La blockchain e la valuta virtuale, strumenti antiriciclaggio: un paradosso?

Qualcosa connota di trasparenza l'operare in un mondo le cui peculiarità sembrerebbero fatte per poter eludere controlli; a pena, diversamente, di sua inaffidabilità! Si pensi, così, alla possibilità che in una rete di account singole operazioni vengano firmate, tracciate, riconosciute, validate ed immagazzinate in un registro diffuso tra i medesimi partecipanti alla rete e di cui essi stessi sono, quindi, garanti e garantiti, ovviando, così, a un problema di doppia spesa di valuta virtuale e di transazioni fraudolente.

Vizi e virtù, limiti e risorse, dunque, sembrerebbe doversi dire, di un mondo, quello cibernetico, che la presente trattazione si propone di esaminare proprio con riferimento alla deriva criminosa del riciclaggio; per cui, dalla rilevazione di una potenzialità criminogena, alla prospettazione di una valenza certificativa, si propone l'apparente paradosso: le applicazioni del mondo cibernetico – e nello specifico il riferimento corre alla blockchain e alla valuta virtuale – sono strumenti antiriciclaggio.

La valuta virtuale, “figlia” del mondo cibernetico, ne ripropone l'impronta genetica.

La valuta virtuale è, infatti, rappresentazione digitale di valore, è negoziata elettronicamente, non è emessa né garantita da una banca centrale o da un'autorità pubblica (e neppure è necessariamente collegata a una valuta avente corso legale), è utilizzata come mezzo di scambio per l'acquisto di beni e servizi o per finalità d'investimento mediante identificazione con stringhe alfa-numeriche.

Le transazioni in valuta virtuale sono state oggetto di crescente numero di segnalazioni di operazioni sospette di riciclaggio; e, a proposito di antiriciclaggio, recente è il decreto MEF (13.01.2022) e dunque la previsione a carico dell'OAM, dell'avvio della gestione, nel registro dell'attività di cambiavalute, della sezione speciale degli operatori in cripto-valute. Oggi attivo, l'iscrizione al registro è condizione d'esercizio dell'attività di exchanger e wallet-provider, dunque e per converso, in sua assenza di esercizio abusivo dell'attività.

La valuta virtuale si candida a strumento elettivo d'attività di riciclaggio.

Il reato di riciclaggio è tipizzato dalla previsione dettata dall'art 648-bis c.p.; si dica, in sintesi, una previsione che delinea la condotta individuando un esito, l'utilizzo del provento illecito, che sia in diretta relazione con una finalità, quella appunto “di ostacolare l'identificazione della provenienza delittuosa” del provento medesimo, per cui, “qualunque operazione” che sia funzionale all'esito, viene perseguita penalmente. Si pensi, così, ad un esempio di riciclaggio e si consideri la condotta di colui che, terzo rispetto al reato di truffa, incanali il denaro, che ne sia derivato, in una società d'investimento che, a sua volta, l'investa in attività d'impresa (ad es. esercizio ristorante), da cui derivi, poi, un guadagno lecito; a integrare, dunque, i tre momenti ideali e tipici del riciclaggio: -il collocamento -placement-, - la stratificazione -layering- e - l'integrazione -integration-, quindi, un primo momento, o fase del collocamento in istituzioni finanziarie dell'economia legale o nell'economia al dettaglio, un secondo momento, o fase della c.d. stratificazione di operazioni finanziarie con l'effetto della confusione e un terzo momento, o fase della integrazione del guadagno lecito nell'economia legale.

Rilevi, per inciso, che vi è un'altra nozione giuridica di riciclaggio: quella dettata dall'art. 2 comma 4 d.lgs. 231/2007, che individua il comportamento passibile di segnalazione antiriciclaggio e che dalla nozione codicistica trae presupposto ampliandone la portata (fino a ricomprendere comportamenti di autoriciclaggio, di ricettazione, di impiego di denaro, beni o utilità di provenienza illecita e di favoreggiamento personale).

Ma, quanto alla deriva dell'uso criminale della valuta virtuale strumentale all'attività di riciclaggio è alla condotta dettata dall'art. 648-bis c.p., che si deve fare riferimento.

I presidi nazionali antiriciclaggio attengono gli obblighi identificativi; ed è nel contesto della normativa antiriciclaggio, che si coglie un momento di collegamento tra il mondo cibernetico e il riciclaggio. È, infatti, nel d.lgs. n. 231/2007 che si rinviene la definizione di - valuta virtuale, - exchanger e -wallet provider, soggetti, questi ultimi, appunto il prestatore di servizi relativi all'utilizzo di valuta virtuale (exchanger) e il prestatore di servizi di portafoglio digitale (wallet provider), annoverati tra gli “operatori non finanziari”, a cui sono attribuiti gli obblighi antiriciclaggio (identificazione- segnalazione).

Previsioni frutto del recepimento di direttive comunitarie, l'attuale formulazione del d.lgs. 231/2007 è, dunque, il portato del dettato integrativo, dapprima del d.lgs. n. 90/2017 in recepimento della -IV- Direttiva Quadro UE Antiriciclaggio n. 849/2015 (donde l'aggiunta della definizione di valuta virtuale e di prestatore di servizi relativi all'utilizzo di valuta virtuale, annoverato, così, tra i destinatari degli obblighi antiriciclaggio) e dal d.lgs. n. 125/2019 in recepimento della -V- Direttiva Quadro UE Antiriciclaggio (n. 843/2018), (donde la modifica della definizione di valuta virtuale con l'aggiunta della finalità d'investimento e la previsione della definizione, dunque del novero tra i destinatari della normativa medesima anche del prestatore di servizi di portafoglio digitale).

Si ricordi, a proposito dell'intervento UE, anche la -VI- Direttiva Quadro UE Antiriciclaggio (n. 1673/2018) e così, nuovamente, il d.lgs. 125/2019, provvedimento di suo recepimento, direttiva che, pur non incidente quanto al dettato del d.lgs. 231/2007 ha indotto talune disposizioni di modifica del codice penale, tra cui quella relativa all'art. 9 c.p. (norma che attiene alla disciplina delle ipotesi in cui il cittadino italiano viene punito in Italia per un delitto comune commesso all'estero a danno dello Stato italiano o di altro cittadino italiano -il c.d. principio della personalità passiva- ovvero a danno di uno Stato estero, delle Comunità europee o di uno straniero -il c.d. principio di nazionalità-), per cui la punibilità in Italia, per il reato di riciclaggio e autoriciclaggio di cittadino italiano commesso all'estero, non è condizionata alla richiesta del Ministro della giustizia.

Rilevi, in ultimo, la già accennata istituzione del registro dei prestatori di servizi relativi all'utilizzo e custodia di valuta virtuale - si veda decreto MEF 13.01.2022 - e l'art. 6 secondo cui la GDF potrà avere conoscenza dei dati identificativi nonché dell'operatività di coloro che acquistano e vendono valuta virtuale. Sicché la GDF potrà richiedere all'OAM, l'organismo deputato ad istituire e gestire detto nuovo registro, dati e informazioni relative ai prestatori di servizi relativi all'utilizzo di valuta virtuale e ai prestatori di servizi di portafoglio digitale ed ai relativi clienti e così, inoltre, quanto«al controvalore in euro, alla data dell'ultimo giorno del trimestre di riferimento, del saldo totale delle valute legali e delle valute virtuali, il numero e il controvalore complessivo in euro, alla data dell'ultimo giorno del trimestre di riferimento, delle operazioni di conversione da valuta legale a virtuale e da virtuale a legale ed anche il numero delle operazioni di trasferimento di valuta in uscita e in ingresso da/verso il prestatore di servizi relativi all'utilizzo di valuta virtuale riferibili a ciascun cliente…»).

È un sistema di cifratura c.d. a chiave pubblica, che garantisce, alle transazioni in valuta virtuale, l'autenticazione e l'integrità.

Tale sistema consiste nella cifratura del testo di un messaggio mediante chiave pubblica e nella decifratura del testo cifrato mediante chiave privata.

Chiave pubblica e privata sono univocamente correlate; il destinatario del messaggio lo può decifrare in quanto è stato cifrato con la sua chiave pubblica per cui, solo con la sua chiave privata potrà decifrarlo.

La c.d. chiave pubblica (pk) viene inserita in un “ripostiglio” sicuro così da poter essere utilizzata da tutti i partecipanti della rete per cifrare i messaggi e la chiave privata (sk) è tenuta segreta ed è utilizzata solo da colui che deve decifrare il messaggio, la transazione di valuta virtuale.

È un algoritmo a produrre la coppia di chiavi (pk e sk) del sistema; algoritmo che, insieme ad altri due algoritmi, uno che partendo dalla chiave pubblica restituisce un testo cifrato e l'altro, un algoritmo deterministico, che dato in input un testo cifrato e una chiave segreta produce un messaggio, costituiscono lo strumento del suo funzionamento.

Una firma digitale consente, poi, al destinatario del messaggio, di verificare che sia noto il mittente che l'ha creato e inoltrato, che, dunque, non possa negare il suo invio e di essere certo che il messaggio stesso, durante il transito informatico, non sia stato modificato.

La coppia di chiave privata e chiave pubblica è contenuta in un portafoglio, che contiene una lista di coppie di chiavi.

La chiave pubblica, che del portafoglio ne costituisce l'indirizzo, si ottiene mediante una funzione di hash crittografica della chiave privata; per inciso, una funzione di hash è un algoritmo matematico che restituisce una stinga binaria di dimensione fissata, chiamata valore di hash o digest (un riassunto), partendo da dati di lunghezza arbitraria (una sorta di condensatore di bytes).

La chiave privata è un numero scelto arbitrariamente e la sua conoscenza, che, come già detto, è tenuta segreta dal suo utilizzatore, consente, all'utente, di controllare tutti i fondi associati al suo indirizzo del portafoglio e di creare firme che sono necessarie per trasferire valuta virtuale da un indirizzo all'altro, dando prova, così, della proprietà dei fondi utilizzati per la transazione.

Oggetto di transazioni, la valuta virtuale è, per convenzione, coniata all'esito di una transazione, la prima transazione inserita in un blocco di transazioni.

È, in sostanza, la ricompensa per colui che crea il blocco: dunque, è incentivo per inodi della rete perché la sostengano e costituisce modo per la distribuzione iniziale di monete in assenza di autorità centrale che le emetta.

Ben si comprende, quindi, il ruolo delle transazioni in un sistema, come quello Bitcoin, costruito in modo da garantire creazione di valuta e propagazione nella rete, validazione dell'operazione e aggiunta al registro globale.

Nel 2009, il creatore dei Bitcoin, Satoshi Nakamoto, generò un primo blocco di transazioni, il Genesis Bloch, contenente 50 Bitcoin, in ragione di un sistema progettato in modo tale che emetta monete in modo fisso e predeterminato, appunto, ad ogni generazione di blocco (fino ad un massimo di 21 milioni di monete, massima emissione che avverrà, approssimativamente, nel 2140).

Le transazioni sono rappresentate da un insieme di dati, la cui unità di misura è il kilobyte.

La struttura di questi dati codifica e trasferisce valore da una fonte di fondi, detta input, a una destinazione, detta output.

Ogni volta che un utente della rete riceve bitcoin, la somma così spesa diventa input di una transazione che viene registrata nella blockchain. In assenza di bilanci in bitcoin, nella rete si troveranno, così, output di transazione non spesi (UTXO), sparsi in transazioni e blocchi.

È la creazione e il consumo di UXTO a costituire oggetto di una catena che consente il movimento di valore bitcoin da un proprietario all'altro: gli UXTO consumati in una transazione sono input della transazione e gli UXTO così creati dalla transazione sono output della transazione.

Le transazioni avvengono, dunque, consumando gli output di transazione non spesi. Per inciso, si è scritto che è la prima transazione ad essere inserita nel blocco, a generare bitcoin, la c.d. coinbase transaction: una transazione speciale in quanto non ha ad oggetto il consumo di UXTO, ma crea bitcoin dal nulla, ed ha un output pagabile all'indirizzo bitcoin dello stesso nodo miner.

Non esiste un saldo dei vari indirizzi bitcoin ed è il portafoglio bitcoin dell'utente che, tenendo un database degli UTXO bloccati, gestisce automaticamente l'operatività.

Per inciso, tra l'input e l'output totale vi è (quasi) sempre una differenza dovuta alle commissioni della rete, c.d. transaction fee, parametrata ai kilobytes, ossia il valore bitcoin che la rete richiede per la transazione.

Ecco, quindi, che, così creata una transazione e aggiunta ad una transaction pool, la stessa è candidata ad essere inserita nel blocco.

Le transazioni sono, infatti, riunite e salvate nella rete mediante la creazione di blocchi di transazioni collegati a ritroso fino al blocco originario, c.d. Genesis Block.

Un blocco è un preciso insieme di metadata:

a) il numero che rappresenta la posizione assoluta del blocco all'interno della blockchain, c.d. index,

c) l'orario di inizio di formazione del dato informatico, c.d. timestamp,

d) ovviamente i dati delle singole transazioni nello stesso aggregate,

e) l'identificativo del blocco precedente, c.d. previous hash e

f) il proprio identificativo, c.d. hash di blocco, dato quest'ultimo espresso dalla funzione di hash dei predetti identificatori del blocco (si ricorda, l'hash è algoritmo matematico che restituisce una stinga binaria di dimensione fissata), da cui deriva una impronta, appunto l'hash del Bloch Header o Block Hash, che univocamente e senza ambivalenza identifica un blocco.

Un blocco in rete Bitocoin si genera ogni 10 minuti circa.

Ogni 10 minuti si coniano, dunque, bitcoin di proprietà di chi (il miner) riesce a risolvere un problema computazionale basato sull'algoritmo di hashing condiviso, anche detto algoritmo di consenso. Trattasi, in particolare, della ripetizione dell'hash dei dati del blocco al fine di individuare la variabile del blocco (l'unico dato su cui il miner può intervenire, essendo tutti gli altri metadata inseriti nel blocco, dati predeterminati e immodificabili) detta nonce (number that can only be used once, numero arbitrario, utilizzato in crittografia all'interno dei cosiddetti protocolli di autenticazione e che il miner sceglie arbitrariamente in totale libertà) che soddisfi una determinata condizione del sistema medesimo per garantire l'unicità del nuovo blocco . Si genera, quindi, una sfida tra i nodi miner il cui obiettivo è individuare un output che soddisfi un obiettivo, che, in termini matematici, si traduce nel trovare un output inferiore a un certo valore o soglia, detto target.

A proposito dell'operazione di hashing del sistema bitcoin, è l'algoritmo SHA256 ad essere condiviso ed utilizzato, dove il numero 256 sta per la dimensione di bit dell'output che genera partendo da un input di lunghezza qualunque.

Trovata, così dunque, la soluzione, il miner vincitore trasmette il blocco minato a tutti i nodi della rete, i nodi della competizione “sconfitti”, dando loro prova del lavoro effettuato, la c.d. proof of work; nodi che, effettuano, ciascuno, un controllo indipendente al fine dell'assemblaggio alla rete e di ripartire con la competizione, la challenge tra i nodi miners, quindi, interessati da una verifica che sostanzia il sistema e che è presupposto della sua ripartenza.

Si è scritto che la possibilità di firmare, tracciare, riconoscere, validare ed immagazzinare transazioni in un distribuited ledger, connota di trasparenza l'operare in un mondo le cui peculiarità sembrerebbero fatte per poter eludere controlli.

Non sfuggirà, a proposito e ad esempio, che l'identificazione del soggetto che cambi valuta fiat (Fiat, è congiuntivo presente esortativo, terza persona singolare, del verbo latino fio, dunque a significare “che sia fatto” con riferimento all'ordine governativo di emissione) in virtuale e viceversa (identificazione a cui l'exchanger e il wallet provider sono tenuti) costituisca momento di controllo circa la provenienza della provvista originaria, nonché della circolazione stessa della moneta virtuale, e quindi, una condizione di tracciabilità dell'operazione di cui il sistema (la blockchain) è garante e custode incorruttibile (origine della provvista e circolazione che quanto alla moneta fisica, alla carta moneta non è parimenti identificabile e tracciabile!). E così, neppure, sfugga che la tracciabilità sia garanzia di trasparenza delle operazioni alle quali è sotteso un soggetto il cui anonimato (l'identificazione della stringa alfa-numerica) è, in realtà, pseudo tale, stante la possibilità di sua individuazione.

Non sfuggirà, inoltre, il già accennato sviluppo normativo quanto (1) alla istituzione della sezione speciale degli operatori in cripto-valute del registro dei cambiavalute, operatori che dovranno avere sede legale o disporre diuna stabile organizzazione nel territorio della Repubblica, sviluppo normativo quanto (2) alla possibilità per la GDF di chiedere all'OAM e dunque di avere la conoscenza dei dati identificativi nonché dell'operatività di coloro che acquistano e vendono valuta virtuale, e presupposto indefettibile per l'effettività del disposto normativo ed ancora, quanto (3) al correlato obbligo di iscrizione a pena d'impossibilità d'esercizio o, in assenza d'ottemperanza, d'esercizio abusivo.

Indubbiamente oggi, la previsione di soggetti tenuti al rispetto della normativa antiriciclaggio che operino in un qualsiasi momento del mercato delle valute virtuali (dunque oltre il momento di intersezione con il mercato fiat -il momento dello scambio valuta fiat/valuta virtuale-) è presupposto di efficace contrasto a fenomeni criminosi di cui il riciclaggio è espressione più immediata.

Rimane, peraltro, certamente ancora da fare relativamente a quelle situazioni che a tale regolamentazione sfuggano. Si pensi, in primo luogo e banalmente, a quegli strumenti che dell'anonimato ne facciano caratteristica ricercata e promossa: i c.d. Anonymity Enhanced Cryptocurrencies, browser di navigazione anonima e ancora, i cryptocurrency mixer o tumbler, software o servizi che mescolano le valute virtuali con quelle di altri utenti per garantire la privacy delle operazioni e in generale, le applicazioni di anonimizzazione o mascheramento degli indirizzi IP.

Si pensi, poi, a tutte quelle forme di intermediazione del mercato delle valute virtuali che operano irrispettose della normativa antiriciclaggio: così, ad esempio, all'attività di colui che acquisti valuta virtuale con risorse altrui, i c.d. collettori e che, dunque, di fatto, neghi trasparenza rispetto all'effettivo acquirente, donde l'evidente rischio di riciclaggio; o al fenomeno dei c.d. exchangers centralizzati per cui il cliente non opera direttamente in blockchain, ma accende un wallet presso un exchanger e opera sulle proprie disponibilità solo ricorrendo a funzionalità offertegli dalla piattaforma di riferimento, così disintermediato dalla blockchain.

Si pensi, in ultimo, a quei fenomeni cd. di esercizio arbitrario di attività regolamentate da norme, per prospettare un comparto normativo che, come parte di un più articolato sistema di allerta, se intercettato dall'utilizzo della valuta virtuale, pur potrebbe indurre momento collettore d'informazioni antiriciclaggio.

Pensiero corra, così, all'abusivo esercizio di attività di cambio valute, attività a cui l'operatività dei prestatori di servizi per l'utilizzo delle cripto-valute è equiparata; ma, dunque, anche ad altri comportamenti che si connotano di diverso disvalore penale, che pur norme speciali contemplano ma a cui difficile è il rimando ostandovi un oggetto materiale, la valuta virtuale, dalla natura proteiforme (mezzo di pagamento piuttosto che prodotto finanziario). Riferimento ne siano varie ipotesi di abusivismo contemplate dal Testo Unico Bancario: ad esempio, - l'abusivismo in materia di attività di raccolta del risparmio, ossia l'attività di colui che acquisisce fondi con obbligo di rimborso, comportamento a cui è correlabile, di fatto, l'attività degli exchangers (i c.d. exchangers centralizzati) che raccolgono la moneta, virtuale, dei clienti mediante piattaforme, moneta che conservano su indirizzi blockchain nella loro esclusiva disponibilità, in quanto i soli a detenere le relative chiavi criptografiche e i soli, quindi, in grado di movimentarli, lasciando, così, ai clienti una operatività mediata (moneta di cui, come le banche, non hanno titolo giuridico per disporne in autonomia, ma di cui, di fatto, come le banche hanno piena disponibilità e che per altro non hanno titolo per raccogliere proprio in assenza della riferibilità all'insieme delle disposizioni precettive che la qualifica di banca presuppone e comporta); - ancora, così, l'abusivismo in materia di attività bancaria e finanziaria, e al fenomeno del prestito di criptovalute (anche detto crypto-lending), una sorta di finanza decentralizzata che consente il prestito di valute e la realizzazione di dividendi cripto.

Ma si può, allora, parlare di paradosso?

Probabilmente e con i dovuti distinguo si può assumere che la blockchain e la valuta virtuale vadano a comporre un sistema antiriciclaggio; salvo, appunto, il distinguo che induce la possibilità dell'anonimato della transazione e che presta il sistema al proposito del nascondimento. Che, pur, potrebbe essere una virtù, ulteriore, del sistema (si pensi a coloro che comunque estranei ad operazioni di riciclaggio, vogliano rimane anonimi), ma che certo altrettanto potrebbe costituire presupposto d'uso illecito.

Quindi, non sfuggano le potenzialità, in sé, di un mondo (il cui merito va riconosciuto, in primo luogo, alla blockchain) di cui, si spera, questa breve pubblicazione sia contribuito conoscitivo (e per cui l'assunto il paradosso “la blockchain e le cripto-valute strumenti antiriciclaggio” è solo apparente); non dimenticando possibili derive criminose dell'agire umano senza, peraltro, infondere, negli operatori, timori ingiustificati.