Quando qualcuno vi offre protezione senza che l’abbiate chiesta, è saggio chiedersi quali siano le vere conseguenze di accettare quella “sicurezza”.

È esattamente ciò che accade con le norme KYC (Know Your Customer), presentate come strumento indispensabile per contrastare il finanziamento del terrorismo, la proliferazione di armi di distruzione di massa, le frodi e il riciclaggio di denaro. Banche ed exchange sono obbligati a raccogliere i vostri dati personali – documenti, indirizzo, selfie, movimenti bancari – che finiscono in enormi database. Database che, prima o poi, diventano bersaglio di violazioni, estorsioni e truffe.

Proprio in questi giorni lo sta vivendo sulla propria pelle Kraken, uno dei più grandi exchange di criptovalute al mondo. Un gruppo criminale ha contattato l’azienda con una minaccia classica: «Pagate, altrimenti diffonderemo i video dei vostri sistemi interni con i dati degli utenti».

Il Chief Security Officer Nick Percoco ha reso pubblico il 13 aprile 2026 un aggiornamento chiaro e deciso: Kraken è vittima di un tentativo di estorsione. I criminali minacciano di pubblicare video girati all’interno dei sistemi di supporto clienti, nei quali apparirebbero dati sensibili di utenti. La risposta dell’exchange è stata netta: «I nostri sistemi centrali non sono mai stati violati, i fondi dei clienti non sono mai stati a rischio. Non pagheremo e non tratteremo con i ricattatori».

Al momento risultano coinvolti circa 2.000 account – appena lo 0,02% della clientela totale. Una percentuale minima, ma sufficiente per ricattare l’azienda e, soprattutto, per mettere in pericolo concreto chi ha affidato i propri dati.

Le norme KYC e AML (Anti-Money Laundering) si basano su un imperativo semplice: «Consegnateci i vostri documenti. È per la vostra protezione». Protezione da cosa? Dal crimine organizzato, dal riciclaggio, dal terrorismo.

O almeno, questa è la narrazione ufficiale.

In realtà si tratta di una estorsione legalizzata. Se vuoi operare su una piattaforma regolamentata, devi rinunciare alla tua privacy finanziaria e consegnarla su un piatto d’argento a un’azienda privata (e quindi a potenziali insider). I governi la chiamano «tutela del sistema finanziario».

Per i cittadini è semplicemente l’obbligo di regalare le chiavi della propria vita digitale.

A marzo 2026 la Corte dei Conti olandese lo ha scritto in modo inequivocabile nel suo rapporto: le misure antiriciclaggio hanno conseguenze gravi per i cittadini comuni, costi enormi e benefici sconosciuti.

Non esistono prove concrete della loro efficacia.

Il caso Kraken lo dimostra in modo lampante. Le norme KYC non hanno impedito nulla. Non hanno reso i fondi più sicuri (quelli lo erano già grazie alla blockchain e ai meccanismi non-custodial). Non hanno fermato i criminali. Hanno soltanto creato un gigantesco serbatoio di dati sensibili – nomi, indirizzi, documenti, importi – che attira inevitabilmente insider, estorsori e, nei casi peggiori, “wrench attacks” (aggressioni fisiche per farsi consegnare chiavi e password).

Non è un caso che i due insider coinvolti lavorassero proprio nel supporto clienti: il reparto più esposto, spesso esternalizzato in Paesi a basso costo proprio per gestire l’enorme volume di verifiche imposte dalle autorità. Più dati si raccolgono “per proteggere”, più persone servono per gestirli, più punti deboli si creano.

Il risultato non è maggiore sicurezza, ma un pericolo reale per l’incolumità fisica dei cittadini. Un indirizzo di residenza, un numero di telefono o una foto del documento non sono semplici informazioni: sono la porta d’ingresso per furti di identità, stalking, estorsioni e minacce alle famiglie.

Le norme KYC non hanno mai fermato i grandi trafficanti, che continuano a usare vie alternative, società offshore, stablecoin o contanti. Servono invece a sorvegliare e schedare il cittadino medio che voleva semplicemente comprare o vendere bitcoin senza chiedere il permesso allo Stato.

Kraken ha fatto la scelta giusta: ha rifiutato il ricatto, ha informato i clienti coinvolti e sta collaborando con le autorità. Ma la lezione più profonda è un’altra.

La “protezione” offerta dallo Stato attraverso il KYC assomiglia pericolosamente a quella che si vede nei film di un certo genere: costa cara, non te ne liberi più e alla fine ti lascia più vulnerabile di prima.

L’unica sicurezza che conta davvero, oggi come in futuro, è quella che non si può esternalizzare né regolamentare: la custodia personale delle proprie chiavi, la scelta consapevole della privacy e la consapevolezza che nessuno – né uno Stato né un gruppo criminale – dovrebbe arrogarsi con la forza il diritto di imporsi come “protettore” non richiesto.