La blockchain è stata inventata da una persona (o un gruppo di persone) usando il nome Satoshi Nakamoto nel 2008 per fungere da registro delle transazioni pubbliche eseguite per mezzo di criptovaluta bitcoin.
La problematica principale che attiene alla materia sta nel fatto che i bitcoin sono peculiarizzati, al contempo, dall’anonimato (più corretto parlare di pseudonimato) della persona fisica e dalla tracciabilità delle operazioni poste in essere nel sistema in particolari sfruttando soprattutto i c.d. deep web, dark web.
La nota dolente ruota infatti attorno alla circostanza per la quale a ogni soggetto proprietario di un account bitcoin, viene riconosciuta e garantita una piena riservatezza circa la sua identità; in questo modo il soggetto riuscirebbe a occultare dal controllo tanto la privacy connessa alla propria persona, quanto la riservatezza afferente all’oggetto delle proprie compravendite.
Dette caratteristiche sono state sfruttate e continueranno a essere sfruttate da organizzazioni criminali per il placement e il layering di proventi aventi provenienza illecita, giusto nel 2019 ha destato particolare attenzione il caso di Molina Lee, presidente della Crypto Capital che, secondo gli Usa, offriva “un sistema bancario ombra” alla borsa Bitfinex: avrebbe “lavato” 350 milioni di dollari dei narcos messicani.
Con l’emanazione della direttiva Ue 2018/843 (la quinta direttiva antiriciclaggio) il Consiglio e il Parlamento europeo hanno previsto una serie di disposizioni con la specifica finalità di andare a rafforzare e implementare le disposizioni della quarta direttiva e contrastare i fenomeni di riciclaggio di denaro anche in relazione alle criptovalute.
La direttiva, in primo luogo, definisce il concetto di valuta virtuale, identificandola come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente” (art 3, punto 18).
L’OCSE ha stabilito che per le transazioni superiori ai 1.000 dollari si dovrà procedere a un’adeguata verifica della clientela e sanzioni per le violazioni antiriciclaggio. Inoltre, sarà istituito un registro dei soggetti che eroghino servizi di moneta virtuale (sia che si tratti di persone fisiche che di entità giuridiche).
Il GAFI ha altresì confermato l’importanza di affidarsi al principio dell’approccio basato sul rischio al fine di prevenire e sopprimere il rischio del riciclaggio anche nel quadro virtuale, e prevede la metodologia secondo la quale: “I Paesi dovrebbero richiedere ai Vasp (Virtual Asset Service Provider) di identificare, valutare e adottare misure efficaci per mitigare i loro rischi di riciclaggio di denaro e finanziamento del terrorismo”.
Nel documento dell’OCSE si evidenza la necessità di dotare le autorità di vigilanza di adeguati poteri per sorvegliare e garantire l’adozione da parte dei vasp delle misure per combattere il riciclaggio e il finanziamento del terrorismo.
Sempre secondo l’OCSE le autorità di vigilanza dovrebbero avere il potere di condurre ispezioni, richiedere la produzione di informazioni e imporre sanzioni disciplinari e finanziarie, compresa la capacità di revocare, limitare o sospendere la licenza o la registrazione di Vasp.
Le sanzioni, scrive il GAFI nel documento, dovrebbero essere efficaci, proporzionate e dissuasive. Queste dovrebbero, inoltre, essere applicabili non solo ai Vasp ma anche ai loro direttori e dirigenti e sarà indispensabile prevedere la conservazione del traffico dati avvenuto sulle piattaforme di scambio di criptovalute.
In ambito nazionale il legislatore ha recepito la direttiva Ue 2018/843 con l’emanazione del D.lgs 125/2019, che a sua volta modifica i titoli I, II, III e V del D.lgs 231/2007 in materia di prevenzione all’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. Con le modifiche apportate dal D.lgs 125/2019 sia la valuta virtuale che tutti i prestatori di servizi sia relativi all’utilizzo di valuta virtuale che di portafoglio virtuale rientrano nella normativa antiriciclaggio e di contrasto al finanziamento del terrorismo e ne sono quindi pienamente soggetti agli obblighi e alle relative sanzioni.
Blockchain e double spending
L’invenzione della blockchain per bitcoin l’ha resa la prima valuta digitale (seppur con le differenze che vedremo) finalizzata a risolvere il problema della doppia spesa (double spending) senza la necessità di un’autorità fidata o di un server centrale.
Addentrandoci brevemente in detto contesto, il problema del c.d double spendingrisiede nella circostanza per cui una detta parte possa di fatto realizzare due transazioni nello stesso momento, pur essendo in grado di adempiere correttamente a una sola di queste avendo risorse adeguate solo per una realizzazione parziale dello scopo, lapalissiano sottolineare che questo potrebbe far emergere un pericolo nel funzionamento del sistema.
A detta fragilità (presunta o fattuale a seconda dei punti di vista) del sistema si è sempre risposto, fino all’avvento della tecnologia blockchain, affidandosi a un ente terzo (essenzialmente istituti bancari o intermediari finanziari) che assumeva le vesti di “validatore” centrale delle operazioni e quindi certificava l’operazione stessa, asseverando che solo quelle veritiere venissero registrate ed eliminando eventuali doppioni.
Ciò però non può avvenire in un sistema Peer-to-Peer proprio per il fatto che in questo tipo di sistemi non è presente un’autorità centrale validatrice.
Il rischio di doppia spesa senza l’utilizzo di un sistema crittografato quale quello della blockchain sarebbe sicuramente maggiore posto il fatto che, in un ambito quale quello dei beni digitali, la quantità di dati all’interno di un computer è facilmente copiabile e trasferibile senza eccessive restrizioni facendo venire meno quella unicità fondamentale per assicurare affidabilità e sicurezza necessarie per un corretto funzionamento del sistema.
Se, stando alla definizione del Drescher, per criptovaluta si allude a una rappresentazione digitale di valore, la cui proprietà è mantenuta da una blockchain che la utilizza come strumento di pagamento per compensare gli appartenenti al network e mantenere l’integrità del sistema stesso, è bene porre l’accento sul fatto che vi è una differenza di fondo sostanziale tra “valuta virtuale” e “valuta digitale”.
Se con la prima infatti si fa riferimento infatti a un sotto-insieme delle seconde, circa le criptovalute si evidenzia il fatto che non sono legate ad alcun tipo di moneta avente corso legale, il che le differenzia dalle valute digitali propriamente dette.
Una seconda distinzione che merita attenzione è quella attinente alle “monete elettroniche” definite dalla Direttiva 2009/110/CE, come «valore memorizzato elettronicamente, ivi inclusi la memorizzazione magnetica, rappresentato da un credito nei confronti dell’emittente che sia emesso dietro ricevimento di fondi per effettuare operazioni di pagamento e che sia accettato da persone fisiche o giuridiche diverse dall’emittente di moneta elettronica» delle monete dunque che anche in questo caso sono strettamente correlate a denaro avente corso legale.
Cenni di ripasso della tecnologia blockchain
Una blockchain è un elenco crescente di record, chiamati per l’appunto blocchi, i quali sono collegati tramite crittografia. Ogni blocco contiene un hash crittografico del blocco precedente, un timestamp e dati di transazione (generalmente rappresentabili per mezzo di un Merkle root).
In base alla progettazione, una blockchain è resistente alla modifica dei dati.
Si declina, in una buona sostanza come un vero e proprio distributed ledger, ovverosia sistema che si fonda su registri distribuiti in grado di registrare transazioni tra due parti in modo efficiente, verificabile e permanente.
Una blockchain è in genere gestita da una rete peer-to-peer che aderisce collettivamente a un protocollo per la comunicazione tra nodi e la convalida di nuovi blocchi. Una volta registrati, i dati di un determinato blocco non possono essere modificati retroattivamente senza l’alterazione di tutti i blocchi successivi, il che richiede il consenso della maggioranza della rete.
Sebbene i record presenti in un sistema a natura blockchain non siano inalterabili, le blockchain possono essere considerate sicure in base alla progettazione stessa ed esemplificano un sistema di elaborazione distribuito con un’alta tolleranza agli aspetti che rientrano nell’alveo Byzantine fault, secondo la nozione anglofona, “problema dei generali bizantini” secondo la traduzione italiana.
Nel concreto, senza addentrarci in questioni squisitamente nozionistiche e dottrinali, la blockchain cerca di superare queste criticità servendosi della crittografia, per mezzo di un complesso e dettagliato sistema criptato di messaggi che impone un costo per decodificare gli stessi fornendo al contempo un modo per verificare che il messaggio sia stato legittimamente decodificato e un incentivo ai “generali” onesti della metafora di cui sopra.
Detto innovativo strumento tecnologico consente pertanto la creazione e gestione di registri (database) distribuiti, i quali permettono di registrare e gestire transazioni di vario tipo (sia finanziarie che operazioni aventi a oggetto beni o servizi di altra natura), le quali vengono controllate, validate e condivise da tutti i c.d. nodi che fanno parte della rete.
In questo modo sulla rete internet, invece che sole informazioni, possano essere condivise e archiviate anche transazioni di valori, o meglio, di c.d. asset digitali. Si realizza quindi attraverso le blockchain un grande registro pubblico di tipo distribuito, fortemente innovativo rispetto agli attuali sistemi di archiviazione che consistono di database centralizzati presso un unico soggetto gestore e “garante”, ovvero presso un’autorità centrale, che provvede a garantire la transazione, ad archiviare e custodire i dati.
La blockchain consente viceversa la creazione di database distribuiti, basati sulla tecnologia dei c.d Distributed Ledger (DLT- dove ledger sta per libro mastro) strutturati in blocchi di informazioni, ciascuno dei quali contiene un certo numero di transazioni che, a seguito di un articolato procedimento di validazione e controllo (che verifica ad esempio che il soggetto sia effettivamente titolare di un certo diritto, come la valuta o il bene che vuole vendere), vengono validate in tutti i loro elementi attraverso strumenti matematici complessi (funzioni di hash) da parte dei nodi della rete ed entrano conseguentemente a far parte della catena di blocchi (blockchain) che rende queste transazioni certe, immodificabili. Si viene così a creare uno “storico” nel tempo di tutte le modifiche avvenute.
Le caratteristiche dei sistemi blockchain e DLT
Le caratteristiche che accomunano i sistemi sviluppati con le tecnologie blockchain e Distributed Ledger sono:
- digitalizzazione dei dati
- decentralizzazione
- disintermediazione
- tracciabilità dei trasferimenti
- trasparenza/verificabilità
- immutabilità del registro
- programmabilità dei trasferimenti
La blockchain è quindi esemplificativamente rappresentabile come una lista, in continua crescita, di blocchi collegati tra loro e resi sicuri mediante l’uso della crittografia, a ciascun blocco può essere associata una o più richieste e ogni blocco contiene un puntatore hash al blocco precedente e una marca temporale.
La natura distribuita e il modello cooperativo rendono robusto e sicuro il processo di validazione, ma si presentano tempi non trascurabili, incluso in gran parte al processo di validazione dei blocchi e alla sincronizzazione della rete.
L’autenticazione avviene tramite collaborazione di massa ed è alimentata da interessi collettivi.
Altre caratteristiche della blockchain
La blockchain, in un contesto in così continua evoluzione quale quello che si sta vivendo oggigiorno, mira altresì a dare risposte ad altre tematiche, quali:
- garantire una celerità di risposta all’evoluzione del lavoro (es. smart contract)
- la digitalizzazione dei file
- la conservazione dei file
- tematiche inerenti al cybercrime (segnatamente il furto di dati sensibili)
- il trasferimento dei file
- la firma dei file
- la conservazione degli stessi
- prevenirne la contraffazione
Per fare questo devono essere in ogni caso garantite determinate proprietà del sistema, si allude certamente alla:
- immutabilità (i dati vengono archiviati in modo permanente e non possono deperire, nessuno può alterarne il contenuto una volta avvenuta la certificazione)
- marca temporale (ad ogni informazione inserita sulla blockchain attraverso una transazione viene conferita data certa, è dunque utilizzabile per dare prova dell’esistenza di un qualsiasi contenuto)
- accessibilità (chiunque può visualizzare in qualunque momento tutto il registro in forma crittografata, in questo modo si garantisce altresì un pieno rispetto della privacy in ossequio al GDPR).
- praticità (si presta al perfezionamento di contratti in formato nativo digitale senza necessità di ricorrere ad una controprova cartacea)
- antifragilità (la blockchain virtualmente è eterna, non potendo essere interrotta)
La risposta del legislatore in materia di blockchain
La legge n. 12 del 12 Febbraio 2019 ha convertito, con modificazioni, il decreto-legge 14 dicembre 2018, n. 135 recante “Disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione” e ha parzialmente disciplinato il tema (necessaria in ogni caso una più approfondita normazione stante la complessità della materia. All’art. 8-ter, inserito dal Senato, prevede la definizione sia delle tecnologie fornite dai registri distribuiti (blockchain) che degli “smart contract”.
Le “tecnologie stabilite su registri distribuiti” (blockchain) sono definite dal comma 1, come le tecnologie e i protocolli informatici che gestiscono un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da gestire la registrazione, la convalida, l’archiviazione dei dati sia in chiaro che gli obblighi da crittografia, verificabili da ciascun partecipante, non alterabili e non modificabili.
Il comma 3 prevede che la memorizzazione di un documento informatico attraverso l’uso di tecnologie blockchain produca gli effetti giuridici della validazione temporale elettronica, ai sensi dell’articolo 41 del Regolamento UE n. 910/2014 in materia di identificazione
La “validazione temporale elettronica”, è definita dal richiamato Regolamento UE n.910/2014 come: “dati in forma elettronica che collegano altri dati in forma elettronica a una particolare ora e data, così da provare che questi ultimi esistevano in quel momento”.
Il comma 4 rimette peraltro all’Agenzia per l’Italia Digitale (AgID) l’individuazione, entro 90 giorni dalla data di entrata in vigore della legge di conversione, degli standard tecnici che le tecnologie blockchain dovranno possedere, affinché tali tecnologie possano produrre gli effetti giuridici della validazione temporale elettronica di cui al comma 3.
Per quanto riguarda gli “smart contract”, il comma 2 li definisce come un programma per elaboratore che opera su tecnologie blockchain e la cui esecuzione vincola automaticamente due o più parti sulla base di effetti predefiniti dalle stesse.
Si dispone inoltre che gli smart contract soddisfino il requisito della forma scritta previa identificazione informatica delle parti interessate, attraverso un processo avente i requisiti fissati dall’Agenzia per l’Italia Digitale con linee guida da adottarsi entro 90 giorni dall’entrata in vigore della legge di conversione del decreto-legge.
Conclusioni
Poste le difficoltà di rintracciamento che potrebbe comportare un utilizzo per fini illeciti di una geniale quanto complessa (e per taluni aspetti poco trasparente) struttura quale quella legata alle criptovalute, occorrerebbe sfruttare e osservare con attenzione tre differenti contesti per contrastare dette pratiche[1]:
- monitoraggio dei bitcoin sequestrati: attraverso detti flussi sequestrati si può risalire infatti all’identità dei soggetti coinvolti associando gli indirizzi o gli identificativi delle transazioni ai dati ottenuti nella Blockchain
- monitoraggio hot wallet darkweb: tramite i wallet centrali posseduti dai marketplace illegali in cui gli utenti depositano o prelevano i fondi nell’ambito di operazioni di compravendita, è possibile risalire all’identità degli utenti che operano all’interno di un determinato mercato darknet. L’operazione è fattibile per mezzo di apposita iscrizione nel mercato interessato, detta registrazione permetterà di ottenere l’indirizzo su cui poi sarà possibile depositare i propri fondi per operare. Una volta perfezionato ciò, dopo aver ottenuto l’indirizzo del wallet centrale, si può risalire agli utenti che hanno operato su quel portafoglio e identificarli come illeciti, sempre tramite l’ausilio delle informazioni registrate all’interno del ledger pubblico.
- identificazione utenti darkweb: in via residuale, qualora una delle precedenti modalità non abbia dato i risultati sperati ci si dovrebbe concentrare su di un attento monitoraggio degli utenti presenti nel darkweb e, con ancor maggior attenzione, sui forum presenti nello stesso.
- M.Busetto, Tecnologia blockchain e disciplina antiriciclaggio in materia di criptovalute, Venezia, 2018. ↑