Le istituzioni pagano i custodi di Bitcoin per il privilegio di correre rischi aggiuntivi

Per decenni le istituzioni hanno adottato un modello ricorrente per la gestione degli asset: scegliere un grande custode regolamentato e trasferire a lui la responsabilità operativa, confidando che la scala, la conformità e le polizze assicurative bastino a garantire la sicurezza.

Nel mondo della finanza tradizionale questa logica è spesso valida: le transazioni possono essere revocate, le banche centrali offrono garanzie e i regolatori possono intervenire per assorbire o ridistribuire le perdite quando qualcosa va storto.

Perché Bitcoin ristruttura le premesse

Bitcoin mette in discussione queste assunzioni fondamentali perché è un asset portatore: il controllo è definito dalle chiavi crittografiche, non da credenziali di conto, e ogni transazione è definitiva. Non esiste un’autorità che possa congelare, invertire o recuperare fondi una volta che sono stati trasferiti onchain.

Tuttavia molte organizzazioni continuano ad approcciare Bitcoin con lo stesso modello mentale applicato ad asset tradizionali, generando una contraddizione silenziosa: pagano elevate commissioni ai custodi per l’apparenza di sicurezza e, allo stesso tempo, accettano rischi che la tecnologia di base era progettata per mitigare.

Quando la custodia esternalizzata concentra il rischio

I modelli di custodia si basano sulla delega: asset aggregati, chiavi condivise o astratte dietro controlli interni e governance che vive offchain, applicata tramite politiche, approvazioni e contratti di servizio piuttosto che dal comportamento dell’asset stesso.

Dal punto di vista organizzativo questa soluzione sembra sensata perché scola all’esterno la responsabilità e cita l’assicurazione come rete di sicurezza. Ma Bitcoin non riconosce la delega: se le chiavi vengono compromesse, perse o usate impropriamente non esiste un’autorità esterna in grado di intervenire efficacemente, e le coperture assicurative sono spesso parziali, limitate o condizionate.

La concentrazione della custodia crea veri e propri “vasetti di miele” che attraggono il rischio: compromissioni tecniche, errori interni, interventi regolamentari o rotture operative possono trasformarsi in fallimenti sistemici. In questi scenari, avere un unico custode per molti clienti non riduce il rischio, lo amplifica.

Il risultato pratico è documentato: modelli di custodia centralizzati hanno già fallito lasciando consumatori, imprese e controparti intrappolati in processi di recupero lunghi e opachi, con visibilità limitata e risultati disomogenei.

La governance non può vivere al di fuori dell’asset

Il problema centrale non è tanto tecnico quanto organizzativo: molte istituzioni sono abituate a imporre governance tramite conti, permessi, email e flussi di lavoro interni. Tale approccio funziona quando gli intermediari controllano l’asset; con Bitcoin una governance che risiede esclusivamente fuori dall’asset è, nella migliore delle ipotesi, consultiva.

Se un’organizzazione non detiene le chiavi, non detiene l’asset. Consigli di amministrazione, revisori e regolatori hanno ragione a essere cauti nei confronti di strutture fragili dove una singola persona può muovere fondi: quella configurazione è difficilmente difendibile.

La scelta non è tra un portafoglio a chiave singola e una cessione totale della custodia. Bitcoin permette di codificare la governance a livello di protocollo: condizioni di spesa, soglie di approvazione, ritardi e percorsi di recupero possono essere inseriti nel wallet, rendendo il controllo strutturale anziché puramente procedurale.

Custodia guidata da policy: cambiare il modello di rischio

Gli strumenti di scripting moderni per Bitcoin consentono di progettare la custodia attorno a esigenze organizzative reali. È possibile richiedere approvazioni multiple per le transazioni, imporre ritardi temporali, definire percorsi di recupero per la perdita delle chiavi o la rotazione del personale e separare le operazioni ordinarie dai controlli di emergenza.

Queste regole vengono applicate onchain, in modo deterministico, ad ogni esecuzione: il sistema stesso fa rispettare le regole, non il backend di un fornitore. Di conseguenza il profilo di rischio cambia radicalmente: si riduce la probabilità di fallimenti catastrofici invece di delegare la speranza alla correttezza comportamentale di un custode sotto stress.

L’assicurazione non è una panacea

La narrativa dell’assicurazione come salvacondotto è spesso esagerata. In diversi casi ad alta visibilità le coperture assicurative si sono rivelate insufficienti rispetto alle aspettative dei clienti, a causa di massimali, esclusioni o procedure di rivalsa prolungate.

I grandi custodi assicurano asset aggregati e i limiti di copertura raramente crescono in modo lineare con gli asset custoditi; le esclusioni sono comuni e il pagamento dipende dalla natura dell’incidente e dai controlli interni del custode. In un evento sistemico l’assicurazione non azzera il rischio, ne trasferisce solo una parte.

Al contrario, portafogli policy-driven e controllati individualmente sono più semplici da sottoscrivere: il rischio è isolato, i controlli sono trasparenti e gli scenari di failure sono limitati. Per gli assicuratori questo modello è più prevedibile e complementare a controlli robusti piuttosto che sostitutivo della loro assenza.

Sovranità operativa e continuità

La dipendenza da un fornitore introduce un ulteriore livello di rischio: interruzioni del servizio, cambi di policy o interventi regolamentari possono rendere i fondi temporaneamente inaccessibili. Uscire da una relazione di custodia può essere lento, costoso e complesso, specialmente per organizzazioni che operano in più giurisdizioni.

Nel passato sono già avvenuti congelamenti di prelievi, restrizioni di accesso per compliance e outage di servizio che hanno impedito ai clienti di muovere asset nei momenti più critici. Con sistemi di custodia onchain e open source il fornitore non è il gatekeeper: se un servizio scompare l’organizzazione mantiene il controllo e può cambiare interfacce o sostituire provider senza perdere accesso all’asset.

Conclusione: fidarsi del protocollo, non della promessa

Bitcoin offre alle istituzioni la possibilità di detenere un asset di valore con regole trasparenti, applicabili e indipendenti da qualsiasi singola controparte. Non si tratta di rifiutare i fornitori di servizi, ma di togliere questi operatori dal percorso critico del controllo degli asset.

Molte organizzazioni scelgono ancora la familiarità dell’interfaccia di accesso, dei brand noti o della rassicurazione assicurativa; tuttavia tale comodità può avere costi elevati. Le governance, la recuperabilità e il controllo possono e devono essere integrate direttamente nel modo in cui gli asset sono detenuti: la tecnologia è matura e gli strumenti sono disponibili.

La sfida rimanente è la volontà organizzativa di abbandonare modelli di custodia appartenenti a un sistema finanziario diverso e adottare soluzioni che fanno della trasparenza e della prevedibilità comportamentale il punto di forza della sicurezza.

Si raccomanda alle organizzazioni di valutare attentamente le proprie esigenze operative, coinvolgere revisori e regolatori nella definizione di policy onchain e considerare la sottoscrizione di coperture assicurative che si integrino con controlli tecnici robusti piuttosto che sostituirli.