Bitcoin e criptovalute, qualche osservazione su sicurezza e implicazioni legali

Bitcoin e criptovalute, qualche osservazione su sicurezza e implicazioni legali

Nel 2014 le criptovalute hanno catalizzato l'attenzione del grande pubblico e i Bitcoin sono diventati la moneta digitale più conosciuta anche al di fuori del mondo degli addetti ai lavori. Il Clusit, all'interno del Rapporto 2015, offre un approfondimento su questo fenomeno che vuole osservare più da vicino gli aspetti legati alla loro sicurezza e ai risvolti legali

di pubblicato il nel canale Sicurezza
 

Sicurezza dei Bitcoin: dove si colloca il problema?

Al netto di tutte le considerazioni di natura tecnica e giuridica che sono state esposte fin qui, l'utente che inizia la propria avventura nel mondo del Bitcoin viene in contatto con esso principalmente tramite due elementi: il wallet (cioè il "portafoglio digitale" che contiente i nostri Bitcoin) e la password che lo protegge e che protegge, in realtà, le chiavi private necessarie per tutte le operazioni di scambio e verifica. La sicurezza del sistema Bitcoin si basa quindi sulla riservatezza delle chiavi private e sull'integrità matematica del sistema stesso. Quest'ultimo punto è l'unica costante, in quanto i principi fondamentali del sistema sono considerati matematicamente sicuri e finora nessuno è stato ancora capace di violare l'algoritmo alla base del sistema.

La sicurezza del sistema Bitcoin, pertanto, non dipende dalla sicurezza del suo algoritmo, ma direttamente dalla cura con cui si gestiscono password (e quindi, chiavi) del wallet. Osserviamo quindi da vicino le chiavi private. Per ogni indirizzo Bitcoin (la stringa di caratteri che corrisponde univocamente ad un wallet e che serve come "coordinata bancaria" per effettuare una transazione in criptovaluta) esiste una chiave privata che, opportunamente messa al sicuro, protegge i Bitcoin presenti nel wallet ed impedisce che questi possano essere trasferiti a terzi. La chiave privata è un numero di 256-bit.

Quando un utente si approccia all'universo Bitcoin deve anzitutto compiere una scelta: affidarsi ad un wallet locale (un apposito programma, cioè, installato sul proprio computer o smartphone) o appoggiarsi ad un wallet online?

Nella prima situazione, quella del wallet in locale, per mettere al sicuro il proprio patrimonio digitale è necessario che la parola chiave che protegge il wallet sia riservata e sufficientemente "solida" (Valgono a tal proposito tutte le regole di buonsenso che si applicano alla scelta di una password) e che il PC stesso sia integro (in termini fisici, ovviamente, ma soprattutto in termini di assenza di malware, trojan, rootkit e quant'altro possa compromettere la sicurezza del sistema). In questo caso l'utente deve immediatamente appropriarsi della consapevolezza che la password è l'unico elemento che permette di proteggere tutti i suoi Bitcoin: questo spiega perché nel corso del 2014 si è verificata una rapida ascesa numerica dei Trojan che mirano direttamente alle credenzial dei wallet per rubare Bitcoin. Deve essere chiaro che la scelta di un wallet locale lascia tutta la sicurezza esclusivamente nelle mani dell'utente.

Nel caso dei wallet online, invece, il problema della gestione della sicurezza viene trasferito sul fornitore del servizio di wallet e si innestano pertanto - almeno per i servizi con un livello di qualità elevato - dinamiche che assomigliano a quelle adottate dai tradizionali servizi di banking online (autenticazione a più fattori, firme congiunte e via discorrendo). La scelta di un wallet online, quindi, dipende in maniera quasi esclusiva dall'affidabilità del gestore del servizio. Ricorrerà quindi alla mente degli utenti più informati il caso di MTGox che nel febbraio del 2014 ha dichiarato bancarotta informando i clienti della scomparsa dalle casseforti virtuali di 750 mila bitcoin (corrispondenti allora a circa 450 milioni di euro).

In altri termini il sistema Bitcoin è intrinsecamente sicuro, allo stesso modo in cui può essere considerata sicura una porta blindata. E' l'utilizzo improprio dei suoi elementi a rappresentare rischi per la sicurezza. Anche in questo caso, quindi, sono gli utenti tecnologicamente meno attenti o meno preparati a correre i rischi maggiori, allo stesso modo in cui possono incappare in tutti gli altri rischi legati al mezzo informatico.

 
^