Con le agenzie governative che stanno diventando più abili nel tracciare le transazioni a blockchain, leggi come il PILR dell’UE possono svolgere un ruolo importante.
Gli atteggiamenti anti-stabilimento e contro il governo hanno alimentato i primi giorni di criptaggio. Più di un decennio dopo, crypto si sta lentamente allontanando dai suoi primi giorni selvaggiamente occidentali per entrare in un sistema più organizzato che le istituzioni finanziarie tradizionali stanno adottando con riluttanza.
Inoltre, Crypto è riuscito ad attirare l’attenzione non meno riluttante di vari regolatori. Con reazioni che vanno dal divieto totale delle transazioni criptate al fatto che le autorità mettono in discussione il ruolo generale della regolamentazione, le valute criptate hanno creato scompiglio nel processo decisionale politico ovunque.
Per ora, le autorità di regolamentazione hanno concentrato la loro attenzione soprattutto sul posizionamento delle attività digitali all’interno dei regolamenti finanziari esistenti. Esperti di altri settori del diritto, tuttavia, hanno iniziato a sviluppare interesse sia per le valute crittografiche che per la tecnologia che le sottende. Nozioni quali le identità digitali decentralizzate e l’archiviazione sicura dei dati sulla catena sono servite a molti avvocati come introduzione alla tecnologia della blockchain.
Un’introduzione che ha portato con sé un’altra promessa è quella delle transazioni private su una blockchain. La riservatezza, come evidenziato nel white paper di Bitcoin, è stata di grande importanza per la visione di Satoshi di una moneta elettronica puramente peer-to-peer.
Queste promesse hanno influenzato sia l’uso della Bitcoin come metodo di pagamento apparentemente irrintracciabile, sia l’emergere di molti progetti a blockchain. Essa, tuttavia, si è dimostrata non solo molto esagerata, ma semplicemente falsa, lasciando gli enti regolatori e le autorità nella scomoda posizione di dover capire cosa fare al riguardo.
Gli errori delle transazioni crittografiche private
Secondo la soluzione proposta nel libro bianco della Bitcoin, rendendo anonime le chiavi pubbliche, le transazioni saranno ancora visibili, ma senza identificare le parti. La promessa di anonimato ha portato ad un certo livello di comfort tra le persone che effettuano transazioni nella catena.
Questo senso di sicurezza è culminato nella più ampia adozione del Bitcoin per le transazioni sul web oscuro. Alla fine questa pratica ha portato ad alcuni arresti e condanne di alto profilo, come quella del fondatore della Via della Seta. Con l’intensificarsi del coinvolgimento della polizia, la comunità dei crittografi ha iniziato a vedere le crepe dell'”anonimato” dei crittografi.
Questo concetto di anonimato è maggiormente minacciato dal continuo miglioramento degli strumenti di analisi a blockchain. Il mercato del software di conformità continua a crescere e i prodotti sono sempre più elaborati. Anche le cosiddette “monete della privacy” non sono state risparmiate dalle capacità analitiche sempre più sofisticate di servizi come Chainalysis. Ciononostante, alcuni utenti di crypto considerano ancora irrintracciabili le loro transazioni e private le loro azioni sulla catena.
Trattamento dei dati al di fuori della blockchain
Le persone che utilizzano la criptovaluta non sono state le uniche ad avere in mente la privacy e la protezione dei dati. Più o meno con gli stessi incentivi – proteggere la privacy delle persone in un mondo sempre più digitale – i responsabili politici di tutto il mondo avevano iniziato a lavorare sulle norme di protezione dei dati. Questa visione era quella di coprire sia i rischi della maggior parte delle attività che si muovono online, sia la crescente preoccupazione per le interferenze degli attori privati e la sorveglianza dello Stato. Non esiste un altro luogo così determinato a fornire una legislazione sulla privacy onnicomprensiva come l’Unione Europea.
A seguito di anni di discussioni e negoziati, è nato il Regolamento generale sulla protezione dei dati, o GDPR, (cioè una legislazione a livello di UE con un effetto diretto sui cittadini di tutti gli Stati membri). Dalla sua piena adozione nel 2018, il GDPR è stato al centro di numerose indagini e procedimenti giudiziari in materia di privacy. La più recente e, probabilmente, la più importante è stata la cosiddetta sentenza Schrems II della Corte di giustizia europea contro Facebook.
Una decisione giudiziaria con conseguenze significative
Detto in poche parole, la decisione Schrems II ruotava attorno alla determinazione della legittimità dei trasferimenti di dati UE di Facebook verso gli Stati Uniti. Il Tribunale non solo ha deciso che alcuni casi di trasferimento di dati di cittadini dell’Unione Europea verso gli Stati Uniti erano illegali, ma ha anche invalidato il meccanismo legale che molte aziende stavano usando per i trasferimenti di dati UE-USA – il Privacy Shield. Il motivo addotto dalla Corte di Giustizia Europea è che le pratiche di sorveglianza in corso da parte del governo americano non erano compatibili con le norme di protezione dei dati dell’UE.
La tutela dei dati non funziona sulla catena
Anche prima di Schrems II, le infrastrutture a blockchain non erano considerate molto rispettose della privacy a causa della dispersione delle informazioni inserite in tutti i blocchi. Questa dispersione rende importanti norme di protezione dei dati, come il diritto di cancellazione e il diritto all’oblio, che sono praticamente impossibili sulla catena, in quanto richiedono la rimozione di tutti i riferimenti a specifici dati personali.
Un altro motivo per cui la privacy non è necessariamente compatibile con le infrastrutture indelebili e basate su hash è che la protezione dei dati non è agnostica dal punto di vista tecnologico. Sia la sua protezione che le sue violazioni dipendono fortemente dagli strumenti tecnologici a disposizione. E gli strumenti tecnologici tendono a migliorare esponenzialmente con il tempo – se la crittografia deve servire da esempio, quello che una volta era un meccanismo di crittografia all’avanguardia può ora essere rotto senza grandi sforzi.
Per identificare una persona specifica, la capacità di identificare una persona specifica dipende anche da una combinazione di strumenti tecnici disponibili e di informazioni accessibili. Ciò implica che anche se una persona utilizza una moneta per la privacy, come Zcash o Monero, l’indirizzo del suo portafoglio può potenzialmente essere trovato se ci sono informazioni aggiuntive disponibili; per esempio, transazioni precedenti dallo stesso indirizzo del portafoglio che sono rintracciabili.
La sorveglianza statale rovina tutto
A parte le preoccupazioni specifiche per la privacy, c’è anche la questione di dove finiscono i dati – non solo in termini di dove vengono memorizzati, ma anche di chi può accedervi. Il GDPR è piuttosto specifico sul fatto che i diritti degli “interessati” dell’UE – che è legale per le persone che possono essere identificate da queste informazioni – seguono i dati, il che significa che non importa dove questi dati finiscono, devono essere protetti con lo stesso alto livello di protezione che si avrebbe in Europa.
Non solo gli Stati Uniti sono l’unico esecutore della sorveglianza di massa, ma anche gli Stati Uniti. La pratica è così comune che la Commissione Europea ha pubblicato una lista molto breve di paesi terzi fidati, il cui livello di protezione dei dati è ritenuto “adeguato”. Ciò che Schrems II riesce a fare, tuttavia, è evidenziare una preoccupazione costante condivisa dai responsabili politici e dalle autorità giudiziarie dell’UE: Le capacità di spionaggio degli Stati aumentano in modo significativo quando le aziende tecnologiche nelle loro giurisdizioni dispongono già dei dati.
È davvero possibile effettuare trasferimenti crittografici a prova di futuro?
È quindi relativamente facile prevedere che, ancora una volta abituata alle norme di criptaggio in generale, l’UE avrà un problema con gli aspetti specifici del trasferimento di beni criptati, soprattutto perché finiscono per includere più dati di quanto non sia stato riconosciuto in precedenza – e ancora di più quando i Paesi “inadeguati” sono direttamente coinvolti nei trasferimenti.
Particolarmente problematici sono due scenari. Il primo riguarda le monete stabili globali e le valute digitali delle banche centrali al dettaglio che vengono trasferite da e verso i cittadini europei. Le monete stabili sarebbero particolarmente impegnative a causa del loro potenziale utilizzo diffuso come metodi di pagamento, unito al maggiore incentivo dei governi a regolamentarle. Ad esempio, con il forte coinvolgimento di Facebook nell’Associazione Bilancia, alcune azioni di protezione dei dati da parte delle istituzioni dell’UE sembrano quasi inevitabili, soprattutto perché le autorità europee per la protezione dei dati mostrano coerenza nel rendere impossibile qualsiasi trasferimento di dati UE-USA.
Il secondo scenario ruota intorno a qualsiasi adozione a livello statale di regole sui trasferimenti crittografici e sulla raccolta obbligatoria di dati specifici. La regola dei viaggi del Financial Action Task Force, ad esempio, richiede che i trasferimenti crittografati raccolgano e trasmettano il nome del mittente, il numero di conto (o l’indirizzo del portafoglio), le informazioni sulla posizione, nonché il nome del destinatario e il suo numero di conto.
È comunque necessaria una regolamentazione come la regola del viaggio, in quanto serve a uno scopo specifico – prevenire il riciclaggio di denaro sporco e il finanziamento del terrorismo attraverso la raccolta di un numero sufficiente di dati sulle transazioni. Leggi come queste sono state ampiamente adottate anche nel settore finanziario tradizionale, con alcuni effetti significativi anche sulla crittografia. L’alternativa finanziaria tradizionale più vicina alla regola dei viaggi – il sistema SWIFT utilizzato dal settore bancario – è riuscita ad essere conforme al GDPR grazie a una combinazione di fattori tecnici e organizzativi.
La privacy può superare la sorveglianza?
Se si parla di dati di transazioni criptate, tuttavia, la privacy non esiste. È bello ricordare la visione di Satoshi sulle transazioni private, peer-to-peer occasionalmente, ma in realtà, pochissime transazioni crittografiche sono in realtà irrintracciabili. E le transazioni che dipendono da trucchi per migliorare la privacy sono soggette a costanti minacce provenienti da diverse parti e organizzazioni.
Al contempo, le precedenti attività illegali, rese possibili dall’uso del cripto, evidenziano perché abbiamo bisogno di un certo livello di trasparenza e persino di un controllo statale su chi sta trattando con chi. Tutto ciò, a sua volta, ha portato a un ampio utilizzo degli strumenti di analisi a blockchain da parte dei governi. I colpevoli dietro il recente hackeraggio di Twitter, per esempio, sono stati scoperti con l’aiuto di Chainalisys.
Fine delle transazioni non verificate
Questa collaborazione significa la fine non solo delle transazioni private, ma anche delle transazioni non garantite. Con la proposta e in qualche modo inevitabile di una più ampia adozione delle valute digitali, è molto probabile che sempre più dati sulle transazioni saranno generati e facilmente accessibili in tutto il mondo. Contemporaneamente, con il miglioramento esponenziale degli strumenti di analisi a blockchain e del software di conformità, sarà necessaria una quantità di informazioni in rapida diminuzione per l’identificazione di una specifica persona.
Tutti questi dati saranno facilmente accessibili per i governi. In questo scenario, il problema non sarebbe la violazione di alcuna specifica normativa sulla protezione dei dati e in particolare del GDPR. Sarebbe che la privacy dei dati finanziari potrebbe semplicemente cessare di esistere come possibilità per tutti. Ed è qui che la normativa sulla privacy può effettivamente aiutare.
Regolamentazione della privacy come risposta
Il sentimento abituale tra gli utenti di cripto potrebbe essere che l’eccessiva interferenza dei regolatori con la tecnologia e l’innovazione ha un profondo effetto negativo, soprattutto per la più ampia adozione delle valute digitali. Tuttavia, è probabile che l’idea originale del contante elettronico peer-to-peer sarà possibile solo con le giuste leggi in vigore.
Le normative sulla privacy potrebbero rivelarsi la “no man’s land”, la terra di nessuno, dove le autorità di regolamentazione e gli utenti della blockchain e della crittografia possono raggiungere una comprensione reciproca perché hanno un nemico comune – i governi con ampie pratiche di sorveglianza.
Il GDPR ha portato a cambiamenti che integrano l’etica dei primi tempi di crypto, in quanto si è dimostrato cruciale per combattere le discutibili pratiche di gestione dei dati degli attori del settore pubblico e privato. Ha anche fatto miracoli per coltivare una cultura della privacy anche tra persone che non avevano alcun interesse a proteggere le loro informazioni.
Inoltre, i regolatori e gli utenti della blockchain e della crittografia hanno un obiettivo comune: garantire che sia le valute crittografiche che le tecnologie sottostanti siano utilizzate in modo da non ingannare la promessa. Che potrebbe essere proprio ciò di cui ha bisogno la tanto attesa e più ampia adozione delle valute digitali.