Blockchain e Cybersecurity: una prospettiva legale
Blockchain e Cybersecurity
Nel corso degli anni i media di tutto il mondo hanno costantemente riportato (e continuano a riportare con assidua frequenza) notizie inerenti a furti di criptovalute e truffe informatiche legate anche, tra le altre cose, alla tecnologia blockchain.
A tal riguardo, infatti, uno dei problemi principali del mercato delle criptoasset e della blockchain in generale riguarda la necessità di mettere al sicuro i propri asset.
Menzionando uno studio realizzato dalla società di consulenza Kpmg e ripreso da Bloomberg emerge come dal 2017 gli hacker sono riusciti a mettere le mani su criptoasset per un controvalore di oltre 9,8 miliardi di dollari (1).
Orbene, analizzando con maggior dettaglio e con occhio critico la descritta situazione, cosa ha creato questo fenomeno che ha permesso ai cyber criminali di riuscire ad ottenere dei simili risultati, la vulnerabilità della tecnologia blockchain o “ciò che le ruota intorno”?
Per poter rispondere ad un simile quesito, si ritiene opportuno analizzare brevemente l’origine del problema della sicurezza cibernetica.
È opinione comune negli esperti della materia (2) che il problema della cybersecurity ha due profondi fondamenti: la complessità dei sistemi digitali e il fattore umano.
Per avere un’idea dell’estrema complessità dei sistemi digitali è sufficiente analizzare, in maniera assolutamente esemplificativa e non esaustiva, il loro funzionamento.
In particolare, all’interno del dispositivo fisico (hardware), troviamo i c.d. transistor (3) e altri infiniti circuiti elettronici in cui si muovono gli elettroni, fibre ottiche in cui viaggiano i fotoni e antenne che originano e rilevano onde elettromagnetiche.
Complesse reti di questi dispositivi permettono la generazione e la trasmissione di segnali che, in forma digitale, rappresentano informazioni.
Premesso ciò, come facilmente immaginabile, sia l’hardware che il software possono costituire un problema di cybersicurezza.
In relazione all’hardware, con l’estrema complessità che si è raggiunta, è possibile, ad esempio, nascondere all’interno della CPU degli ingegnosi e sofisticati sistemi composti da poche decine di minuscoli transitor che consentono ai cybercriminali di prendere controllo del sistema senza le necessarie autorizzazioni.
Se poi pensiamo che la maggior parte degli hardware vengono prodotti da aziende esterne sulle quali non vi è possibilità di controllo emerge come la problematica sia alquanto complessa.
Anche in relazione ai software possono emergere delle vulnerabilità. È inevitabile, infatti, che per quanto i programmatori utilizzino degli strumenti assolutamente sicuri, il software contenga delle criticità che possono essere classificate in due grandi famiglie: i bug, ossia degli errori di programmazione, e i c.d. difetti di “robustezza”.
Se la situazione appena descritta può apparire come una situazione preoccupante, nulla a che vedere con le vulnerabilità legata al c.d. fattore umano (4).
Per avere un’idea di ciò, è sufficiente citare uno studio svolto nell’ambito del progetto europeo Dogana (5), all’esito del quale è emerso come le vulnerabilità di tipo tecnico riguardano solo il 3% dei tentativi di attacco mentre il 97% di tutti gli incidenti di sicurezza deriva da una qualche forma di errore umano.
Sul punto, la “tecnica di attacco” maggiormente utilizzata è il social engineering ossia quell’insieme di tecniche volte a raggirare le persone (talvolta creando empatia e fiducia) per indurre comportamenti che vanno a beneficio dell’attaccante.
Anche nel caso della blockchain nella stragrande maggioranza dei casi, come si avrà modo di vedere nel prosieguo, il bersaglio più facile dei cyber criminali sono i c.d. “consumatori” di questa tecnologia.
Nella siffatta categoria possono rientrare, a titolo meramente esemplificativo, le società che gestiscono i c.d. wallet di criptovalute, i crypto – exchange nonché i singoli investitori ed utilizzatori.
Stante le premesse che ne giustificano la creazione e l’attuale fase di sviluppo applicativo della tecnologia in commento sono, tuttavia (e aggiungerei correttamente), sorti dubbi in merito ai rischi in termini di sicurezza digitale correlati al concreto utilizzo della blockchain.
A tal riguardo, giova sottolineare che la blockchain come qualsiasi altra tecnologia può essere oggetto di attacchi informatici c.d. comuni, in quanto, sono perpetrati non nei confronti dell’architettura tecnologica ma nei confronti degli utilizzatori della tecnologia (6).
Sul punto è possibile ricordare: (i) il phishing ovvero una tipologia di truffa realizzata sulla rete internet allo scopo di rubare informazioni sensibili come numeri di carte di credito, password e dati relativi ai conti bancari (7); (i) i malware; (iii) il cryptojacking, una minaccia online che utilizza le risorse del sistema per generare criptovalute a spese della vittima dell’attacco; e (iv) un’ulteriore minaccia che si ritiene opportuno menzionare è rappresentata dai miner degli endpoint ovvero il mining occulto con cui, mediante le stesse tecniche impiegate per la diffusione di ransomware, i cybercriminali sfruttano i dispostivi delle vittime a loro insaputa.
Diversamente dai descritti attacchi informatici che, come accennato, possono essere perpetrati nei confronti di qualsiasi utilizzatore di strumenti tecnologici connessi alla rete vi sono alcuni attacchi che riguardano esclusivamente l’infrastruttura blockchain.
A tal riguardo, è necessario menzionare l’attacco DDoS (Direct Denial of Service) con riferimento alla blockchain. Con un siffatto attacco informatico il cyber criminale tenta di paralizzare il nodo di una blockchain inondandolo con un volume elevato di traffico.
Così come avviene per un sito web che quando un enorme volume di richieste al server viene inviato continuamente per un certo periodo di tempo, impedisce alle richieste legittime di ricevere le risorse di cui hanno bisogno.
Nel caso di un nodo blockchain, vengono inviati enormi volumi di transazioni piccole o non valide al solo scopo di impedire l’elaborazione di transazioni legittime.
Le principali reti blockchain sono costantemente sotto attacco di tentativi DDoS, ma le decisioni di progettazione prese nello sviluppo della rete agiscono per mitigarne il rischio.
Di fronte a un attacco DDoS di successo, non vi è alcuna minaccia di fondi rubati o di sicurezza compromessa, ma semplicemente un arresto dell’attività di rete (8).
Ulteriore attacco che può definirsi come specifico alla tecnologia in commento è il c.d. attacco del 51% o Majority Attack. Poiché la sicurezza di una blockchain è direttamente collegata alla potenza del computer che costruisce la catena, una minaccia è legata alla possibilità che un attaccante ottenga il controllo della maggior parte della potenza hash sulla rete.
Ciò consentirebbe all’aggressore di aprire la porta alla “doppia spesa”, un metodo per frodare una criptoasset.
Questo metodo implica l’invio di transazioni alla catena, la ricezione del bene o del servizio per cui la transazione viene pagata e successivamente l’hashpower di maggioranza per imporre la blockchain in un punto precedente alla transazione.
Ciò cancella efficacemente quella transazione dalla cronologia della catena, consentendo all’aggressore di effettuare transazioni con le stesse monete una seconda volta.
Ottenere una maggioranza di hashpower non consentirebbe ad un utente malintenzionato di creare criptoasset, accedere a indirizzi o compromettere la rete in qualsiasi altro modo, il che limita il danno di questo attacco.
Tuttavia, il più grande effetto di un tale attacco potrebbe essere la perdita di fiducia nella rete aggredita e un successivo drastico calo indotto nel prezzo delle attività di qualsiasi token sulla rete.
Questo tipo di attacco di maggioranza è molto costoso da attuare e, di conseguenza, le principali architetture di blockchain hanno poco da temere da un attacco del 51%, in virtù del fatto che qualsiasi attaccante (9) impiegherebbe delle risorse enormi per perpetrarlo.
Dalla breve analisi effettuata emerge come la tecnologia blockchain si possa definire robusta e promettente con riferimento alla cybersicurezza. Nonostante esistano vari possibili approcci di attacchi informatici, pochi di essi risultano essere riusciti e sono passati finora alla storia (10).
Una tecnologia robusta, tuttavia, non ha impedito il furto di enormi quantità di denaro (virtuale) e dati degli utenti.
Mentre, infatti, come visto, la sicurezza della tecnologia che “crea”, tra le altre cose, criptovalute rimane quasi intatta, la sicurezza dei portafogli, degli scambi e degli account dei servizi di terze parti che ruotano attorno alla tecnologia blockchain risulta essere completamente inadeguata (e ciò, come accennato, ha consentito la sottrazione indebita, nel corso degli anni, di milioni e milioni di dollari in bitcoin e altre criptovalute).
Mentre gli attacchi delineati direttamente alla tecnologia blockchain sono, come visto, per lo più teorici, tutt’altro discorso riguarda gli attacchi afferenti al c.d. fattore umano dell’utilizzare della citata tecnologia.
L’utilizzo della blockchain deve necessariamente comportare anche il contemperamento delle esigenze di sicurezza digitale.
Per ottenere un sistema sicuro occorrono, infatti, l’attuazione di comportamenti corretti e consapevoli da parte delle risorse, la predisposizione di strumenti operativi ed una vasta gamma di procedure di gestione che, se correttamente realizzati, permetteranno all’azienda (e al singolo utente) di mitigare adeguatamente i rischi per i propri dati e informazioni, predisporre adeguate difese per colmare le debolezze strutturali, stando al passo con la produzione e diffusione sempre più rapida di nuove varianti di attacchi.
In considerazione del crescente valore e delle molteplici possibilità di fruizione, inoltre, è di fondamentale importanza, ad avviso dello scrivente analizzare, tra le altre cose, gli aspetti legali correlati alla blockchain.
Giova, a tal riguardo, ricordare che la European Union Blockchain Observatory & Forum, su iniziativa della Commissione europea, ha di recente pubblicato un report (11) nel quale vengono trattate le principali questioni tecnico-giuridiche connesse all’adozione della blockchain indicando, altresì, possibili soluzioni che consentirebbero di superare lo stallo tra gli elementi digitali alla base del funzionamento della blockchain e gli aspetti normativi, assicurando la compliance tra tecnologia e framework normativo di riferimento.
Ricercando un (oggettivamente difficile) equilibrio tra innovazione e protezione, una regolamentazione condivisa a livello europeo permetterebbe, tra le altre cose, di recepire le principali novità in materia digitale e scegliere l’approccio normativo più pertinente rispetto alle esigenze del settore con conseguente armonizzazione della disciplina a livello comunitario.
Inoltre, ponendo come base di partenza un’approfondita conoscenza delle piattaforme e delle modalità operative, accompagnata da un’adeguata informazione indirizzata agli utenti, si potrebbe poi attuare un costante monitoraggio sulle finalità per le quali gli operatori economici si servono della blockchain, verificando che l’adozione di questo strumento non venga destinato ad attività illegali.
Approfondire lo studio di questa emergente tecnologia, testandone l’affidabilità, i benefici e lo sviluppo all’interno delle realtà economiche è fondamentale per adeguarlo ai cambiamenti cui è costantemente sottoposto, esercitare il controllo e comprenderne le implicazioni legali.
A cura di Alessandro Livi ed Erica Onorati, Team Legal Telsy
(1) Https://it.cointelegraph.com/news/institutional-custody-is-key-as-kpmg-estimates-98-billion-in-crypto-stolen-since-2017.
(2) Si v., ex multis, MONTESSORO, Cybersecurity: conoscenza e consapevolezza come prerequisiti per l’amministrazione digitale in Istituzioni del Federalismo, 2019, 3, p. 783.
(3) Per transistor si intende un dispositivo elettronico a semiconduttore, dotato di tre elettrodi (emettitore, collettore e base), in grado di amplificare la potenza di un segnale elettrica.
(4) Si v., a tal riguardo, la ricerca Cost of Data Breach Report 2020 di IBM Security, dove emerge gli attacchi cyber causati da errore umano e hanno causato un danno economico medio di 3,33 milioni di dollari. Le violazioni più frequenti sono però dovute ad attacchi malevoli (52% dei casi) e hanno generato un danno medio di 4,27 milioni di dollari per singolo attacco. La ricerca menzionata è consultabile al seguente indirizzo: https://www.ibm.com/downloads/cas/QMXVZX6R.
(5) Per lo studio completo del progetto citato si v. FRUMENTO, PURICELLI, FRESCHI, ARIU, WEISS, DAMBRA, COTOI, ROCCETTI, RODRIGUEZ, ADREI, MARINELLI, KANDELA, PACHEGO, The role of Social Engingerring in evolution of attacks, 2016, consultabile al seguente link: https://www.dogana-project.eu/images/PDF_Files/D2.1-The-role-of-SE-in-the-evolution-of-attacks.pdf. A tal riguardo, di particolare interesse è il passaggio nel quale viene descritto come “People’s vulnerability is based primarily on their naivety and lack of cybersecurity knowledge, such as how to use ICT tools in a safe way. Hence, these kind of attacks (e.g. stealing bank codes and passwords) exploit the behaviour habits and trusting nature of users. Nowadays, by focusing on manipulating humans, SE attacks pose the most significant security risks since they are more challenging to detect”.
(6) Per una trattazione dell’argomento si v. FLORINDI, Criptovalute: manuale di sopravvivenza, Milano, 2018.
(7) Il phishing nasce come un “fenomeno di social engineering che, tramite invio da parte di ignoti truffatori di messaggi di posta elettronica ingannevole, spinge le vittime designate a fornire volontariamente informazioni personali. L’obiettivo di carpire l’identità elettronica (identify theft), secondo numerosi tentativi fraudolenti registrati dagli analisti, è realizzato anche attraverso software malevoli (malware) quali trojan o spyware” Cit. CAJANI, COSTABILE, MAZZARACO, Phishing e furto d’identità digitale indagini informatiche e sicurezza bancaria, Roma, 2008.
(8) Per una trattazione completa degli attacchi si v., tra gli altri, NOVELLI, Guida introduttiva agli attacchi Denial of Service, Fondamentali sulla Sicurezza Informatica del gruppo InforgeSec, Independently published, 2015 dove si specifica come vi siano varie categorie di attacchi Dos e di come essi possono essere raggruppati, a titolo meramente esemplificativo, in 3 macrocategorie, ossia, (i) gli attacchi volumetrici; (ii) attacchi a protocollo; e (iii) attacco a livello applicazione.
(9) Sul punto si v. DEY, A Proof of Work: Securing Majority-Attack In Blockchain Using Machine Learning And Algorithmic Game Theory I.J. in Wireless and Microwave Technologies, 2018, 5, 1-9, dove l’Autore spiega proprio la difficoltà di attuare l’attacco in commento sulle principali blockchain utilizzate. In particolare, riprendendo pedissequamente quanto affermato “[b]lockchain’s vast applications in different industries have drawn several researchers to pursue extensive research in securing blockchain technologies. In recent times we could see several institutions coming together to create consortium based blockchain networks such as Hyperledger. Although for applications of blockchain such as Bitcoin, Litcoin, etc. the majority-attack might not be a great threat but for consortium based blockchain networks where we could see several institutions such as public, private, government, etc. are collaborating, the majority-attack might just prove to be a prevalent threat if collusion among these institutions takes place. This paper proposes a methodology where we can use intelligent software agents to monitor the activity of stakeholders in the blockchain networks to detect anomaly such as collusion, using supervised machine learning algorithm and algorithmic game theory and stop the majority attack from taking place”.
(10) Sul punto, giova sottolineare come, in realtà, si stiano studiando delle soluzioni di cybersecurity basate proprie su tecnologia blockchain. Sul punto, si v., ex multis, MALEH, SHOJAFAR, ALAZAB, Blockchain for Cybersecurity and Privacy, Achitectures, Challenges and Applications, Boca Raton, 2020.
(11) EUROPEAN UNION BLOCKCHAIN OBSERVATORY & FORUM, Blockchain And Cyber Security, 2020. Per una trattazione completa dell’argomento il citato testo è consultabile al seguente indirizzo digitale: https://www.eublockchainforum.eu/sites/default/files/reports/report_security_v1.0.pdf.
Per altri articoli relativi alla normativa sulla cybersecurity si rimanda a https://www.telsy.com/it/categoria/legal/
Gli autori
Alessandro Livi si è laureato con il massimo dei voti presso l’Università degli Studi di Roma “Tor Vergata” discutendo una tesi in Diritto Privato Comparato dal titolo: “Il diritto d’autore internazionale nella società digitale, tra nuove tutele e nuovi conflitti”. Dottore di ricerca presso l’Università degli Studi di Roma “Tor Vergata”, Alessandro è, altresì, cultore della materia di Diritto Privato Comparato presso la citata Università nonché di Market Law and Regulation presso l’università LUISS Guido Carli. Prima di entrare in Telsy, ha prestato la propria attività, tra le altre cose, nell’ambito della contrattualistica d’impresa, del diritto societario, del diritto commerciale e del diritto finanziario presso studi legali di primario livello, sia nazionali che internazionali, nonché, in qualità di Legal Consuel, in contesti aziendali. È, infine, autore di diverse pubblicazioni in materia di diritto societario, fintech e cybersecurity law.
Erica Onorati, laureata in giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Junior Legal Counsel in Telsy, con un focus incentrato sulla gestione della contrattualistica d’impresa e sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale.