Di seguito è riportato l’estratto pertinente della consultazione del dicembre 2023:
“Un ulteriore argomento che il Comitato ha annunciato che avrebbe esaminato a dicembre 2022 era se i rischi posti dalle criptovalute che utilizzano blockchain senza autorizzazione possano essere sufficientemente mitigati per consentirne l’inclusione nel Gruppo 1. Il Comitato ha completato questa revisione e ha concluso che l’uso di blockchain senza autorizzazione dà origine a una serie di rischi unici, alcuni dei quali non possono essere sufficientemente mitigati al momento. Alcuni dei rischi più significativi derivano dalla dipendenza delle reti da terze parti per svolgere operazioni di base. Le banche hanno una capacità limitata di condurre la due diligence e la supervisione su tali terze parti o di prevenire potenziali interruzioni della rete. Un’analisi simile si applica ai rischi politici, normativi e legali, ai rischi AML/CFT e ai rischi relativi alla definitività della liquidazione, alla privacy e alla liquidità. Il Comitato riconosce che le soluzioni tecniche a molti di questi problemi potrebbero svilupparsi rapidamente in futuro e accoglierebbe con favore un feedback continuo dai partecipanti del settore sui rischi dei sistemi senza autorizzazione e sullo sviluppo di mitiganti. A questo punto, tuttavia, il Comitato non propone alcuna modifica allo standard delle criptovalute per consentire l’inclusione delle criptovalute che utilizzano blockchain senza autorizzazione nel Gruppo 1”.
Per essere trattata nelle categorie del Gruppo 1 a basso rischio, qualsiasi criptovaluta deve inoltre rispettare le clausole da SCO60.8 a SCO60.20.
Il Comitato non sta cambiando le regole. Tuttavia, prima della dichiarazione di dicembre 2023 di cui sopra, le persone interpretavano le regole relative ai rischi della blockchain senza autorizzazione come gestibili.
Solo la seguente clausola invariata menziona le blockchain senza autorizzazione:
60.125 I rischi che le banche devono considerare nella loro gestione del rischio delle attività relative alle criptovalute includono, ma non sono limitati a, quanto segue:
(1) Rischio tecnologico delle criptovalute: Le banche devono monitorare attentamente i rischi inerenti alla tecnologia di supporto, indipendentemente dal fatto che le attività sulle criptovalute siano condotte direttamente o tramite terze parti, inclusi, a titolo esemplificativo ma non esaustivo:
(UN) Stabilità della rete DLT o di tecnologia simile: L’affidabilità del codice sorgente, la governance sui protocolli e l’integrità della tecnologia sono tra i fattori chiave correlati alla stabilità della rete. Le considerazioni chiave includono vincoli di capacità, autoimposti o dovuti a risorse di elaborazione insufficienti; considerazioni sull’archiviazione digitale; scalabilità della tecnologia di registro sottostante; se la tecnologia sottostante è stata testata e ha avuto il tempo di maturare in un ambiente di mercato; e una governance solida sulle modifiche ai termini e alle condizioni del registro distribuito o delle criptovalute (ad esempio i cosiddetti “fork” che modificano le “regole” sottostanti di un protocollo). Inoltre, il tipo di meccanismo di consenso (ad esempio per una transazione da elaborare e convalidare) è una considerazione importante in quanto correlata alla sicurezza della rete e se è sicuro accettare una transazione come “definitiva”.
(B) Convalida del design del DLT, senza autorizzazione o con autorizzazione: Le criptovalute possono basarsi su un registro pubblico (“senza autorizzazione”), in base al quale la convalida delle transazioni può essere effettuata da qualsiasi agente partecipante o distribuita tra diversi agenti o intermediari, il che potrebbe essere sconosciuto agli utenti. Al contrario, un registro privato (“con autorizzazione”) limita e predefinisce l’ambito dei validatori, con le entità di convalida note agli utenti. Su un registro senza autorizzazione, potrebbe esserci un controllo minore della tecnologia e su un registro con autorizzazione potrebbe esserci un piccolo gruppo di validatori con un controllo maggiore. I rischi correlati alla progettazione di convalida della DLT includono l’accuratezza dei record delle transazioni, il fallimento della liquidazione, le vulnerabilità della sicurezza, la privacy/riservatezza e la velocità e il costo dell’elaborazione delle transazioni.
(C) Accessibilità del servizio: Una delle caratteristiche distintive delle criptovalute è la loro accessibilità ai detentori di queste attività. A un detentore di criptovalute viene assegnato un set di chiavi crittografiche univoche, che consentono a tale parte di trasferire le criptovalute a un’altra parte. Se tali chiavi vengono perse, un detentore non sarà generalmente in grado di accedere alle criptovalute. Ciò aumenta la possibilità di attività fraudolente come l’accesso di una terza parte alle chiavi crittografiche e l’utilizzo delle chiavi per trasferire le criptovalute a se stesse o a un’altra entità non autorizzata. Inoltre, il rischio di un attacco informatico su larga scala potrebbe impedire ai clienti delle banche di accedere o recuperare i fondi delle criptovalute.
(D) Affidabilità degli operatori dei nodi e diversità degli operatori: Poiché la tecnologia sottostante e gli operatori dei nodi facilitano il trasferimento di criptoasset e tengono traccia delle transazioni che avvengono sulla rete, il loro ruolo è essenziale nella designazione e nel dimensionamento degli importi detenuti dal detentore. Se i nodi sono gestiti da un singolo operatore o sono distribuiti tra molti operatori e se gli operatori sono affidabili (ad esempio se i nodi sono gestiti da istituzioni pubbliche/private o da individui) sono considerazioni rilevanti nella gestione del rischio di terze parti.