Criptovalute e responsabilità penali: quali reati e quali sequestri?

La sempre maggiore diffusione delle criptovalute impone di chiarire sul piano formale i ruoli dei soggetti che il legislatore ha individuato per lo svolgimento e i controlli sulle attività del settore. Soggetti che proprio in forza del loro ruolo si trovano nella condizione di porre in essere condotte illecite specifiche in danno degli utenti, verosimilmente riconducibili al delitto di frode informatica. È, infine, da chiarire con quali modalità e con quali garanzie sia possibile procedere, in ambito penale, a un sequestro di monete virtuali.

Era facile prevedere - come è accaduto su questa rivista (Tecnologia blockchain, bitcoin e riciclaggio: il futuro è adesso, 14 Maggio 2018) - che le criptovalute sarebbero diventate protagoniste non solo di numerose transazioni commerciali, quanto anche terreno privilegiato per operazioni di matrice criminale. La realtà giudiziaria sta, purtroppo, confermando, questa indicazione e proprio recentemente una vicenda menzionata dai principali mezzi di informazione conferma la necessità di non sottovalutare il fenomeno. Trattandosi di vicenda in corso, non può essere in commento il merito della stessa, ma la rilevanza e la peculiarità dei fatti astrattamente ravvisati consente una serie di considerazioni su condotte che non mancheranno - in ogni modo - di presentarsi all'attenzione degli interpreti. Considerazioni che devono prendere le mosse dall'inquadramento generale di alcuni aspetti del settore.

Le valute virtuali possono essere trasferite, memorizzate o scambiate elettronicamente. Per fare ciò, l'utente deve avere a disposizione un wallet, ossia un portafoglio digitale indispensabile per depositare le criptovalute nella propria disponibilità. In particolare, l'installazione su un dispositivo informatico di una app specifica genera un indirizzo, che può essere condiviso e che può consentire il trasferimento di monete virtuali. Il trasferimento viene protetto da una chiave privata, tale da garantire che la transazione sia effettivamente stata disposta dalla persona titolare dell'indirizzo nonché la sua immodificabilità.

Se i trasferimenti di criptovalute possono avvenire direttamente tra due soggetti che hanno la disponibilità di un wallet, grande rilievo deve essere riconosciuto anche ad altre figure del settore, ossia i c.d. exchanger, prestatori di servizi chiamati ad assicurare il “cambio” tra valute virtuali e valute legali. Soggetti che, dunque, assumono il ruolo di “traghettatori” tra gli scambi economico finanziari tradizionali e il mondo delle criptovalute.

Attraverso gli interventi apportati al d.lgs. n. 231/2007 (finalizzato a prevenire e reprimere il riciclaggio di denaro, beni o altre utilità, emanata in attuazione delle direttive dell'Unione Europea 2005/60/CE e 2006/70/CE, a scopi di prevenzione di terrorismo) dal d.lgs. n. 90/17 prima e quindi dal d.lgs. n. 125/2019 l'attenzione del legislatore si è soffermata sui punti d'ingresso e d'uscita dal circuito virtuale, attraverso il processo di conversione di valuta a corso legale in criptovaluta e viceversa.

L'acquisto e il trasferimento di monete virtuali può indubbiamente costituire condotta funzionale a garantire un “ostacolo” all'identificazione della provenienza delittuosa di denaro o altre utilità di provenienza illecita: sia nei casi in cui le monete rappresentino strumenti di pagamento, sia ove assumano una valenza puramente “speculativa”. In questa prospettiva, le criptovalute assumono almeno di fatto il ruolo di moneta (o di “rappresentazione” di un valore), anche se non ufficialmente riconosciuta; una “moneta” — non considerata di per sé illegale — la cui circolazione può essere tracciata e ricostruita con difficoltà non comparabili a quelle delle monete tradizionale. Uno strumento, dunque, lecito, che si presta per attività del tutto illecite, quali il riciclaggio e/o l'autoriciclaggio, considerato che le criptovalute possono essere trasferite e conservate (anche) in modo anonimo e che sussistono numerose difficoltà di controllo delle fasi di trasferimento delle stesse dal mondo reale a quello virtuale.

Il legislatore italiano aveva anticipato, con il d.lgs. n. 90/2017 (rubricato Prevenzione dell'uso del sistema finanziario a scopo di riciclaggio e finanziamento al terrorismo in vigore dal 4 luglio 2017) le proposte di modifica della IV Direttiva (2015/849 UE) confluite poi nella bozza della V direttiva, in tema di valute virtuali. Tale decreto imponeva ai soggetti obbligati- tra l'altro- di adottare misure di adeguata verifica della clientela proporzionali all'entità dei rischi di riciclaggio e di finanziamento del terrorismo e di provvedere all'obbligo di identificazione dei soggetti interessati.

Molto opportunamente, il legislatore si è reso conto delle criticità, rispetto a una piena efficacia del decreto, derivanti dal sostanziale anonimato delle cripto-valute e dalla conseguente inadeguatezza delle verifiche della clientela e dell'individuazione del titolare effettivo del conto wallet (art. 18 d.lgs. n. 231/2007). L'assenza di intermediari finanziari nelle cripto-valute può inoltre favorire operazioni di riciclaggio e di finanziamento al terrorismo, non essendo strutturalmente coinvolti quegli organismi che, nell'economia tradizionale, svolgono le funzioni di controllo e segnalazione di attività sospette alle autorità competenti.

Imporre stringenti obblighi sulle modalità di pagamento impiegati in generale nell'esecuzione di transazioni finanziarie finalizzate al riciclaggio senza considerare espressamente l'attività dei “cambiavalute di monete virtuali” poteva essere un controsenso; grazie al decreto, tuttavia, gli exchanger sono considerati soggetti destinatari delle normative antiriciclaggio di cui alla direttiva antiriciclaggio.

Il d.lgs. n. 90/2017 (poi modificato dal d.lgs. n. 125/2019) ha introdotto due definizioni di grande rilievo per il settore:

valuta virtuale (art. 1 comma 2 lett. qq)): la rappresentazione digitale di valore, non emessa da una banca centrale o da un'autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l'acquisto di beni e servizi e trasferita, archiviata e negoziata elettronicamente.

Prestatori di servizi relativi all'utilizzo di valuta virtuale (art. 1 comma 2 lett. ff)): ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, anche online, servizi funzionali all'utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all'acquisizione, alla negoziazione o all'intermediazione nello scambio delle medesime valute; tali soggetti, exart. 3 comma 5 lett. i), sono inseriti tra quelli obbligati agli adempimenti antiriciclaggio.

In particolare, l'art. 35 d.lgs. 90/2017 prevede che i soggetti obbligati — prima di compiere l'operazione — inviano una segnalazione all'UIF — senza ritardo — quando “sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento al terrorismo o che comunque i fondi provengano da attività criminosa. Il sospetto è desunto dalle caratteristiche, dall'entità, dalla natura delle operazioni, dal loro collegamento o frazionamento...in ragione delle funzioni esercitate, tenuto anche conto della capacità economica e dell'attività svolta dal soggetto a cui è riferita”.

Il d.lgs. n. 125/2019 ha, in parte. modificato l'articolo 1 comma 2 dopo la lettera ff) d.lgs. n. 231/2007 — lett. ff-bis) — definendo i prestatori di servizi di portafoglio digitale:“ogni persona fisica o giuridica che fornisce, a terzi, a titolo professionale, anche online, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali”.

Chiariti i ruoli “formali” dei protagonisti del settore, occorre chiedersi se e come tali soggetti possono porre in essere condotte penalmente rilevanti peculiari e diffuse. La risposta, purtroppo, è positiva.

Come sopra precisato, ampio spazio ha trovato sui mezzi di comunicazione la notizia di un'indagine - condotta dalla Polizia Postale - avente a oggetto una società italiana che gestisce una piattaforma di scambio di criptovalute; il responsabile della società sarebbe stato indagato per i reati di frode informatica, autoriciclaggio e bancarotta fraudolenta - per un importo di circa 120 milioni di euro - in danno di oltre 230 mila risparmiatori e allo stesso sarebbe stata applicata la misura cautelare del divieto di esercitare attività d'impresa e di ricoprire uffici direttivi di imprese. Verosimilmente, il primo caso in Italia – e forse in Europa- nel quale risulterebbero documentate condotte fraudolente e distrattive in danno di investitori, su piattaforme informatiche e con l'uso di monete virtuali.

Della vicenda si era già occupato il Tribunale di Firenze (sentenza n. 18/2019 del 21 gennaio 2019) che aveva dichiarato il fallimento della società in oggetto, dalla quale risultava essere stato sottratto un rilevante importo di criptovaluta Nano (XRB). Prima dei risvolti strettamente penalistici emersi recentemente, la decisione del Tribunale di Firenze aveva già consentito di ricostruire alcuni aspetti della vicenda. Numerosi soggetti avevano “affidato” la propria criptovalute alla società menzionata, senza tuttavia che fosse predisposta una gestione “fisicamente” separata dei wallet dei singoli utenti. Le valute sarebbero confluite in un unico wallet centrale, le cui chiavi private restavano nella esclusiva responsabilità del gestore della piattaforma. La criptovalute risultavano, pertanto, riferibili ai singoli utenti solo in forza di un dato contabile interno, ma concretamente “confuse” con quelle di pertinenza non solo ai vari clienti, quanto anche allo stesso gestore.

In questo modo le operazioni di scambio sulla piattaforma non potevano essere gestite autonomamente dagli utenti, quanto solo dal gestore, in base alle istruzioni ricevute da questi ultimi. Nella ricostruzione del Tribunale di Firenze, il sistema della criptovaluta utilizzata avrebbe processato più volte le medesime transazioni, in quanto proprio la gestione tramite un unico wallet non avrebbe consentito di rilevare la sussistenza di un saldo preciso e specifico per i singoli utenti. A nome di alcuni di questi sarebbero state inviate alla rete richieste multiple, in base alle quali si sarebbe progressivamente “svuotato” il patrimonio in criptovaluta della società. La verifica delle transazioni in uscita sarebbe stata effettuata dal gestore con modalità non adeguate, mediante la sola consultazione del servizio esterno del sistema, senza che lo stesso fosse correttamente sincronizzato come il nodo gestito direttamente dalla stessa piattaforma, di modo da evitare transazioni già eseguite su input di quest'ultima.

A fronte del quadro ricostruito in sede fallimentare, le indagini della Polizia Postale suggerirebbero una differente prospettiva: le illecite sottrazioni di criptovaluta sarebbero state consapevolmente non impedite dal gestore, non avendo questi implementato la sicurezza della piattaforma con uno dei metodi disponibili resi noti dalla società creatrice della criptovaluta e non avendo informato del verificarsi di ammanchi la società che aveva creato la valuta, la community e gli user. Omissioni che avrebbero consentito ai beneficiari delle operazioni di ottenere un profitto per complessivo di pari a ca 120.000.000 di euro, danneggiando più di 230.000 persone in tutto il mondo.

Il profilo di maggiore interesse, sul piano strettamente giuridico-penale- non parrebbe nel caso di specie ravvisabile nella contestazione del reato di bancarotta fraudolenta o nelle condotte di auto-riciclaggio consequenziali ai reati che avrebbe determinato un illecito arricchimento, quanto nell'astratta ravvisabilità del delitto di frode informatica. In questo caso, paradossalmente la mancata conoscenza degli elementi concreti della contestazione consente all'interprete di considerare in astratto (almeno) due differenti ipotesi di condotte illecite, in relazione alla gestione di una piattaforma di scambio di criptovalute.

Da un lato - e si tratta dell'ipotesi maggiormente probabile - una condotta di frode potrebbe essere ravvisabile laddove risulti provato un accordo diretto tra il gestore della piattaforma e i beneficiari dei trasferimenti di criptovalute non riconducibili a una corretta gestione del sistema; transazioni in tale caso realizzate approfittando di una criticità del programma e consentita dalla detenzione delle valute in un unico wallet, con conseguente ripartizione degli “utili” - tra beneficiari delle operazioni e gestore. Un quadro nel quale l'alterazione in qualsiasi modo del funzionamento di un sistema informatico o telematico finalizzata all'ottenimento di un ingiusto profitto con altrui danno potrebbe essere ravvisati in un - si fa per dire – in forza di un banale concorso tra il gestore e i beneficiari delle transazioni. L'alterazione del funzionamento del sistema si sostanzierebbe nella sistematica e intenzionale “confusione” tra le criptovalute dei singoli utenti, tale da impedire che transazioni superiori all'importo riferibile ai singoli possano essere rifiutate dal sistema.

Nondimeno, deve essere considerata una ulteriore prospettiva, articolata in assenza di previ accordi e di natura – per il gestore- omissiva. Anche senza un previo accordo criminoso, il successo (derivante dal numero e dall'entità delle transazioni) dell'attività di trading su una piattaforma determina un significativo profitto derivante dalle “commissioni” correlate ai depositi e al trading. Non impedire che tale meccanismo si arresti - anche dopo aver preso consapevolezza della sussistenza della progressiva insufficienza dei fondi per la copertura dei wallet personali delle migliaia di utenti della piattaforma - può essere condotta di per sé penalmente rilevante? La risposta potrebbe essere positiva, ove si consideri che l'alterazione del funzionamento di un sistema può derivare anche del mancato adempimento di attività di organizzazione, controllo e verifica della funzionalità demandate al singolo gestore che con il sistema interagisce.

Attività investigative in tema di monete virtuale impongono di considerare il problema delle modalità di un eventuale sequestro delle stesse. Fermo restando che non esiste una procedura consolidata e univoca per sottoporre a sequestro (di qualunque tipo) le monete virtuali/cripto-valute, è indispensabile puntualizzare alcuni aspetti al fine di ridurre al minimo gli errori tecnico/giuridici nei quali si potrebbe incorrere.

Occorre prima di tutto considerare che i portafogli virtuali non contengono le criptovalute, bensì soltanto le chiavi per disporne. Inoltre, non vi è un'autorità centrale in grado di coadiuvare l'Autorità Giudiziaria e la Polizia Giudiziaria nell'esecuzione del sequestro, una situazione che determina potenziali criticità in relazione sia alla necessità di assicurare le dovute garanzie difensive, sia in relazione alla conservazione in termini giuridicamente inoppugnabili della fonte di prova.

Precisato quanto sopra si può affermare che la disponibilità in capo a un soggetto di una criptovaluta può concretizzarsi sostanzialmente, in due differenti situazioni.

In un primo caso, un soggetto viene trovato, ad es. durante una perquisizione, in possesso della chiave privata che lo abilita a movimentare una certa quantità di criptovaluta. Accertata l'esistenza di un wallet e conoscendone la relativa chiave privata, ci si trova di fronte all'esigenza di sottrarre la disponibilità della criptovaluta al soggetto. Questo potrà avvenire accedendo al wallet di quest'ultimo e spostando la somma verso un altro wallet creato appositamente dagli esecutori dell'attività investigativa. Nello specifico si dovrà valutare caso per caso l'opportunità di creare il wallet più aderente alle necessità contingenti quale ad esempio un wallet hardware “multi-signature” con un numero di chiavi (PIN) da distribuire a soggetti diversi che poi le deterranno. Il wallet hardware è un tipo di wallet che conserva le chiavi private all'interno di un dispositivo hardware sicuro. Questo permette, rispetto agli altri tipi di wallet, di non far uscire le chiavi private all'esterno in maniera testuale intellegibile, lo rende immune dai virus che affliggono i pc e può essere usato in sicurezza ed in maniera interattiva. Le dimensioni di tale dispositivo sono simili a quelle di una pendrive.

Posto che la conoscenza della chiave privata abilitante alla movimentazione della somma (salvata all'interno del wallet) avverrà in esito dell'unione di tutte le chiavi distribuite o di un numero prestabilito di esse, non è di facile risoluzione la questione relativa a chi affidarle e le modalità di detenzione delle stesse: al giudice, alla p.g., al consulente del P.M.co al curatore fallimentare? Indubbiamente tali soggetti, prima o poi, dovranno intervenire per “trasferire“ la somma, quantomeno per la restituzione all'avente diritto al termine della procedura. Si tratta, allora, di “distribuire” la responsabilità della gestione della somma sequestrata (in particolar modo quando si tratta di ingenti cifre) e minimizzare il rischio di un illecito accesso al wallet con conseguente distrazione della stessa. Qualora, inoltre, dovesse verificarsi la perdita/distruzione/malfunzionamento di questa tipologia di wallet, così come per ogni altro tipo di wallet, sarà sufficiente rigenerarlo a partire dai seed ( ossia l'elenco di parole non logicamente collegate necessarie alla generazione o rigenerazione di una coppia di chiavi privata/pubblica, indispensabili ad operare con le criptovalute), che è opportuno siano conosciuti soltanto dai soggetti designati a detenere le chiavi di accesso. Il custode di ogni chiave dovrà detenere anche i seed che la possono rigenerare.

Non si possono escludere anche situazione sostanzialmente differenti. Si pensi al caso in cui, a seguito di una perquisizione, venga rinvenuta della criptovaluta in quantità risibile e che la P.G. opti per la creazione in loco di un wallet (Web wallet/Mobile wallet/Paper wallet), spostando tale moneta così assumendosi la responsabilità di unico detentore della chiave privata per le successive transazioni disposte dall'A.G.

È di fondamentale importanza che ogni operazione relativa al sequestro della criptovaluta sia opportunamente pianificata, ove possibile, ed effettuata da personale qualificato, ciò in quanto il minimo errore potrebbe determinare la perdita della somma (si pensi, ad esempio, alla digitazione di un indirizzo diverso da quello appena creato per completare il trasferimento della criptovaluta). Si consideri, inoltre, che le operazioni effettuate con le criptovalute, proprio per la mancanza di un ente centrale di governo e controllo, non sono annullabili. Infine, è ragionevole ritenere che nel momento in cui si è eseguito il sequestro - sia affidandosi ad un wallet hardware, sia percorrendo vie alternative come sopra descritto - la soluzione più logica per la conservazione del wallet stesso, possa essere quella della trattazione di quest'ultimo come “corpo” di reato, che pertanto verrà depositato nelle canoniche forme previste per legge presso gli uffici dell'A.G.

Una seconda possibilità riguarda il caso nel quale un soggetto dispone delle credenziali necessarie a operare su una piattaforma online dedita alla compravendita di criptovalute, pur non disponendo di un wallet. In tale caso, qualora l'Autorità Giudiziaria sia a conoscenza delle predette credenziali agirà come nella situazione precedentemente descritta, non essendo sufficiente la garanzia data dal cambio password, che potrebbe essere facilmente aggirato dal soggetto, mediante procedura di recupero. Diversamente, se non è possibile accedere alla piattaforma con le credenziali del soggetto, bisognerà valutare dove questa abbia sede legale, potendola “aggredire” qualora sia radicata in Italia, o territorio raggiungibile da EIO o rogatoria internazionale, così come avviene con un tradizionale istituto di intermediazione finanziaria.

Problemi operativi emergono, infine, nel caso in cui sia disposto un sequestro per equivalente di una data somma di denaro. Un problema di non di facile risoluzione in quanto si prospetta uno scenario “aggredibile” da considerazioni circa la non paragonabilità di due entità, valuta tradizionale e criptovaluta, similari per finalità di utilizzo ma diverse per struttura e appendici giuridiche. Come pertanto superare questa criticità esecutiva? Una strada potrebbe essere quella di procedere per analogia con quanto già avviene con le valute straniere, e quindi effettuare, all'atto della scoperta del possesso di una quantità di criptovaluta da parte dell'indagato, un cambio, così come avviene per le valute straniere, che fissi in quel momento storico, in cui si esegue il provvedimento di sequestro per equivalente, la conversione della moneta virtuale o di una sufficiente parte di esso tale da soddisfare le esigenze di giustizia. Conseguentemente, le operazioni successive di consolidamento dell'attività svolta potranno essere quelle previste dall'ordinamento per il deposito di somme sequestrate su apposito libretto infruttifero.

• La sempre maggiore diffusione delle monete virtuali ha imposto al legislatore di disciplinare le figure delle principali tipologie di operatori del settore.
• La gestione di una piattaforma di trading e deposito di monete virtuali può consentire di porre in essere condotte illecite riconducibili- tra l'altro- al reato di frode informatica.
• Il sequestro penale di monete virtuali deve essere eseguito con modalità specifiche anche su base telematica, se necessario predisponendo un apposito wallet per la conservazione dei valori.

C. PARODI V. SELLAROLI (a cura di) Diritto penale dell'informatica, I reati della rete e sulla rete, Giuffrè Francia Lefevre, Milano, 2020, cap. VIII

C. PARODI, Tecnologia blockchain, bitcoin e riciclaggio: il futuro è adesso, in questa rivista, 14 Maggio 2018

S. CAPACCIOLI, Criptovalute e bitcoin: un'analisi giuridica, Giuffré, Milano, 2015

M. BELLINI, Blockchain: cos'è, come funziona e gli ambiti applicativi in Italia, in www.blockchain4innovation.it

G. MARZOLLI, Criptovaluta Nano, fallisce la piattaforma Bitgrail, nota a Tribunale, Firenze, sez. fallimentare, sentenza 21/01/2019 n. 1, www altalex.it

C. LOMBARDO La Polizia Postale scova l'autore del più grande attacco cyber-finanziario in Italia, in www.corriere.it

A. FRASCHILLA C'è un italiano dietro la più grande truffa europea sulle criptovalute, in www.espresso.repubblica.it