A seguito del fallimento di una azienda italiana (Tribunale di Firenze, sentenza 18/2019 pubblicata il 21/01/2019) che si occupava di deposito di fondi e ordini di acquisto e vendita di criptovalute è interessante valutare le criticità emerse. Come può essere distinto il concetto di sicurezza e immutabilità della tecnologia alla base della blockchain rispetto alla effettiva sicurezza dei dati contenuti nelle numerose applicazioni sviluppate, anche sulla base della stessa tecnologia, sia in ambito finanziario che in ambito corporate?
Security By Design
Partiamo dall’analisi del punto più importante. Blockchain non è un elemento unico, monolitico, è un principio di architettura. Blockchain non è sinonimo di sicurezza in senso assoluto poiché i vari componenti del sistema possono essere più o meno vulnerabili, come tanti altri sistemi informatici.
Un’applicazione costruita utilizzando la “blockchain”è fatta di sistemi software/hardware (nodi), piattaforme con codici open source/proprietari, amministratori (esseri umani).
Nel caso di specie il software di un “exchange di criptovalute”, ovvero una sorta di intermediario finanziario online, presentava dei bug software che hanno permesso operazioni finanziarie non corrette. Si legge infatti nella sentenza:
“Quanto alle cause dell’ammanco, è stato appurato che le stesse siano derivate dalla sommatoria di più richieste inviate […] che hanno causato doppi o multipli prelievi a fronte invece della singola richiesta…”.
Gli utenti potevano in questo caso trasmettere ordini di pagamento in rapida sequenza superando la loro disponibilità, ciò era permesso perché tutta la criptovaluta era conservata in un unico portafoglio con saldo sufficiente a soddisfare le richieste.
Il CTU (consulente tecnico informatico del magistrato) infatti ha rilevato la mancanza di caratteristiche nel software in grado di garantire l’idempotenza, ovvero la capacità di eseguire una volta sola un comando identico eseguito in rapida successione. In questo caso il principio blockchain non ha trovato una implementazione in grado di garantire il funzionamento corretto del servizio, e ulteriormente ha generato un danno economico non tracciabile a ritroso.
Forensic Readiness
Altro aspetto rilevante, che riguarda le aziende che trattano dati finanziari o riservati (progetti, sviluppo software, brevetti, farmaceutiche…) è la capacità di reagire e far fronte ad un incidente informatico o a un furto di informazioni.
Sono in grado di capire cosa mi ha colpito? Dove sono andati i dati? Chi ha avuto accesso ad un sistema?
Nella sentenza di fallimento è evidente come le basilari operazioni di ricostruzione siano impossibili. Si legge nella sentenza: "l'unico modo per attribuire a un utente il suo capitale è quello di valutare i dati contenuti sul database, non essendo i wallet fisicamente distinti. Non è però possibile in caso di ammanco, capire di quale utente fossero i fondi scomparsi, dato che i fondi di tutti gli utenti venivano raccolti su di un unico conto."
La Forensic readiness è un tema che sempre piú deve essere portato all’attenzione della direzione aziendale e deve partire da un censimento delle informazioni vitali per la business continuity e per la salvaguardia della reputazione aziendale.
Data Retention
Per quanto tempo conservare i dati e i log delle operazioni svolte. Esigenze di privacy da un lato, esigenze di sicurezza e contrasto alle frodi dall’altro.
Nella sentenza si evidenzia il lungo periodo intercorso tra l’evento dannoso fraudolento, la scoperta e la denuncia.
“L’ammanco denunciato a febbraio 2018 è risultato in realtà coinvolgere un periodo che va da maggio 2017 a gennaio 2018”.
Dal nostro punto di vista sono cardine per il mondo corporate due normative:
- Il GDPR che richiede una adeguata protezione delle informazioni (come il nostro fraudpattern.com) e sistemi di DLP (data loss prevention).
- Il D.Lgs 151/2015 per quanto concerne gli strumenti di lavoro aziendali.
A tal proposito, specialmente per le PMI potrebbe essere interessante rivedere le policy sull’utilizzo degli strumenti aziendali, prevedendo in modo conforme al D.Lgs 151/2015 (c.d. Nuovo Art. 4),
Affidabilitá e Credibilità di sistemi blockchain: Due Diligence Software
Nel caso di specie abbiamo visto una totale mancanza di sensibilità alla sicurezza sin dalla progettazione, una mancata implementazione di misure di forensic readiness, una struttura di controllo che ha scoperto e denunciato una vulnerabilità gravissima a mesi di distanza, nessuna tutela per gli utenti.
Le app di exchange trattano “denaro” (criptovalute), ma quali garanzie hanno gli utenti? Come possono capire che solidità ha realmente la struttura a cui stanno affidando del denaro?
A queste domande non è possibile dare una risposta poiché questi soggetti nascono da iniziative private, senza obblighi di compliance o audit ispettivi obbligatori, né obblighi di verifica dei propri sistemi o delle procedure di sicurezza a tutela per i consumatori.
Nel caso vogliate affidarvi a tali sistemi al momento dovreste a nostro avviso considerarli strumenti di trading speculativo ad alto rischio (nel senso più ampio del termine) o strumenti di pagamento innovativi per esigenze specifiche.
Nel caso invece siate interessati ad acquisire (M&A) o utilizzare a fini aziendali “sistemi Blockchain” è prudenziale svolgere attivitá di Due Diligence Software per poter comprendere meglio le potenziali criticitá tecniche sia in termini di rischio di attacchi cyber, sia in termini di utilizzo commerciale del software.
Hai degli asset di valore della tua azienda? Noi possiamo aiutarti a proteggerli.