Mentre aspettiamo con impazienza l’approvazione del primo ETF bitcoin, incombe una preoccupazione significativa: la concentrazione del rischio attorno alla scelta del custode. Sebbene esistano eccezioni degne di nota come Fidelity e VanEck, la maggior parte dei richiedenti prevede di utilizzare Coinbase come custode. In qualità di professionista della sicurezza informatica nello spazio blockchain, la concentrazione del rischio, unita alle vulnerabilità intrinseche della custodia delle criptovalute e al panorama della sicurezza in evoluzione, solleva significativi segnali di allarme.
Non si tratta di dubitare delle capacità di Coinbase; l'azienda non ha mai subito un attacco informatico conosciuto, guadagnandosi la fiducia delle istituzioni tradizionali. Tuttavia, nel campo della sicurezza informatica, non esiste un obiettivo impenetrabile: con tempo e risorse sufficienti, tutto può essere compromesso. Ciò che mi preoccupa è l’estrema concentrazione degli asset all’interno di un unico custode, soprattutto considerando la natura simile al contante degli asset crittografici.
Il concetto di entità "non hackerabile" è un errore. Sebbene Coinbase abbia mantenuto un solido record di sicurezza, non garantisce l'immunità. La natura simile al denaro contante delle criptovalute le rende intrinsecamente preoccupanti in caso di violazione della sicurezza.
Rivalutare la nozione di "custode qualificato"
La designazione di un "custode qualificato" potrebbe dover essere riconsiderata per garantire che l'approvazione normativa sia allineata con la gestione sicura degli asset basata su blockchain. I custodi di asset digitali dovrebbero affrontare una supervisione rafforzata, aderendo a standard statali e federali più rigorosi e soggetti al controllo di regolatori ben formati.
A differenza dei tradizionali depositari qualificati che garantiscono principalmente accordi legali per azioni, obbligazioni o saldi fiat tracciati digitalmente, le criptovalute come Bitcoin sono strumenti al portatore. In caso di un hack riuscito, le criptovalute sono irrimediabilmente perse. Un singolo errore da parte di un depositario potrebbe comportare la perdita completa delle attività.
Il crimine crittografico è una forza formidabile, come si è visto con incidenti come il Lazarus Group della Corea del Nord che ha rubato miliardi di criptovalute nel corso degli anni. Con proiezioni di oltre 6 miliardi di $ che fluiscono in un ETF bitcoin nella sua prima settimana di negoziazione, questi fondi diventano obiettivi redditizi.
La necessità di standard di sicurezza informatica solidi
Gli attuali standard di sicurezza informatica per i depositari qualificati potrebbero non essere adeguati per proteggere i crescenti volumi di criptovalute. L'attuale modello di gestione del rischio per le istituzioni finanziarie prevede tre livelli di supervisione: gestione aziendale, valutazione del rischio e audit. Ciò è completato da revisori esterni, supervisione IT esterna e controllo da parte degli enti regolatori statali e federali.
Tuttavia, questi livelli di ridondanza richiedono un organico consistente, qualcosa che i nuovi custodi di criptovalute potrebbero avere difficoltà a fornire. Coinbase, anche dopo la recente espansione, ha meno di 5.000 dipendenti, mentre BitGo, un altro custode qualificato, ne ha solo poche centinaia.
Miglioramento degli standard di sicurezza informatica per i custodi
È fondamentale perfezionare gli standard di sicurezza informatica per la designazione di depositari qualificati, in particolare per i depositari di criptovalute che gestiscono strumenti al portatore. Attualmente, la designazione è spesso associata a licenze fiduciarie o bancarie supervisionate da regolatori finanziari focalizzati sulla banca tradizionale, non sulla sicurezza informatica o sulle competenze in criptovalute.
L'assenza di standard di settore per la sicurezza informatica e le pratiche di gestione del rischio specifiche per i custodi di criptovalute solleva preoccupazioni. Per salvaguardare gli investitori e il fiorente settore delle criptovalute, le autorità di regolamentazione devono adattarsi al panorama in evoluzione, attribuendo pari importanza a rigorosi standard di sicurezza informatica insieme a verifiche finanziarie e processi legali. L'integrazione di asset digitali nel sistema finanziario richiede un approccio completo per garantire la sicurezza e la stabilità di queste tecnologie trasformative.
