Esiste un problema molto concreto con la datazione dei file digitali: le date che il sistema operativo mostra sono totalmente falsificabili. In pochi secondi, da terminale, si può retrodatare un documento a dieci anni fa. Questo rende praticamente inutile, come prova autonoma, qualsiasi data visibile nelle proprietà di un file. La stessa cosa vale per le email, che si possono archiviare a posteriori, e per le fotografie, i cui metadati si riscrivono con un editor qualsiasi.
Nasce da qui l'interesse per la blockchain come strumento di certificazione. L'idea di fondo è elegante: se ancori l'impronta del tuo file a una struttura distribuita e immutabile, la data di quel blocco diventa un riferimento che nessuno può alterare retroattivamente. È una logica corretta. Il problema è che tra questa premessa tecnica e le conclusioni che molti ne traggono si apre un divario piuttosto ampio.
Come funziona, in concreto
Prima di parlare di limiti, vale la pena capire cosa succede davvero quando si usa uno strumento come OpenTimestamps. Il file non viene caricato da nessuna parte. Quello che viene calcolato è il suo hash SHA-256: una sequenza di 64 caratteri alfanumerici che rappresenta il file in modo univoco, come un codice fiscale. Se cambi anche solo uno spazio nel documento, l'hash cambia completamente. È questa proprietà che rende il meccanismo affidabile dal punto di vista matematico.
OpenTimestamps raccoglie migliaia di hash da utenti diversi, li organizza in una struttura ad albero chiamata Merkle tree, ne calcola un'unica radice e inserisce solo quella nella blockchain di Bitcoin. Il risultato è una ricevuta, un file .ots, che contiene la prova crittografica del legame tra il tuo documento e quel blocco specifico. Non costa nulla, non richiede un account, non dipende da un intermediario. Da questo punto di vista, lo strumento è genuinamente potente.
Cosa certifica e cosa non certifica
Il timestamp blockchain risponde a una sola domanda: questo specifico file esisteva già in questa data precisa? La risposta è matematicamente solida. Ma in molti contesti pratici quella non è la domanda giusta. Ci sono almeno tre limiti strutturali che è fondamentale tenere a mente.
Il primo riguarda la paternità. La blockchain certifica che quel file, con quella precisa sequenza di bit, esisteva in quella data. Non certifica che tu ne sia l'autore. Chiunque può calcolare l'hash di un file altrui e inserirlo nella blockchain. Se qualcuno ruba un romanzo inedito e lo registra prima dell'autore, la blockchain attesta il furto, non la paternità originaria. Questo vale per software, fotografie, testi, composizioni musicali: qualunque opera creativa.
Il secondo limite riguarda la liceità dell'atto. Se certifico nella blockchain uno screenshot di una chat in cui qualcuno mi minaccia, provo che quello screenshot esisteva in quella data. Non provo che non sia stato manipolato prima della registrazione. Non provo che la conversazione si sia svolta nel modo che sembra. Non provo nulla sulla controparte. Il contenuto del file rimane oggetto di valutazione separata.
Il terzo limite è più sottile ma cruciale: la blockchain non verifica la regolarità dell'atto sottostante. Se registro un accordo privato nella blockchain, ho la prova che quel testo esisteva in quella data, non che l'accordo sia valido, che le parti avessero capacità giuridica, che non ci fosse vizio del consenso. Elementi che, nel diritto, contano quanto o più della data.
La blockchain ricorda tutto. Ma ricordare non è capire, e registrare non è verificare.
La legge italiana: un lavoro a metà
Il quadro normativo italiano è più avanzato di quanto si creda comunemente, ma anche più incompleto di quanto si vorrebe. Tre aspetti meritano attenzione distinta.
Il legislatore ha fatto la sua parte
Con il decreto semplificazioni del 2018, convertito nella Legge 11 febbraio 2019 n. 12, l'Italia ha introdotto nell'ordinamento l'art. 8-ter. La norma riconosce ufficialmente le tecnologie basate su registri distribuiti e stabilisce, al comma 3, che la memorizzazione di un documento informatico tramite DLT produce gli effetti giuridici della validazione temporale elettronica prevista dall'art. 41 del Regolamento eIDAS. In termini pratici: il legislatore italiano ha già detto che il timestamp blockchain ha rilevanza giuridica. Non è un territorio di frontiera normativa. La legge c'è dal 2019.
Il nodo irrisolto
La stessa norma, al comma 4, stabiliva che l'Agenzia per l'Italia Digitale avrebbe dovuto individuare gli standard tecnici necessari entro novanta giorni. Erano il maggio 2019. A oggi, quegli standard specifici non sono stati pubblicati in forma definitiva. Questo dettaglio ha conseguenze concrete: il Regolamento eIDAS distingue tra validazione temporale semplice e validazione temporale qualificata. Solo la seconda gode di una presunzione automatica di accuratezza e integrità dei dati. Senza gli standard AgID, una blockchain pubblica come Bitcoin non può raggiungere il livello qualificato. Il risultato è che il timestamp blockchain è riconosciuto come strumento giuridicamente rilevante, ma privo della corazza piena che la legge aveva promesso.
In tribunale, oggi
La giurisprudenza italiana non ha ancora definito un orientamento consolidato sul valore probatorio specifico del timestamp blockchain. Alcune sentenze lo hanno trattato come prova atipica, valutabile liberamente dal giudice sulla base delle circostanze del caso concreto. Questo significa che può essere ammissibile, ma il suo peso dipende da come viene presentata, dalla qualità della catena di custodia del file originale e dalla capacità della controparte di contestarla. Non è automaticamente accettata, e non è automaticamente respinta. È uno strumento probatorio da costruire correttamente, non una garanzia in sé. Quando si tratta di difendere una creazione intellettuale, una sequenza di bozze certificate nel tempo racconta una storia più convincente di un singolo file con un timestamp.
Un timestamp blockchain è ammissibile come prova nei procedimenti italiani, ma il giudice ne valuta il peso liberamente.
Non gode di presunzione automatica di accuratezza, a differenza di una marca temporale qualificata eIDAS rilasciata da un prestatore di servizi fiduciari accreditato.
Il file originale deve essere conservato integro e la catena di custodia documentata. Senza questi elementi, il timestamp da solo prova poco.
Non è un notaio. Affatto.
Il confronto più ricorrente è quello con il notaio, o con la marca da bollo, o con la raccomandata. Si dice: "costa zero, fa lo stesso". Non è così, e la differenza non è di dettaglio.
Un notaio, quando autentica un atto, verifica l'identità delle parti tramite documenti ufficiali. Accerta la capacità giuridica dei soggetti coinvolti, cioè che siano in grado di comprendere e volere l'atto. Controlla la liceità di quello che sta formalizzando, rifiutandosi di rogare atti contrari alla legge o all'ordine pubblico. Conserva l'originale in archivio, garantendo la reperibilità nel tempo. E soprattutto, la sua firma conferisce all'atto pubblica fede: salvo querela di falso, il contenuto è presunto vero.
La blockchain non sa chi sei. Non verifica nulla sul tuo conto. Non controlla il contenuto di quello che registri. Non conserva il file. Non ha alcuna responsabilità professionale verso di te. È uno strumento diverso, pensato per risolvere un problema diverso: la certezza della data e l'immutabilità del riferimento. Usata per quello che è, è eccellente. Usata come sostituto del notaio, crea false sicurezze.
Quando vale la pena usarla (e quando no)
Ci sono contesti in cui il timestamp blockchain è genuinamente utile. Se sei un fotografo e vuoi creare una prova di anteriorità per le tue immagini, certificare una sequenza di scatti nel tempo costa zero e aggiunge un elemento difficile da contestare. Se stai sviluppando un software e vuoi documentare l'evoluzione del codice, un hash per ogni versione significativa costruisce una storia verificabile. Se hai ricevuto una comunicazione minacciosa e vuoi cristallizzarne l'esistenza prima che venga cancellata, registrarne l'hash è un gesto rapido e sensato.
Il principio da tenere fermo è che il timestamp è utile come elemento di un insieme probatorio, non come prova autonoma. Da solo non basta quasi mai. Integrato con altri elementi, come metadati coerenti, una cronologia documentabile del flusso di lavoro, la presenza del nome dell'autore dentro il file stesso, diventa un contributo credibile. È la differenza tra depositare un indizio e costruire un caso.
I casi in cui non bisogna affidarsi ciecamente alla blockchain sono quelli in cui si pensa di sostituire la forma solenne richiesta dalla legge per determinati atti. Un contratto di compravendita immobiliare, un testamento, un accordo societario: per questi la forma non è un formalismo burocratico, è una garanzia di certezza giuridica che nessuno strumento tecnico può replicare senza una riforma normativa esplicita. E quella riforma, almeno in Italia, non è ancora arrivata.
La tecnologia funziona. Il problema non è la matematica. Il problema è credere che la matematica basti.