BLOCKCHAIN E GDPR

Autori:

Marco del Fungo

Francesco Giunti

Filosofia della Tecnologia e del diritto alla protezione dei dati

Blockchain: definizioni e funzionamento
Gdpr: principi e regole
Blockchain e Gdpr: contrasti ontologici e normativi
Blockchain e Gdpr: progetti di matrimonio?
Blockchain: ruolo primario nella compliance aziendale?

Filosofia della tecnologia e del diritto alla protezione dei dati

La tecnologia è uno strumento al servizio dell’uomo e come tale deve trovare un punto di allineamento con i principi e le regole di diritto.

L’anarchia è un concetto spaventoso per la maggior parte di noi ma si sta insinuando nella nostra società, e la blockchain ne sta accelerando la tendenza. La blockchain mira a realizzare il decentramento e il decentramento agevola l’anarchia.

Nonostante non si conosca la vera identità di Satoshi Nagamoto, è certa la sua propensione all’anarco-capitalismo che si basa sul principio anarco-individualista di matrice libertaria secondo il quale, sul lungo periodo, i mercati, in assenza di un intervento statale, raggiungono autonomamente la situazione economica più efficiente (1).

Con il tempo il termine “anarchia” si è connotato di accezioni negative. La messa in discussione del sistema e dell’ordine prestabilito, il rifiuto dell’autorità a favore dell’autogoverno.

L’idea di fondo che ha ispirato l’introduzione della nuova normativa GDPR sulla protezione dati è quella di permettere ai cittadini europei di avere un controllo di gran lunga maggiore sul modo in cui i singoli, le aziende e gli enti pubblici utilizzano le informazioni, e in particolare i dati sensibili, raccolti dagli utenti.

Il GDPR ha innalzato notevolmente il livello di tutela dei diritti e delle libertà degli individui in relazione al trattamento dei loro dati personali, introducendo anche una serie di obblighi e novità significative, dalla privacy by design e by default, agli obblighi di valutazione degli impatti privacy, dall’accountability che passa anche attraverso la capacità del titolare del trattamento di scegliere le migliori tecnologie e misure di sicurezza al nuovo sistema sanzionatorio proporzionato al fatturato annuo del gruppo imprenditoriale..

La funzione del GDPR, come esplicitato nel testo, è di elevare “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale” a diritto fondamentale. Si tratta di una questione di portata grandissima, e con risvolti potenzialmente enormi.

Infatti, nell’odierno mondo digitalizzato i dati personali costituiscono un elemento di importanza fondamentale per lo sviluppo di un’economia europea dei dati. Al centro di questo mercato c’è il cittadino europeo e la possibilità di sfruttare i servizi dell’era digitale in tutta sicurezza ed efficienza. Dirimente per tale finalità è la creazione di un sistema di autenticazione delle identità digitali valido e sicuro.

L’esigenza da cui è nato il GDPR, è quella di armonizzare e semplificare le norme riguardanti il trasferimento dei dati personali al interno dell’Ue per far fronte alle sfide date dagli sviluppi tecnologici.

Blockchain: definizioni e funzionamento

La definizione di blockchain è ormai ben nota: si tratta di un database distribuito (una sorta di registro delle “transazioni” dove i dati non sono memorizzati su un solo computer, ma su più dispositivi collegati tra loro via Internet, attraverso un’applicazione dedicata che permette di interfacciarsi con la “catena”) fatto di blocchi di dati che memorizzano transazioni (non solo); per essere consolidato all’interno di un blocco, ogni dato, e successivamente ogni blocco prima di essere inserito nella “catena”, viene sottoposto a un processo di validazione.

Prima di procedere all’analisi del funzionamento della tecnologia Blockchain dobbiamo prendere dimestichezza con due concetti fondamentali: nodi e miner. I primi possono essere individuati nei computer della rete che hanno scaricato la blockchain nella loro memoria; chiunque può diventare un nodo, tramite un apposito programma (ad esempio Bitcoin Core per Blockchain Bitcoin). I miner sono coloro che effettuano il controllo delle transazioni, grazie a computer molto potenti e attraverso un protocollo di validazione piuttosto complesso (spiegato più avanti), e il cui lavoro viene ripagato con un premio (il termine ormai condiviso per questa operazione è “minare”, italianizzando il termine inglese to mine ossia estrarre).

Il protocollo di validazione (2) (che definisce gli algoritmi validanti e chi può essere un miner) rappresenta dunque l’elemento vitale principale della Blockchain perché è proprio da questo che dipendono sostanzialmente la velocità della catena e la sua sicurezza (gli algoritmi che governano questo processo non solo validano che ogni nuova immissione risponda a determinati criteri, ma impediscono anche che possano essere manomessi i dati già presenti nella catena). È dunque in questo ambito che si vedono le principali evoluzioni e che si differenziano, dal punto di vista tecnologico, le diverse Blockchain. È comunque importante sottolineare che non necessariamente un protocollo è migliore di un altro: l’utilizzo dell’uno o dell’altro dipende anche dal tipo di applicazione per la quale viene utilizzata la blockchain.

I principali protocolli di validazione sono:

Proof of Work – È il protocollo di validazione primigenio, sul quale si è basata la prima blockchain, Bitcoin, e a tutt’oggi ancora il più diffuso. Ogni 10 minuti un nuovo blocco, contenente migliaia di transazioni, viene immesso nella blockchain. La criticità di questo meccanismo risiede nella velocità per minare un blocco perché è un protocollo che, al crescere della blockchain, richiede sempre maggiore potenza elaborativa nei computer dei miner. Il tempo di validazione di una transazione (10 minuti) è una delle principali cause di criticità in termini di scalabilità della tecnologia.
Proof of Stake – Nasce per far fronte al problema della scalabilità del precedente protocollo, semplificando il processo di mining. Il protocollo prevede inoltre che quando viene aggiunto un nuovo blocco venga automaticamente scelto il creatore del blocco successivo; per effettuare questa operazione di selezione vengono oggi utilizzati metodi diversi.
Federated Byzantine Agreement (FBA) – Se quelli descritti sono i due protocolli principali, ne sono stati poi creati altri, in parte derivazione di questi, in parte con elementi totalmente nuovi. Tra i più interessanti segnaliamo Federated Byzantine Agreement (FBA), sviluppato da Stellar Development Foundation (e utilizzato dalla seconda metà del 2015 dalla blockchain Stellar) basato su unità di fiducia (quorum slices) decise dai singoli server che insieme stabiliscono il livello di consenso del sistema.

La blockchain è nata come modalità pubblica per effettuare transazioni (si tratta delle cosiddette blockchain unpermissioned o permissionless alle quali chiunque può accedere) ma la cd. Blockchain 2.0 vede il diffondersi di questa tecnologia (in ambiti diversi dalle criptovalute) sempre più all’interno di ecosistemi più o meno chiusi, con la conseguente nascita di blockchain private.

Per meglio inquadrare le possibili applicazione della tecnologia Blockchain è necessario operare una distinzione tra:

blockchain pubbliche: tutti vi possono accedere e operare transazioni al suo interno o partecipare al processo di validazione. Bitcoin ed Ethereum sono i più famosi esempi di blockchain pubbliche.
blockchain private: controllate da un’unica organizzazione che stabilisce chi può aderirvi, chi può operare transazioni al suo interno e partecipare al processo di consenso/validazione
consorzi blockchain (permissioned): il processo di autorizzazione viene delegato a un gruppo preselezionato. La possibilità di aderire alla blockchain e di operare transazioni al suo interno può essere pubblica o limitata ai soli partecipanti. Questa tipologia di blockchain permissioned è particolarmente indicata per l’utilizzo nel mondo business.

Oggi le applicazioni blockchain in base allo stadio di sviluppo delle tecnologie utilizzate possono anche essere suddivise in tre macrocategorie:

La categoria Blockchain 1.0 riguarda tutte le applicazioni di carattere finanziario per la gestione di criptovalute (indipendentemente dal protocollo di validazione utilizzato) a partire dalla storica (e che attualmente detiene ancora la leadership delle criptovalute) Bitcoin.
La categoria Blockchain 2.0 estende la blockchain a settori diversi dal finanziario grazie all’implementazione degli smart contract.
Il passo successivo sarà quello della Blockchain 3.0 con la diffusione delle Dapp (decentralized applications): un futuro in cui tutti noi utilizzeremo le tecnologie blockchain, probabilmente senza neanche rendercene conto, perché incapsulate nelle “cose” connesse tra loro, senza intervento umano. (In futuro, l’IoT utilizzato in combinazione con la tecnologia Blockchain si trasformerà in una rete di dispositivi offline interconnessi in grado di interagire con il proprio ambiente per prendere decisioni intelligenti senza l’intervento umano. In altre parole, quando un oggetto può percepire e comunicare, cambia come e dove vengono prese le decisioni e chi le crea).

Nel futuro il significato e l’utilità della blockchain per le aziende aumenterà in modo esponenziale alla luce di alcune caratteristiche che rendono questa tecnologia particolarmente interessante per il business.

Gdpr: principi e regole

Il nuovo Regolamento Europeo sulla protezione dei dati personali prende le mosse da una prospettiva completamente diversa dal passato, ponendo l’accento sull’importanza che i dati stessi rivestono nell’attuale sistema economico. Per comprendere la portata della nuova normativa si consideri che i dati personali vengono qualificati dallo stesso Regolamento come diritti fondamentali dell’uomo.

Le implicazioni di questa previsione sono evidenti e comportano un diverso approccio che il titolare del trattamento (Data Controller) deve tenere nel trattamento degli stessi.

Si passa in concreto da un sistema normativo di tipo formalistico, ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del Data Controller (titolare del trattamento).

A quest’ultimo è richiesto in particolar modo un approccio proattivo, volto a prevenire (e non solo correggere) gli errori, nonché a dimostrare, anche documentalmente e/o tramite l’adozione di appropriate policy interne (da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni.

Il Regolamento punta su principi generali che tendono a responsabilizzare il titolare del trattamento, il quale dovrà individuare le misure che garantiscano la protezione dei dati con riferimento alla sua situazione specifica.

Il GDPR introduce ad esempio i principi di privacy by design e privacy by default che impongono una rivoluzione nell’ambito della gestione dei dati.

Il Regolamento prevede la necessità di configurare il trattamento dei dati introducendo fin dall’inizio (ossia in fase di progettazione – by design) le garanzie indispensabili “al fine di soddisfare i requisiti” previsti dalla normativa e tutelare, in questo modo, i diritti degli interessati.

Tutto questo deve avvenire a monte, ossia prima di procedere al trattamento dei dati vero e proprio e rappresenta, quindi, un presupposto infrastrutturale indispensabile per il corretto trattamento degli stessi.

Il principio di privacy by default, invece, impone l’adozione di misure tecniche e organizzative adeguate che siano per impostazione predefinita (di default appunto) quelle che garantiscono, in concreto la tutela dei dati trattati.

Blockchain e Gdpr: contrasti ontologici e normativi (3)

La tecnologia Blockchain attrae sempre più gli operatori economici dalle banche ai trasporti, dalla sicurezza al fund raising.

Tuttavia, nonostante la popolarità, la sua applicazione pratica solleva molte domande, in particolare per quanto riguarda la protezione dei dati personali oggetto del GDPR.

L’innovazione ma anche la problematicità di tale “paradigma organizzativo” deriva dal fatto che questo sistema si propone di trasmettere e memorizzare le informazioni su un immutabile registro decentralizzato, convalidato non da una tradizionale autorità centrale (come una banca o governo) ma dal “pubblico” stesso (nel caso della Blockchain permissionless).

Il fulcro di tale tecnologia è costituito dunque dalla decentralizzazione, trasparenza e immutabilità dei dati, concetti che ad una prima superficiale impressione sembrano scontrarsi con l’essenza stessa del GDPR.

Se si riassumessero i 99 articoli del Regolamento in una sola parola, quella parola sarebbe quella di accountability relativamente al trattamento dei dati personali.

L’idea sottostante al Regolamento è infatti quella di responsabilizzare le organizzazioni, più precisamente i titolari del trattamento dei dati, riguardo ai rischi connessi all’elaborazione degli stessi.

Al riguardo, il GDPR elenca all’articolo 5 i sei principi essenziali alla data protection: il trattamento deve essere lecito, equo e trasparente; il trattamento dei dati deve essere limitato allo scopo specifico per il quale sono stati originariamente raccolti (limitazione di scopo); è possibile raccogliere solo i dati assolutamente necessari allo scopo specifico (minimizzazione dei dati); i dati devono essere accurati e aggiornati (accuratezza); i dati non devono essere conservati più a lungo del necessario (limitazione della conservazione); i dati devono essere elaborati in modo sicuro (integrità e riservatezza).

Le caratteristiche intrinseche della tecnologia Blockchain e della normativa UE sulla protezione dati determinano una lunga serie di interrogativi in merito alla loro compatibilità con il GDPR; soprattutto per quanto attiene alla minimizzazione e alla limitazione dello scopo e del periodo di conservazione. Mentre sembrerebbe soddisfare il principio dell’accuratezza dei dati.

3.1. Lo stato delle tensioni tra Blockchain e GDPR

Prima di approfondire la nostra analisi ci sembra utile precisare che la maggior parte delle problematiche, in seguito affrontate, riguardano le Blockchain pubbliche, il cui esempio più famoso ci è fornito dai Bitcoin, le quali sono “aperte, senza proprietà e concepite per non essere controllate”. Tutti i partecipanti possono ricoprire il ruolo di validatori. Al contrario le Blockchain definite private, seppur altrettanto strutturate sulla base di una logica decentralizzata, limitano l’accesso ad un numero ristretto di attori, i quali condividono rigorose norme e principi.

3.1.1. Difficoltà nell’identificazione del Data Controller: Il primo ostacolo che si pone al connubio Blockchain-GDPR è connesso alla differente distribuzione del peso nel controllo dei dati. Mentre il GDPR è concepito per applicarsi in un contesto fortemente centralizzato, l’essenza decentralizzata della Blockchain sembra scardinare l’idea stessa di controllo.

L’obiettivo in una Blockchain pubblica è quello di permettere a ciascuno di contribuire all’aggiornamento dei dati sul ledger ed impedire qualsiasi forma di alterazione .

In tale contesto chi si pone nella condizione più adeguata per ricoprire il ruolo di Data Controller? Si tratta dei protocol developers? Dei network users? Dei publishers of smart contracts?

Al riguardo, come verrà precisato in seguito, il CNIL francese sottolinea come non tutti i partecipanti ad una Blockchain possano ottenere tale qualifica. Ad esempio, una persona che vende o acquista Bitcoin per il proprio “account-wallet” non può ricoprire il ruolo di Data Controller.

Si prospetta una situazione differente, invece, se esegue tali transazioni nel corso di un’attività professionale o commerciale, per conto di altre persone fisiche. E’ dunque raccomandabile adottare un approccio case-by-case.

3.1.2. Difficoltà nell’identificare la giurisdizione competente: Direttamente connessa a tale problematica vi è quella dell’individuazione della jurisdiction competente in caso di controversia relativamente al trattamento dei dati. Infatti, come attribuire la competenza ad una determinata giurisdizione se risulta impossibile identificare il responsabile del trattamento e il luogo in cui vengono elaborati? Anche riguardo a tale questione non vi sono al momento risposte certe e definitive.

3.1.3. Difficoltà nell’anonimizzare i dati personali: Il GDPR si applica al trattamento di dati personali a meno che questi non siano stati anonimizzati. L’anonimizzazione è il processo elaborativo che impedisce di ricondurre i dati personali alla persona di riferimento. Bisogna dunque rendere impossibile l’identificazione di una persona e far in modo che tale operazione sia irreversibile.

E’ in questa ultima caratteristica che si coglie la differenza con un concetto apparentemente simile: la pseudonimizzazione. Con tale termine si indica il processo che, se da una parte blocca la possibilità di correlare dei dati personali all’identità di una persona, dall’altra non garantisce una possibile re-identificazione del soggetto interessato. Dunque un dato pseudonimo è ugualmente soggetto del GDPR, al pari dei dati personali.

Nel contesto Blockchain le operazioni di anonimizzazione risultano particolarmente ardue per la presenza di alcuni rischi:

–Rischio di inversione, ovvero la possibilità di invertire il processo e ricostituire i dati originali, ad esempio utilizzando il processo di brute force decryption.

–Rischio di linkabilità, ovvero il rischio che sia possibile collegare dati crittografati a un individuo, esaminando il contesto generale o confrontandoli con altre informazioni.

Finché la chiave esiste da qualche parte, i dati possono essere decifrati. Questo è particolarmente vero se consideriamo l’evoluzione costante della scienza della crittografia. Possiamo dunque prevedere, con una certa sicurezza, che le tecniche oggi utilizzate potranno essere messe in discussione in futuro.

3.1.4. Difficoltà nella limitazione della conservazione dei dati: Il principio della conservazione dei dati per un periodo limitato rappresenta un’ulteriore tensione tra il GDPR e la tecnologia Blockchain. Ai sensi dell’articolo 5 del Regolamento i dati devono essere conservati “per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati“.

La tecnologia Blockchain, al contrario, risponde ad una logica completamente opposta, in quanto i dati, una volta scritti sulla catena non possono essere cancellati. Essi sono pertanto conservati a tempo indeterminato. L’immutabilità è una proprietà chiave della tecnologia. Anche se riuscissimo a identificare un Data Controller, sarebbe tuttavia impossibile tornare indietro e cancellare o aggiornare il report di una transazione senza distruggere la catena. Ne deriva che tale tensione non è esente neppure dalle Blockchain di tipo privato. I dati presenti nel sistema Blockchain sono destinati a rimanervi, potenzialmente, all’infinito.

3.1.5. Difficoltà riguardo le questioni di territorialità: Il GDPR specifica all’articolo 45 che “il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato”. Tale disposizione si scontra con l’essenza stessa della Blockchain pubblica in quanto, tenuto conto della molteplicità di partecipanti e della libertà di localizzazione inerente a tale tecnologia, risulta impossibile verificare che le garanzie siano state messe in azione. E’ dunque complesso avere la certezza che i dati personali siano stati effettivamente trasferiti verso paesi considerati non “sicuri” dai Garanti europei. Se alcune soluzioni possono essere conseguite nel caso delle Blockchain private, grazie all’utilizzo di clausole contrattuali standard, norme vincolanti d’impresa, codici di condotta o meccanismi di certificazione approvati, nel contesto di una Blockchain pubblica la situazione risulta più problematica, dal momento che è difficile rintracciare la localizzazione dei partecipanti.

Blockchain e Gdpr: progetti di matrimonio? (4)

4.1. Soluzioni tecniche per una blockchain compliant al GDPR

Nonostante le tensioni fin qui esaminate, non è possibile in alcun modo escludere l’esistenza di una possibile conciliazione tra questi due opposti.

La blockchain in realtà può giocare un ruolo fondamentale e proattivo del GDPR stesso, proprio a causa delle caratteristiche di immutabilità e replicazione. Progettato nel modo giusto, garantisce trasparenza e controllo sui dati personali.

Infatti, gli strumenti di crittografia e la struttura decentralizzata rendono la rete altamente resistente alla manomissione, in perfetta compliance con il GDPR. In aggiunta, la natura trasparente della Blockchain offre un accesso chiaro e diretto ai dati in linea con l’obiettivo di restituire il controllo e la visibilità degli stessi, proprio del GDPR.

Entrambi mirano a creare un ambiente in cui sia mantenuta la sicurezza dei dati e in cui sia ridato ai soggetti il controllo sugli stessi. Se le intenzioni sono le medesime deve dunque esserci sicuramente un modo per arrivare ad una loro conciliazione. (5)

4.1.1. Stoccaggio dei dati personali al di fuori dalla Blockchain

Una prima opzione potrebbe consistere nel memorizzare i dati personali al di fuori della Blockchain, iscrivendovi solo un collegamento di questi al loro interno, un hash dei dati (si intende una stringa di lettere e cifre prodotta da una funzione di hash, vale a dire un algoritmo matematico capace di convertire una stringa contenente un numero variabile di caratteri in una seconda stringa, contenente invece una quantità fissa di caratteri. Anche una leggera modifica alla stringa di partenza può dare vita ad una hash totalmente diversa).

Le Blockchain dovrebbero quindi essere utilizzate per archiviare la prova che alcuni dati esistono piuttosto che memorizzare gli stessi.

Ciò consentirebbe la rimozione dei dati personali senza rompere la catena.

Immaginiamo una piattaforma innovativa che utilizza una Blockchain pubblica per aiutare persone disoccupate a fornire la prova del loro background accademico a potenziali datori di lavoro. La piattaforma, invece di memorizzare direttamente tali rapporti scolastici (dati personali) sulla catena, potrebbe utilizzare tecniche di hash e di aggregazione per generare una prova dell’esistenza del report e archiviare questa nella Blockchain, insieme a un timestamp e alla firma crittografica dell’istituzione che ha generato il report. Successivamente la persona in cerca di lavoro mostrerà il rapporto scolastico al potenziale datore, il quale potrà confermare che questo è autentico grazie all’individuazione della firma e del timestamp nella blockchain. Questa seconda operazione avviene dunque off-chain.

In tal modo diventa anche concepibile l’esistenza di una sorta di diritto di rettifica. In effetti, se si rileva l’esistenza di un dato errato nel rapporto scolastico, questo può essere distrutto, essendo localizzato off-chain, e si può in seguito chiedere all’istituzione di generarne uno nuovo, il quale sarà identificato da una propria firma digitale nella Blockchain: “the previous digital signature will simply be ‘left hanging’, with no off-chain data to point to”.

Sulla stessa linea di idee si iscrive la tecnologia utilizzata da Ethereum: “la filosofia alla base è la stessa dell’esempio precedentemente citato ovvero “non rivelare nulla tranne la verità dell’affermazione”. Il vantaggio di tale strumento è che ciascuna parte è in grado di provare all’altra che ha un insieme specifico di informazioni, senza però rivelare quale sia il loro contenuto. I dati personali sono mascherati rendendo tale tecnologia perfettamente compatibile al GDPR. (5)

4.1.2. Il ruolo degli investimenti in innovazione tecnologica

Come sottolineato dall’European Union Report, investire sugli sviluppi tecnologici potrebbe garantire un perfetto adeguamento della tecnologia Blockchain al GDPR, a lungo termine. Tra le innovazioni in corso d’opera si possono annoverare ad esempio delle speciali tecniche di eliminazione che consentono di rimuovere i dati dalla blockchain una volta esaurito il loro obiettivo. Questa operazione non solo renderebbe il sistema più efficiente, in quanto sarebbero ridotte le dimensioni della catena, ma si porrebbe in perfetta compliance con l’articolo 5 del Regolamento.

Inoltre alcuni progetti stanno esplorando la creazione di tecniche di crittografia quantum-resistant, le quali non possono essere manomesse neanche attraverso l’uso di quantum computers (I computer quantistici sfruttano le leggi della fisica e della meccanica quantistica per l’elaborazione dei dati. La loro unità fondamentale è il qubit, capace di svolgere i calcoli in contemporanea grazie alla sovrapposizione di stati quantistici. Ecco perché si scrive che questa nuova informatica possa permettere di superare i limiti della legge di Moore. Il computer quantistico invece dei bit digitale che sono rappresentati da un codice binario, 1 o 0 , usa i “qubit”, che possono essere in entrambi gli stati contemporaneamente e possono anche influenzarsi a vicenda anche se non sono fisicamente connessi. Proprietà fondamentale del computer quantistico è quindi la possibilità di rappresentare in modo sovrapposto gli stati classici, vale a dire 0 e 1. La seconda proprietà fondamentale che li caratterizza riguarda la cosiddetta interferenza, una terza proprietà importante è legata alla possibilità del qubit di essere entangled, vale a dire intrecciati tra loro portando a una correlazione profonda). .

In aggiunta altri tecnici stanno analizzando l’uso dei ‘chameleon’ hashes (una tecnica, chiamata “chameleon hash” (mappatura camaleontica) che aggiunge un lucchetto elettronico tra i diversi blocchi di una catena Blockchain, attribuendo a un amministratore la chiave digitale utile per sbloccarli e modificarli). Tali hashes consentono di modificare i dati ad essi correlati. Infatti se un blocco associato con un hash deve essere modificato, vi è la possibilità di aprire tale blocco, cambiare il dato e rigenerare il blocco. Nonostante questa funzionalità non possa essere aggiunta retroattivamente a una Blockchain esistente, le sue prospettive per il futuro sono altamente positive.

A prima vista la tecnologia GDPR e Blockchain sembrano inconciliabili.

Il GDPR è stato concepito in un mondo centralizzato, mentre la tecnologia Blockchain rappresenta l’apoteosi della decentralizzazione. In relazione al Regolamento, abbiamo osservato che le sue caratteristiche cardine, come il diritto di rettifica e cancellazione, non possono essere facilmente applicate alla blockchain . Abbiamo tuttavia constatato che le Blockchain, se adeguatamente progettate ed il GDPR, possono condividere un obiettivo comune: dare ai soggetti un maggiore controllo sui loro dati. In questo specifico contesto, la sfida consiste nell’applicare il quadro di protezione dei dati dell’UE in modo tale da non asfissiare il potenziale innovativo delle Blockchain, ma allo stesso tempo garantire la protezione dei dati.

Dobbiamo essere disposti ad adeguare la legge al cambiamento tecnologico e ad accettare una maggiore interoperabilità tecno-legale. Ciò non significa che la protezione dei dati debba essere indebolita, ma piuttosto vale la pena esplorare se gli obiettivi del GDPR possano essere conseguiti attraverso mezzi diversi da quelli originariamente previsti. Le autorità di regolamentazione dovranno dunque spingere gli sviluppatori delle tecnologie Blockchain a progettare i propri prodotti in conformità con questo importante obiettivo di politica pubblica.

4.2. Le soluzioni del CNIL (6)

Vi sono ipotesi in cui il Titolare del trattamento deve valutare, fin dalla progettazione, se l’idea di business che egli intende implementare sulla piattaforma Blockchain sia compatibile o meno con la normativa europea.

In alcuni casi, quindi, le peculiarità caratterizzano la Blockchain (tra tutte: la decentralizzazione, la disintermediazione, e l’immutabilità dei dati), possono costituire un muro invalicabile in ottica di compliance normativa.

Si pone l’accento sul concetto di privacy by design e se ne comprende la portata: il GDPR ha introdotto un modello di gestione del rischio, che necessita di progettazione e di misure preventive.

Per cui il tema della data protection va messo in cima all’agenda di chi crea e sviluppa una nuova applicazione tecnologica; il pericolo, altrimenti, è quello di realizzare un prodotto o un servizio non conforme – ab origine – rispetto ai principi di protezione dei dati personali, con tutte le conseguenze del caso in termini di costi e spese per porvi rimedio.

Quali utenti Blockchain non sono da considerare titolari del trattamento?

I minatori (miners), vale a dire i nodi che convalidano le transazioni effettuate su piattaforma Blockchain, non entrano in contatto con i dati, né condizionano l’oggetto delle transazioni; per cui non definiscono mezzi e finalità del trattamento ed anche gli utenti privati che trattano dati per scopi personali (es: chi compra o vende Bitcoin, anche per conto di terzi – salva l’ipotesi che l’attività di compravendita sia parte di un’attività commerciale e professionale).

Il Cnil ipotizza l’adozione di soluzioni pratiche in caso di trattamenti effettuati da più utenti per una stessa finalità: individuare in anticipo il titolare del trattamento (es: creare una società o una qualche forma di associazione che funga da titolare; oppure identificare un utente che abbia il potere di prendere decisioni per tutti e designarlo titolare) (2);

In caso contrario tutti potrebbero essere considerati contitolari ai sensi dell’art 26 GDPR; questo però potrebbe generare difficoltà pratiche nella attribuzione delle responsabilità (da una parte, gli interessati devono capire chi è il titolare di fronte al quale esercitare i propri diritti; dall’altra, l’autorità di controllo deve sapere chi è il soggetto che risponde di eventuli violazioni del Regolamento).

Quali utenti Blockchain possono rivestire la qualifica di responsabile del trattamento ai sensi dell’art. 28 GDPR ?

Gli utenti che trattano dati per conto del titolare – si pensi allo sviluppatore di un software che vende la sua nuova applicazione di smart contract ad una compagnia assicurativa – titolare del trattamento – permettendole di rimborsare automaticamente i passeggeri in caso di ritardo dell’aereo; in questo caso lo sviluppatore mette a disposizione il proprio servizio. Trattando i dati dei passeggeri solo per conto della compagnia assicurativa che avrà il controllo di quel trattamento, decidendone i mezzi (smart contract ) e le finalità (utilizzo di dati personali a fini di rimborso).

Quale modello Blockchain pone maggiori criticità in ottica di compliance normativa?

Una Blockchain pubblica, nella quale chiunque può collegarsi per effettuare transazioni, pone questioni serie e complesse anche in materia di trasferimenti dati extra UE, non potendosi prevedere l’ubicazione dei nodi.

Cosa fare per conciliare il principio di minimizzazione e di limitazione della conservazione dei dati con il modello Blockchain?

Il CNIL raccomanda di valutare, fin dall’inizio, se le caratteristiche del modello Blockchain siano compatibili con le finalità del trattamento che si vuole effettuare; se l’esito è negativo, si consiglia di scegliere altre soluzioni che favoriscano la piena conformità al Regolamento europeo.

Per quanto concerne gli indirizzi degli utenti (identifiers of partecipants), questi sono da ritenersi essenziali per il corretto funzionamento dell’architettura Blockchain; ne consegue che gli stessi non potranno essere oggetto di ulteriore minimizzazione e che il loro periodo di conservazione dovrà necessariamente coincidere con la durata dell’esistenza della Blockchain.

I dati personali che non sono riconducibili ad utenti e minatori meritano di essere protetti con soluzioni tecniche e organizzative ad hoc: preferibilmente nella forma di un “commitment”, un meccanismo crittografico molto complesso, che consente di “congelare” i dati in modo tale che sia possibile dimostrare alla controparte di aver eseguito tale operazione (da qui il termine “commit” inteso come impegno di una parte a non modificare o alterare i “dati congelati”), e che, dall’altra, non sia possibile ricondurre quei dati ad una persona fisica, utilizzando il solo “commit” (letteralmente: impegno o promessa); oppure mediante l’hashing dei dati, che è in grado di trasformare una qualsiasi quantità di dati in una stringa cifrata di dati di dimensioni fisse, denominata “digest”.

I diritti dell’interessato sono compatibili con il sistema Blockchain?

Il CNIL (7) opera necessariamente in merito un distinguo tra:

– diritti compatibili:

diritto di accesso;
diritto di portabilità.

– diritti difficilmente compatibili:

diritto alla cancellazione: non facilmente esercitabile nel sistema Blockchain, trattandosi di un registro immutabile. Vi sono tuttavia possibili soluzioni che si avvicinino allo scopo sottesso a tale diritto (es.: il titolare potrebbe rendere taluni dati praticamente inaccessibili, mediante l’utilizzo di algoritmi crittografici, raggiungendo, di fatto, gli effetti di una cancellazione);
diritto di rettifica: anche in questo caso bisogna tenere conto delle proprietà tecniche della Blockchain. Si potrebbe, ad esempio, inserire una nuova transazione che renda inefficace quella precedente, o comunque tale da rendere improduttiva quella precedente;
diritto di limitazione (nell’accezione di diritto di non essere sottoposto ad una decisione basata unicamente su un trattamento autorizzato): si pensi all’ipotesi di uno smart contract, cioè un programma in grado di essere eseguito in modo automatico, mediante la creazione di un processo guidato da algoritmi che non possono essere interrotti nè alterati a posteriori. In questo caso, si dovrebbe comunque consentire l’intervento umano, ad esempio permettendo all’interessato di contestare l’effetto giuridico conseguente al trattamento automatizzato, una volta conclusosi il processo avviato dallo smart contract.

4.3. Le soluzioni dell’Osservatorio Europeo (8)

L’Osservatorio (The European Union Blockchain Observatory and Forum) nel report del 16 ottobre 2018 ribadisce il supporto e l’importanza della blockchain come tecnologia ed osserva come non possa essere individuata e definita una blockchain conforme alle regole EU (“a GDPR compliant blockchain”) e una blockchain che non lo sia.

Le tensioni tra blockchain e GDPR emergono almeno:

Quando la GDPR tutela le persone consentendo loro la rimozione o la modifica di dati personali (il nome forse più noto per questa possibilità è ‘diritto all’oblio’).

Possiamo fare qualcosa per l’immutabilità? Qui le cose si fanno più complesse. Non sembra si possano escludere diverse soluzioni: da time-stamped blocks (con cui, ad esempio, fornire una scadenza ai dati sensibili che, dopo tot, si distruggono) a soluzioni con più livelli (i dati sono on chain, però gli utenti sanno chi vuole vedere cosa e possono dare o meno l’autorizzazione a farlo).

Quando la GDPR definisce ruoli precisi relativi a chi controlla i dati e, quindi, è responsabile di effettuare eventuali modifiche.

Cercare di conoscere meglio la blockchain come tecnologia. Ad esempio, per quanto il nostro archetipo di blockchain (il network dei Bitcoin) sia decentralizzato non tutte le blockchain devono essere così aperte e permissionless. Una blockchain permissioned, in cui è presente una qualche forma di controllo sui nodi o su chi effettua il mining consente di individuare con più facilità quanto richiesto dalla GDPR.

Inoltre, il Report invita a considerare se e come la blockchain sia davvero necessaria per tutte le fasi del progetto, soprattutto per quanto riguarda la custodia dei dati personali.

La soluzione in questo caso diventa: tutto ciò che è passibile di tutela da parte della GDPR va messo off chain, la blockchain poi verrà integrate e utilizzata per il resto.

4.4. Blockchain e GDPR: ulteriori riflessioni tecnico – normative sulla compatibilità

La sfida fondamentale è l’adattamento della nuova tecnologia decentralizzata di Internet blockchain peer-to-peer per le direttive GDPR fondamentalmente basate sul tradizionale approccio Internet centralizzato.

Le tecniche alternative di Blockchain consentono l’implementazione orientata alla conformità GDPR. Queste tecniche richiedono un’approfondita comprensione delle tecnologie DLP (Blocked Distribution Ledger Technology) e del loro ecosistema. I processi di gestione delle identificazioni di Blockchain, come quelli che memorizzano e processano informazioni personali identificabili (PII), sono cruciali nella progettazione di soluzioni conformi a GDPR.

Uno dei principi chiave del GDPR è il “Diritto alla cancellazione” di 17 (o “Diritto all’oblio”). In base a questo principio GDPR, quando richiesto, i consumatori possono richiedere che le loro informazioni personali vengano cancellate dai loro elaboratori di dati (o “controllori”).

Tuttavia, a causa del principio di “immutabilità dei record” di Blockchain, qualsiasi dato contenuto nelle transazioni di Blockchain è praticamente impossibile da modificare. I dati vengono copiati in nodi peer-to-peer, che funzionano come database distribuiti o registri distribuiti e sono i componenti principali della Blockchain. I dati che vengono aggiunti al pubblico, Blockchain senza autorizzazione è, infatti, lì per sempre, e, tecnicamente parlando, tali dati, o altri metadati, non possono essere modificati. A causa del modo in cui i blocchi Blockchain e le transazioni sono costruiti, tutte le informazioni e i record inseriti nei libri contabili distribuiti sono pubblicamente visibili, a prova di manomissione e immutabili.

Quindi, questa immutabilità delle transazioni di dati impresse nello stesso tessuto dei registri distribuiti rende Blockchain incoerente con l’articolo 17 di GDPR? Non necessariamente. L’adozione di architetture ibride off-chain per lo storage di dati distribuiti è un approccio alternativo per adattarsi a questa sfida. Altre alternative richiedono il mantenimento di dati PII all’interno dei dispositivi dell’utente, la creazione di metadati e hash di queste informazioni PII e il riferimento a questi dati locali utilizzando server di terze parti o lo stesso Blockchain. Questo crea diversi livelli di conformità Blockchain-GDPR.

Per rendere conto dell’articolo 17, quindi, un’alternativa è che tutte le informazioni e i dati sensibili al GDPR potrebbero essere archiviati fuori catena in server distribuiti o basati su cloud, con solo gli hash corrispondenti memorizzati nel livello Blockchain. In questo modo, gli hash fungono da indicatori di controllo per i dati sensibili al GDPR, che vengono memorizzati fuori catena. Questi puntatori di controllo non sono i dati dell’utente che il GDPR cerca di proteggere, ma una pseudonimizzazione di quei dati originali. L’altro database che memorizza i dati originali non è, in pratica, soggetto ai problemi riguardanti l’immutabilità dei record forniti da Blockchain. Ai fini della conformità dell’articolo 17, il fornitore di servizi può quindi cancellare la “linkabilità” del puntatore hash Blockchain ai dati presenti nei server off-chain distribuiti ogni volta che sia necessario.

Forse l’articolo più interessante – e più controverso – relativo all’applicabilità di Blockchain a GDPR è l’articolo 25, “Protezione dei dati in base alla progettazione e per impostazione predefinita“, che affronta le tecniche di pseudonimizzazione per i dati memorizzati degli interessati .

Esistono numerose tecniche che consentono di effettuare una pseudonimizzazione del dato, la scelta tra quella più opportuna dipende dall’effetto che si intende ottenere sulla struttura dei dati.

Se si tratta di dati importanti e non si vuole alterare in alcun modo la struttura del set di dati è possibile selezionare le informazioni identificabili e usare la crittografia mediante l’impiego di una chiave d’accesso forte o una funzione di hash.

Questo consente di mantenere il file integro senza incidere più di tanto sul contenuto effettivo dello stesso; in questo modo, le informazioni contenute in quel file saranno mascherate, protette e rese illeggibili e solo le persone che avranno a disposizione la chiave d’accesso (comunemente chiamata chiave di decrittografia) o la password potranno leggere il contenuto del file.

Un’altra tecnica è quella che impiega il token, che come ben sappiamo si usa solitamente per criptare i dati finanziari, essa si basa sull’impiego di un meccanismo di crittografia univoca o sull’assegnazione, tramite una funzione indicizzata, di un numero sequenziale o di un numero generato casualmente che non deriva esattamente dai dati originali.

Hashing è la tecnica di pseudonimizzazione di Blockchain ed in merito al suo funzionamento ed alla sua efficacia in ottica di compliance al GDPR vi controverse interpretazioni.

Il problema rimane un obiettivo mobile poiché l’innovazione Blockchain sta accelerando, proprio come il GDPR è in fase di implementazione e sono in corso importanti battaglie legali-tecniche. L’interpretazione del GDPR deve adattarsi e accelerare rapidamente, i problemi e le opportunità che consentono l’utilizzo di Internet decentralizzato di prossima generazione utilizzando la tecnologia Blockchain.

Blockchain: ruolo primario nella compliance aziendale

Svolti questi chiarimenti e ammettendo che la ricostruzione proposta possa essere valida, proviamo a “rovesciare il tavolo” ed a considerare le bc come strumento in ottica di compliance aziendale: date le sue caratteristiche (immutabilità……), a nostro parere si presta a divenire uno strumento indispensabile non solo in ottica di conformità al GDPR ma anche a tutta un’altra serie di normative o di amibiti che nella maggior parte dei casi toccano aspetti intrinsecamente connessi alla protezione dei dati. Di seguito cerchiamo di svolgere una breve disamina.

5.1. Compliance agli obblighi della cybersecurity (9)

La blockchain è considerata inattaccabile dal punto di vista della sicurezza in quanto esente dall’intervento umano, grazie all’uso di chiavi pubbliche e private e di una criptografia asimmetrica. Ma non è proprio così e, come per altri sistemi, è necessario adottare controlli e standard di sicurezza.

La blockchain offre un approccio radicalmente diverso alla sicurezza informatica, che può arrivare a certificare l’identità di un’utente, garantire la sicurezza delle transazioni e delle comunicazioni e proteggere l’infrastruttura critica che supporta le operazioni tra le organizzazioni.

Un cambio di paradigma che può permettere di sfruttare al massimo i servizi online condivisi. Ma affinché questa tecnologia diventi davvero un catalizzatore di cambiamenti sociali e industriali, è essenziale chiarire i possibili impatti sulla sicurezza.

L’alto livello di dipendenza dalla tecnologia e da Internet ha portato oggi a nuovi modelli di business per le organizzazioni, ma ciò ha anche creato nuove opportunità da sfruttare per gli hacker, che si adoperano per sottrarre informazioni preziose (quali proprietà intellettuale, informazioni di identificazione personale, cartelle cliniche, dati finanziari) e monetizzano l’accesso ai dati mediante l’utilizzo di tecniche avanzate di ransomware o interrompendo le attività aziendali complessive tramite attacchi DDoS.

In questo contesto, la blockchain costituisce un supporto o un ostacolo per la sicurezza informatica?

La premessa ineludibile per parlare di sicurezza informatica si sviluppa attorno a tre elementi di base: confidenzialità, integrità e disponibilità, conosciuti anche con l’acronimo CIA (Confidentiality, Integrity, Availability).

Secondo l’Istituto nazionale degli standard e della tecnologia (10) (NIST – Il National Institute of Standards and Technology (NIST) è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie.), la riservatezza dei dati si riferisce alla “proprietà che le informazioni sensibili non siano divulgate a persone, entità o processi non autorizzati“. Proteggere l’accesso alla rete blockchain è fondamentale per garantire l’accesso ai dati. . Ne consegue che, analogamente ad altre tecnologie, i controlli di autenticazione e autorizzazione devono essere implementati anche nel caso di una blockchain.

Le best practices raccomandano che i controlli di sicurezza (come i controlli di accesso) siano implementati direttamente a livello applicativo, costituendo questa la prima e la più importante linea di difesa, specialmente nel caso in cui un attaccante riesca ad accedere alla rete locale o vi sia già presente. In linea con questi requisiti, la blockchain può fornire controlli di sicurezza avanzati, ad esempio sfruttando l’infrastruttura a chiave pubblica per autenticare e autorizzare le parti e crittografare le loro comunicazioni.

La crittografia completa dei blocchi di dati può essere applicata ai dati in fase di transazione, garantendo in modo efficace la sua riservatezza. La crittografia end-to-end prevede che solo coloro che hanno l’autorizzazione ad accedere ai dati crittografati, attraverso la loro chiave privata, possono decifrare e vedere i dati. L’utilizzo delle chiavi di crittografia può fornire alle organizzazioni un livello di sicurezza più elevato. Ad esempio, l’implementazione di protocolli di comunicazione sicuri su blockchain garantisce che anche in una situazione in cui un utente malintenzionato tentasse di eseguire un attacco man-in-the-middle, non riuscirebbe a falsificare l’identità dell’interlocutore o a rilevarne i dati. Anche in uno scenario estremo in cui le chiavi private venissero compromesse, le sessioni passate verrebbero comunque mantenute riservate a causa delle perfette proprietà di protezione avanzata dei protocolli di sicurezza.

Sebbene gli utenti blockchain generalmente eseguano il backup della propria chiave privata in un luogo secondario, ad esempio in una cella frigorifera, il furto delle chiavi private rimane un rischio elevato. In un ambiente aziendale sarà quindi fondamentale proteggere adeguatamente il materiale delle chiavi segrete in modo da non mettere a repentaglio il registro e lasciarlo confidenziale ed integro. Un esempio di protezione adeguata è l’uso di chiavi speciali che implementano tecnologie come i moduli di sicurezza hardware per proteggere i segreti principali e fornire un ambiente sicuro e resistente alla manomissione.

Le organizzazioni devono essere consapevoli che l’accesso al loro account blockchain da più dispositivi le sottopone ad un rischio più elevato di perdere il controllo delle proprie chiavi private. Devono quindi perseguire adeguate procedure di gestione delle chiavi (come le linee guida di gestione delle chiavi crittografiche IETF o RFC 4107) e sviluppare internamente procedure di governance delle chiavi sicure. Gli algoritmi crittografici odierni, utilizzati per la generazione di chiavi pubbliche e private, si basano su problemi di fattorizzazione di interi, che sono difficili da risolvere con l’attuale potenza di calcolo. I progressi nel campo dell’informatica quantistica diventeranno significativi per la sicurezza della blockchain a causa del loro impatto sull’attuale pratica di crittografia.

Garantire l’integrità dei dati durante l’intero ciclo di vita è fondamentale nei sistemi di informazione. Crittografia, confronto degli hash o utilizzo della firma digitale sono alcuni esempi di come i proprietari dei sistemi possono assicurare l’integrità dei dati, indipendentemente dalla fase in cui si trovano (in transito, a riposo o in uso).

L’immutabilità e la tracciabilità integrate delle blockchain forniscono già alle organizzazioni un mezzo per garantire l’integrità dei dati.

La tecnologia blockchain non garantisce o migliora la qualità dei dati. Può solo assumersi la responsabilità dell’accuratezza e della qualità delle informazioni una volta entrate, il che significa che è necessario fidarsi che i dati estratti dai sistemi esistenti dell’organizzazione siano di buona qualità, alla stregua di tutti gli altri sistemi tecnologici. Un database corrotto potrebbe quindi causare un effetto domino su tutta la rete e far sì che dati potenzialmente corrotti entrino in un ambiente sicuro. Visto che i dati verranno inevitabilmente trasmessi da un sistema di origine aziendale ad una blockchain, le organizzazioni devono garantire che i canali di scambio siano sicuri poiché questo è senza dubbio un punto di attacco e di ingresso per eventuali aggressori.

Il NIST definisce la disponibilità come “garanzia di accesso e uso tempestivo e affidabile delle informazioni”.

Gli attacchi DDoS possono causare interruzioni ai servizi Internet e alle soluzioni abilitate per blockchain. Gli effetti che ne derivano vanno dall’interruzione dei siti Web al mancato funzionamento delle App mobili, il che può generare perdite e costi ingenti per le imprese. Dato che le blockchain sono piattaforme distribuite, gli attacchi DDoS alle blockchain non sono regolari attacchi, in quanto tentano di sopraffare la rete con grandi volumi di piccole transazioni. Va però sottolineato come le blockchain non presentino un singolo punto critico di vulnerabilità, il che riduce notevolmente le possibilità che un attacco DDoS basato su IP ne interrompa il normale funzionamento.

Se un nodo venisse rimosso, i dati sarebbero ancora accessibili tramite altri nodi all’interno della rete, poiché tutti mantengono una copia completa del libro mastro in ogni momento. La natura distribuita dell’infrastruttura blockchain fornisce un nuovo livello di accessibilità ai dati, attraverso uno qualsiasi dei nodi della rete, anche nel caso in cui un attacco DDoS interrompa alcuni di essi.

La combinazione della natura peer to peer e del numero di nodi all’interno della rete rende la piattaforma resiliente dal punto di vista operativo. Dato che le blockchain sono costituite da più nodi, le organizzazioni possono rendere ridondante un nodo sotto attacco e continuare a funzionare come al solito. Quindi, anche se una parte importante della rete blockchain è sotto attacco, continuerà a funzionare a causa della natura distribuita della tecnologia.

La resilienza operativa della blockchain costituisce dunque un’area chiave da testare rigorosamente. Il management dovrebbe essere in grado di articolare i rischi principali connessi alla blockchain entro un sistema di governance e controllo stabilito per gestirli.

In conclusione, la blockchain può contribuire a migliorare le tecniche di difesa cyber, prevenendo attività fraudolente attraverso meccanismi di consenso e rilevando la manomissione dei dati grazie alle caratteristiche sottostanti di immutabilità, trasparenza, verificabilità, crittografia dei dati e resilienza operativa.

Tuttavia, nessun sistema di difesa informatica può essere considerato sicuro al 100%. Ciò che è considerato sicuro oggi non lo sarà domani, per via della natura lucrativa del crimine informatico e a causa dell’ingegnosità dell’hacker criminale nel cercare nuovi metodi di attacco. Sebbene alcune delle funzionalità sottostanti delle blockchain riescano a garantire riservatezza, integrità e disponibilità dei dati, ciò non toglie che, proprio come per altri sistemi, sia necessario adottare comunque controlli e standard di sicurezza informatica per le organizzazioni che utilizzano le blockchain all’interno della loro infrastruttura tecnica, al fine di proteggere i propri dati da attacchi esterni

5.2. Compliance alla normativa anti-riciclaggio

Nell’ambito della Finanza Tecnologica o FinTech, la Blockchain rappresenta il percorso innovativo che gran parte delle Banche e gli altri Intermediari finanziari stanno esplorando per individuare la possibilità di utilizzo di tale tecnologia nelle procedure operative e organizzative, non necessariamente collegate alla gestione delle attività che ruotano intorno alle “criptovalute”. Con il passare del tempo, il sistema bancario, attraverso una valutazione più approfondita circa il funzionamento della Blockchain scollegato dalle criptovalute, ha individuato in questa nuova tecnologia un canale idoneo a svolgere funzioni per l’esecuzione di transazioni e altre funzioni interne organizzative come la Governance e AML. Il concetto di base dell’Antiriciclaggio prevede gli obblighi di identificazione e di valutazione del profilo di rischio associato al cliente e, quindi, ad esempio, per rendere attuabile lo scambio o la negoziazione delle valute virtuali in conformità alla regolamentazione vigente, si rende necessaria una normativa rigida e specifica riferita agli operatori del settore, finalizzata alla raccolta e tracciabilità delle informazioni sulle transazioni eseguite. La tecnologia Blockchain, se utilizzata nel settore finanziario, gestita con criteri e caratteristiche che ne consentono l’identificazione dei soggetti e la tracciabilità delle transazioni, compatibilmente con le prescrizioni antiriciclaggio e di contrasto al finanziamento del terrorismo, può rappresentare il nuovo scenario tecnologico, almeno in tale ambito normativo, che può essere utilizzato dalle Banche e dagli Intermediari Finanziari per agevolare la KYC “know your customer” della clientela, insomma una sorta di Grande Fratello per l’AML. L’esplorazione degli aspetti tecnici della Blockchain hanno portato a considerare la potenziale affidabilità del sistema per la conservazione delle informazioni e la tracciabilità delle transazioni. La transazione eseguita attraverso la piattaforma Blockchain condivisa, crittograficamente protetta, è assolutamente trasparente e la sua immodificabilità gli conferisce quel grado di sicurezza e tracciabilità che rappresentano gli elementi fondanti richiesti dalla normativa antiriciclaggio. Inoltre, l’utilizzo della Blockchain per le finalità AML potrebbe essere paragonata ad una Biblioteca condivisa dalla quale possono attingere notizie solo gli “utenti abilitati”; le informazioni in essa custodite riferite al singolo cliente (KYC, profilo di rischio, sanzioni, etc) sono inserite, aggiornate e modificate a cura degli “utenti” stessi (Banche e Intermediari), ossia i medesimi soggetti che hanno accesso alle informazioni condivise necessarie per gli adempimenti connessi alla adeguata verifica della clientela. Pertanto, la Blockchain dovrebbe prevedere la distribuzione delle informazioni di identificazione digitale del cliente utente (predisposte da un gestore di firma digitale) attraverso i Provider di Servizio con i quali è in corso la transazione (Banche o Intermediari) sui registri condivisi dislocati presso i nodi che compongono la catena in modo tale che quella identità crittografata risulti da quel momento in poi comunque certificata e a disposizione di qualsiasi Provider di Servizio che intervenga nei rapporti con il cliente/utente nell’ambito di quella medesima Blockchain. In un sistema così strutturato è evidente che, fermo restando la assoluta garanzia circa l’inviolabilità della identità digitale, la Banca/Intermediario ne trarrebbe indiscutibili benefici che possono essere tradotti:

a) riduzione di tempi e costi per l’acquisizione delle informazioni, ovviamente previo assenso del cliente nel rispetto della Privacy;
b) miglioramento del rapporto con la clientela, evitando così continui fastidiosi contatti per l’acquisizione di documentazione cartacea;
c) riduzione dei costi legati alle verifiche della appartenenza a liste di embargo o antiterrorismo, attraverso la condivisione delle informazioni con altre parti che hanno già provveduto alle verifiche del caso.

La condivisione del KYC è un aspetto sul quale un gruppo di banche di livello internazionale sta attualmente sperimentando un sistema di identificazione digitale per persone fisiche e imprese condiviso attraverso la tecnologia Blockchain mettendo a punto controlli e verifiche di conformità alle normative di settore (privacy, sicurezza, AML). In termini di antiriciclaggio, più complessa appare la condivisione del profilo di rischio associato al cliente, inteso come un “rating” assegnato dalla banca di riferimento; il rating si basa sui criteri adottati da un intermediario e, gli stessi criteri, potrebbero non essere coerenti con quelli di un altro intermediario partecipante alla Blockchain provocando così una differente classificazione di rischio non utilizzabile, quindi, in termini di “condivisione”. Certamente un dato crittografato con un rating di “profilatura” attribuito, basato su un criterio univoco, consentirebbe una più agevole e immediata conoscenza del cliente per le finalità antiriciclaggio. La Banca d’Italia, nel corso di un Convegno del Giugno 2016, ha affermato che la “catena a blocchi” è attuabile purché con caratteristiche della c.d. Permissioned Ledger, quindi “non aperta” e nello stesso tempo controllata da attori individuati, con un sistema di convalida della transazione affidato ai Trusted; si tratta praticamente di un sistema affidato ad una Governance che stabilisce le regole del gioco e basato su un sistema di autorizzazioni. Un sistema anti-riciclaggio così impostato, sarebbe in grado di sfruttare la sicurezza delle informazioni crittografate, decentralizzate, quindi immutabili, per utilizzare tale tecnologia al fine di identificare e, eventualmente, bloccare le transazioni ritenute sospette.

Ogni Banca o altro soggetto tenuto all’osservanza della normativa antiriciclaggio che farà parte di questa Blockchain “Permissioned Ledger”, fungerà da nodo all’interno della rete stessa e utilizzerà la directory di rete e i contratti intelligenti per registrare le transazioni nei registri condivisi presso gli altri “nodi”. Poiché le informazioni pertinenti sarebbero archiviate nella blockchain e rese disponibili a ciascun nodo, l’attività sospetta può essere rilevata ed evidenziata a tutti i partecipanti correlati in modo tale che l’operatività riferita a quella posizione venga immediatamente sospesa e la rete blockchain verrebbe immediatamente e immodificabilmente aggiornata con la registrazione di tale circostanza. Una piattaforma antiriciclaggio strutturata in questo modo consentirebbe alle Autorità di Vigilanza, al Controllo Interno e ad altre parti interessate, di monitorare le transazioni in modo automatico, nonché di registrare immutabilmente la tracciabilità delle transazioni e delle operazioni sospette nel sistema. L’architettura della piattaforma, se realizzata conformemente alla regolamentazione, grazie all’elevato grado di automatismo di cui è dotata, rappresenta un ulteriore livello al presidio di controllo, trasparenza e tracciabilità delle transazioni. Una piattaforma globale basata sulla blockchain potrebbe essere utilizzata dalle istituzioni finanziarie partecipanti anche per una condivisione di informazioni relative alle transazioni potenzialmente fraudolente. Tuttavia, in un prossimo futuro, per una efficace realizzazione di un presidio antiriciclaggio che esprima appieno il proprio potenziale, le implementazioni di soluzioni basate su Blockchain devono necessariamente essere integrate nei programmi di sviluppo delle Information Technology aziendali attraverso una partecipazione programmata e condivisa con le Autorità Centrali.

5.3. Compliance alla normativa su anticorruzione: l’esempio della Spagna

Secondo un documento dell’OCSE, la tecnologia blockchain – portando trasparenza al processo di finanziamento degli appalti pubblici – può essere utilizzata come misura preventiva contro la corruzione, che può distorcere l’equità nell’aggiudicazione degli appalti pubblici, ridurre la qualità dei servizi pubblici di base, limitare le opportunità di sviluppare un settore privato competitivo e minare la fiducia nelle istituzioni pubbliche.

La Spagna, al riguardo, si sta impegnando a creare un sistema di blockchain in grado di minare alle fondamenta il morbo della corruzione, attraverso la registrazione e il tracciamento delle transazioni cripta-asset trasferite, riducendo, quindi, le possibilità di manipolazione e frode. Il sistema incorporerà un’infrastruttura a chiave pubblica, come timestamp elettronici e servizi di consegna elettronica certificati.

5.4. Commercio di oggetto d’oro e preziosi: il ruolo della Blockchain

L’attività dei compro oro presenta intrinsecamente rischi legati al riciclaggio ed al finanziamento del terrorismo. Per questi motivi, il legislatore italiano ha dato attuazione alla IV^DRETTIVA N. 2015/849 –20/05/2015 (ANTI-MONEY LAUNDERING DIRECTIVE) emanando specificamente per il settore del commercio degli oggetti in oro e dei preziosi usati il d.lgs. 92/2017. Le finalità del decreto si possono così riassumere: 1) garantire la piena tracciabilità delle compravendite e permute di oggetti preziosi usati e 2) prevenire l’utilizzo del relativo mercato per finalità illegali, ivi compreso il riciclaggio di beni e risorse di provenienza illecita.

Al riguardo, sono varie le disposizioni del decreto che danno loro attuazione. In particolare, l’art. 4 al I° comma prevede l’obbligo per i compro oro di verificare ed identificare adeguatamente la clientela mediante l’acquisizione dei dati identificativi. Al II° comma, inoltre, la disposizione prescrive che le operazioni di importo pari o superiore a € 500,00 sono effettuate unicamente attraverso l’utilizzo di mezzi di pagamento, diversi dal denaro contante, che garantiscano la tracciabilità dell’operazione medesima e la sua univoca riconducibilità al disponente. Ovviamente, la norma si presterebbe ad essere elusa facilmente se non fosse che le operazioni effettuate per raggirare il limite sono considerate unitarie sotto il profilo del valore economico di importo superiore ai limiti stabiliti, quando sono poste in essere mediante più operazioni singolarmente inferiori ai medesimi limiti, effettuate in momenti diversi e circoscritti in un periodo di tempo fissato in 7 giorni.

L’art. 5, invece, prevede che l’operatore compro oro predisponga una scheda numerata di compravendita, in cui devono essere inseriti una serie di dati inerenti l’operazione (tra cui i dati identificativi del cliente, gli estremi della transazione, la descrizione dell’oggetto, la data e l’ora dell’operazione, la destinazione dei preziosi…) ed una ricevuta riepilogativa dell’operazione in cui inserire le informazioni ricevute durante la redazione della scheda.

L’art. 6 impone ai compro oro di conservare la documentazione acquisita per dieci anni, garantendo l’accessibilità completa e tempestiva alle autorità competenti, l’integrità e la non alterabilità dei dati acquisiti, la completezza e la chiarezza delle informazioni, il mantenimento della storicità dei medesimi. Al contempo, gli operatori devono assicurare la riservatezza e l’inaccessibilità delle informazioni e dei dati acquisiti, evitando operazioni di trattamento da parte di soggetti non autorizzati.

Ebbene, quello appena descritto è un quadro sintetico della disciplina prevista dal d.lgs. n. 92/2017 con riferimento alle implicazioni che il GDPR ha su di essa.

Dal momento che i concetti di integrità e inalterabilità dei dati sono richiamati sia dal decreto che dal Regolamento, sembra plausibile che le blockchain potranno costituire lo strumento migliore per garantirle. Quale strumento migliore, in caso di ispezione delle autorità competenti, per dimostrare con sicurezza la tracciabilità delle operazioni e la conservazione delle schede numerate e derlle ricevute riepilogative?

Immaginiamo, inoltre, un’attività di compro oro con più sedi operative oppure giuridicamente autonome ma riconducibili al medesimo soggetto. L’adozione della blockchain permetterebbe di aver in tempo reale un sistema capace di bloccare sul nascere tentativi di eludere il limite imposto per i pagamenti in contante, in quanto sono disponibili al suo interno i dati riferibili alle operazioni elusive che verrebbero poste in essere.

5.5. Il marketing e la Blockchain

Le caratteristiche della blockchain possono essere utilizzate nel marketing? Innanzitutto, la raccolta dati dei clienti attuali e potenziali costituisce per un’impresa un’attività fondamentale. È in quest’ambito – soprattutto se l’attività di marketing è coadiuvata da sistemi di profilazione per formulare offerte personalizzate – che il significato di privacy come diritto dell’interessato a conoscere come vengono utilizzati i propri dati” trova terreno: l’utilizzo della blockchain, date le sue caratteristiche, consente all’impresa titolare del trattamento di garantire la trasparenza nelle operazioni di trattamento, dal momento che i propri clienti potrebbero verificare che i propri dati, forniti in cambio di una promozione, non vengano poi utilizzati per altri scopi.

Si pensi, ad esempio, all’esercizio del diritto di accesso da parte dell’interessato: la blockchain consentirebbe al titolare non solo di fornire con certezza tutte le informazioni previste dall’art. 15 del GDPR, ma anche – nel caso in cui il trattamento sia basato sul consenso rilasciato in formato digitale – di documentare in modo affidabile e sicuro quando è stato accordato, tutelandosi così anche da eventuali rimostranze degli interessati.

Nel contesto del marketing, l’analisi e le elaborazioni dei dati vengono compiute, spesso, da più enti e intermediari. Questi passaggi comportano di per sé il pericolo che i dati stessi si deteriorino in qualità e che alla fine non conosca realmente a chi appartengono (si pensi, ad esempio, al titolare di una catena di ristorazione che esternalizza l’attività di marketing ad un’agenzia pubblicitaria: anche in presenza di un contratto di trattamento ex art. 28 GDPR, in che modo si possono rendere effettivi gli obblighi in esso assunti? Più specificamente, come è possibile garantire che i dati trattati dal responsabile non si confondano con altri?).

Grazie alla blockchain i dati saranno forniti solo all’impresa presso cui viene usufruito un servizio e sarà possibile tracciare la “filiera” di trattamento tra i vati soggetti responsabili o subresponsabili cui il titolare ha affidato determinate operazioni. Per cui, la dicitura “i dati non saranno forniti a terze parte (ovviamente diverse dai responsabili o dai destinatari)” che spesso troviamo nei form di iscrizione on line può trovare con la blockchain un significato effettivo.1.

Fonti

Definizioni e classificazione delle Blockchain https://www.spindox.it/
Il funzionamento delle Blockchain e della Distributed Ledgers Technology – https://www.blockchain4innovation.it/
Blockchain vs GDPR: due opposti inconciliabili? Di Arianna Valeriani (iusinitinere.it)
Blockchain e GDPR, ecco le compatibilità possibili e le sfide normative Di Rocco Panetta (agenda digitale.eu)
Bitcoin, una grande opportunità – Come la criptovaluta dovrebbe evolvere per divenire ciò a cui essa aspira – 01/2014 – Aurelio Riccioli (Istituto per la Tripartizione)
Gdpr e Blockchain: Prove di convivenza e le soluzioni del Garante Francese Di Andrea Baldrati (juris-tech.it)
CNIL – Solutions for a responsible use of the blockchain in the context of personal data
GDPR e Blockchain: problemi e soluzioni dell’Osservatorio Europeo Di Guglielmo Feis (italicriptovalute.it)
Dati più sicuri e riservati con la blockchain, ecco come fare Massimo Valeri (agendadigitale.eu)
NIST – Cybersecurity Framework Version 1.1 (April 2018)

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL