Francesco Condoluci In Messico, si sa, i cartelli della droga pagano in criptovalute (per l’equivalente di milioni di dollari) Fentanyl e altre sostanze stupefacenti. Ma anche in casa nostra, la ‘ndrangheta fa “mining” di criptovalute da un pezzo, tanto che la stessa ABI (Associazione Bancaria Italiana), a più riprese ha denunciato il fatto che le organizzazioni criminali sfruttano sempre più le cripto-attività per occultare e trasferire fondi illeciti in tutto il mondo, “approfittando delle vulnerabilità del sistema e delle difficoltà di tracciamento delle transazioni”.
In effetti, il quadro normativo italiano sulle criptovalute è in evoluzione. Nonostante i tentativi di disciplinarne l’emissione, l’offerta e la prestazione di servizi, ci sono buchi da riempire (le cripto-attività non sono considerate valuta legale ma rientrano tra gli asset digitali) e difficoltà interpretative rispetto alle quali, certo, non ha aiutato la recente sentenza 1760.2025 della Corte di Cassazione, con cui, a gennaio scorso, è stato annullato il sequestro probatorio di Bitcoin disposto nei confronti di un contribuente accusato di evasione fiscale, dal momento che “le criptovalute non possono essere considerate profitto diretto del reato tributario”. Una decisione che conferma come le criptovalute, non essendo valuta legale e soggetti a forti oscillazioni di mercato, di fatto, non possano essere equiparate all’importo dell’imposta evasa in euro.
Come si può fare allora per permettere alle autorità di convertire rapidamente questi beni in valuta tradizionale, facilitandone la confisca e l’utilizzo da parte dello Stato? «Va ripensata completamente la normativa». A pensarla così è Ranieri Razzante, docente di Legislazione Antiriciclaggio all’Università di Bologna e presidente dell’Associazione Italiana Responsabili Antiriciclaggio (AIRA), una delle voci più autorevoli in Italia nel campo della prevenzione del riciclaggio e dell’uso illecito dei capitali.
Prof. Razzante, partiamo dall’inizio: lei si occupa da anni di antiriciclaggio e antiusura. La cronaca ci dice che le evoluzioni della tecnologia e l’ecosistema digitale hanno offerto migliaia di opportunità ai movimenti finanziari illeciti. I dati economici oggi sono i dati più interessanti dal punto di vista delle indagini cosiddette “4.0”? Ma sono davvero facili da intercettare?
«Non è affatto facile intercettare movimenti di denaro in generale. Se essi avvengono sottotraccia, tramite modalità non perfettamente tracciate, a maggior ragione. Ma persino quando avvengono tramite canali ufficiali, bancari e finanziari, è assai arduo ricondurli al vero “mandante”. Il riciclaggio lo fanno gli insospettabili, ricordiamolo, non i criminali che hanno i capitali da riciclare tratti dai loro delitti!»
Per la sua esperienza, come è cambiato il modus operandi dei criminali in quest’ambito, passando, cioè, dalle attività di riciclaggio tradizionali a quelle digitali?
«Le tecniche di riciclaggio digitali partono dall’utilizzo di criptovalute e cryptoasset, nel dark web o tramite piattaforme decentralizzate e in paesi non cooperativi, fino all’utilizzo di conti anonimi o comunque di carte di credito non intestate, ovvero di proprietà di soggetti apparentemente titolari.
I canali tradizionali, pure, come i conti online assolutamente regolari, vengono utilizzati per veicolare movimenti attribuibili a soggetti dal profilo compatibile agli algoritmi delle banche, magari verso entità giuridiche estere, non necessariamente in paesi non cooperativi.
I veicoli sono i più vari, e prego sempre i lettori di non pensare che si tratti per forza di strumenti “non tracciabili”. È una falsa rappresentazione della realtà: anche se si vuole operare online servono infatti conti correnti, wallet, così come per fare trading. Smettiamola di pensare alle valigette di contante.»
Quelli economici sono anche i dati più sensibili visto che oggi non raccontano solo i nostri conti correnti ma raccontano le nostre vite, le nostre abitudini, i nostri consumi. Di recente molti i casi di violazione della privacy sui movimenti bancari…
«I dati finanziari ed economici sono la manna dei falsari, degli hacker, delle società di investigazione. Ma anche degli Stati. Per fortuna, li usano anche le forze di polizia, ma dietro evidenti autorizzazioni e con l’ausilio di strumenti sofisticati di tutela della riservatezza.
Ciò non toglie che non vi possano essere accessi non autorizzati o indesiderati alle banche dati, ma è patologia. Senza i dati finanziari e patrimoniali di ciascuno di noi, ad esempio, il contrasto all’evasione fiscale ed al riciclaggio sarebbe quasi impossibile.
Ricordo che le regole di ingaggio sono ferree, anche per le Authority e per le forze dell’ordine; le violazioni costituiscono reato, da parte di chiunque, e le pene sono severe. È attualmente all’esame del Parlamento un ddl governativo che introduce nuove fattispecie di incidenti da comunicare all’Agenzia per la cybersicurezza, quali quelli riguardanti – per l’appunto – gli accessi interni alle organizzazioni, se non autorizzati.»
Intensificando i controlli non c’è un rischio di degenerazione in chiave “securitaria”?
«Non credo, se gestiti bene. I reati vanno contrastati, la privacy dei criminali non ha lo stesso valore di quella delle persone per bene. Le nostre leggi in tema di privacy, antiriciclaggio e antimafia sono chiare e tutelanti sul punto.»
Come valuta l’evoluzione delle normative antiriciclaggio nell’era digitale e quali sfide emergono nella loro applicazione pratica?
«L’Europa ha regole all’avanguardia, e l’Italia spicca per la loro applicazione. Anche l’operatività preventiva delle nostre Autorità, segnatamente la UIF, è assolutamente in linea con le regole e le best practice internazionali, specie quelle del GAFI.
Forse bisognerebbe unicamente rafforzare gli strumenti a disposizione per l’identificazione della clientela e delle catene societarie, pur forse sacrificando un po’ di riservatezza e segreto bancario. Ma ciò comporterebbe accordi che non vedo facili da raggiungere a livello mondiale.»
Di recente in un convegno ha sollevato il problema del ‘recovery’ per i criptoasset sequestrati, ci può spiegare meglio?
«Sono in aumento, grazie alla straordinaria capacità investigativa delle nostre forze dell’ordine, i sequestri di criptovalute. Sono assai difficili da effettuare, come si può comprendere, data l’estrema volatilità e rintracciabilità di questi strumenti.
Il problema è quindi duplice: rifornire gli investigatori e la magistratura di strumenti per l’individuazione delle transazioni illecite, che si fanno marginalmente nelle piattaforme autorizzate, e invece sono cospicue nel web e su motori di ricerca sconosciuti a chi voglia fare investimenti puliti.
Poi, a valle, nel momento in cui ci fosse il tracciamento e si volesse procedere a sequestro di proventi illeciti in cryptoasset, poter “bloccare” il wallet o lo strumento che li contiene non è semplice come si può fare con un bene immobile o con un’autovettura.
Qui serve subito un “convertitore” del valore in euro, ad esempio, e poi un conto di appoggio, che non può essere situato presso un commissariato o presso un tribunale! Va quindi pensata una normativa per fornire strumenti alle procure per “fissare” subito il prezzo e valore di quegli asset confiscati e metterli a disposizione dello Stato, come si fa per gli altri beni.»
E quali sono le principali implicazioni della cybersecurity per la sicurezza nazionale, come si può cioè bilanciare efficacemente l’utilizzo dei dati con la salvaguardia delle libertà individuali (vedi i casi Paragon, Equalize et similia)?
«L’utilizzo bilanciato dei dati si ottiene quando raggiungiamo un concorso di condizioni, ugualmente importanti e strategiche, per renderli sicuri. Innanzitutto, la consapevolezza del valore degli stessi e del fatto di fornirli a terzi.
Poi, la responsabilità legale di chi li ottiene e di chi li utilizza. In terzo luogo, la trasparenza delle tecniche di acquisizione e di utilizzo.
A seguire, l’applicazione di regole ferree per la cybersicurezza, ossia contro le acquisizioni illecite dei dati: chi li usa deve essere a norma con le regole del cyberspazio, pena sanzioni severe. Inoltre, bisogna raggiungere la certezza che chi accede ai dati sia davvero legittimato.»