MiCA, GDPR e indirizzi di wallet crypto
Un indirizzo Bitcoin è composto da 26–35 caratteri in codifica Base58Check. Inizia con "1", "3" o "bc1". Un indirizzo Ethereum inizia con "0x" e contiene 40 caratteri esadecimali. Entrambi sono pseudonimizzati: nessuno dei due nomina direttamente una persona.
Eppure la legge si applica.
Quando un indirizzo wallet diventa dato personale
I record pseudonimizzati sono record personali se collegano a una persona reale. Un exchange crypto conserva fascicoli KYC che associano questi indirizzi a identità verificate. L'indirizzo da solo non identifica nessuno al di fuori dell'exchange. All'interno dei suoi sistemi, identifica un cliente. Questo lo rende un dato personale.
La normativa lo copre integralmente.
MiCA aggiunge un secondo livello
Il regolamento UE MiCA (Markets in Crypto-Assets) è entrato in vigore nel dicembre 2024. Richiede ai fornitori di servizi per cripto-attività — i CASP — di proteggere i dati dei clienti. Un exchange europeo si trova ora ad affrontare due normative contemporaneamente. MiCA stabilisce i controlli finanziari. Il GDPR stabilisce le regole sulla protezione dei dati. Entrambi si applicano allo stesso identificatore.
La lacuna di rilevamento negli strumenti standard
Gli strumenti PII standard sono stati progettati per la finanza tradizionale. Conoscono IBAN, SWIFT/BIC e numeri di routing. Non conoscono i formati degli indirizzi crypto.
Invia un documento con un indirizzo Bitcoin, un indirizzo Ethereum e un codice SWIFT attraverso uno strumento standard. Trova il codice SWIFT. Manca entrambi gli indirizzi on-chain.
Per un CASP che elabora fascicoli KYC, questa lacuna è seria. Questi identificatori sono sensibili quanto i numeri di conto bancario. Non rilevarli significa nessuna cifratura, nessuna mascheratura e nessuna traccia di audit.
L'Articolo 32 e il gap nella cifratura
Il GDPR Articolo 32(1)(a) richiede pseudonimizzazione e cifratura come controlli di base. Il 56% delle sanzioni GDPR cita la cifratura inadeguata come fattore determinante. Un exchange che cifra tutti i PII rilevati ma manca gli indirizzi wallet non ha protetto nulla al cuore della propria attività.
Il rilevamento deve coprire l'insieme completo degli identificatori. Per un CASP, quell'insieme include i formati di indirizzo sopra indicati.
Come appare una pipeline conforme
Un exchange conforme aggiunge questi tipi di entità al proprio passaggio di rilevamento. I formati Bitcoin ed Ethereum sono inclusi. Gli indirizzi vengono segnalati, cifrati e registrati nel ROPA accanto a IBAN e numeri di conto. La DPIA nomina ciascun tipo di identificatore coperto. I registri di audit MiCA si allineano con i registri di trattamento.
Non serve nessuna nuova policy. Il gap è tecnico. Aggiungere i tipi di entità corretti al passaggio di rilevamento lo chiude.
Per le misure tecniche ai sensi dell'Articolo 32, vedi GDPR Articolo 32 e strumenti AI per il monitoraggio dell'esposizione PII. Per come funziona la pseudonimizzazione nella pratica, vedi linee guida EDPB 2025 sulla pseudonimizzazione.