Bibliografia

giovedì 13 luglio 2023

Una tesi alla portata di tutti contro il KYC su Bitcoin

 

 

da Bitcoin Magazine

Nel white paper di Bitcoin Satoshi Nakamoto ha citato la necessità di un sistema monetario basato su Internet senza la necessità di una terza parte fidata. Pochi mesi dopo Nakamoto ha presentato al mondo la rete Bitcoin. Nel blocco zero (il "Genesis block") della blockchain di Bitcoin è stato incluso il seguente messaggio: “The Times 03/Jan/2009 Chancellor on brink of second bailout for banks”. Da un lato la citazione fa riferimento a un titolo di giornale del Regno Unito, dove si parlava del cancelliere Alistair Darling in procinto di approvare un secondo giro di salvataggi per le banche, il che significava pompare miliardi di sterline in più nell'economia; dall'altro la citazione fa riferimento alla frustrazione e alla sfiducia di Nakamoto nei confronti del sistema finanziario tradizionale e, più in generale, delle terze parti. Ciò è chiarito nelle righe di apertura del primo paragrafo del white paper. In un'altra sezione Nakamoto confronta il modello di privacy finanziaria tradizionale con il modello di privacy di Bitcoin: in quest'ultimo le terze parti fidate non sono più responsabili di salvaguardare la privacy di un individuo limitandone l'accesso alle informazioni. In realtà, non è richiesta alcuna informazione personale. Con Bitcoin le persone possono conservare la privacy “mantenendo anonime le chiavi pubbliche”. In un primo post sul forum di Bitcoin, Nakamoto scrisse:

Dobbiamo fidarci degli altri per quanto concerne la nostra privacy, fidarci degli altri affinché i ladri d'identità non prosciughino i nostri account […] riponendo fiducia nell'amministratore di sistema per mantenere private le loro informazioni. La privacy potrebbe sempre essere ignorata da tale amministratore in base al suo giudizio che soppesa il principio della privacy rispetto ad altre preoccupazioni o per volere dei suoi superiori. […] È ora che facciamo la stessa cosa con il denaro […] senza la necessità di affidarsi a un intermediario, il denaro può essere sicuro e le transazioni economiche. […] Il risultato è un sistema distribuito senza un singolo punto di errore. Gli utenti detengono le chiavi [private] del proprio denaro ed effettuano transazioni direttamente tra loro.

Nakamoto era preoccupato di affidare a terzi sia la privacy che il denaro. Nello specifico Nakamoto citava alcuni punti deboli del modello di privacy finanziaria tradizionale: malintenzionati o ladri d'identità, mancanza d'integrità dell'amministratore e richieste autorevoli da parte di "superiori", come uno stato. Una manifestazione di questi fallimenti è mostrata dalla lunga storia di governi che svalutano la valuta (si veda: The Bitcoin Standard) e include l'evento citato all'interno del Genesis block. Alludendo a Bitcoin, Nakamoto suggerì che questi problemi potessero essere risolti con “un sistema distribuito senza un punto di errore centrale”.

Bitcoin è arrivato da molto tempo. La conversazione sulla valuta "privata", "sovrana" o "elettronica" era stata portata avanti da altri un decennio prima della sua nascita. Ad esempio, A Cypherpunk's Manifesto discute di sistemi di transazioni anonime su Internet; The Sovereign Individual prevede una valuta basata su Internet, privata e senza autorizzazione; Cryptonomicon descrive un oro digitale anonimo. Nakamoto ha progettato Bitcoin con tali proprietà: è pseudoanonimo, può essere utilizzato privatamente ed è senza autorizzazioni. Tuttavia le normative KYC[1] si sono dimostrate pervasive, persistenti e problematiche per gli utenti che desiderano beneficiare di tali proprietà.

Sulla scia dell'azione di prezzo di Bitcoin dal 2020 al 2021, le società che orbitano nel suo ecosistema hanno fatto registrare una crescita notevole. Coinbase, ad esempio, ha riferito di aver raggiunto oltre 35 milioni di utenti in oltre 100 Paesi. Inoltre nel 2022 ha pagato uno spazio pubblicitario di 60 secondi sul Super Bowl che ha raggiunto oltre 20 milioni di visite in un solo minuto. Surojit Chatterjee, chief product officer di Coinbase, è arrivato al punto di definire l'evento “storico e senza precedenti”. Tuttavia Coinbase è solo una delle tante aziende di successo: secondo CoinGecko, Coinbase è al sesto posto in termini di exchange più affidabili con Binance (#1), OKX, FTX, KuCoin e Huobi Global (#5) prima di esso. Insieme questi exchange hanno KYC su milioni e milioni di utenti e tale pratica è in diretto contrasto con il sistema di denaro pseudoanonimo, senza autorizzazione, P2P e senza terze parti sviluppato da Nakamoto. Inoltre il KYC crea un classico vasetto della marmellata in cui infilarci le mani dentro, un centro d'informazioni sugli utenti e dà origine a un sistema sociale autorizzato.


Il KYC crea un centro d'informazioni sugli utenti

Ogni volta che un individuo si iscrive a un exchange o a un servizio correlato, è probabile che gli venga chiesto il KYC, ovvero di fornire informazioni d'identificazione personali. Le informazioni personali in genere consistono in un selfie, patente di guida, numero di previdenza sociale, indirizzo, e-mail e numero di telefono. Le informazioni personali vengono generalmente memorizzate da un servizio esterno, come Prime Trust. Quando Nakamoto disse: “Dobbiamo fidarci degli altri riguardo la nostra privacy [e] fidarci degli altri affinché i ladri d'identità non prosciughino i nostri account”, il riferimento a quegli "altri" può essere a exchange e fornitori di servizi partner. Tutte queste terze parti comportano rischi intrinseci, come malintenzionati (ad es. Insider job; BitThumb, 2019), mancanza d'integrità dell'amministratore (ad es. BitConnect exit scam) e suscettibilità alle richieste dello stato (ad es. conformità imposta dal fisco). Quando Nakamoto fece riferimento ai "ladri d'identità", intendeva violazioni dei dati in cui gli hacker ottengono l'accesso e traggono profitto dalle informazioni personali, rubando direttamente i fondi, vendendole alle parti interessate o esercitando estorsioni. Date tutte le informazioni personali fornite, il KYC crea un centro d'informazioni sugli utenti che non aspetta altro d'essere sfruttato.

Le violazioni dei dati sono diventate sempre più diffuse nel corso degli anni:

Incidente sulla sicurezza dei dati nel 2016

La violazione dei dati di T-Mobile ha esposto le informazioni personali di oltre 47 milioni di persone

Un hacker ha ottenuto l'accesso a 100 milioni di applicazioni e account di carte di credito Capital One

Il servizio postale degli Stati Uniti espone 60 milioni di utenti nell'API Snafu

La violazione dei dati di Equifax può interessare quasi la metà della popolazione statunitense

Target risolve la violazione dei dati dei clienti del 2013 con $18,5 milioni in risarcimenti

L'hacking di JPMorgan Chase colpisce 76 milioni di famiglie

CVS e Walmart Canada stanno indagando su una violazione dei dati

Violato il sito Web di Sony Pictures, scoperti 1 milione di account

235 milioni di profili utente su Instagram, TikTok e YouTube esposti a una massiccia perdita di dati

Secondo Statista le violazioni dei dati sono aumentate di oltre il 500% dal 2005 al 2020. Inoltre, secondo il Cost of Data Breach Report, l'80% di tutte le violazioni dei dati nel 2019 includeva le informazioni personali dei clienti (nome, dati delle carte di credito, cartelle cliniche e informazioni di pagamento). Le violazioni dei dati possono anche includere tipi più sensibili d'informazioni personali, come il numero di previdenza sociale, il numero della patente di guida, o dati biometrici.

Tutte le terze parti sono suscettibili a una violazione dei dati, comprese le società Bitcoin. Ad esempio, si consideri l'hack di Ledger nel luglio 2020. In una dichiarazione ufficiale il CEO ha detto che “erano stati rubati 1 milione d'indirizzi e-mail e 9.532 informazioni personali più dettagliate (indirizzi postali, nome, cognome e numero di telefono)”. Nello stesso anno il database dei clienti di Ledger è stato scaricato su Raidforum, un forum di condivisione di database e marketplace. Successivamente diversi utenti di Ledger hanno segnalato tentativi di phishing, di estorsioni ed e-mail minacciose, comprese minacce di rapimento e violenza, come l'omicidio.

L'utente di Reddit, Cuongnq, ha ricevuto un'e-mail di phishing che gli chiedeva di "scaricare l'ultima versione di Ledger Live" e di seguire le istruzioni per impostare un "nuovo PIN" per il suo wallet. Un altro utente di Reddit, Silkblueberry, ha ricevuto un'e-mail in cui si affermava che gli hacker avevano video di lui che "si masturbava con i porno" e che li avrebbero pubblicati a meno che non avesse inviato loro bitcoin come pagamento. Silkblueberry ha mangiato la foglia, tuttavia gli hacker sono ricorsi a misure più estreme, minacciando di associare la sua email a "siti pedopornografici" e d'incastrarlo come un "predatore di bambini" se non avesse inviato loro $500 in bitcoin. Un altro utente ha ricevuto una telefonata da un uomo sconosciuto che chiedeva un pagamento. L'uomo ha minacciato che si sarebbe "presentato a casa [sua], [lo] avrebbe rapito e 'pugnalato a morte' tutti i parenti che vivevano al [suo] indirizzo" se non avesse inviato un pagamento entro la mezzanotte di quella notte.

L'hack di Ledger è un esempio che illustra quanto possa essere dannoso un sistema KYC hackerato. Tuttavia alcuni potrebbero suggerire che i servizi KYC sono necessari perché offrono una facile rampa di accesso per i nuovi arrivati ​​e che l'esposizione vale il rischio. A tal proposito si possono indicare le numerose alternative non-KYC note per preservare la privacy e la sicurezza individuali. Inoltre queste alternative non-KYC sono diventate più facili da usare nel tempo con l'aiuto di diverse guide e risorse. Queste alternative non-KYC includono:

  1. Utilizzo di exchange peer-to-peer decentralizzati come Bisq Network o Hodl-Hodl per acquistare bitcoin;
  2. Acquistare privatamente da un bancomat Bitcoin;
  3. Acquisto o vendita faccia a faccia o vendita di beni/servizi a un Bitcoin meetup;
  4. Minare bitcoin a casa.

Altri potrebbero citare l'uso di Bitcoin in attività criminali e suggerire che il KYC offre alle persone la tranquillità di non sostenere inavvertitamente attività illecite. Tuttavia il suo uso nelle attività criminali è piccolo rispetto a quello del dollaro. Nel 2017, durante un'audizione della commissione giudiziaria, il vice segretario aggiunto dell'Ufficio per il finanziamento del terrorismo e i crimini finanziari, Jennifer Fowler, ha testimoniato che “sebbene le valute digitali siano utilizzate per transazioni illecite, il volume è piccolo rispetto al volume di attività illecite attraverso i servizi finanziari tradizionali”. Date le differenze di volume, è improbabile che si possa inavvertitamente supportare attività criminali acquistando bitcoin senza KYC. Ciò diventa ancora più improbabile quando si acquista o si vende peer-to-peer in un Bitcoin meetup locale o li si acquista da un bancomat Bitcoin.

Bitcoin è stato progettato come pseudoanonimo, ma è in atto un livello allarmante di KYC che mina completamente questa proprietà. Milioni di utenti in tutto il mondo stanno legando la propria identità al proprio bitcoin e ognuno di loro sta contribuendo alla creazione di centro d'informazioni sugli utenti. Ciò è vero anche di fronte a prove schiaccianti che le violazioni dei dati sono diventate quasi un evento quotidiano. Piuttosto che sacrificare lo pseudoanonimato, assumersi ulteriori rischi, o contribuire al problema, gli utenti dovrebbero invece essere parte della soluzione e riprendersi la propria privacy, ridurre i rischi e proteggere le informazioni personali utilizzando alternative non-KYC.


Il KYC dà origine a un sistema sociale fatto di autorizzazioni

La rete Bitcoin è un sistema monetario senza autorizzazioni al di fuori del controllo di terze parti, ciononostante la maggior parte delle persone non lo utilizza in questo modo. Invece esse sono diventate dipendenti da servizi KYC di terze parti, come exchange, piattaforme di rendimento e mining ospitato, tra gli altri. Il KYC non solo mina il vostro pseudoanonimato, ma mina anche la vostra privacy. Questo è vero anche dopo aver preso in custodia i vostri bitcoin. A differenza del contante fisico, in cui una banca non può tenere traccia di ciò che ne fate dopo il prelievo, una terza parte, come un exchange, è in grado di tracciare ciò che fate con i vostri bitcoin dopo che sono stati prelevati. Cioè, fino a quando non vengono prese le adeguate contromisure in materia di privacy, come la partecipazione a un coinjoin.[2]

Anche se un'identità può essere offuscata, il KYC conserva comunque tutte le informazioni d'identificazione personale dell'utente, inclusi nome, indirizzo, selfie e importo totale dell'acquisto. Armato d'informazioni personali e della capacità di spiare il comportamento dell'utente, il KYC dà origine a un sistema sociale fatto di autorizzazioni. Esistono molti esempi di come il KYC dia origine a un tale sistema (ad es. limiti e restrizioni; misure di verifica intrusive; whitelisting degli indirizzi; interventi statali). Questa sezione si concentrerà su CoinJoin come esempio di comportamento proibito all'interno di un sistema sociale fatto di autorizzazioni. CoinJoin è stato selezionato per l'importante ruolo che svolge nella privacy quotidiana.

Poiché Bitcoin è un libro mastro pubblico, è buona norma "trasformare ogni spesa in un CoinJoin". Questo è vero per due ragioni. Innanzitutto CoinJoin limita qualsiasi possibilità che una terza parte possa spiare la cronologia delle proprie transazioni; in secondo luogo CoinJoin protegge dallo scrutare altrui nelle proprie finanze personali. Il primo motivo è importante perché, come discusso in precedenza, una terza parte può tenere traccia di ciò che si fa con il proprio bitcoin e CoinJoin può aiutare gli utenti a ottenere privacy. Il secondo motivo è importante perché, a differenza dei contanti o delle carte di debito/credito in cui un commerciante (il destinatario) non può scrutare le finanze di un pagatore (ad esempio il saldo del conto bancario), i destinatari dei bitcoin possono scrutare le finanze di un pagatore (come minimo l'UTXO che viene speso). Sarebbe come distribuire il proprio estratto conto bancario a ogni transazione.

Se vi prendete un momento per riflettere su alcune delle situazioni che possono derivare da una situazione del genere, vi renderete presto conto delle implicazioni che ciò ha sulla privacy. Un esempio in merito ci viene presentato da Samourai Wallet: “Immaginate se il pastore della vostra chiesa fosse in grado di vedere il vostro abbonamento OnlyFans quando mettete una banconota da un dollaro nel piatto delle offerte”. La banconota da un dollaro qui rappresenterebbe una tipica transazione bitcoin. CoinJoin fornisce all'utente in questo esempio la privacy necessaria per evitare questa situazione imbarazzante, offuscando la cronologia delle transazioni. In un altro esempio più estremo, immaginate di pagare a qualcuno una piccola somma ma usando un grande UTXO (simile a tirare fuori un'enorme moneta d'oro solo per pagare un caffè). La persona che riceve il pagamento potrebbe vedere che il pagatore detiene una quantità significativa di bitcoin e ciò potrebbe esporlo a un rischio maggiore: un attacco con chiave inglese da cinque dollari. CoinJoin suddividerebbe un grande UTXO in UTXO più piccoli e ridurrebbe la capacità del destinatario di determinare i fondi di un pagatore; si vedrebbe solo ciò che state spendendo nell'effettivo. Alla luce di questi esempi, diventa chiaro che Bitcoin manca delle qualità essenziali che invece possiede il denaro fisico e che CoinJoin può compensare. Nonostante i vantaggi che quest'ultimo offre agli utenti, i servizi di terze parti operano sulla falsa premessa che CoinJoin sia dannoso o rischioso e ne proibiscono l'uso. Con il divieto di CoinJoin come pratica comune tra alcuni degli exchangei più popolari, un sistema sociale fatto di autorizzazioni l'ha designato come "cattivo".

Prendete BlockFi per esempio. Ha una pagina sul suo sito chiamata "Usi proibiti" in cui si dichiara l'intento di mantenere “una politica di stretta conformità normativa” e quindi proibisce depositi e prelievi da o verso: Servizi di mixing, exchange peer-to-peer e di altro tipo che non hanno KYC, siti di gioco d'azzardo e marketplace su darknet. Inoltre BlockFi “si riserva il diritto di restituire i fondi e bloccare/chiudere gli account se necessario”. BlockFi è solo uno dei tanti exchange noti per vietare o contrassegnare CoinJoin. Ad esempio, in uno degli esempi più estremi, l'utente di Reddit Bujuu ha riferito che il suo conto è stato chiuso a causa della "quantità e frequenza" delle sue transazioni CoinJoin. L'exchange, Bitvavo, ha affermato che Bujuu rappresentava un "rischio inaccettabile" e ha chiuso il suo account come misura di mitigazione. Più tardi Bujuu ha detto: “Mi dà fastidio che non mi sia permesso di fare quello che voglio con i miei BTC, che tutto sia monitorato”. Il divieto di CoinJoin è forse uno degli esempi più chiari di come il KYC dia origine a un sistema sociale fatto di autorizzazioni.

Diversi altri utenti hanno riportato esperienze simili. Un altro utente ha affermato: "@bottlepay [ha] rifiutato la mia transazione btc in arrivo a causa del fatto che le coin erano nel wallet Samourai e/o mescolate con @SamouraiWallet #Whirlpool/ Se inviate coin mixate verrete puniti”. Un livello simile d'intrusione è stato segnalato da altri, ad esempio un altro utente ha ricevuto un'e-mail da Paxos in cui si diceva:“Abbiamo notato che un prelievo di BTC dal suo account è stato potenzialmente inviato a un noto servizio di mixing. Questo tipo di transazione non è consentito sulla piattaforma. Si prega di confermare se i fondi sono stati inviati a un servizio di mixing”. Inoltre Riccardo Masutti ha affermato che “@bitwala mi ha inviato un'e-mail 3 giorni fa su un paio di transazioni post-CoinJoin avvenute quasi 6 MESI FA” e Kristapsk ha affermato d'aver ricevuto “un'e-mail da @BitMEX su [una] vecchia transazione di deposito #Bitcoin (la scorsa estate) che potrebbe essere collegata ad attività contrarie all'1.1(a) dei Termini di servizio HDR.', @joinmarket coingiunti”. Questi ultimi due esempi dimostrano la profondità dell'analisi della blockchain di Bitcoin condotta da terze parti.

Nel loro insieme si può vedere quanto possa essere pervasivo un sistema sociale fatto di autorizzazioni. Gli utenti vogliono sfruttare i vantaggi di CoinJoin, tuttavia esso è etichettato come proibito da molte terze parti (o servizi correlati). Questo disgusto generale per CoinJoin, insieme alla palese analisi della blockchain di Bitcoin, pone gli utenti in una posizione vulnerabile. Agli individui sottoposti a KYC è vietato esercitare i diritti fondamentali alla privacy o, se lo fanno, devono affrontare misure punitive. In entrambi i casi, vengono spiati. Qualsiasi individuo ragionevole concorderebbe che questa non è una buona posizione in cui trovarsi, specialmente quando si partecipa a un sistema monetario indipendente e alternativo senza terze parti. Nonostante i chiari vantaggi che CoinJoin ha da offrire, l'opinione corrente è che esso sia troppo "rischioso". In una conferenza del 2022 su Bitcoin, Craig Raw, fondatore di Sparrow Wallet, ha dichiarato:

Se usiamo gli strumenti [ad esempio CoinJoin] che abbiamo oggi, cambia la mentalità delle persone e cambia il modo in cui la società lo considera. Se CoinJoin diventa una cosa ampiamente utilizzata oggi, allora cambierà il modo in cui la società lo vede e penso che sia importante non aspettare troppo a lungo e utilizzare gli strumenti perché [...] cambia il modo in cui verranno approvati regole e regolamenti nel mondo.

Secondo Raw, la normalizzazione di CoinJoin è una funzione del suo utilizzo, pertanto gli individui devono assumersi la responsabilità di esercitare i propri diritti legati alla privacy. Questo non può essere realizzato all'interno di un sistema fatto di autorizzazioni, né sarà concesso. La normalizzazione di CoinJoin deve avvenire al di fuori di un sistema autorizzato, ad esempio all'interno della rete Bitcoin poiché è stata progettata per essere utilizzata senza autorizzazioni.


Conclusione

Il KYC crea centro d'informazioni sugli utenti e dà origine a un sistema sociale fatto di autorizzazioni. Quando si fa il KYC bisogna fornire molte informazioni personali e sensibili che contribuiscono a creare suddetto centro. Questa azione da sola è sufficiente a negare lo pseudoanonimato dato che un'identità viene associata alle proprie partecipazioni in Bitcoin. Inoltre le persone devono avere fiducia che terze parti manterranno al sicuro le informazioni sensibili. Inoltre quando si fa il KYC, si entra volontariamente in una relazione autorizzata con una terza parte: bisogna rispettare le regole stabilite dalla terza parte o affrontare (potenzialmente) misure punitive, come il sequestro dei beni, la chiusura del conto, o il congelamento dei fondi. Dato il ruolo importante che svolge nella privacy quotidiana, CoinJoin è un esempio di comportamento proibito all'interno di un sistema sociale fatto di autorizzazioni.


[*] traduzione di Francesco Simoncelli: https://www.francescosimoncelli.com/


Supporta Francesco Simoncelli's Freedonia lasciando una “mancia” in satoshi di bitcoin scannerizzando il QR seguente.

https://opentip.io/freedonia


____________________________________________________________________________________

Note

[1] KYC fa riferimento alla conferma dell'identità di un titolare di conto tramite la raccolta di documenti (ad es. patente di guida, numero di previdenza sociale, carta d'identità, selfie, ecc; Federal Reserve, 1997) da parte di servizi finanziari di terze parti (ad es. exchange) per conto dell'Agenzia delle Entrate (Internal Revenue Service, 2000).

[2] CoinJoin “è un metodo affidabile per combinare più pagamenti in bitcoin da più pagatori in un'unica transazione e rendere più difficile alle parti esterne la determinazione di quale pagatore ha effettuato il pagamento a quale destinatario o destinatari” (Bitcoin Wiki, 2015). In altre parole, CoinJoin è uno strumento per la privacy che offusca la cronologia delle transazioni minando l'euristica di input comune. Ciò fornisce agli utenti in modo efficace e affidabile per proteggere la propria privacy a livello di applicazione senza modifiche al protocollo di Bitcoin.

____________________________________________________________________________________


Nessun commento:

Posta un commento