§1. Introduzione
Il presente articolo vuole rappresentare un tentativo di fare il punto sullo stato attuale della “quarta rivoluzione industriale” (o Industry 4.0) – significativamente definita “un misto di speranza e di ambiguità”[1] – nei suoi rapporti con la compliance aziendale e, pertanto, anche con quella di cui al d. lgs. 231/2001.
Della Industry 4.0 fa parte anche la tecnologia blockchain, in origine associata esclusivamente ai bitcoin e alle altre criptovalute e, negli ultimi due anni, oggetto delle applicazioni più svariate, anche nel settore della compliance.
Dopo brevi cenni esplicativi e terminologici, si tratterà del possibile impiego della tecnologia blockchain nella compliance aziendale di cui al d. lgs. 231/2001.
§2. La quarta rivoluzione industriale
L’Industry 4.0 rappresenta la quarta delle rivoluzioni industriali che hanno trasformato l’economia, il lavoro e la stessa società attraverso lo sviluppo di nuove tecnologie e procedure.
La prima iniziò alla fine del diciottesimo secolo, con l’energia del vapore e l’invenzione del telaio meccanico, inaugurando la meccanizzazione e mutando radicalmente il modo di produzione su larga scala delle merci.
Alla fine del diciannovesimo secolo, l’elettricità e le catene di montaggio resero possibile la produzione di massa, dando inizio alla seconda rivoluzione industriale.
Negli anni Settanta del secolo scorso iniziò la terza rivoluzione, allorquando l’avanzamento dell’impiego dei computer permise di programmare macchine e networks, sviluppando l’automazione.
L’Industry 4.0 è caratterizzata dal mix di tecnologie fisiche e digitali come l’intelligenza artificiale e l’internet delle cose (IoT). Tale combinazione consente di fondare imprese digitali non solo interconnesse ma anche in grado di sviluppare processi decisionali attraverso l’utilizzo di dati raccolti nel mondo fisico, poi processati a livello digitale e successivamente utilizzati per compiere azioni nel mondo fisico (al quale “ritornano”).
Quest’ultima possibilità è suscettibile di generare enormi opportunità per i nuovi prodotti e servizi e, in generale, per realizzare modelli di business completamente innovativi.
Tutto questo si traduce, anche, in un profondo cambiamento nell’organizzazione aziendale e nella compliance, intesa come insieme delle misure volte a garantire l’osservanza di un comportamento, giuridico o etico, all’interno di un’azienda, da parte degli organi e dipendenti, in riferimento a tutte le norme imposte per legge o dall’azienda stessa.
Negli ultimi anni, la progressiva proliferazione di leggi e regolamenti, anche a livello sovranazionale, ha reso e rende molto complesso il quadro normativo in cui le aziende sono destinate ad operare, introducendo nuovi vincoli operativi e responsabilità (anche di tipo penale) in capo alle stesse e ai loro vertici.
L’intensificarsi di controlli da parte di Autorità nazionali e sovranazionali con l’inasprimento delle sanzioni per le situazioni di non conformità comportano, da un lato, un vertiginoso aumento dei costi per un’effettiva ed efficace compliance [2] e, dall’altro, in conseguenza dell’irrogazione delle sanzioni, rilevanti conseguenze in termini economici, di immagine e organizzativi [3].
Come noto, il legislatore, a fronte dell’adozione di efficaci sistemi di controllo, ricollega vantaggi che vanno dalla riduzione delle sanzioni fino a vere e proprie sanzioni esimenti, laddove si adottino e si attuino efficacemente programmi di compliance.
Troppo evidente il riferimento ai modelli organizzativi ex d.lgs. 231/2001, ma occorre ricordare anche (cfr. note 2 e 3), le politiche antiriciclaggio (AML: anti money laundering) e KYC (know your customer, nel senso di processo di riconoscimento utilizzato per verificare l’identità della clientela e proteggere l’azienda e gli stessi clienti da tentativi di corruzione, frodi on-line e pratiche di riciclaggio di denaro, con la valutazione dei relativi potenziali rischi).
In seguito al mutamento dello scenario geopolitico successivo all’11 settembre 2001 e per perseguire il contrasto al finanziamento del terrorismo, il legislatore italiano ha recepito la norma comunitaria (terza direttiva 2005/60/CE) tramite due decreti, il d. lgs. 109/2007 e il d. lgs. 231/2007, con cui viene introdotto il concetto di beneficial owner e quello della verifica adeguata. Il d. lgs. 90/2017, con cui è stata recepita la quarta direttiva 2015/849/CE, ha rafforzato il contesto normativo adeguandolo alle sopravvenute esigenze.
Da ultimo, il d. lgs. 125/2019, in attuazione della quinta direttiva 2018/842/CE, ha introdotto ulteriori correttivi al sistema.
Il “cuore” della novella del d. lgs. 231/2007 è rappresentato dalla verifica adeguata della clientela: il nuovo assetto valutativo segue l’approccio KYC che delinea una due diligence finanziaria complessa basata sulla valutazione del rischio.
Il cliente viene identificato tramite un documento di identità in corso di validità del quale l’operatore deve tenere copia salvo il caso in cui il cliente sia stato già identificato in precedenza.
Anche gli amministratori delle imprese e delle persone giuridiche private sono sottoposti a tale vincolo, dovendo acquisire le informazioni sulla base delle risultanze delle scritture contabili, bilanci, libro soci, comunicazioni relative all’assetto proprietario o al controllo dell’ente, delle comunicazioni ricevute dai soci o da ogni altro dato che può rivelarsi utile.
Come sopra osservato, tale attività di compliance ha un notevole costo, che può essere significativamente ridotto, se non quasi azzerato [4], attraverso l’impiego della tecnologia blockchain.
§3. La blockchain
La compliance sta attraversando un cambiamento radicale, che si intensificherà negli anni a venire, a causa della progressiva proliferazione di leggi e regolamenti, anche a livello sovranazionale, che ha reso e rende molto complesso il quadro normativo in cui le aziende sono destinate ad operare.
La blockchain technology, dopo internet, rappresenta la più grande conquista tecnologica e occupa un posto di assoluto rilievo nella Industry 4.0.
Tale tecnologia è in grado di garantire – nell’attuale mondo interconnesso caratterizzato da un elevatissimo tasso di scambio di dati e informazioni (destinato ad aumentare ulteriormente in seguito all’adozione del 5G) – una notevolissima riduzione dei costi di compliance e un significativo miglioramento e velocizzazione di tale attività.
Volendo semplificare al massimo, la “catena di blocchi” (nella terminologia anglosassone blockchain) consiste in una tecnologia che consente di creare e mantenere un enorme database (o registro [5], in italiano) distribuito (vale a dire condiviso tra i vari utenti) per gestire transazioni e scambi di dati.
Il database è caratterizzato dall’immutabilità ed è protetto crittograficamente.
Si tratta di un registro condiviso (nella terminologia anglosassone DL Distributed Ledger) in costante e automatico aggiornamento attraverso la comunicazione su ciascuno dei nodi che partecipano alla rete. I partecipanti sono costituiti dai server di ciascun utente (denominati nodi), che controllano la rete della blockchain nella sua totalità: la rete, di tipo peer-to-peer, è priva di un’autorità centrale che possa gestire il flusso di dati.
I dati inseriti nella blockchain non sono modificabili, pertanto qualsiasi transazione o scambio di dati viene registrato in modo permanente e ogni partecipante è in grado di vedere e controllare i dati registrati. Ogni blocco rappresenta un archivio per tutte le transazioni o dati scambiati e le modifiche possono avvenire solo dopo l’approvazione di tutti i nodi appartenenti alla rete.
I blocchi di cui è costituita la blockchain archiviano un insieme di transazioni o dati validate dai nodi e correlate da un marcatore temporale denominato timestamp, basato sulla funzione hash, funzione algoritmica informatica non invertibile che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. La funzione hash permette di identificare ciascun blocco in maniera univoca consentendo il collegamento con il blocco precedente tramite l’identificazione di quest’ultimo.
Nella blockchain ogni transazione o dato scambiato viene rappresentato cronologicamente sul blocco e successivamente viene collegato alle precedenti per formare la catena. Ciascuno di questi blocchi contiene informazioni (la cui riservatezza e anonimato sono garantiti dalla stessa tecnologia alla base della blockchain) riguardanti le transazioni come la valuta, l’identità, i titoli di proprietà, i diritti digitali e così via).
Una volta che il blocco viene completato, esso diviene parte permanente del Ledger (registro) e viene archiviato in maniera sicura. Ogni utente ha una copia del ledger e tutti possono controllarla, visualizzarla e, a seconda della tipologia di governance all’interno della blockchain, modificarla.
Perché un nuovo blocco sia aggiunto alla blockchain occorre controllarlo, validarlo e crittografarlo: per far ciò è necessario che venga risolto un problema matematico complesso richiedente potenza e capacità di calcolo. I miners vale a dire gli utenti che mettono a disposizione del network le risorse computazionali che riuscirà a risolvere il problema avranno il diritto di validare il blocco.
I record registrati dalla catena sono di due tipi: i dati in senso stretto e i blocchi, che rappresentano la registrazione di quando e in quale ordine le transazioni vengono effettuate e registrate nel database.
Le transazioni sono poste in essere dai partecipanti alla catena attraverso le loro credenziali, mentre i blocchi sono generati dai miners, attraverso software e hardware specifici.
Quando una transazione digitale viene conclusa, viene raggruppata in un blocco crittografato insieme alle altre transazioni concluse negli ultimi dieci minuti; viene quindi diffusa in tutto il network dove viene validata dai miners.
Il blocco così autenticato è unito agli altri blocchi in una catena cronologica continuamente aggiornata che consente a tutti i membri del network di dimostrare chi sia stato coinvolto nelle varie transazioni e di cosa sia titolare in base ad esse.
La struttura decentralizzata, aperta e crittografata fa sì che gli scambi possano avvenire senza l’ausilio di intermediari, con gli immaginabili benefici per la sicurezza perché l’eventuale hacker che intendesse violare il database dovrebbe hackerare tutta la catena.
Ancora fondamentale, per chi volesse avvicinarsi, per la prima volta, al tema della blockchain è lo studio con cui Satoshi Nakamoto [6] ha elaborato un sistema innovativo di pagamento peer-to-peer denominato bitcoin.
Si segnala, anche, un recente volume [7] che raccoglie la trattazione del tema da parte di cultori di diverse discipline.
La tecnologia blockchain si è tuttavia, da due anni a questa parte, ormai emancipata dal mondo delle criptovalute, prestandosi agli usi più svariati che coinvolgono i più vari settori: dalle filiere del lusso, per certificare la purezza dei diamanti, la loro provenienza e il loro percorso fino al compratore finale all’industria alimentare e al sistema sanitario.
Ne è coinvolto anche il mondo dell’arte e delle aste, consentendo, tale tecnologia, di rendere sicure le transazioni nel mercato dell’arte [8].
In quest’ultimo campo, per quanto attiene al mercato dell’arte contemporanea, attraverso la catena, è possibile registrare la paternità di un’opera e controllare chi ne sia proprietario, se la proprietà sia stata acquistata legittimamente e se vi sono state violazioni del diritto di autore. In definitiva, è possibile registrare i passaggi di proprietà del bene in modo da renderne più sicura la circolazione.
Il Parlamento europeo, con la Risoluzione del 3 ottobre 2018 ha preso posizione afermando che le tecnologie basate su registi distribuiti (acronimo DLT: Distributed Ledger Technology) e blockchain possono costituire uno strumento che rafforza l’autonomia dei cittadini, dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la possibilità di scegliere chi possa vederli. Tali tecnologie possono diminuire ed eliminare addirittura i costi di intermediazione aumentando la trasparenza delle transazioni e garantendo una loro maggior sicurezza.
La risoluzione evidenzia come tali tecnologie possono migliorare in modo significativo i settori chiave dell’economia e la qualità dei servizi pubblici: dalle applicazioni a basso consumo energetico e rispettose dell’ambiente ai trasporti e logistica, al settore sanitario,alla supply chain, all’istruzione e al settore finanziario.
L’Italia è stata tra i primi Paesi europei a fornire una nozione di tecnologie basate su registri distribuiti e di smart contract, disegnando, nel contempo, la disciplina generale degli effetti giuridici connessi all’utilizzo di tali tecnologie. L’art. 8-ter del decreto semplificazioni (d.l. 135/2018, convertito in l. 12/2019), definisce, al comma 1, le tecnologie basate su registri distribuiti come “tecnologie e protocolli informatici che usano un registro condiviso, distribuito, replicabile, accessibile simultaneamente, architetturalmente decentralizzato su basi crittografiche, tali da consentire la registrazione, la convalida, l’aggiornamento e l’archiviazione di dati sia in chiaro che ulteriormente protetti da crittografia verificabili da ciascun partecipante, non alterabili e non modificabili”.
§4. L’impiego della blockchain nella compliance
Abbiamo ricordato, in apertura, la definizione della Industry 4.0 vista come “misto di speranza e ambiguità”. In effetti, tale definizione ben si attaglia anche alla blockchain (che costituisce una significativa parte della “quarta rivoluzione”), dal momento che se da un lato essa può garantire efficienza e risparmio di costi, dall’altro (e qui si spiega il riferimento all’”ambiguità”) può costituire strumento per realizzare frodi, spionaggio industriale e riciclaggio: invero, le direttive europee sopra menzionate non sembrano ancora idonee ad evitare il rischio maggiore, vale a dire la totale disintermediazione, che comporta l’assenza di ogni controllo umano [9].
Il “lato oscuro” della blockchain [10] non è oggetto del presente articolo, ma sembrava giusto dedicare ad esso almeno un accenno.
Venendo alle applicazioni in bonam partem di questo vero e proprio phàrmakon, al tempo stesso “rimedio” e “veleno” (come del resto tutta la tecnologia), è indubbio che la tecnologia blockchain, per le sue caratteristiche di sicurezza, affidabilità e trasparenza dei dati, associate ai significativi vantaggi in termini di velocizzazione, semplificazione e riduzione dei costi, permette una gestione ottimale della compliance aziendale, anche in quella rilevante ex d. lgs. 231/2001.
Chi ha avuto occasione di occuparsi della predisposizione e dell’aggiornamento di un Modello Organizzativo ex d. lgs. 231/2001 ben conosce le inefficienze e i costi legati, anche, al collegamento di tale modello con le procedure anticorruzione e antiriciclaggio e con gli altri sistemi di gestione aziendale, dai quali, pur differenziandosene, si trova in rapporto di intersezione, sovrapposizione e complementarietà, come espressione della “cultura del controllo”.
Molto spesso, si assiste alla moltiplicazione di costi e all’inutile dispendio di energie lavorative per le varie compliance (antiriciclaggio, anticorruzione, 231/2001 ecc.), tra loro interrelate, e, in generale, per l’effettuazione del risk assessment e si è costretti a una costosa e impegnativa attività di raccoglimento (per diverse finalità) e successiva comparazione di dati e documenti, attività sovente svolta manualmente, con aumento dei rischi di frode e errore.
La possibilità di poter usufruire di un registro aggiornato in tempo reale, non manipolabile, certificato e affidabile – condiviso con altri enti e istituzioni – permette di ridurre se non addirittura eliminare i suddetti costi e rischi: ovviamente, ciò comporta necessari collegamenti con la normativa in tema di trattamento dati personali, che deve essere adeguata alla tecnologia in oggetto (normativa che, non a caso, è quella che presenta attualmente i maggiori “punti di frizione” con la blockchain technology).
NOTE:
[1] The Fourth Industrial Revolution is here – are you ready?, Deloitte Insights, reperibile on-line.
[2] Secondo un report del 2016 di Thomson Reuters, a livello mondiale le banche, le assicurazioni e altre operatori finanziari sostengono, per i programmi di compliance KYC/AML, costi oscillanti tra i 60 e i 500 milioni di dollari: Thomson Reuters 2016 Know Your Customers Surveys Reveal Escalating Costs and Complexity (9 May 2016), https://www.thomsonreuters.com/en/press-releases/2016/may/thomson-reuters-2016-know-your-customer-surveys.html. E’ stato, inoltre, stimato che il costo sostenuto annualmente dalle industrie manifatturiere statunitensi per la compliance relativa alla tutela ambientale e alla sicurezza sul lavoro, KYC e AML si aggira su 192 bilioni di dollari.
[3] Una ricerca della KPMG ha permesso di appurare che tra il 2010 e il 2016 a più di dodici tra le più importanti banche impegnate nel business a livello mondiale sono state irrogate sanzioni pecuniarie per più di 15 bilioni di dollari per la violazione dei parametri KYC/AML.
[4] Secondo una ricerca eseguita da BIS, un’azienda statunitense di market intelligence, dall’impiego della blockchain technology nella compliance KYC/AML i relativi costi si potrebbero ridurre del novanta per cento, con un risparmio globale annuale oscillante tra i 6 e gli 8 bilioni di dollari: BIS Research, Blockchain Technology in Financial Service Market – Analysis and Forecast: 2017 to 2026, https://bisresearch.com/industry-report/blockchain-technology-market-2026.html
[5] Il concetto di registro ha origini antichissime: risalgono ad oltre cinquemila anni fa le prime tavolette di argilla adoperate in Mesopotamia per registrare le quantità di grano, bestiame ecc.
[6] Uno pseudonimo dietro al quale si cela l’identità di più soggetti.
Lo studio, dal titolo Bitcoin: A Peer-to-Peer Electronic Cash System, è consultabile on-line e ne esiste anche una, in verità non apprezzabile, traduzione in italiano.
[7] Blockchain e Smart Contract, Funzionamento, profili giuridici e internazionali, applicazioni pratiche, a cura di R. Battaglini e M. T. Giordano, Milano, 2019.
[8] G. Adam, Il Who’s Who del mondo Blockchain, il Giornale dell’Arte n. 390, ottobre 2018, consultabile on-line sul sito https://www.ilgiornaledellarte.com/articoli/2018/10/129960.html
Si segnala, inoltre, G. Magri, La Blockchain può rendere più sicuro il mercato dell’arte?, in Aedon n. 2/2019, consultabile su http://www.aedon.mulino.it/archivio/2019/2/magri.htm
[9] Come è stato segnalato, di recente, dal procuratore nazionale antimafia e dal direttore generale del Dis.
[10] Per un’analisi del riciclaggio attuato tramite criptovaluta, cfr. Y. Fanusie e T. Robinson, Bitcoin Laundering: an analysis of illicit flows into digital currency services (Elliptic Memorandum, January 12, 2018), consultabile on-line.