Il caso Bybit e il furto di criptovalute: quale futuro per gli exchange alla luce del Regolamento MiCAR

Il recente furto di criptovalute che ha colpito l’exchange Bybit, con una perdita stimata di 1,46 miliardi di dollari, ha scosso profondamente il settore e sollevato interrogativi cruciali sulla sicurezza degli exchange e sulla loro conformità alle normative emergenti.

L’attacco, attribuito al famigerato gruppo hacker nordcoreano Lazarus, ha messo in evidenza vulnerabilità significative nella gestione dei wallet e nei protocolli di sicurezza adottati da Bybit. Secondo le prime ricostruzioni, infatti, i fondi sarebbero stati sottratti durante una delle periodiche operazioni di movimentazione di fondi interne alla piattaforma, sfruttando una falla nell’interfaccia di firma delle transazioni. Questo episodio non è solo un duro colpo per la reputazione del singolo exchange, ma rappresenta anche un primo banco di prova per verificare lo stato di compliance degli operatori del settore al Regolamento europeo MiCAR (Markets in Crypto-Assets Regulation), entrato in vigore proprio a fine 2024.

La normativa MiCAR è stata concepita per introdurre maggiore sicurezza nel settore crypto, imponendo ai Crypto-Asset Service Providers (i cosiddetti CASPs) requisiti rigorosi in termini di gestione del rischio e governance aziendale. Tuttavia, il caso Bybit dimostra che c’è ancora molto lavoro da fare per garantire l’effettiva applicazione di queste disposizioni e per creare una base comune di procedure standardizzate e best practices condivise. 

Il regolamento prevede che gli operatori adottino sistemi avanzati di gestione del rischio, capaci di identificare, valutare e mitigare i rischi operativi e tecnologici. Inoltre, impone controlli multilivello sulla sicurezza delle infrastrutture e sulla protezione dei wallet, insieme a audit regolari e test approfonditi per verificare la robustezza dei sistemi informatici. Da ultimo, introduce l’obbligo della segregazione dei fondi dei clienti da quelli propri della piattaforma. Allo stesso tempo, il regolamento DORA EU 2022/2554 sottopone i CASPs alle medesime norme di sicurezza obbligatorie per le entità finanziarie.

Nel caso Bybit, la vulnerabilità sfruttata dagli hacker suggerisce una carenza proprio in questi ambiti: l’assenza di test regolari potrebbe aver contribuito a rendere l’exchange un bersaglio più facile. La custodia di somme così ingenti in un unico portafoglio e la movimentazione in un’unica operazione, sebbene non esplicitamente vietate, potrebbe aver aumentato il rischio di incidenti con impatto elevato.

Ma quali sono le misure previste dal MiCAR e dai suoi regolamenti delegati per prevenire episodi simili? 

La normativa introduce obblighi stringenti per gli exchange, tra cui

Se queste misure fossero state pienamente implementate, è probabile che Bybit avrebbe potuto mitigare o addirittura prevenire l’attacco. Tuttavia, la realtà dimostra che molti operatori del settore sono ancora lontani dal rispettare pienamente tali standard.

L’incidente porta inevitabilmente a riflettere su un tema cruciale: l’istituzionalizzazione del settore crypto.

Con l’entrata in vigore del MiCAR si è spesso parlato della progressiva equiparazione degli exchange alle banche. Gli exchange stanno cercando di guadagnarsi la fiducia degli investitori istituzionali adottando pratiche sempre più simili a quelle delle istituzioni finanziarie tradizionali.

Tuttavia, per raggiungere uno status comparabile a quello delle banche, gli operatori dovranno compiere ulteriori passi significativi. La trasparenza finanziaria è uno di questi: pubblicare rapporti finanziari certificati dovrebbe diventare una prassi consolidata nel settore crypto. A ciò si aggiunge l’adesione a requisiti patrimoniali simili a quelli richiesti alle banche tradizionali e l’introduzione di garanzie sui depositi dei clienti in caso di eventi avversi. Non meno importante è la supervisione continua da parte delle autorità europee, che rappresenta una condizione essenziale per garantire la fiducia degli investitori.

Il caso Bybit solleva dubbi sulla possibilità dell’exchange di ottenere la licenza MiCAR entro il 2025 e quindi di continuare a operare nel mercato europeo rispettando le normative. Per ottenere questa licenza, gli operatori devono soddisfare requisiti stringenti in termini di governance aziendale, capacità finanziaria e conformità tecnica.

In particolare, devono dimostrare di avere una struttura organizzativa solida, con politiche interne chiare per la gestione dei rischi e la custodia delle chiavi crittografiche. Devono inoltre garantire la continuità operativa anche in caso di perdite significative e sottoporre le proprie infrastrutture IT a audit completi da parte di esperti indipendenti. Il furto subito dall’exchange, sebbene non escluda a priori l’ottenimento di una licenza, potrebbe compromettere seriamente questa possibilità, se non verranno apportate rapide correzioni alle sue pratiche operative.

In definitiva, l’attacco a Bybit rappresenta un monito per l’intero settore crypto sull’importanza della sicurezza e della conformità regolamentare. Il MiCAR, così come il DORA, offrono un quadro normativo chiaro per prevenire incidenti simili, ma la loro efficacia dipenderà dall’impegno degli operatori nell’implementarlo correttamente.

Per Bybit e gli altri exchange che aspirano a operare nel mercato europeo sotto la nuova regolamentazione, il percorso verso il recupero della fiducia passa attraverso una revisione profonda delle proprie pratiche operative e un impegno concreto verso la trasparenza e la sicurezza. Solo così sarà possibile garantire agli investitori – sia retail che istituzionali – quella stabilità che fino ad oggi è mancata nel mondo delle criptovalute.

_______

*Marco Tullio Giordano, avvocato e partner di 42 Law Firm

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più