Nel contesto dell'aumento dei rapimenti legati alle criptovalute e del doxxing del co-fondatore di Solana, molti nel settore si stanno chiedendo se il KYC (Know Your Customer - Conoscere il tuo cliente) valga davvero i rischi che comporta.
Per gli utenti di criptovalute che danno valore alla privacy, #kyc potrebbe essere una frase spaventosa. Questo è un processo che richiede di fornire informazioni personali come nome e indirizzo ai fornitori di servizi, principalmente exchange di criptovalute. In molte giurisdizioni, comprese gli Stati Uniti, il KYC è obbligatorio per legge. Anche se svolge un ruolo importante nel prevenire attività illecite, il KYC comporta rischi sia per l'azienda che raccoglie i dati sia per gli utenti che forniscono informazioni.
All'inizio di questa settimana, il co-fondatore di Solana, Raj Gokal, insieme a sua moglie, è stato doxxato da soggetti malintenzionati, che gli hanno chiesto un riscatto di 40 $BTC (per un valore di 4,3 milioni di dollari). Gokal ha dichiarato che la foto dei suoi documenti è stata trapelata dal processo KYC, ma non ha rivelato i dettagli. Il doxxing è l'atto di rendere pubbliche informazioni personali online, che possono includere indirizzo di casa o informazioni bancarie. Nel caso di Gokal, si trattava di foto di documenti d'identità, comprese le informazioni sull'indirizzo di casa.
L'incidente è avvenuto solo due settimane dopo che Coinbase, il più grande exchange di criptovalute negli Stati Uniti, ha ammesso di essere stato violato, portando a una fuga di informazioni sensibili dei clienti nelle mani degli hacker. Michael Arrington, fondatore di Arrington Capital, ha avvertito che ciò potrebbe “portare alla morte di molte persone” mentre aumenta il numero di rapimenti nel settore.
Molti credono che il doxxing di Gokal sia collegato all'incidente di Coinbase, anche se non è stato confermato. Tuttavia, l'accaduto ha sollevato preoccupazioni tra gli utenti di criptovalute riguardo alla necessità di fornire informazioni personali agli exchange. Il KYC richiede spesso foto di passaporto, prova di indirizzo e selfie con documenti – dati sensibili che possono essere rubati dagli hacker, portando i criminali direttamente alla porta degli utenti, specialmente quando i casi di rapimenti legati alle criptovalute stanno aumentando in Francia, negli Stati Uniti e in molte altre località.
Nick Vaiman, CEO di Bubblemaps, ha condiviso con #Decrypt : “Quando una piattaforma raccoglie troppi dati KYC, diventa un obiettivo. Gli hacker possono utilizzare i dati per attacchi di phishing o, peggio ancora, recarsi fisicamente sul posto per derubare. I dati KYC creano rischi: più dati conservi, più facile è per l'attacco.”
Tuttavia, Arnaud Droz, COO di Bubblemaps, sostiene che eliminare completamente il KYC non sia realistico. Il KYC può essere “il male necessario” per prevenire il crimine sulla blockchain. Slava Demchuk, CEO di AMLBot, è d'accordo: “Il KYC è uno strumento importante per conformarsi alle normative e prevenire il crimine. Anche se i criminali sofisticati possono aggirare la legge, il KYC crea una barriera, e quando combinato con altre misure come il monitoraggio delle transazioni, diventa uno scudo potente.”
Il KYC è un requisito legale in molti paesi, comprese gli Stati Uniti, secondo il Patriot Act del 2001. Tuttavia, dopo l'hack di Coinbase, molti leader del settore si sono espressi contro. Erik Voorhees, fondatore di ShapeShift, ha definito il KYC imposto dallo stato un “crimine” sui social media, e il CEO di Coinbase Brian Armstrong ha concordato.
Vaiman commenta: “Il problema fondamentale è che i truffatori possono facilmente ingannare il sistema. Possono acquistare KYC falsi o utilizzare l'identità di qualcun altro. Con lo sviluppo dell'IA, la creazione di identità false è diventata sempre più facile, rendendo il sistema KYC debole. Il KYC non impedisce ai malintenzionati, ma rende solo difficile per gli utenti onesti.”
Allora, se il sistema KYC è necessario ma ha delle vulnerabilità, quale è la soluzione? Jeff Feng, co-fondatore di Sei Labs, suggerisce: “Stiamo vedendo soluzioni innovative come la privacy a zero conoscenze e il KYC senza conoscenza (ZK-KYC).” Le ZK-proofs consentono agli utenti di dimostrare informazioni (come non vivere in un paese soggetto a sanzioni) senza rivelare direttamente i dati. Tuttavia, Demchuk di AMLBot sostiene che il ZK-KYC è difficile da implementare a causa di regolamenti come il GDPR nell'UE che richiedono agli exchange di conservare i dati KYC per 5 anni – cosa che il ZK-KYC non può garantire.
Qualunque sia l'evoluzione del KYC, alcuni utenti ritengono che questa questione rifletta una crisi più ampia. Charlotte Fang, fondatrice anonima della Remilia Corporation, ha dichiarato a Decrypt: “La capacità di effettuare transazioni anonime è fondamentale per le criptovalute – una tecnologia rivoluzionaria contro l'invasione da parte dello stato. L'industria si è allontanata dallo spirito cypherpunk, non solo a causa del KYC ma anche a causa della cultura che corre dietro all'accettazione.”
I sostenitori della privacy chiedono transazioni completamente anonime sulla blockchain, mentre le autorità regolatorie si oppongono. Tuttavia, la decisione del Dipartimento del Tesoro degli Stati Uniti di revocare il divieto su Tornado Cash – uno strumento di protezione della privacy su Ethereum – all'inizio di quest'anno suggerisce che ci potrebbe essere un cambiamento a Washington. Il KYC può trovare un punto d'equilibrio tra privacy e regolamentazione? Questa domanda rimane al centro di un acceso dibattito nel settore delle criptovalute.
