Le sanzioni possono arrivare al 4% del fatturato globale, oltre alla responsabilità civile.

Una svolta interpretativa rilevante è giunta nel novembre 2025, con il pacchetto Digital Omnibus presentato dalla Commissione UE. Il 19 novembre 2025 la Commissione UE ha presentato il pacchetto Digital Omnibus. La questione del diritto all'oblio, tradizionalmente considerata uno degli ostacoli insormontabili alla compatibilità blockchain-GDPR, potrebbe trovare una nuova prospettiva interpretativa: l'immutabilità della blockchain non contrasterebbe più frontalmente con l'articolo 17 del GDPR se i dati registrati sulla catena fossero qualificabili come non personali per i soggetti che vi accedono senza possibilità di reidentificazione. Chi detiene le chiavi di correlazione rimarrebbe pienamente soggetto agli obblighi del Regolamento, incluso quello di garantire la cancellazione quando richiesta legittimamente dall'interessato. Si delinea così un sistema a geometria variabile, in cui la qualificazione del dato e i conseguenti obblighi dipendono dalla posizione del singolo operatore rispetto all'informazione trattata.

Sul piano delle linee guida sovranazionali, durante la plenaria di aprile 2025, il Comitato europeo per la protezione dei dati (EDPB) ha adottato nuove linee guida sull'uso delle tecnologie blockchain per il trattamento dei dati personali, con l'obiettivo di fornire orientamenti pratici alle organizzazioni che utilizzano queste tecnologie affinché rispettino i requisiti del GDPR.

Sul fronte della giurisprudenza italiana, pur in assenza di pronunce specifiche sugli smart contract, la Corte di Cassazione ha affinato in questi mesi i principi che governano l'enforcement della disciplina privacy. Con la sentenza del 16 dicembre 2025 (R.G. n. 759/2025), la Corte di Cassazione ha stabilito che l'Autorità Garante per la protezione dei dati personali è tenuta a rispettare termini temporali rigorosi nell'esercizio del proprio potere sanzionatorio. Come precisa la motivazione, il termine perentorio di centoventi giorni previsto dal Regolamento del Garante n. 2/2019 si riferisce esclusivamente alla fase sanzionatoria in senso stretto e decorre dalla conclusione della fase preistruttoria che culmina con l'effettivo accertamento delle violazioni ascritte al trasgressore e la notifica della contestazione. La pronuncia ha implicazioni dirette per chiunque subisca un procedimento del Garante in relazione a trattamenti su piattaforme blockchain: ogni ritardo nella fase sanzionatoria oltre i 120 giorni determina decadenza del provvedimento.

Con la sentenza Cass. civ., Sez. I, 8 luglio 2025, n. 18583, la Corte Suprema, nel caso che ha opposto il Garante ad Enel Energia S.p.A., ha chiarito il confine tra l'attività investigativa e quella sanzionatoria, in un caso in cui il Garante aveva contestato a Enel Energia ben quindici violazioni del Regolamento UE 2016/679 e del D.Lgs. n. 196/2003, infliggendo una sanzione pecuniaria di oltre 26 milioni di euro, oltre a diverse prescrizioni. Il principio che ne emerge — la distinzione rigorosa tra fase investigativa e fase sanzionatoria — vale per qualunque titolare del trattamento, ivi compresi gli operatori di piattaforme basate su tecnologie DLT.

Con l'ordinanza Cass. civ., Sez. II, 13 giugno 2025, n. 15881, i giudici di legittimità hanno ribadito che vi è trattamento illecito di dati personali in violazione delle norme sulla privacy in assenza del consenso espresso dell'interessato, non trovando applicazione la condizione esonerativa per la quale il consenso non è richiesto quando il trattamento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato. La pronuncia tocca direttamente il tema degli smart contract: qualunque contratto digitale che preveda raccolta e trattamento di dati personali deve comunque garantire una base giuridica autonoma rispetto alla mera esecuzione automatizzata.

Sul versante delle soluzioni tecniche praticabili, la dottrina e la prassi convergono sull'architettura ibrida: si memorizza solo l'hash (l'impronta crittografica) sulla blockchain, mentre i dati sensibili rimangono su un server esterno controllabile. Se il soggetto esercita il diritto all'oblio, i dati vengono cancellati dal server, mentre l'hash rimane sulla catena come traccia tecnica priva di significato intellegibile. Questo approccio, che incorpora il principio di privacy by design già in fase di architettura del sistema, è oggi considerato lo standard di riferimento per chi intende sviluppare smart contract conformi al GDPR.

Cosa fare concretamente: indicazioni operative per aziende e privati

Chiunque voglia utilizzare uno smart contract nel contesto italiano deve preliminarmente verificare tre condizioni: che il codice rispecchi effettivamente l'accordo raggiunto tra le parti in linguaggio giuridico; che siano rispettati i requisiti del CAD in materia di firma digitale e riconducibilità; che la base giuridica per il trattamento dei dati personali sia individuata e documentata in modo autonomo rispetto all'automatismo tecnico.

Chiunque scelga di adottare la blockchain come strumento contrattuale deve fare il possibile, in fase di sviluppo e progettazione, per prevedere soluzioni che permettano di modificare i dati in un momento successivo, come nel caso dell'archiviazione dei dati off-chain.

Gli errori più frequenti rilevati nella prassi sono: inserire dati personali direttamente in catena anziché registrare solo l'hash; non prevedere clausole di risoluzione o modifica accessibili fuori dalla catena (off-chain), che consentano di gestire vizi del consenso, errori o sopravvenienze imprevedibili; non identificare correttamente chi sia il titolare del trattamento in una rete distribuita senza un soggetto centrale. La regolamentazione risulta ancora frammentata: alcuni paesi iniziano a introdurre normative dedicate, mentre altri procedono lentamente. Questa disomogeneità rende difficile operare a livello globale e può creare incertezza legale.

Sul piano dei rischi sanzionatori, MiCA impone stringenti requisiti di trasparenza, sicurezza e protezione del consumatore alle imprese che impiegano smart contract su reti blockchain. Entro luglio 2026, tutti i fornitori di servizi su cripto-asset devono raggiungere la piena conformità al Regolamento, inclusi obblighi relativi alla governance e alla tutela del cliente.

Il brocardo vigilantibus iura subveniunt — il diritto tutela chi vigila — riassume con precisione la postura che l'operatore economico deve adottare in questo ambito: la velocità dell'innovazione tecnologica non esonera dall'obbligo di presidiare attivamente la conformità normativa. Chi delega al codice informatico la gestione di rapporti giuridicamente rilevanti senza adeguata consulenza rischia di trovarsi di fronte a controversie che nessun algoritmo potrà risolvere.

Il confronto tra l'immutabilità della blockchain e il diritto all'oblio costituisce, in ultima analisi, un banco di prova cruciale per il diritto nell'era digitale: non si tratta di scegliere tra tecnologia e tutela della persona, ma di costruire architetture che sappiano ospitare entrambe. La sfida è tecnica e giuridica al tempo stesso, e richiede la collaborazione tra ingegneri del codice e ingegneri del diritto. Serve una collaborazione tra istituzioni, esperti legali e operatori tecnologici per definire standard che consentano all'innovazione di crescere senza compromettere sicurezza e tutela delle parti.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP