I recenti furti di criptovalute ai danni di Poly Network e Liquid hanno reso evidente la necessità di una compiuta regolazione del fenomeno a salvaguardia sia degli asset che degli investitori, pur tentando di preservare l’autonomia che contraddistingue i sistemi basati su blockchain.
Riciclaggio con criptovalute, gli sportelli ATM ultima frontiera: vulnerabilità e tutele
I due incidenti, pur con origine ed esiti diversi, hanno fatto scalpore non solo per la loro entità (quasi 700$ milioni), ma anche per le modalità, ovvero semplici attacchi informatici verso piattaforme spesso ritenute dagli investitori sicure quanto o più delle banche classiche. Le indagini sul furto di circa 97$ milioni in criptovalute ai danni della piattaforma giapponese Liquid sono ancora in corso, ma a dispetto dei tentativi di recupero i criminali stanno riuscendo ad evitare il congelamento degli asset utilizzando exchange decentralizzati per coprire le proprie tracce. L’altro attacco, invece, definito “il più grande nella storia della finanza decentralizzata” ha fortunatamente avuto una rapida risoluzione dal momento che la sottrazione di criptovalute era in realtà opera di tale “Mr White Hat” che avrebbe agito solo per mettere in luce la falla da lui sfruttata prima che lo facesse qualcun altro con intenti malevoli. Anzi, la società ha deciso di ricompensarlo per aver messo in luce la vulnerabilità con 500.000$ e un’offerta di lavoro come Chief Security Advisor.
Le minacce agli asset di criptovalute
Le minacce agli asset di criptovalute non si limitano a eventuali falle nei sistemi gestiti dagli exchange, ma anche ad attacchi diretti ai singoli possessori di criptovalute che sfruttano in parte le stesse dinamiche legate ai sistemi bancari tradizionali. Come evidenziato dall’FBI in un avviso rivolto ai professionisti del settore, la maggior parte degli attacchi avviene grazie ai seguenti metodi:
- Accesso all’account della vittima presso un exchange di criptovalute superando l’autenticazione a due fattori
- Criminali che si spacciano per il personale di supporto di piattaforme di pagamento o exchange per raggirare le vittime (vishing)
- Attacchi SIM swapping per avere accesso al numero di telefono della vittima così da poter ricevere credenziali d’accesso o token di autenticazione.
Come visto si tratta degli stessi attacchi di cui sono vittima gli utenti tradizionali, con eventuali varianti dovute alle piattaforme tecnologiche utilizzate. In questi giorni, ad esempio, l’utenza del noto marketplace di NFT OpenSea è rimasta vittima di attori malevoli che, spacciandosi per operatori del server Discord utilizzato per le richieste di supporto tecnico, invitavano a scansionare un QR code grazie al quale avevano poi accesso ai wallet. La vera differenza è che exchange e piattaforme di acquisto spesso non sono assoggettati agli obblighi di sicurezza e di informative richiesti ai canali finanziari classici. Anzi, considerata la facilità con cui si può accedere a tali strumenti specialmente da parte dei più giovani, i rischi per gli utenti sono senz’altro maggiori e legati non solo ad attacchi veri e propri, ma anche a banali truffe che coinvolgono sempre più soggetti. Non stupisce quindi che, come riportato dalla Federal Trade Commission statunitense, tra ottobre 2020 e maggio 2021 le truffe legate alle criptovalute siano aumentate di 10 volte fino a raggiungere la cifra di oltre 80$ milioni, con un impatto maggiore sui soggetti di età compresa fra 20 e 30 anni. Le modalità più utilizzate risultano essere le seguenti:
- Finti siti di investimento
- Truffe legate allo scambio di criptovalute, spesso fintamente sponsorizzate da celebrità (come nel noto caso degli account twitter ufficiali hackerati)
- Truffe collegate a finte relazioni sentimentali con opportunità di investimento
- Criminali che si spacciano per autorità governative
- o aziende note legate al mondo delle criptovalute.
Alla luce dei rischi corsi dagli investitori anche in termini di svalutazione degli asset e perdita degli investimenti, nonché del ruolo svolto dalle criptovalute nel pagamento dei riscatti da ransomware, numerosi governi ed enti regolatori stanno intervenendo con normative puntuali del fenomeno nel tentativo di arginarne i rischi.
La linea della SEC
La Securities and Exchange Commission statunitense ha tracciato la linea che intende seguire con riguardo alle criptovalute puntando soprattutto sulla tracciabilità e regolamentazione degli exchange. Pur non intendendo limitare in alcun modo le potenzialità della tecnologia legata alla blockchain, il nuovo capo della SEC, Gary Gensler, ha ribadito la necessità di proteggere gli investitori dalle frodi partendo proprio dagli exchange. Ha tuttavia espresso preoccupazione per altri metodi emergenti quali le piattaforme di finanza decentralizzata (DeFi) che potrebbero ad ogni modo essere ricondotte sotto altre categorie di enti finanziari già controllati dalla Commissione. L’azione della SEC nei prossimi mesi andrà a toccare nello specifico vari ambiti: le Initial Coin Offering (ICO), le trading venue, le piattaforme di scambio e di finanza decentralizzata, gli stablecoin, la custodia degli asset, nonché ETF e fondi di criptovalute in generale. Anche sul fronte della tracciabilità a fini fiscali delle criptovalute, il senato americano ha recentemente approvato un testo di legge che impone obblighi di rendicontazione al fisco per qualsiasi transazione in criptovalute o NFT, nonché per chi svolge il ruolo di broker di criptovalute.
La proposta Ue
In attesa di regolamentazione da parte dei singoli stati, anche la Commissione Europea ha presentato una proposta che mira ad equiparare le transazioni in criptovalute ai trasferimenti bancari classici, assoggettandoli quindi ad un preciso regime di tracciabilità. La proposta si inserisce in un più ampio piano di regolamentazione volto a contrastare il riciclaggio di denaro e il finanziamento del terrorismo anche con la creazione di una nuova autorità antiriciclaggio. Nello specifico, si punta ad obbligare tutti i prestatori di servizi legati alle criptovalute a svolgere adeguati controlli sulla clientela, garantendo la piena tracciabilità delle transazioni e quindi consentendo di prevenire ed individuare il possibile impiego di criptovalute a fini di riciclaggio o finanziamento del terrorismo. Sarebbero inoltre vietati portafogli anonimi, imponendo quindi alle piattaforme di registrare i dati personali degli utenti e impedire attività che possano minacciare il settore finanziario, il mercato interno dell’UE, nonché quello internazionale legato alle criptovalute.
Conclusioni
I rischi legati alle criptovalute sono molteplici e necessitano di risposte normative puntuali e immediate da parte dei legislatori, ma non vanno trascurati i rischi legati alla cybersecurity che esulano dalla specificità del mezzo in questione. Spingere verso una concreta tracciabilità delle transazioni, ad esempio, non impedirà che casi come quello di Poly Network si verifichino ancora: è per questo che oltre ad aumentare l’awareness dell’utenza, le piattaforme di exchange andrebbero sottoposte a più rigidi controlli di sicurezza al fine di salvaguardare asset e vittime che ad oggi sono spesso prive di forme di tutela effettive.
