Euro digitale e tutela della privacy: i punti ancora aperti al dibattito - Cyber Security 360

L'ANALISI

Euro digitale e tutela della privacy: i punti ancora aperti al dibattito

Sono molti i punti aperti al dibattito sull’euro digitale in merito alle alternative tra gestione centralizzata, distribuita, online e offline, ma una delle questioni centrali, posta all’attenzione della BCE, è quella di garantire un’adeguata protezione dei dati personali contenuti nelle transazioni. Ecco perché

28 Giu 2021
P
Federico P. F. Pontani

Legal Tech Consultant

A seguito della sperimentazione dello yuan digitale su un campione di 750.000 utenti per mezzo della People’s Bank of China[1], nonché della proposta di sperimentazione dollaro digitale attraverso un progetto di Accenture e Digital Dollar Foundation[2], anche la Banca Centrale Europea ha avanzato la sua proposta per l’euro digitale.

Si tratta di una proposta, in fase di consultazione (ad oggi sono già pervenute più di 8.000 risposte), che non prevede la completa sostituzione dell’euro materiale ma piuttosto la sua integrazione con una versione digitale garantita dall’emittente pubblico.

Molti sono i punti che rimangono ancora aperti al dibattito, fra cui le alternative tra gestione centralizzata, distribuita, online e offline. Dalla consultazione è emerso però come una delle questioni centrali, posta all’attenzione della BCE, sia quella di garantire un’adeguata protezione dei dati personali contenuti nelle transazioni.

E ciò, soprattutto, nell’ipotesi in cui la concreta implementazione tecnica dell’euro digitale consenta l’identificazione degli utenti che, pertanto, non sarebbero coperti da un reale anonimato.

Verso l’euro digitale

Il progetto di un euro digitale (digital euro[3]) si inserisce nel contesto evolutivo dei sistemi monetari degli Stati[4], unioni e federazioni di Stati, dove la dematerializzazione delle operazioni economiche e finanziarie ha visto, negli ultimi anni e ancor più negli ultimi mesi, una rapida accelerazione confermando un trend, sempre più netto, di riduzione nell’uso del contante.

Lo sviluppo del mercato delle criptovalute (digital asset), connotate da elevati livelli di volatilità e prive di adeguate garanzie di vigilanza, insidia la sovranità monetaria di molti Paesi che rischiano di perdere il controllo (anche fiscale) delle operazioni finanziarie nei circuiti nazionali ed internazionali.

Il rischio dato dalla diffusione delle criptovalute è quello dell’erosione di fatto della sovranità pubblica degli Stati in favore di sovranità monetarie private. Tale fenomeno non può essere contrastato efficacemente per il solo tramite di regole e divieti[5], ma necessita di politiche di tutela della trasparenza, dei risparmi, dei dati personali, del contrasto alle speculazioni selvagge, del finanziamento al terrorismo, delle attività di criminalità organizzata.

Il progetto di un euro digitale, la cui realizzazione in ogni caso richiederebbe una riforma del sistema monetario[6],è stato sommariamente delineato nel Report on a digital euro della BCE[7]. Il progetto prevede non solo la circolazione contestuale dell’euro digitale con quello fisico, ma anche un diverso approccio alla questione della privacy a seconda della modalità di gestione online/offline[8].

La questione dei requisiti privacy dell’euro digitale

Il tema della privacy, considerato prioritario dalla maggioranza dei soggetti che hanno partecipato alla consultazione promossa dalla BCE, è trattato solo sommariamente in un paragrafo del report sul progetto dell’euro digitale[9].

Ciò che emerge più chiaramente[10], però, è proprio una generale incertezza sulle modalità di attuazione, confermata dal ricorso frequente al tempo condizionale ogniqualvolta si scenda dal principio (pacifico) alle ipotesi pratiche (terreno di dibattito).

Il dibattito si sviluppa attorno a diverse questioni, fra cui quelle:

  1. della scelta alternativa o complementare tra le modalità online e offline di utilizzo (entrambe consentite e prospettate nel progetto), in ragione delle differenti componenti di rischio intrinseche;
  2. la trasversale e immanente questione del rapporto tra diritto alla riservatezza e prevalente interesse pubblico, con attenzione al caso dell’intervento nelle transazioni di soggetti non appartenenti all’area euro.

Pur in presenza della indiscussa necessità di tutela della privacy, è lasciata agli Stati la valutazione sostanziale, a seconda anche dell’entità (in termini di volume[11]) dei rapporti posti in essere tra soggetti parte dei rapporti finanziari, di una garanzia assoluta di protezione o di una garanzia limitata dai superiori interessi nazionali.

Nel report della BCE, inoltre, si rinvia al caso per caso per il riconoscimento della prevalenza dell’interesse pubblico, con indubbie problematiche nell’ipotesi di operazioni transfrontaliere.

I termini generali della protezione di cui trattasi sono individuabili nei seguenti punti principali:

  1. differenziazione dei gradi di protezione, ma assenza di una qualificazione esatta sia dei diritti individuali, sia della diversa natura delle differenti connotazioni di interesse pubblico;
  2. possibilità di garanzia della privacy sia da parte dell’emittente (BCE), sia da parte dei fornitori dei servizi intermedi, nel caso degli utenti identificati quando accedono per la prima volta ai servizi digitali in euro;
  3. possibilità di escludere l’anonimato delle parti di una transazione ogniqualvolta sia ritenuto necessario, oltre ai casi di contrasto al riciclaggio ed al finanziamento del terrorismo. A titolo esemplificativo, ma non esaustivo, vi può essere esclusione dall’anonimato per alcuni utenti non appartenenti all’area euro anche allo scopo di prevenire eccessivi flussi di capitale, o ancora per impedire un uso eccessivo dell’euro digitale per finalità di investimento. Tuttavia, non vengono indicati parametri di riferimento per qualificare come “eccessiva” la quantità di euro digitale oggetto delle operazioni finanziarie per le quali l’anonimato delle parti interessate potrebbe venire meno;
  4. selezione dei soggetti, a cura degli operatori delle infrastrutture tecniche di trattamento dell’euro digitale[12], per consentire o escludere l’anonimato delle parti o di una delle parti delle operazioni finanziarie;
  5. in relazione ai meccanismi di trasferimento dell’euro digitale, è necessaria l’adozione di adeguate garanzie per la tutela dei dati personali (con speciale riferimento a quelli biometrici) memorizzati sui dispositivi, anche attraverso il ricorso ai più avanzati strumenti tecnici disponibili.

Le condizioni di tutela della privacy in relazione ai sistemi di pagamento, versamento, accumulo di fondi, variano a seconda del tipo di gestione scelto dal soggetto interessato e cioè con tecniche offline (la prima ipotesi trattata nel documento della BCE) o tecniche online.

L’identificazione dei soggetti (utenti del sistema) che detengono o trasferiscono quantità di euro digitali è comunque possibile a seguito di indagini ex post. I pagamenti elettronici, si ricorda, lasciano sempre tracce ogni volta che una connessione internet è necessaria per l’esecuzione[13].

Altre tecniche potrebbero essere utilizzate per fornire ulteriore riservatezza, se ritenuto necessario nelle singole circostanze[14].

La gestione offline

Questo tipo di gestione[15] è prevista allo scopo di mitigare il rischio che un incidente informatico, un disastro naturale, una pandemia o altri eventi estremi[16] possano ostacolare la fornitura di servizi di pagamento. In questa ipotesi, le garanzie per un’adeguata sicurezza sono riposte nei moduli trusted hardware (dispositivi fisici quali terminali di pagamento, smart card, smartphone ecc.).

La funzionalità offline evita la condivisione dei dettagli della transazione con parti diverse dal pagatore e dal beneficiario con una maggiore tutela della privacy. Ciò consentirebbe all’euro digitale di diventare un effettivo complemento al contante.

In caso di intervento online da parte di un intermediario autorizzato e vigilato (la banca o altro soggetto), necessario per prefinanziare wallet su dispositivi hardware dell’utente, l’utilizzo dell’euro digitale non introduce sostanziali differenze da un punto di vista di tutela della privacy rispetto alla situazione di circolazione tradizionale dell’euro (cartaceo e metallico).

La gestione online

La protezione della privacy, sia nel caso di un sistema centralizzato presso la banca emittente (BCE), sia nel caso di ricorso ad intermediari autorizzati e vigilati (Banca d’Italia, emittente a prefissate condizioni, o banche che operano nei rapporti con gli utenti, come nell’attuale sistema di circolazione ed accumulo della moneta legale), si deve realizzare, in ossequio a disposizioni di legge o a vincoli fissati dall’emittente, nel rispetto delle regole generali indicate nel progetto della BCE.

Tuttavia, il dibattito in tema di tutela della privacy è ampio. Vengono assicurate garanzie ed al contempo espresse preoccupazioni. Il tema di fondo è ancora quello dell’anonimato dell’utente che opera direttamente con la Banca Centrale, la quale diventa depositaria dell’euro digitale del singolo soggetto; soggetto che, anche per le finalità di tracciamento autorizzato per legge, non può essere anonimo. Ciò neppure nel caso in cui il deposito della CBDC avvenga presso un intermediario autorizzato e vigilato per legge. È indubbio pertanto che l’anonimato venga maggiormente garantito dall’euro fisico.

Si deve poi osservare che la circolazione contemporanea di euro fisico ed euro digitale non esclude la circolazione delle criptovalute private non adeguatamente monitorate da un’autorità pubblica.

Inoltre, una CBDC non costituisce un duplicato della moneta fisica ma un’alternativa alla stessa e, conseguentemente, per non duplicare la quantità di moneta in circolazione, alla moneta fisica si sostituirà quella digitale con un rafforzamento del contrasto all’evasione tributaria, al finanziamento del terrorismo, al riciclaggio.

In sintesi, non appare che, a parte le regole generali di cui si è detto, si debba attendere la fissazione di regole tecnico-legali specifiche in materia.

Si deve sottolineare che con l’euro digitale si creeranno nuove basi di dati digitali con l’indicazione completa delle entità che intratterranno relazioni finanziarie.

I flussi di dati tra soggetti identificati concernenti le dinamiche finanziarie, incluse quelle dei wallet, potranno essere oggetto di investigazione da parte di soggetti pubblici autorizzati, anche ai fini fiscali, e non solo per il contrasto alle attività illecite di qualsiasi natura.

El Salvador legalizza il bitcoin, ma rischia tanto: ecco perché

Conclusioni

In conclusione, l’avvento dell’euro digitale comporta, da un lato, e cioè per il modello di gestione offline, il rinvio all’utente privato delle misure di tutela della privacy, non divergendo particolarmente dal sistema della gestione dell’euro fisico; dall’altro e cioè per la circolazione online, la possibile contrazione del diritto alla riservatezza, in assenza di garanzie tecnico-giuridiche specifiche.

La valutazione in concreto dovrà essere rimessa non solo alle competenti autorità europee e nazionali preposte, ma anche ad accordi internazionali in materia di circolazione dell’euro digitale nel sistema monetario globale.

 

NOTE

  1. James T. Areddy, China Creates Its Own Digital Currency, a First for Major Economy. A cyber yuan stands to give Beijing power to track spending in real time, plus money that isn’t linked to the dollar-dominated global financial system, The Wall Street Journal, April 5, 2021. Flavio Fabbri, In Cina parte lo yuan digitale, selezionati i primi 750 mila utilizzatori, Key4biz, 12 Aprile 2021.

  2. Cfr. sito web ufficiale del progetto.

  3. Marchio registrato il 22 settembre 2020 presso l’Ufficio per la proprietà intellettuale della Ue (EUIPO).

  4. Per l’Italia, la Banca d’Italia, che emette le banconote in euro, in base ai principi e alle regole fissati nell’eurosistema, ed ha il controllo di tutta la circolazione monetaria presente nel Paese ha avviato la sperimentazione del Target Instant Payment Settlement (TIPS). Sul tema si veda qui. Nel documento, tuttavia, il tema della privacy viene solo menzionato in presentazione. Anche l’ABI ha avviato una sperimentazione allo scopo di dimostrare la fattibilità tecnica di un euro digitale basato su una blockchain Distributed ledger technology (Dlt), ossia su di un sistema di registri distribuiti, oltre ad esplorare nuovi servizi a valore aggiunto, che diventano possibili grazie alla programmabilità della moneta.

  5. Si vedano, tra altri, il caso: 1) della Repubblica Popolare Cinese (la Cina ha vietato alle istituzioni finanziarie di fornire servizi finanziari legati alle transazioni in criptovalute, avvertendo gli investitori sulla volatilità delle valute virtuali, in La Cina vieta alle banche le attività legate alle criptovalute, 19 maggio 2021); 2) dell’Italia (Consob e Banca d’Italia mettono in guardia contro i rischi insiti nelle cripto-attività, comunicato congiunto del 28 aprile 2021); 3) dell’Iran); 4) o da parte di imprese (Tesla – Elon Musk, Perché Elon Musk ha deciso che non si potrà comprare una Tesla con i Bitcoin, 13 maggio 2021).

  6. Sul tema v., oltre al par. 4 del Report, Wouter Bossu, Masaru Itatani, Catalina Margulis, Arthur Rossi, Hans Weenink and Akihiro Yoshinaga, Legal Aspects of Central Bank Digital Currency: Central Bank and Monetary Law Considerations, IMF Working Paper, November 2020.

  7. Ottobre 2020, vedi qui.

  8. Nell’assenza purtuttavia di richiami specifici al Regolamento UE 2016/679 (cfr. qui).

  9. Par. 5.1.2 nel contesto del più ampio tema trattato al par. 5 concernente le Digital euro functional design possibilities.

  10. Ciò appare anche nel documento sopra citato dell’IMF del 20 novembre 2020, anche se in misura nettamente più contenuta.

  11. Ad evitare il trasferimento di fondi privati dai conti correnti bancari all’euro digitale (Requirement 8, pag. 18) con conseguente effetto sull’entità dei depositi bancari.

  12. Secondo la Banca d’Italia, Le infrastrutture tecniche costituiscono il complesso di impianti, installazioni e procedure tecniche e amministrative – utilizzate da uno o più operatori – che consentono una gestione dei flussi informativi funzionali al trasferimento della moneta o all’estinzione di obbligazioni pecuniarie anche mediante compensazione nell’ambito di un sistema di pagamento (qui).

  13. Tuttavia, si deve osservare che non sempre è agevole l’identificazione nel dark web o in presenza di VPN e onion routing. Sul tema si rinvia per una trattazione semplificata a S. Lombardo, VPN: cos’è, come funziona e a cosa serve una Virtual Private Network, qui.

  14. Il progetto della BCE rinvia, a titolo esemplificativo, al Balancing confidentiality and auditability in a distributed ledger environment, BCE e Banca del Giappone, febbraio 2020.

  15. Descritta al par. 5.1.7 (Availability and usability offline) del progetto della BCE.

  16. V. Report on digital Euro, Scenario 5, p. 13, cyber incident, natural disaster, pandemic or other extreme events.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5