Il Parlamento europeo a Strasburgo ha iniziato la prima lettura sulla sua posizione riguardo al pacchetto di leggi per il digitaleuro. Come dichiarato da Fernando Navarrete Rojas (EPP), già esperto in materia della Banca centrale spagnola, già a partire dalla prossima settimana potrebbe iniziare il cosiddetto Trilog, che coinvolgerà Parlamento, Consiglio e Commissione. Nel frattempo, scienziati di un progetto finanziato dal ministero tedesco della ricerca sottolineano preoccupazioni inerenti ai rischi tecnico-sicurezza dell'idea avanzata.
Con un voto di 416 a 169 il Parlamento ha approvato la posizione stilata da Rojas, su cui si erano molto dibattuti. Il primo bozzetto presentato da Rojas aveva sostenuto l’introduzione del digitaleuro tramite un token offline. Ma nel mese di giugno il Comitato economico del Parlamento ha accolto invece la coesistenza di una variante offline token-based e una versione online collegata a conti bancari.
Rojas ha ribadito in conferenza stampa che il progetto intende sostenere l’uso di contanti, sottolineandolo esplicitamente nella norma. Ha voluto inoltre precisare che la variante online del digitaleuro non comporterebbe una maggiore tracciabilità delle spese. “Nessuno saprà per cosa spendiamo i nostri soldi”, ha precisato Rojas in assemblea.
Anche gli esperti della TU Dresden si esprimono però in modo scettico rispetto ai piani dell’UE. Pur riconoscendo alle banche centrali il vantaggio del piano “Privacy by Design and Default”, sottolineano che la separazione tra dati di identificazione e transazioni – queste ultime gestite attraverso la Banca centrale europea – non garantisce una protezione sufficiente e autonoma per i dati privati, come ribadito in una loro dichiarazione rilasciata poco prima del voto.
Il rischio di pseudonimizzazione
Secondo Mikolai Gütschow, esperto in sistemi di rete distribuita alla TU Dresden, le liste numeriche assegnate per il digitaleuro sarebbero troppo facilmente riscontrabili leggendo la cronologia delle transazioni, oppure incrociandole con altre informazioni. “Una volta che un pseudonimo venga smascherato, anche il comportamento di pagamento del consumatore si può ricostruire”, ha chiarito Gütschow in una dichiarazione rilasciata a heise online. Per i ricercatori, la centralizzazione delle informazioni finanziarie potrebbe espone il sistema a vulnerabilità significative.
In considerazione del rischio di smascheramento degli pseudonimi, i guardiani europei della privacy avevano già espresso la preoccupazione di de-pseudonimizzazione; pertanto avevano suggerito in primavera il ricorso a numeri assegnati almeno dinamicamente.
Token: privacy o vulnerabilità?
I guardiani della privacy espongono inoltre i sistemi basati su tokens come una via percorribile in entrambe le forme di digitaleuro, in quanto potrebbero offrire una privacy simile a quella del denaro contante. Tuttavia, i ricercatori avvertono di possibili pericoli legati all’utilizzo dei token. Gütschow ha affermato in una conversazione con heise online: „Si tratta di un'idea attraente, ma la minaccia del doppio spending non è risolvibile." Una volta che un token venga compromesso, potrebbe essere replicabile infinite volte.
- Nella sperimentazione, i ricercatori hanno notato una lista estesa di moduli di sicurezza compromessi;
- Questo potrebbe creare nuovi rischi di frode e sottrazione di fondi;
- Se si verificassero furti dovuti a fallimenti infrastrutturali, l’eventuale responsabilità potrebbe gravare sulla banca centrale.
Costi elevati per l’infrastruttura
Era anche la componente finanziaria ad attirare l’attenzione. Secondo una ricerca condotta da esperti di tecnologia digitale di Amburgo, Groningen e Basilea, il costo stimato originariamente da 1,3 miliardi di euro era già destinato ad essere speso in servizi esterni. Questo dato emerge da un documento scaricabile gratuitamente dal server arXiv.
Per una sola funzione, l'“alias lookup”, che permette ai fornitori di servizi di pagamento di identificare la banca corrispondente, sono state previste spese massime di 55,8 milioni di euro. La costruzione del sistema offline, affidata a Giesecke+Devrient, ha già visto stanziati 661 milioni di euro.
La situazione preoccupante, dicono i ricercatori, sta nel fatto che non rimangono molte risorse per il completamento dell’intera infrastruttura di pagamento, che coinvolge il dialogo tra clienti, gestori di servizi di pagamento, banche centrali e BCE.
Soluzioni alternative
Nel contesto del progetto “Concrete Contracts”, finanziato dal ministero federale tedesco per la ricerca e la tecnologia, i ricercatori propongono sistemi basati su firme in doppio senso, come ad esempio il sistema sviluppato all’interno del progetto open source Taler. Il software necessario a queste implementazioni è già in uso e testato, ma non è riuscito a convincere la Banca centrale europea. Per i creatori di queste idee, mancavano le qualifiche necessarie per avanzare una candidatura ufficiale.