Il nuovo anno è iniziato con la notizia che il noto imprenditore di Web3 Kevin Rose vittima di una truffa di phishing in cui ha perso oltre $ 1 milione di token non fungibili (NFT).
Quando le principali istituzioni finanziarie inizieranno a fornire servizi relativi a Web3, criptovalute e NFT, sarebbero custodi delle risorse dei clienti. Devono proteggere i loro clienti da malintenzionati e identificare se i beni dei clienti sono stati ottenuti attraverso attività illecite.
L'industria delle criptovalute non ha facilitato le funzioni antiriciclaggio (AML) all'interno delle organizzazioni. Il settore ha innovato costrutti come ponti a catena incrociata, mixer e catene di privacy, che hacker e ladri di criptovalute possono utilizzare per offuscare le risorse rubate. Pochissimi strumenti o framework tecnici possono aiutare a navigare in questa tana del coniglio.
Le autorità di regolamentazione hanno recentemente preso di mira alcune piattaforme crittografiche, facendo pressioni sugli scambi centralizzati per rimuovere i token per la privacy. Nell'agosto 2022, la polizia olandese ha arrestato lo sviluppatore di Tornado Cash Alexey Pertseve da allora hanno lavorato per controllare le transazioni attraverso i mixer.
Sebbene la governance centralizzata sia considerata antitetica all'ethos Web3, il pendolo potrebbe dover oscillare nella direzione opposta prima di raggiungere una via di mezzo equilibrata che protegga gli utenti e non limiti l'innovazione.
E mentre le grandi istituzioni e banche devono affrontare le complessità tecnologiche di Web3 per fornire servizi di risorse digitali ai propri clienti, saranno in grado di fornire un'adeguata protezione dei clienti solo se dispongono di un solido framework AML.
I framework AML avranno bisogno di diverse funzionalità che le banche devono valutare e costruire. Queste funzionalità potrebbero essere sviluppate internamente o ottenute collaborando con soluzioni di terze parti.
Alcuni fornitori in questo spazio sono Solidus Labs, Moralis, Cipher Blade, Elliptic, Quantumstamp, TRM Labs, Crystal Chain e Chainalysis. Queste aziende si concentrano sulla fornitura di framework AML olistici (full-stack) a banche e istituzioni finanziarie.
Affinché queste piattaforme di fornitori forniscano un approccio olistico all'antiriciclaggio sulle risorse digitali, devono avere diversi input. Il fornitore fornisce molti di questi, mentre altri provengono dalla banca o dall'istituto con cui lavorano.
Fonti di dati e input
Le istituzioni hanno bisogno di un sacco di dati provenienti da varie fonti per identificare efficacemente i rischi AML. L'ampiezza e la profondità dei dati a cui un'istituzione può accedere deciderà l'efficacia della sua funzione antiriciclaggio. Di seguito sono riportati alcuni degli input chiave necessari per l'antiriciclaggio e il rilevamento delle frodi.
La politica antiriciclaggio è spesso una definizione ampia di ciò a cui un'azienda dovrebbe prestare attenzione. Questo è generalmente suddiviso in regole e soglie che aiuteranno ad attuare la politica.
Una politica antiriciclaggio potrebbe stabilire che tutte le risorse digitali collegate a uno stato-nazione sanzionato come la Corea del Nord debbano essere contrassegnate e affrontate.
La politica potrebbe anche prevedere che le transazioni vengano contrassegnate se più del 10% del valore della transazione può essere ricondotto a un indirizzo di portafoglio che contiene i proventi di un noto furto di beni.
Ad esempio, se 1 Bitcoin (BTC) viene inviato in custodia a una banca di primo livello e se 0.2 BTC avevano la sua fonte in un portafoglio contenente i proventi dell'hacking di Mt. Gox, anche se sono stati fatti tentativi per nascondere la fonte eseguendo 10 o più salti prima di raggiungere la banca, ciò solleverebbe una bandiera rossa AML per avvisare la banca di questo potenziale rischio.
Recente: Morte nel metaverso: Web3 si propone di offrire nuove risposte a vecchie domande
Le piattaforme AML utilizzano diversi metodi per etichettare i portafogli e identificare la fonte delle transazioni. Questi includono la consultazione di intelligence di terze parti come elenchi governativi (sanzioni e altri cattivi attori); indirizzi crittografici di web scraping, darknet, siti Web di finanziamento del terrorismo o pagine Facebook; impiegare un'euristica di spesa comune in grado di identificare gli indirizzi crittografici controllati dalla stessa persona; e tecniche di apprendimento automatico come il clustering in grado di identificare gli indirizzi di criptovaluta controllati dalla stessa persona o gruppo.
I dati raccolti attraverso queste tecniche sono l'elemento costitutivo delle capacità fondamentali che le funzioni antiriciclaggio all'interno delle banche e degli istituti di servizi finanziari devono creare per gestire le risorse digitali.
Monitoraggio e screening del portafoglio
Le banche dovranno eseguire il monitoraggio proattivo e lo screening dei portafogli dei clienti, in cui possono valutare se un portafoglio ha interagito direttamente o indirettamente con attori illeciti come hacker, sanzioni, reti terroristiche, mixer e così via.
Una volta che le etichette sono state etichettate sui portafogli, vengono applicate le regole antiriciclaggio per garantire che lo screening del portafoglio rientri nei limiti di rischio.
Indagine sulla blockchain
L'indagine sulla blockchain è fondamentale per garantire che le transazioni che avvengono sulla rete non implichino attività illecite.
Viene eseguita un'indagine sulle transazioni blockchain dalla fonte ultima alla destinazione finale. Le piattaforme dei fornitori offrono funzionalità come il filtraggio del valore della transazione, il numero di hop o persino la capacità di identificare automaticamente le transazioni on-off ramp come parte di un'indagine.
Le piattaforme offrono un grafico del salto pittorico che mostra ogni singolo salto che un asset digitale ha effettuato attraverso la rete per passare dal primo al portafoglio più recente. Piattaforme come Elliptic possono identificare transazioni che derivano anche dal dark web.
Monitoraggio multiasset
Il monitoraggio del rischio in cui vengono utilizzati più token per riciclare denaro sulla stessa blockchain è un'altra capacità fondamentale che le piattaforme AML devono avere. La maggior parte dei protocolli di livello 1 ha diverse applicazioni che hanno i propri token. Le transazioni illecite potrebbero avvenire utilizzando uno qualsiasi di questi token e il monitoraggio deve essere più ampio di un solo token di base.
Monitoraggio cross-chain
Il monitoraggio delle transazioni cross-chain è arrivato per un po' di tempo a perseguitare gli analisti di dati e gli esperti di antiriciclaggio. A parte i mixer e le transazioni sul dark web, le transazioni cross-chain sono forse il problema più difficile da risolvere. A differenza dei mixer e delle transazioni sul dark web, i trasferimenti di risorse cross-chain sono all'ordine del giorno e rappresentano un vero e proprio caso d'uso che promuove l'interoperabilità.
Inoltre, i portafogli che detengono risorse che sono saltate attraverso i mixer e il dark web possono essere etichettati e contrassegnati con una bandiera rossa, in quanto questi sono considerati bandierine gialle dal punto di vista dell'antiriciclaggio. Non sarebbe possibile solo contrassegnare una transazione cross-chain, poiché è fondamentale per l'interoperabilità.
Le iniziative antiriciclaggio relative alle transazioni cross-chain in passato sono state una sfida in quanto i bridge cross-chain possono essere opachi nel modo in cui spostano le risorse da una blockchain all'altra. Di conseguenza, Elliptic ha escogitato un approccio a più livelli per risolvere questo problema.
Lo scenario più semplice è quando il bridge fornisce trasparenza end-to-end attraverso le catene per ogni transazione e la piattaforma AML può prelevarla dalle catene. Laddove tale tracciabilità non è possibile a causa della natura del ponte, gli algoritmi antiriciclaggio utilizzano la corrispondenza del valore temporale, in cui le risorse che hanno lasciato una catena e sono arrivate a un'altra vengono abbinate utilizzando l'ora del trasferimento e il valore del trasferimento.
Lo scenario più impegnativo è dove nessuna di queste tecniche può essere utilizzata. Ad esempio, i trasferimenti di asset al Bitcoin Lightning Network da Ethereum possono essere opachi. In tali casi, le transazioni cross-bridge possono essere trattate come quelle nei mixer e nel dark web e saranno generalmente contrassegnate dall'algoritmo a causa della mancanza di trasparenza.
Selezione intelligente dei contratti
Lo screening dei contratti intelligenti è un'altra area cruciale per proteggere gli utenti della finanza decentralizzata (DeFi). Qui, i contratti intelligenti vengono controllati per garantire che non vi siano attività illecite con i contratti intelligenti di cui le istituzioni devono essere a conoscenza.
Questo è forse più rilevante per gli hedge fund che vogliono partecipare a pool di liquidità in una soluzione DeFi. A questo punto è meno importante per le banche, poiché generalmente non partecipano direttamente alle attività DeFi. Tuttavia, man mano che le banche vengono coinvolte nella DeFi istituzionale, lo screening intelligente a livello di contratto diventerebbe estremamente critico.
Due diligence VASP
Gli scambi sono classificati come fornitori di servizi di risorse virtuali (VASP). La due diligence esaminerà l'esposizione complessiva dello scambio sulla base di tutti gli indirizzi associati allo scambio.
Alcune piattaforme di fornitori AML forniscono una visione del rischio basata sul paese di costituzione, sui requisiti Know Your Customer e, in alcuni casi, sullo stato dei programmi di criminalità finanziaria. A differenza delle funzionalità precedenti, i controlli VASP coinvolgono dati sia on-chain che off-chain.
Recente: La proposta di scambio di criptovalute della borsa di Tel Aviv è un "sistema a circuito chiuso"
L'AML e l'analisi on-chain sono uno spazio in rapida evoluzione. Diverse piattaforme stanno lavorando per risolvere alcuni dei problemi tecnologici più complessi che aiuterebbero le istituzioni a salvaguardare le risorse dei propri clienti. Tuttavia, questo è un lavoro in corso e molto deve essere fatto per disporre di solidi controlli AML per le risorse digitali.
Fonte: https://cointelegraph.com/news/banks-with-crypto-services-require-new-anti-money-laundering-capabilities