Intervista a uno dei docenti più attesi della Plan ₿ Summer School: «La conoscenza è la chiave della sicurezza».
In un mondo in rapida evoluzione, nel quale la finanza decentralizzata assume via via sempre più peso, Riccardo Masutti sta riuscendo a emergere come figura di spicco nel complesso e affascinante panorama della sicurezza e della privacy in ambito Bitcoin. Ricercatore ed educatore indipendente, abbina una profonda comprensione della tecnologia blockchain a una passione per la divulgazione. Attualmente, fa parte dei team di sicurezza di Bitfinex e Tether - rispettivamente una delle principali piattaforme di scambio di criptovalute e la più grande capitalizzata stablecoin - e in precedenza ha prestato la sua expertise collaborando con Wasabi Wallet, focalizzando i suoi sforzi sulla sicurezza dell'informazione. Nel corso della sua carriera, Riccardo, che sarà tra i docenti più attesi della Plan ₿ Summer School, si è dedicato all’esplorazione della linea sottile che divide trasparenza e oscurità in termini di sicurezza informatica e privacy. Nel corso di questa intervista, ci guiderà in un viaggio affascinante nei labirinti della sicurezza nel mondo delle criptovalute.
Finanza tradizionale e finanza decentralizzata mediante blockchain: qual è la differenza a livello di sicurezza?
«La sicurezza informatica, solitamente, si divide in due filoni concettuali: security by obscurity e security by transparency. In sostanza, due visioni opposte che entrano in campo, logicamente, anche rispetto a quello che deve essere il principio cardine quando si parla di un sistema bancario. Da qui la domanda: deve prevalere l’oscurità o la trasparenza? Ecco, tra un pagamento “ordinario” e uno realizzato attraverso Bitcoin la differenza è esattamente basata su questi due orientamenti. Nel caso dei circuiti bancari convenzionali, noi sostanzialmente attribuiamo la massima fiducia alla nostra banca, la quale, in uno scenario simile a una sorta di Grande Fratello, vede tutti i nostri pagamenti e i nostri movimenti, ma, al contempo, ci protegge. Quindi, se io voglio fare un pagamento, invio dei soldi all’IBAN bancario del destinatario e questa transazione non viene registrata da nessuna parte, se non dalla mia banca e da quella della persona che ha ricevuto il bonifico. Il ragionamento è diverso, invece, se si tratta di criptovalute e blockchain: quando si effettua una transazione in valute digitali, questo movimento è totalmente trasparente, quindi visibile da tutti. Insomma, tra i due mondi di cui parliamo c'è una visione dei concetti di oscurità e trasparenza radicalmente diversa».
Anche la visione della necessità o meno di avere un intermediario è, in fondo, opposta…
«Basti pensare che Bitcoin nasce, in fondo, proprio con l’obiettivo di eliminare gli intermediari nei pagamenti. Una visione totalmente diversa, fondata su uno scambio peer-to-peer: da me a te, senza intermediari o possibilità che questa transazione possa essere cancellata e quindi annullata. Dinamiche, queste, che invece sono tra le peculiarità dei circuiti “centralizzati”, nei quali una banca può censurare un pagamento, annullarlo, o ancora fare uno storno di un bonifico bancario. Ma c’è, chiaramente, il rovescio della medaglia. Immaginiamo di subire il furto della nostra carta di credito e di accorgerci, ad esempio, che con quella carta sono stati effettuati dei pagamenti successivamente al furto. Ecco, nel caso del circuito bancario, in qualche modo si può cercare una soluzione per annullare questi pagamenti in un lasso di tempo breve. Sul “circuito Bitcoin”, invece, tutto questo non può avvenire».
Servono, insomma, responsabilità e formazione…
«Con le tue valute digitali puoi fare ciò che vuoi: inviare e ricevere criptovalute senza che questa transazione possa essere annullata o sottoposta a storno. Ovviamente, con tutti i rischi del caso correlati. Ed è per questo che una persona che vuole utilizzare correttamente Bitcoin deve metabolizzare a pieno un concetto chiave: la libertà finanziaria che ti dà Bitcoin, fa di te l'unico garante della tua sicurezza e della tua privacy. Pertanto, quello di cui ha bisogno chi vuole utilizzare Bitcoin, per evitare di commettere errori, è un alto livello di responsabilità e un certo grado di conoscenza di queste tecnologie. Deve, insomma, prestare attenzione a come gestisce i suoi bitcoin e assicurarsi di essere pienamente informato sui potenziali rischi connessi. Purtroppo, però, spesso questa consapevolezza la si ricerca solo dopo aver commesso un errore. Un po’ come avviene per i sistemi antifurto: è statisticamente provato che tantissima gente si affida a sistemi di sorveglianza o casseforti solo dopo aver subito un furto. Bene, sostanzialmente è questo il focus di ciò che proverò a trasferire ai partecipanti durante la Summer School organizzata dal Plan ₿: oltre a spiegare che cos’è il Lightning Network - utilizzato per gestire i pagamenti in bitcoin dalla Città di Lugano, ndr - come gestire in sicurezza le criptovalute e quindi come riconoscere potenziali attacchi ed evitare di esporsi, da questo punto di vista, a dei rischi».
In sostanza, come proteggere il patrimonio finanziario…
«Esattamente, ma qui si torna al discorso della privacy, che è sempre un po’ borderline. Ad esempio, ritengo assolutamente logico il bisogno di nascondere le proprie finanze. Nessuno di noi, quando va in giro per strada, espone in testa un portafoglio aperto con scritto quanti soldi ci sono dentro. Bene, se spendi in Bitcoin, stai dimostrando al mondo intero di possedere quelle valute in quello specifico indirizzo. Un’informazione, questa, che viene scritta permanentemente sulla blockchain, che è pubblica e a disposizione di tutti. Ecco, questo aspetto si traduce in un problema enorme, perché nessuno di noi si aspetta che le proprie finanze siano alla mercé di tutti, visibili da chiunque. Eppure, questo è ciò che accade, ogni secondo, sulla blockchain, ma la gente, purtroppo a causa di tanti anni di disinformazione, sta iniziando solo adesso a capire che deve proteggere i propri dati, finanziari e non, e che il Bitcoin non è, come si pensa erroneamente, “denaro anonimo”, ma che al contrario è trasparente al 100%».
Bitcoin e in generale criptovalute: quali sono gli attuali livelli di sicurezza e i possibili scenari futuri?
«La sicurezza, come la privacy, è un percorso, non è un acquisto. In breve: non puoi acquistare alcuno strumento che ti permetta di avere il massimo in termini di sicurezza e privacy. Siamo di fronte a una continua evoluzione. Per intenderci, fino a pochi anni fa, utilizzavamo gli sms e le chiamate per parlare con i nostri genitori o con i nostri amici. Erano tutte informazioni “in chiaro”, visibili, per capirci, dalle compagnie telefoniche a cui ci affidavamo. Le cose, poi, come sappiamo si sono evolute: oggi, per esempio, su WhatsApp possiamo contare sulla crittografia end to end, grazie alla quale, in teoria, nessuno può leggere i messaggi che ci scambiamo. Ciò significa che le aziende hanno un'estrema necessità e la voglia di migliorare lo stato dell'arte in chiave di sicurezza e privacy. Questo, però, è un percorso in costante evoluzione, proprio perché ci si muove in una sorta di costante “lotta tra guardie e ladri”: da una parte ci sono gli hacker, singoli o gruppi di criminali, il cui obiettivo è quello di raccogliere informazioni e rubare denaro e dati; dall'altra, ci sono persone e aziende che cercano di evitare che questi crimini avvengano. Il problema, nel caso di Bitcoin, qual è? Semplice: che per utilizzarli in modo corretto, senza esporti ai rischi di cui stiamo parlando, non puoi contare su degli intermediari, ma dovrai essere tu stesso il garante della tua privacy e della tua sicurezza. Quindi, devi dotarti delle conoscenze che ti permettono di gestire in sicurezza i tuoi fondi, studiando e apprendendo le soluzioni. Le cose, però, stanno cambiando. Inizialmente, per dire, utilizzavamo Bitcoin e altre criptovalute magari sullo stesso computer che si usava per fare videochiamate su Google o per scaricare video o foto dei nostri amici. Nel tempo, ci siamo resi conto che questo era un approccio errato e che tutto andava gestito per compartimenti».
In tal senso, cosa c’è da aspettarsi?
«L’obiettivo dovrebbe essere più o meno il seguente. Ipotizziamo di avere il nostro conto bancario che contiene il 99% del nostro patrimonio al sicuro, in un caveau, e poi magari andiamo in giro con un portafoglio contenente la carta di credito e un po’ di contanti in tasca. Ecco, la stessa cosa, piano piano, deve avvenire nel mondo delle criptovalute. Noi dobbiamo cercare di costruire un caveau, quindi un luogo dove mettere al sicuro il nostro patrimonio e, contemporaneamente, se lo vogliamo, avere anche un wallet, un portafogli che possiamo utilizzare per spendere. In sostanza, non avere tutto il nostro patrimonio accessibile dallo stesso dispositivo che usi, magari, per scrivere messaggi per inviare le mail, ma in un dispositivo dedicato, in questo caso degli hardware wallet».
Quali sono le maggiori criticità?
«Quello dei Bitcoin è, ancora oggi, un mondo troppo macchinoso per la gente “normale”. Ecco perché buona parte delle persone, nonostante l’apertura alla realtà delle criptovalute, preferisce ancora delegare la sicurezza e la privacy a delle aziende centralizzate, gli exchange. Quello che ci riserva il futuro rimane ancora un’incognita, ma personalmente mi sono posto l’obiettivo, appunto, di educare le persone, tentare di far capire loro come utilizzare correttamente le criptovalute per disintermediare il denaro, non permettere a nessuno di avere il controllo, l'accesso e la visione dei tuoi fondi, e quindi essere liberi di spenderli e gestirli come preferisci. Tutto questo, però, richiede competenza e quindi studio».
Un eccesso di sicurezza, però, spesso si traduce in bassi livelli di usabilità…
«Tra usabilità e sicurezza c’è sempre un possibile compromesso: la sfida è, appunto, individuare questo punto d’incontro. Il nemico numero uno della sicurezza informatica, del resto, è proprio la complessità. Questo impone un orientamento: le dinamiche devono essere semplici, non bisogna fare il passo più lungo della gamba, e serve, sempre, produrre soluzioni solide, comprovate da precisi standard e che, soprattutto, rispondano alle competenze delle persone. Se aspiriamo ad avere un denaro libero e digitale, separato dal controllo di entità intermedie, dobbiamo studiare e puntare sulla consapevolezza».