I risvolti penalistici delle criptovalute

A cura di:Lorenzo Nicolò Meazza Ore

Molto si è detto in tema di criptovalute e soprattutto di blockchain: dal suo funzionamento all’utilizzo in campi quali sicurezza e cybercrime ma anche privacy, copyright e democrazia.

Nella presente sede, invece, ci si concentrerà sui rischi di reato che possono correre vari soggetti che, a diverso titolo, si interfacciano con i Bitcoin o con altre forme di cryptocurrency (basate sulla blockchain o meno).

Il mondo del fintech – la tecnologia applicata alla finanza – sta difatti ponendo sempre più attenzione al fenomeno delle criptovalute e, conseguentemente, cresce il rischio di criminalizzazione e di commissione di condotte illecite che possono portare alla responsabilità degli operatori.

Innanzitutto, è opportuno accennare alle definizioni di valuta virtuale che sono state recepite nel nostro ordinamento. La Banca d’Italia, con comunicazione del 30 gennaio 2015, ha definito le criptovalute come “rappresentazioni digitali di valore non emesse da una banca centrale o da un’autorità pubblica. Esse non sono necessariamente collegate a una valuta avente corso legale, ma sono utilizzate come mezzo di scambio o detenute a scopo di investimento e possono essere trasferite, archiviate e negoziate elettronicamente.. Le VV non sono moneta legale e non devono essere confuse con la moneta elettronica” (https://www.bancaditalia.it/pubblicazioni/bollettino-vigilanza/2015-01/20150130_II15.pdf).[1]

Il D.Lgs. 125/2019, attuativo della V Direttiva UE Antiriciclaggio, ha invece dettato una prima definizione legislativa di valuta virtuale, intesa come “la rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente”; non viene, però, considerata alla stregua di una “moneta”: essendo priva del potere liberatorio, un creditore potrà sempre rifiutare di ricevere un pagamento in criptovalute.

Venendo ai rischi, in ragione della caratteristica di “pseudo anonimato” dei Bitcoin e dei suoi consimili (che sostanzialmente impedisce l’identificazione dei soggetti e la tracciabilità delle operazioni sottostanti), si è posta innanzitutto l’attenzione sulle possibili attività di riciclaggio[2], autoriciclaggio[3] e impiego di denaro, beni o altre utilità di provenienza illecita[4].

Trattasi di reati, previsti dal nostro codice penale, che aggrediscono le condotte successive alla commissione di un reato e che sono commesse da coloro che intendono reinvestirne i profitti in attività lecite (portando così a una distorsione del mercato).

Non è certo questa la sede per trattare le distinzioni tra le tre fattispecie delittuose, ma quello che qui rileva è il possibile utilizzo di virtual currencies nell’attività di reimpiego di capitali frutto di reato.

Più in generale, bisogna accennare al concetto di cyberlaundering, fenomeno più ampio rispetto al riciclaggio compiuto attraverso le criptovalute e consistente nell’insieme di attività illecite poste in essere col fine di “ripulire” i proventi delittuosi, ricorrendo a sistemi “cibernetici”. Nell’ambito di tale manifestazione criminosa si può, a questo punto, tratteggiare la differenza tra “riciclaggio digitale strumentale” e “riciclaggio digitale integrale”. Mentre nel primo caso la rete viene utilizzata per porre in essere le operazioni di laundering, che si svolgono secondo il classico schema, nel secondo, invece, tutte le fasi di riciclaggio avvengono attraverso transazioni online in forma anonima e fuori da un penetrante controllo delle autorità statali.

Al fine di scongiurare, o quantomeno ridurre, i sopracitati rischi, con la IV e la V Direttiva UE Antiriciclaggio, recepite rispettivamente con il D.Lgs. 90/2017 e con il già citato D.Lgs. 125/2019, sono stati previsti specifici obblighi nei confronti dell’exchanger (cambiavalute di Bitcoin et similia, definiti come “ogni persona fisica o giuridica che fornisce a terzi, a titolo professionale, anche online, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da, ovvero in, valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonché i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute”, art. 1, c.2, lett. ff, D.Lgs. 231/2007) e del wallet provider (gestori di portafogli virtuali, definiti come “ogni persona fisica o giuridica che fornisce, a terzi, a titolo professionale, anche online, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali”, art. 1, c.2, lett. ff-bis), entrambi inseriti nella categoria “altri operatori non finanziari”.

Tali soggetti, pertanto, sono oggi tenuti all’adempimento degli obblighi di adeguata verifica della clientela, tra i quali l’identificazione del cliente e del titolare effettivo (artt. 17 ss. D.Lgs. 231/2007), alla conservazione dei documenti, dei dati e delle informazioni raccolte (artt. 31 ss.), nonché alla segnalazione di operazione sospetta alla Unità di Informazione Finanziaria per l’Italia (UIF).

A prescindere da un effettivo concorso nelle attività di riciclaggio, pertanto, exchanger e wallet provider incomberanno in una specifica responsabilità penale anche solo in caso di violazione dei predetti obblighi (art. 55) senza considerare il rischio di integrare le fattispecie di abusivismo bancario e finanziario, per omissione degli adempimenti di comunicazione e iscrizione (anche se non è ancora stato emesso il decreto del MEF che dovrà istituire la sezione speciale del registro dei cambiavalute virtuali).

In conclusione, bisogna evidenziare come vi sia la possibilità – seppur più marginale rispetto alle ipotesi di riciclaggio lato sensu – di commettere altre tipologie di condotte illecite mediante l’utilizzo delle criptovalute, quali estorsioni (art. 629 c.p.) tramite ransomware (con pagamento del riscatto in Bitcoin), danneggiamento o accesso abusivo al sistema informatico (rispettivamente artt. 635 bis e 615 ter c.p.), nonché alcuni reati tributari (per esempio dichiarazione infedele od omessa dichiarazione dei redditi ex artt. 4 e 5 D.Lgs. 74/2000).

A parte l’estorsione, inoltre, tutte le condotte illecite che possono essere poste in essere con le cryptocurrencies, costituiscono anche reati presupposto della responsabilità delle persone giuridiche. Ciò significa che, oltre all’autore del delitto, anche la società che ne ha tratto un profitto o un vantaggio sarà sottoposta a invasive sanzioni (pecuniarie, interdittive…), salvo che non abbia adottato ed efficacemente attuato un adeguato modello di organizzazione e di gestione.

Note

[1] Si segnala anche che lo scorso 2 gennaio Consob ha pubblicato un interessante documento sul tema, intitolato “Le offerte iniziali e gli scambi di cripto-attività“: http://www.consob.it/documents/46180/46181/doc_disc_20190319.pdf/12117302-78b0-4e6e-80c4-d3af7db0fdae

[2] Art. 648 bis c.p. “Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l’identificazione della loro provenienza delittuosa, è punito con la reclusione da quattro a dodici anni e con la multa da euro 5.000 a euro 25.000 (…)”.

[3] Art. 648 ter.1 c.p. “Si applica la pena della reclusione da due a otto anni e della multa da euro 5.000 a euro 25.000 a chiunque, avendo commesso o concorso a commettere un delitto non colposo, impiega, sostituisce, trasferisce, in attività economiche, finanziarie, imprenditoriali o speculative, il denaro, i beni o le altre utilità provenienti dalla commissione di tale delitto, in modo da ostacolare concretamente l’identificazione della loro provenienza delittuosa (…)”.

[4] Art. 648 ter c.p. “Chiunque, fuori dei casi di concorso nel reato e dei casi previsti dagli articoli 648 e 648bis, impiega in attività economiche o finanziarie denaro, beni o altre utilità provenienti da delitto, è punito con la reclusione da quattro a dodici anni e con la multa da euro 5.000 a euro 25.000 (…)”.

 

Suggerimenti bibliografici

  • AMATO M.-FANTACCI L., Per un pugno di bitcoin, Milano, 2016;
  • ESPOSITO E., Antiriciclaggio e Criptovalute, 2019;
  • LUCEV R.-BONCOMPAGNI F., Criptovalute e profili di rischio penale nella attività degli exchanger, in Giurisprudenza Penale Web, 2018, 3 (http://www.giurisprudenzapenale.com/2018/03/01/criptovalute-profili-rischio-penale-nella-attivita-degli-exchanger/);
  • PICOTTI L., Profili penali del cyberlaundering: le nuove tecniche di riciclaggio, in trim. dir. pen. econ., n. 3-4, 2018
  • SIMONCINI E., Il cyberlaundering: la nuova frontiera del riciclaggio, in Riv. trim. dir. pen. econ., n. 4, 2015.

 

Articolo a cura di Lorenzo Nicolò Meazza

Profilo Autore
Lorenzo Nicolò Meazza

Avvocato penalista, titolare dell’omonimo Studio legale sito in Milano e Vicepresidente della Camera Penale di Milano, ove ha costituito la Commissione sull'intelligenza artificiale.
Si occupa prevalentemente di diritto penale d'impresa, con un focus particolare su criminalità informatica, compliance, diritto penale delle nuove tecnologie e digital forensics. Membro e presidente di numerosi Organismi di Vigilanza, il suo studio ha acquisito particolare esperienza nella redazione di Modelli Organizzativi e Regolamenti informatici aziendali.
È stato selezionato dall’Ordine forense di Milano e dal Pool Reati Informatici della Procura milanese tra gli avvocati esperti in diritto dell’informatica, con particolare competenza nella trattazione dei reati informatici.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Data Breach Investigations Report 2018 di Verizon

Data Breach Investigations Report 2018 di Verizon

A cura di:Redazione Ore Pubblicato il

Gli attacchi ransomware sono raddoppiati rispetto al 2017, e adesso prendono di mira gli asset più critici delle aziende I software malevoli più diffusi rimangono i ransomware: sono alla base del 39 per cento dei casi legati ai malware. Il fattore umano è ancora una debolezza: gli attacchi finanziari di tipo pretexting e phishing ne…

Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

A cura di:Stefano Gorla Ore Pubblicato il

La sicurezza dei dati e delle informazioni, è un asset fondamentale e strategico per le organizzazioni. I dati, e la loro gestione, sono la parte più importante e più critica delle organizzazioni. All’interno delle organizzazioni, intese come sistema, i flussi dei dati, la loro conoscenza e gestione permettono di essere non solo competitivi ma proattivi…

Marcello Romeo – Intervista al Forum ICT Security 2018

Marcello Romeo – Intervista al Forum ICT Security 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”299510732″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Marcello Romeo Presales Manager Italy, McAfee McAfee pubblica trimestralmente una ricerca articolata secondo determinati parametri che riguardano sia la crescita sia le tendenze specifiche delle minacce. Da 30 anni sul mercato, il database di McAfee contiene ormai più di 770 milioni di minacce, di cui 260 milioni…

Attacco Phishing utilizza caratteri Unicode nei domini, rendendoli quasi impossibili da identificare

Attacco Phishing utilizza caratteri Unicode nei domini, rendendoli quasi impossibili da identificare

A cura di:Andrea Zapparoli Manzoni Ore Pubblicato il

La recente vulnerabilità evidenziata in alcuni browser, grazie alla quale è possibile realizzare attività di phishing in grado di ingannare anche gli utenti più smaliziati, è il sintomo di alcuni problemi di fondo che affliggono l’attuale implementazione di Internet (e delle tecnologie digitali in generale). Tale implementazione è avvenuta nel giro di pochi anni, tumultuosamente,…

Il fattore umano e la cultura del comportamento sicuro

Il fattore umano e la cultura del comportamento sicuro

A cura di:Lisa Da Re Ore Pubblicato il

In queste ultime settimane di emergenza per fronteggiare il problema Coronavirus gli attacchi informatici alle aziende stanno aumentando attraverso campagne di phishing e malspam volte a rubare informazioni o a creare un danno agli utenti. In questo scenario, le organizzazioni non devono solo definire strategie per la protezione e sicurezza fisica del personale ma anche…

Incidenti di sicurezza nel settore sanitario

Incidenti di sicurezza nel settore sanitario

A cura di:Redazione Ore Pubblicato il

Nel 2015 quasi tre quarti degli incidenti di sicurezza nel settore sanitario hanno riguardato casi di perdita o sottrazione fisica di dati, uso improprio di privilegi da parte di insider ed errori di vari. Se la violazione dei dati avviene generalmente in un minuto o meno, l’individuazione di quest’ultima spesso richiede diversi mesi o più….