Nelle ultime settimane si è discusso molto dell’audizione che ha tenuto Mark Zuckerberg presso il Congresso degli Stati Uniti per rispondere a una serie di domande in merito allo sviluppo della criptovaluta di Facebook, Libra.
I membri del Congresso hanno espresso scetticismo sulla capacità del social network di controllare adeguatamente le minacce di riciclaggio e finanziamento del terrorismo, alla luce delle gravi vulnerabilità mostrate dalla piattaforma negli anni, dello scandalo Cambridge Analytica, della difficoltà di combattere le fake news di natura politica, e in considerazione di una gestione della privacy con parecchie sbavature.
Il presente articolo consta di due analisi: una comparazione con i rischi finanziari più probabili, principalmente connessi all’attività di money transfer e alle frodi informatiche, e una comparazione con i rischi di riciclaggio insiti nelle criptovalute esistenti, fondata sulla conoscenza della blockchain e sulla revisione di alcuni casi simili, avvenuti ancora agli albori del World Wide Web.
Data l’utenza di Facebook, costituita da persone fisiche, e quindi da clientela retail, è lecito concentrare la nostra attenzione su un utilizzo a fini di money transfer, dove, visibilmente, le preoccupazioni più rilevanti riguardano il finanziamento del terrorismo. Il fenomeno è difficile da contrastare anche per gli intermediari bancari e finanziari tradizionali, alla luce:
- delle dimensioni limitate delle transazioni,
- dell’utilizzo di network informali come l’hawala e
- della mancanza di chiari pattern di comportamento anonimi.
Il set informativo di Facebook è però in molti casi superiore a quello degli incumbent: perché dispone di tutti i collegamenti tra i profili (gli “amici”) che intende monitorare e può quindi calcolare, attraverso network analysis, legami indicativi di potenziali rischi. Per esempio un profilo di potenziale terrorista potrebbe seguire pagine che incitano alla Jihad o essere “amico” di terroristi noti alle cronache. In secondo luogo, la tecnologia già oggi consente di effettuare sentiment analysis sui post pubblicati e scorgere reali minacce, dovute per esempio all’utilizzo di linguaggio violento e indicativo di concreti rischi di passare all’azione.
Più preoccupante l’utilizzo di Facebook per frodi informatiche. In effetti, il social network è già molto popolato di scammers, tanto che non è difficile reperire in rete articoli che li descrivono in dettaglio; i più noti riguardano finte relazioni amorose, finte associazioni caritatevoli, richieste di aiuto da account duplicati o hackerati, finti coupon(1).
Un’ulteriore minaccia, naturalmente connessa al primo aspetto di cui è una precondizione, è la facilità con cui è possibile aprire falsi profili, rubando foto di profili veri o creandone a tavolino attraverso software molto avanzati come quello messo a disposizione da Nvidia.
Un rischio peraltro già presente nel più maturo settore bancario(2).
Purtroppo questo problema, a livello di riciclaggio, si presenta come un vero e proprio tallone d’Achille, dato che falsi profili potrebbero svolgere agevolmente il ruolo di money mules, per permettere ramificate transazioni in grado di rendere difficile da identificare i reali beneficiari o l’origine del denaro. Europol ha recentemente condotto un’importante indagine scoprendo 3800 money mules(3).
Su Facebook è attivo un marketplace che, probabilmente, potrà accettare pagamenti anche con Libra; un precedente su Amazon può essere utile per comprendere i rischi insiti nelle vendite al dettaglio. Uno strumento di riciclaggio recentemente scoperto sulla più grande piattaforma di e-commerce mondiale consiste nel creare un account “venditore” con documenti rubati, e mettere poi in vendita ebook di narrativa a 555 dollari contenenti unicamente “storie” generate da un software molto elementare. Il venditore raccoglie così denaro dall’estero tramite bonifici legittimi, e poi probabilmente preleva con carte ricaricabili tutta la provvista(4). Oltre a finti ebook possiamo immaginare benissimo la vendita di prodotti della quotidianità a prezzi astronomici, tappi per le orecchie a 200 dollari, cucchiai di legno a 700, nessuna banca o istituto di pagamento può verificare se il prezzo applicato è corretto – vede solo una transazione che coinvolge un noto e affidabile sito di e-commerce.
Per contrastare gli account falsi, Facebook ha iniziato a sperimentare tecniche di machine learning, ma controllare due miliardi di profili è comunque una sfida decisamente impegnativa, che probabilmente richiederà al social network di permettere ad altri operatori di trattare i propri dati per sviluppare strumenti di analisi innovativi(5).
DOVE SI ESPLICA L’ATTIVITÀ AML?
Dalla lettura del Whitepaper(6) sulla criptovaluta non è dato capire in dettaglio determinati aspetti fondamentali per comprendere la strategia AML di Libra che, verosimilmente, è ancora da sviluppare. Possiamo solo ipotizzare, e prevedere il comportamento di Facebook sulla base di diversi scenari:
- vendita di Libra da parte di associati;
- vendita di Libra su exchange autorizzati.
Nel primo caso, ci troveremmo di fronte a IMEL e IP, già sottoposti a normativa antiriciclaggio.
Nel secondo caso, possiamo fare riferimento alle recenti innovazioni normative introdotte prima in Italia e poi in Europa con la IV e V Direttiva Antiriciclaggio. La IV Direttiva è stata attuata in Italia con il D.Lgs. 90/2017(7), che ha incluso tra gli obbligati gli exchange di criptovalute e ha predisposto la creazione di un registro degli exchange previsto in una sezione dell’Organismo Agenti e Mediatori – ancora non attuato. La V Direttiva (recepita con il D.Lgs. 125/2019)(8), in parte confermando l’iniziativa italiana, ha incluso tra gli obbligati:
- gli exchange, intesi “come prestatori di servizi di cambio tra valute virtuali e valute con corso forzoso” e
- gli e-wallet, “prestatori di servizi di portafoglio digitale che forniscono servizi di salvaguardia di chiavi crittografiche private per conto dei clienti al fine di detenere, memorizzare o trasferire valute virtuali”.
Ogni exchange che vendesse anche Libra sarà quindi tenuto a rispettare gli obblighi di adeguata verifica della clientela.
BITCOIN FORENSIC
Dal citato Whitepaper si sa che la blockchain di Libra sarà pseudonima, come Bitcoin, consentendo a un utente di avere più indirizzi non connessi con la sua identità reale. Non è chiaro in che modo questa opzione possa relazionarsi con l’account Facebook: vi saranno più indirizzi per uno stesso account?
A ogni modo, il fatto che Libra utilizzi un registro consente verosimilmente di impiegare sul medesimo tutte le tecniche finora sviluppate di bitcoin forensic, ossia strumenti di analisi statistica che consentono di aggregare le transazioni (cfr mio articolo I rischi per chi opera col mondo delle criptovalute).
Essendo poi Libra un’iniziativa centralizzata, è lecito aspettarsi che diversi strumenti utilizzati per far perdere le proprie tracce, come i mixer, siano vietati. Purtroppo non si può escludere che il ruolo di mixer venga svolto da alcuni account fasulli, programmati allo scopo, oppure da profili reali adescati sullo stesso social network dietro pagamento di commissioni, come ho già discusso sopra parlando di money mules.
PRECEDENTI: E-GOLD E LIBERTY RESERVE
Libra non è certo una novità nel mondo del Web, vi sono almeno due precedenti che meritano attenzione, E-gold e Liberty Reserve.
E-gold è stata una valuta virtuale basata sull’oro, quindi una stable coin ante litteram, inventata nel 1996 con l’obiettivo di diventare un sistema di pagamento privato, indipendente da ogni governo. Per usare E-gold occorreva un account online, la conversione tra monete fiat ed E-gold era garantita da scambiatori. La valuta virtuale ebbe grande successo grazie:
- ai bassi costi di transazione,
- alla fiducia creata dall’appoggio all’oro,
- alla totale assenza di procedure di identificazione degli utenti.
Nel 2005 ci furono un miliardo e mezzo di dollari di transazioni, l’anonimato spinse i servizi segreti statunitensi a intraprendere delle indagini che portarono a scoprire che il 70% dei 65 utenti più ricchi erano associati ad attività criminali. L’uso criminale portò alla chiusura dell’azienda responsabile di E-gold nel 2007, con l’accusa di violazione delle leggi sulla trasmissione di valuta .
Vale inoltre la pena accennare rapidamente anche a Liberty Reserve (LR), nata nel 2006 per colmare il gap lasciato dalla chiusura di E-gold (due dei fondatori operavano in un convertitore di E-gold). In Liberty Reserve (LR) gli utenti potevano scegliere due valute, una agganciata al dollaro, una all’euro, acquistarle con le proprie fiat, scambiarle poi con altri utenti con un account su LR. Per aprire un conto era tecnicamente sufficiente un indirizzo e-mail valido, dato che LR non verificava la validità dei dati anagrafici inseriti nei form di identificazione. Dal 2009 al 2013 transavano 300 milioni di dollari al mese, tra i 500 più grandi account 32 appartenevano a ladri di carte di credito, 117 a operatori in schemi Ponzi e scammer. Il dark web aveva trovato la propria valuta, fino almeno al 2013, quando il fondatore è stato arrestato e Liberty Reserve è stato finalmente chiuso negli Stati Uniti.
Le opinioni espresse e le conclusioni sono attribuibili esclusivamente all’Autore e non impegnano in alcun modo la responsabilità della Banca d’Italia.
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) R. Siciliano, Beware of These 11 Facebook Scams, The Balance
(2) G. Larson, Synthetic Identity Fraud Is The Fastest Growing Financial Crime — What Can Banks Do To Fight It?, Forbes
(3) 228 Arrests and over 3.800 Money Mules, EUROPOL
(4) Money Laundering Via Author Impersonation on Amazon?, KrebsonSecurity
(5) Scott Dickens, Introducing New Machine Learning Techniques to Help Stop Scams, Facebook Security
(6) LIBRA – Official Whitepaper
(7) D.Lgs. 90/2017 – Attuazione della direttiva (UE) 2015/849: antiriciclaggio
(8) D.Lgs. 125/2019 – Attuazione delle direttive (UE) 2015/849 e 2018/843: antiriciclaggio
