Il comparto dei sistemi di pagamento innovativi è in rapida e costante evoluzione. Accanto ai servizi più tradizionali basati su carte e bonifici, stanno emergendo modalità alternative che potrebbero estendere gli strumenti d’incasso con riflessi sulle tesorerie d’impresa. Un esercizio commerciale che voglia ampliare il ventaglio di strumenti di pagamento offerto ai propri clienti è chiamato a definire la migliore strategia di accettazione, potendo prevedere sui propri punti vendita, fisici e online, anche l’accettazione di strumenti basati anche su criptovaluta.
Il mercato dei fornitori di servizi che agevolano gli incassi in valute virtuali a beneficio degli esercenti, sta sviluppandosi con celerità nel territorio dell’Unione europea, seppure fra molte perplessità e incertezze sotto il profilo normativo che ancora attendono d’esser dipanate. Anche in Italia, nell’indeterminatezza di un quadro normativo in fieri, iniziano ad affacciarsi, ancorché timidamente, alcune offerte sviluppate da player nazionali che si propongono all’attenzione dei retailer connazionali.
In questo articolo proponiamo una breve disamina delle opportunità e dei vincoli che un fornitore di servizi progettati per facilitare incassi e pagamenti in criptovalute deve correttamente inquadrare. L’analisi, pur nella sua sintesi, contribuisce a illuminare quelle zone d’ombra di cui non sempre si ha contezza.
Gli strumenti e le tecnologie per pagare e incassare in criptovaluta
Per affrontare il tema in dettaglio, riteniamo utile condividere una tassonomia degli strumenti e delle tecnologie che analizzeremo in questo contributo; ciò agevolerà (ne siamo certi) la comprensione di chi fosse alle prime armi.
Nelle spiegazioni offerte per ciascuna terminologia, abbiamo altresì proposto alcuni casi esemplificativi d’adozione che aiutano a mappare correttamente il significato sulle applicazioni pratiche. I casi d’uso si riferiscono a transazioni di incasso e pagamento che avvengono in criptovaluta fra cliente dell’esercizio commerciale e l’esercente, per i quali la disponibilità del primo prescinde da qualsiasi attività di conversione fiat – crypto che potrebbe avvenire contestualmente alla transazione di pagamento. Gli scenari alternativi che prevedono, invece, l’impiego di carte prepagate emesse su circuiti internazionali, finanziate (ovvero ricaricate) da flussi di criptovaluta convertita contestualmente all’acquisto, saranno trattati in un altro articolo di approfondimento.
Per i casi d’uso in esame la cinematica transazionale che si sviluppa al momento del pagamento è (semplificando) la seguente:
- il cliente accede a un proprio crypto wallet dal quale avvia la transazione di pagamento in criptovaluta, avendo certezza di disporre di una quantità sufficiente di criptofondi per pagare l’importo presentatogli in fase di pagamento;
- l’esercente, una volta incassato in criptovaluta l’importo richiesto al cliente, provvederà a convertire il fatturato crypto in fondi fiat, tramite una piattaforma di exchange.
Abbiamo classificato questi casi d’adozione come incassi in valuta fiat convertita da criptovaluta, incassata a fronte di un pagamento in criptovaluta.
DLT Distributed Ledger Technology
Iniziamo con il proporre una definizione basilare di DLT. Qualsiasi transazione di incasso e pagamento in criptovaluta avviene tramite l’impiego di tecnologie Distributed Ledger o DLT. Sono tecnologie in cui tutti i nodi di una rete possiedono la medesima copia di un database che può essere letto e modificato in modo indipendente dai singoli nodi. Su tali piattaforme le modifiche al registro vengono regolate tramite meccanismi di consenso che permettono di raggiungere un’intesa sulle varie versioni del registro, nonostante vengano aggiornate in maniera indipendente dai partecipanti della rete.
Blockchain
La blockchain è un protocollo che caratterizza alcune architetture DLT, dove il registro è strutturato in blocchi di transazioni validate, concatenati gli uni agli altri mediante l’impiego di tecniche crittografiche e meccanismi di consenso distribuito basati su criptoasset.
Criptoasset
Con criptoasset intendiamo genericamente una rappresentazione digitale di valore resa univoca grazie all’impiego di meccanismi crittografici; i criptoasset possono essere scambiati su piattaforme a registri distribuiti rispettando le regole di un protocollo di blockchain.
Chiavi crittografiche e crypto wallet
La gestione di una transazione su blockchain implica che un’entità (potrebbe essere il cliente o l’esercente che, rispettivamente, paga e incassa in criptovaluta), possieda due chiavi crittografiche mantenute all’interno di appositi crypto wallet:
- una chiave pubblica, dalla quale è possibile generare uno (o più) indirizzi che rappresentano il recapito verso cui è possibile trasferire criptovaluta;
- una chiave privata con cui dispone e spende – o trasferisce verso altri a propria volta – la criptovaluta ricevuta.
L’indirizzo derivato dalla chiave pubblica viene utilizzato per identificare un conto (o un wallet), a cui sono associati dei criptoasset, controllabili tramite la conoscenza della corrispondente chiave privata. Da una chiave pubblica non è possibile (in quanto troppo oneroso sotto il profilo computazionale) risalire alla corrispondente chiave privata. La chiave privata permette a colui che sottende al recapito suddetto (e solo a lui) di disporre effettivamente della quantità ricevuta, pertanto, deve essere custodita in massima sicurezza per evitare che chi ne entri in possesso possa disporre di quantità non sue.
A titolo esemplificativo, prendiamo in considerazione il metodo d’incasso che abbiamo descritto in precedenza: incassi in valuta fiat convertita da criptovaluta, incassata a fronte di un pagamento in criptovaluta.
Una transazione in bitcoin di cui un generico cliente può vantare la disponibilità conoscendo la chiave privata del proprio wallet, verso un indirizzo bitcoin che identifica l’esercente, prevede che il cliente (tramite la sua applicazione crypto wallet) firmi digitalmente la transazione usando la propria chiave privata e crittografi il flusso di criptoasset usando la chiave pubblica dell’esercente.
Allo stesso tempo, un esercente che, avendo incassato criptovaluta, volesse procedere a convertirla in euro, invierà a una piattaforma di exchange la quantità di criptoasset di cui vanta la disponibilità (conoscendo la chiave privata del proprio wallet), apprendendone l’indirizzo (o gli indirizzi). La transazione avverrà similmente a quanto abbiamo descritto per il caso precedente, ossia, l’esercente (tramite la sua applicazione crypto wallet) dovrà firmare digitalmente la transazione usando la propria chiave privata e crittograferà il flusso di criptoasset usando la chiave pubblica dell’exchange.
Crypto wallet multi-firma
Una delle straordinarie opportunità offerte dalla blockchain rinviene nella possibilità di controllare, ovvero disporre, transazioni in criptoasset nel rispetto di una volontà che potrebbe essere condivisa tra più soggetti. Un crypto wallet multi-firma permette di soddisfare tale esigenza, prevedendo in fase di creazione e di utilizzo, una o più chiavi private con cui è possibile autorizzare (ovvero firmare) le transazioni.
Anche in questo caso, prendiamo in considerazione il metodo d’incasso che abbiamo descritto in precedenza. A titolo esemplificativo potremmo immaginare che il wallet di un esercizio commerciale che incassa bitcoin sia un wallet multi-firma, in modo tale da poter controllare che le transazioni di conversione in euro siano autorizzate da tutti coloro che conoscono (ovvero detengono) le chiavi private.
Un siffatto wallet agevolerebbe notevolmente la gestione di tesoreria delle imprese che, avendo incassato in criptovaluta tramite l’ausilio di un fornitore specializzato, hanno la necessità di convertire i criptoasset di cui vantano la disponibilità conoscendo almeno una chiave privata del wallet. Tale operazione (come è evidente) potrà avvenire se, solo se e quando, la transazione verso l’exchange sarà firmata (ovvero autorizzata) da tutti i soggetti che conoscono le chiavi private.
Qualora il crypto vallet che incassa sia, invece, nella sola e completa disponibilità del fornitore, ovvero fosse un wallet non multi-firma, l’esercente deve fidarsi cecamente del proprio fornitore, cercando di ottenere delle garanzie sui deposi di criptofondi che il fornitore ha incassato per conto suo.
Il caso appena descritto (non infrequente, in vero) configura uno scenario che nel mondo dei pagamenti tradizionali sarebbe assimilabile al mandato all’incasso. Il fornitore specializzato nella facilitazione degli incassi in criptovaluta, infatti, assumerebbe il ruolo di “mandatario all’incasso di criptofondi”. Come vedremo più avanti, tale ruolo non è ad oggi previsto in alcuna norma comunitaria e, pertanto, non esistono regole che tutelino i criptofondi incassati per conto di terzi.
Plug-in del merchant e sistemi di garanzia del merchant per gli incassi in criptovaluta
Al fine di poter offrire una user experience ai propri clienti priva di attrito, e, allo stesso tempo, aver garanzia che il merchant incassi in criptovaluta un importo equivalente al prezzo espresso in euro, al riparo dalle fluttuazioni tipiche di alcuni criptoasset e con la certezza che le transazioni di pagamento siano realmente confermate, è necessario che il fornitore di servizi che facilitano gli incassi dell’esercente, predisponga apposite applicazioni e sistemi, tali da gestire l’insieme delle tre differenti esigenze. Tratteremo quindi rispettivamente di:
- Plug-in del merchant con cui il cliente interagisce al momento del pagamento;
- Sistemi di garanzia delle transazioni di incasso confermate che assicurano l’esercente di incassare importi in criptovaluta veicolate in transazioni di pagamento effettivamente confermate su blockchain, ovvero incluse in un blocco di transazioni cha abbia un’altezza[1] sufficiente a garantire che non vi sia “double-spending”[2];
- Sistemi di garanzia contro le fluttuazioni di valore che devono preservare l’ammontare dell’incasso dell’esercente dalla volatilità caratteristica di alcune criptovalute.
Per capire meglio l’utilità del plug-in del merchant, ricorriamo anche in questo caso a un esempio che inerisce all’ambito di applicazione del metodo di incasso descritto precedentemente. Declineremo in dettaglio questo metodo, riferendoci a entrambi i contesti di utilizzo: online, per le transazioni e-commerce, fisico, per le transazioni presso i punti vendita.
Il plug-in in discorso è, nel mondo dell’e-commerce, un programma che viene eseguito all’istante in cui il cliente sceglie di pagare la merce in criptovaluta. Tale applicazione (integrata nel processo di check-out), s’incarica di presentare il prezzo finale nella doppia valuta (per esempio € e BTC), fissando il cambio per un determinato arco temporale (di solito non superiore ai 3 o 4 minuti), in modo da poter consentire l’avvio del pagamento dal wallet del compratore su iniziativa di quest’ultimo.
Nel mondo fisico, invece, il plug-in del merchant è totalmente integrato nell’applicazione che l’esercente utilizza per accettare i pagamenti in criptovaluta . Tale applicazione s’incarica d’interagire con il crypto wallet del cliente, usualmente presentando un QR code che rappresenta l’indirizzo verso cui dovrà essere trasferito un importo in criptovaluta pari al prezzo in euro convertito. Un’applicazione di questo tipo può essere ospitata all’interno di un registratore di cassa, oppure su un terminale POS, opportunamente predisposti, ma può parimenti rendersi disponibile come app a sé stante, installata sullo smartphone o su un tablet di chi incassa.
La responsabilità dei fornitori di servizi che agevolano gli incassi del merchant nei confronti del merchant stesso, è altresì estesa a preservare l’esercente dal rischio che una transazione di pagamento avviata da un wallet del cliente, sia “double-spended”. In tal senso, il fornitore garantisce, nell’ambito del contratto di servizi, che gli importi in criptovaluta “detenuti” nel wallet di incasso, siano realmente confermati prima di procederne alla conversione in euro, mediante l’invio a una piattaforma di exchange.
Al fine di poter preservare l’esercente dalle fluttuazioni di valore tipiche di alcune criptovalute, il fornitore di servizi deve parimenti impegnarsi, definendolo nel contratto, a convertire in euro importi di criptovaluta incassati al medesimo valore corrispettivo di cambio, calcolato nel momento in cui il plug-in del merchant ha presentato al cliente l’importo in doppia valuta relativo all’acquisto.
In altri termini, anche in questo caso esemplificando per una migliore comprensione, se alle ore 10:00 del 19 gennaio 2022, un bene venduto dall’esercizio commerciale del valore di 1.000 euro viene presentato dal plug-in a un importo in bitcoin equivalente, adottando un determinato tasso di cambio valido in quell’istante, alle ore 23:59 del 19 gennaio 2022 (ipotizzando una conversione crypto – fiat giornaliera), il merchant dovrà ricevere sempre e comunque 1.000 euro (al netto o al lordo delle commissioni applicategli), indipendentemente dall’aggiornamento del cambio €-BTC, valido nel momento in cui viene inviato all’exchange il flusso in criptovaluta che “contiene” l’equivalente dei 1.000 euro.
In entrambe le circostanze appena esaminate, similmente a quanto abbiamo anticipato per il problema di salvaguardia dei criptofondi, rinvenibile nei casi in cui il fornitore agisca come “mandatario all’incasso di criptofondi”, a tutt’oggi non è prevista alcuna norma comunitaria che imponga dei sistemi di tutela per il beneficiario legittimo. Appare, pertanto, rilevante prevedere forme di garanzia “ad hoc”, definite e accettate nell’ambito contrattuale che disciplina il servizio di facilitazione degli incassi in criptovaluta.
Conto di transito
Analizziamo ora più da vicino il processo di conversione dei criptofondi incassati, nell’ipotesi in cui il fornitore di servizi operi come “mandatario all’incasso di criptofondi”. Il fornitore, tramite la piattaforma (o le piattaforme) di exchange di cui si avvale, una volta convertiti i saldi di criptovaluta in saldi equivalenti in valuta fiat, deve regolare con la tesoreria dell’impresa che ha fatturato le vendite, per le quali ha incassato in criptovaluta.
I rapporti in essere tra mandatario all’incasso e le piattaforme di cambio di cui si avvale, prevedono di norma che i fondi fiat post-conversione siano depositati su un conto corrente intestato al mandatario. Tale conto, che chiameremo “conto di transito”, sarà il conto da cui il mandatario invierà al proprio cliente merchant un bonifico (o un flusso di bonifici), agli intervalli di regolamento definiti contrattualmente.
La gestione di questo “conto di transito” pone enfasi sul ruolo che il fornitore di servizi sin qui chiamato semplicemente “mandatario all’incasso di criptofondi” realmente svolge. Infatti, tale gestione (almeno da questo punto in avanti) si inserisce di diritto nell’ambito di un servizio di pagamento, così come definito dalla PSD2[3], configurandosi l’attività svolta dal fornitore — a tutti gli effetti — una prestazione di servizi di pagamento. Ciò implica che il fornitore in questione sia un intermediario abilitato (può essere una banca, un istituto di pagamento o un istituto di moneta elettronica), ovvero richieda e ottenga un’autorizzazione presso l’autorità competente dello Stato membro in cui ha insediato la ragione sociale, che lo abiliti alla prestazione di servizi di pagamento. In alternativa, il soggetto può operare in partnership con un intermediario autorizzato, di cui deve dare evidenza nel contratto di servizi con il merchant.
I fondi fiat collocati sul “conto di transito” sono, fuor d’ogni dubbio, fondi di terzi (ossia dei merchant) e, come tali, devono essere salvaguardati nel rispetto delle regole di tutela previste dalla PSD2 (le cc.dd. “funds safeguarding rules”), così come isolati contabilmente (le cc.dd. regole di “ring fencing”). Diversamente, il merchant corre non pochi rischi, essendo il “conto di transito” un conto che non è intestato direttamente a se medesimo, bensì al proprio fornitore che può accedervi in qualsiasi momento.
È un tema, questo appena trattato, decisamente delicato, che pone diversi problemi laddove non sia affrontato correttamente. A differenza di quanto si è spiegato per ciò che concerne l’incasso in criptovaluta ad opera del fornitore di servizi, dove, in assenza di qualsiasi regolamentazione di settore, un uso corretto di crypto wallet multi-firma potrebbe mitigare i rischi descritti, in questo caso è necessario prestare la massima attenzione. Altre modalità di approccio al problema potrebbero essere gestite che, tuttavia, nell’economia di questo articolo risulta difficile trattare. Ci limitiamo, pertanto, a osservare che in assenza di una specifica normativa sulla prestazione di servizi di trasferimento di criptovalute, o dell’estensione di altre normative di settore (p.e. quella sui servizi di pagamento) che ricomprenda anche tali transazioni, il ruolo di un intermediario di pagamento abilitato potrebbe validamente estendersi, nell’ottica di una possibile diversificazione del business, coprendo una parte della filiera sin qui descritta.
I processi di onboarding del merchant
Chiarito il significato di molti termini e presentata una mappatura dei casi d’uso oggetto di approfondimento in questo articolo, veniamo ora a delineare il quadro normativo comunitario, con riferimento agli obblighi che il fornitore di un servizio di facilitazione degli incassi in criptovaluta deve onorare in fase di contrattualizzazione del merchant.
Il fornitore, nell’esercizio dei servizi che abbiamo descritto, può prevedere di svolgere sia l’attività di custodia delle chiavi crittografiche sia quella di exchange, autonomamente, oppure avvalendosi di soggetti terzi con i quali ha in essere rapporti di esternalizzazione. In entrambe le circostanze, può offrire (ovvero proporre) rispettivamente:
- un servizio di “custodian wallet provider”;
- un servizio di “centralized exchange provider”;
Tali attività rientrano nell’ambito di applicazione della quinta direttiva antiriciclaggio (direttiva UE 2018/843[4]) e, pertanto, il fornitore è obbligato ad esperire opportuni processi di adeguata verifica dei propri clienti (per un approfondimento di questi temi suggeriamo la lettura di due articoli a firma di chi scrive: Valute virtuali, wallet provider, exchange platform: cosa cambia con la quinta direttiva antiriciclaggio e cosa ancora deve cambiare – Garavaglia R. – Blockchain4Innovation – 30 giugno 2018; Il custode è responsabile delle chiavi degli appartamenti … o di ciò che vi è contenuto? – Garavaglia R. – Blockchain4Innovation – 24 settembre 2018; Valute virtuali e moneta elettronica: cosa cambia con il recepimento in Italia della quarta direttiva antiriciclaggio – Garavaglia R. – PagamentiDigitali – 21 giugno 2017).
Autodichiarazione volontaria dei merchant che incassano in criptovaluta
Analizzando in particolare il considerando n°8 della quinta direttiva antiriciclaggio, è opportuno notare come il legislatore comunitario suggerisca di esaminare “ulteriormente la possibilità di consentire agli utenti di presentare, su base volontaria, un’autodichiarazione alle autorità designate”.
In questa circostanza corre l’obbligo di considerare come il nostro paese si sia (rectius fosse) già portato avanti con il recepimento[5], nell’estate del 2017, della quarta direttiva antiriciclaggio[6].
Il Dipartimento del tesoro, infatti, nella predisposizione di un decreto ministeriale tramite il quale avrebbe definito modalità e tempi con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale sono tenuti a comunicare al Ministero dell’economia e delle finanze la propria operatività sul territorio della Repubblica italiana[7], aveva posto in consultazione pubblica – conclusasi il 16 febbraio 2018, lo schema di decreto nel quale sono inclusi gli obblighi di comunicazione “anche gli operatori commerciali che accettano le valute virtuali quale corrispettivo di qualsivoglia prestazione avente ad oggetto beni, servizi o altre utilità. L’iniziativa mira a realizzare una prima rilevazione sistematica del fenomeno, a partire dalla consistenza numerica degli operatori del settore che, a regime, dovranno ad iscriversi in uno speciale registro tenuto dall’OAM[8], l’Organismo degli Agenti e dei Mediatori, per poter esercitare la loro attività sul territorio nazionale”.
L’uso del condizionale e dell’imperfetto sono (tuttora) d’obbligo. A distanza di quattro anni dal termine della consultazione pubblica di cui sopra, infatti, il decreto non è stato ancora promulgato. Di conseguenza, la prevista sezione speciale dei cambiavalute tenuta dall’OAM non è ancora istituita, lasciando in un profondo perimetro di indeterminatezza coloro che, sul territorio italiano, volessero operare in questo settore.
Ciò premesso, gli operatori commerciali che accettano valuta virtuale quale corrispettivo di qualsivoglia prestazione avente ad oggetto beni, servizi o altre utilità, potrebbero essere attratti nella quinta direttiva antiriciclaggio in relazione a quanto espresso nel considerando n°8. Ove così fosse, appare nondimeno opportuno rimarcare il carattere di volontarietà – e non d’obbligo – assunto nel testo comunitario in contrasto con quanto espresso nello schema di decreto ministeriale MEF del 2018.
NOTE
[1] Con altezza di un blocco si intende la posizione del blocco nella catena.
[2] Poiché ogni nodo di una DLT che implementa un protocollo di blockchain contiene le stesse informazioni degli altri e, in questo modo, conosce tutta la storia delle transazioni avvenute così come tutti gli altri nodi, come si può essere certi che non siano validati blocchi che contengono transazioni mendaci? Se ci fosse un nodo che, surrettiziamente, provasse (riuscendovi) ad alterare la storia delle transazioni, inserendo una transazione falsa tale da ingenerare un problema circa la proprietà (o lo scambio di proprietà) dell’asset scambiato, si correrebbe il rischio del c.d. “Double Spending”. Si potrebbe verificare il caso in cui i criptoasset trasferiti dal cliente dell’esercente all’esercente, di cui quest’ultimo crede di poter vantare la disponibilità, sia, un’istante dopo il trasferimento dal cliente, riattribuito al cliente medesimo, grazie all’intervento di un nodo che, volontariamente, altera (in questo caso a discapito dell’esercente) la storia delle transazioni. Solo nel momento in cui l’esercente tentasse, a propria volta, di trasferire ad altri i criptoasset che crede di poter legittimamente disporre (per esempio quando li volesse inviare all’exchange), si accorgerebbe che è come se non ne fosse mai entrato in possesso (quindi potrebbe accorgersene anche dopo molto tempo). Sulla blockchain di Bitcoin, per esempio, è buona norma attendere che le transazioni abbiano ricevuto almeno sei conferme, ovvero che si trovino in un blocco distante sei cicli di validazione, rispetto al momento in cui si vuole disporre dei propri bitcoin (di norma il tempo di attesa è di circa un’ora).
[3] Direttiva (UE) 2015/2366.
[4] Direttiva (UE) 2018/843.
[5] Il recepimento della quarta direttiva antiriciclaggio è avvenuto con il decreto legislativo 25 maggio 2017, n. 90.
[6] Direttiva (UE) 2015/849.
[7] Ai sensi dell’articolo 17-bis, comma 8-ter del decreto legislativo 13 agosto 2010, n.141, come introdotto dall’articolo 8, comma 1, del decreto legislativo 25 maggio 2017, n. 90.
[8] Organismo previsto dall’art 128 undecies, del D.Lgs. 1° settembre 1993, n. 385.
