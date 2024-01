Una volta appurato cosa bisogna intendere per wallet passiamo all’analisi tassonomica degli stessi. Innanzitutto possiamo distinguere due macro categorie di wallet: software e hardware . I software wallet (hot wallet) sono caratterizzati dall’essere costantemente connessi a Internet e pertanto si trovano in uno stato perenne di vulnerabilità agli attacchi informatici. A tal proposito, i ricercatori di Unciphered, una società specializzata nel recupero dell’accesso ai cripto-wallet, hanno scoperto una serie di vulnerabilità nella libreria JavaScript BitcoinJS utilizzata dalla maggior parte delle piattaforme di criptovaluta online. I ricercatori hanno soprannominato questo insieme di vulnerabilità Randstorm [4] . A differenza dei software wallet gli hardware wallet ( cold wallet ) memorizzano le chiavi private su un dispositivo fisico sicuro e non collegato alla rete. Nonostante ciò anche gli hardware wallet presentano vulnerabilità e possono essere soggetti a attacchi power glitch [5] , attacchi tramite canale laterale [6] o attacchi HSM [7] . Ulteriori distinzioni si rilevano sulla scorta delle modalità di utilizzo, di accesso e di gestione delle chiavi private. Infatti, i software wallet possono distinguersi in: ◆ wallet online: disponibili e scaricabili su qualsiasi web broswer (Firefox, Chrome, Opera e Brave) gestito da un provider, i wallet vengono solitamente installati come estensione del browser e l’accesso è gestito, in genere, tramite comuni credenziali come avviene per qualsiasi altro servizio online; ◆ wallet desktop/mobile: con standard di controllo e di sicurezza molto più elevati, ma richiedono un minimo di esperienza e capacità tecnica al fine di sfruttarne le piene potenzialità. Gli hardware wallet, a loro volta, si suddividono in: ◆ wallet di mera custodia: consentono solo la custodia dei dati sensibili utili al fine di accedere alle proprie criptovalute; ◆ wallet di gestione: consentono la gestione delle proprie criptovalute attraverso la creazione di nuovi address permettendo, altresì, la sottoscrizione di transazioni digitali; ◆ brain wallet: in cui la seed phrase [8] della stessa viene creata da noi stessi invece di utilizzare un algoritmo.

Orbene, l’analisi finora svolta tra le eterogeneità che caratterizzano software e hardware wallet risulta propedeutica all’analisi delle differenze che intercorrono tra custodial e non custodial wallet . I custodial wallet sono forniti da prestatori di servizi (provider). La caratteristica preminente di questa tipologia è rappresentata dalla custodia delle chiavi crittografiche dell’utente da parte dello stesso provider. Ciò, ovviamente, comporta possibili rischi nella gestione delle proprie cripto-attività. Tali pericoli vengono ricondotti principalmente all’effettiva e piena disponibilità delle criptovalute collegate al proprio wallet in quanto non essendo gli utenti gli effettivi detentori delle chiavi private potrebbe benissimo accadere, come è già accaduto nel caso di Sam Bankman-Fried CEO dell’Exchange FTX [9] che il provider, detentore delle chiavi private, possa disporre delle criptovalute autonomamente senza alcun necessario intervento dell’utente. Difatti, proprio in ragione di ciò è divenuta iconica nell’ecosistema cripto la citazione “ not your key, not your coins ”. Al contrario, i non custodial wallet (hardaware o software), anch’essi forniti da provider, sono caratterizzati dalla detenzione delle chiavi private da parte dell’utente garantendo, pertanto, la piena ed esclusiva gestione delle proprie cripto-attività da parte dello stesso.

4. La regolamentazione dei provider nel MICAR: la tutela dell’utente



Ordunque, ponendoci, invece, da un punto di vista squisitamente giuridico, si deve innanzitutto constatare l’assenza di qualsivoglia definizione tecnico-giuridica in ordine a cosa debba intendersi per wallet. Nonostante ciò, la Commissione Europea con il regolamento MICA [10] ha voluto concentrarsi sulla protezione e sulla tutela degli utenti attraverso la regolamentazione dei fornitori di servizi per le cripto-attività.

Difatti, il regolamento MICA prevede che i suddetti provider debbano essere soggetti a rigorosi requisiti di trasparenza. Innanzitutto, i membri dell’organo di amministrazione dei provider, cosi come gli azionisti e i soci diretti ed indiretti, dovrebbero disporre di sufficienti requisiti di onorabilità e, in particolare, non dovrebbero essere stati condannati per alcun reato nell’ambito del riciclaggio o del finanziamento del terrorismo. Altresì, dovrebbero disporre di solidi meccanismi di controllo interno e di valutazione del rischio nonché di sistemi e procedure adeguati per garantire l’integrità e la riservatezza delle informazioni ricevute, dovrebbero, inoltre, adottare disposizioni adeguate per registrare tutte le operazioni, gli ordini e i servizi relativi ai servizi da loro prestati e da ultimo dovrebbero disporre di sistemi per individuare i potenziali abusi di mercato commessi degli utenti.

Altresì, la Commissione Europea, al fine di disincentivare il riproporsi di situazioni analoghe a quelle che hanno visto protagonista l’Exchange FTX, interviene su uno dei punti più nevralgici che caratterizza i provider ossia l’effettiva disponibilità delle cripto-attività. I prestatori di servizi che detengono cripto-attività appartenenti a clienti, o i mezzi di accesso a tali cripto-attività, dovrebbero garantire il non utilizzo delle stesse per proprio conto e che queste siano sempre non vincolate. Dovrebbero, inoltre, essere ritenuti responsabili di eventuali perdite derivanti da incidenti dovuti ad attacchi informatici, furti o malfunzionamenti. Da ultimo, si precisa che lo stesso regolamento MICA, al punto 83, prevede espressamente che “I fornitori di hardware o software wallet non custodial non dovrebbero rientrare nell’ambito di applicazione del presente regolamento”. Avendo usato il condizionale, dunque, non è esclusa una futura estensione di tali precetti anche nei confronti dei provider di software o hardware wallet.

Prerogative più stringenti sono state previste, invece, per una categoria particolareggiata di provider ovvero gli Exchange i quali svolgono, intrinsecamente, la funzione di provider di software wallet, ma si caratterizzano prevalentemente per la loro attività di negoziazione di cripto-attività. A tal proposito, il MICAR prevede che gli Exchange dovrebbero adottare misure necessarie per evitare che i loro dipendenti facciano un uso improprio delle informazioni privilegiate a cui hanno accesso, come quelle agli ordini dei clienti (insider trading). Sul punto non può non menzionarsi quanto previsto dalla direttiva (UE) 2018/843 (5° direttiva AML) nella quale si individuano gli strumenti per contrastare il fenomeno del riciclaggio di denaro e, nello specifico, ciò avviene attraverso il binomio KYC (know your customer) e KYT (know your transaction). Pertanto, gli Exchange dovranno includere informazioni complete e accurate sui propri utenti e i sui beneficiari di trasferimenti di fondi e di cripto-attività. Ciò include l’identificazione completa del pagatore e del beneficiario, l’indirizzo o l’identificativo univoco del beneficiario, e l’importo del trasferimento con l’obbligo di conservare tali informazioni per un periodo non inferiore a cinque anni.

Altresì, al fine di garantire la concreta solvibilità degli Exchange, così come prevista dalla direttiva (UE) 2015/2366, espressamente richiamata nel regolamento MICA, si impone agli Exchange di detenere i fondi appartenenti ai loro clienti sotto forma di banconote, monete, moneta scritturale o moneta elettronica presso un ente creditizio o una banca centrale.

In conclusione, è chiaro il tentativo da parte del legislatore comunitario di voler regolare un ecosistema in costante e repentina evoluzione. Risulta, pertanto, indubbio affermare che la regolamentazione dei prestatori di servizi legati a cripto-attività e alle tecnologie basate su registri distribuiti sia essenziale al fine di costruire delle solide fondamenta su cui basare il futuro impianto normativo.