2022-02-07 08:50:41 +01:00
|
|
|
|
\documentclass[a4paper]{article}
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\usepackage[T1]{fontenc}
|
2022-02-03 18:52:01 +01:00
|
|
|
|
\usepackage[utf8]{inputenc}
|
2022-02-07 08:50:41 +01:00
|
|
|
|
\usepackage[top=2cm,bottom=2cm]{geometry}
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\usepackage{url}
|
|
|
|
|
\usepackage{amsmath}
|
|
|
|
|
\usepackage{hyperref}
|
|
|
|
|
\usepackage{graphicx}
|
|
|
|
|
\usepackage{natbib}
|
|
|
|
|
\usepackage[italian]{babel}
|
2022-02-08 14:34:05 +01:00
|
|
|
|
\title{Come una banca centrale dovrebbe emettere una moneta digitale}
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\author{David Chaum\footnote{david@chaum.com} \\
|
|
|
|
|
xx Network \and
|
|
|
|
|
Christian Grothoff\footnote{christian.grothoff@bfh.ch} \\
|
|
|
|
|
BFH\footnote{Università di Scienze Applicate di Berna}
|
2022-02-01 10:04:59 +01:00
|
|
|
|
\ e Progetto GNU \and
|
2022-01-31 17:11:13 +01:00
|
|
|
|
Thomas Moser\footnote{thomas.moser@snb.ch} \\
|
|
|
|
|
Banca Nazionale Svizzera}
|
|
|
|
|
\date{Questa versione: febbraio 2022 \\
|
|
|
|
|
Prima versione: maggio 2020}
|
|
|
|
|
|
2022-02-07 08:50:41 +01:00
|
|
|
|
\setlength\parskip{5pt plus 1pt} % More space between paragraphs
|
2022-02-01 12:36:21 +01:00
|
|
|
|
\addto\captionsitalian{\renewcommand{\figurename}{Diagramma}}
|
2022-02-06 12:33:49 +01:00
|
|
|
|
\AtBeginDocument{\renewcommand{\harvardand}{\&}}
|
|
|
|
|
\hyphenation{CBDC}
|
2022-02-01 12:36:21 +01:00
|
|
|
|
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\begin{document}
|
|
|
|
|
|
|
|
|
|
\maketitle
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
\begin{abstract}
|
|
|
|
|
Con l'emergere di Bitcoin e delle criptovalute stabili (per es. Diem,
|
|
|
|
|
già nota come Libra) recentemente proposte dai colossi del web, le
|
|
|
|
|
banche centrali affrontano una crescente concorrenza da parte di
|
|
|
|
|
operatori privati che offrono la propria alternativa digitale al
|
|
|
|
|
contante fisico. Non trattiamo qui la questione normativa se una banca
|
|
|
|
|
centrale debba emettere o meno una moneta digitale. Contribuiamo invece
|
|
|
|
|
all'attuale dibattito di ricerca spiegando in che modo una banca centrale
|
|
|
|
|
potrebbe farlo, se lo volesse. Proponiamo un sistema basato su token
|
|
|
|
|
senza tecnologia di registro distribuito, e mostriamo che le monete
|
|
|
|
|
elettroniche emesse in passato, basate solo su software, possono essere
|
|
|
|
|
migliorate per tutelare la privacy nelle transazioni, soddisfare i
|
|
|
|
|
requisiti normativi in modo efficace e offrire un livello di protezione
|
|
|
|
|
resistente ai computer quantistici contro il rischio sistemico per
|
|
|
|
|
la privacy. Né la politica monetaria né la stabilità del sistema
|
2022-03-09 17:59:24 +01:00
|
|
|
|
finanziario sarebbero realmente interessate da questo sistema, dal
|
2022-02-08 14:34:05 +01:00
|
|
|
|
momento che una moneta emessa in questo modo replicherebbe il contante
|
2022-01-31 17:11:13 +01:00
|
|
|
|
fisico anziché i depositi bancari. \\
|
|
|
|
|
|
|
|
|
|
JEL: E42, E51, E52, E58, G2
|
|
|
|
|
\\
|
|
|
|
|
|
2022-03-09 17:59:24 +01:00
|
|
|
|
Parole chiave: monete digitali, banca centrale, CBDC, firma cieca (\textit{blind signatures}),
|
2022-01-31 17:11:13 +01:00
|
|
|
|
criptovalute stabili, \textit{stablecoins}
|
|
|
|
|
\end{abstract}
|
|
|
|
|
|
|
|
|
|
\vspace{40pt}
|
|
|
|
|
|
|
|
|
|
\section*{Ringraziamenti}
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Vorremmo ringraziare Michael Barczay, Roman Baumann, Morten Bech,
|
|
|
|
|
Nicolas Cuche, Florian Dold, Andreas Fuster, Stefan Kügel, Benjamin
|
|
|
|
|
Müller, Dirk Niepelt, Oliver Sigrist, Richard Stallman, Andreas Wehrli
|
|
|
|
|
e tre collaboratori anonimi per i loro commenti e suggerimenti. Le
|
|
|
|
|
posizioni, le opinioni, i risultati e le conclusioni o raccomandazioni
|
|
|
|
|
espresse in questo documento sono strettamente quelle degli autori.
|
|
|
|
|
Non riflettono necessariamente le posizioni della Banca nazionale
|
|
|
|
|
svizzera (BNS). La BNS declina ogni responsabilità per eventuali
|
2022-01-31 17:11:13 +01:00
|
|
|
|
errori, omissioni o inesattezze che dovessero comparire nel documento.
|
|
|
|
|
|
2022-02-01 11:32:28 +01:00
|
|
|
|
Traduzione: Dora Scilipoti, con contributi da Luca Saiu
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\newpage
|
|
|
|
|
|
|
|
|
|
%\tableofcontents
|
|
|
|
|
|
2022-02-03 18:52:01 +01:00
|
|
|
|
%\bibpunct{(}{)}{ e }{a}{}{,}
|
2022-02-01 17:53:50 +01:00
|
|
|
|
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\section{Introduzione}\label{1.-introduzione}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Dall'avvento dei personal computer negli anni ottanta, e più
|
|
|
|
|
specificamente da quando nel 1991 la \textit{National Science
|
|
|
|
|
Foundation} revocò le restrizioni sull'uso di Internet per scopi
|
|
|
|
|
commerciali, c'è stata una ricerca sulla creazione di moneta digitale
|
|
|
|
|
per i pagamenti online. La prima proposta è stata quella
|
|
|
|
|
di~\cite{Chaum1983}. Sebbene tali metodi siano stati attuati, non hanno
|
|
|
|
|
preso piede; le carte di credito sono invece diventate il metodo più
|
|
|
|
|
diffuso per i pagamenti online. La proposta di~\cite{Nakamoto} per una
|
|
|
|
|
versione puramente \textit{peer-to-peer} di moneta digitale e il
|
|
|
|
|
conseguente lancio di Bitcoin avvenuto con successo hanno inaugurato
|
|
|
|
|
una nuova era di ricerca e sviluppo di valute digitali. La piattaforma
|
|
|
|
|
CoinMarketCap elenca oltre 5.000 criptovalute. Recentemente le banche
|
|
|
|
|
centrali hanno iniziato a considerare, o almeno a studiare,
|
2022-02-03 18:52:01 +01:00
|
|
|
|
l'emissione di monete digitali~\cite[vedi][]{AuerBoehme,AuerCornelli,Boar,Kiff,Mancini-Griffoli}.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
|
2022-03-09 17:59:24 +01:00
|
|
|
|
Attualmente, le banche centrali emettono due tipi di moneta: (i)
|
2022-02-01 10:04:59 +01:00
|
|
|
|
riserve sotto forma di conti di regolamento presso le banche centrali,
|
|
|
|
|
destinate solo agli operatori dei mercati finanziari, e (ii) divisa
|
|
|
|
|
disponibile per tutti sotto forma di banconote. Di conseguenza, la
|
|
|
|
|
letteratura sulla moneta digitale di banca centrale (\textit{Central Bank
|
|
|
|
|
Digital Currency} - CBDC) distingue tra (a) CBDC all'ingrosso ad
|
|
|
|
|
accesso ristretto e (b) CBDC al dettaglio disponibile per il
|
|
|
|
|
pubblico~\cite[si veda, ad esempio,][]{Bech}.
|
|
|
|
|
Una CBDC all'ingrosso sarebbe meno destabilizzante per il sistema attuale
|
|
|
|
|
dato che le banche e gli operatori dei mercati finanziari hanno già
|
|
|
|
|
accesso alla moneta digitale della banca centrale sotto forma di conti
|
|
|
|
|
presso questa istituzione, che utilizzano per regolare i pagamenti
|
|
|
|
|
interbancari. La domanda qui è se la tokenizzazione della moneta di banca
|
|
|
|
|
centrale e la tecnologia di registro distribuito (\textit{Distributed Ledger
|
|
|
|
|
Technology} - DLT) offrano vantaggi particolari rispetto ai sistemi con
|
|
|
|
|
regolamento lordo in tempo reale (\textit{Real-Time Gross Settlement} - RTGS)
|
|
|
|
|
esistenti. Finora la risposta è negativa, almeno per i pagamenti
|
2022-01-31 17:11:13 +01:00
|
|
|
|
interbancari nazionali~\cite[vedi][]{Chapman}.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Una CBDC al dettaglio, che sarebbe una nuova forma di moneta di banca
|
|
|
|
|
centrale disponibile per il pubblico, potrebbe essere più destabilizzante
|
|
|
|
|
per il sistema attuale, a seconda di come è progettata. Più una CBDC
|
|
|
|
|
compete con i depositi delle banche commerciali, maggiore è la minaccia
|
|
|
|
|
ai finanziamenti bancari, con effetti potenzialmente negativi sul credito
|
|
|
|
|
bancario e sull'attività economica~\cite[vedi][]{Agur}. Tuttavia, una
|
2022-02-03 18:54:12 +01:00
|
|
|
|
CBDC al dettaglio potrebbe anche essere
|
2022-02-03 18:52:01 +01:00
|
|
|
|
vantaggiosa~\cite[vedi][]{Bordo,Berentsen,Bindseil,Niepelt,Riksbank,BoE}.
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Mettere a disposizione di tutti una moneta elettronica di banca centrale
|
|
|
|
|
esente dal rischio di controparte potrebbe migliorare la stabilità e la
|
|
|
|
|
resilienza del sistema di pagamenti al dettaglio. Potrebbe inoltre fornire
|
|
|
|
|
un'infrastruttura di pagamento neutrale per incoraggiare la concorrenza,
|
|
|
|
|
l'efficienza e l'innovazione. Nel complesso, è probabile che i costi e i
|
|
|
|
|
benefici di una CBDC al dettaglio differiscano da un paese all'altro. Per
|
|
|
|
|
il punto di vista della Banca nazionale svizzera, che non ha in programma
|
2022-02-01 09:35:28 +01:00
|
|
|
|
l'emissione di una CBDC al dettaglio, si veda~\cite{Jordan}.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nel presente documento analizziamo la CBDC al dettaglio, ma senza
|
|
|
|
|
affrontare la questione se una banca centrale \emph{debba o meno} emetterla.
|
|
|
|
|
Ci concentriamo invece sul possibile design di una CBCD. L'interesse
|
|
|
|
|
per la progettazione di CBDC è recentemente aumentato
|
2022-02-07 08:50:41 +01:00
|
|
|
|
considerevolmente~\cite[si veda, ad esempio,][]{Allen,BoE}. Il design che
|
2022-02-01 10:04:59 +01:00
|
|
|
|
proponiamo differisce notevolmente da altre proposte. Il nostro sistema
|
2022-02-03 18:52:01 +01:00
|
|
|
|
si basa sulla tecnologia eCash descritta da~\cite{Chaum1983} e \cite{Chaum1990},
|
2022-02-01 10:04:59 +01:00
|
|
|
|
migliorandola. In particolare, proponiamo una CBDC basata su token, solo
|
|
|
|
|
con software e senza tecnologia di registro distribuito. La DLT è
|
|
|
|
|
un'architettura interessante in assenza di un operatore centrale o se le
|
|
|
|
|
entità che interagiscono non accettano di nominare un operatore centrale
|
|
|
|
|
fidato. Questo non è certo il caso di una CBDC al dettaglio emessa da una
|
|
|
|
|
\emph{banca centrale}. Distribuire il registro delle transazioni della
|
|
|
|
|
banca centrale con una \textit{blockchain} non fa che aumentare i costi
|
|
|
|
|
di transazione; non porta alcun vantaggio tangibile nell'implementazione
|
|
|
|
|
da parte di una banca centrale. L'utilizzo della DLT per emettere moneta
|
|
|
|
|
digitale può essere utile in assenza di una banca centrale (ad esempio,
|
|
|
|
|
il progetto Sovereign delle Isole Marshall) o se l'intenzione esplicita
|
|
|
|
|
è quella di fare a meno di una banca centrale (ad esempio,
|
|
|
|
|
Bitcoin).\footnote{Potrebbero esserci casi opportuni di utilizzo della
|
|
|
|
|
DLT per le infrastrutture dei mercati finanziari, come gli scambi digitali,
|
|
|
|
|
dove sorge la questione di come incorporare la moneta della banca centrale
|
|
|
|
|
all'interno di una struttura DLT per eseguire i regolamenti. Tuttavia,
|
|
|
|
|
in tali situazioni i potenziali benefici della DLT, ad esempio costi
|
|
|
|
|
inferiori o riconciliazione automatica, non derivano da un'emissione
|
2022-01-31 17:11:13 +01:00
|
|
|
|
decentralizzata di moneta di banca centrale.}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La CBDC basata su token che proponiamo consente anche di preservare
|
|
|
|
|
una caratteristica fondamentale del contante fisico: la privacy nelle
|
|
|
|
|
transazioni. Spesso si sostiene che l'uso della crittografia per la
|
|
|
|
|
tutela della privacy richieda così tanta potenza di calcolo da rendere
|
|
|
|
|
impraticabile la sua implementazione su dispositivi
|
|
|
|
|
portatili~\cite[vedi][]{Allen}. Sebbene questo possa essere vero nel
|
|
|
|
|
caso di una tecnologia di registro distribuito, dove la tracciabilità
|
2022-02-03 18:52:01 +01:00
|
|
|
|
delle transazioni è necessaria per prevenire la doppia spesa~\cite[][]{Narayanan},
|
2022-02-01 10:04:59 +01:00
|
|
|
|
non lo è nel caso proposto in questo documento, dove si ha un protocollo
|
|
|
|
|
di firma cieca di tipo Chaum e la partecipazione di una banca centrale.
|
|
|
|
|
La nostra CBDC, basata su firme cieche e un'architettura a due livelli,
|
|
|
|
|
garantisce una tutela della privacy nelle transazioni perfetta e
|
|
|
|
|
quanto-resistente, fornendo al contempo protezioni sociali che sono di
|
|
|
|
|
fatto più potenti rispetto a quelle delle banconote per la lotta al
|
|
|
|
|
riciclaggio di denaro (\textit{Anti-Money Laundering} - AML) e al
|
2022-01-31 17:11:13 +01:00
|
|
|
|
finanziamento del terrorismo (\textit{Counter Terrorism Financing} - CFT).
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La privacy nelle transazioni è importante per tre motivi. In primo luogo,
|
|
|
|
|
protegge gli utenti dal potenziale abuso di monitoraggio e sorveglianza
|
|
|
|
|
da parte dei governi. Anche se si pensa di non avere nulla da nascondere,
|
|
|
|
|
i piani di sorveglianza di massa restano problematici, se non altro per
|
|
|
|
|
il rischio di errori e abusi, soprattutto se condotti senza trasparenza
|
|
|
|
|
e responsabilità~\cite[vedi][]{Solove}. In secondo luogo, la privacy nelle
|
|
|
|
|
transazioni protegge gli utenti dallo sfruttamento dei dati da parte dei
|
|
|
|
|
fornitori di servizi di pagamento. Infine, salvaguarda gli utenti dalla
|
|
|
|
|
controparte nelle transazioni in quanto esclude possibili comportamenti
|
|
|
|
|
opportunistici successivi o rischi per la sicurezza dovuti a negligenza
|
2022-01-31 17:11:13 +01:00
|
|
|
|
o mancata protezione dei dati dei clienti~\cite[vedi][]{Kahn2005}.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Questo documento è strutturato come segue: nella Sezione II si spiega
|
|
|
|
|
la differenza tra la moneta di banca centrale e altri tipi di moneta.
|
|
|
|
|
Nella Sezione III si esaminano i modelli di CBDC tipici e generici prima
|
|
|
|
|
di proporre il nostro progetto nella Sezione IV. Si considerano poi
|
|
|
|
|
gli aspetti normativi e le politiche (V) e il relativo lavoro (VI).
|
2022-01-31 17:11:13 +01:00
|
|
|
|
Infine, si conclude (VII).
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
\section{Cos'è la moneta di banca centrale?}
|
|
|
|
|
\label{2.-cos'è-la-moneta-di-banca-centrale}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La moneta è un attivo che può essere utilizzato per acquistare beni e
|
|
|
|
|
servizi. Per essere considerato moneta, l'attivo deve essere accettato
|
|
|
|
|
da entità diverse dall'emittente. Ecco perché i voucher, ad esempio,
|
|
|
|
|
non sono considerati moneta. La moneta autentica deve essere
|
|
|
|
|
\emph{comunemente} accettata come mezzo di scambio. Sebbene la moneta
|
|
|
|
|
abbia altre funzioni, ad esempio come unità di conto e riserva di valore,
|
|
|
|
|
la sua caratteristica distintiva è la sua funzione di mezzo di scambio.
|
|
|
|
|
Normalmente l'unità di conto (cioè come avvengono la fissazione dei
|
|
|
|
|
prezzi e la contabilizzazione dei debiti) coincide per ragioni
|
|
|
|
|
pratiche con il mezzo di scambio. Una separazione può tuttavia
|
|
|
|
|
verificarsi se il valore del mezzo di scambio manca di stabilità
|
|
|
|
|
rispetto ai beni e servizi scambiati.\footnote{Ciò può accadere
|
|
|
|
|
spontaneamente in un ambito caratterizzato da un'inflazione elevata,
|
|
|
|
|
ad esempio quando i prezzi sono quotati in USD ma i pagamenti vengono
|
|
|
|
|
effettuati in valuta locale. Lo stesso vale per i pagamenti in Bitcoin,
|
|
|
|
|
dove i prezzi sono solitamente fissati in USD o altre valute locali a
|
|
|
|
|
causa dell'elevata volatilità del Bitcoin. Una separazione può anche
|
|
|
|
|
essere progettata appositamente, come nel caso
|
|
|
|
|
dell'\textit{Unidad de Fomento} (UF) in Cile o i Diritti Speciali di
|
|
|
|
|
Prelievo (DSP) del Fondo Monetario Internazionale (FMI). Tuttavia,
|
|
|
|
|
anche in questi casi lo scopo è quello di avere un'unità di conto più
|
|
|
|
|
stabile.} La moneta deve anche essere una riserva di valore per fungere
|
|
|
|
|
da mezzo di scambio perché deve preservare il suo potere d'acquisto tra
|
|
|
|
|
il momento in cui si riceve e quello in cui si spende. In ogni modo,
|
|
|
|
|
ci sono molti altri attivi che fungono da riserva di valore, come azioni,
|
|
|
|
|
obbligazioni, metalli preziosi e immobili. Pertanto, la caratteristica
|
2022-01-31 17:11:13 +01:00
|
|
|
|
di riserva di valore non è distintiva della moneta.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
In un'economia moderna, il pubblico utilizza due tipi diversi di
|
|
|
|
|
moneta: (a) moneta statale e (b) moneta privata. La moneta statale viene
|
|
|
|
|
generalmente emessa dalla banca centrale, che agisce in qualità di
|
|
|
|
|
agente dello Stato. La moneta della banca centrale è disponibile per
|
|
|
|
|
alcune istituzioni finanziarie sotto forma di depositi presso la banca
|
|
|
|
|
centrale (riserve) e per il pubblico sotto forma di valuta (banconote e
|
|
|
|
|
monete), nota anche come «contante». In una economia moderna con valuta
|
|
|
|
|
fiat, tale moneta non ha un valore intrinseco. Legalmente è una passività
|
|
|
|
|
della banca centrale, sebbene non sia rimborsabile. Nella maggior parte
|
|
|
|
|
dei paesi, la moneta della banca centrale è definita come avente corso
|
|
|
|
|
legale, il che significa che deve essere accettata per il pagamento dei
|
|
|
|
|
debiti monetari, comprese le tasse e le sanzioni legali. Sebbene ciò
|
|
|
|
|
garantisca un certo valore alla moneta della banca centrale, lo status
|
|
|
|
|
di corso legale non è sufficiente per mantenere un valore stabile. È la
|
|
|
|
|
politica monetaria della banca centrale che mantiene il valore della
|
|
|
|
|
moneta. Mantenere la stabilità dei prezzi, vale a dire un valore stabile
|
|
|
|
|
della moneta rispetto a quello dei beni e dei servizi scambiati, è
|
2022-01-31 17:11:13 +01:00
|
|
|
|
infatti una delle principali responsabilità delle banche centrali.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La maggior parte dei pagamenti in un'economia moderna vengono effettuati
|
|
|
|
|
con moneta privata emessa dalle banche commerciali ed è costituita da
|
|
|
|
|
depositi bancari a vista che le persone detengono presso queste banche.
|
|
|
|
|
Sono depositi che si posssono utilizzare mediante assegni, carte di
|
|
|
|
|
debito, carte di credito e altri mezzi di trasferimento di denaro e
|
|
|
|
|
costituiscono una passività della banca commerciale di riferimento. Una
|
|
|
|
|
caratteristica fondamentale di questi depositi è che le banche commerciali
|
|
|
|
|
garantiscono la convertibilità su richiesta in moneta della banca centrale
|
|
|
|
|
ad un prezzo fisso, vale a dire, alla pari. I depositanti possono prelevare
|
|
|
|
|
i propri fondi in contante o trasferirli ad un valore fisso di 1:1. Le
|
|
|
|
|
banche commerciali mantengono stabile il valore della propria moneta
|
2022-01-31 17:11:13 +01:00
|
|
|
|
ancorandola a quella della banca centrale.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Tuttavia, in un sistema di riserva frazionaria, una banca commerciale,
|
|
|
|
|
anche se solvibile, potrebbe non avere liquidità a sufficienza per
|
|
|
|
|
onorare la sua promessa di convertire i depositi bancari in moneta
|
|
|
|
|
della banca centrale (ad esempio, nel caso di una corsa agli sportelli)
|
|
|
|
|
in modo tale che i clienti non possano prelevare i propri soldi. Una
|
|
|
|
|
banca può anche diventare insolvente e fallire, e di conseguenza i
|
|
|
|
|
clienti possono perdere denaro. Per questo motivo le banche commerciali
|
2022-01-31 17:11:13 +01:00
|
|
|
|
sono soggette a regolamentazioni volte a mitigare tali rischi.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Una differenza notevole tra la moneta di una banca centrale e la
|
|
|
|
|
moneta privata emessa da una banca commerciale è, pertanto, che
|
|
|
|
|
quest'ultima comporta un rischio di controparte. Una banca centrale
|
|
|
|
|
può sempre adempiere ai suoi obblighi utilizzando la propria moneta
|
|
|
|
|
non rimborsabile. In un'economia nazionale, la moneta della banca
|
|
|
|
|
centrale è l'unico attivo monetario esento da rischi di credito e di
|
|
|
|
|
liquidità. È pertanto l'attivo tipicamente preferito per regolare i
|
|
|
|
|
pagamenti nelle infrastrutture dei mercati finanziari (si veda, per
|
|
|
|
|
esempio, \textit{CPMI-IOSCO Principles for Financial Market
|
|
|
|
|
Infrastructures}, 2012). Un'altra differenza risiede nella capacità
|
|
|
|
|
della moneta della banca centrale di sostenere il sistema monetario
|
|
|
|
|
nazionale fornendo un valore di riferimento con cui la moneta delle
|
2022-01-31 17:11:13 +01:00
|
|
|
|
banche commerciali mantiene la piena convertibilità.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
A parte le banche commerciali, altre entità private tentano
|
|
|
|
|
occasionalmente di emettere moneta; le criptovalute sono solo il
|
|
|
|
|
tentativo più recente. Ma a differenza dei depositi bancari, tale
|
|
|
|
|
moneta non è comunemente accettata come mezzo di scambio. Questo vale
|
|
|
|
|
anche per Bitcoin, la criptovaluta più ampiamente accettata. Un
|
|
|
|
|
ostacolo all'utilità delle criptovalute come mezzo di scambio è l'elevata
|
|
|
|
|
volatilità del loro valore. In risposta a questo problema sono emerse
|
|
|
|
|
le criptovalute stabili, cosiddette «stablecoins». Le
|
|
|
|
|
\textit{stablecoin} generalmente tentano di stabilizzare il proprio
|
|
|
|
|
valore in due modi: imitando le banche centrali (\textit{stablecoin}
|
|
|
|
|
algoritmiche) o imitando le banche commerciali e strumenti di
|
|
|
|
|
investimento (\textit{stablecoin} ancorate ad attivi).\footnote{Per una
|
2022-01-31 17:11:13 +01:00
|
|
|
|
tassonomia delle \textit{stablecoin}, si veda~\cite{Bullmann}.}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Le «\textit{stablecoin} algoritmiche» si basano su algoritmi per regolare
|
|
|
|
|
l'offerta della moneta. In altre parole, cercano di stabilizzarne il
|
|
|
|
|
prezzo attraverso una «politica monetaria algoritmica». Esistono
|
2022-02-06 12:33:49 +01:00
|
|
|
|
esempi di tali \textit{stablecoin} (per esempio, Nubits), ma finora nessuna è
|
2022-01-31 17:11:13 +01:00
|
|
|
|
riuscita a stabilizzare il proprio valore per molto tempo.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Le \textit{stablecoin} «ancorate ad attivi» differiscono in base al tipo
|
|
|
|
|
di attivo che utilizzano e ai diritti concessi ai possessori. I tipi di
|
|
|
|
|
attivi generalmente utilizzati sono: valuta (riserve di banche centrali,
|
|
|
|
|
banconote o depositi presso banche commerciali), materie prime (come
|
|
|
|
|
l'oro), titoli e talvolta altre criptovalute. La capacità di un tale
|
|
|
|
|
schema di stabilizzare il valore della moneta rispetto agli attivi
|
|
|
|
|
sottostanti dipende in modo cruciale dai diritti legali acquisiti dai
|
|
|
|
|
detentori della moneta. Se una \textit{stablecoin} è riscattabile ad un
|
2022-02-07 08:50:41 +01:00
|
|
|
|
prezzo fisso (per es. 1 moneta = 1 USD \\ o 1 moneta = 1 oncia d'oro),
|
2022-02-01 10:04:59 +01:00
|
|
|
|
la stabilità si può teoricamente ottenere.\footnote{Se possa stabilizzare
|
|
|
|
|
il valore della \textit{stablecoin} anche rispetto ai beni e servizi
|
|
|
|
|
scambiati dipende essenzialmente da quanto sia stabile il valore degli
|
|
|
|
|
attivi su cui poggia rispetto al valore dei beni e servizi.} Tale strategia
|
|
|
|
|
riproduce essenzialmente quella delle banche commerciali garantendo la
|
|
|
|
|
convertibilità nell'attivo sottostante su richiesta. Tuttavia, a differenza
|
|
|
|
|
dei depositi bancari, che in genere sono coperti solo parzialmente dalle
|
|
|
|
|
riserve della banca centrale, le \textit{stablecoin} sono spesso
|
|
|
|
|
completamente garantite dalle riserve di attivi sottostanti al fine di
|
|
|
|
|
evitare il rischio di liquidità, principalmente perché non dispongono di
|
|
|
|
|
tutele pubbliche tali come l'assicurazione dei depositi e il prestatore
|
2022-01-31 17:11:13 +01:00
|
|
|
|
di ultima istanza che offrono invece le banche regolamentate.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Le \textit{stablecoin} che utilizzano le valute come attivi sono anche
|
|
|
|
|
dette «stablecoin a valuta fiat». Detenere il 100\% delle
|
|
|
|
|
garanzie sotto forma di valuta (banconote o depositi bancari) non risulta però
|
|
|
|
|
molto redditizio. Di conseguenza, i fornitori di \textit{stablecoin} hanno
|
|
|
|
|
un buon motivo per rispiarmiare sugli attivi passando ad un sistema di
|
|
|
|
|
riserva frazionaria, proprio come hanno fatto le banche
|
|
|
|
|
commerciali.\footnote{L'incertezza sulla garanzia delle
|
|
|
|
|
\textit{stablecoin} può essere uno dei motivi per cui vengono scambiate
|
|
|
|
|
al di sotto del loro valore nel mercato parallelo~\cite[vedi][]{Lyons}.
|
|
|
|
|
Casi simili si sono storicamente verificati anche con le banconote, quando
|
|
|
|
|
erano ancora emesse dalle banche commerciali. Le banconote venivano
|
|
|
|
|
scambiate a prezzi scontati nel mercato parallelo prima che l'emissione
|
|
|
|
|
fosse nazionalizzata e trasferita alle banche centrali come monopolio.}
|
|
|
|
|
Ciò comporta la riduzione degli attivi meno redditizi al minimo ritenuto
|
|
|
|
|
necessario per soddisfare il requisito di convertibilità e l'aumento
|
|
|
|
|
degli attivi liquidi a rendimento più elevato come i titoli di stato.
|
|
|
|
|
Questo migliora la redditività ma aumenta nel contempo il livello
|
|
|
|
|
di rischio. Tuttavia, anche se una \textit{stablecoin} fosse garantita
|
|
|
|
|
interamente da depositi presso le banche commerciali, rimarrebbe comunque
|
|
|
|
|
vulnerabile ai rischi di insolvenza del credito e di liquidità della
|
|
|
|
|
relativa banca. Tale rischio può essere evitato effettuando i depositi
|
|
|
|
|
presso la banca centrale in modo che siano le riserve di quest'ultima a
|
|
|
|
|
garantire la \textit{stablecoin}. Tali \textit{stablecoin} sono state
|
|
|
|
|
chiamate «CBDC sintetiche»~\cite[][]{Adrian}. È importante sottolineare che
|
|
|
|
|
queste \textit{stablecoin} non sono moneta di banca centrale e quindi
|
|
|
|
|
non costituiscono una CBDC in quanto non sono registrate come passività
|
|
|
|
|
della banca centrale e, pertanto, rimangono soggette al rischio di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
controparte, ovvero al rischio di fallimento dell'emittente.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Se una \textit{stablecoin} non è rimborsabile ad un prezzo fisso, la sua
|
|
|
|
|
stabilità rispetto all'attivo sottostante non è garantita. Se la
|
2022-02-07 08:50:41 +01:00
|
|
|
|
\textit{stablecoin} rappresenta comunque una quota di proprietà
|
2022-02-01 10:04:59 +01:00
|
|
|
|
dell'attivo sottostante, lo schema ricorda quello di un fondo comune di
|
2022-02-03 18:54:12 +01:00
|
|
|
|
investimento chiuso o di un fondo indicizzato quotato (\textit{Exchange-Traded
|
2022-02-03 18:52:01 +01:00
|
|
|
|
Fund} - ETF) e si applicano i relativi rischi. Il valore
|
2022-02-01 10:04:59 +01:00
|
|
|
|
della moneta dipenderà dal valore patrimoniale netto del fondo, ma il
|
|
|
|
|
suo valore effettivo può variare. Se ci sono partecipanti autorizzati
|
|
|
|
|
a creare e riscattare \textit{stablecoin} e quindi ad agire come
|
|
|
|
|
arbitraggisti, come nel caso degli ETF e come previsto per la
|
2022-02-01 09:35:28 +01:00
|
|
|
|
Diem~\cite[][]{Libra}, la deviazione si presume minima.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nel complesso, le \textit{stablecoin} hanno maggiori possibilità di
|
|
|
|
|
diventare moneta rispetto alle criptovalute, soprattutto se
|
|
|
|
|
adeguatamente regolamentate, anche se la disponibilità di CBDC
|
2022-01-31 17:11:13 +01:00
|
|
|
|
limiterebbe notevolmente la loro utilità.
|
|
|
|
|
|
|
|
|
|
\section{Modelli generici di CBDC} \label{3.-modelli-generici-di-cbdc}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Come abbiamo visto, la CBDC sarebbe una passività della banca
|
|
|
|
|
centrale. Due modelli possibili che si trovano nella letteratura
|
|
|
|
|
sull'argomento sono (a) CBDC basata su conti e (b) CBDC basata su
|
|
|
|
|
token (o sul valore). Questi modelli corrispondono ai due tipi
|
|
|
|
|
esistenti di moneta delle banche centrali e ai relativi sistemi di
|
2022-02-07 08:50:41 +01:00
|
|
|
|
pagamento~\cite[][]{Kahn2009}: riserve delle banche centrali
|
2022-02-01 10:04:59 +01:00
|
|
|
|
(sistema basato su conti) e banconote (sistema basato su token). Un
|
|
|
|
|
pagamento si verifica quando un'attivo monetario viene trasferito da un
|
|
|
|
|
pagatore a un beneficiario. In un sistema basato su conti, il
|
|
|
|
|
trasferimento avviene addebitando sul conto del pagatore e
|
|
|
|
|
accreditando sul conto del beneficiario. In un sistema basato su
|
|
|
|
|
token, il trasferimento avviene trasferendo il valore stesso o il
|
|
|
|
|
token, ovvero un oggetto che rappresenta l'attivo monetario. Il miglior
|
|
|
|
|
esempio di token è il contante (monete o banconote). Pagare in contanti
|
|
|
|
|
equivale a consegnare una moneta o una banconota. Non è necessario
|
|
|
|
|
registrare il trasferimento, il semplice possesso del token è
|
|
|
|
|
sufficiente. Pertanto, le parti non sono tenute a rivelare la propria
|
|
|
|
|
identità in nessun momento durante la transazione, entrambe possono
|
|
|
|
|
rimanere anonime. Ciononostante, il beneficiario deve essere in grado di
|
|
|
|
|
verificare l'autenticità del token. Questo è il motivo per cui le
|
|
|
|
|
banche centrali investono notevoli risorse nelle caratteristiche di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
sicurezza delle banconote.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
È stato suggerito che la distinzione tra sistemi basati su conti e
|
|
|
|
|
quelli basati su token non sia applicabile alle monete digitali~\cite[][]{Garratt}.
|
|
|
|
|
Noi al contrario riteniamo che ci sia una differenza significativa. La
|
|
|
|
|
differenza essenziale risiede nelle informazioni contenute nell'attivo.
|
|
|
|
|
In un sistema basato su conti, gli attivi (i conti) sono riconducìbili
|
|
|
|
|
ad una cronologia delle transazioni che include tutte le operazioni di
|
|
|
|
|
credito e addebito dei conti. In un sistema basato su token, gli attivi
|
|
|
|
|
(i token) contengono solo informazioni sul valore del token e
|
|
|
|
|
sull'entità che lo ha emesso. I sistemi basati su token sono quindi
|
|
|
|
|
l'unica possibilità per ottenere la stessa privacy nelle transazioni che
|
|
|
|
|
offre il contante.\footnote{Sebbene il termine «Bitcoin» suggerisca
|
|
|
|
|
l'uso di token, Bitcoin è un sistema basato su conti. L'unica differenza
|
|
|
|
|
tra un sistema tradizionale basato su conti e una \textit{blockchain} è
|
|
|
|
|
che i conti non sono conservati in un database centrale ma in un
|
2022-01-31 17:11:13 +01:00
|
|
|
|
database decentralizzato di solo accodamento.}
|
|
|
|
|
|
|
|
|
|
\subsection{CBDC basata su conti}\label{cbdc-basata-su-conti}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Il modo più semplice per avviare una CBDC sarebbe consentire al
|
|
|
|
|
pubblico di detenere conti deposito presso la banca centrale. Ciò
|
|
|
|
|
comporta che la banca centrale si facesse responsabile dei controlli per
|
|
|
|
|
conoscere i propri clienti (\textit{Know-Your-Customer} - KYC) e di
|
|
|
|
|
garantire la conformità con i requisiti per la lotta al riciclaggio di
|
|
|
|
|
denaro e al finanziamento del terrorismo. Ciò includerebbe non solo la
|
|
|
|
|
gestione del processo iniziale di conoscenza del cliente, ma anche
|
|
|
|
|
l'autenticazione dei clienti per le transazioni bancarie, la gestione
|
|
|
|
|
delle frodi e delle autenticazioni false positive e false negative.
|
|
|
|
|
Data la scarsa presenza fisica delle banche centrali nella società e il
|
2022-02-03 18:52:01 +01:00
|
|
|
|
fatto che probabilmente oggi non siano disposte ad eseguire l'autenticazione
|
2022-02-01 10:04:59 +01:00
|
|
|
|
dei cittadini su larga scala, qualsiasi CBDC basata su conti richiederebbe
|
|
|
|
|
alla banca centrale di delegare questi compiti. Tutti i servizi di
|
|
|
|
|
assistenza e manutenzione di tali conti potrebbero essere affidati ad
|
|
|
|
|
operatori esterni~\cite[][]{Bindseil}, oppure le banche commerciali potrebbero
|
2022-01-31 17:11:13 +01:00
|
|
|
|
essere obbligate per legge ad aprire conti presso la banca centrale per i
|
2022-02-01 17:53:50 +01:00
|
|
|
|
propri clienti~\cite[][]{Berentsen}.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Una CBDC basata su conti darebbe potenzialmente alla banca centrale
|
|
|
|
|
l'accesso a molti dati aggiuntivi. Uno dei motivi di preoccupazione è
|
|
|
|
|
che i governi potrebbero facilmente mettere in atto una sorveglianza
|
|
|
|
|
di massa e imporre sanzioni ai singoli titolari dei conti. La natura
|
|
|
|
|
centralizzata di tali interventi li rende poco costosi e facili da
|
|
|
|
|
applicare nei confronti di persone o gruppi. Ci sono molti esempi di
|
|
|
|
|
sorveglianza abusiva contro critici e oppositori politici, anche nelle
|
|
|
|
|
democrazie. Si potrebbe argomentare che le banche centrali indipendenti
|
|
|
|
|
siano in grado di salvaguardare tali informazioni dall'intrusione del
|
|
|
|
|
governo e dagli abusi politici, ma ciò aprirebbe comunque una nuova
|
|
|
|
|
strada alle pressioni politiche che minacciano l'indipendenza delle
|
|
|
|
|
banche centrali. Inoltre, un database centrale sarebbe un obiettivo
|
|
|
|
|
cospicuo per gli attacchi: anche l'accesso in sola lettura ad una parte
|
|
|
|
|
del database potrebbe creare rischi significativi per le persone i cui
|
2022-01-31 17:11:13 +01:00
|
|
|
|
dati sarebbero esposti.
|
|
|
|
|
|
2022-02-02 08:14:43 +01:00
|
|
|
|
Se dovessero fornire conti bancari per il pubblico, le banche centrali
|
2022-02-01 10:04:59 +01:00
|
|
|
|
entrerebbero in diretta concorrenza con le banche commerciali, competizione
|
|
|
|
|
che comporterebbe due rischi. In primo luogo, potrebbe minacciare la base
|
|
|
|
|
dei depositi delle banche e, all'estremo, portare alla disintermediazione
|
|
|
|
|
bancaria. Ciò potrebbe influire negativamente sulla disponibilità di
|
|
|
|
|
credito per il settore privato e, di conseguenza, sull'attività
|
|
|
|
|
economica~\cite[][]{Agur}. La disintermediazione delle banche potrebbe anche
|
|
|
|
|
condurre alla centralizzazione dell'allocazione del credito all'interno
|
|
|
|
|
della banca centrale, con ripercussioni negative sulla produttività e
|
|
|
|
|
sulla crescita economica. In secondo luogo, la possibilità per le persone
|
|
|
|
|
di trasferire i propri depositi nel porto sicuro di una banca centrale
|
2022-01-31 17:11:13 +01:00
|
|
|
|
potrebbe accelerare le corse agli sportelli nei periodi di crisi economica.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Vi sono però argomentazioni contrarie. \cite{Brunnermeier}
|
|
|
|
|
sostengono che i trasferimenti di fondi dai depositi ai conti
|
|
|
|
|
CBDC porterebbero alla sostituzione automatica del finanziamento
|
|
|
|
|
mediante depositi con il finanziamento tramite la banca centrale, il
|
|
|
|
|
che andrebbe ad esplicitare la garanzia finora implicita di prestatore
|
2022-02-07 08:50:41 +01:00
|
|
|
|
di ultima istanza delle banche centrali. \cite{Berentsen}
|
2022-02-01 10:04:59 +01:00
|
|
|
|
sostengono che la concorrenza delle banche centrali potrebbe persino
|
|
|
|
|
avere un effetto disciplinare sulle banche commerciali e quindi
|
|
|
|
|
aumentare la stabilità del sistema finanziario, dato che queste ultime
|
|
|
|
|
sarebbero costrette a consolidare la sicurezza dei propri modelli
|
2022-01-31 17:11:13 +01:00
|
|
|
|
economici per eviatare corse agli sportelli.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
% References to Kumhof, Bindseil below should render like this:
|
2022-02-06 12:33:49 +01:00
|
|
|
|
% valore (Kumhof & Noone, 2018 e Bindseil, 2020).
|
2022-02-03 18:52:01 +01:00
|
|
|
|
% This was fixed by replacing "," with "and" to separate authors in the bib file.
|
2022-02-06 12:33:49 +01:00
|
|
|
|
% It also fixed {Kumhof} to render as "Kumhof & Noone".
|
2022-02-01 10:04:59 +01:00
|
|
|
|
|
|
|
|
|
Esistono anche proposte per ridurre il rischio di disintermediazione
|
|
|
|
|
restringendo o scoraggiando l'uso della CBDC come riserva di valore. Una
|
|
|
|
|
delle proposte è di limitare la quantità di CBDC che si può possedere.
|
|
|
|
|
Una seconda proposta consiste nell'applicare un tasso di interesse
|
|
|
|
|
variabile ai conti in CBDC, in modo che il rendimento sia sempre
|
|
|
|
|
sufficientemente inferiore a quello dei conti nelle banche commerciali,
|
|
|
|
|
arrivando eventualmente fino a tassi negativi, in modo da rendere la CBDC
|
|
|
|
|
meno attraente come riserva di valore~\cite[][]{Kumhof,Bindseil}. Oltre a ciò,
|
2022-02-03 18:52:01 +01:00
|
|
|
|
per evitare le corse agli sportelli \citet{Kumhof} suggeriscono che la
|
2022-02-01 10:04:59 +01:00
|
|
|
|
CBDC non dovrebbe essere emessa a fronte di depositi bancari ma solo a
|
|
|
|
|
fronte di obbligazioni come i titoli di stato. Nel complesso, una CBDC
|
|
|
|
|
basata su conti richiederebbe un'analisi più approfondita di queste
|
2022-01-31 17:11:13 +01:00
|
|
|
|
problematiche.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
% Back to default style.
|
2022-02-01 17:53:50 +01:00
|
|
|
|
%\bibpunct{(}{)}{ e }{,}{}{,}
|
2022-02-01 09:35:28 +01:00
|
|
|
|
|
|
|
|
|
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\subsection{CBDC Basata su token e legata al hardware}
|
|
|
|
|
\label{cbdc-basata-su-token-e-legata-al-hardware}
|
|
|
|
|
|
2022-02-01 17:53:50 +01:00
|
|
|
|
% References to Wojtczuk,Johnston,Lapid below do not render correctly in pdf. Should be:
|
2022-02-06 12:33:49 +01:00
|
|
|
|
% compromesse (si veda, ad esempio, Wojtczuk & Rutkowska 2009, Johnston 2010 e Lapid & Wool 2018).
|
2022-02-01 17:53:50 +01:00
|
|
|
|
% but we can only either use "," or "e", but not switch AFAIK.
|
2022-02-03 18:52:01 +01:00
|
|
|
|
% This was fixed by replacing "," with "and" to separate authors in the bib file.
|
|
|
|
|
% It also fixed {Katzenbeisser} to render as "Katzenbeisser et al."
|
2022-02-01 17:53:50 +01:00
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
In alternativa ai conti deposito, una banca centrale potrebbe emettere
|
|
|
|
|
token elettronici. Tecnicamente ciò richiede un sistema per garantire che
|
|
|
|
|
i token elettronici non possano essere copiati facilmente. Le funzioni
|
|
|
|
|
fisicamente non clonabili~\cite[vedi][]{Katzenbeisser} e le aree
|
|
|
|
|
sicure nell'hardware~\cite[vedi][]{Alves,Pinto} sono due tecnologie
|
|
|
|
|
possibili per la prevenzione della copia digitale. Le funzioni
|
|
|
|
|
fisicamente non clonabili, tuttavia, non possono essere scambiate su
|
|
|
|
|
Internet (eliminando di fatto l'uso principale delle CBDC) e le precedenti
|
|
|
|
|
funzionalità di sicurezza nell'hardware per la prevenzione della copia
|
2022-02-03 18:54:12 +01:00
|
|
|
|
sono state ripetutamente
|
2022-02-03 18:52:01 +01:00
|
|
|
|
compromesse~\cite[si veda, ad esempio,][]{Wojtczuk,Johnston,Lapid}.
|
2022-02-03 18:54:12 +01:00
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Un vantaggio fondamentale delle CBDC basate su token rispetto a quelle
|
|
|
|
|
basate su conti è che i sistemi tokenizzati funzionerebbero offline,
|
|
|
|
|
ovvero, gli utenti potrebbero scambiare token (\textit{peer-to-peer})
|
|
|
|
|
senza coinvolgere la banca centrale, proteggendo così la privacy e la
|
|
|
|
|
libertà delle persone. Tuttavia, la disintermediazione che si verifica
|
|
|
|
|
quando gli utenti possono scambiare token elettronici senza
|
|
|
|
|
intermediari bancari che eseguano i controlli per la conoscenza dei
|
|
|
|
|
clienti e le procedure per la lotta al riciclaggio di denaro e al
|
|
|
|
|
finanziamento del terrorismo renderebbe difficile la lotta alla
|
2022-01-31 17:11:13 +01:00
|
|
|
|
criminalità.
|
|
|
|
|
|
2022-02-01 17:53:50 +01:00
|
|
|
|
% References to Soukup,Garcia,Kasper,CCC below do not render correctly in pdf. Should be:
|
2022-02-06 12:33:49 +01:00
|
|
|
|
% L’esperienza (si veda, ad esempio, Soukup & Muff 2007, Garcia et al. 2008, Kasper et al. 2010 e CCC e.V. 2017) suggerisce
|
2022-02-01 17:53:50 +01:00
|
|
|
|
% but we can only either use "," or "e", but not switch AFAIK.
|
2022-02-03 18:52:01 +01:00
|
|
|
|
% This was fixed by replacing "," with "and" to separate authors in the bib file.
|
2022-02-01 17:53:50 +01:00
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Le schede SIM sono oggi il mezzo più ampiamente disponibile per un
|
|
|
|
|
sistema di pagamento sicuro basato su hardware, ma comportano anche
|
2022-02-03 18:54:12 +01:00
|
|
|
|
dei rischi. L'esperienza~\cite[si veda, ad esempio,][]{Soukup,Garcia,Kasper,CCC}
|
2022-02-01 10:04:59 +01:00
|
|
|
|
suggerisce che qualsiasi dispositivo economicamente riproducibile in grado
|
|
|
|
|
di memorizzare token con valore monetario, che una persona possa possedere
|
|
|
|
|
e che consenta transazioni offline --- e quindi il furto mediante
|
|
|
|
|
clonazione delle informazioni in esso contenute --- sarà l'obiettivo di
|
|
|
|
|
attacchi di contraffazione riusciti non appena il valore economico
|
|
|
|
|
dell'attacco risulti sostanziale. Tali attacchi provengono anche da
|
|
|
|
|
utenti che forzano il proprio hardware~\cite[vedi][]{Allen}. Per
|
|
|
|
|
limitare l'impatto di una compromissione, i sistemi con carte di pagamento
|
2022-02-02 08:14:43 +01:00
|
|
|
|
che sono stati precedentemente implementati dipendono dalla resistenza
|
2022-02-01 10:04:59 +01:00
|
|
|
|
alle manomissioni in combinazione con il rilevamento delle frodi.
|
|
|
|
|
Tuttavia, il rilevamento delle frodi richiede la capacità di identificare
|
|
|
|
|
i pagatori e tenere traccia dei clienti, il che non è compatibile con la
|
2022-01-31 17:11:13 +01:00
|
|
|
|
privacy nelle transazioni.
|
|
|
|
|
|
2022-02-07 08:50:41 +01:00
|
|
|
|
\section{Una CBDC basata su token progettata per tutelare la privacy}
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\label{4.-una-cbdc-basata-su-token-progettata-per-tutelare-la-privacy}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La CBDC qui proposta è di tipo «solo software», semplicemente
|
|
|
|
|
un'applicazione per smartphone che non richiede alcun hardware aggiuntivo.
|
|
|
|
|
Il design fa affidamento su eCash e GNU Taler. Taler fa parte del progetto
|
|
|
|
|
GNU, il cui fondatore, Richard Stallman, ha coniato il termine
|
|
|
|
|
«\emph{Software Libero}», ora spesso indicato come \textit{Free/Libre
|
|
|
|
|
and Open Source Software} (FLOSS).\footnote{Per ulteriori informazioni
|
|
|
|
|
su GNU, si veda \url{https://www.gnu.org} e \cite{Stallman}. GNU Taler
|
|
|
|
|
è rilasciato sotto la licenza libera \textit{GNU Affero General Public
|
|
|
|
|
License} del Progetto GNU. Altri programmi del progetto GNU noti tra gli
|
|
|
|
|
economisti sono \textit{R} e \textit{GNU Regression, Econometrics and
|
|
|
|
|
Time-series Library} (GRETL). Per un'analisi dei vantaggi del FLOSS
|
2022-02-07 08:50:41 +01:00
|
|
|
|
rispetto al software proprietario nel campo della ricerca, si
|
|
|
|
|
veda~\cite{Baiocchi}, \cite{Yalta2008} e \cite{Yalta2010}.
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Sulle licenze libere e open source, si veda~\cite{Lerner}.} Il software
|
|
|
|
|
è considerato libero se la sua licenza concede agli utenti quattro libertà
|
|
|
|
|
essenziali: la libertà di eseguire il programma come si desidera, la
|
|
|
|
|
libertà di studiare il programma e modificarlo, la libertà di ridistribuire
|
|
|
|
|
copie del programma e la libertà di distribuire copie delle versioni
|
|
|
|
|
modificate del programma. Il software libero non impedisce la
|
|
|
|
|
commercializzazione; fornire supporto tecnico per il software è un modello
|
2022-01-31 17:11:13 +01:00
|
|
|
|
di business standard per il FLOSS.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Dato il gran numero di parti interessate coinvolte in una CBDC al
|
|
|
|
|
dettaglio (la banca centrale, il settore finanziario, i venditori e
|
|
|
|
|
i clienti) e l'importanza critica dell'infrastruttura, una CBDC al
|
|
|
|
|
dettaglio deve essere basata sul FLOSS. Imporre una soluzione
|
|
|
|
|
proprietaria, che comporta la dipendenza da un fornitore specifico,
|
|
|
|
|
sarebbe probabilmente un ostacolo all'adozione fin dall'inizio. Con il
|
|
|
|
|
FLOSS, tutte le parti interessate hanno accesso a ogni dettaglio della
|
|
|
|
|
soluzione e il diritto di adattare il software alle proprie esigenze.
|
|
|
|
|
Ciò facilita l'integrazione e migliora l'interoperabilità e la
|
|
|
|
|
concorrenza tra i fornitori.\footnote{Tuttavia, l'hardware privato
|
|
|
|
|
potrebbe avere un ruolo da svolgere. La protezione degli archivi delle
|
|
|
|
|
chiavi e di alcune funzioni di controllo, ad esempio, può essere un'area
|
|
|
|
|
dove l'hardware dedicato valutato solo da un numero limitato di esperti
|
|
|
|
|
può presentare dei vantaggi, nella misura in cui tale sicurezza sia solo
|
|
|
|
|
additiva.} Consente inoltre alla banca centrale di soddisfare i requisiti
|
|
|
|
|
di trasparenza e responsabilità. I vantaggi del FLOSS riguardo la
|
|
|
|
|
sicurezza sono anche ampiamente riconosciuti. La disponibilità del codice
|
|
|
|
|
sorgente e la libertà di modificarlo facilitano l'identificazione degli
|
|
|
|
|
errori e la loro rapida correzione. \footnote{Ad esempio, un bollettino
|
|
|
|
|
sulla sicurezza informatica emesso dall'Agenzia per la sicurezza nazionale
|
|
|
|
|
degli Stati Uniti (NSA) nell'aprile 2020 esorta gli utenti a dare la
|
|
|
|
|
priorità al software libero nella scelta e nell'utilizzo dei servizi
|
|
|
|
|
collaborativi per le comunicazioni su Internet: «Lo sviluppo open source
|
|
|
|
|
garantisce trasparenza sulla robustezza del codice e la sua conformità
|
|
|
|
|
alle migliori pratiche di programmazione, evitando l'introduzione di
|
|
|
|
|
vulnerabilità o punti deboli che potrebbero mettere a rischio utenti e
|
2022-01-31 17:11:13 +01:00
|
|
|
|
dati» (U/OO/134598-20).}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nell'architettura che proponiamo, tutte le interazioni tra consumatori
|
|
|
|
|
e venditori si fanno con le banche commerciali, ma la creazione di moneta
|
|
|
|
|
e il database sono forniti esclusivamente dalla banca centrale. Le banche
|
|
|
|
|
commerciali autenticano i clienti quando ritirano CBDC così come i
|
|
|
|
|
venditori o beneficiari quando le ricevono. Quando spendono CBDC,
|
|
|
|
|
invece, i clienti o pagatori devono solo autorizzare le transazioni senza
|
|
|
|
|
bisogno di identificarsi. I pagamenti risultano più economici, più facili
|
|
|
|
|
e più veloci, evitando al contempo interferenze con la privacy~\cite[][]{Dold}.
|
|
|
|
|
L'autenticazione dei clienti quando ritirano CBDC, nonché dei venditori
|
|
|
|
|
o beneficiari quando le ricevono, consente altresì di adempire alle
|
|
|
|
|
normative sulla conoscenza dei clienti e sulla lotta al riciclaggio di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
denaro e al finanziamento del terrorismo.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La CBDC che si propone in questo documento è un vero e proprio
|
|
|
|
|
strumento digitale al portatore perché quando l'utente preleva una
|
|
|
|
|
somma di denaro sotto forma di numero, tale numero viene «accecato» o
|
|
|
|
|
nascosto dallo smartphone con un'apposita crittografia. Nel sistema
|
|
|
|
|
stesso, una moneta è una coppia di chiavi pubblica-privata dove la
|
|
|
|
|
chiave privata è nota solo al proprietario della moneta.\footnote{In
|
|
|
|
|
Bitcoin, un sistema basato su conti, la coppia di chiavi è un conto
|
|
|
|
|
dove la chiave pubblica rappresenta l'«indirizzo» e quindi una sorta di
|
|
|
|
|
«identità», anche se pseudonimo.} La moneta trae il suo valore
|
|
|
|
|
finanziario dalla firma della banca centrale apposta sulla chiave
|
|
|
|
|
pubblica della moneta. La banca centrale firma con la propria chiave
|
|
|
|
|
privata e detiene più coppie di chiavi di valore per apporre la firma
|
|
|
|
|
cieca su monete di diverso valore unitario. Il venditore può utilizzare
|
|
|
|
|
la corrispondente «chiave pubblica» della banca centrale per verificare
|
|
|
|
|
la firma. Tuttavia, al fine di garantire che la moneta non sia stata
|
|
|
|
|
copiata e già ritirata da un altro beneficiario (cioè che non sia stata
|
|
|
|
|
«spesa due volte»), il venditore deve depositare la moneta affinché la
|
|
|
|
|
banca centrale possa confrontarla con un archivio di monete ritirate.
|
|
|
|
|
Poiché né la banca commerciale né la banca centrale vedono il numero
|
|
|
|
|
della moneta durante il prelievo, in seguito, quando il venditore
|
|
|
|
|
deposita la moneta, non si sa quale utente l'abbia ritirata. L'accecamento
|
|
|
|
|
e la privacy che ne deriva fanno di questa tipologia di CBDC un vero e
|
2022-01-31 17:11:13 +01:00
|
|
|
|
proprio strumento digitale al portatore.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nell'analisi che segue forniamo una panoramica approfondita della
|
|
|
|
|
tecnologia e mostriamo come si può integrare con il sistema bancario
|
|
|
|
|
esistente per creare una CBDC. \citet{Dold} fornisce ulteriori
|
2022-01-31 17:11:13 +01:00
|
|
|
|
dettagli.
|
|
|
|
|
|
|
|
|
|
\subsection{Componenti fondamentali}\label{componenti-fondamentali}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Di seguito si descrivono i componenti principali del protocollo, comprese
|
|
|
|
|
le basi matematiche per una delle possibili rappresentazioni delle
|
|
|
|
|
primitive crittografiche utilizzate, allo scopo di illustrare in
|
|
|
|
|
che modo potrebbe funzionare un'implementazione. Considerando che
|
|
|
|
|
esistono altri modelli matematici equivalenti per ciascun componente,
|
2022-01-31 17:11:13 +01:00
|
|
|
|
presentiamo solo la più semplice delle soluzioni sicure a noi note.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
\emph{Firme digitali.} L'idea che sta alla base delle firme digitali in
|
|
|
|
|
uno schema di firma a chiave pubblica è quella di garantire che il
|
|
|
|
|
titolare della chiave privata sia l'unico in grado di firmare un
|
|
|
|
|
messaggio, mentre la chiave pubblica consente a chiunque di verificare
|
|
|
|
|
la validità della firma.\footnote{La crittografia a chiave pubblica è
|
|
|
|
|
stata introdotta da~\cite{Diffie} e le prime implementazioni di firme
|
|
|
|
|
digitali sono state quelle di~\cite{Rivest}.} Il risultato della funzione
|
|
|
|
|
di verifica della firma è la dichiarazione binaria «vero» o «falso». Se
|
|
|
|
|
il messaggio è firmato con la chiave privata che appartiene alla chiave
|
|
|
|
|
pubblica di verifica, il risultato è «vero», altrimenti è «falso».
|
|
|
|
|
Nella nostra proposta il messaggio è una moneta o una banconota con un
|
|
|
|
|
numero di serie, e la firma della banca centrale ne attesta la
|
|
|
|
|
validità. Sebbene GNU Taler utilizzi per impostazione predefinita le
|
|
|
|
|
moderne firme EdDSA~\cite[vedi][]{Bernstein2012}, qui presentiamo un
|
|
|
|
|
semplice schema di firma crittografica basato su RSA~\cite[][]{Rivest}, un
|
|
|
|
|
sistema crittografico ben studiato.\footnote{Per un'analisi della
|
|
|
|
|
lunga storia del crittosistema RSA e uno studio degli attacchi a questo
|
|
|
|
|
sistema, si veda~\cite{Boneh}.} Tuttavia, in linea di principio, è
|
|
|
|
|
possibile utilizzare qualsiasi tecnologia di firma crittografica
|
2022-01-31 17:11:13 +01:00
|
|
|
|
(DSA, ECDSA, EdDSA, RSA, ecc.)
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
|
|
|
|
|
Per generare una chiave RSA, il firmatario prende prima due grandi
|
|
|
|
|
numeri primi indipendenti $p$ e $q$ e calcola $n = \emph{pq}$,
|
|
|
|
|
nonché la funzione phi di Eulero
|
|
|
|
|
$\phi(n) = (p - 1)(q - 1)$.
|
|
|
|
|
Quindi, si può utilizzare qualsiasi $e$ con $1 < e < \phi(n)$ e
|
|
|
|
|
$\gcd(e, \phi(n)) = 1$ per definire una chiave pubblica $(e,n)$.
|
|
|
|
|
La condizione che il massimo comune denominatore ($\texttt{MCD}$) di $e$ e
|
|
|
|
|
$\phi(n)$ debba essere 1 (cioè, che devono essere
|
|
|
|
|
primi tra loro) assicura che l'inverso di
|
|
|
|
|
$e \mod \phi(n)$ esista.
|
|
|
|
|
Questo inverso è la
|
|
|
|
|
corrispondente chiave privata $d$. Data $\phi(n)$, la chiave
|
|
|
|
|
privata $d$ può essere calcolata mediante l'algoritmo esteso
|
|
|
|
|
di Euclide tale che
|
2022-01-31 17:11:13 +01:00
|
|
|
|
$d \cdot e \equiv 1 \mod \phi(n)$.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Data la chiave privata $d$ e la chiave pubblica $(e, n)$, una semplice
|
|
|
|
|
firma RSA
|
|
|
|
|
$s$ su un messaggio $m$ è
|
|
|
|
|
$s \equiv m^{d} \mod n$.
|
|
|
|
|
Per verificare la firma si calcola
|
|
|
|
|
$m' \equiv s^{e} \mod n$.
|
|
|
|
|
Se $m'$ e $m$ corrispondono, la firma è valida e dimostra che il
|
|
|
|
|
messaggio è stato firmato con la chiave privata che corrisponde alla
|
|
|
|
|
chiave pubblica di verifica (autenticazione del messaggio) e che il
|
|
|
|
|
messaggio non è stato modificato durante il transito (integrità del
|
|
|
|
|
messaggio). In pratica, le firme vengono poste sull'hash dei messaggi
|
|
|
|
|
piuttosto che sui messaggi stessi. Le funzioni di hash calcolano le
|
|
|
|
|
impronte digitali dei messaggi (\textit{digest}), che sono identificatori
|
|
|
|
|
univoci e brevi per i messaggi. Firmare un hash breve è molto più veloce
|
|
|
|
|
che firmare un messaggio di grandi dimensioni, e la maggior parte degli
|
|
|
|
|
algoritmi di firma funzionano solo su input relativamente brevi.\footnote{Nel
|
|
|
|
|
caso del crittosistema RSA, il limite di lunghezza è di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
$\log_{2}n$ bit.}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
\emph{Firme cieche.} Utilizziamo le firme cieche introdotte
|
|
|
|
|
da~\cite{Chaum1983} per tutelare la privacy degli acquirenti. Una firma
|
|
|
|
|
cieca viene utilizzata per creare una firma crittografica per un messaggio
|
|
|
|
|
senza rivelare al firmatario il contenuto del messaggio. Nella nostra proposta,
|
|
|
|
|
ciò impedisce alle banche commerciali e alla banca centrale di poter risalire
|
|
|
|
|
all'acquirente tracciando gli acquisti. In linea di principio, la nostra
|
|
|
|
|
proposta funziona con qualsiasi sistema di firma cieca, ma la soluzione migliore
|
|
|
|
|
rimane la variante basata su RSA descritta da~\cite{Chaum1983}.
|
|
|
|
|
|
|
|
|
|
L'accecamento viene eseguito dai clienti, che accecano le proprie
|
|
|
|
|
monete prima di trasmetterle alla banca centrale per la firma. I
|
|
|
|
|
clienti non devono quindi affidare alla banca centrale la tutela della
|
|
|
|
|
propria privacy. Inoltre, l'accecamento con RSA fornirebbe protezione
|
|
|
|
|
della privacy anche contro gli attacchi informatici quantistici. La
|
|
|
|
|
banca centrale, dal canto suo, predispone più coppie di chiavi di
|
|
|
|
|
valore per apporre la firma cieca su monete di diverso valore
|
|
|
|
|
unitario, e fornisce le corrispondenti chiavi pubbliche
|
2022-01-31 17:11:13 +01:00
|
|
|
|
$(e, n)$ per tali valori.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Sia $f$ il valore di hash di una moneta e quindi l'identificatore
|
|
|
|
|
univoco per questa moneta. Il cliente che preleva la moneta prima
|
|
|
|
|
genera un fattore di accecamento casuale $b$ e calcola
|
|
|
|
|
$f' \equiv fb^{e} \mod n$
|
|
|
|
|
con la chiave pubblica della banca centrale per quel valore.
|
|
|
|
|
La moneta accecata $f'$ viene quindi trasmessa alla banca centrale per
|
|
|
|
|
la firma. La banca centrale firma $f'$ con la sua chiave
|
|
|
|
|
privata $d$ calcolando la firma cieca
|
|
|
|
|
$s' \equiv \left(f' \right)^{d} \mod n$, appone
|
|
|
|
|
la firma $s'$ alla moneta accecata $f'$ e restituisce la coppia
|
|
|
|
|
$(s',f')$ al cliente. Il cliente può quindi rimuovere l'accecamento
|
|
|
|
|
della firma calcolando
|
|
|
|
|
$s \equiv s'b^{- 1} \mod n$.
|
|
|
|
|
Ciò è possibile perché
|
|
|
|
|
$\left( f' \right)^d = f^db^{ed} = f^db$, e quindi
|
|
|
|
|
moltiplicando $s'$ con $b^{- 1}$ si ottiene $f^d$, che è una firma RSA
|
|
|
|
|
valida su $f$ come prima:
|
2022-01-31 17:11:13 +01:00
|
|
|
|
$s^e \equiv f^{de} \equiv f \mod n$.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nella proposta originale di Chaum, le monete erano dei semplici
|
|
|
|
|
gettoni. Quel che vogliamo, invece, è che i consumatori possano
|
|
|
|
|
utilizzare le firme digitali per stipulare contratti. A tal fine, ogni
|
|
|
|
|
volta che un portafoglio digitale preleva una moneta, in primo luogo
|
|
|
|
|
crea per la moneta una chiave privata casuale $c$ e calcola la
|
|
|
|
|
corrispondente chiave pubblica $C$ per creare firme digitali con i
|
|
|
|
|
normali sistemi di firma crittografica (come DSA, ECDSA, EdDSA e
|
|
|
|
|
RSA). Quindi si deriva $f$ mediante una funzione di hash crittografica
|
|
|
|
|
dalla chiave pubblica $C$, prima che la banca centrale ne apponga la
|
|
|
|
|
firma cieca (utilizzando un nuovo fattore di accecamento casuale per
|
|
|
|
|
ciascuna moneta). Ora il cliente può utilizzare $c$ per firmare
|
2022-01-31 17:11:13 +01:00
|
|
|
|
elettronicamente gli acquisti, spendendo così la moneta.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Come visto sopra, la banca centrale andrebbe a predisporre coppie di
|
|
|
|
|
chiavi diverse per ogni valore unitario di moneta e pubblicherebbe le
|
|
|
|
|
chiavi pubbliche che i clienti userebbero per prelevare denaro. Queste
|
|
|
|
|
chiavi di valore, e quindi le monete, avrebbero una data di scadenza
|
|
|
|
|
prima della quale dovrebbero essere spese o scambiate con monete
|
|
|
|
|
nuove. Ai clienti verrebbe concesso un certo periodo di tempo per
|
|
|
|
|
scambiare le monete. Un processo simile esiste per le banconote
|
|
|
|
|
fisiche, dove le serie di banconote vengono regolarmente rinnovate per
|
|
|
|
|
essere dotate delle più recenti caratteristiche di sicurezza, tranne
|
|
|
|
|
per il fatto che le banconote generalmente rimangono in circolazione
|
|
|
|
|
per decenni anziché per pochi anni o mesi.\footnote{In Svizzera,
|
|
|
|
|
ad esempio, la Banca nazionale svizzera ha iniziato a ritirare dalla
|
|
|
|
|
circolazione l'ottava serie di banconote nell'aprile 2016. Questa serie
|
|
|
|
|
era stata messa in circolazione alla fine degli anni novanta. Dal 1
|
|
|
|
|
gennaio 2020, tuttavia, tutte le banconote a partire dalla sesta serie
|
|
|
|
|
(emesse nel 1976) fino alle serie future restano valide e possono essere
|
2022-01-31 17:11:13 +01:00
|
|
|
|
scambiate a tempo indeterminato con banconote correnti.}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Da un punto di vista tecnico, una data di scadenza offre due vantaggi.
|
|
|
|
|
In primo luogo, migliora l'efficienza del sistema perché la banca
|
|
|
|
|
centrale può cancellare i dati scaduti, evitando così di dover
|
|
|
|
|
archiviare e poi cercare in un elenco sempre crescente di monete
|
|
|
|
|
(spese) per rilevare una doppia spesa. In secondo luogo, riduce i
|
|
|
|
|
rischi per la sicurezza dato che la banca centrale non deve
|
|
|
|
|
preoccuparsi di attacchi alle proprie chiavi (private) di valore ($d$)
|
|
|
|
|
scadute. Inoltre, anche se una chiave privata venisse compromessa, il
|
|
|
|
|
periodo durante il quale l'attaccante può utilizzarla è breve. In aggiunta,
|
|
|
|
|
l'addebito di una commissione di cambio consentirebbe alla banca centrale di
|
|
|
|
|
applicare tassi di interesse negativi, se ritenuto necessario. La banca centrale
|
|
|
|
|
potrebbe anche, se lo desidera, fissare un limite di conversione per cliente in
|
|
|
|
|
considerazione dell'antiriciclaggio e l'antiterrorismo (soglia di «contante») o
|
|
|
|
|
per motivi di stabilità finanziaria (per prevenire accaparramenti e corse agli
|
2022-01-31 17:11:13 +01:00
|
|
|
|
sportelli).
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
\emph{Protocollo di scambio di chiavi.} GNU Taler utilizza un protocollo
|
|
|
|
|
di scambio di chiavi in un modo particolare per fornire un collegamento
|
|
|
|
|
tra la moneta originale e il resto reso per quella stessa moneta. Ciò
|
|
|
|
|
garantisce che il resto possa sempre essere reso senza compromettere
|
|
|
|
|
la trasparenza del reddito e la privacy dei consumatori. Lo stesso
|
|
|
|
|
meccanismo si può utilizzare per i rimborsi anonimi ai clienti. Il
|
|
|
|
|
protocollo gestisce anche i guasti alla rete e ai componenti,
|
|
|
|
|
assicurando che i pagamenti siano andati a buon fine o siano stati
|
|
|
|
|
definitivamente annullati e che tutte le parti abbiano una prova
|
|
|
|
|
crittografica dell'esito. Questo corrisponde all'incirca agli scambi
|
|
|
|
|
atomici nei protocolli \textit{interledger} o allo scambio equo nei
|
2022-01-31 17:11:13 +01:00
|
|
|
|
tradizionali sistemi \textit{e-cash}.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La costruzione matematica più comune per un protocollo di scambio di
|
2022-02-01 17:53:50 +01:00
|
|
|
|
chiavi è la costruzione~\cite{Diffie}, che
|
2022-02-01 10:04:59 +01:00
|
|
|
|
consente a due parti di derivare una chiave segreta condivisa. A tale
|
|
|
|
|
scopo, condividono due parametri di dominio $p$ e $g$, che possono
|
|
|
|
|
essere pubblici, dove $p$ è un numero primo grande e $g$ è una radice
|
|
|
|
|
primitiva modulo $p$.\footnote{Un intero $g$ è una radice primitiva
|
|
|
|
|
modulo $p$ se per ogni intero $a$ coprimo a $p$ esiste un intero $k$
|
|
|
|
|
per il quale
|
|
|
|
|
$g^k \equiv a \mod p$.
|
|
|
|
|
In pratica, $g$ dovrebbe essere una radice primitiva $(p-1)$-esima, detta
|
|
|
|
|
anche generatore, al fine di prevenire attacchi a sottogruppi come quelli
|
|
|
|
|
Pohlig-Hellman~\cite[vedi][]{Lim}.} Ora, le due parti scelgono le loro
|
|
|
|
|
chiavi private \emph{a} e \emph{b}, che sono due numeri interi grandi.
|
|
|
|
|
Con queste chiavi private e i parametri di dominio, generano le
|
|
|
|
|
rispettive chiavi pubbliche
|
|
|
|
|
$A \equiv g^{a} \mod p$ e $B \equiv g^{b} \mod p$.
|
|
|
|
|
Ciascuna parte può ora utilizzare la propria chiave privata e la chiave
|
|
|
|
|
pubblica dell'altra parte per calcolare la chiave segreta condivisa
|
2022-01-31 17:11:13 +01:00
|
|
|
|
$k \equiv \left( g^b \right)^{a} \equiv \left( g^{a} \right)^{b} \equiv g^{\text{ab}} \mod p$.\footnote{
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Lo stesso meccanismo potrebbe essere utilizzato per garantire
|
|
|
|
|
che le monete non vengano trasferite a terzi durante il prelievo. A
|
|
|
|
|
questo scopo, gli utenti devono salvaguardare una chiave di identità a
|
|
|
|
|
lungo termine. Il processo di prelievo potrebbe quindi essere
|
|
|
|
|
costruito allo stesso modo di quello utilizzato da GNU Taler per dare
|
|
|
|
|
il resto, tranne per il fatto che quando si preleva dal conto bancario
|
|
|
|
|
del cliente verrebbe utilizzata la chiave d'identità a lungo termine
|
|
|
|
|
del cliente al posto della moneta originale. Tuttavia, le garanzie
|
|
|
|
|
sulla privacy potrebbero decadere se il cliente non protegge la chiave
|
|
|
|
|
d'identità a lungo termine, con il conseguente rischio di furto di
|
|
|
|
|
tutte le monete residue. Dato che il rischio nei trasferimenti a terzi
|
|
|
|
|
quando si prelevano monete è basso, non è chiaro se questa riduzione
|
2022-01-31 17:11:13 +01:00
|
|
|
|
del rischio possa essere un buon compromesso.}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Per ottenere il resto, il cliente parte dalla chiave privata della
|
|
|
|
|
moneta parzialmente spesa $c$. Sia $C$ la chiave pubblica corrispondente,
|
|
|
|
|
per esempio
|
|
|
|
|
$C = g^{c} \mod p$.
|
|
|
|
|
Quando la moneta fu parzialmente spesa in precedenza, la banca centrale
|
|
|
|
|
registrò la transazione relativa a $C$ nel proprio database. Per
|
|
|
|
|
semplicità, assumiamo che esista un valore unitario che corrisponda
|
|
|
|
|
esattamente a questo valore residuo. In caso contrario, il protocollo si
|
|
|
|
|
riavvia finché non viene reso tutto il resto. Sia $(e,n)$ la
|
2022-01-31 17:11:13 +01:00
|
|
|
|
chiave di valore per il resto da rendere.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Per ottenere il resto, l'acquirente crea prima $\kappa$ chiavi di
|
2022-02-07 08:50:41 +01:00
|
|
|
|
trasferimento private $t_{i}$ per \\
|
2022-02-01 10:04:59 +01:00
|
|
|
|
$i \in \left\{ 1,\ldots,\kappa \right\}$ e calcola le
|
|
|
|
|
corrispondenti chiavi pubbliche $T_{i}$. Queste chiavi di
|
|
|
|
|
trasferimento $\kappa$ sono semplicemente coppie di chiavi
|
|
|
|
|
pubbliche-private che consentono al cliente di eseguire localmente il
|
|
|
|
|
protocollo di scambio di chiavi, con il cliente che gioca su entrambi
|
|
|
|
|
i lati del processo, $\kappa$ volte tra $c$ e ogni $t_{i}$.
|
|
|
|
|
Se si usa Diffie-Hellman come protocollo per lo scambio di chiavi, si
|
|
|
|
|
ottiene
|
2022-01-31 17:11:13 +01:00
|
|
|
|
$T_{i} \equiv g^{t_{i}} \mod p$.
|
|
|
|
|
|
2022-02-03 18:52:01 +01:00
|
|
|
|
Il risultato è composto da tre trasferimenti
|
2022-02-01 10:04:59 +01:00
|
|
|
|
$K_{i} \equiv \emph{KX}(c,t_{i})$. Il protocollo di scambio di chiavi
|
|
|
|
|
può essere utilizzato in diversi modi per ottenere lo stesso valore
|
|
|
|
|
$K_{i} \equiv \emph{KX}(C,t_{i}) = \emph{KX}(c,T_{i})$.
|
|
|
|
|
Data $K_{i}$, il cliente utilizza una funzione crittografica hash $H$
|
|
|
|
|
per ricavare i valori
|
|
|
|
|
$(b_{i},c_{i}) \equiv H(K_{i})$, dove
|
|
|
|
|
$b_{i}$ è un fattore di accecamento valido per la chiave di valore
|
|
|
|
|
$(e,n)$ e $c_{i}$
|
|
|
|
|
è una chiave privata per la nuova moneta da ottenere come resto.
|
|
|
|
|
$c_{i}$ deve essere adatta sia per creare firme crittografiche sia per
|
|
|
|
|
un uso futuro con il protocollo di scambio di chiavi
|
|
|
|
|
(come $c$, per ottenere resto a partire dal resto).
|
|
|
|
|
Sia $C_{i}$ la chiave pubblica corrispondente a $c_{i}$.
|
|
|
|
|
Il cliente chiede quindi alla banca centrale di creare una firma cieca su
|
|
|
|
|
$C_{i}$ per $i \in \{ 1,\ldots,\kappa\}$.\footnote{Se dovesse essere
|
2022-02-07 08:50:41 +01:00
|
|
|
|
utilizzato il crittosistema RSA per le firme cieche, useremmo
|
2022-02-01 10:04:59 +01:00
|
|
|
|
$f \equiv \emph{FDH}_{n}(C_{i})$, dove
|
|
|
|
|
$\emph{FDH}_{n}()$
|
|
|
|
|
è l'hash del dominio completo sul dominio $n$.} In questa richiesta, il
|
|
|
|
|
cliente si impegna anche con le chiavi pubbliche
|
|
|
|
|
$T_{i}$.
|
|
|
|
|
La richiesta è autorizzata mediante una firma effettuata con la chiave
|
2022-01-31 17:11:13 +01:00
|
|
|
|
privata $c$.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Invece di restituire direttamente la firma cieca, la banca centrale
|
|
|
|
|
chiede prima al cliente di dimostrare che ha utilizzato correttamente la
|
|
|
|
|
costruzione di cui sopra fornendo
|
|
|
|
|
$\gamma \in \left\{ 1,\ldots,\kappa \right\}$.
|
|
|
|
|
Il cliente deve quindi mostrare alla banca centrale la
|
|
|
|
|
$t_{i}$ per $i \neq \gamma$.
|
|
|
|
|
La banca centrale può quindi calcolare
|
|
|
|
|
$K_{i} \equiv \emph{KX}(C,t_{i})$ e ricavare i valori
|
|
|
|
|
$(b_{i},c_{i})$. Se per tutte le
|
|
|
|
|
$i \neq \gamma$ la $t_{i}$ fornita dimostra che il cliente ha utilizzato
|
|
|
|
|
correttamente la costruzione, la banca centrale restituisce la firma
|
|
|
|
|
cieca su $C_{\gamma}$.
|
|
|
|
|
Se il cliente non fornisce una prova corretta, il valore residuo della
|
|
|
|
|
moneta originale viene perso. Questo penalizza efficacemente coloro che
|
|
|
|
|
tentano di eludere la trasparenza del reddito con un'aliquota fiscale
|
2022-01-31 17:11:13 +01:00
|
|
|
|
stimata di $1 - \frac{1}{\kappa}$.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Per evitare che un cliente cospiri con un venditore che sta tentando di
|
|
|
|
|
evadere il fisco, la banca centrale consente a chiunque
|
|
|
|
|
conosca $C$ di ottenere, in qualsiasi momento, i valori di
|
|
|
|
|
$T_{\gamma}$
|
|
|
|
|
e le firme cieche di tutte le monete collegate alla moneta originaria $C$.
|
|
|
|
|
Ciò permette al possessore della moneta originaria, che conosce $c$, di
|
|
|
|
|
calcolare
|
|
|
|
|
$K_{\gamma} \equiv \emph{KX}( c,T_{\gamma})$
|
|
|
|
|
e da lì ricavare
|
|
|
|
|
$(b_{i},c_{i})$
|
|
|
|
|
per, infine, rimuovere la firma cieca. Di conseguenza, un venditore che
|
|
|
|
|
nasconde il proprio reddito in questo modo formerebbe solo un'accordo
|
2022-01-31 17:11:13 +01:00
|
|
|
|
economico limitato con il cliente invece di ottenere il controllo esclusivo.
|
|
|
|
|
|
|
|
|
|
\hypertarget{architettura-del-sistema}{%
|
|
|
|
|
\subsection{Architettura del sistema}\label{architettura-del-sistema}}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Uno degli obiettivi principali della nostra architettura è garantire
|
|
|
|
|
che le banche centrali non debbano interagire direttamente con i
|
|
|
|
|
clienti né conservare alcuna informazione su di loro, ma solo tenere
|
|
|
|
|
un elenco delle monete spese. L'autenticazione è delegata alle banche
|
|
|
|
|
commerciali, che dispongono già dell'infrastruttura necessaria. I
|
|
|
|
|
protocolli di prelievo e deposito raggiungono la banca centrale
|
|
|
|
|
tramite una banca commerciale in qualità di intermediaria. Dal punto
|
|
|
|
|
di vista del cliente, il processo è analogo al prelievo di contanti da
|
|
|
|
|
un bancomat. La transazione tra la banca commerciale dell'utente e la
|
|
|
|
|
banca centrale avviene in background. La procedura per il prelievo di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
CBDC è illustrata nel diagramma~\ref{fig:fig1}.
|
|
|
|
|
|
|
|
|
|
\begin{figure}[h!]
|
|
|
|
|
\includegraphics[width=\textwidth]{diagramma1-it.png}
|
|
|
|
|
\caption{Prelievo di CBDC}
|
|
|
|
|
\label{fig:fig1}
|
|
|
|
|
\end{figure}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Il cliente (1) invia i dati di accesso alla propria banca commerciale
|
|
|
|
|
utilizzando le relative procedure di autenticazione e autorizzazione.
|
|
|
|
|
Quindi il telefono (o il computer) del cliente ottiene la chiave di
|
|
|
|
|
valore pubblica $(e, n)$ fornita dalla banca centrale per quel valore; (2)
|
|
|
|
|
calcola quindi una coppia di chiavi per la moneta, con una chiave
|
|
|
|
|
privata $c$ e una chiave pubblica $C$, e sceglie un fattore di accecamento
|
2022-02-07 08:50:41 +01:00
|
|
|
|
$b$. La chiave pubblica della moneta viene quindi sottoposta a hash \\
|
2022-02-01 10:04:59 +01:00
|
|
|
|
($\to$ $f$) e accecata ($\to$ $f'$). Quindi il dispositivo del cliente (3)
|
|
|
|
|
invia $f'$ insieme all'autorizzazione a prelevare la moneta e ad
|
|
|
|
|
addebitarla dal conto del cliente presso la banca commerciale tramite un
|
|
|
|
|
canale sicuro stabilito. La banca commerciale (4) addebita quindi
|
|
|
|
|
l'importo dal conto deposito del cliente, (5) autorizza digitalmente la
|
|
|
|
|
richiesta utilizzando la firma digitale specifica della propria filiale
|
|
|
|
|
e inoltra la richiesta e la moneta accecata alla banca centrale per la
|
|
|
|
|
firma. La banca centrale (6) sottrae il valore della moneta dal conto
|
|
|
|
|
della banca commerciale, appone la firma cieca sulla moneta
|
|
|
|
|
utilizzando la chiave privata che detiene per il relativo valore e (7)
|
|
|
|
|
restituisce la firma cieca $s'$ alla banca commerciale. La banca
|
|
|
|
|
commerciale (8) inoltra la firma cieca $s'$ al portafoglio elettronico
|
|
|
|
|
del cliente. Infine, il dispositivo del cliente (9) utilizza $b$ per
|
|
|
|
|
rimuovere l'accecamento dalla firma ($\to$ $f$) e salva la moneta appena
|
2022-01-31 17:11:13 +01:00
|
|
|
|
coniata $(c, s)$.
|
|
|
|
|
|
2022-02-03 18:54:12 +01:00
|
|
|
|
Per spendere CBDC, la procedura è analoga al pagamento in contanti.
|
|
|
|
|
Tuttavia, per consolidare la transazione, il venditore deve depositare
|
2022-02-03 18:52:01 +01:00
|
|
|
|
la moneta. La procedura per spendere CBDC è illustrata nel diagramma 2.
|
|
|
|
|
|
|
|
|
|
\begin{figure}[h!]
|
|
|
|
|
\includegraphics[width=\textwidth]{diagramma2-it.png}
|
|
|
|
|
\caption{Spendere e depositare CBDC}
|
|
|
|
|
\label{fig:fig2}
|
|
|
|
|
\end{figure}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Un cliente e un venditore negoziano un contratto commerciale. Il
|
|
|
|
|
cliente (1) utilizza una moneta elettronica per firmare il contratto o
|
|
|
|
|
l'atto di vendita con la chiave privata $c$ della moneta e trasmette la
|
|
|
|
|
firma al venditore. La firma di una moneta su un contratto con una
|
|
|
|
|
moneta valida è l'istruzione del cliente di pagare il venditore, che è
|
|
|
|
|
identificato dal conto bancario nel contratto. Se una singola moneta
|
|
|
|
|
non fosse sufficiente per coprire l'importo totale, i clienti possono
|
|
|
|
|
firmare il contratto con più monete. Il venditore (2) convalida quindi
|
|
|
|
|
la firma della moneta sul contratto e la firma $s$ della banca centrale
|
|
|
|
|
su $f$, che corrisponde a quella della moneta $C$ con le rispettive
|
|
|
|
|
chiavi pubbliche, e inoltra la moneta firmata (insieme alle
|
|
|
|
|
informazioni sul conto del venditore) alla banca commerciale del
|
|
|
|
|
venditore. La banca commerciale del venditore (3) conferma che il
|
|
|
|
|
venditore è un suo cliente e inoltra la moneta firmata alla banca
|
|
|
|
|
centrale. La banca centrale (4) verifica le firme e controlla il
|
|
|
|
|
proprio database per accertarsi che la moneta non sia già stata spesa.
|
|
|
|
|
Se tutto è in ordine, la banca centrale (5) aggiunge la moneta
|
|
|
|
|
all'elenco delle monete spese, l'accredita sul conto della banca
|
|
|
|
|
commerciale presso la banca centrale e (6) invia una conferma in tal
|
|
|
|
|
senso alla banca commerciale. Quindi la banca commerciale (7)
|
|
|
|
|
accredita la moneta sul conto del venditore e (8) gli invia una
|
|
|
|
|
notifica. Il venditore (9) consegna il prodotto o servizio al cliente.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
L'intera operazione richiede poche centinaia di millisecondi.
|
|
|
|
|
|
|
|
|
|
\hypertarget{considerazioni-sulla-sicurezza}{%
|
|
|
|
|
\subsection{Considerazioni sulla sicurezza}
|
|
|
|
|
\label{considerazioni-sulla-sicurezza}}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nella nostra proposta, occorre che la banca centrale gestisca un
|
|
|
|
|
database e un servizio online ad alta disponibilità. Poiché le monete
|
|
|
|
|
elettroniche possono essere copiate dagli utenti, solo con i controlli
|
|
|
|
|
online si può prevenire in modo efficace la doppia spesa. Sebbene
|
|
|
|
|
nella teoria esistano soluzioni per identificare a posteriori gli
|
|
|
|
|
utenti che effettuano una doppia spesa~\cite[vedi][]{Chaum1990},
|
|
|
|
|
queste soluzioni creano rischi economici sia per gli utenti che per la
|
|
|
|
|
banca centrale a causa del ritardo nell'identificazione di
|
|
|
|
|
transazioni fraudolente. Il rilevamento online della doppia spesa
|
|
|
|
|
elimina questo rischio, ma significa anche che sarà impossibile
|
|
|
|
|
effettuare le transazioni se la connessione Internet alla banca
|
2022-01-31 17:11:13 +01:00
|
|
|
|
centrale non è disponibile.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La banca centrale dovrà anche proteggere la riservatezza delle chiavi
|
|
|
|
|
private che utilizza per firmare le monete e altri messaggi di
|
|
|
|
|
protocollo. Se le chiavi di firma della banca centrale dovessero
|
|
|
|
|
essere compromesse, ad esempio da un computer quantistico, da un
|
|
|
|
|
attacco fisico ai \textit{datacenter} o anche da qualche nuovo algoritmo
|
2022-02-02 08:14:43 +01:00
|
|
|
|
% FIXME:
|
|
|
|
|
% forme alternative:
|
|
|
|
|
% 1) "rimborsare AGLI utenti ... tutte le monete non spese"
|
|
|
|
|
% 2) "rimborsare gli utenti ... DI tutte le monete non spese"
|
2022-02-03 18:52:01 +01:00
|
|
|
|
%FIXED
|
|
|
|
|
imprevisto, è possibile rimborsare agli utenti --- in tutta sicurezza e
|
2022-02-01 10:04:59 +01:00
|
|
|
|
senza compromettere la privacy --- tutte le monete non spese. La banca
|
|
|
|
|
centrale annuncerebbe la revoca della chiave tramite l'\textit{Application
|
|
|
|
|
Programming Interface} (API), che verrebbe rilevata dai portafogli,
|
|
|
|
|
avviando quindi il seguente protocollo di aggiornamento: l'utente
|
|
|
|
|
svela alla banca centrale la chiave pubblica $C$ della moneta, la firma
|
|
|
|
|
$s$ della banca centrale e il fattore di accecamento $b$, consentendo così
|
|
|
|
|
alla banca centrale di verificare il legittimo prelievo dell'utente e
|
|
|
|
|
di rimborsare il valore della moneta non spesa. Per rilevare una
|
|
|
|
|
possibile compromissione della propria chiave, la banca centrale può
|
|
|
|
|
monitorare il database in cerca di depositi che eccedano i prelievi.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
|
|
|
|
|
\subsection{Scalabilità e costi}\label{scalabilità-e-costi}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Lo schema che proponiamo sarebbe efficiente ed economico quanto i
|
2022-01-31 17:11:13 +01:00
|
|
|
|
moderni sistemi RTGS attualmente utilizzati dalle banche centrali.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La scalabilità si riferisce al costo di aumentare la potenza di
|
|
|
|
|
calcolo in modo che si possa concludere un numero crescente di
|
|
|
|
|
transazioni in tempi adeguati. Il costo complessivo del sistema può
|
|
|
|
|
essere basso in quanto la CBDC qui proposta si basa interamente su
|
|
|
|
|
software. Le monete spese devono essere conservate fino alla scadenza
|
|
|
|
|
della coppia di chiavi di valore utilizzata per firmare le monete, ad
|
|
|
|
|
esempio tramite un ciclo annuale continuo, che mantiene limitata la
|
|
|
|
|
dimensione del database. La potenza di calcolo e la larghezza di banda
|
|
|
|
|
necessarie aumentano della stessa quantità per ogni transazione, spesa
|
|
|
|
|
o deposito addizionali, dato che le transazioni sono intrinsecamente
|
|
|
|
|
indipendenti l'una dall'altra. Questa ulteriore potenza si ottiene
|
|
|
|
|
semplicemente aggiungendo più hardware, una pratica spesso conosciuta
|
|
|
|
|
come partizionamento o \textit{sharding}. Grazie al cosiddetto
|
|
|
|
|
\textit{consistent hashing}, le aggiunte di hardware non risultano
|
2022-01-31 17:11:13 +01:00
|
|
|
|
dirompenti. Si può anche utilizzare qualsiasi tipo di database.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Più nello specifico, la logica del \textit{front-end} presso la banca
|
|
|
|
|
centrale deve solo eseguire poche operazioni di firma, e un singolo
|
|
|
|
|
processore può eseguirne alcune migliaia al secondo~\cite[vedi][]{Bernstein2020}.
|
|
|
|
|
Se un unico sistema non fosse sufficiente, è facile aggiungere altri
|
|
|
|
|
server \textit{front-end} e invitare le varie banche commerciali a
|
|
|
|
|
bilanciare le loro richieste nella \textit{server farm} o
|
|
|
|
|
utilizzare un sistema di bilanciamento del carico per distribuire le
|
2022-01-31 17:11:13 +01:00
|
|
|
|
richieste all'interno dell'infrastruttura della banca centrale.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
I server \textit{front-end} devono comunicare con un database per
|
|
|
|
|
effettuare le transazioni e prevenire la doppia spesa. Un unico server
|
|
|
|
|
di database moderno dovrebbe essere in grado di gestire in modo
|
|
|
|
|
affidabile decine di migliaia di operazioni al secondo. Le operazioni
|
|
|
|
|
possono essere facilmente distribuite su più server di database
|
|
|
|
|
semplicemente assegnando a ciascuno un intervallo di valori da
|
|
|
|
|
gestire. Tale configurazione garantisce che le singole transazioni non
|
|
|
|
|
incrocino mai le partizioni. Pertanto, anche i sistemi \textit{back-end}
|
|
|
|
|
dovrebbero scalare in modo lineare con le risorse di calcolo messe a
|
|
|
|
|
disposizione, partendo sempre da una solida base di riferimento per un
|
2022-01-31 17:11:13 +01:00
|
|
|
|
singolo sistema.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
I \textit{front-end} devono anche comunicare con i \textit{back-end} per
|
|
|
|
|
mezzo di un'interconnessione. Queste interconnessioni possono
|
|
|
|
|
supportare un gran numero di transazioni al secondo. La dimensione di
|
|
|
|
|
una singola transazione è in genere di circa 1–10 kilobyte. Pertanto,
|
|
|
|
|
i \textit{datacenter} di oggi, che scambiano informazioni a 400 Gbit/s,
|
2022-01-31 17:11:13 +01:00
|
|
|
|
possono supportare milioni di transazioni al secondo.
|
|
|
|
|
|
2022-02-02 08:14:43 +01:00
|
|
|
|
%FIXME:
|
|
|
|
|
%
|
|
|
|
|
% Sotto appare "Probabilmente + congiuntivo". Suggerirei
|
|
|
|
|
% di cambiarlo con una forma all'indicativo. Qui si trova
|
|
|
|
|
% una discussione a riguardo:
|
|
|
|
|
% https://italian.stackexchange.com/questions/3653/probabilmente-indicativo-o-congiuntivo
|
2022-02-03 18:52:01 +01:00
|
|
|
|
% Not incorrect but FIXED anyway.
|
2022-03-09 15:11:06 +01:00
|
|
|
|
|
|
|
|
|
Infine, il costo totale del sistema è basso. Il costo principale è
|
|
|
|
|
rappresentato dall'archiviazione a lungo termine di 1–10 kilobyte
|
|
|
|
|
per transazione. Gli esperimenti su un prototipo di GNU Taler che
|
|
|
|
|
utilizzava i prezzi di \textit{Amazon Web Service} hanno stabilito
|
|
|
|
|
che il costo del sistema (archiviazione, larghezza di banda e capacità
|
|
|
|
|
di calcolo) su larga scala sarebbe inferiore a 0,0001 USD per
|
|
|
|
|
transazione~\cite[per i dettagli sui dati, si veda][]{Dold}.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
|
|
|
|
|
\section{Considerazioni normative e politiche}
|
|
|
|
|
\label{5.-considerazioni-normative-e-politiche}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Nella soluzione che proponiamo, la banca centrale non conosce
|
|
|
|
|
l'identità dei consumatori o dei venditori né l'importo totale delle
|
|
|
|
|
transazioni, ma vede solo il momento in cui le monete elettroniche vengono
|
|
|
|
|
rilasciate e quando vengono riscattate. Le banche commerciali continuano a
|
|
|
|
|
fornire l'autenticazione cruciale di consumatori e venditori e, in particolare,
|
|
|
|
|
custodiscono le informazioni che acquisiscono per la conoscenza dei clienti
|
|
|
|
|
(KYC). Le banche commerciali osservano quando i venditori ricevono fondi e, se
|
|
|
|
|
necessario, possono limitare la quantità di CBDC per transazione che
|
|
|
|
|
un singolo venditore può ricevere. Inoltre, le transazioni sono
|
|
|
|
|
collegate ai relativi contratti con i clienti. La conseguente
|
|
|
|
|
trasparenza del reddito consente al sistema di soddisfare i requisiti
|
|
|
|
|
delle normative sulla lotta al riciclaggio di denaro e al
|
|
|
|
|
finanziamento del terrorismo (AML e CFT). In caso vengano rilevate
|
|
|
|
|
anomalie nei redditi dei venditori, la banca commerciale e
|
|
|
|
|
l'autorità fiscale o giudiziaria possono ottenere e ispezionare i
|
|
|
|
|
contratti relativi ai pagamenti sospetti al fine di verificarne la
|
|
|
|
|
legittimità. La trasparenza del reddito risultante è anche una forte
|
|
|
|
|
misura contro l'evasione fiscale perché i venditori non possono
|
|
|
|
|
sottodichiarare il proprio reddito o evadere le tasse sulle vendite.
|
2022-02-06 12:33:49 +01:00
|
|
|
|
Nel complesso, il sistema implementa gli approcci~\textit{privacy-by-design}
|
|
|
|
|
e \textit{privacy-by-default} (come richiesto, ad esempio,
|
2022-02-01 10:04:59 +01:00
|
|
|
|
dal Regolamento generale sulla protezione dei dati dell'UE, GDPR). I
|
|
|
|
|
venditori non apprendono necessariamente l'identità dei propri clienti,
|
|
|
|
|
le banche possiedono solo le informazioni necessarie sulle attività dei
|
|
|
|
|
propri clienti e la banca centrale non ha accesso ai dettagli sulle
|
2022-01-31 17:11:13 +01:00
|
|
|
|
attività dei cittadini.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
In alcuni paesi le normative impongono limiti per i prelievi e i
|
|
|
|
|
pagamenti in contanti. Tali restrizioni possono essere implementate
|
|
|
|
|
anche per la CBDC nel progetto proposto. Ad esempio, è possibile
|
|
|
|
|
stabilire una soglia per l'importo giornaliero che i consumatori possono
|
|
|
|
|
prelevare, oppure limitare l'importo totale di CBDC che le banche
|
2022-01-31 17:11:13 +01:00
|
|
|
|
commerciali possono convertire.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La disintermediazione del settore bancario è uno dei rischi di
|
2022-02-02 08:14:43 +01:00
|
|
|
|
instabilità finanziaria spesso sollevato per quanto riguarda la CBDC
|
2022-02-01 10:04:59 +01:00
|
|
|
|
al dettaglio. In particolare, una CBDC al dettaglio potrebbe
|
|
|
|
|
facilitare l'accumulo di ingenti somme di denaro della banca
|
|
|
|
|
centrale, il che potrebbe avere un impatto negativo sul finanziamento
|
|
|
|
|
alle banche mediante depositi perché il pubblico deterrebbe meno
|
|
|
|
|
denaro sotto forma di depositi bancari. Per i paesi le cui valute
|
|
|
|
|
fungono da valute rifugio, ciò potrebbe anche portare ad un aumento
|
|
|
|
|
degli afflussi di capitali durante i periodi globali di avversione al
|
|
|
|
|
rischio, dando luogo ad ulteriori pressioni sui tassi di cambio.
|
|
|
|
|
Quello che quindi potrebbe rappresentare un serio problema nel caso di
|
|
|
|
|
una CBDC basata su conti, lo sarebbe molto meno con una CBDC basata
|
|
|
|
|
su token. Innanzitutto, l'accumulo di una CBDC basata su token comporta
|
|
|
|
|
rischi di furto o perdita simili a quelli legati all'accumulo di
|
|
|
|
|
contanti. Tenere poche centinaia di dollari su uno smartphone è
|
|
|
|
|
probabilmente un rischio accettabile per molti, ma detenere una somma
|
|
|
|
|
molto alta è probabilmente un rischio meno accettabile. Pertanto, non
|
|
|
|
|
ci aspettiamo un accaparramento significativamente maggiore rispetto a
|
2022-01-31 17:11:13 +01:00
|
|
|
|
quello del denaro fisico.
|
|
|
|
|
|
2022-02-02 08:14:43 +01:00
|
|
|
|
Tuttavia, se l'accumulo o la massiccia conversione dei depositi
|
2022-02-06 12:33:49 +01:00
|
|
|
|
bancari in CBDC dovessero destare preoccupazione, la banca centrale
|
2022-02-01 10:04:59 +01:00
|
|
|
|
avrebbe diverse opzioni. Come si è spiegato, secondo il progetto
|
|
|
|
|
proposto le banche centrali fissano una data di scadenza per tutte le
|
|
|
|
|
chiavi di firma, il che implica che in una data prestabilita le monete
|
|
|
|
|
firmate con quelle chiavi diventano non valide. Alla scadenza delle
|
|
|
|
|
chiavi di valore, i consumatori devono scambiare con monete nuove le
|
|
|
|
|
monete che erano state firmate con le vecchie chiavi; l'autorità di
|
|
|
|
|
regolamentazione può facilmente fissare una soglia di conversione per
|
|
|
|
|
cliente per creare un limite rigido alla quantità di CBDC che ogni
|
|
|
|
|
individuo può accumulare. Inoltre, la banca centrale potrebbe addebitare
|
|
|
|
|
commissioni, se necessario. Una commissione di aggiornamento quando le monete
|
|
|
|
|
stanno per scadere significherebbe nella pratica tassi di interesse negativi
|
|
|
|
|
sulla CBDC per limitare il suo fascino come riserva di valore, come
|
|
|
|
|
suggerisce~\cite{Bindseil}. Si tratterebbe infatti della diretta attuazione
|
|
|
|
|
dell'idea di Silvio Gesell di applicare una tassa di possesso sulla moneta,
|
|
|
|
|
notoriamente citata da~\cite{Keynes} e ripresa da~\cite{Goodfriend},
|
2022-02-01 17:53:50 +01:00
|
|
|
|
\cite{Buiter} e~\cite{Agarwal}.
|
2022-01-31 17:11:13 +01:00
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Per quanto riguarda le implicazioni in termini di politica monetaria,
|
|
|
|
|
non dovrebbero esserci cambiamenti reali perché la nostra CBDC è
|
|
|
|
|
progettata per replicare il contante piuttosto che i depositi bancari.
|
2022-02-02 08:14:43 +01:00
|
|
|
|
L'emissione, il prelievo e il deposito della nostra CBDC corrispondono
|
2022-02-01 10:04:59 +01:00
|
|
|
|
esattamente all'emissione, al prelievo e al deposito di banconote. È
|
|
|
|
|
possibile che la velocità di circolazione di una CBDC al dettaglio sia
|
|
|
|
|
diversa da quella del contante fisico, ma questo non dovrebbe
|
2022-01-31 17:11:13 +01:00
|
|
|
|
rappresentare un problema significativo per la politica monetaria.
|
|
|
|
|
|
|
|
|
|
\hypertarget{lavori-correlati}{%
|
|
|
|
|
\section{Lavori correlati}\label{6.-lavori-correlati}}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Come segnalato in precedenza, la CBDC che si propone in questo documento
|
|
|
|
|
si basa su eCash e GNU Taler.\footnote{L'implementazione di eCash
|
2022-02-07 08:50:41 +01:00
|
|
|
|
da parte della società DigiCash negli anni novanta è documentata su \\
|
2022-02-01 10:04:59 +01:00
|
|
|
|
\url{https://www.chaum.com/ecash}.} A partire dalla proposta originale
|
|
|
|
|
e-Cash di Chaum, la ricerca si è concentrata su tre questioni principali.
|
|
|
|
|
In primo luogo, nella proposta originale di Chaum le monete avevano un
|
|
|
|
|
valore fisso e potevano essere spese solo nella loro totalità. Pagare
|
|
|
|
|
grandi somme con monete denominate in centesimi sarebbe stato poco
|
|
|
|
|
efficiente; quindi~\cite{Okamoto}, \cite{Camenisch2005}, \cite{Canard}
|
|
|
|
|
e~\cite{Dold} idearono modi per affrontare il problema. Queste soluzioni
|
2022-01-31 17:11:13 +01:00
|
|
|
|
comprendono protocolli per dare il resto o rendere divisibili le monete.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Un secondo problema riguarda gli errori nelle transazioni dovuti ad
|
|
|
|
|
interruzioni della rete. In questo caso, il sistema deve garantire che
|
|
|
|
|
i fondi rimangano in possesso del consumatore senza pregiudicare la
|
|
|
|
|
privacy. L'\textit{Endorsed E-Cash} proposto da~\cite{Camenisch2007},
|
|
|
|
|
così come da~\cite{Dold}, affrontano entrambi questo problema. Molte
|
|
|
|
|
delle soluzioni violano le garanzie sulla privacy per i clienti che
|
|
|
|
|
utilizzano queste funzionalità e tutte, tranne Taler, violano il
|
2022-01-31 17:11:13 +01:00
|
|
|
|
requisito della trasparenza del reddito.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
La terza questione importante, spesso trascurata, è la trasparenza del
|
|
|
|
|
reddito e quindi la conformità con i requisiti AML e KYC. \cite{Fuchsbauer}
|
|
|
|
|
hanno deliberatamente progettato il loro sistema di disintermediazione
|
|
|
|
|
per fornire una semantica più simile al contante. Tuttavia, la
|
|
|
|
|
disintermediazione totale è in genere difficile da concialiare con le
|
|
|
|
|
normative AML e KYC dato che diventa impossibile raggiungere qualsiasi
|
|
|
|
|
livello di responsabilità. Un esempio di tale architettura è ZCash, un
|
|
|
|
|
registro distribuito (\textit{ledger}) che nasconde dalla rete le
|
|
|
|
|
informazioni sul pagatore, sul beneficiario e sull'importo della
|
|
|
|
|
transazione, rendendolo quindi il sistema di pagamento perfetto per la
|
|
|
|
|
criminalità online. Solo Taler offre sia una privacy costante per i
|
|
|
|
|
clienti che la trasparenza del reddito, fornendo al contempo un sistema
|
|
|
|
|
di resto efficiente, scambi atomici~\cite[vedi][]{Camenisch2007} e la
|
2022-01-31 17:11:13 +01:00
|
|
|
|
possibilità di ripristinare i portafogli dal backup.
|
2022-02-07 08:50:41 +01:00
|
|
|
|
|
|
|
|
|
Per quanto riguarda i sistemi di pagamento per le CBDC, \cite{Danezis}
|
2022-02-01 10:04:59 +01:00
|
|
|
|
hanno progettato un \textit{ledger} scalabile per RSCoin. Si tratta
|
|
|
|
|
fondamentalmente di un sistema RTGS che viene protetto utilizzando la
|
|
|
|
|
stessa crittografia che si usa in Bitcoin. Come Taler, il design utilizza
|
2022-02-02 08:14:43 +01:00
|
|
|
|
lo \textit{sharding} del database per consentire la scalabilità lineare.
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Tuttavia, la soluzione di Danezis e Meiklejohn non prevede alcuna
|
|
|
|
|
disposizione per la privacy e manca di elementi per l'integrazione
|
2022-01-31 17:11:13 +01:00
|
|
|
|
pratica del design con i sistemi e i processi bancari esistenti.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
L'EUROchain della Banca Centrale Europea\cite[vedi][]{ECB} è un altro
|
|
|
|
|
prototipo di CBDC con registro distribuito. Simile all'architettura
|
|
|
|
|
proposta in questo documento, EUROchain utilizza un'architettura a due
|
|
|
|
|
livelli in cui le banche commerciali agiscono come intermediari. Una
|
|
|
|
|
differenza cruciale è il modo in cui i sistemi cercano di combinare
|
|
|
|
|
privacy e conformità con la normativa antiriciclaggio (AML). Mentre nel
|
|
|
|
|
nostro progetto l'autorità di regolamentazione può imporre un limite
|
|
|
|
|
alla somma di denaro elettronico che un titolare di conto bancario può
|
|
|
|
|
prelevare in un determinato periodo di tempo, EUROchain emette un numero
|
|
|
|
|
limitato di «voucher di anonimato» che garantiscono al destinatario un
|
|
|
|
|
numero limitato di transazioni senza controlli AML. Poiché questi voucher
|
|
|
|
|
sembrano essere privi di qualsiasi token di valore, non è chiaro come
|
|
|
|
|
il design possa impedire l'emergere di un mercato nero per i «voucher
|
|
|
|
|
di anonimato». Inoltre, la nozione di anonimato di EUROchain è molto
|
|
|
|
|
diversa, in quanto i loro «voucher di anonimato» eliminano solo alcuni
|
|
|
|
|
controlli AML, preservando la capacità delle banche commerciali di
|
|
|
|
|
sapere in che modo i clienti spendono il denaro elettronico. Laddove chi
|
|
|
|
|
paga utilizzando Taler interagisce direttamente con i venditori per
|
|
|
|
|
spendere il proprio contante elettronico, il sistema EUROchain chiede
|
|
|
|
|
ai pagatori di istruire le proprie banche commerciali per accedere alle
|
|
|
|
|
CBDC. Pertanto, EUROchain non emette direttamente token di valore ai
|
|
|
|
|
consumatori, affida invece ai consumatori il compito di autenticarsi
|
|
|
|
|
presso la propria banca commerciale per accedere alle CBDC che la
|
|
|
|
|
banca centrale detiene effettivamente in deposito a garanzia. Non è
|
|
|
|
|
quindi evidente quali siano i vantaggi di EUROchain in termini di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
privacy, prestazioni o sicurezza rispetto all'attuale denaro in deposito.
|
|
|
|
|
|
|
|
|
|
\section{Conclusione}\label{7.-conclusione}
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Con l'emergere di Bitcoin e valute digitali come Diem (già nota come
|
|
|
|
|
Libra) recentemente proposte dai colossi del web, le banche centrali
|
|
|
|
|
affrontano una crescente concorrenza da parte di operatori privati che
|
|
|
|
|
offrono la propria alternativa digitale al contante fisico. Le decisioni
|
|
|
|
|
delle banche centrali sull'emissione o meno di una CBDC dipendono dalla
|
|
|
|
|
loro valutazione dei benefici e dei rischi di una CBDC. È probabile che
|
|
|
|
|
questi vantaggi e rischi, nonché le circostanze giurisdizionali
|
|
|
|
|
specifiche che definiscono l'ambito di applicazione di una CBDC al
|
2022-01-31 17:11:13 +01:00
|
|
|
|
dettaglio, differiscano da un paese all'altro.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Se una banca centrale decide di emettere una CBDC al dettaglio,
|
|
|
|
|
proponiamo una CBDC basata su token che combina la privacy delle
|
|
|
|
|
transazioni con la conformità alle normative KYC, AML e CFT. Tale CBDC
|
|
|
|
|
non sarebbe in concorrenza con i depositi presso le banche commerciali,
|
|
|
|
|
replicherebbe piuttosto il contante fisico, limitando quindi i rischi di
|
2022-01-31 17:11:13 +01:00
|
|
|
|
stabilità finanziaria e di perturbazione della politica monetaria.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Abbiamo dimostrato che lo schema qui proposto sarebbe efficiente ed
|
|
|
|
|
economico quanto i moderni sistemi RTGS gestiti dalle banche centrali.
|
|
|
|
|
I pagamenti elettronici con la nostra CBDC richiederebbero solo un
|
|
|
|
|
semplice database e minuscole quantità di larghezza di banda per le
|
|
|
|
|
transazioni. L'efficienza e l'economicità di questa soluzione, insieme
|
|
|
|
|
alla maggiore facilità d'uso da parte del consumatore determinata dal
|
|
|
|
|
passaggio dall'autenticazione all'autorizzazione, rendono questo schema
|
|
|
|
|
probabilmente il primo a supportare l'annoso obiettivo dei micropagamenti
|
|
|
|
|
online. Inoltre, l'uso di monete per firmare crittograficamente contratti
|
|
|
|
|
elettronici consente anche l'impiego di contratti intelligenti. Ciò
|
|
|
|
|
potrebbe anche portare all'emergere di applicazioni completamente nuove
|
|
|
|
|
per i sistemi di pagamento. Sebbene il nostro sistema non sia basato su
|
|
|
|
|
DLT, può essere facilmente integrato con tali tecnologie se richiesto
|
2022-01-31 17:11:13 +01:00
|
|
|
|
dalle future infrastrutture del mercato finanziario.
|
|
|
|
|
|
2022-02-01 10:04:59 +01:00
|
|
|
|
Altrettanto importante, una CBDC al dettaglio deve rimanere, come il
|
|
|
|
|
contante fisico, un bene rispettoso della privacy sotto il controllo
|
|
|
|
|
individuale dei cittadini. Lo schema proposto in questo studio soddisfa
|
|
|
|
|
questo criterio e consente alle banche centrali di evitare gravi sfide
|
|
|
|
|
alla loro politica monetaria e alla stabilità finanziaria sfruttando al
|
2022-01-31 17:11:13 +01:00
|
|
|
|
contempo i vantaggi del passaggio al digitale.
|
|
|
|
|
|
|
|
|
|
\newpage
|
2022-02-06 12:33:49 +01:00
|
|
|
|
\bibliographystyle{agsm-mod}
|
2022-02-01 17:53:50 +01:00
|
|
|
|
\bibliography{cbdc-it}
|
2022-01-31 17:11:13 +01:00
|
|
|
|
\end{document}
|