“Cosa c’è a Teramo che qui non c’è?” mi chiedo mentre, piacevolmente, mi ascolto i Pre-Cog in the Bunker.

iyezine.com/pre-cog-in-the-bun…

Pre-cog IN the Bunker - “pre-cog’s Dream” 7″ 2019 & “what If” Cd 2020

^{In Your Eyes ezine}

Allarme cybersicurezza nella Ue, dopo lo scoppio della guerra in Ucraina. I governi europei hanno siglato una dichiarazione congiunta per rafforzare la cybersecurity continentale, che prevede la creazione di un fondo europeo per sostenere le iniziative nazionali.

La misura è stata adottata ieri in un summit informale dei ministri europei delle telecomunicazioni organizzato dalla presidenza francese della Ue a Nevers.L’agenda del summit è stata sconvolta completamente dallo scoppio della guerra in Ucraina.

“I recenti cyberattacchi che hanno preso di mira l’Ucraina in un contesto di crescenti tensioni geopolitiche hanno mostrato l’importanza della dimensione cyber nei conflitti di oggi”, si legge nella bozza dell’accordo vista da Euractiv.

Piano straordinario della Ue

“Pur riconoscendo l’importanza per l’UE di sostenere con forza la resilienza informatica dell’Ucraina, il possibile effetto di ricaduta di tali attacchi informatici alle reti europee evidenzia anche la necessità che l’UE porti avanti un piano ambizioso e completo per la sua sicurezza informatica”.

Un massiccio cyberattacco per ammonire i cittadini Ucraini di “aver paura e di aspettarsi il peggio” ha colpito i siti del governo lo scorso 13 gennaio, lasciando inaccessibili alcuni siti nella mattina di venerdì e spingendo Kiev ad aprire un’indagine.

I ministri dell’Ue hanno firmato un elenco di azioni per affrontare queste sfide imminenti, compreso un invito alla Commissione europea a istituire un nuovo Fondo di risposta alle emergenze per la cybersicurezza inteso a preparare l’Ue ad affrontare attacchi informatici su larga scala.

Servono più fondi per la cybersecurity

I governi nazionali vogliono anche ulteriori finanziamenti dell’Ue per aiutare gli Stati membri a potenziare le proprie capacità di sicurezza informatica contribuendo a creare un mercato per fornitori di servizi di sicurezza informatica affidabili per gli audit della sicurezza informatica e la risposta agli incidenti

Il finanziamento dovrebbe rafforzare la resilienza degli operatori a rischio, quelli che sarebbero un obiettivo primario in caso di conflitto, favorendo anche lo sviluppo di un ecosistema di sicurezza informatica.

“incoraggiare lo sviluppo di tali fornitori dell’Ue dovrebbe essere una priorità della politica industriale dell’UE nel campo della sicurezza informatica”, ha aggiunto la dichiarazione.

Il documento esorta inoltre le autorità europee competenti come la Commissione europea, le autorità nazionali di regolamentazione delle telecomunicazioni, l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) e il gruppo di cooperazione per la sicurezza delle reti e delle informazioni (NIS) a presentare una serie di raccomandazioni su come rafforzare la resilienza dell’infrastruttura digitale europea.

L’infrastruttura delle telecomunicazioni è stata oggetto di un input paper diffuso dalla Presidenza francese prima della discussione, visto anche da EURACTIV. Il documento di input indica la dipendenza dalle infrastrutture dell’Europa, dalle connessioni Internet globali ai cavi sottomarini, di proprietà principalmente di società americane e cinesi. Il documento sostiene l’aumento della resilienza delle reti europee attraverso la diversificazione dell’infrastruttura backbone, anche con l’iniziativa lanciata di recente.

Breton: ‘Sovranità tecnologica europea essenziale’

l termine di una riunione dei ministri europei delle telecomunicazioni di mercoledì, Thierry Breton, il Commissario responsabile per il mercato interno, ha insistito sulla necessità che l’UE disponga di reti proprie sicure e ridondanti.
L’attacco informatico al satellite americano Viasat, all’inizio dell’invasione russa dell’Ucraina, ha dimostrato quanto siano essenziali e strategiche le reti di telecomunicazioni. Non è chiaro se dietro ci sia Mosca, ma tutti gli occhi sono puntati sul Cremlino. Questa offensiva ha privato decine di migliaia di ucraini ed europei di Internet. Un problema che ha ricordato all’Unione Europea (UE) l’importanza di avere infrastrutture affidabili, sicure e soprattutto sovrane. Nel corso di una conferenza stampa questo mercoledì, al termine di una riunione informale dei ministri europei delle telecomunicazioni, nell’ambito della presidenza francese del Consiglio dell’UE, Thierry Breton, commissario europeo responsabile del mercato interno, ha ritenuto che questo argomento fosse “essenziale”. Dopo l’attacco al satellite Viasat, “ci è voluta una società privata [Starlink, la costellazione di satelliti di Elon Musk, ndr] per sostenere [l’Ucraina] per fornire servizi complementari”, ha detto. “Per noi, questo non è accettabile”, ha continuato.

Per Breton essenziale che l’Europa si doti di costellazione di satelliti a bassa quota

A questo livello, dobbiamo essere sovrani. Per Breton, è essenziale che l’Europa disponga di proprie alternative alle infrastrutture di telecomunicazioni terrestri, qualora queste ultime dovessero essere vittime di attacchi informatici o danni intenzionali. A questo proposito, Thierry Breton ritiene ancora più importante che l’Europa acquisisca rapidamente una propria costellazione di satelliti a bassa orbita. Anche se il suo lancio è attualmente previsto solo per il 2024… Garantire la “resilienza” delle infrastrutture di comunicazione I ministri europei delle telecomunicazioni sono tutti d’accordo: è fondamentale che l’UE rafforzi la “resilienza” e la protezione delle sue reti di telecomunicazioni, che sono essenziali per il corretto funzionamento di Internet. Ciò riguarda le infrastrutture terrestri. Ma anche i cavi sottomarini, queste autostrade in fibra ottica appoggiate sul fondo del mare, da cui l’Europa dipende oggi per il buon funzionamento del suo ecosistema digitale. La NATO teme da anni, ben prima della guerra in Ucraina, che la Russia un giorno attacchi queste infrastrutture vitali per il Vecchio Continente.

The post Guerra in Ucraina, la Ue verso un fondo di emergenza per la cybersecurity contro la minaccia Russa appeared first on Key4biz.

Dopo aver affrontato le basi dell’OPSEC (Operation security), oggi vi suggerisco qualche strumento per ottenere un ragionevole livello di anonimato online. Dico ragionevole perché l’anonimato assoluto non esiste. È uno spettro variabile e dinamico, che cambia in base al contesto.

Come registrarsi in modo anonimo a servizi online

Molti servizi oggi richiedono un qualche tipo di registrazione e identificazione dell’utente per poter essere usati. Alcuni si accontentano di una email, altri chiedono anche un numero di telefono.

1) verifica tramite email

L’email è ormai un punto nevralgico delle nostre identità online, soprattutto per gli indirizzi a cui abbiamo collegato social network, account bancari e sistemi di pagamento. Usare questi indirizzi per iscriversi a servizi non essenziali non è mai una buona idea, perché aumenta esponenzialmente la nostra superficie di rischio in caso di violazione di dati.

Se non ci credi, prendi una email che usi spesso per registrarti a servizi online e inseriscila qui. Molto probabilmente scoprirai che è stata oggetto di qualche furto di dati.

Questo è il motivo per cui è sempre preferibile usare email usa e getta per iscriversi a servizi non essenziali.

Un servizio che uso spesso è Guerrilla Mail, che permette di creare una email in pochi secondi, senza alcuna registrazione, e usarla per il tempo necessario per la registrazione.

La mail creata può essere usata anche per inviare messaggi, e anche questo può essere utile. Attenzione però: non è una mail cifrata, quindi i messaggi inviati sono in chiaro (come gmail e altre email normali) - non confondere privacy delle comunicazioni con anonimato.

3) verifica tramite sms

I servizi che non si accontentano dell’email, ma che hanno bisogno per qualche motivo anche di un numero di telefono, sono più complessi da bypassare.

Il problema è che il numero di telefono è anche molto più sensibile dell’email, per ovvi motivi.

Un servizio utile in questo senso, che ho scoperto da poco, è textverified. È un servizio che permette di noleggiare un numero voip per ricevere chiamate e sms. Può essere usato per registrarsi online e anche per multi-factor authentication.

Subscribe now

Il servizio è a pagamento, ma la cosa buona è che si può pagare con Bitcoin, Litecoin o Ethereum, evitando così di lasciar traccia della transazione alla banca.

Il funzionamento è molto semplice: cerchi il servizio a cui vuoi registrarti, verifichi le funzionalità disponibili (sms, voce, ecc.) e acquisti il numero voip da usare per ricevere l’sms o la chiamata di verifica in tempo reale. Easy peasy.

Una SIM anonima?

Grazie alla tecnologia eSIM, introdotta in Italia a partire dal 2019, oggi è possibile accedere a servizi dati e telefonia mobile senza possedere una SIM fisica. Se il telefono è abilitato a usare eSIM, è sufficiente attivare il servizio digitale inquadrando il QR code del servizio. Operatori come TIM e Vodafone offrono già questo tipo di servizio in Italia.

Ma oggi esistono anche operatori che offrono eSIM anonime, cioè senza alcuna verifica dell’identità. La cosa bella è che è possibile acquistare numerazioni da tutto il mondo, senza essere limitati geograficamente. Uno di questi è silent.link, che offre due piani tariffari: solo dati (4G/5G) oppure dati + voce.

Anche in questo caso la forza del servizio è che si può pagare tramite Bitcoin, evitando di lasciar tracce evidenti.

Un commento sull’uso di Bitcoin

Come visto, alcuni di questi servizi danno la possibilità di pagare in Bitcoin. Il motivo è che le transazioni in Bitcoin non richiedono procedure KYC (Know Your Customer) - cioè non hanno bisogno di identificare le parti per poter acquistare e vendere servizi.

Ma questo non significa che usare Bitcoin garantisca anonimato. Anzi, è l’esatto contrario: il protocollo Bitcoin è estremamente trasparente e pseudoanonimo. Sembra paradossale, ma una transazione bancaria è più riservata (verso i terzi) rispetto a una transazione Bitcoin. D’altronde, sono tutte accessibili pubblicamente.

Subscribe now

Un esempio di indirizzo Bitcoin

Senza le dovute precauzioni un attaccante interessato a sorvegliare le nostre azioni (es. lo Stato) potrà comunque essere in grado di collegare una transazione Bitcoin alla nostra identità reale.

Ma allora perchè preferire Bitcoin rispetto alle banche?

Come ogni ambito umano, è tutta una questione di (dis)incentivi economici. Grazie ai meccanismi di pseudoanonimizzazione, analizzare le transazioni Bitcoin ed essere in grado di risalire all’identità reale di una persona non è facile. Servono strumenti, tempo e risorse. Tutto il protocollo Bitcoin è pensato per essere estremamente trasparente, ma al tempo stesso minimizzare all’osso i dati richiesti per effettuare una transazione. Questo rende la vita molto difficile a chiunque voglia scoprire l’identità di qualcuno.

È talmente complesso che gli Stati Uniti ci hanno messo più di 6 anni per recuperare l’equivalente di 5 miliardi di dollari in Bitcoin, rubati nell’hack di Bitfinex del 2016.

Se una delle maggiori potenze al mondo ha impiegato 6 anni per recuperare 5 miliardi di dollari, molto probabilmente il costo e le risorse necessarie per sorvegliare delle transazioni di alcune migliaia di euro rendono il tutto estremamente sconveniente da un punto di vista economico.

Viceversa, le banche e gli intermediari di pagamento tradizionali sono obbligati a conservare un elevatissimo quantitativo di dati personali e metadati, appositamente trattati e archiviati per permettere l’identificazione delle persone col minor sforzo possibile. L’incentivo in questo caso è all’identificazione, non il contrario.

A questo bisogna aggiungere che Bitcoin oggi ha a disposizione degli strumenti (Coinjoin) che permettono di ottenere un certo grado di plausible deniability sulle transazioni.

Per plausible deniability intendo la capacità di poter ragionevolmente negare qualsiasi collegamento con una determinata azione. In pratica, un attaccante farà molta difficoltà a sostenere che quella transazione è proprio la nostra.

Ma di questo magari ne parlerò la prossima volta.

Hai già risposto al sondaggio che ho proposto qualche giorno fa? Aiutami a migliorare Privacy Chronicles, ci vogliono 5 minuti!

Partecipa al sondaggio

Chi vuole può adesso sottoscrivere un abbonamento (mensile o annuale) a Privacy Chronicles.

Continuerò a scrivere contenuti gratuiti e pubblici, come questo, ma l’obiettivo è rendere sostenibile nel tempo il progetto e aiutarmi a dedicare le risorse (tempo ed energia) che servono per garantire sempre contenuti di qualità.

Grazie, alla prossima Chronicle!

Subscribe now

privacychronicles.substack.com…

Riconoscimento facciale: il Garante privacy sanziona Clearview per 20 milioni di euro. Vietato l’uso dei dati biometrici e il monitoraggio degli italiani

Il Garante per la protezione dei dati personali ha imposto una sanzione di 20 milioni di euro alla società americana Clearview AI, per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano. L’Autorità ha ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale.

garanteprivacy.it/home/docweb/…

Le normative globali sulla privacy stanno cambiando: cosa devono sapere gli inserzionisti in diversi mercati

Negli ultimi mesi, il panorama globale della privacy ha iniziato a cambiare. Diversi paesi hanno iniziato ad elaborare ed attuare un’articolata legislazione nazionale sulla privacy. Tra questi ci sono la Cina e gli Emirati Arabi Uniti (UAE). Entrambe le leggi di questi paesi sono modellate sul Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea, con alcune differenze chiave che influiscono notevolmente sugli sforzi di conformità

cpomagazine.com/data-protectio…

DPA tedesco pubblica la guida aggiornata sui cookie

Il Commissario per la protezione dei dati e la libertà di informazione del Baden-Württemberg ha pubblicato una nuova guida aggiornata sui cookies. Il commissario Stefan Brink ha affermato: “I cookie e il tracciamento hanno trasformato Internet e i nostri smartphone – un tempo luoghi di libertà e autodeterminazione – in spazi monitorati intensamente. Queste misure di sorveglianza sono ora percepite come normali, proprio come se non ci fossero alternative. L’invasione dei diritti civili a volte è massiccia. I chiari vantaggi della digitalizzazione sarebbero messi in discussione se potessero essere ottenuti solo al prezzo della rinuncia ai nostri diritti civili”.

baden-wuerttemberg.datenschutz…

guidoscorza.it/privacy-daily-1…

Stop e sanzione da 20 mln di euro a Clearview AI per aver trattato illegittimamente i volti e i dati biometrici di milioni di persone anche in Italia. Guarda il mio video intervento su Agenda Digitale. E seguici con l’hashtag: #iprovvedimentispiegatisemplice

youtube.com/embed/cgwvU845KOo?…

guidoscorza.it/maxi-multa-a-cl…

#privacy #gdpr #digitalrights #dsgvo #TeamDatenschutz #dataprotection #datenschutz #darkpatterns

mastodon.social/@noybeu/107927…

⚖ New Decision: Italian DPA fines facial recognition company "Clearview" € 20 million. Clearview must stop scraping images and metadata of people in Italy and delete whatever data was gathered via their facial recognition system. 🎭 garanteprivacy.it/web/guest/ho…

mastodon.social/@noybeu/107927…

Stop e sanzione da 20 mln di euro a Clearview AI per aver trattato illegittimamente i volti e i dati biometrici di milioni di di persone anche in Italia.
Tutti i dettagli nella puntata con Matteo Flora!

Guarda il video:

youtube.com/embed/ntuIpNYFZds?…

guidoscorza.it/garantismi-clea…

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.