Una introduzione a bitcoin, monete virtuali ed alla ......2018/10/27 · Property”, cioè della...

Giancarlo Castorina

XIV CONGRESSO NAZIONALE ANSSAIFROMA, 27/10/2018 1

Una introduzione a bitcoin, monete virtuali ed

alla infrastruttura Blockchain

AGENDA1. Valute virtuali: aspetti monetari

2. Il retroterra tecnologico

3. L’economia delle criptovalute

4. Scenari di blockchain in ambito finanziario

5. Sviluppi industriali

6. Regolamentazioni

7. Rischi

8. Frodi

Parte del contenuto è tratto da:

G. Castorina, “Blockchain in ambito finanziario: scenari ed evoluzione”

Facoltà di Ingegneria dell’informazione, Informatica e Statistica, La Sapienza,

XIV Congresso Nazionale ANSSAIF – 27 Ottobre 2018 2

MI PRESENTO …

Giancarlo Castorina [[email protected]]

25+ anni di attività nella sicurezza delle informazioni

11+ anni in un Istituto di Credito

(CISO, Responsabile SGSI, …)

CISA, CISM, CRISC, CSX, LA27001, LA22301, LA9001, UNI10459

Disclaimer:

le opinioni presentate sono esclusivamente personali e non impegnano in alcun modo il mio datore di lavoro e in nessun modo rappresentano consigli su investimenti finanziari


PREQUEL: PRIMA DI “BITCOIN”

Il termine «bitcoin» appare per la prima volta nel 2008 nel documento «Bitcoin: a Peer-to-

Peer Electronic Cash System» e la sua originalità consiste anche nell’assemblare idee

provenienti da ricerche ed esperienze precedenti

• Esempi di monete virtuali

• Universal Electronic Cash

• eCache

• Tecnologie

• Crittografia a chiavi pubbliche e private

• Reti Peer to Peer

• Struttura degli Alberi di Merkle

• Protocolli

• Hashcash


PREQUEL: PRIMA DI “BITCOIN”

Interview with eCache Operators, by Jonathan Logan December 17 2007

[https://www.scribd.com/document/27467097/Interview-With-Operator-of-eCache]

“With the USA and other states cracking down on digital gold currencies it has become clear that a

structure that is too open invites predators. e-gold has been attacked and funds frozen or actually stolen,

Liberty Dollar has been raided, several exchangers and value transfer system operators have

experienced some rather big troubles. None of these things increased trust in digital gold currencies.

So, you have to reconsider the whole concept of “offshore” DGCs. Nothing can keep those bureaucrats

from attacking things they do not understand or approve of.

I have to admit that I am not brave or stupid enough to risk any of this. That’s why we do not mention our real

names, that is why our servers are only connected to the Tor network, that is why our backing is in

a place never mentioned in public. In my opinion that is the only reasonable way to operate any such system

without implementing “Know your customer” rules or risking complete disaster.

Another way is to keeping the eCache operated mint small and going for a

distributed ecosystem as soon as possible.”


Le caratteristiche tipiche di una moneta sono riscontrabili anche nei bitcoin:

• Non deperibilità: essendo svincolate da oggetti materiali, i bitcoin ovviamente non

possono deperire; possono essere persi, ma di certo non rovinarsi; anzi, la caratteristica

distribuita della blockchain pone al riparo dalla perdita di integrità che può affliggere

singoli archivi informatici

• Divisibilità: l’unità minima di misura utilizzata per i bitcoin è il “satoshi”, corrispondente

ad un centomilionesimo (10-8) di bitcoin

• Verificabilità/autenticità: l’autenticità dei bitcoin che si ricevono è assicurata dalla

blockchain e dalle tecnologie crittografiche sottostanti

• Controllo della Disponibilità: per esplicita scelta iniziale, il numero di bitcoin che mai

saranno in circolazione è limitato a 21 milioni (nel 2018 vi sono già più di 17 milioni di

bitcoin circolanti)

Non vi è però nessuna autorità centrale cha operi a garanzia del suo valore e della sua

stessa capacità di agire come moneta reale. La fiducia viene quindi riposta (da parte di

chi vuole riporvela) nella solidità del sistema stesso che è stato avviato e nella sua

irreversibilità.

1. bitcoin come “Moneta”


• D. Lgs 90/2017 («Attuazione della direttiva (UE) 2015/849

relativa alla prevenzione dell'uso del sistema finanziario a

scopo di riciclaggio dei proventi di attività criminose e di

finanziamento del terrorismo»)

«valuta virtuale: la rappresentazione digitale di valore, non

emessa da una banca centrale o da un'autorità pubblica, non

necessariamente collegata a una valuta avente corso legale,

utilizzata come mezzo di scambio per l'acquisto di beni e

servizi e trasferita, archiviata e negoziata elettronicamente»

La definizione è ripresa dalla proposta di modifica nella Direttiva Europea

Antiriciclaggio (AMLD5), approvata nel 2018 con piccole differenze

1. “Valuta virtuale” (“Virtual Currency”)


Dati relativi al 27/10/2018 ore 6.30 [fonte: coinmarketcap.com]

• Bitcoin:

• Valore: $ 6.487,00 (picco del 17/12/2017: $ 19.279,90)

• Capitalizzazione: $ 112.508.812.208

• Percentuale di «mercato»: 53,8 %

• Complessivamente:

• Monete virtuali censite: 2076

• Capitalizzazione: $ 209.380.068.424

• picco del 6/1/2018: $ 795.832.000.000

1. “Valuta virtuale” : Capitalizzazione


Andamento valore bitcoin [fonte: coinmarketcap.com]



1/1/2017 1/1/2018

Andamento valore tulipani

[http://www.consob.it/web/investor-education/la-bolla-dei-tulipani1]



• Comunicazioni

• Bitcoin si basa su protocolli P2P (peer-to-peer)

• Memorizzazione

• La base dati è decentralizzata (“Blockchain”)

• Ciascuno dei partecipanti (“nodo”) ne gestisce una copia (>75 GB)

• I client “light” conservano solo gli header dei blocchi e ne caricano il

contenuto solo quando serve

• Crittografia

• Crittografia a chiave pubblica e privata

• Hash

• Firma Digitale

• Logica applicativa

• Smart Contracts

2. Il retroterra tecnologico


• Una “blockchain” è una struttura di dati costituita da una

sequenza ordinata di blocchi, ciascuno collegato al precedente

tramite l’utilizzo di funzioni crittografiche

• E’ aggiornata di continuo tramite l’aggiunta di nuovi blocchi in

coda.

• Si parla di “registro o libro giornale pubblico” (“public ledger”)

• A seconda della possibilità di accesso sono definite:

→ «Permissionless blockchain»: non vi è limitazione

nell’accesso alla rete dei partecipanti

→ «Permissioned blockchain»: l’accesso è limitato ai

partecipanti di una comunità definita

2. Il retroterra tecnologico: Blockchain


La struttura dati• Ciascun blocco che costituisce la Blockchain è sostanzialmente un

contenitore di transazioni. Esso è formato da una testata (“header”) e da

una lista di transazioni, mediamente circa 500.

• La testata contiene l’hash del blocco precedente, che svolge il ruolo di

collegamento tra di essi, e, oltre ad altri campi, anche l’hash della radice

di una struttura ad albero delle transazioni contenute nel blocco.

• L’hash della testata di un blocco ne costituisce l’identificativo principale e

permette di verificare l’integrità della catena, cioè che nessun blocco

risulta mancante.

• Le transazioni contenute nel blocco sono gestite da una struttura ad albero

binario denominata “Merkle Tree”, in cui ogni nodo della struttura

contiene l’hash dei nodi sottostanti

2. Il retroterra tecnologico: Blockchain


• In un sistema senza autorità centrale uno dei problemi principali è quello di

determinare una modalità con cui possano venire confermati gli

aggiornamenti alla propria base dati («Problema dei Generali Bizantini»)

• La “proof-of-work” consiste nel risolvere un problema di calcolo che richieda

elevate risorse computazionali, tali da rendere improbabili isolati attacchi e

che tragga invece giovamento dalla crescita stessa della rete di partecipanti.

• l’algoritmo utilizzato (inizialmente definito da Hashcash, un protocollo anti-

spam) richiede che, partendo da una stringa da validare, venga calcolata una

impronta (hash, ad esempio attraverso la funzione SHA-256) che abbia la

caratteristica di iniziare con un numero minimo predeterminato di zeri

• il requisito che una stringa di 256 bits inizi con 70 zeri comporta mediamente

l’esecuzione di 269 (pari a circa 590 miliardi di miliardi) tentativi

• qualora si volesse alterare una blockchain occorrerebbe dotarsi di

potenza di calcolo superiore a quella utilizzata da almeno la metà dei

partecipanti (il che corrisponde ad avere da soli una capacità superiore a

quella complessiva di tutti gli altri), operazione inizialmente non ritenuta

verosimile se non, forse, nel caso in cui entrassero in gioco potenze statali.

2. Il retroterra tecnologico: “Proof of Work”


Fonte: https://digiconomist.net/bitcoin-energy-consumption

2. Il retroterra tecnologico: “Proof of Work”


• Ethereum nasce con l’intento di aumentare le funzionalità della

blockchain di Bitcoin e di offrire una piattaforma completamente

programmabile su una infrastruttura decentralizzata.

• Oltre ad account simili a quelli di Bitcoin (qui chiamati “externally owned

accounts”), sono introdotti dei “contract account”, dotati di codice di

programmazione proprio, capacità di memorizzazione di dati e

informazioni persistenti e che vengono attivati alla ricezione di

messaggi.

• Accanto al concetto di Smart Contract, può associarsi quello di “Smart

Property”, cioè della proprietà di un bene (materiale o immateriale)

rappresentata dalla sua registrazione in una blockchain e dal controllo

delle relative chiavi private. Ciò costituisce la base per utilizzi di natura

anagrafica: ad esempio catasto urbano, certificati anagrafici, proprietà

intellettuale in vari ambiti, ecc.

2. Il retroterra tecnologico: “Smart Contracts”


• Sviluppi tecnologici su blockchain o modelli simili

• Blockchain-as-a-service

• Piattaforme di scambio

• Mining

• Vendita di hardware specializzato (schede CPU, wallet hardware, ATM)

• Data Center specializzati in paesi a bassi costi elettrici

• Raccolta di fondi (ICO)

• gestione di titoli o di strumenti finanziari

3. L’economia delle monete virtuali


• Pagamenti e Carte di pagamento

• possibilità di ridimensionare il ruolo degli intermediari, favorendo

anche, in certi casi (ad es. bonifici) la velocità di esecuzione

• Bitcoin ATMs

• Credito

• erogazione di finanziamenti con garanzia di terzi o vincolati a

determinati utilizzi

• Finanza

• gestione di titoli o di strumenti finanziari

• «Know Your Customer»

• gestione integrata dell’identità

• Finanziamenti

• ICO («Initial Coin Offering»): raccolta di fondi necessari ai propri

progetti di sviluppo

4. Scenari di utilizzo di Blockchainin ambito finanziario


Fonte: Banca d’Italia, Convegno La tecnologia blockchain: nuove prospettive per i mercati finanziari -

21/6/2016






21/6/2016

Il Consorzio R3 e Corda

• Il Consorzio R3 è stato costituito nel settembre 2015, da parte di 9

istituti finanziari (Barclays, BBVA, Commonwealth Bank of Australia,

Credit Suisse, Goldman Sachs, J.P. Morgan, Royal Bank of Scotland,

State Street, and UBS). Il numero di aderenti è progressivamente

cresciuto sino a superare i cento nel 2017

• Ricerca di soluzioni tecnologiche basaste su blockchain che

superino le ricorrenti problematiche di interoperabilità che si

riscontrano nella gestione dei mercati bancari e finanziari: la

piattaforma sviluppata («Corda») è però esplicitamente basata su

protocolli e tecnologie diversi da quelli utilizzate dalle varie

blockchain (dopo aver investito 59M $ …)

• Corda mantiene i principi architetturali di una “distributed ledger

technology”; non ha «proof of work», ma «notaries»



Hyperledger Fabric

• Il progetto Hyperledger è stato lanciato nel 2015 dalla

Linux Foundation come collettore di una serie di progetti

legati alle distributed ledger technologies (DLT).

• Hyperledger Fabric è un framework di implementazione,

sviluppato inizialmente da IBM e Digital Asset, per lo

sviluppo di applicazioni e soluzioni

• Si tratta di una piattaforma infrastrutturale e non ha

monete virtuali direttamente associate



• Il mondo delle valute virtuali è largamente «non regolamentato»

• Dal 2014 EBA (l’Autorità Bancaria Europea) auspica una regolamentazione a livello di Comunità

Europea e, in attesa di regolamentazioni più organiche, «scoraggia» gli istituti di credito e

finanziari dall’intraprendere azioni di acquisto/conservazione/vendita di monete virtuali al fine

di proteggere la stabilità dell’attuale sistema finanziario da rischi derivanti dalle monete virtuali

• Banca d’Italia ha fatto proprie le indicazione di EBA nel 2015, dividendo esplicitamente il tema in

due contesti:

• l’utilizzo: “In Italia, l’acquisto, l’utilizzo e l’accettazione in pagamento

delle valute virtuali debbono allo stato ritenersi attività lecite”

• le attività tipiche di un soggetto bancario: «le attività di emissione

di valuta virtuale, conversione di moneta legale in valute virtuali e

viceversa e gestione dei relativi schemi operativi potrebbero invece

concretizzare, nell’ordinamento nazionale, la violazione di disposizioni

normative, penalmente sanzionate, che riservano l’esercizio della

relativa attività ai soli soggetti legittimati»

6. Regolamentazioni


• Dal punto di vista fiscale, in Europa l’acquisto e la vendita di

monete virtuali non sono considerati investimenti finanziari e, di

conseguenza, non sono soggette a tassazione di plusvalenze

• Antiriciclaggio:

• La revisione della direttiva antiriciclaggio (AMLD5), introduce la definizione

di «valuta virtuale» e aggiunge all’elenco dei soggetti destinatari della

regolamentazione (cosiddetti “soggetti obbligati”) i “prestatori di servizi la cui

attività principale e professionale consiste nella fornitura di servizi di cambio tra

valute virtuali e valute legali” ed i “prestatori di servizi di portafoglio digitale

che offrono servizi di custodia delle credenziali necessarie per accedere alle

valute virtuali”.

• Sulla base di tali principi, Il Decreto Legislativo 90/2017 novella il Titolo I del

D.Lgs 231/2007, introducendo le definizioni di “valuta virtuale” e “prestatori

di servizi relativi all'utilizzo di valuta virtuale”, sottoponendo questi ultimi alle

prescrizioni in tema di lotta al riciclaggio ed al finanziamento del terrorismo,

seppure “limitatamente allo svolgimento dell'attività di conversione di valute

virtuali da ovvero in valute aventi corso forzoso”

• Il MEF ha proposto uno schema di Decreto per il censimento dei prestatori di

servizi di valuta virtuali

6. Regolamentazioni


• Nel 2014 EBA ha analizzato i fattori di rischio

connessi alle valute virtuali:

• Rischi per gli utenti (consumatori/investitori privati)

• Rischi per gli altri partecipanti al mercato

• Rischi per l’integrità finanziaria

• Rischi per i sistemi di pagamento tradizionali

• Rischi per le autorità di regolamento

7. Rischi


• Banca d’Italia, nel recepire le indicazioni di EBA, ha indicato rischi legati a;

• Carenza di informazioni, dovuti all’assenza di regolamentazione su

obblighi di informazione e trasparenza verso la clientela;

• Assenza di tutele legali e contrattuali connesse alle transazioni o

alla presenza di costi di commissione, anche in virtù della non certa

identità delle controparti;

• Assenza di forme di controllo e vigilanza, che caratterizzano

invece le attività di emissione, gestione e conversione di monete

tradizionali;

• Assenza di forme di tutela o garanzia delle somme “depositate”,

che possano intervenire nei casi di insolvenza degli intermediari;

• Rischi di perdita permanente della moneta a causa di

malfunzionamenti, attacchi informatici, smarrimento;

7. Rischi


• Banca d’Italia, nel recepire le indicazioni di EBA, ha indicato rischi legati a;

• Accettazione su base volontaria, cioè la possibilità che la moneta virtuale

perda la capacità di esser scambiata con altro bene, se non in base a

decisione volontarie dei fornitori;

• Elevata volatilità del valore; rischi di perdite dovute a fluttuazione del

valore in un mercato non regolato e stabilizzato;

• Rischio di utilizzo per finalità criminali e illecite, anche a fronte di

possibile intervento dell’Autorità Giudiziaria per chiudere o bloccare le

piattaforme di scambio qualora vi sia la presunzione di utilizzo per attività

criminali o di riciclaggio;

• Rischi fiscali, con “implicazioni imprevedibili” sul trattamento fiscale delle

monete virtuali;

• Non sono “Bancomat”, in riferimento ad apparecchiature che permettano

l’acquisto o la vendita di monete virtuali in cambio di monete con corso

legale, senza però il quadro di tutela dei normali Bancomat/ATM

7. Rischi


• Tipologie di frodi connesse alle criptovalute

• «Riciclaggio»: sfruttamento dell’assenza di regole di verifica degli utenti

per nascondere operazioni di riciclaggio

• «Frodi informatiche»: l’origine è simile alle frodi sui sistemi di

pagamento ma la rilevazione, analisi e gli impatti sono connaturati dalle

caratteristiche delle monete virtuali

• Compromissione di client (wallet personali)

• Compromissione di server (piattaforme di exchange)

• Smart Contracts fraudolenti

• «Frodi finanziarie»: offerta e vendita di «prodotti» millantando il valore

sottostante o, in certi casi «semplicemente» sparendo con il bottino

• «Frodi tecnologiche»: tendenti alla compromissione dell’infrastruttura

• Double spending

• Attacks to blockchain integrity

• «Mining Fraudolento»: compromissione di computer per sfruttarne le

capacità elaborative al fine di effettuare mining a beneficio di terzi

8. Frodi


Riciclaggio

• In linea teorica, la totale tracciabilità delle transazioni dovrebbe limitare le possibilità di

effettuare operazioni di riciclaggio

• In realtà, i partecipanti alla transazione sono protetti dalla pseudonimizzazione (per alcune

criptovalute, come Monero, si arriva al vero anonimato)

• Gli indirizzi IP collegabili a transazioni sono spesso protetti dalla rete TOR

• Le somme riciclate sembrano essere intorno all’ 1% del totale delle

transazioni (cfr «Bitcoin Laundering» https://info.elliptic.co/whitepaper-fdd-bitcoin-

laundering)

• Le somme provengono per lo più da parte di cosiddetti «Mixers» (scambiatori di accounti bitcoin) e da siti

di giochi d’azzardo, indirizzati verso piattaforme di scambio

• Le piattaforme europee sono le più interessate dal fenomeno (seguite da piattaforme di localizzazione

sconosciuta)

• Dove maggiore è l’utilizzo di criptovalute (Asia) sembra esservi anche maggiore controllo (maturità ?)

• Una sintesi plausibile porta a dire che bitcoin era maggiormente utilizzato negli anni in cui

ancora non era così «famoso» ed osservato; la presenza di valute virtuali effettivamente anonime

rende oggi maggiormente appetibili queste ultime

• Un’ultima considerazione, di carattere generale, riguarda l’equilibrio da trovare tra tutela della

«privacy» e contrasto delle attività criminali

8. Frodi


Frodi Informatiche

• La prima Frode registrata nel mondo delle valute virtuali risale al 2011

• 500.000 $ sottratti tramite la compromissione del PC di un «Investitore»;

• Nel 2014 i bersagli di frode diventano i gestori di piattaforme di scambio,

dove la compromissione di utenze amministrative ha permesso lo

spostamento massivo di fondi dai wallet gestiti per conto degli utenti

• Nel 2017 nel corso di una operazione internazionale, è stato arrestato un cittadino russo

sospettato di essere coinvolto in svariate frodi in bitcoin per un valore complessivo di 4

miliardi di dollari;

• Le Frodi attualmente hanno per lo più le caratteristiche di «Frodi informatiche

applicate al mondo delle valute virtuali»: l’origine è simile alle frodi sui

sistemi di pagamento ma la rilevazione, analisi e gli impatti sono connaturati

dalle caratteristiche delle monete virtuali

8. Frodi


Frodi Informatiche

• Oltre alla compromissione dei dispositivi utilizzati da utenti (wallet

e/o client) e dei sistemi utilizzati dalle infrastrutture web

(piattaforme di exchange), è da considerare la possibilità di avere

componenti applicative («Smart Contracts») che prevedano

funzionalità di addebito non trasparenti o vere e proprie finalità

fraudolente

8. Frodi


Frodi finanziarie

• Una diversa tipologia, purtroppo in crescita, è legata ad eventi

connessi alle ICO in casi in cui si è proceduto alla raccolta di

fondi e … a scomparire

• Le «Initial Coin Offering» (ICO) sono uno strumento per la

raccolta di fondi per iniziative di natura progettuale o per

start-up.

• Esse non sono ad oggi regolamentate e di conseguenza non sono

applicabili le «usuali» garanzie per gli investitori

• In vari paesi, a partire dagli USA, le Autorità di controllo hanno

iniziato a sanzionare pesantemente i responsabili di ICO non

trasparenti

8. Frodi


Frodi tecnologiche (51% Attacks)

• I cosiddetti “51% Attacks” sono direttamente collegati alle

modalità con cui una blockchain auto-determina la propria

crescita, cioè l’aggiunta di nuovi blocchi.

• Qualora un singolo “miner”, o un gruppo o “pool” di “miners”,

abbia a disposizione una capacità computazionale superiore a

quella di tutti gli altri messi insieme (cioè che raggiunga almeno il

51% del totale), esso è in grado di poter produrre nuovi blocchi

con velocità superiore a chiunque altro e quindi è nelle condizioni

di poter far accettare a tutti gli altri nodi della rete la propria

versione delle aggiunte da applicare alla blockchain.

8. Frodi


Frodi tecnologiche (double spend attack)

• L’attaccante, dopo avere eseguito una transazione, ha bisogno che essa sia

considerata valida per un certo periodo di tempo, affinché il beneficiario di una

transazione sia indotto a completare lo scambio.

• L’attaccante costruisce quindi nel frattempo una propria versione dei blocchi da

aggiungere nella blockchain (nella quale la transazione interessata non è presente)

e la mantiene riservata (“stealth”) fino a quando non ha ottenuto il bene richiesto.

• Solo a questo punto, sfruttando la propria capacità di calcolo per aggiungere

ulteriori blocchi con maggiore velocità rispetto ad altri “miners”, introduce in rete

la propria versione modificata che, risultando più lunga della versione ritenuta

sinora ufficiale, viene considerata per buona dai nodi della rete.

• In questa nuova versione “ufficiale” la transazione di spesa non risulta e quindi il

possessore della moneta è in grado di poter spenderla di nuovo, violando uno dei

principi alla base del sistema. Si parla quindi di “double spend attack”.

8. Frodi


Frodi tecnologiche (double spend attack)

Fonte: https://www.crypto51.app/ Ottobre 2018

8. Frodi


https://www.crypto51.app/

Frodi tecnologiche

Altre frodi sono state recentemente compiute sfruttando

vulnerabilità del codice applicativo di sistemi che

implementano criptovalute, riuscendo a violare i protocolli

prestabiliti e ad inserire (anche senza godere di particolare

capacità elaborativa) numerosi blocchi per poi rimuoverli

dopo aver effettuato dei «double spending».

In generale, gli attacchi sulle infrastrutture sono resi più

agevoli su blockchain che usino esclusivamente il «proof-of-

work» e che siano di medie – piccole dimensioni

8. Frodi


Frodi tecnologiche

Dal primo attacco ad una piccola blockchain nel 2016, il

primo semestre 2018 ha visto una preoccupate frequenza

di eventi che hanno coinvolto anche blockchain di medie

dimensioni (come ad esempio Bitcoin Gold).

Le blockchain più grandi sembrano oggi essere ancora al

riparo, anche se la tematica è ampiamente dibattuta.

8. Frodi


Comunque,

non dimentichiamo da dove veniamo …

Grazie per l’attenzione !


Una introduzione a bitcoin, monete virtuali ed alla ......2018/10/27 · Property”, cioè della...

Documents

Transcript of Una introduzione a bitcoin, monete virtuali ed alla ......2018/10/27 · Property”, cioè della...