Negli ultimi anni il termine “notarizzazione in blockchain” è diventato molto popolare. Alcuni operatori presentano la blockchain come unica risposta alla falsificazione digitale, arrivando perfino a suggerire che in futuro diventerà obbligatoria per tutti i documenti.
Questa narrativa però miscela elementi veri, semiverità e affermazioni giuridicamente infondate. In questo articolo facciamo chiarezza, distinguendo tra l’uso legittimo della blockchain e le promesse che rischiano di creare false aspettative per aziende, professionisti e studi legali.
1. Cosa fa davvero la blockchain quando “notarizza” un documento
Dal punto di vista tecnico, la maggior parte dei sistemi di notarizzazione in blockchain si limita a:
- calcolare l’hash crittografico del documento;
- scrivere questo hash in una transazione su blockchain;
- usare il timestamp della transazione come data certa di esistenza del documento.
Punto fondamentale: l’integrità del documento deriva dall’hash stesso, non dal registro dove viene memorizzato. L’hash è una funzione crittografica che produce un’impronta digitale univoca: se il file viene modificato anche di un solo bit, l’hash cambia completamente. Questa proprietà è matematica e indipendente dalla tecnologia utilizzata per conservare l’hash (blockchain, database, timestamp qualificato o semplice file di testo).
La blockchain aggiunge:
- immutabilità della registrazione (difficoltà tecnica di alterazione retroattiva);
- trasparenza pubblica (verificabilità da parte di chiunque);
- decentralizzazione (nessun singolo punto di controllo).
Sono vantaggi reali, ma riguardano solo una parte del problema probatorio.
2. Il quadro normativo europeo: chi fa cosa
La blockchain è indubbiamente efficace per tracciabilità e ancoraggio hash pubblico, e rappresenta un’ottima leva quando si parla di trasparenza e immutabilità dei dati. Sul piano della certificazione con valore probatorio, però, il quadro normativo europeo introduce alcune distinzioni tecniche importanti.
📋 Quadro normativo europeo: chi disciplina cosa
Regolamento eIDAS (910/2014)
Ambito: servizi fiduciari e valore probatorio
Cosa stabilisce: solo i servizi fiduciari qualificati (firma qualificata, timestamp qualificato, sigillo qualificato) godono di presunzione legale automatica (art. 41).
Blockchain: non è menzionata né riconosciuta come servizio fiduciario qualificato.
GDPR (679/2016)
Ambito: protezione dati personali
Cosa stabilisce: diritti degli interessati (accesso, rettifica, cancellazione), principi di privacy by design, accountability.
Blockchain: l’immutabilità della blockchain può confliggere con il diritto all’oblio (art. 17). Non attribuisce valore probatorio.
Direttiva NIS2 (2022/2555)
Ambito: sicurezza delle reti e dei sistemi informativi
Cosa stabilisce: obblighi di cybersecurity, gestione del rischio, incident response, resilienza.
Blockchain: può contribuire alla resilienza dei sistemi, ma non conferisce automaticamente valore probatorio ai dati registrati.
Sintesi: il valore probatorio in ambito europeo è disciplinato esclusivamente da eIDAS. GDPR e NIS2 regolano aspetti complementari (privacy, sicurezza) ma non possono sostituire o integrare i requisiti eIDAS per la certificazione legale.
3. Dove nasce la confusione: “blockchain = valore legale garantito”
La confusione nasce quando si passa dal piano tecnico al piano giuridico. Diverse comunicazioni lasciano intendere che:
- la blockchain garantisca automaticamente il valore legale del documento;
- chi non usa la blockchain sia fuori norma;
- in Europa esista un percorso verso un obbligo generalizzato di notarizzazione blockchain;
- GDPR o NIS2 “rafforzino” il valore legale della blockchain.
Nessuna di queste affermazioni è supportata dal quadro normativo europeo.
In UE il riferimento per il valore probatorio è esclusivamente il Regolamento eIDAS, che riconosce valore legale qualificato solo a servizi come la firma qualificata e il timestamp qualificato, erogati da soggetti accreditati (QTSP – Qualified Trust Service Provider).
La blockchain di per sé:
- non è un servizio fiduciario qualificato;
- non gode di alcuna presunzione legale automatica;
- può essere usata come prova tecnica, ma sarà valutata liberamente dal giudice.
4. Il caso concreto: cosa succede davvero in tribunale
Immaginiamo uno scenario reale: presentate in giudizio una prova basata su notarizzazione blockchain. Il CTU (Consulente Tecnico d’Ufficio) vi chiederà:
- Chi ha generato l’hash? Con quale identità verificata?
- Dove e quando è stato acquisito il file originale?
- Chi ha avuto accesso al file prima della registrazione?
- Esistono log di sistema che tracciano la catena di custodia?
- Come garantite che l’hash registrato corrisponda al file originale non manomesso?
- Quale blockchain avete usato? È ancora operativa? Chi mantiene i nodi?
La blockchain risponde solo a due domande:
- “Quando è stato registrato l’hash” (timestamp della transazione)
- “L’hash registrato non è stato modificato” (immutabilità della blockchain)
Tutto il resto manca.
Confronto: timestamp qualificato eIDAS vs blockchain
| Aspetto | Timestamp qualificato eIDAS | Notarizzazione blockchain |
|---|---|---|
| Valore legale | ✅ Presunzione legale automatica (art. 41 eIDAS) | ❌ Nessuna presunzione, valutazione libera del giudice |
| Soggetto responsabile | ✅ QTSP accreditato con responsabilità legale | ❌ Spesso non identificato o responsabilità ambigua |
| Verificabilità | ✅ Standard europeo, verificabile da qualunque CTU | ⚠️ Richiede conoscenze blockchain specifiche |
| Conformità GDPR | ✅ Cancellabile su richiesta dell’interessato | ❌ Immutabilità strutturale incompatibile con diritto all’oblio |
| Resilienza a lungo termine | ✅ Garantita da normativa e supervisione AgID/ETSI | ⚠️ Dipende dalla sopravvivenza della blockchain specifica |
| Interoperabilità | ✅ Standard europeo riconosciuto in tutti gli Stati membri | ❌ Ogni blockchain ha propri standard e procedure |
5. Timestamp qualificato e notarizzazione blockchain: differenze tecniche
5.1 Timestamp qualificato eIDAS
Un timestamp elettronico qualificato:
- è emesso da un QTSP accreditato da AgID (Italia) o ente equivalente UE;
- ha presunzione legale della data e dell’ora (art. 41 eIDAS);
- non dipende da una piattaforma proprietaria;
- è verificabile da qualunque CTU senza conoscenze blockchain;
- garantisce identificazione del soggetto certificatore;
- rispetta GDPR (modificabile/cancellabile su richiesta).
In giudizio la data e l’integrità del documento sono presunte corrette per legge. L’onere della prova contraria ricade su chi contesta.
5.2 Notarizzazione blockchain
La registrazione di un hash su blockchain:
- offre una traccia tecnica pubblica e immutabile;
- può essere considerata una prova tecnica;
- non gode di presunzione legale automatica;
- richiede che il CTU comprenda la tecnologia blockchain specifica;
- non identifica necessariamente il soggetto che ha registrato l’hash;
- può creare problemi di conformità GDPR.
Il giudice la valuta liberamente secondo il principio del libero convincimento. Non è equiparata a un timestamp qualificato.
6. Il mito dell'”adozione obbligatoria”
Un’altra narrativa sostiene che la blockchain diventerà obbligatoria per tutti i documenti digitali. Non c’è nessun fondamento giuridico.
Le iniziative UE che includono blockchain riguardano ambiti specifici:
- tracciabilità alimentare (farm to fork);
- supply chain e logistica;
- audit di filiere complesse;
- registri distribuiti per enti pubblici (sperimentazioni).
Questi progetti usano la blockchain per trasparenza e tracciabilità, non per valore probatorio in giudizio.
Non c’è alcun percorso normativo che preveda:
- la sostituzione dei servizi qualificati eIDAS con la blockchain;
- l’obbligo di notarizzazione blockchain per documenti legali;
- il riconoscimento automatico della blockchain come servizio fiduciario qualificato.
eIDAS 2.0 (in fase di implementazione) non menziona la blockchain come requisito obbligatorio, ma rafforza ulteriormente i servizi fiduciari qualificati e introduce il Digital Identity Wallet europeo.
7. Le promesse rischiose del marketing blockchain
Messaggi come:
- “solo la blockchain garantisce autenticità assoluta”;
- “i sistemi attuali non valgono più nulla”;
- “presto sarà obbligatorio usare la blockchain”;
- “la blockchain è conforme GDPR e NIS2, quindi ha valore legale”;
- “con l’IA serve necessariamente la blockchain”.
sono fuorvianti perché:
- non rispettano il quadro eIDAS (unico riferimento per il valore probatorio);
- confondono conformità tecnica (NIS2, GDPR) con valore probatorio (eIDAS);
- inducono i clienti a credere in protezioni legali inesistenti;
- ignorano la necessità di una vera chain of custody e di metadati forensi;
- sfruttano l’urgenza creata dall’IA generativa per vendere soluzioni inadeguate.
8. Cosa la blockchain non risolve
Anche con una registrazione blockchain impeccabile, rimangono irrisolti:
- Chain of custody: chi ha creato il file? Chi lo ha gestito prima della registrazione? Quali passaggi ha attraversato?
- Identificazione del soggetto: chi ha registrato l’hash? Con quale identità verificata? Quale responsabilità legale?
- Tracciamento accessi: chi ha visualizzato/modificato il file dopo la registrazione?
- Metadati forensi: timestamp di creazione file, metadati EXIF, log di sistema, geolocalizzazione.
- Conformità GDPR: gestione diritto all’oblio, portabilità dati, limitazione trattamento.
- Interoperabilità giuridica: riconoscimento in tribunali di altri Stati membri UE.
Per questo la blockchain è un tassello tecnico, non la prova completa.
9. Il paradosso GDPR della blockchain “immutabile”
Uno dei limiti strutturali più gravi della blockchain è l’incompatibilità con il GDPR:
| Principio GDPR | Blockchain pubblica | Risultato |
|---|---|---|
| Diritto all’oblio (art. 17) | Immutabilità strutturale | ❌ Impossibilità tecnica di cancellazione |
| Limitazione conservazione (art. 5.1.e) | Conservazione permanente | ❌ Violazione principio di minimizzazione |
| Rettifica dati (art. 16) | Nessuna possibilità di modifica retroattiva | ❌ Diritto inesercitabile |
| Accountability (art. 5.2) | Decentralizzazione, nessun responsabile chiaro | ⚠️ Difficoltà individuazione titolare/responsabile |
L’argomento fallace: “registriamo solo hash, non dati personali”
Molti fornitori rispondono: “registriamo solo hash, non dati personali, quindi siamo conformi GDPR”.
Questo argomento è giuridicamente debole perché:
- Se l’hash è riconducibile a una persona (es. hash di documento identificativo, hash di transazione finanziaria), è comunque dato personale secondo la definizione GDPR (art. 4).
- La mera impossibilità tecnica di cancellazione non esonera dalla violazione GDPR. Il Garante Privacy ha già sanzionato approcci “tecnologicamente deterministi” che sacrificano diritti fondamentali.
- In caso di richiesta legittima di cancellazione ex art. 17, il fornitore blockchain non può adempiereː questo è un rischio legale concreto per chi usa il servizio.
Timestamp qualificati eIDAS non hanno questo problema: la marca temporale è tecnicamente cancellabile su richiesta dell’interessato, garantendo sia valore probatorio che conformità GDPR.
10. Checklist per valutare servizi blockchain
Prima di scegliere un servizio di notarizzazione blockchain, verificate:
| Domanda | Perché è importante | Risposta accettabile |
|---|---|---|
| Siete un QTSP accreditato AgID/ETSI? | Solo i QTSP godono di presunzione legale eIDAS | Sì + certificato accreditamento |
| Offrite anche timestamp qualificato? | È l’unico strumento con valore legale automatico | Sì, incluso nel servizio |
| Esistono metadati forensi e chain of custody? | La blockchain da sola non traccia provenienza file | Sì + documentazione procedure |
| Supportate CTU e contenziosi reali? | La teoria è diversa dalla pratica processuale | Sì + casi documentati |
| Come gestite richieste GDPR di cancellazione? | Immutabilità blockchain vs diritto all’oblio | Procedura chiara + parere legale |
| Quale blockchain usate? | Resilienza, costi, dipendenza da fornitori | Blockchain pubblica consolidata (Bitcoin, Ethereum) o consorziale certificata |
| Cosa succede se la blockchain viene dismessa? | Accessibilità prove a lungo termine | Piano di migrazione + garanzie contrattuali |
| Chi è il responsabile legale del servizio? | In caso di contestazione serve un soggetto identificabile | Società con P.IVA, assicurazione professionale, sede UE |
| Quanto costa mantenere la prova accessibile per 10 anni? | Le blockchain richiedono nodi attivi, costi ricorrenti | Costi chiari + SLA garantiti |
Se mancano risposte chiare a queste domande, il servizio probabilmente non è adatto a usi giudiziari.
11. Le domande che i venditori di blockchain evitano
Quando vi propongono un servizio blockchain, ponete queste domande scomode:
- “Siete un QTSP accreditato AgID/ETSI?”
Se no → nessuna presunzione legale automatica secondo art. 41 eIDAS. - “Avete mai supportato un cliente in un contenzioso con prove blockchain come elemento principale?”
La teoria è una cosa, la pratica processuale un’altra. Chiedete riferimenti verificabili. - “Cosa succede se la blockchain che usate viene abbandonata o attaccata?”
Molti servizi usano blockchain proprietarie o poco diffuse. Chi garantisce l’accessibilità tra 10 anni? - “Come gestite una richiesta GDPR di cancellazione dati ai sensi dell’art. 17?”
L’immutabilità è un problema normativo, non una garanzia. Se non hanno una risposta chiara, siete voi a rischiare sanzioni GDPR. - “Il vostro servizio è riconosciuto da eIDAS come equivalente a timestamp qualificato?”
Se no, state comprando uno strumento tecnico senza valore legale automatico. - “Quanto costa mantenere accessibile la prova tra 10 anni? È garantito contrattualmente?”
Le blockchain richiedono nodi attivi, costi ricorrenti, competenze specialistiche. Un timestamp qualificato ha costi fissi e chiari. - “Posso vedere la documentazione forense che accompagna la registrazione blockchain?”
Chain of custody, metadati, log di sistema devono essere parte integrante del pacchetto probatorio. Se manca, la blockchain da sola non basta.
Se il fornitore evita queste domande o risponde con genericità, cercate altrove.
12. Approccio corretto: standard eIDAS al centro + blockchain come layer aggiuntivo opzionale
La blockchain può avere senso in scenari specifici:
- Supply chain complesse con molti attori e necessità di tracciabilità pubblica condivisa
- Documenti che richiedono verificabilità pubblica senza dipendenza da un singolo certificatore
- Audit trail condivisi tra enti indipendenti (es. consorzi, filiere agroalimentari)
- Registri pubblici decentralizzati (es. catasto, registro imprese, in fase sperimentale)
Ma deve essere un layer aggiuntivo, non sostitutivo dei servizi eIDAS.
Architettura corretta per prove giudiziarie
Livello 1 – Base normativa (obbligatorio)
✅ Timestamp qualificato eIDAS emesso da QTSP accreditato
Garantisce: presunzione legale di data e integrità (art. 41 eIDAS)
Livello 2 – Chain of custody forense (obbligatorio)
✅ Log di acquisizione, metadati completi, hash progressivi, identificazione operatori
Garantisce: tracciabilità completa del documento dalla creazione alla certificazione
Livello 3 – Trasparenza aggiuntiva (opzionale)
⚙️ Registrazione hash su blockchain pubblica per verificabilità indipendente
Aggiunge: immutabilità distribuita, verificabilità da terze parti, audit trail pubblico
In questo modo avete:
- ✅ Valore legale garantito (eIDAS – livello 1)
- ✅ Difendibilità forense completa (chain of custody – livello 2)
- ✅ Trasparenza e verificabilità pubblica (blockchain – livello 3, se necessario)
ContentProtector.it segue esattamente questa architettura:
- Timestamp qualificato eIDAS come fondamento normativo
- Procedure forensi certificate ISO 27037 per chain of custody completa
- Possibilità di integrazione blockchain solo quando tecnicamente e giuridicamente sensata
Non vendiamo tecnologia, costruiamo prove difendibili in tribunale.
13. Casi d’uso: quando la blockchain ha senso (e quando no)
✅ Quando la blockchain è appropriata
- Tracciabilità supply chain multi-attore: registrazione pubblica di passaggi di filiera (es. origine alimentare, tracciamento farmaci)
- Audit pubblico distribuito: quando serve trasparenza verificabile da enti indipendenti senza fidarsi di un singolo certificatore
- Timestamp pubblico non-ripudiabile: prova di esistenza di un’idea/brevetto alla data X, verificabile da chiunque
- Registri pubblici sperimentali: catasto, registro imprese, certificati accademici (progetti pilota)
In questi casi la blockchain va sempre abbinata a timestamp qualificato eIDAS se serve anche valore probatorio.
❌ Quando la blockchain NON è appropriata
- Prove per contenziosi civili/penali: serve timestamp qualificato eIDAS, non blockchain
- Certificazione identità persone fisiche: GDPR richiede cancellabilità, blockchain è immutabile
- Documenti con dati sensibili: anche solo l’hash può essere dato personale se riconducibile
- Situazioni che richiedono responsabilità legale chiara: la decentralizzazione rende difficile identificare il responsabile
- Quando il cliente chiede “valore legale automatico”: solo eIDAS lo garantisce
14. Il futuro: eIDAS 2.0 e Digital Identity Wallet
Il Regolamento eIDAS 2.0 (in fase di implementazione entro 2026) rafforza ulteriormente i servizi fiduciari qualificati e introduce il European Digital Identity Wallet (EUDI Wallet).
Cosa cambia:
- ✅ Wallet digitale europeo per identità, documenti, certificati
- ✅ Interoperabilità garantita tra tutti gli Stati membri
- ✅ Attributi qualificati certificati (laurea, patente, certificati professionali)
- ✅ Firma elettronica qualificata integrata nel wallet
- ⚙️ Possibile uso di tecnologie blockchain per alcuni registri pubblici (sperimentale)
Cosa NON cambia:
- ❌ La blockchain non diventa obbligatoria
- ❌ I servizi fiduciari qualificati restano il riferimento per il valore probatorio
- ❌ eIDAS 2.0 non riconosce la blockchain come servizio fiduciario qualificato in sé
Il futuro della certificazione digitale europea si basa su standard aperti, interoperabilità e servizi fiduciari regolamentati, non su una singola tecnologia proprietaria.
15. Conclusione: diffidate delle soluzioni “magiche”
L’intelligenza artificiale generativa ha reso possibile creare deepfake perfetti, documenti falsificati indistinguibili, identità digitali contraffatte. La reazione del mercato è stata duplice:
- Approccio responsabile: rafforzare gli standard eIDAS, integrare procedure forensi certificate, formare professionisti, costruire chain of custody complete
- Approccio opportunista: vendere la blockchain come “panacea universale” sfruttando l’urgenza e la paura, confondendo conformità tecnica con valore probatorio
La verità è che non esistono soluzioni magiche. La blockchain non è né inutile né miracolosa. È uno strumento con casi d’uso specifici, ma non può sostituire:
- ✅ Il quadro normativo eIDAS (unico riferimento per valore probatorio)
- ✅ La chain of custody forense completa
- ✅ L’identificazione certa dei soggetti responsabili
- ✅ La conformità GDPR e NIS2
- ✅ Procedure certificate e verificabili in tribunale
⚖️ La domanda giusta
Non è “uso la blockchain?“, ma:
“Le prove che sto costruendo sono realmente difendibili in tribunale secondo gli standard europei vigenti?”
Se la risposta è sì, avete fatto il vostro dovere professionale. Se è no, nessuna blockchain vi salverà.
Vuoi costruire prove digitali realmente difendibili?
ContentProtector.it offre l’unico approccio completo conforme agli standard europei:
| ✅ Timestamp qualificati eIDAS Presunzione legale automatica ex art. 41 |
✅ Chain of custody forense certificata Conforme ISO 27037, tracciabilità completa |
| ✅ Pacchetti probatori completi per CTU Metadati, log, hash progressivi, documentazione |
✅ Conformità GDPR garantita Diritto all’oblio, portabilità, accountability |
| ✅ Supporto in contenziosi reali Non solo teoria: assistenza CTU e tribunali |
⚙️ Blockchain opzionale Solo quando tecnicamente e legalmente appropriata |
📞 Richiedi una consulenza gratuita
Verifica se le tue attuali procedure di certificazione sono realmente conformi agli standard europei.
Consulenza senza impegno | Analisi tecnico-normativa inclusa | Assistenza per professionisti e aziende