NFT e blockchain: opportunità di business e sfide legali
di Maura Mialich
Introduzione
L’acronimo NFT (non-fungible token) è una delle tech buzzword più utilizzate del 2022 ed etichetta un’innovazione tecnologica rivoluzionaria, un nuovo modello per la rappresentazione della proprietà nel mondo digitale.
Un non-fungible token, letteralmente, è un gettone non intercambiabile e costituisce un certificato digitale attestante in modo univoco l’originalità, l’autenticità e la titolarità di un bene fisico o virtuale.
Il primo NFT della storia, ante litteram, risale al 2014 ed è associato all’opera d’arte Quantum dell’artista Kevin McCoy, coniata su blockchain (NameCoin) e costruita su modello bitcoin. L’opera, che rappresenta un’immagine animata a forma di ottagono dai colori psichedelici, è stata venduta all’asta da Sotheby’s per 1,47 milioni di dollari.
Il fenomeno degli NFT, però, ha attirato l’attenzione del grande pubblico solo con l’opera d’arte digitale Everydays: the First 5000 Days di Mike Winkelmann (Beeple), venduta per 69,3 milioni di dollari dalla casa d’asta Christie’s nel 2021.
Gli NFT, oggi, sono virali nel mondo del business, della proprietà intellettuale, ma anche della musica, della moda, del gaming e dello sport.
Con l’avvento del metaverso, dimensione di convergenza tra virtuale e reale, grazie alle tecnologie blockchain[1] e NFT gli individui possono creare propri alter ego digitali, vivere esperienze immersive in mondi paralleli e compiere azioni con effetto nella vita di tutti i giorni (effettuare acquisti, visitare musei, partecipare a un meeting, ecc.). Per rendere possibile tutto questo, sofisticati algoritmi di IA elaborano i dati personali, anche particolari, degli utenti (interessi, opinioni, preferenze di consumo, movimenti oculari, stato psicologico ed emotivo, onde cerebrali, ecc.).
Le implicazioni di questi nuovi paradigmi tecnologici, dunque, impongono di interrogarsi sul loro inquadramento giuridico, sulla normativa applicabile e sulle conseguenze pratiche che derivano dall’utilizzo di tecnologie così peculiari e interconnesse. La vigente normativa sulla protezione dei dati personali delle persone fisiche si applica anche agli avatar? Quali leggi governano il metaverso?
Il token
In termini generali, il token è un’unità di valore rappresentativa di un bene digitale, ossia un’informazione registrata su blockchain o altra distributed ledger technology (DLT), che, associata a uno specifico utente e senza l’intermediazione di terzi, permette la circolazione su rete telematica di asset digitali che incorporano diritti soggettivi.
Attraverso il processo di tokenizzazione, quindi, mutuando la definizione elaborata dall’OCSE[2], è possibile ottenere la rappresentazione digitale di beni fisici su registri distribuiti o l’emissione di asset class tradizionali sotto forma di token[3]. In altre parole, i diritti relativi a un determinato bene vengono convertiti in un codice (hash), che può essere memorizzato, trasferito e gestito su una DLT. Questa tecnica è applicabile a un’ampia gamma di beni, quali, ad esempio, beni finanziari[4], materie prime, valute, opere d’arte, beni immobili, ma anche beni immateriali come la proprietà intellettuale e i dati personali.
I token possono essere fungibili (fungible token) o non fungibili (non-fungible token): i primi, come il bitcoin, sono frazionabili e passibili di scambio con qualsiasi altro token fungibile, senza che ne sia alterato il valore; i secondi attestano l’unicità di un bene digitale e la sua insostituibilità con altri dello stesso genere.
L’NFT viene creato coniando (dall’inglese “minting”) contenuti digitali su una blockchain e tale processo comporta il caricamento, la verifica da parte di altri computer, la marcatura temporale dei contenuti, della posizione e dell’autore delle informazioni digitali. Tutte le transazioni successive vengono registrate su una sorta di libro mastro digitale (digital ledger) distribuito su una rete di computer.
L’NFT si alimenta e si diffonde attraverso uno smart contract, un protocollo informatico che indica in modo esclusivo un asset digitale e che offre una serie di garanzie a condizioni predefinite concordate tra le parti.
Chi acquista un bene digitale non acquista il bene in sé, bensì la capacità di dimostrare un proprio diritto sul bene, esibendo il codice associato. Per fare un esempio pratico, un’opera d’arte in formato digitale viene tradotta nel linguaggio informatico in una sequenza di codici alfanumerici. La sequenza ottenuta è il codice del blocco su blockchain che corrisponde in modo univoco all’opera digitale e la rende immutabile, tanto che una minima alterazione del codice impedisce di ricondurre l’NFT alla stessa.
Una delle novità introdotte dagli NFT risiede nell’aver dato vita al concetto di “originale” nella sfera digitale, al pari di quanto accade da sempre nel mondo opere fisiche. Con l’avvento degli NFT, gli originali digitali di opere d’arte e, in generale, di contenuti multimediali, possono essere liberamente creati e scambiati. Invero, anche se la tokenizzazione di un’opera d’arte come NFT non può impedire che numerose copie dell’opera d’arte esistano in internet e vengano scaricate, può comunque assicurare che ci sia un solo originale di proprietà di una determinata persona.
Natura giuridica degli NFT e loro inquadramento nell’ordinamento giuridico
La natura controversa degli NFT ha come contraltare la difficoltà nell’inquadrarli dal punto di vista giuridico. Proprio in ragione dell’eterogeneità delle funzioni cui gli NFT assolvono e dei diritti che attribuiscono al loro titolare, le categorie tradizionali del diritto civile si rivelano inadeguate a descrivere il fenomeno.
La dottrina, infatti, si è interrogata sulla loro essenza più profonda, elaborando diverse teorie sulla loro qualificazione giuridica. Secondo alcuni autori, il token sarebbe un documento che incorpora diritti di varia natura e ne permette la circolazione, pertanto andrebbe qualificato come titolo di credito ex art. 1992 c.c.: nello specifico, se il token attribuisce il diritto a ricevere un pagamento, può seguire lo schema della cambiale; se è funzionale a identificare l’avente diritto alla prestazione, può essere annoverato tra i titoli di legittimazione ai sensi dell’art. 2002 c.c.; se, invece, attribuisce al possessore il diritto alla consegna di beni, rientra nell’alveo dei titoli rappresentativi di merci ex art. 1996 c.c.
Secondo una diversa linea interpretativa, il token è assimilabile a un titolo quando consente la circolazione o l’esercizio di un diritto soggettivo da parte del suo possessore, mentre è un bene in sé, a norma dell’art. art. 810 c.c., se il suo contenuto ha carattere reale e il proprietario dell’asset è individuato nel possessore della chiave privata.
Un diverso possibile inquadramento emerge dall’analisi della bozza della proposta di Regolamento MiCA del Parlamento Europeo e del Consiglio[5], che declina in senso ampio il concetto di cripto-attività, includendo in tale ambito applicativo gli e-money token e le cripto-attività diverse dagli strumenti finanziari o da altri prodotti già disciplinati da altri provvedimenti dell’Unione europea. Viene definita, genericamente, cripto-attività la “rappresentazione digitale di valore o di diritti che possono essere trasferiti e memorizzati elettronicamente, utilizzando la tecnologia di registro distribuito o una tecnologia analoga”.
Non esiste una definizione univoca e condivisa, tanto più in assenza di un intervento legislativo e di chiarimenti giurisprudenziali sul punto. Se si aderisse all’ipotesi che considera gli NFT beni a sè stanti, sicuramente il legislatore dovrebbe statuire se questi possano essere considerati prodotti o servizi finanziari, con conseguente applicazione della specifica normativa.
Ad oggi non esiste una normativa nazionale specifica che regolamenti gli NFT e, pertanto, occorre procedere per analogia, individuando lo strumento più simile e la legge caso per caso applicabile, per quanto compatibile, in forza del contesto e del diritto che l’NFT sottende.
In ogni caso, si rendono necessari interventi mirati nel settore civilistico (in particolare consumeristico) e fiscale, volti non solo a tutelare il consumatore a fornirgli gli strumenti necessari per investire consapevolmente, ma anche a presidio dell’intero ordinamento giuridico e del suo corretto funzionamento, sotto l’egida del preminente del diritto dell’Unione Europea.
Impatti privacy
Le applicazioni basate su tecnologia blockchain, come gli NFT, sollevano alcuni dubbi circa la conformità alla normativa sulla protezione dei dati. Il tema è da sempre molto discusso a livello europeo anche tra le stesse istituzioni e sono numerosi i paper che analizzano le relazioni tra la tecnologia blockchain e il GDPR[6].
La normativa in materia di protezione dei dati personali deve stare al passo con internet, ormai alla sua terza generazione, frutto del passaggio da una logica chiusa ed estremamente proprietaria, fondata sul binomio “read and write”, a un ecosistema decentralizzato “read, write and own”, in cui l’utente interagisce senza intermediari ed è proprietario dei propri dati.
Il sentimento diffuso verso il monopolio sul controllo dei dati tipico del Web 2.0, volto a generare profitto, e i conseguenti impatti socio-economici su scala globale hanno stimolato un cambio di rotta. Nel breve termine è plausibile che le applicazioni Web 3.0 dimostrino maggior sensibilità verso nel rispetto della privacy degli utenti finali, consentendo più possibilità di scelta rispetto alle condizioni unilaterali rigidamente imposte dai servizi Web 2.0 e restituendo alle persone un controllo maggiore sui propri dati.
A norma dell’art. 4 GDPR, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile. I dati che rendono identificabile una persona, direttamente o indirettamente, possono essere il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Il Regolamento, quindi, non si applica alle informazioni anonime, ossia non riferite a una persona fisica identificata o identificabile, né ai dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Le transazioni che implicano l’uso di NFT possono comportare il trattamento di dati personali: il token contiene dati personali relativi al suo creatore e, in base alla natura della risorsa digitale associata, anche quest’ultima può contenere dati personali (del creatore o di terze parti). Con il trasferimento dell’NFT, i dati personali di ogni successivo proprietario vengono registrati sulla blockchain, a sigillo della proprietà.
La tecnologia in esame, da un lato, permette agli utenti di controllare i propri dati e di definire i termini in base ai quali è possibile accedervi e utilizzarli, contribuendo a supplire alla mancanza di trasparenza nel trasferimento dei dati. D’altra parte, i soggetti interessati all’acquisizione dei dati possono agevolmente verificarne la provenienza e l’autenticità proprio grazie alle peculiari caratteristiche della blockchain e all’unicità dei token.
Nell’ambito degli NFT, inoltre, è possibile superare alcuni limiti legate al sistema di trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti, con due possibili alternative: una di natura contrattuale, per cui l’utente potrebbe definire nell’accordo i soggetti legittimati ad accedere ai dati; una tecnologica, tramite smart contract, per cui si stabilisce in via automatica e preventiva che i dati siano resi indisponibili (digitally locked) ai soggetti non autorizzati[7].
Non mancano, tuttavia, alcuni profili di criticità in ordine alla conciliabilità di queste nuove tecnologie con l’attuale impianto normativo in materia di privacy.
L’immutabilità tipica di un archivio decentralizzato, non è necessariamente sinonimo di incorruttibilità: le informazioni inserite nella catena di blocchi, cioè, non sono immuni da possibili data breach, perché si tratta di metadati di cui viene garantita l’integrità, la provenienza e i termini dei precedenti trasferimenti. I dati sottostanti, per godere dello stesso livello di protezione, devono essere tutelati da adeguati sistemi di digital security.
Due possibili soluzioni sono offerte proprio dal GDPR, all’art. 32, che disciplina la pseudonimizzazione e la crittografia. Il primo sistema consiste nell’attribuire i dati personali a uno pseudonimo, soggetto non identificato, con conseguente necessità di informazioni aggiuntive, separatamente conservate, per ricondurre i dati a una persona. Una volta cancellate le informazioni impresse su blockchain, i dati vengono interamente anonimizzati e non soddisfano i criteri necessari per qualificarsi come dati personali, sfuggendo alla disciplina del GDPR. Questa soluzione, nondimeno, rischia di frustrare i vantaggi apportati dalla blockchain, ovvero la garanzia di immutabilità delle informazioni archiviate. Basterebbe, infatti, alterare le informazioni contenute al di fuori della catena dei blocchi per compromettere anche quelle al suo interno.
La crittografia, invece, è una tecnica che permette di secretare un’informazione, rendendola inaccessibile a chi non possegga la chiave necessaria a decifrarla. In particolare, la crittografia asimmetrica si basa su un sistema di doppia chiave pubblica e privata: la chiava pubblica, nota a tutti, serve a criptare un messaggio, quella privata serve a decifrare l’informazione, conosciuta solo dalla persona autorizzata. Questo espediente tecnologico permette di inserire all’interno della blockchain un dato crittografato, leggibile soltanto da chi possiede la chiave per decifrarlo e, se la tecnica di cifratura utilizzata è sufficientemente avanzata, distruggere questa chiave equivale a cancellare il dato. La cifratura, dunque, può rappresentare una misura di sicurezza adeguata a minimizzare il rischio, ma, sebbene indecifrabile, il dato personale criptato continua ad esistere. Non si può pertanto escludere che, anche una volta distrutta la chiave privata, questo dato possa essere decifrato in futuro.
Un ulteriore profilo di collisione con il GDPR concerne i ruoli e responsabilità nella gestione della privacy all’interno della catena. Se assumiamo che nella blockchain vengono trattati ed elaborati dati personali, è necessario identificare il titolare del trattamento e definire se questa figura coincida con una singola entità o, congiuntamente, con più soggetti. Del resto, il modello tracciato dal GDPR appare centralizzato e ben delineato in termini di responsabilità, in aperto contrasto con caratteri tipici della blockchain, laddove l’archiviazione e l’elaborazione dei dati avvengono su ogni nodo e non sono demandate a un’unica autorità, in un’ottica di decentramento e disintermediazione.
In ambito di tecnologia blockchain e NFT, quindi, non è facile individuare il titolare del trattamento e tale ruolo differisce a seconda di come viene gestito del registro distributo. A seconda del design tecnico e della governance, possono esistere numerose varianti di blockchain. Le differenze attengono ai permessi di lettura e scrittura delle transazioni, nonché di validazione e aggiunta dei blocchi. Nel caso di blockchain pubbliche (c.d. permissionless), l’accesso è garantito a chiunque abbia interesse, che può legittimamente partecipare al meccanismo di validazione del blocco; le blockchain private (c.d. permissioned), invece, si caratterizzano per la presenza di un’autorità terza che decide chi può accedere al network, pertanto, il processo di validazione è rimesso a determinati soggetti individuati dall’ente terzo; infine, le blockchain ibride prevedono l’accesso libero, ma la validazione dei blocchi limitata.
Le blockchain private non presentano particolari ostacoli, applicando un modello analogo a quello disegnato dal GDPR in cui il titolare del trattamento è il soggetto o i soggetti (contitolari) che determinano le finalità e, cioè, i criteri di selezione dei nodi, il livello di trasparenza della blockchain e le regole di aggiornamento del sistema. Lo stesso non si può dire dello schema peer-to-peer delle blockchain pubbliche, che non consente di individuare agevolmente l’entità che governa il sistema e decide le strategie: i nodi sono uguali tra loro, senza limitazioni d’accesso, senza predeterminazione di usi e finalità della blockchain.
Rispetto a questa seconda fattispecie, sono state elaborate diverse teorie circa l’identificazione del titolare del trattamento, tutte in qualche modo obiettabili.
Volendo riconoscere nel miner il titolare del trattamento, ci si scontra in primis con il fatto che ha un ruolo meramente esecutivo del protocollo, non di determinazione di finalità e mezzi del trattamento; in secondo luogo, sarebbe impossibile per l’interessato individuare una figura nei confronti della quale far valere i propri diritti, attesa la numerosità dei miner coinvolti nella catena. Analogamente, sarebbe inconferente con il ruolo di titolare del trattamento la figura dello sviluppatore del protocollo, che si limita a realizzare un’infrastruttura tecnologica.
Secondo una diversa tesi, il titolare del trattamento coinciderebbe con il nodo che immette dati nella rete, mentre chi riceve i dati agisce in qualità di responsabile del trattamento. L’impossibilità di monitorare l’uso dei dati, tuttavia, sarebbe incompatibile con il rispetto del principio di accountability. Infine, se i titolari del trattamento fossero gli user, coloro che effettuano le transazioni, qualora l’utilizzo della blockchain fosse a scopo personale, non si applicherebbe il GDPR ai sensi dell’art. 2, c. 2, lett. c.
Un’altra sfida posta dalla tecnologia del registro distribuito è il trattamento dei dati personali registrati su blockchain in territori diversi. Il GDPR, generalmente, proibisce il trasferimento di dati personali dall’UE verso un Paese Terzo, salvo che la Commissione Europea, attraverso una decisione di adeguatezza, sancisca che lo stesso offre un adeguato livello di protezione, oppure il Paese ricevente offra garanzie adeguate (ad esempio attraverso clausole contrattuali standard approvate dal paese emittente). Tuttavia, in particolare in ipotesi di blockchain pubblica, non è semplice controllare i flussi di dati quando i miner sono dislocati in tutto il mondo e, quindi, implementare adeguate garanzie.
Infine, titolari e responsabili del trattamento dovranno adottare una combinazione di misure tecniche e contrattuali che consentano di rispettare requisiti minimi di sicurezza richiesti dalla normativa, al fine di tutelare i dati personali registrati su blockchain ed evitare incidenti di sicurezza.
Quanto ai diritti degli interessati, rafforzati dal GDPR, la natura immutabile delle blockchain ne rende ontologicamente più difficile l’esercizio.
Il diritto di accesso (art. 15 GDPR), ad esempio, appare complicato dalla difficoltà di consultare i dati registrati su blockchain quando questi siano cifrati.
Inoltre, emergono alcuni dubbi di carattere etico e giuridico legati alla possibilità di esercitare il diritto di cancellazione e quello di rettifica dei dati personali inesatti (artt. 16 e 17 GDPR). Infatti, una volta creato e inserito all’interno della blockchain, l’NFT è trasferibile, ma non concretamente modificabile ed eliminabile dal reticolo interconnesso tipico di questa struttura tecnologica. Tuttavia, la legge prevede che si tenga conto “della tecnologia disponibile e dei costi di attuazione” prima di procedere alla cancellazione e questo potrebbe giustificare l’impossibilità di esercitare tale diritto su blockchain.
Peraltro, il diritto alla cancellazione dei dati non è assoluto, ma prevede alcune condizioni tassative, che inevitabilmente si scontrano con le caratteristiche tipiche della tecnologia blockchain.
A norma dell’art. 17 GDPR, “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.”
È evidente, nel contesto tecnologico in esame, che i dati saranno sempre necessari in ordine alla finalità per cui sono stati raccolti, proprio per l’immutabilità tipica della blockchain. Difficilmente, poi, il consenso può costituire la base giuridica idonea al trattamento dei dati connessi a uno smart contract, pertanto, la richiesta cancellazione non potrà essere fondata sulla revoca dello stesso.
L’opposizione dell’interessato al trattamento, in assenza di un legittimo interesse prevalente, avrebbe impatti nei confronti di tutti gli users della blockchain e non appare verosimile che l’interesse del singolo possa prevalere su quello di un’intera comunità di utenti.
Infine, il tema della minore età è molto critico in relazione ai servizi online ed è ancora più difficile da gestire nelle blockchain, dove l’identità stessa degli utenti tende a essere anonima; la rilevanza qualitativa e quantitativa dei flussi di dati induce a ripensare by design il sistema di raccolta del consenso e le garanzie di trasparenza negli obblighi informativi, anche in considerazione del tasso d’interazione tra gli utenti e dell’esigenza di proteggere i minori da esperienze pregiudizievoli, per cui sarà determinante la garanzia dell’age verification.
Ma come eliminare dal mercato un prodotto digitale come l’NFT, attesa la sua complementarietà con la tencologia blockchain che li rende virali e inalterabili?
In ordine al tema della cancellazione dei dati, infatti, l’autorità garante della protezione dei dati personali francese (CNIL) ha da subito precisato che è tecnicamente impossibile concedere la richiesta di cancellazione dell’interessato quando i dati sono inseriti nella blockchain. Tuttavia, quando i dati sono inseriti mediante un’impronta digitale risultante da una funzione hash o una crittografia che utilizza un algoritmo asimmetrico, il titolare del trattamento può rendere il dato quasi inaccessibile, avvicinandosi molto a una vera e propria cancellazione dei dati[8].
Sul punto, anche la Giurisprudenza ha iniziato a esprimersi con alcune pronunce significative.
Con l’ordinanza del 19/07/2022[9], il Tribunale di Roma è stata la prima autorità giurisdizionale a emettere un ordine inibitorio delle attività di produzione e commercializzazione di NFT: il Giudice, nel caso di specie, in ambito di violazione di marchi registrati, ha ordinato alla resistente la cancellazione degli NFT da ogni sito internet.
Analogamente, lo scorso anno, il Tribunale Commerciale di Barcellona ha emesso un provvedimento cautelare nei confronti della più grande piattaforma per la compravendita di NFT, ordinando che gli NFT contestati fossero affidati alla custodia del Tribunale attraverso il loro trasferimento in un wallet virtuale appositamente creato[10].
Recentemente, in ipotesi di illecito, alcune piattaforme di marketplace di NFT hanno iniziato a collaborare provvedendo alla cancellazione degli NFT, in termini di disabilitazione all’accesso al pubblico alle proprie pagine internet che rappresentano il contenuto digitale degli NFT contestati. Tuttavia, è sempre possibile, per i titolari dei wallet, trasferire il proprio NFT su un’altra piattaforma.
Conclusioni
In Italia, ad oggi, gli NFT non hanno trovato sede in una normativa nazionale specifica, il che non significa che il mercato degli NFT si muova in totale assenza di normativa, potendosi applicare per analogia le discipline già esistenti.
Sotto il profilo privacy, in particolare, è indispensabile dare applicazione al principio di privacy by design, prendendo in considerazione le questioni legate alla protezione dei dati personali sin dalla fase di progettazione del sistema e riducendo il rischio al minimo. Inoltre, è importante effettuare una Data Protection Impact Assessment (DPIA) prima di intraprendere un progetto che preveda l’utilizzo della tecnologia blockchain.
Indubbiamente un intervento normativo si rende necessario, per ottenere una cornice giuridica che sia in grado di supportare il costante progresso scientifico, senza mai porsi come ostacolo allo sviluppo tecnologico. Gli obiettivi concorrenti di proteggere i consumatori e, più in generale, gli utenti finali da effetti pregiudizievoli, e promuovere l’innovazione devono diventare propri del legislatore. A questo proposito, il sistema normativo più efficace deve combinare più strumenti: norme giuridiche, standard tecnici, codici di condotta e best practice. In questo modo sarà possibile garantire la certezza, la flessibilità, la precisione ed anche l’interpretazione più corretta di fronte a determinati dubbi.
Bibliografia:
[1] https://www.cyberlaws.it/en/2018/blockchain-e-funzionamento/
[2] https://www.oecd.org/finance/The-Tokenisation-of-Assets-and-Potential-Implications-for-Financial-Markets.pdf
[3] Nel primo caso, il valore economico e i diritti derivanti dagli asset reali preesistenti vengono collegati o incorporati in token basati su DLT, che fungono quindi da riserva di valore. I token emessi esistono solo all’interno della blockchain. mentre gli asset reali su cui sono emessi i token continuano a esistere anche nel mondo reale al di fuori della blockchain. Nel secondo caso, la tokenizzazione degli asset comporta la creazione di uno strumento generato all’interno della blockchain e l’emissione di token nativi, nati direttamente sulla blockchain, che vivono esclusivamente sul registro contabile tecnologico distribuito.
[4] Con particolare riferimento agli strumenti finanziari (si pensi ad un titolo), grazie alla recente adozione delle linee guida ESMA, dal 23 marzo 2023 la tokenizzazione sarà normata dal Regolamento (UE) 2022/858 (c.d. Regolamento DLT). L’attività di tokenizzazione si basa su una logica decentralizzata e disintermediata, opposta a quella su cui poggiano le attuali infrastrutture di mercato, è la normativa sui servizi finanziari non è stata concepita tenendo conto della tecnologia a registro distribuito e delle cripto-attività. Dunque, il nuovo regolamento mira a fornire agli operatori dei mercati finanziari un ambiente sicuro ove testare le soluzioni basate su tecnologia DLT, garantendo la conformità di queste ultime alla normativa UE in materia di servizi finanziari.
[5] Il 24.09.2020 la Commissione europea ha presentato la proposta di Regolamento relativo ai mercati delle cripto-attività (cd. MiCA), parte di un più ampio pacchetto sulla finanza digitale, teso a sviluppare un sistema europeo che promuova lo sviluppo tecnologico, la stabilità finanziaria e la protezione dei consumatori. Il Digital Finance Package mira a sostenere l’innovazione e comprende una strategia in materia di finanza digitale, un atto sulla resilienza operativa digitale (DORA) e una proposta sul regime pilota relativo alla tecnologia di registro distribuito (DLT). Il 30 giugno 2022 la Presidenza del Consiglio e il Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta di Regolamento MiCA. Il 5 ottobre 2022, il Comitato dei Rappresentanti Permanenti (Coreper) degli Stati Membri ha approvato l’accordo provvisorio sul Regolamento, dando inizio alla procedura di adozione formale.
[6] Sul punto è degno di nota il documento pubblicato da EPRS (European Parliamentary Research Service) e consultabile al link https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf
[7] La Corte di Giustizia dell’Unione Europea ha ritenuto illegittimo il c.d. Privacy Shield, cioè l’accordo che regolava il trasferimento dei dati, anche in ragione del fatto che tale meccanismo non consentiva ai titolari dei dati di ottenere un valido ristoro (cfr. Schrems II, C-311/18, 16 luglio 2020, in curia.europa.eu).
[8] https://www.cnil.fr/fr/blockchain-et-rgpd-quelles-solutions-pour-un-usage-responsable-en-presence-de-donnees-personnelles
[9] Trib. Roma 19/20.07.2022 ord., RG 32072/2022, repert. 14994/2022
[10] Barcelona Commercial Court No. 09, Order No. 468/2022, 21.10.2022
Autrice:
Maura Mialich