Regolare la finanza con prove a conoscenza zero nell’UE e oltre

La conformità finanziaria si è sempre sviluppata su un equilibrio delicato: da una parte i regolatori richiedono sufficiente visibilità per prevenire abusi, dall’altra gli utenti esigono che la propria vita finanziaria resti riservata quando effettuano un pagamento o un’operazione.

Negli ultimi anni questa tensione si è intensificata: regimi antilavaggio più severi, normative sulla protezione dei dati più estese e una crescente attività transfrontaliera convivono con strumenti tecnologici per la privacy più maturi di prima.

La buona notizia è che non è più necessario sacrificare la riservatezza per garantire la conformità. Prove a conoscenza zero (ZKP) offrono una soluzione al cosiddetto paradosso della privacy: i regolatori richiedono garanzie che le regole siano rispettate, ma l’esposizione integrale di identità e dettagli di transazione comporta rischi di sicurezza, legali e di protezione dei dati.

Le ZKP consentono di invertire il modello da «mostrami i dati» a «mostrami una prova», permettendo alle imprese regolamentate di dimostrare conformità senza rivelare le informazioni sottostanti.

Cosa sono le prove a conoscenza zero

Una prova a conoscenza zero è una dimostrazione criptografica che consente a un soggetto di verificare il rispetto di una regola senza condividere i dati sensibili in proprio possesso. In termini pratici finanziari, la regola può essere molto concreta: ad esempio che un conto è stato controllato contro una lista di sanzioni aggiornata o che un utente possiede una credenziale KYC valida emessa da un ente affidabile.

Questo approccio prova il risultato e non tutti gli input. Se un’autorità necessita di approfondire, si possono prevedere meccanismi di divulgazione selettiva — chiavi di visualizzazione, accessi limitati nel tempo e log di audit completi — concessi tramite processi legali dovuti, ad esempio attraverso portali normativi autorizzati.

Perché è rilevante adesso

Tre tendenze convergono rendendo le ZKP particolarmente pertinenti. La prima è che nell’Unione Europea i controlli anti-riciclaggio (AML) stanno diventando più granulari, mentre il GDPR e altri regimi per la privacy enfatizzano la minimizzazione e la limitazione delle finalità.

La seconda tendenza riguarda i quadri di identità digitale, come quelli previsti da eIDAS 2.0, che si fondano su elementi comuni alle ZKP: credenziali verificabili, divulgazione selettiva e attestazioni crittografiche. Questo rende più realistico emettere credenziali portabili tipo «ho superato la KYC» o «non sono soggetto a sanzioni» che possono essere dimostrate senza ricampionare i dati.

La terza tendenza è che le autorità di vigilanza stanno valutando tecnologie per la protezione della privacy, inclusi modelli di verifica basati su prove crittografiche.

Come potrebbe apparire una pila di conformità basata su prove

Esistono già esempi operativi. La più nota è la proof-of-reserves: uno scambio dimostra di possedere attività sufficienti a coprire le passività dei clienti senza rivelare i saldi individuali, fornendo così un’assicurazione a conoscenza zero.

Lo stesso paradigma si applica allo screening sanzionatorio: invece di trasmettere l’identità completa ogni volta, un portafoglio può presentare una prova che è stato controllato rispetto all’ultima lista disponibile a una data precisa. Un verificatore gestito dal regolatore o da un VASP verificato controllerà la validità della prova senza conservare i dati grezzi.

Per la segregazione degli asset, un custode può dimostrare che i fondi dei clienti non sono commisti con quelli della casa tramite prove di somma o di intervallo, senza pubblicare l’intero registro. Queste verifiche possono essere incorporate in smart contract: una transazione non si esegue se la prova non passa, abilitando una «conformità programmabile» applicata al momento della transazione.

Il passaggio per i regolatori è quindi da raccolta di dati grezzi a verifica di evidenze crittografiche: essi continuano a ottenere garanzie, auditabilità e tracciabilità quando esiste una base legale per svelare i dati, ma non devono per default trattare e conservare grandi quantità di informazioni personali, riducendo rischi operativi e legali.

Domande chiave e risposte

Le autorità stanno già sperimentando pilot mirati basati su ZKP, dalla verifica della proof-of-reserves al rispetto della Travel Rule in modo che gli attributi di un utente possano essere convalidati senza esporre l’intero dataset. Con la maturazione di queste primitive, esse si estendono in controlli di integrità di mercato che permettono di dimostrare il rispetto di limiti di concentrazione ed esposizione tramite prove di intervallo e di somma, senza svelare le posizioni sottostanti.

È importante ribadire che le ZKP non equivalgono a opacità totale: sistemi ben progettati prevedono divulgazione selettiva tramite chiavi di visualizzazione o schemi multipartiti, garantendo che l’accesso da parte delle forze dell’ordine sia circoscritto, dimostrabile e soggetto a processo legale.

Cosa potrebbero richiedere i regolatori

Per operare efficacemente a livello internazionale servono standard condivisi: tipi di prova standard (per esempio «non in lista sanzioni X alla data Y»), formati di credenziali uniformi e logica di verifica ispezionabile. Solo così si evita che ogni exchange, wallet o banca sviluppi versioni proprietarie che complicano la supervisione.

I regolatori potrebbero beneficiare di sei elementi concreti:

Risultati invece che dati: comunicare ciò che è stato provato, non l’intero contenuto detenuto.

Prove con minima informazione: dimostrare soltanto quanto necessario per l’obbligo specifico.

Controlli programmabili: verifiche applicate al momento della transazione quando appropriato.

Forti meccanismi di disponibilità dei dati e di uscita: gli utenti devono poter sempre confermare i propri saldi e ritirare i fondi.

Logica del verificatore verificabile: ispezioni, vettori di test e registri di audit per ispezionabilità tecnica.

Nessuna backdoor generalizzata: divulgazione solo in condizioni legali, ristrette e tracciate.

Esempio pratico: Binance e la proof-of-reserves

Un caso operativo noto è quello di Binance, che utilizza ZKP per dimostrare le riserve. Il sistema di proof-of-reserves (POR) impiega una struttura crittografica chiamata Merkle tree che consente di condensare molte voci di conto in un unico «impronta» e, insieme alle prove a conoscenza zero, dimostrare che le attività dei clienti sono interamente coperte senza rivelare saldi individuali.

Con ogni aggiornamento di POR, gli utenti possono verificare l’inclusione del proprio saldo nell’albero, mentre le ZKP assicurano la correttezza dei totali complessivi e l’assenza di saldi negativi o falsificati. Il risultato è una verifica indipendente e rispettosa della privacy che costruisce fiducia senza compromettere i dati personali.

Questo esempio dimostra che l’adozione diffusa di prove può rendere la conformità finanziaria più precisa, più coerente con le leggi sulla privacy e più semplice da supervisionare.

Cosa serve per raggiungere il successo

Il successo richiede collaborazione: i regolatori devono definire standard di prova che accettano; l’industria deve allinearsi e implementare quei formati; gli organismi di standardizzazione devono garantire l’interoperabilità transfrontaliera. Serviranno inoltre iniziative pilota, framework di certificazione e guide pratiche per l’adozione operativa.

Il traguardo auspicabile è che un utente possa dimostrare la propria legittimità senza sovraesporre informazioni; che una banca, un VASP o uno exchange possano ottemperare agli obblighi di AML e alla Travel Rule con divulgazioni di dati più contenute; e che un regolatore possa eseguire un nodo verificatore per ottenere garanzie in tempo reale, con la possibilità di svelare identità solo in condizioni legali chiare e ristrette.

In sintesi: garanzie con minore divulgazione. Con l’aumento del rischio informatico, l’evoluzione delle leggi sulla privacy e la crescita della finanza digitale transfrontaliera, il passaggio dalla raccolta routinaria di big data a prove verificabili rappresenta un aggiornamento pragmatico delle pratiche di vigilanza. Il quadro normativo europeo è in evoluzione e le proposte legislative rimangono soggette al normale processo decisionale.