Fermata #25 - L'Ue sceglie il modello Cina: la sorveglianza di massa
Nuovi emendamenti mirati a verificare le identità dietro alle transazioni cripto e ai wallet non-custodial: è tecnicamente possibile farlo? La notte fonda per la privacy degli europei.
Dopo il tentativo di censura alla Proof-of-Work1, per ora sventato, l’Unione europea torna all’attacco delle criptovalute tentando di costruire un insieme di regolamenti la cui finalità è assegnare un nome e un cognome ai protagonisti di ogni transazione, in nome delle scuse più utilizzate ed efficaci negli ultimi decenni per sopprimere il diritto alla privacy: terrorismo e anti-riciclaggio.
Ne ho parlato recentemente, raccontando le proposte europee, anche sul canale Youtube di Massimo Musumeci (ricercatore Bitcoin) insieme a Riccardo Masutti (bitcoiner ed esperto di privacy e sicurezza informatica) e Gianmaria Pesce (avvocato). Ne sono usciti spunti interessanti: qui il video.
Regolamentare le transazioni: cosa propone l’Ue
Verifica dell’identità per tutti i pagamenti
La scorsa settimana due commissioni - la Commissione per i problemi economici e monetari del Parlamento europeo (ECON) e la Commissione per le libertà civili, la giustizia e gli affari interni (LIBE) - hanno votato l’introduzione di alcuni emendamenti nell’ambito del già esistente Regolamento dell'Ue sul trasferimento di fondi (TFR) per estenderlo al mondo delle criptovalute. Il testo non è ancora legge comunitaria: per diventare tale dovrà essere approvato congiuntamente dal cosiddetto trilogo, ovvero Parlamento Ue, Consiglio Ue e Commissione Ue.
Secondo gli emendamenti i cosiddetti VASP2 - principalmente gli exchange - dovranno raccogliere informazioni relative all’identità delle parti coinvolte in ogni transazione richiedendole ai propri clienti (indipendentemente dal fatto che siano paganti o beneficiari). Nel caso in cui il cliente di un exchange effettui un pagamento verso un altro cliente, in ogni caso, l’identità di chi paga e di chi riceve non è difficile da ottenere: gli exchange sono aziende che richiedono spesso lunghe procedure di KYC3 per attivare gli account e dispongono quindi dei dati personali degli utenti.
Lo stesso ragionamento, però, vale anche quando le transazioni coinvolgono quelli che vengono definiti come i wallet “unhosted”, cioè i wallet non-custodial4, quelli che permettono all’utente di detenere le proprie chiavi private e non affidarle a un servizio di custodia come, per l’appunto, l’exchange. Il testo in questione recita così:
Nel caso di un trasferimento di cripto-asset da o verso un wallet unhosted, il fornitore di servizi di cripto-asset dovrebbe ottenere e conservare le informazioni richieste sul pagante e sul beneficiario dal proprio cliente, sia esso pagante o ricevente. […] Se il fornitore di servizi di cripto-asset è o viene a conoscenza che le informazioni sul pagante o beneficiario che è un wallet unhosted sono imprecise, incomplete o sospette, il fornitore dovrebbe valutare se un trasferimento di criptovalute debba essere respinto o sospeso e se debba essere segnalato all'Unità di informazione finanziaria (UIF).
Transazioni sospette sopra ai 1000 euro
Non finisce qui. Se gli emendamenti passassero gli exchange non dovrebbero limitarsi a chiedere ai propri clienti i dati relativi a pagante e beneficiario di ogni transazione che coinvolga il loro account, in alcuni casi sarebbero persino obbligati a verificare la veridicità delle informazioni.
L’obbligo di verificare l'esattezza dei dati informativi relativi al pagante o al beneficiario dovrebbe - nel caso di trasferimenti di fondi la cui verifica non abbia ancora avuto luogo - essere imposta solo in relazione a singoli trasferimenti di fondi che superano i 1000 euro, a meno che il trasferimento sembri essere collegato ad altri trasferimenti di fondi che insieme supererebbero i 1000 euro, i fondi siano stati ricevuti o pagati in contanti o in moneta elettronica anonima, o quando ci siano ragionevoli motivi per sospettare il riciclaggio di denaro o il finanziamento del terrorismo.
Applicabilità e possibili effetti
Verificare l’identità dietro ai wallet non-custodial è impossibile
L’utilizzo di Bitcoin tramite wallet non-custodial - peraltro il più consigliato, evitare di fornire troppi dati personali a servizi terzi è cosa buona e giusta - è libero e non richiede alcuna registrazione, quindi conoscere con certezza matematica le identità dietro a questi portafogli è impossibile. Capiamo il perché.
Come spiegato nella fermata #7 una chiave privata è un numero casuale a 256 bit (256 zero e uno) che può essere generato anche solamente con una moneta: si assegna il numero 0 a un lato e il numero 1 all’altro e, lanciandola 256 volte segnandosi ogni risultato, si ottiene una chiave privata (video-tutorial a seguire). Da quest’ultima è possibile poi ricavare la corrispettiva chiave pubblica e dalla chiave pubblica gli indirizzi per ricevere pagamenti. Si tratta di pura matematica, che per funzionare non richiede procedure di registrazione.
Certo, la blockchain di Bitcoin è pubblica: esistono società (Chainalysis, Elliptic e Neutrino tra le più note) i cui algoritmi di analisi della blockchain sono estremamente avanzati e riescono a tracciare le transazioni in modo molto efficace. Ma si tratta pur sempre di supposizioni. Un esempio:
Pensiamo a un wallet non-custodial che invia un pagamento a un altro wallet non-custodial. Se il primo wallet sposta fondi ricevuti in passato da un exchange si può supporre (forse previa un’autocertificazione del cliente? Non si sa) che il cliente dell’exchange sia anche il proprietario delle chiavi di quel wallet. Ma nel momento in cui i fondi arrivano al secondo wallet le opzioni possono essere diverse: a controllare quest’ultimo wallet è la stessa persona che controlla il primo o è diversa? Bastano pochi passaggi tra wallet non-custodial per rompere molte certezze nei collegamenti.
Analizzando la blockchain si possono formulare ipotesi anche accurate, ma la garanzia assoluta, necessaria per verificare le identità dei proprietari dei portafogli, non si può ottenere.
Quindi come verrà implementata la verifica delle transazioni proposta dagli emendamenti? Non è dato a sapersi.
Effetti: 1) Distruzione della privacy
Se una regolamentazione simile venisse approvata definitivamente, le implicazioni per la privacy dei cittadini europei sarebbero gravissime. Non solo i nomi e i cognomi coinvolti in ogni singola transazione su exchange andrebbero registrati e conservati, ma i dati relativi a ogni pagamento superiore ai 1000 euro andrebbero verificati: se questo non fosse possibile, come abbiamo visto nel caso dei wallet non-custodial, il pagamento dovrebbe essere considerato sospetto e segnalato alle autorità competenti.
Paradossalmente, se il cliente di un exchange decidesse di riceve lo stipendio in bitcoin sul proprio account per poi spostare i fondi, come da buona norma, su un wallet non-custodial, il pagamento verrebbe segnalato come sospetto. (N.B. Se avete la fortuna di essere pagati in bitcoin, meglio riceverli direttamente su un vostro wallet e non su un exchange).
Proprio dal lato privacy dà un’interpretazione di simili regole questo articolo di Privacy Chronicles, newsletter curata dal co-fondatore di Privacy Network Matteo Navacci, che consiglio vivamente di leggere.
Per l’Europa il modello è la Cina
Simili misure renderebbero l’Unione europea non diversa da ciò che oggi consideriamo come un qualcosa di lontano e distopico: la Cina. Pechino ha già sviluppato avanzati sistemi di sorveglianza finanziaria, in particolare al di fuori dell’ambito delle criptovalute: lo yuan digitale ne è il perfetto esempio.
La roadmap comunitaria mira in questo senso a seguire le orme cinesi: l’euro digitale è un progetto concreto che vedrà la luce nel giro di pochi anni e recentemente il membro italiano della Bce Fabio Panetta si è espresso al riguardo:
Con l'euro digitale, vogliamo garantire che gli europei possano contare su una valuta che combini l'efficienza dei pagamenti digitali con la sicurezza del denaro di banca centrale.
Proprio Panetta si è recentemente schierato contro Bitcoin, auspicando per quest’ultimo una “minor tolleranza”. Non sorprende, il protocollo introdotto da Satoshi Nakamoto rappresenta oggi l’unica via d’uscita dal sistema di sorveglianza distopico progettato dalla Bce sul modello dello yuan digitale5.
Effetti: 2) Freno all’innovazione
Quali potranno essere i risultati di una normativa inapplicabile? Presumibilmente gli exchange, per evitare il concreto rischio di essere sanzionati dal regolatore, si vedrebbero costretti a bloccare molte transazioni la cui origine dei fondi sia impossibile da certificare. Questo porterebbe potenzialmente a due conseguenze: una positiva e una negativa:
Positiva: l’incentivo per i clienti degli exchange a lasciare quest’ultimi e a unirsi al mercato peer-to-peer, comprando e vendendo bitcoin su piattaforme incensurabili come Bisq e guadagnando così in privacy e libertà individuale.
Negativa: l’incentivo per gli exchange a non investire o, peggio ancora, a disinvestire in un’area in cui i regolamenti risultano troppo stringenti per fare impresa e a trasferirsi in paesi più aperti all’innovazione. Dopo quello delle Big Tech, l’Europa perderebbe anche il treno delle criptovalute.
Come ha spiegato il deputato del M5S e membro della Commissione Finanze Davide Zanichelli a Criptovaluta.it: “Se fai un recinto troppo stretto, chi non vuole farne parte esce e tu ti trovi con un recinto vuoto”.
COME ACQUISTARE BITCOIN?
Personalmente, quello che reputo come il servizio migliore è Relai. Per acquistare bitcoin risparmiando lo 0,5% in commissioni potete usare il codice “FEDERICO”.
Si tratta di un’applicazione sviluppata da un’azienda svizzera che applica una politica di KYC light: a differenza dei grandi exchange non richiede registrazioni o dati personali, tutto ciò che serve per comprare è il proprio IBAN. E’ ottimale per impostare dei piani di accumulo.
Una delle migliori caratteristiche è il servizio non-custodial. Gli euro bonificati a Relai vengono convertiti automaticamente in bitcoin e trasferiti su un wallet di cui è l’utente ad avere il controllo. I grossi exchange, al contrario, non forniscono le chiavi private ai clienti. In più Relai non vende centinaia di inutili criptovalute, ma solo bitcoin.
NOTA - Questo NON è un messaggio pubblicitario. Relai è un servizio che utilizzo personalmente e che reputo tra i migliori sul mercato in termini di affidabilità, sicurezza e facilità d’uso. Lo consiglio spesso ad amici e parenti. Cosa ci guadagno? Quello che fanno guadagnare i referral code. In questo caso se acquistate con il codice “FEDERICO” risparmiate lo 0,5% sulle commissioni e io ricevo (in bitcoin) lo 0,5% dell’importo che avete deciso di investire.
L’algoritmo di consenso alla base di Bitcoin: ho scritto del tentativo di bando da parte dell’Ue nella fermata #20
VASP: Virtual asset service provider, i fornitori di servizi finanziari legati agli asset virtuali.
KYC: Know your customer. Verifica dell’identità tramite raccolta dati come carta d’identità, codice fiscale e altre informazioni personali.
Ho scritto della differenza tra wallet custodial e non-custodial nella fermata #7.
Per un approfondimento accurato sulle CBDC (Central bank digital currency) come yuan digitale ed euro digitale consiglio questo articolo.