Un'argomentazione contro il KYC che tutti possono comprendere
I motivi per cui il KYC non dovrebbe mai essere la norma sono evidenti se esaminati dal punto di vista della sicurezza e della privacy.
Traduzione dall'originale di Heady Wook - pubblicato il 2 ago 2022
Questo articolo è concesso in licenza CC BY 4.0. Per visualizzare una copia di questa licenza, visitare https://creativecommons.org/licenses/by/4.0/.
Introduzione
Nel white paper di Bitcoin, Satoshi Nakamoto ha citato la necessità di un sistema di pagamento in contanti su Internet senza la necessità di una terza parte fidata. Pochi mesi dopo, Nakamoto presentò al mondo la rete Bitcoin. Nel blocco zero (il "blocco genesi") della blockchain di Bitcoin è stato inserito il seguente messaggio: "The Times 03/Gennaio/2009 Il cancelliere sull'orlo del secondo salvataggio delle banche". Da un lato, la citazione fa riferimento a un articolo del Regno Unito che descrive la considerazione del Cancelliere Alistair Darling di un secondo salvataggio per le banche, che significa pompare altri miliardi di sterline britanniche nell'economia. Dall'altro lato, la citazione fa riferimento alla frustrazione e alla sfiducia di Nakamoto nei confronti del sistema finanziario tradizionale e, più in generale, di terze parti fidate. Ciò è reso evidente nell'abstract del white paper e nelle righe iniziali del primo paragrafo. In un'altra sezione del white paper, Nakamoto confronta il modello di privacy della finanza tradizionale con quello di Bitcoin. Nel modello di Bitcoin, le terze parti fidate non hanno più la responsabilità di salvaguardare la privacy di un individuo limitando l'accesso alle informazioni. In effetti, non è richiesta alcuna informazione personale. Con Bitcoin, gli individui possono mantenere la privacy semplicemente "mantenendo anonime le chiavi pubbliche". In un primo post sul forum Bitcoin, Nakamoto ha scritto:
Dobbiamo fidarci della loro privacy, fidarci che non lascino che i ladri di identità prosciughino i nostri conti [...] riponendo fiducia nell'amministratore di sistema per mantenere le loro informazioni private". La privacy potrebbe sempre essere annullata dall'amministratore in base al suo giudizio, soppesando il principio della privacy con altre preoccupazioni, o per ordine dei suoi superiori. [...] È ora di fare la stessa cosa per il denaro. [...] senza la necessità di fidarsi di un terzo intermediario, il denaro può essere sicuro e le transazioni senza sforzo. [...] Il risultato è un sistema distribuito senza un singolo punto di fallimento. Gli utenti possiedono le chiavi [private] del loro denaro e effettuano transazioni direttamente tra di loro.
Nakamoto era preoccupato di affidare a terzi sia la privacy che il denaro. Nello specifico, Nakamoto citava alcuni punti di fallimento del modello di privacy della finanza tradizionale: i cattivi attori o i ladri di identità, la mancanza di integrità degli amministratori e le richieste autoritarie da parte di "superiori", come un governo. Una manifestazione di questi fallimenti è rappresentata dalla lunga storia dei governi che indebitano la moneta (vedi: The Bitcoin Standard) e comprende l'evento citato nel blocco genesi. Alludendo a Bitcoin, Nakamoto ha suggerito che questi problemi si risolvono con "un sistema distribuito senza un singolo punto di fallimento".
Il Bitcoin è arrivato da tempo. La conversazione sulla moneta "privata", "sovrana" o "elettronica" è stata portata avanti da altri almeno un decennio prima della nascita di Bitcoin. Per esempio, "A Cypherpunk's Manifesto" parla di sistemi di transazione anonimi su Internet, "The Sovereign Individual" prevede una valuta privata e senza permessi su Internet e "Cryptonomicon" descrive un oro digitale anonimo. Nakamoto ha progettato Bitcoin con queste proprietà: Bitcoin è pseudonimo, può essere usato privatamente ed è privo di permessi. Tuttavia, le norme "know your customer " (KYC) si sono rivelate pervasive, persistenti e problematiche per gli utenti che desiderano beneficiare di tali proprietà.
Parallelamente all'andamento dei prezzi del bitcoin tra il 2020 e il 2021, le società di bitcoin hanno registrato una forte crescita. Coinbase, ad esempio, ha dichiarato di aver raggiunto oltre 35 milioni di utenti in più di 100 Paesi alla fine del 2020. Inoltre, nel 2022 Coinbase ha pubblicato uno spot pubblicitario di 60 secondi per il Super Bowl con un codice QR fluttuante che ha raggiunto oltre 20 milioni di visualizzazioni in un solo minuto. Surojit Chatterjee, chief product officer di Coinbase, si è spinto a definirlo "storico e senza precedenti". Tuttavia, Coinbase è solo una delle tante aziende di successo. Secondo CoinGecko, Coinbase è al sesto posto nella classifica delle borse più affidabili, con Binance (#1), OKX, FTX, KuCoin e Huobi Global (#5) rispettivamente in testa. Insieme, queste borse hanno effettuato il KYC di milioni e milioni di utenti. Questi sforzi massicci di KYC sono in diretto contrasto con il sistema di denaro pseudonimo, senza permessi, P2P e senza terze parti sviluppato da Nakamoto. Inoltre, il KYC crea honeypots di informazioni sugli utenti e dà origine a un sistema sociale autorizzato.
Il KYC crea honeypots di informazioni sull'utente
Ogni volta che un individuo si iscrive a una borsa o a un servizio correlato, è probabile che gli venga chiesto di effettuare il KYC, ossia di fornire informazioni di identificazione personale (PII). Le PII consistono tipicamente in un selfie, una patente di guida, un numero di previdenza sociale, un indirizzo, un'e-mail e un numero di telefono. Le PII sono solitamente conservate da un servizio esterno, come Prime Trust. Quando Nakamoto ha detto: "Dobbiamo fidarci di loro per la nostra privacy [e] fidarci di loro per non lasciare che i ladri di identità prosciughino i nostri conti", il riferimento a "loro" può essere pensato come le borse e i loro fornitori di servizi partner. Tutte queste terze parti comportano rischi intrinseci, come i cattivi attori (ad esempio, il lavoro degli insider; BitThumb, 2019), la mancanza di integrità degli amministratori (ad esempio, la exit scam di BitConnect) e la suscettibilità alle richieste del governo (ad esempio, l'obbligo di conformità dell'IRS). Quando Nakamoto parla di "ladri di identità", si riferisce alle violazioni di dati in cui gli hacker ottengono l'accesso alle PII e ne traggono profitto, rubando direttamente i fondi, vendendo le PII a parti interessate o facendo estorsioni. Date tutte le informazioni personali fornite, il KYC crea un serbatoio di informazioni sugli utenti che sono pronte per essere sfruttate.
Le violazioni dei dati sono diventate sempre più frequenti nel corso degli anni:
T-Mobile Data Breach Exposed The Personal Info Of More Than 47 Million People
A Hacker Gained Access To 100 million Capital One Credit Card Applications And Accounts
Equifax Data Breach May Affect Nearly Half The U.S. Population
Target Settles 2013 Hacked Customer Data Breach For $18.5 Million
235 Million Instagram, TikTok And YouTube User Profiles Exposed In Massive Data Leak
Secondo Statista, le violazioni dei dati sono aumentate di oltre il 500% dal 2005 al 2020. Inoltre, secondo il Cost of Data Breach Report, l'80% di tutte le violazioni di dati nel 2019 ha riguardato le PII dei clienti (nome, informazioni sulla carta di credito, dati sanitari e informazioni di pagamento). Le violazioni di dati possono anche includere tipi di PII più sensibili, come il numero di previdenza sociale, il numero di patente di guida o i dati biometrici.
Tutte le terze parti fidate e richieste sono suscettibili di violazione dei dati, comprese le società di bitcoin. Si consideri, ad esempio, l'hack di Ledger del luglio 2020. In una dichiarazione ufficiale del CEO di Ledger, "sono stati rubati 1 milione di indirizzi e-mail e 9.532 informazioni personali più dettagliate (indirizzi postali, nome, cognome e numero di telefono)". Nello stesso anno, il database dei clienti di Ledger è stato scaricato su Raidforum, un forum di condivisione di database e di mercato. In seguito, diversi utenti di Ledger hanno segnalato tentativi di phishing, estorsioni ed e-mail minatorie, tra cui minacce di rapimento e violenza, come l'omicidio.
L'utente di Reddit Cuongnq ha ricevuto un'e-mail di phishing che lo invitava a "scaricare l'ultima versione di Ledger Live" e a seguire le istruzioni per impostare un "nuovo PIN" per il suo portafoglio. Un altro utente di Reddit, Silkblueberry, ha ricevuto un'e-mail in cui si diceva che gli hacker avevano dei video di lui che si "masturbava con un porno" e che avrebbero pubblicato i video pubblicamente a meno che non avesse inviato loro bitcoin come pagamento. Silkblueberry ha capito lo stratagemma. Tuttavia, gli hacker sono ricorsi a misure più estreme, minacciando di associare la sua e-mail a "siti pedopornografici" e di incastrarlo come "predatore di bambini" se non avesse inviato loro 500 dollari in bitcoin. Un altro utente ha ricevuto una telefonata da uno sconosciuto che chiedeva il pagamento. L'uomo ha minacciato di "presentarsi a casa sua, rapirlo e 'pugnalare a morte' tutti i parenti che vivono al suo indirizzo" se non avesse inviato il pagamento entro la mezzanotte.
L'hack di Ledger è un esempio che illustra quanto possa essere dannoso un honeypot KYC sfruttato. Tuttavia, alcuni potrebbero suggerire che i servizi KYC sono necessari perché offrono un facile accesso ai nuovi arrivati e che l'esposizione vale il rischio. A questo proposito, si possono citare le numerose alternative non KYC note per preservare la privacy e la sicurezza individuale. Inoltre, queste alternative non KYC sono diventate più facili nel tempo grazie all'aiuto di diverse guide e risorse. Queste alternative non KYC includono: (1) l'utilizzo di exchange decentralizzati peer-to-peer come Bisq Network o Hodl-Hodl per acquistare bitcoin; (2) l'acquisto privato da un bancomat bitcoin; (3) l'acquisto o la vendita faccia a faccia o la vendita di beni e servizi a un meetup bitcoin; e (4) il mining di bitcoin a casa.
Altri potrebbero citare l'uso di bitcoin in attività criminali e suggerire che il KYC fornisce agli individui la tranquillità di non sostenere inavvertitamente attività illecite. Tuttavia, l'uso del bitcoin nelle attività criminali è ridotto rispetto a quello del dollaro statunitense. Nel 2017, durante un'audizione della commissione giudiziaria, il vice assistente segretario dell'Ufficio per il finanziamento del terrorismo e i crimini finanziari, Jennifer Fowler, ha testimoniato che "sebbene le valute virtuali siano utilizzate per transazioni illecite, il volume è ridotto rispetto al volume delle attività illecite attraverso i servizi finanziari tradizionali". Date le differenze di volume, è improbabile che si possa inavvertitamente sostenere un'attività criminale acquistando bitcoin non KYC. Questo diventa ancora più improbabile quando si acquista o si vende peer-to-peer a un meetup locale di bitcoin o si acquista da un bancomat di bitcoin.
Il Bitcoin è stato progettato in parte come pseudonimo, eppure si sta verificando un livello allarmante di KYC che mina completamente questa proprietà. Milioni di utenti in tutto il mondo stanno legando la loro identità ai loro bitcoin e ognuno di loro sta contribuendo alla creazione di honeypots di informazioni sugli utenti. Ciò rimane vero anche di fronte alle prove schiaccianti che le violazioni dei dati sono diventate un evento quasi quotidiano. Piuttosto che sacrificare lo pseudonimo, assumersi ulteriori rischi o contribuire al problema, gli utenti dovrebbero invece essere parte della soluzione e riprendersi il proprio pseudonimo, ridurre i rischi e proteggere le PII utilizzando alternative non KYC.
Il KYC dà vita a un sistema sociale autorizzato
La rete Bitcoin è un sistema di contanti senza permessi, al di fuori del controllo di terzi. Tuttavia, la maggior parte degli individui non utilizza il bitcoin in questo modo. Al contrario, gli individui si affidano a servizi di KYC di terze parti, come gli exchange di bitcoin, le piattaforme di rendimento e il mining ospitato, tra gli altri. Il KYC non solo mina il vostro pseudonimato, ma mina anche la vostra privacy transazionale. Questo vale anche dopo aver preso in custodia il bitcoin. A differenza del contante fisico, per il quale una banca non può tracciare l'uso che ne fate dopo il ritiro, una terza parte, come un exchange, è in grado di tracciare l'uso che fate del vostro bitcoin dopo che è stato ritirato. Questo fino a quando non si adottano le opportune misure di privacy, come la partecipazione a una coinjoin2.
Anche se l'identità può essere offuscata dalle transazioni in bitcoin di un individuo, la terza parte che effettua il KYC conserva comunque tutte le informazioni di identificazione personale (PII) dell'utente, tra cui nome, indirizzo, selfie e importo totale dell'acquisto. Armato di PII e della capacità di spiare il comportamento nelle transazioni, il KYC dà origine a un sistema sociale autorizzato. Esistono molti esempi di come il KYC dia origine a un sistema sociale autorizzato (ad esempio, limiti e restrizioni, misure di verifica intrusive, whitelist degli indirizzi e interventi statali). Questa sezione si concentra su CoinJoin come esempio di comportamento vietato all'interno di un sistema sociale autorizzato. CoinJoin è stato scelto per il ruolo importante che svolge nella privacy quotidiana.
Poiché Bitcoin è un libro mastro pubblico, è buona norma "fare di ogni spesa un CoinJoin". Questo è vero per due motivi. In primo luogo, il CoinJoining limita le deduzioni che una terza parte potrebbe trarre dalla cronologia delle transazioni. In secondo luogo, CoinJoining protegge gli altri dallo sbirciare nelle finanze personali. Il primo motivo è importante perché, come discusso in precedenza, un terzo che effettua il KYC può tracciare ciò che si fa con i propri bitcoin e CoinJoining può aiutare gli utenti a ottenere una privacy lungimirante. Il secondo motivo è importante perché, a differenza dei contanti o delle carte di debito/credito dove un commerciante (il beneficiario) non può sbirciare nelle finanze del pagatore (ad esempio, il totale del conto bancario), con il bitcoin il beneficiario può sbirciare nelle finanze del pagatore - almeno, l'UTXO speso. È un po' come consegnare l'estratto conto della propria banca a ogni transazione.
Se ci si sofferma un attimo a riflettere su alcune delle situazioni che potrebbero verificarsi, ci si rende subito conto delle implicazioni per la privacy. Un esempio caricaturale è proposto da Samourai Wallet: "Immaginate se il pastore della vostra chiesa potesse vedere il vostro abbonamento a OnlyFans quando mettete una banconota da un dollaro nel piatto delle offerte". La banconota da un dollaro rappresenta una tipica transazione bitcoin. Un CoinJoin avrebbe fornito all'utente di questo esempio la privacy necessaria per evitare questa situazione imbarazzante, oscurando la cronologia delle transazioni del pagamento. In un altro esempio più estremo, immaginiamo di pagare a qualcuno una piccola somma ma utilizzando un UTXO di grandi dimensioni (come se si tirasse fuori un'enorme moneta d'oro solo per tagliarne una piccola parte). La persona che riceve il pagamento sarebbe in grado di vedere che il pagatore possiede una quantità significativa di bitcoin. Questo potrebbe mettere l'ordinante a un rischio maggiore di un attacco con una chiave inglese da cinque dollari. Un CoinJoin avrebbe suddiviso un UTXO di grandi dimensioni in UTXO più piccoli, riducendo la capacità del beneficiario di determinare le disponibilità dell'ordinante; vedrebbe solo che si sta spendendo dagli spiccioli. Alla luce di questi esempi, risulta chiaro che il Bitcoin manca di qualità essenziali che si trovano nel contante fisico e che CoinJoin può compensare. Nonostante i vantaggi che CoinJoin offre agli utenti, i servizi KYC di terze parti operano sulla falsa premessa che CoinJoin sia dannoso o rischioso e ne vietano l'uso. Con il divieto di CoinJoin come pratica comune tra alcuni degli exchange più popolari, un sistema sociale autorizzato ha effettivamente designato i CoinJoin come "cattivi".
Prendiamo ad esempio BlockFi. La società ha una pagina sugli "usi proibiti" che dichiara l'intenzione di mantenere "una politica di stretta conformità normativa" e quindi vieta i depositi e i prelievi verso o da: servizi di mixaggio, peer-to-peer e altri scambi che non prevedono il KYC, siti di gioco d'azzardo e mercati dark net. Inoltre, BlockFi "si riserva il diritto di restituire i fondi e di bloccare/chiudere i conti se necessario". BlockFi è solo una delle tante borse note per vietare o segnalare i CoinJoin. Ad esempio, in uno degli esempi più estremi, l'utente di Reddit Bujuu ha riferito che il suo conto di scambio è stato chiuso a causa della "quantità e frequenza" delle sue transazioni CoinJoin. L'exchange, Bitvavo, ha affermato che Bujuu rappresentava un "rischio inaccettabile" e ha chiuso il suo account come misura di mitigazione. In seguito Bujuu ha dichiarato: "Mi dà fastidio che non mi sia permesso di fare ciò che voglio con i miei BTC, che sia tutto monitorato". Il divieto di CoinJoin è forse uno degli esempi più chiari di come il KYC dia origine a un sistema sociale autorizzato.
Molti altri utenti hanno riportato esperienze più lievi. Un utente ha dichiarato: "@bottlepay [ha] rifiutato la mia transazione di btc in entrata perché le monete erano nel portafoglio samourai e/o mischiate con @SamouraiWallet #Whirlpool / Se avete inviato monete miste verrete colpiti". L'utente ha segnalato il problema al momento del deposito dei fondi, il che dimostra un'analisi retrospettiva della storia della sua moneta. Un livello simile di intrusione è stato segnalato da altri. Ad esempio, un altro utente ha ricevuto un'e-mail da Paxos che diceva: "Abbiamo notato che un prelievo di BTC dal suo conto è stato potenzialmente inviato a un noto servizio di miscelazione di bitcoin. Questo tipo di transazione non è consentito sulla piattaforma. La preghiamo di confermare se i fondi sono stati inviati a un servizio di mixaggio". Questa volta il problema è sorto al momento del prelievo dei fondi, il che dimostra un'analisi lungimirante della storia della moneta. Inoltre, Riccardo Masutti ha affermato che "@bitwala gli ha inviato un'e-mail 3 giorni fa su un paio di transazioni post-CoinJoin avvenute quasi 6 MESI FA" e Kristapsk ha affermato di aver ricevuto "un'e-mail da @BitMEX su [una] vecchia transazione di deposito di #Bitcoin (l'estate scorsa) che 'potrebbe essere connessa con un'attività contraria al punto 1.1(a) dei Termini di Servizio HDR', si trattava di @joinmarket coinjoin". Questi ultimi due esempi dimostrano la profondità dell'analisi della catena condotta dalle terze parti che effettuano il KYC.
Nel complesso, si può notare quanto possa essere pervasivo un sistema sociale autorizzato. Gli utenti vogliono raccogliere i benefici di un CoinJoin, ma il CoinJoining è considerato un comportamento proibito da molti dei principali exchange KYC di terze parti (o servizi correlati). Questa avversione generale per il CoinJoin, insieme alla palese analisi della catena, pone gli individui che effettuano il KYC in una posizione vulnerabile. Agli individui che effettuano il KYC è vietato esercitare i diritti di privacy di base o rischiano di subire misure punitive se lo fanno. In entrambi i casi, gli individui con KYC vengono spiati. Qualsiasi persona ragionevole concorderebbe sul fatto che questa non è una buona posizione in cui trovarsi, specialmente quando si partecipa a un sistema di contanti indipendente e alternativo senza terze parti. Nonostante i chiari vantaggi offerti da CoinJoin, l'opinione corrente è che i CoinJoin siano troppo "rischiosi". Durante un panel sui CoinJoin alla conferenza Bitcoin 2022, Craig Raw, fondatore di Sparrow Wallet, ha dichiarato:
Se usiamo gli strumenti [cioè CoinJoin] che abbiamo oggi, cambia la mentalità delle persone e cambia il modo in cui la società la vede. Se CoinJoin diventa una cosa ampiamente utilizzata oggi, allora cambierà il modo in cui la società la vede e penso che sia importante non aspettare troppo a lungo e usare effettivamente gli strumenti perché... cambia il modo in cui si formeranno le regole e i regolamenti del mondo.
Secondo Raw, la normalizzazione di CoinJoin è una funzione del suo utilizzo. Pertanto, gli individui devono assumersi la responsabilità di esercitare i propri diritti alla privacy. Questo non può essere realizzato all'interno di un sistema di autorizzazioni, né sarà concesso. Piuttosto, la normalizzazione di CoinJoin deve essere realizzata al di fuori di un sistema autorizzato, ad esempio all'interno della rete Bitcoin, così come è stata progettata per essere utilizzata - senza autorizzazione.
Conclusione
Il KYC crea honeypot di informazioni sugli utenti e dà origine a un sistema sociale autorizzato. Quando si effettua il KYC, si devono fornire molte informazioni personali sensibili che contribuiscono all'honeypot. Questa azione da sola è sufficiente a negare lo pseudonimato, dato che un'identità è stata associata al possesso di bitcoin. Inoltre, gli individui devono fidarsi del fatto che le terze parti terranno al sicuro le informazioni sensibili. Inoltre, quando si effettua il KYC, si entra volontariamente in una relazione autorizzata con una terza parte. In altre parole, si devono rispettare le regole stabilite dalla terza parte o si rischia di incorrere in misure punitive, come il sequestro dei beni, la chiusura del conto o il congelamento dei beni. Dato il ruolo importante che svolge nella privacy quotidiana, CoinJoin è un esempio di comportamento vietato all'interno di un sistema sociale autorizzato. Dall'esame delle prove emerge chiaramente che il KYC crea effettivamente delle honeypots di informazioni sugli utenti e dà origine a un sistema sociale autorizzato.
Riferimenti
Per "KYC" si intende la conferma dell'identità del titolare di un conto tramite la raccolta di documenti (ad esempio patente di guida, numero di previdenza sociale, libretto di lavoro, selfie, ecc; Federal Reserve, 1997) da parte di servizi finanziari terzi (ad esempio gli exchange di bitcoin) per conto dell'Internal Revenue Service (Internal Revenue Service, 2000).
CoinJoin "è un metodo privo di fiducia per combinare più pagamenti in bitcoin da più spenditori in un'unica transazione per rendere più difficile per le parti esterne determinare quale spenditore ha pagato quale o quali destinatari" (Bitcoin Wiki, 2015). In altre parole, CoinJoin è uno strumento per la privacy che offusca la cronologia delle transazioni, mettendo in crisi la comune euristica dell'input. In questo modo si fornisce agli utenti una privacy transazionale lungimirante a livello di applicazione, senza modifiche al protocollo principale di Bitcoin.
Come acquistare Bitcoin?
Personalmente, reputo il miglior servizio quello offerto da Relai.
Per acquistare bitcoin risparmiando lo 0,5% in commissioni puoi usare il codice “REL3166”.
Si tratta di un’applicazione sviluppata da un’azienda svizzera che applica una politica di KYC light: a differenza dei grandi exchange non richiede registrazioni o dati personali, tutto ciò che serve per acquistare è il tuo IBAN.
E’ lo strumento ottimale per impostare dei piani di accumulo (DCA).
Per ridurre al massimo le commissioni di acquisto, ti consiglio di:
effettuare acquisti maggiori di 100€ (-0,5%)
impostare un piano di accumulo settimanale o mensile (-0,5%)
applicare il codice invito REL3166 (-0,5%)
Una delle migliori caratteristiche è il servizio non-custodial. Gli euro bonificati a Relai vengono convertiti automaticamente in bitcoin e trasferiti su un wallet di cui sei solo tu ad avere il controllo. I grossi exchange, al contrario, non forniscono le chiavi private ai clienti. In più Relai non vende centinaia di inutili criptovalute, ma solo bitcoin.
Cosa ci guadagno? Quello che fanno guadagnare i referral code. In questo caso se acquisti usando il codice “REL3166” risparmi lo 0,5% sulle commissioni e io ricevo (in bitcoin) lo 0,5% dell’importo che hai deciso di investire.
Per ulteriori informazioni, o per effettuare il primo acquisto, premi sul pulsante sottostante e ti verrà mostrata una dettagliata guida in italiano.
NOTA - Questo NON è un messaggio pubblicitario. Relai è un servizio che utilizzo personalmente e che reputo tra i migliori sul mercato in termini di affidabilità, sicurezza e facilità d’uso. Lo consiglio spesso ad amici e parenti.