È di pochi giorni fa la pubblicazione in Gazzetta ufficiale dell’Unione europea[1] della nuova Direttiva (UE) 2018/843[2], più nota come V Direttiva Antiriciclaggio, un testo che, dopo meno di due anni dalla proposta della Commissione, vede la sua promulgazione delineare un quadro giuridico nel quale si ricomprendono anche alcune attività di gestione delle valute virtuali.
L’occasione è utile per alcune riflessioni su cui mi attendo sviluppi nei prossimi mesi, cogliendo al tempo stesso l’opportunità di chiarire taluni aspetti che, troppo spesso, figurano confusi.
Cosa cambia per wallet provider ed exchange platform
A una primissima disamina del testo comunitario che, lo ricordo, è rilevante ai fini dello Spazio Economico Europeo (SEE[3]), mi soffermo sulle principali aree di attenzione e intervento con riferimento ai prestatori di servizi di cambio tra valute virtuali e valute aventi corso legale (ossia gli exchange provider nella più ampia accezione) e ai prestatori di servizi di digital wallet, di cui preciserò gli estremi sotto il profilo tecnologico che mi paiono compatibili con il dispositivo appena emanato.
Le motivazioni a sostegno dell’intervento in parola si ritrovano nei considerando n°8 e 9, laddove sono esplicitati i rischi rivenienti dall’anonimato che caratterizza molte valute digitali e la conseguente necessità di prevedere che i suddetti prestatori si conformino alla disciplina prevista dalla nuova direttiva (si dice, in questo caso, che costoro saranno dei “soggetti obbligati”), applicando – fra l’altro – i controlli previsti dall’adeguata verifica del cliente.
Per contrastare tali rischi le unità nazionali di informazione finanziaria dovrebbero quindi poter ottenere informazioni che consentano loro di associare gli indirizzi della valuta virtuale all’identità del proprietario di tale valuta.
Quali wallet possono rientrare nella norma
Spiego meglio questo concetto facendo riferimento alla Blockchain della più famosa criptovaluta.
“Nella Blockchain pubblica dei Bitcoin, l’accesso al network e la possibilità di scrivere e leggere il ledger distribuito non avvengono identificando e verificando (né previamente né mai) il soggetto possessore del wallet. In altre parole, [coloro che vi accedono] sono unicamente referenziabili mediante le loro rispettive chiavi pubbliche, ma non hanno alcuna possibilità di garantire ciò che asseriscono di essere. Non vi è dunque un’autorità centrale che può autenticare l’accesso alla Blockchain.”[4]
La gestione di una transazione in criptovaluta implica che un utente debba possedere due chiavi crittografiche: una pubblica, con cui riceve, ed una privata con cui dispone/spende. Ambedue le chiavi, pur potendosi mantenere all’interno di uno stesso wallet, consentono di anonimizzare l’effettivo utilizzatore poiché ciò che è visibile (a tutti) è solo un indirizzo (il c.d. “Bitcoin address”) ricavato dalla chiave pubblica, cui non necessariamente deve corrispondere un’identità accertata.
Mentre la chiave pubblica di un beneficiario “rappresenta”[5] il recapito verso il quale è possibile trasferire bitcoin, la chiave privata permette al medesimo (e solo a lui) di usare la quantità di bitcoin di cui è nella disponibilità. Ne consegue che solo questa seconda chiave deve essere custodita in massima sicurezza per evitare che chi ne entri in possesso possa disporre di criptovaluta non sua, mentre la prima potrebbe richiedere una protezione inferiore[6].
La custodia della coppia di chiavi crittografiche può avvenire con strumenti differenti chiamati comunemente “wallet”. In funzione della tecnologia che implementa il wallet e dei servizi offerti, si possono avere due macrocategorie alle quali ascrivere diversi servizi di custodia delle chiavi: hot wallet e cold wallet.
Mentre la prima tipologia si caratterizza per individuare un software che, messo a disposizione dell’utente, può consentirgli di riceve e inviare bitcoin usando un’applicazione connessa a Internet, la seconda presenta solo la possibilità di custodire le chiavi in un luogo sicuro non connesso alla rete (può ad esempio essere un semplice pezzo di carta su cui sono trascritte – spesso sotto forma di QR code – le chiavi).
Un cold wallet che contiene (anche solo) la chiave privata, non essendo connesso telematicamente ad altri sistemi, può ovviamente essere impiegato solo per accumulare criptovaluta senza possibilità di spenderla, operazione per la quale è necessario accedere alla rete.
Un hot wallet che contiene entrambe le chiavi può consentire sia di raccogliere bitcoin ricevuti sia di spenderli in una transazione disposta dal possessore del wallet stesso (o, meglio, da colui che conosce la chiave privata) accedendo al network.
Ne consegue, quindi, che l’identificazione degli utenti che possiedono un wallet sarebbe solamente attuabile nel caso di hot wallet, facendo – legittimamente – ricadere la responsabilità dell’adeguata verifica sul soggetto che eroga tali servizi.
Per le ragioni sin qui spiegate parrebbe dunque che a tale categoria siano ascrivibili ciò che il legislatore comunitario individua come soggetti che forniscono “servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali”.
All’atto pratico saranno tali soggetti che, in quanto obbligati al rispetto della AMLD5, dovranno incaricarsi di effettuare l’adeguata verifica in fase (almeno) di registrazione dell’utente.
Dai wallet provider agli exchange
Si osservi come nel dettato dianzi riportato non siano menzionate le chiavi pubbliche, il che porterebbe a ritenere via sia principalmente un’attenzione posta sull’atto di disporre e spendere la criptovaluta piuttosto che accumularla.
Ciò, in realtà, non è vero poiché, proprio al fine di estendere i controlli, il legislatore ha previsto di includere anche i prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute legali, definiti nel dispositivo europeo come “prestatori di servizi la cui attività consiste nella fornitura di servizi di cambio tra valute virtuali e valute aventi corso forzoso”[7], precisando meglio il significato di valuta virtuale come “una rappresentazione di valore digitale che non è emessa o garantita da una banca centrale o da un ente pubblico, non è necessariamente legata a una valuta legalmente istituita, non possiede lo status giuridico di valuta o moneta, ma è accettata da persone fisiche e giuridiche come mezzo di scambio e può essere trasferita, memorizzata e scambiata elettronicamente”[8].
In tal modo, ove si ritenesse compatibile tale definizione con l’attività posta in essere dai cc.dd. exchange provider[9], avremmo che anche laddove non fosse (stato) possibile identificare il “proprietario” del wallet (perché, ad esempio, in possesso solo di un paper wallet), una de-anonimizzazione del soggetto che si accinge a convertire la criptovaluta avverrebbe ad opera dell’exchange stesso.
Ci sarebbe in ogni modo da capire se tale previsione sia da intendersi applicabile, e in che termini, indistintamente a qualsiasi soggetto che professionalmente effettua tale attività (ad esempio le cc.dd. exchange platform) e quali debbano essere i presupposti per un prestatore di servizi di pagamento (p.e. una banca o un istituto di moneta elettronica) qualora volesse adempiere a una siffatta attività, ad esempio tramite ATM o via home banking.
La norma europea, a tal proposito, richiede che sia i wallet sia gli exchange provider ottengano una licenza o siano registrati[10].
Ricordo inoltre che, per l’attività di “cambia-valute virtuali”, l’Italia è stato il primo paese dell’Ue che già dallo scorso anno, con il recepimento della quarta direttiva antiriciclaggio avvenuto mediante il Decreto legislativo 25 maggio 2017, n. 90, ha introdotto l’obbligo di iscrizione in una sezione speciale del registro dei cambiavalute (intervenendo sulla normativa prevista dal D.lgs 13 agosto 2010, n. 141, articolo 17-bis[11]), registro tenuto dall’OAM come previsto dal Testo Unico Bancario[12].
Un possibile ruolo per gli Identity Provider e (chissà …) una nuova applicazione di SPID?
La cornice normativa che viene a definirsi, potrebbe consentire lo sviluppo di nuove opportunità per chi opera come Identity Provider.
Anche in questo caso attingo ad alcune considerazioni che ho avuto la possibilità di esprimere nel mio ultimo libro per contestualizzare meglio il tema.
“Uno sviluppo estremamente interessante può essere rappresentato dall’opportunità offerta agli Identity Provider (…) di rilasciare delle credenziali che consentono di accedere al wallet, in modo tale che la generazione delle chiavi pubbliche in esso riprodotte sia riconducibile a un soggetto opportunamente identificato”[13].
In Europa gli Identity Provider sono entità autorizzate ai sensi del Regolamento (UE) n. 910/2014 (c.d. regolamento eIDAS) a rilasciare un’identità digitale interoperabile a livello comunitario. In Italia è in vigore lo SPID (Sistema Pubblico di Identità Digitale) e gli Identity Provider sono soggetti privati autorizzati dall’AgID (Agenzia per l’Italia Digitale).
Il rilascio di un’identità digitale conforme al regolamento eIDAS prevede una fase di identificazione e verifica del cittadino a espletamento della quale vengono rilasciate le credenziali che gli consentono di accedere ai diversi servizi erogati sul territorio dell’Unione.
Ecco dunque che, esercitando come sempre un pensiero laterale e lanciando il cuore oltre l’ostacolo, si può immaginare un wallet di criptovalute accessibile tramite identità SPID (chissà se avrebbe più successo della 18App …).
La moneta elettronica, le valute virtuali e le valute complementari
Ma ritorniamo all’analisi del testo europeo in esame in questo articolo.
La nuova direttiva pone l’accento, direi finalmente in modo chiaro e inequivocabile, sul distinguo che deve essere fatto fra tipologie di moneta: elettronica, virtuale e complementare.
Le valute virtuali, in particolare, non devono potersi confondere[14]:
- con la moneta elettronica[15] come definita dalla II direttiva sulla moneta elettronica (la c.d. “EMD2”);
- con il più ampio concetto di “fondi” come definiti dalla PSD2[16];
- con il valore monetario utilizzato per eseguire operazioni di pagamento nel perimetro di dispensa previsto per i cc.dd. “strumenti a spendibilità limitata”[17] e per le operazioni effettuate tramite l’impiego del credito telefonico[18],
- con le valute di gioco che possono essere utilizzate esclusivamente all’interno di un determinato ambiente di gioco.
Ancorché le valute virtuali possano venire frequentemente impiegate come mezzo di pagamento, potrebbero essere utilizzate anche per fini diversi e più ampi, ad esempio quale mezzo di scambio, di investimento, come prodotti di riserva di valore o essere adottate in case da gioco online.
L’obiettivo del legislatore europeo è, con la AMLD5, estendere la copertura normativa a tutti i possibili usi delle valute virtuali. Tuttavia, per quanto attiene le valute locali, note anche come monete complementari, che sono impiegate in contesti territoriali molto ristretti e tra un numero limitato di utenti, il nuovo testo esprime la non necessità di considerarle come valute virtuali[19].
Autodichiarazione volontaria per mitigare i rischi dell’anonimato
Analizzando in particolare il già richiamato considerando n°8 della nuova direttiva, è opportuno notare come il legislatore comunitario suggerisca di esaminare “ulteriormente la possibilità di consentire agli utenti di presentare, su base volontaria, un’autodichiarazione alle autorità designate”.
Anche in questa circostanza corre l’obbligo di considerare come il nostro paese si sia già portato avanti con il decreto che ha recepito, la scorsa estate, la IV direttiva antiriciclaggio.
Il Dipartimento del tesoro, infatti, nella predisposizione del decreto ministeriale tramite il quale verranno definite modalità e tempi con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale sono tenuti a comunicare al Ministero dell’economia e delle finanze la propria operatività sul territorio della Repubblica italiana[20], ha posto in consultazione pubblica – conclusasi il 16 febbraio 2018, lo schema di decreto nel quale sono inclusi gli obblighi di comunicazione “anche [a]gli operatori commerciali che accettano le valute virtuali quale corrispettivo di qualsivoglia prestazione avente ad oggetto beni, servizi o altre utilità. L’iniziativa mira a realizzare una prima rilevazione sistematica del fenomeno, a partire dalla consistenza numerica degli operatori del settore che, a regime, dovranno ad iscriversi in uno speciale registro tenuto dall’OAM, l’Organismo degli Agenti e dei Mediatori, per poter esercitare la loro attività sul territorio nazionale”.
Orbene. Gli operatori commerciali che accettano valuta virtuale quale corrispettivo di qualsivoglia prestazione avente ad oggetto beni, servizi o altre utilità, potrebbero essere attratti nella AMLD5 in relazione a quanto espresso nel considerando n°8. Ove così fosse, appare nondimeno opportuno rimarcare il carattere di volontarietà – e non d’obbligo – assunto nel testo comunitario in contrasto con quanto espresso nello schema di decreto ministeriale MEF.
Entrata in vigore della AMLD5 e recepimento
La nuova direttiva (UE) 2018/843 entra in vigore il 9 luglio 2018 e gli Stati membri devono rendere cogenti le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi ad essa entro il 10 gennaio 2020.
I passi (ancora) da compiere verso la decentralized governance e i token exchange
Non posso congedarmi dal lettore se non prima di aver espresso alcune considerazioni finali che, atteso il portato del dispositivo Europeo, mi paiono d’obbligo.
Il testo è fortemente orientato all’impiego delle valute virtuali e, per estensione tecnologica, diremmo alle criptovalute gestite su una blockchain, senza però entrare nel dettaglio delle tecnologie Distributed Ledger (DLT) che possono supportarla.
Ciò – in primis – può considerarsi corretto, posto che, in definitiva, si sta parlando di una direttiva volta a contrastare il fenomeno del riciclaggio e il finanziamento al terrorismo. Tuttavia, se intendiamo che la definizione “servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” riportata al riguardo dei wallet provider, possa solo sostanziare un fine unicamente rivolto alla valuta virtuale, è più che lecito chiedersi come considerare i casi in cui, le chiavi private siano associabili a token (magari ad asset-backed token o, come vedremo in seguito, fiat pegged token) o possano essere impiegate da uno smart contract.
Andiamo oltre e in continuità con quanto detto per i token.
All’origine, le piattaforme di exchange nascono come espressione di singole iniziative imprenditoriali che stabiliscono la propria sede legale in specifici paesi dove, all’epoca, il quadro normativo lasciava ampi spazi di manovra. Il modello di governance adottato è, sin dall’inizio, centralizzato, ossia esiste un soggetto giuridico che, chiaramente riconducibile nel novero dei nuovi soggetti obbligati dalla AMLD5, diremmo oggi, è individuabile e individuato.
Da oltre un anno, però, stanno moltiplicandosi progetti (in diverse geografie del pianeta) che, mutuando dalla blockchain il modello di governance decentralizzato, prevedono la costituzione dei cc.dd. decentralized exchange. Non sfugge che, tali soggetti, possono gestire sia criptovaluta sia fiat pegged token (i fiat pegged token sono una rappresentazione digitale di valute fiat che potremmo definire “aumentata”).
Ciò detto appare manifesto che la nuova direttiva antiriciclaggio, da sola e per come è stata testé promulgata, possa avere poca efficacia nei confronti di tali soggetti, attesa la loro natura decentralizzata.
Un possibile sviluppo normativo che voglia, tra l’altro, guardare anche ai modelli di governance decentralizzata e che conferirebbe maggiore garanzia a tutela dell’intero ecosistema, è, ad avviso di chi scrive, rinvenibile in un’estensione delle conduct of business rules e delle funds safeguarding rules (magari ispirate ad alcune previsioni della PSD2[21]), nonché in un’ulteriore attenzione da parte dell’Autorità Bancaria Europa (EBA) per quanto concerne le regole ed i regimi di vigilanza (in particolare internal governance, AML-CFT, own funds e supervisory reporting).
Lo spazio giuridicamente rilevante che si apre è vasto e, fino ad oggi, altrettanto fertile. Compito del regolatore sarà – come da sempre auspicato – intervenire con norme procompetitive che non limitino la concorrenza e lo sviluppo tecnologico di questi nuovi modelli, conseguendo gli obiettivi di un’innovazione governata di cui possa realmente beneficiare l’intera collettività.
NOTE
[1] Official Journal L 156/43 del 19 giugno 2018.
[2] Direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018, che modifica la Direttiva (UE) 2015/849 relativa alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e (c.d. IV Direttiva Antiriciclaggio).
[3] Istituito nel 1994, lo Spazio economico europeo estende le disposizioni applicate dall’Unione europea al proprio mercato interno ai paesi dell’Associazione europea di libero scambio (EFTA). Attualmente lo SEE comprende i Paesi dell’UE, l’Islanda, il Liechtenstein e la Norvegia (la Svizzera fa parte dell’EFTA ma non del SEE).
[4] Garavaglia R., “Tutto su Blockchain”, Hoepli, aprile 2018
[5] Volutamente il termine “rappresenta” è messo tra doppi apici, con ciò volendo tralasciare una spiegazione del tecnicismo mediante cui dalla chiave pubblica di un wallet si ricava l’indirizzo, ma evitando al tempo stesso di confondere il lettore che potrebbe assumere che chiave pubblica e indirizzo del wallet siano la stessa cosa.
[6] Dalla chiave pubblica non è mai possibile (almeno al livello di avanguardia tecnologica attuale) ricavare la chiave privata.
[7] Articolo 2, paragrafo 1, punto 3) della direttiva (UE) 2015/849 (AMLD4) come novellato dalla direttiva (UE) 2018/843.
[8] Articolo 3 della direttiva (UE) 2015/849 (AMLD4) come novellato dalla direttiva (UE) 2018/843.
[9] Si veda anche di Garavaglia R.” Valute virtuali e moneta elettronica: cosa cambia con il recepimento in Italia della quarta direttiva antiriciclaggio”, PagamentiDigitali, 21 giugno 2017.
[10] Articolo 47, paragrafo 1 della direttiva (UE) 2015/849 (AMLD4) come novellato dalla direttiva (UE) 2018/843.
[11] Articolo 8, comma 1 del D.Lgs. 25 maggio 2017, n. 90.
[12] Decreto legislativo 1° novembre 1993, n. 385, art. 128-undecies.
[13] Garavaglia R., “Tutto su Blockchain”, Hoepli, aprile 2018.
[14] Considerando n°10 della direttiva (UE) 2018/843
[15] Articolo 2, punto 2, della direttiva 2009/110/CE (la c.d. “EMD2” o “IMEL2”).
[16] Articolo 4, punto 25, della direttiva (UE) 2015/2366 (la c.d. “PSD2”).
[17] Articolo 3, lettera k) della direttiva (UE) 2015/2366 (la c.d. “PSD2”).
[18] Articolo 3, lettera l) della direttiva (UE) 2015/2366 (la c.d. “PSD2”).
[19] Considerando n°11 della direttiva (UE) 2018/843.
[20] Ai sensi dell’articolo 17-bis, comma 8-ter del decreto legislativo 13 agosto 2010, n.141, come introdotto dall’articolo 8, comma 1, del decreto legislativo 25 maggio 2017, n. 90.
[21] Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE.