Cos’è un Crypto-wallet? Definizione, tipologie e regolamentazione

Scarica PDF Stampa

Approfondimento sulle varie tipologie di wallet e sulla loro regolamentazione.

Indice

1. Wallet o keychain?

In primo luogo, per meglio comprendere la reale funzione di un wallet, risulta necessario evidenziare la discrasia che intercorre tra l’interpretazione letterale del termin e la funzione da esso svolta pragmaticamente. Bisogna, dunque, premettere che il termine anglosassone wallet è utilizzato impropriamente, a fronte del più corretto “keychain”, in quanto questi non devono essere considerati un “portafoglio” bensì un “portachiavi”[1].
Difatti, i wallet si basano sull’applicazione della crittografia a chiavi asimmetriche attraverso la quale si ottengono sia la chiave pubblica (identità digitale esterna) sia la chiave privata (core identity)[2]. Quando si va a utilizzare un qualunque servizio dedicato alla creazione di wallet non facciamo altro che richiedere allo stesso servizio di generare una stringa alfanumerica. In sostanza, il servizio utilizza degli input che attraverso la funzione crittografica di hash [3] ottengono, quale risultato finale, una stringa alfanumerica, quella che noi definiamo chiave privata utilizzata per le operazioni di crittografia. Dalla chiave privata, attraverso ulteriori calcoli algoritmici, si genera una seconda stringa alfanumerica, quella che noi definiamo chiave pubblica utilizzata per le operazioni di de-crittografia.
Perciò, la sostanza costitutiva dei wallet è quella di creare un’identità digitale nell’ecosistema crittografico e gestire la crittografia associata a quel specifico indirizzo e custodirne le chiavi private nonché le chiavi pubbliche permettendo così l’accesso alle proprie cripto-attività le quali, dunque, non si vedono collocate nel singolo wallet bensì risultano permanentemente iscritte sulla rispettiva blockchain d’appartenenza.

2. Le varie tipologie

Una volta appurato cosa bisogna intendere per wallet passiamo all’analisi tassonomica degli stessi. Innanzitutto possiamo distinguere due macro categorie di wallet: software e hardware.
I software wallet (hot wallet) sono caratterizzati dall’essere costantemente connessi a Internet e pertanto si trovano in uno stato perenne di vulnerabilità agli attacchi informatici. A tal proposito, i ricercatori di Unciphered, una società specializzata nel recupero dell’accesso ai cripto-wallet, hanno scoperto una serie di vulnerabilità nella libreria JavaScript BitcoinJS utilizzata dalla maggior parte delle piattaforme di criptovaluta online. I ricercatori hanno soprannominato questo insieme di vulnerabilità Randstorm [4].
A differenza dei software wallet gli hardware wallet (cold wallet) memorizzano le chiavi private su un dispositivo fisico sicuro e non collegato alla rete. Nonostante ciò anche gli hardware wallet presentano vulnerabilità e possono essere soggetti a attacchi power glitch [5], attacchi tramite canale laterale [6] o attacchi HSM [7].
Ulteriori distinzioni si rilevano sulla scorta delle modalità di utilizzo, di accesso e di gestione delle chiavi private. Infatti, i software wallet possono distinguersi in:
wallet online: disponibili e scaricabili su qualsiasi web broswer (Firefox, Chrome, Opera e Brave) gestito da un provider, i wallet vengono solitamente installati come estensione del browser e l’accesso è gestito, in genere, tramite comuni credenziali come avviene per qualsiasi altro servizio online;
wallet desktop/mobile: con standard di controllo e di sicurezza molto più elevati, ma richiedono un minimo di esperienza e capacità tecnica al fine di sfruttarne le piene potenzialità.
Gli hardware wallet, a loro volta, si suddividono in:
wallet di mera custodia: consentono solo la custodia dei dati sensibili utili al fine di accedere alle proprie criptovalute;
wallet di gestione: consentono la gestione delle proprie criptovalute attraverso la creazione di nuovi address permettendo, altresì, la sottoscrizione di transazioni digitali;
brain wallet: in cui la seed phrase [8] della stessa viene creata da noi stessi invece di utilizzare un algoritmo.

3. Custodial e non custodial wallet

Orbene, l’analisi finora svolta tra le eterogeneità che caratterizzano software e hardware wallet risulta propedeutica all’analisi delle differenze che intercorrono tra custodial e non custodial wallet.
I custodial wallet sono forniti da prestatori di servizi (provider). La caratteristica preminente di questa tipologia è rappresentata dalla custodia delle chiavi crittografiche dell’utente da parte dello stesso provider. Ciò, ovviamente, comporta possibili rischi nella gestione delle proprie cripto-attività.
Tali pericoli vengono ricondotti principalmente all’effettiva e piena disponibilità delle criptovalute collegate al proprio wallet in quanto non essendo gli utenti gli effettivi detentori delle chiavi private potrebbe benissimo accadere, come è già accaduto nel caso di Sam Bankman-Fried CEO dell’Exchange FTX [9] che il provider, detentore delle chiavi private, possa disporre delle criptovalute autonomamente senza alcun necessario intervento dell’utente. Difatti, proprio in ragione di ciò è divenuta iconica nell’ecosistema cripto la citazione “not your key, not your coins”.
Al contrario, i non custodial wallet (hardaware o software), anch’essi forniti da provider, sono caratterizzati dalla detenzione delle chiavi private da parte dell’utente garantendo, pertanto, la piena ed esclusiva gestione delle proprie cripto-attività da parte dello stesso.

4. La regolamentazione dei provider nel MICAR: la tutela dell’utente

Ordunque, ponendoci, invece, da un punto di vista squisitamente giuridico, si deve innanzitutto constatare l’assenza di qualsivoglia definizione tecnico-giuridica in ordine a cosa debba intendersi per wallet. Nonostante ciò, la Commissione Europea con il regolamento MICA [10] ha voluto concentrarsi sulla protezione e sulla tutela degli utenti attraverso la regolamentazione dei fornitori di servizi per le cripto-attività. 
Difatti, il regolamento MICA prevede che i suddetti provider debbano essere soggetti a rigorosi requisiti di trasparenza. Innanzitutto, i membri dell’organo di amministrazione dei provider, cosi come gli azionisti e i soci diretti ed indiretti, dovrebbero disporre di sufficienti requisiti di onorabilità e, in particolare, non dovrebbero essere stati condannati per alcun reato nell’ambito del riciclaggio o del finanziamento del terrorismo. Altresì, dovrebbero disporre di solidi meccanismi di controllo interno e di valutazione del rischio nonché di sistemi e procedure adeguati per garantire l’integrità e la riservatezza delle informazioni ricevute, dovrebbero, inoltre, adottare disposizioni adeguate per registrare tutte le operazioni, gli ordini e i servizi relativi ai servizi da loro prestati e da ultimo dovrebbero disporre di sistemi per individuare i potenziali abusi di mercato commessi degli utenti.
Altresì, la Commissione Europea, al fine di disincentivare il riproporsi di situazioni analoghe a quelle che hanno visto protagonista l’Exchange FTX, interviene su uno dei punti più nevralgici che caratterizza i provider ossia l’effettiva disponibilità delle cripto-attività. I prestatori di servizi che detengono cripto-attività appartenenti a clienti, o i mezzi di accesso a tali cripto-attività, dovrebbero garantire il non utilizzo delle stesse per proprio conto e che queste siano sempre non vincolate. Dovrebbero, inoltre, essere ritenuti responsabili di eventuali perdite derivanti da incidenti dovuti ad attacchi informatici, furti o malfunzionamenti. Da ultimo, si precisa che lo stesso regolamento MICA, al punto 83, prevede espressamente che “I fornitori di hardware o software wallet non custodial non dovrebbero rientrare nell’ambito di applicazione del presente regolamento”. Avendo usato il condizionale, dunque, non è esclusa una futura estensione di tali precetti anche nei confronti dei provider di software o hardware wallet.
Prerogative più stringenti sono state previste, invece, per una categoria particolareggiata di provider ovvero gli Exchange i quali svolgono, intrinsecamente, la funzione di provider di software wallet, ma si caratterizzano prevalentemente per la loro attività di negoziazione di cripto-attività. A tal proposito, il MICAR prevede che gli Exchange dovrebbero adottare misure necessarie per evitare che i loro dipendenti facciano un uso improprio delle informazioni privilegiate a cui hanno accesso, come quelle agli ordini dei clienti (insider trading). Sul punto non può non menzionarsi quanto previsto dalla direttiva (UE) 2018/843 (5° direttiva AML) nella quale si individuano gli strumenti per contrastare il fenomeno del riciclaggio di denaro e, nello specifico, ciò avviene attraverso il binomio KYC (know your customer) e KYT (know your transaction). Pertanto, gli Exchange dovranno includere informazioni complete e accurate sui propri utenti e i sui beneficiari di trasferimenti di fondi e di cripto-attività. Ciò include l’identificazione completa del pagatore e del beneficiario, l’indirizzo o l’identificativo univoco del beneficiario, e l’importo del trasferimento con l’obbligo di conservare tali informazioni per un periodo non inferiore a cinque anni.
Altresì, al fine di garantire la concreta solvibilità degli Exchange, così come prevista dalla direttiva (UE) 2015/2366, espressamente richiamata nel regolamento MICA, si impone agli Exchange di detenere i fondi appartenenti ai loro clienti sotto forma di banconote, monete, moneta scritturale o moneta elettronica presso un ente creditizio o una banca centrale.
In conclusione, è chiaro il tentativo da parte del legislatore comunitario di voler regolare un ecosistema in costante e repentina evoluzione. Risulta, pertanto, indubbio affermare che la regolamentazione dei prestatori di servizi legati a cripto-attività e alle tecnologie basate su registri distribuiti sia essenziale al fine di costruire delle solide fondamenta su cui basare il futuro impianto normativo.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!

Note

  1. [1]

    S. Capaccioli, Crypto-asset: Regolamento MiCa e DLT Pilot Regime, a cura di S. Capaccioli e M. T. Giordano, Giuffré Francis Lefebvre S.p.A., (2023), p. 10

  2. [2]

    S. Capaccioli, Crypto-asset: Regolamento MiCa e DLT Pilot Regime, a cura di S. Capaccioli e M. T. Giordano, Giuffré Francis Lefebvre S.p.A., (2023), p. 8

  3. [3]

    Si tratta di un algoritmo matematico che mappa dei dati di lunghezza arbitraria in una stringa binaria di dimensione fissa chiamata valore di hash, ma spesso viene indicata anche con il termine inglese digest

  4. [4]

    In Kaspersky Daily, all’indirizzo: https://www.kaspersky.it/blog/vulnerability-in-hot-cryptowallets-from-2011-2015/28286/

  5. [5]

    Consiste in un attacco brute force basato sul sovraccaricare l’alimentazione del circuito stampato di qualche pezzo di hardware per un breve periodo di tempo, al fine di gettare il dispositivo in uno stato in qualche modo disorganizzato per renderlo vulnerabile e quindi consentire l’accesso ai dati grezzi col fine di recuperare il codice PIN

  6. [6]

    Consiste nell’osservare l’attività di un hardware wallet mentre elabora una transazione

  7. [7]

    Consiste in un attacco contro un modulo di sicurezza hardware

  8. [8]

    Sequenza di parole generata da un crypto-wallet che permette all’utente di accedere ai fondi custoditi in esso in sostituzione della chiave privata

  9. [9]

    In Il Sole 24 ore

  10. [10]

    Regolamento (UE) 2023/1114 Markets in cryptp-assets, and amending che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937

Dott. Stefano Triggiani

Scrivi un commento

Accedi per poter inserire un commento