Al via la nuova direttiva antiriciclaggio europea, da Gennaio 2020 gli exchange di criptovalute dovranno conformarsi

Era inevitabile che succedesse, del resto l’UE era rimasta già ampiamente indietro rispetto a paesi come USA e Giappone, per cui dal prossimo gennaio le piattaforme di scambio dovranno preoccuparsi di essere conformi anche alle nuove direttive antiriciclaggio europee; entrerà in vigore infatti dal prossimo 10 gennaio la quinta direttiva antiriciclaggio che produrrà notevoli cambiamenti per gli scambi che consentono di acquistare criptovalute con valuta fiat, e viceversa. Come abbiamo già avuto modo di spiegare con un articolo di qualche giorno fa le nuove direttive, figlie anche del giro di vite voluto dal GAFI, hanno già fatto le prime vittime con aziende che hanno deciso di chiudere i battenti, la cosa però non ha riguardato tanto le piattaforme di scambio quanto altri attori del mercato. Molti exchange, infatti, sono già conformi alle direttive che regolano l’attività degli scambi di criptovalute in USA per cui sono già moderatamente pronti ad estendere le stesse procedure in Europa; il problema si porrà, quindi, solo per le piattaforme che hanno sede legale in UE, e neanche per tutte, perché alcune di queste operano già in ossequio alle leggi antiriciclaggio e richiedono agli utenti di certificare la propria identità. Del resto, contrariamente a quanto si possa pensare, le transazioni in criptovaluta non sono quasi mai anonime e sono facilmente tracciabili, come qualunque pagamento elettronico, solo alcune piattaforme, come ad esempio monero e più in generale quelle relative alle cripto che fanno dell’anonimato il loro core business, avranno difficoltà con le nuove direttive; per quanto riguarda gli scambi, poi, questi risolveranno ogni problema decidendo per il delisting delle monete anonime, per cui sul tavolo rimane solo la questione, non irrilevante, della sicurezza dei dati sensibili degli utenti che, in ottemperanza alle nuove direttive antiriciclaggio, dovranno essere custoditi dagli exchange.

Non si tratta di un problema di poco conto visto che in caso di furto di tali dati, composti dalle copie dei documenti degli utenti e dalle prove di residenza, il rischio di furto di identità sarebbe dietro l’angolo; ne va in ogni caso della credibilità delle stesse piattaforme, qualora dovessero esserci dei leaks gli utenti perderebbero rapidamente fiducia nelle piattaforme di scambio centralizzate e inizierebbero ad orientarsi massicciamente verso i DEX. Paradossalmente un furto di dati è percepito come più grave di un furto di fondi, non fosse altro perché gli exchange più importanti sono ormai abituati ad accantonare risorse economiche proprio per gestire i rimborsi in caso di furto, ben più grave invece la sottrazione di dati sensibili che è, invece, irreparabile; una volta che i dati sono stati sottratti, in altre parole, non c’è più modo di tornare indietro e la frittata è fatta. Tutto questo riapre inevitabilmente la questione relativa all’utilità stessa della normativa antiriciclaggio, un complesso di regole che si è già ampiamente dimostrato inefficace nel contrastare le condotte illecite ma che espone sistematicamente al rischio di furto di identità gli utenti; il tutto diventa ancora più inaccettabile se consideriamo che sarebbe semplice per le istituzioni proteggere l’identità dei cittadini se solo la si smettesse di credere che il ruolo delle istituzioni si esaurisca con lo scrivere le leggi. Basterebbe, infatti, che la comunità europea si dotasse di una piattaforma per l’identificazione degli utenti online e il problema sarebbe risolto alla radice; in pratica gli utenti si autenticherebbero su una singola piattaforma e utilizzerebbero poi quelle credenziali per accedere a qualunque altra piattaforma finanziaria evitando così di dover condividere i propri documenti con una molteplicità di attori differenti.

Centralizzando il processo di autenticazione, magari per mezzo di una chiave privata, si potrebbero sollevare tutte le altre piattaforme dall’onere di raccogliere e custodire i documenti degli utenti, riducendo così i costi per le imprese e i rischi per i fruitori di quelle piattaforme; anche ipotizzando che tali credenziali venissero sottratte l’utente si renderebbe immediatamente conto che qualcuno si è registrato a una piattaforma usando le sue credenziali di accesso e, una volta segnalata la cosa, potrebbe ricevere una nuova chiave privata. Resterebbe comunque aperta la questione relativa all’inefficacia delle norme antiriciclaggio, che fino ad oggi si sono rivelate ampiamente incapaci di contrastare le condotte illecite, ma quanto meno si tutelerebbero gli utenti dal rischio di furto di identità. Ovviamente un sistema del genere avrebbe anche lui le sue debolezze, il rischio che i documenti vengano sottratti alla piattaforma esisterebbe comunque, ma sarebbe chiaramente notevolmente ridotto rispetto alla situazione attuale; un conto è se i documenti dell’utente vengono custoditi da una sola piattaforma, ben altra cosa se gli stessi documenti vengono custoditi da una molteplicità di piattaforme differenti, in questo caso il rischio che anche solo una non adotti le necessarie misure di sicurezza per proteggere i dati degli utenti sale esponenzialmente. Dobbiamo quindi ammettere che non esiste una soluzione perfetta, che rischi e criticità possono solo essere ridotti e non eliminati, tuttavia non possiamo fare a meno di notare come le istituzioni si stiano completamente disinteressando di ridurre rischi e criticità, intestardendosi a gestire le cose in ossequio a una mentalità che pare scandalosamente vecchia. Le istituzioni non sembrano rendersi conto, in altre parole, di quanto siano grandi i rischi per gli utenti nel momento in cui il quadro normativo gli impone di condividere i propri documenti riservati (carte di identità, estratti conto, prove di residenza, etc) con tutta una molteplicità di attori la cui buona fede non è nemmeno certificabile; in altre parole non è nemmeno possibile assicurare gli utenti relativamente all’uso legittimo che le varie piattaforme faranno dei loro dati, gli innumerevoli scandali (tra i quali possiamo citare a titolo esemplificativo Cambridge Analytica) sono li a dimostrarlo. Sembra invece che le istituzioni credano che il loro unico compito sia implementare le norme antiriciclaggio, disinteressandosi completamente della sicurezza e della privacy degli utenti; un comportamento miope, che svela una profonda ignoranza delle dinamiche che regolano la contemporaneità, e del quale presto o tardi rischiamo di pagare tutti le conseguenze.