We hold these truths to be self-evident, that all wallets are created equal. | Noi riteniamo che sono per se stesse evidenti queste verità: che tutti i wallet sono creati eguali. |
Il pacchetto AML[1] della Commissione europea include una revisione del regolamento sul trasferimento di fondi (Transfer Funds Regulations – TFR) che estenderà l’obbligo a carico degli operatori finanziari di accompagnare ogni trasferimento di fondi con informazioni sul soggetto ordinante e sul beneficiario anche alle operazioni relative ai crypto-asset.
Tale misura consegue all’implementazione da parte dell’UE della cosiddetta Travel Rule del FATF-GAFI, che fondamentalmente impone ai fornitori di servizi connessi all’utilizzo di valute virtuali (exchange e custodial wallet o Crypto Asset Service Provider – CASP) l’obbligo di condividere le informazioni personali (nome, indirizzo, etc.) dei loro clienti in relazione a ciascuna transazione che avviene per il tramite delle rispettive piattaforme[2].
Il Parlamento europeo sta attualmente discutendo e modificando proprio questa proposta: purtroppo, l’ultima bozza di compromesso, pubblicata in vista del voto di giovedì prossimo 31.03.2022, ha introdotto alcune evidenti criticità per i diritti degli utenti e per la neutralità della rete.
Differentemente dalla proposta iniziale, infatti, che richiedeva solo di raccogliere (non di ulteriormente verificare) i dati personali relativi agli utenti coinvolti in trasferimenti fatti da/verso un wallet non-custodial, la bozza attuale prevede un obbligo di “verificare l’accuratezza delle informazioni rispetto all’ordinante o al beneficiario titolari di eventuali unhosted wallet”.
La proposta di modifica, tuttavia, non chiarisce in che modo, esattamente, un CASP possa verificare le informazioni relative al titolare del wallet non-custodial di destinazione, operazione che, come noto, è sostanzialmente impossibile da effettuare, stante la tecnologia, confondendo il wallet con il concetto di conto di deposito o conto corrente.
Il wallet è uno strumento informativo per gestire le proprie chiavi private necessarie per utilizzare le criptoattività connesse ad un determinato indirizzo.
In particolare, non si comprende con quali modalità un CASP potrebbe adempiere a tale obbligo: un unhosted wallet, infatti, tipicamente può essere attivato senza alcuna previa identificazione del soggetto che esegue l’operazione e, d’altro canto, l’imposizione di un obbligo a carico dell’ordinante di trasmettere i dati identificativi del destinatario (che potrebbe anche non conoscere) comporterebbe una serie di adempimenti, per il rispetto della disciplina in materia di protezione dei dati personali, tali da rendere impossibile la transazione stessa (e non richiesti in fattispecie analoghe quali i pagamenti elettronici, in cui, al contrario, vengono specificate dalle normative di riferimento apposite restrizioni al trattamento dei dati).
A ciò si aggiunga che, nel contesto blockchain, un wallet può anche essere gestito da uno smart contract o da una Decentralized Autonomous Organization (DAO) che potrebbero anche non essere riferibili immediatamente a specifiche persone fisiche.
La conseguenza di questa apodittica attribuzione di obblighi di verifica, a nostro avviso, è che la maggior parte delle aziende fornitrici di servizi connessi alle valute virtuali non saranno di fatto in grado, o comunque non saranno disposte a permettere ai propri utenti di effettuare transazioni che coinvolgano wallet non-custodial, al fine di non dover ottemperare ad obblighi di difficile esecuzione e, di conseguenza, per non incorrere in eventuali sanzioni.
Inoltre, stando sempre al testo della proposta attualmente al vaglio dell’ECON Committee, in caso di trasferimenti che coinvolgano indirizzi e wallet non-custodial con importi superiori a 1.000 euro, i CASP sarebbero obbligati a informare le “competenti autorità antiriciclaggio”.
Questo obbligo sarebbe imposto per qualsiasi tipologia di transazione, anche se non vi sia alcuna prova o sospetto di attività finalizzate al riciclaggio di denaro. A nostro avviso, questa è una completa inversione dei principi su cui si basa la normativa a contrasto del riciclaggio del denaro e del finanziamento al terrorismo, in quanto introduce una “presunzione” di rischiosità svincolata da qualsiasi serio elemento oggettivo (periodicità della transazione, localizzazione geografica, caratteristiche dell’ordinante, etc.) e dai concetti di accountability e risk analysis introdotti con le recenti modifiche della disciplina europea.
Ad un anno dall’eventuale entrata in vigore, la commissione UE potrà valutare la necessità di “ulteriori misure specifiche per mitigare i rischi connessi ai trasferimenti da o verso unhosted wallet, compresa l’introduzione di eventuali restrizioni aggiuntive”.
Questo significherebbe che la Commissione UE potrebbe in seguito proibire del tutto i trasferimenti che coinvolgono unhosted wallet, come era già stato suggerito da alcuni membri del Parlamento in una bozza precedente (Cfr. l’articolo 18b a pagina 45 di questo precedente draft: https://www.europarl.europa.eu/doceo/document/CJ12-AM-719852_EN.pdf).
Mentre la Travel Rule del FATF-GAFI richiede queste misure solo per le transazioni oltre un certo importo (1000 $) e la Transfer Funds Regulation, per quanto attiene le operazioni in valuta fiat richiede solo la condivisione delle informazioni per i trasferimenti superiori a 1000 euro, la bozza in questione non stabilisce alcuna soglia minima per i trasferimenti in valute virtuali.
Ciò significa che ogni singola transazione in valute virtuali, che non avvenga totalmente peer-to-peer tra indirizzi privati, dovrà essere accompagnata dalla completa condivisione di informazioni personali sui suoi partecipanti.
Questo doppio binario sembra totalmente ingiustificato. Anzi, i requisiti AML per le operazioni in valuta virtuale dovrebbero essere meno stringenti, poiché le transazioni basate su blockchain offrono nuovi e ulteriori modi per tracciare e monitorare ogni movimento economicamente rilevante. In tal senso gli operatori – e le Autorità di controllo – sono dotati di tutti gli strumenti necessari al fine di poter compiutamente svolgere dei controlli ex post in merito alle transazioni svolte qualora, sulla base di criteri oggettivi e soggettivi, rilevino un rischio di violazione delle disposizioni a tutela del riciclaggio.
A ben vedere, una tale proposta di regolamentazione potrebbe finire per portare all’esclusione totale dell’operatività da e verso wallet ed indirizzi non-custodial mediante i CASP, il che finirebbe peraltro da un lato per penalizzare l’attività dei prestatori di servizi e dall’altro per ridurre l’efficacia delle norme di contrasto ipotizzate, poiché è chiaro che l’utenza – impossibilitata a muovere la liquidità su un-hosted wallets – finirebbe per spostare la propria operatività su piattaforme interamente decentralizzate e prive di procedure KYC.
La raccolta e la condivisione non ragionata di dati potrebbero inoltre creare enormi rischi alla protezione delle informazioni personali degli utenti, andando a costituire un vero e proprio tesoro, attaccabile da eventuali hacker.
Si sottolinea, peraltro, l’evidente contrasto di una disciplina così articolata con il principio di minimizzazione del dato, previsto dal GDPR. Secondo tale principio, infatti, i dati raccolti devono essere adeguati, pertinenti e limitati al raggiungimento delle finalità rispetto alle quali vengono raccolti.
Se la proposta venisse approvata, un gran quantità di informazioni personali verrebbe condivisa anche in misura superiore rispetto alle concrete necessità di raccolta e verifica.
Al titolare del trattamento (il CASP), inoltre, verrebbe attribuito l’ulteriore compito di monitorare l’esattezza del dato, con l’obbligo – potenziale – di rettificare anche le informazioni relative ai wallet unhosted, qualora si rendesse necessario aggiornarle.
Ciò rappresenterebbe una motivazione in più per indurre il CASP, impossibilitato ad adempiere ad obblighi di difficile esecuzione, a non consentire le transazioni da e verso wallet unhosted, con una intollerabile discriminazione e limitazione dei diritti fondamentali del cittadino europeo.
Per questi motivi, i firmatari di questa petizione chiedono ai parlamentari europei italiani e a tutti coloro che sono interessati allo sviluppo neutro delle tecnologie di chiedere SIANO RESPINTI GLI EMENDAMENTI PROPOSTI nel procedimento 2021/0241(COD) relativo alla Proposal for a Regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets (recast) Proposal for a regulation (COM(2021)0422 – C9-0341/2021 – 2021/0241(COD).
FIRMATARI:
Stefano Capaccioli, Marco Tullio Giordano, Tamara Belardi, Massimiliano Nicotra, Niccolò Travia, Sara Noggler, Danilo Giudice, Paolo Luigi Burlone, Giorgio Maria Mazzoli, Andrea Pantaleo
[1] Proposta iniziale – https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0422) e Report iniziale del Parlamento Europeo: https://www.europarl.europa.eu/doceo/document/CJ12-PR-704888_EN.pdf)
[2] (cfr. https://www.fatf-gafi.org/media/fatf/documents/recommendations/Updated-Guidance-VA-VASP.pdf)