Sicurezza della blockchain: una questione di design

La blockchain è una tecnologia sicura per design, grazie ad un layout che rende estremamente complesso sperare di violare gli anelli della sua robustissima catena. Esistono però dei rischi di cui è necessario tenere conto, in particolare per quanto riguarda la gestione dei dati di accesso e i servizi che intendiamo utilizzare, soprattutto operando nell’ambito delle criptovalute.

TAKEAWAY

  • La blockchain è una tecnologia sicura a più livelli: sia nelle singole componenti informatiche che nel design complessivo.
  • La crittografia, le prove di lavoro e le logiche a registro distribuito costituiscono delle garanzie molto forti nel definire una transazione o uno smart contract.
  • Un sistema decentralizzato come la blockchain è un’arma a doppio taglio, che rende molto complesso il recupero di una password di accesso, così come il recupero delle criptovalute perse in una truffa.

La sicurezza della blockchain costituisce uno dei principali fattori di interesse nei confronti di una tecnologia emergente che si sta smarcando dall’essere considerata una semplice infrastruttura per le criptovalute, abilitando uno scenario di applicazioni incredibilmente ampio, i cui confini al momento non sono in alcun modo circoscrivibili.

Senza impazzire dietro agli aspetti puramente tecnici, vediamo quindi perché la blockchain, se opportunamente implementata, può considerarsi sicura, e quali sono le buone prassi perché non si riveli un’arma a doppio taglio.

È il design a fare la differenza

La sicurezza della blockchain dipende da moltissimi fattori tecnologici e soprattutto dagli effetti simultanei della loro applicazione. In estrema sintesi, per avere una percezione della robustezza di una blockchain, basterebbe citare i seguenti elementi:

  • crittografia a due fasi: ogni transazione è regolata da una chiave pubblica e una chiave privata, che consente a tutti di verificarla e soltanto ai legittimi proprietari di poterne effettivamente disporre
  • prova di lavoro (proof of work): le transazioni vengono validate dai miner, che calcolano un hash SHA256 dalla difficoltà particolarmente elevata. L’hash dipende in maniera univoca dal contenuto del blocco per cui qualsiasi contraffazione ne comporterebbe una modifica
  • struttura a blocchi concatenati: l’hash di un blocco è riportato nell’header del blocco successivo, il che rende impossibile violare un blocco senza invalidare tutti i blocchi successivi della catena
  • registro distribuito: la blockchain si basa su un sistema peer-to-peer, con una serie di macchine su cui è installato il suo software di gestione open source
  • trasparenza del software di autoregolamentazione: il software che regola il funzionamento di una blockchain è open source, per cui chiunque può verificarne ogni dettaglio ma non può sperare di modificarla con successo senza aver ottenuto il consenso della maggioranza dei nodi

Non siamo al cospetto di un muro all’apparenza invalicabile, quanto di un labirinto in cui i potenziali aggressori finiscono per rimanere intrappolati, anche qualora dovessero avere successo in una delle molte operazioni necessarie.

È il design a fare la differenza, sfruttando gli effetti combinati di una serie di tecnologie basate sulla crittografia e di un sistema di autoregolamentazione molto solido. Anche tutti i sistemi di autenticazione previsti sono assolutamente robusti grazie alla presenza delle firme digitali.

Ci sono dei punti deboli, inutile negarlo, ma sono piuttosto marginali nell’ambito di una valutazione complessiva. Le fasi di avvio di una blockchain pubblica sono le più delicate, in quanto portare a termine il cosiddetto attacco al 51% (influenza sulla maggioranza dei nodi della rete) avrebbe più probabilità di successo, qualora i nodi non fossero sicuri.

A livello teorico ciò è assolutamente possibile per il fatto che chiunque può diventare un nodo della blockchain, ma a livello pratico i rischi effettivi sono relativamente ridotti.

Gli aspetti normativi che regolano la sicurezza della blockchain

A livello normativo, abbiamo assistito ai primi tentativi di regolamentazione delle blockchain, in particolare, per quanto concerne le autenticazioni.

Il regolamento europeo eIDAS 910/2014 disciplina le firme elettroniche necessarie per definire le marcature temporali della blockchain, suggerendo inoltre l’impiego di sistemi certificati come lo SPID ai fini di garantire l’interoperabilità a livello europeo per l’accesso ai servizi presenti sull’internet pubblico.

In Italia, sia la blockchain che gli smart contract sono entrati nel panorama legislativo con l’articolo 8-ter del decreto semplificazioni, convertito in Legge 11 febbraio 2019Per le procedure di autenticazione si fa riferimento alle disposizioni dell’AGID (Agenzia per l’Italia Digitale).

Per quanto riguarda le blockchain private, vanno effettuate considerazioni differenti, in quanto la tecnologia di base rimane la stessa, per cui si ereditano le qualità di sicurezza cui abbiamo fatto accenno in riferimento alle blockchain pubbliche.

Trattandosi di ambienti ad accesso controllato, in cui ogni utente è tracciato in ogni operazione, valgono le regole generali di sicurezza informatica, utili a difendere il sistema da possibili attacchi esterni, in grado di sfruttare le vulnerabilità attraverso la rete.

La sicurezza della blockchain non si limita soltanto a considerazioni tecnologiche. A fare la differenza è infatti ben più spesso il comportamento di chi la usa e di chi la gestisce. Vediamo due tra i principali effetti collaterali della vicenda.

sicurezza della blockchain
Se la blockchain è progettata per bypassare l’esigenza di fidarsi degli altri per condurre una transazione, lo stesso non si può dire per i servizi, a iniziare dalle piattaforme di trading online. Si tratta dei famigerati exchange, di fatto degli “intermediari” tra domanda e offerta delle criptovalute, oltre a fungere da cambio per convertire in valuta tradizionale.

Sicurezza della blockchain: gestire bene le password e fare attenzione ai servizi truffaldini

Il registro distribuito su cui si basa la blockchain non è soggetto ad una forma di controllo centrale, come avviene nei sistemi tradizionali, in cui la presenza di un ente terzo fidato funge da garante sia per la validità delle transizioni, sia per l’erogazione dei servizi.

Sempre in riferimento alle criptovalute, la nostra disponibilità è vincolata ad una password, che ci consente di accedere e gestire il nostro portafoglio (wallet) di valuta (bitcoin, ethereum, ecc.).

Nel caso in cui dovessimo smarrire una password di accesso, possiamo metterci l’anima in pace. Non c’è nessun servizio bancario o Paypal in grado di recuperare dei dati resi inaccessibili. Siamo solo noi e la blockchain su cui la criptovaluta si appoggia. Non si contano i milioni di dollari controvalore di bitcoin andati persi per via di proprietari che negli anni hanno smarrito la password.

Questa dinamica è data dal fatto che in origine i bitcoin non valevano molto, per cui anche un piccolo quantitativo negli anni è stato capace di trasformarsi in un valore molto elevato, rinnovando l’interesse e recuperarli.

Una doccia fredda, utile a ricordarci come libertà e sicurezza sono qualità distintive e cariche di innovazione, ma al tempo stesso un prezzo da pagare con una maggior responsabilizzazione.

Se la blockchain è progettata per bypassare l’esigenza di fidarsi degli altri per condurre una transazione, lo stesso non si può dire per i servizi, a iniziare dalle piattaforme di trading online. Si tratta dei famigerati exchange, di fatto degli “intermediari” tra domanda e offerta delle criptovalute, oltre a fungere da cambio per convertire in valuta tradizionale.

In tema di sicurezza della blockchain, nel 2021 è di grande attualità il caso di Thodex, un exchange turco letteralmente sparito nel nulla con un portafoglio pari al controvalore di oltre due miliardi di dollari.

Il più classico dei prendi i soldi e scappa, che ha messo in grave difficoltà ben 400.000 risparmiatori turchi, oltretutto in un contesto in cui l’investimento nelle criptovalute costituisce una valida alternativa alla svalutazione della moneta locale, al punto che, non potendo bloccare direttamente le cripto, la Banca centrale turca ne ha vietato l’utilizzo per l’acquisto di beni e servizi. Un’inutile complicazione, che non risolve i problemi alla radice.

La scelta di un exchange rappresenta pertanto un momento delicato. Ricordiamo che un grave problema di sicurezza ha portato nel 2017 al fallimento dell’exchange italiano Bitgrail, messo in ginocchio da un hackeraggio che gli ha sottratto un controvalore di 120 milioni di euro, affidati da 230.000 risparmiatori.

Oltre a godere di una solida reputazione, un exchange affidabile deve essere in possesso di tutte le certificazioni ad operare nell’ambito del trading previste dalle normative vigenti.

Nel caso di Bitgrail, le forze dell’ordine hanno assicurato alla giustizia il principale responsabile, ma non sarà comunque semplice ottenere la refurtiva, anche se i movimenti relativi al trasferimento dei fondi illecitamente ottenuti sono stati tracciati.

La sicurezza della blockchain a livello tecnologico rappresenta infatti una risorsa anche per i truffatori. Il problema non è dato dalla blockchain in sé, ma dal ruolo dei servizi esterni, per cui si tratta di assumere un atteggiamento prudenziale nei confronti di qualsiasi operazione su base fiduciaria, come nel caso di qualsiasi prodotto finanziario, in attesa dell’inevitabile evoluzione di un quadro normativo ancora acerbo, che offre attualmente troppe scappatoie.

Default image
Francesco La Trofa
Da vent’anni attivo nella ricerca relativa alle tecnologie 3D, divulgatore sul tema delle applicazioni enterprise di tali tecnologie e autore di “VR Developer. Il creatore di contenuti in realtà virtuale ed aumentata” (2018), edito da Franco Angeli (vrdeveloper.info). Scrive di IT anche per il portale https://www.sergentelorusso.it/
Articles: 23

Newsletter Updates

Enter your email address below to subscribe to our newsletter