aboutsummaryrefslogtreecommitdiff
path: root/doc
diff options
context:
space:
mode:
authorChristian Grothoff <christian@grothoff.org>2022-02-01 10:04:59 +0100
committerChristian Grothoff <christian@grothoff.org>2022-02-01 10:04:59 +0100
commitfc397f26346afba2626a315e6e211d9ee5cb2bf5 (patch)
treef694ad0560d1791282655542e2fddfc604a85e52 /doc
parent5ea4e5b1223a0e0ecf3cf9c3b304e570e490ddb9 (diff)
-corrections from Dora
Diffstat (limited to 'doc')
-rw-r--r--doc/cbdc-it/cbdc-it.tex2056
1 files changed, 1024 insertions, 1032 deletions
diff --git a/doc/cbdc-it/cbdc-it.tex b/doc/cbdc-it/cbdc-it.tex
index a6bc0c5ac..693dc3070 100644
--- a/doc/cbdc-it/cbdc-it.tex
+++ b/doc/cbdc-it/cbdc-it.tex
@@ -1,4 +1,4 @@
-% The Spanish pdf looks too crowded. For Italian, maybe bigger font
+% The Spanish pdf looks too crowded. For Italian, maybe bigger font
% and/or extra space between lines/paragraphs?
%\renewcommand{\abstractname}{Sommario}
@@ -17,53 +17,55 @@
xx Network \and
Christian Grothoff\footnote{christian.grothoff@bfh.ch} \\
BFH\footnote{Università di Scienze Applicate di Berna}
- \quad e Progetto GNU \and
+ \ e Progetto GNU \and
Thomas Moser\footnote{thomas.moser@snb.ch} \\
Banca Nazionale Svizzera}
\date{Questa versione: febbraio 2022 \\
Prima versione: maggio 2020}
+
+
\begin{document}
\maketitle
-\begin{abstract}
-Con l'emergere di Bitcoin e delle criptovalute stabili (per es. Diem,
-già nota come Libra) recentemente proposte dai colossi del web, le
-banche centrali affrontano una crescente concorrenza da parte di
-operatori privati che offrono la propria alternativa digitale al
-contante fisico. Non trattiamo qui la questione normativa se una banca
-centrale debba emettere o meno una moneta digitale. Contribuiamo invece
-all'attuale dibattito di ricerca spiegando in che modo una banca centrale
-potrebbe farlo, se lo volesse. Proponiamo un sistema basato su token
-senza tecnologia di registro distribuito, e mostriamo che le monete
-elettroniche emesse in passato, basate solo su software, possono essere
-migliorate per tutelare la privacy nelle transazioni, soddisfare i
-requisiti normativi in modo efficace e offrire un livello di protezione
-resistente ai computer quantistici contro il rischio sistemico per
-la privacy. Né la politica monetaria né la stabilità del sistema
-finanziario sarebbero realmente interessate da questo sistema dal
-momento che una CBDC emessa in questo modo replicherebbe il contante
+\begin{abstract}
+Con l'emergere di Bitcoin e delle criptovalute stabili (per es. Diem,
+già nota come Libra) recentemente proposte dai colossi del web, le
+banche centrali affrontano una crescente concorrenza da parte di
+operatori privati che offrono la propria alternativa digitale al
+contante fisico. Non trattiamo qui la questione normativa se una banca
+centrale debba emettere o meno una moneta digitale. Contribuiamo invece
+all'attuale dibattito di ricerca spiegando in che modo una banca centrale
+potrebbe farlo, se lo volesse. Proponiamo un sistema basato su token
+senza tecnologia di registro distribuito, e mostriamo che le monete
+elettroniche emesse in passato, basate solo su software, possono essere
+migliorate per tutelare la privacy nelle transazioni, soddisfare i
+requisiti normativi in modo efficace e offrire un livello di protezione
+resistente ai computer quantistici contro il rischio sistemico per
+la privacy. Né la politica monetaria né la stabilità del sistema
+finanziario sarebbero realmente interessate da questo sistema dal
+momento che una CBDC emessa in questo modo replicherebbe il contante
fisico anziché i depositi bancari. \\
JEL: E42, E51, E52, E58, G2
\\
-Parole chiave: monete digitali, banca centrale, CBDC, firma cieca,
+Parole chiave: monete digitali, banca centrale, CBDC, firma cieca,
criptovalute stabili, \textit{stablecoins}
\end{abstract}
\vspace{40pt}
\section*{Ringraziamenti}
-Vorremmo ringraziare Michael Barczay, Roman Baumann, Morten Bech,
-Nicolas Cuche, Florian Dold, Andreas Fuster, Stefan Kügel, Benjamin
-Müller, Dirk Niepelt, Oliver Sigrist, Richard Stallman, Andreas Wehrli
-e tre collaboratori anonimi per i loro commenti e suggerimenti. Le
-posizioni, le opinioni, i risultati e le conclusioni o raccomandazioni
-espresse in questo documento sono strettamente quelle degli autori.
-Non riflettono necessariamente le posizioni della Banca nazionale
-svizzera (BNS). La BNS declina ogni responsabilità per eventuali
+Vorremmo ringraziare Michael Barczay, Roman Baumann, Morten Bech,
+Nicolas Cuche, Florian Dold, Andreas Fuster, Stefan Kügel, Benjamin
+Müller, Dirk Niepelt, Oliver Sigrist, Richard Stallman, Andreas Wehrli
+e tre collaboratori anonimi per i loro commenti e suggerimenti. Le
+posizioni, le opinioni, i risultati e le conclusioni o raccomandazioni
+espresse in questo documento sono strettamente quelle degli autori.
+Non riflettono necessariamente le posizioni della Banca nazionale
+svizzera (BNS). La BNS declina ogni responsabilità per eventuali
errori, omissioni o inesattezze che dovessero comparire nel documento.
Traduzione: Dora Scilipoti \& Luca Saiu
@@ -73,854 +75,844 @@ Traduzione: Dora Scilipoti \& Luca Saiu
\section{Introduzione}\label{1.-introduzione}
-Dall'avvento dei personal computer negli anni ottanta, e più
-specificamente da quando nel 1991 la \textit{National Science
-Foundation} revocò le restrizioni sull'uso di Internet per scopi
-commerciali, c'è stata una ricerca sulla creazione di moneta digitale
-per i pagamenti online. La prima proposta è stata quella
-di~\cite{Chaum1983}. Sebbene tali metodi siano stati attuati, non hanno
-preso piede; le carte di credito sono invece diventate il metodo più
-diffuso per i pagamenti online. La proposta di~\cite{Nakamoto} per una
-versione puramente \textit{peer-to-peer} di moneta digitale e il
-conseguente lancio di Bitcoin avvenuto con successo hanno inaugurato
-una nuova era di ricerca e sviluppo di valute digitali. La piattaforma
-CoinMarketCap elenca oltre 5.000 criptovalute. Recentemente le banche
-centrali hanno iniziato a considerare, o almeno a studiare,
-l'emissione di monete
+Dall'avvento dei personal computer negli anni ottanta, e più
+specificamente da quando nel 1991 la \textit{National Science
+Foundation} revocò le restrizioni sull'uso di Internet per scopi
+commerciali, c'è stata una ricerca sulla creazione di moneta digitale
+per i pagamenti online. La prima proposta è stata quella
+di~\cite{Chaum1983}. Sebbene tali metodi siano stati attuati, non hanno
+preso piede; le carte di credito sono invece diventate il metodo più
+diffuso per i pagamenti online. La proposta di~\cite{Nakamoto} per una
+versione puramente \textit{peer-to-peer} di moneta digitale e il
+conseguente lancio di Bitcoin avvenuto con successo hanno inaugurato
+una nuova era di ricerca e sviluppo di valute digitali. La piattaforma
+CoinMarketCap elenca oltre 5.000 criptovalute. Recentemente le banche
+centrali hanno iniziato a considerare, o almeno a studiare,
+l'emissione di monete
digitali~\cite[vedi][]{AuerBoehme,AuerCornelli,Boar,Kiff,Mancini-Griffoli}.
-Attualmente le banche centrali emettono due tipi di moneta: (i)
-riserve sotto forma di conti di regolamento presso le banche centrali,
-destinate solo agli operatori dei mercati finanziari, e (ii) divisa
-disponibile per tutti sotto forma di banconote. Di conseguenza, la
-letteratura sulla moneta digitale di banca centrale (\textit{Central Bank
-Digital Currency} - CBDC) distingue tra (a) CBDC all'ingrosso ad
-accesso ristretto e (b) CBDC al dettaglio disponibile per il
-pubblico~\cite[si veda, ad esempio,][]{Bech}.
-Una CBDC all'ingrosso sarebbe meno destabilizzante per il sistema attuale
-dato che le banche e gli operatori dei mercati finanziari hanno già
-accesso alla moneta digitale della banca centrale sotto forma di conti
-presso questa istituzione, che utilizzano per regolare i pagamenti
-interbancari. La domanda qui è se la tokenizzazione della moneta di banca
-centrale e la tecnologia di registro distribuito (\textit{Distributed Ledger
-Technology} - DLT) offrano vantaggi particolari rispetto ai sistemi con
-regolamento lordo in tempo reale (\textit{Real-Time Gross Settlement} - RTGS)
-esistenti. Finora la risposta è negativa, almeno per i pagamenti
+Attualmente le banche centrali emettono due tipi di moneta: (i)
+riserve sotto forma di conti di regolamento presso le banche centrali,
+destinate solo agli operatori dei mercati finanziari, e (ii) divisa
+disponibile per tutti sotto forma di banconote. Di conseguenza, la
+letteratura sulla moneta digitale di banca centrale (\textit{Central Bank
+Digital Currency} - CBDC) distingue tra (a) CBDC all'ingrosso ad
+accesso ristretto e (b) CBDC al dettaglio disponibile per il
+pubblico~\cite[si veda, ad esempio,][]{Bech}.
+Una CBDC all'ingrosso sarebbe meno destabilizzante per il sistema attuale
+dato che le banche e gli operatori dei mercati finanziari hanno già
+accesso alla moneta digitale della banca centrale sotto forma di conti
+presso questa istituzione, che utilizzano per regolare i pagamenti
+interbancari. La domanda qui è se la tokenizzazione della moneta di banca
+centrale e la tecnologia di registro distribuito (\textit{Distributed Ledger
+Technology} - DLT) offrano vantaggi particolari rispetto ai sistemi con
+regolamento lordo in tempo reale (\textit{Real-Time Gross Settlement} - RTGS)
+esistenti. Finora la risposta è negativa, almeno per i pagamenti
interbancari nazionali~\cite[vedi][]{Chapman}.
-Una CBDC al dettaglio, che sarebbe una nuova forma di moneta di banca
-centrale disponibile per il pubblico, potrebbe essere più destabilizzante
-per il sistema attuale, a seconda di come è progettata. Più una CBDC
-compete con i depositi delle banche commerciali, maggiore è la minaccia
-ai finanziamenti bancari, con effetti potenzialmente negativi sul credito
-bancario e sull'attività economica~\cite[vedi][]{Agur}. Tuttavia, una
-CBDC al dettaglio potrebbe anche essere vantaggiosa~\cite[vedi][]{Bordo,Berentsen,Bindseil,Niepelt,Riksbank,BoE}.
-Mettere a disposizione di tutti una moneta elettronica di banca centrale
-esente dal rischio di controparte potrebbe migliorare la stabilità e la
-resilienza del sistema di pagamenti al dettaglio. Potrebbe inoltre fornire
-un'infrastruttura di pagamento neutrale per incoraggiare la concorrenza,
-l'efficienza e l'innovazione. Nel complesso, è probabile che i costi e i
-benefici di una CBDC al dettaglio differiscano da un paese all'altro. Per
-il punto di vista della Banca nazionale svizzera, che non ha in programma
+Una CBDC al dettaglio, che sarebbe una nuova forma di moneta di banca
+centrale disponibile per il pubblico, potrebbe essere più destabilizzante
+per il sistema attuale, a seconda di come è progettata. Più una CBDC
+compete con i depositi delle banche commerciali, maggiore è la minaccia
+ai finanziamenti bancari, con effetti potenzialmente negativi sul credito
+bancario e sull'attività economica~\cite[vedi][]{Agur}. Tuttavia, una
+CBDC al dettaglio potrebbe anche essere vantaggiosa~\cite[vedi][]{Bordo,Berentsen,Bindseil,Niepelt,Riksbank,BoE}.
+Mettere a disposizione di tutti una moneta elettronica di banca centrale
+esente dal rischio di controparte potrebbe migliorare la stabilità e la
+resilienza del sistema di pagamenti al dettaglio. Potrebbe inoltre fornire
+un'infrastruttura di pagamento neutrale per incoraggiare la concorrenza,
+l'efficienza e l'innovazione. Nel complesso, è probabile che i costi e i
+benefici di una CBDC al dettaglio differiscano da un paese all'altro. Per
+il punto di vista della Banca nazionale svizzera, che non ha in programma
l'emissione di una CBDC al dettaglio, si veda~\cite{Jordan}.
-Nel presente documento analizziamo la CBDC al dettaglio, ma senza
-affrontare la questione se una banca centrale \emph{debba o meno} emetterla.
-Ci concentriamo invece sul possibile design di una CBCD. L'interesse
-per la progettazione di CBDC è recentemente aumentato
-considerevolmente~\cite[si, veda ad esempio,][]{Allen,BoE}. Il design che
-proponiamo differisce notevolmente da altre proposte. Il nostro sistema
-si basa sulla tecnologia eCash descritta da~\cite{Chaum1983,Chaum1990},
-migliorandola. In particolare, proponiamo una CBDC basata su token, solo
-con software e senza tecnologia di registro distribuito. La DLT è
-un'architettura interessante in assenza di un operatore centrale o se le
-entità che interagiscono non accettano di nominare un operatore centrale
-fidato. Questo non è certo il caso di una CBDC al dettaglio emessa da una
-\emph{banca centrale}. Distribuire il registro delle transazioni della
-banca centrale con una \textit{blockchain} non fa che aumentare i costi
-di transazione; non porta alcun vantaggio tangibile nell'implementazione
-da parte di una banca centrale. L'utilizzo della DLT per emettere moneta
-digitale può essere utile in assenza di una banca centrale (ad esempio,
-il progetto Sovereign delle Isole Marshall) o se l'intenzione esplicita
-è quella di fare a meno di una banca centrale (ad esempio,
-Bitcoin).\footnote{Potrebbero esserci casi opportuni di utilizzo della
-DLT per le infrastrutture dei mercati finanziari, come gli scambi digitali,
-dove sorge la questione di come incorporare la moneta della banca centrale
-all'interno di una struttura DLT per eseguire i regolamenti. Tuttavia,
-in tali situazioni i potenziali benefici della DLT, ad esempio costi
-inferiori o riconciliazione automatica, non derivano da un'emissione
+Nel presente documento analizziamo la CBDC al dettaglio, ma senza
+affrontare la questione se una banca centrale \emph{debba o meno} emetterla.
+Ci concentriamo invece sul possibile design di una CBCD. L'interesse
+per la progettazione di CBDC è recentemente aumentato
+considerevolmente~\cite[si, veda ad esempio,][]{Allen,BoE}. Il design che
+proponiamo differisce notevolmente da altre proposte. Il nostro sistema
+si basa sulla tecnologia eCash descritta da~\cite{Chaum1983,Chaum1990},
+migliorandola. In particolare, proponiamo una CBDC basata su token, solo
+con software e senza tecnologia di registro distribuito. La DLT è
+un'architettura interessante in assenza di un operatore centrale o se le
+entità che interagiscono non accettano di nominare un operatore centrale
+fidato. Questo non è certo il caso di una CBDC al dettaglio emessa da una
+\emph{banca centrale}. Distribuire il registro delle transazioni della
+banca centrale con una \textit{blockchain} non fa che aumentare i costi
+di transazione; non porta alcun vantaggio tangibile nell'implementazione
+da parte di una banca centrale. L'utilizzo della DLT per emettere moneta
+digitale può essere utile in assenza di una banca centrale (ad esempio,
+il progetto Sovereign delle Isole Marshall) o se l'intenzione esplicita
+è quella di fare a meno di una banca centrale (ad esempio,
+Bitcoin).\footnote{Potrebbero esserci casi opportuni di utilizzo della
+DLT per le infrastrutture dei mercati finanziari, come gli scambi digitali,
+dove sorge la questione di come incorporare la moneta della banca centrale
+all'interno di una struttura DLT per eseguire i regolamenti. Tuttavia,
+in tali situazioni i potenziali benefici della DLT, ad esempio costi
+inferiori o riconciliazione automatica, non derivano da un'emissione
decentralizzata di moneta di banca centrale.}
-La CBDC basata su token che proponiamo consente anche di preservare
-una caratteristica fondamentale del contante fisico: la privacy nelle
-transazioni. Spesso si sostiene che l'uso della crittografia per la
-tutela della privacy richieda così tanta potenza di calcolo da rendere
-impraticabile la sua implementazione su dispositivi
-portatili~\cite[vedi][]{Allen}. Sebbene questo possa essere vero nel
-caso di una tecnologia di registro distribuito, dove la tracciabilità
-delle transazioni è necessaria per prevenire la doppia spesa~\citet{Narayanan},
-non lo è nel caso proposto in questo documento, dove si ha un protocollo
-di firma cieca di tipo Chaum e la partecipazione di una banca centrale.
-La nostra CBDC, basata su firme cieche e un'architettura a due livelli,
-garantisce una tutela della privacy nelle transazioni perfetta e
-quanto-resistente, fornendo al contempo protezioni sociali che sono di
-fatto più potenti rispetto a quelle delle banconote per la lotta al
-riciclaggio di denaro (\textit{Anti-Money Laundering} - AML) e al
+La CBDC basata su token che proponiamo consente anche di preservare
+una caratteristica fondamentale del contante fisico: la privacy nelle
+transazioni. Spesso si sostiene che l'uso della crittografia per la
+tutela della privacy richieda così tanta potenza di calcolo da rendere
+impraticabile la sua implementazione su dispositivi
+portatili~\cite[vedi][]{Allen}. Sebbene questo possa essere vero nel
+caso di una tecnologia di registro distribuito, dove la tracciabilità
+delle transazioni è necessaria per prevenire la doppia spesa~\citet{Narayanan},
+non lo è nel caso proposto in questo documento, dove si ha un protocollo
+di firma cieca di tipo Chaum e la partecipazione di una banca centrale.
+La nostra CBDC, basata su firme cieche e un'architettura a due livelli,
+garantisce una tutela della privacy nelle transazioni perfetta e
+quanto-resistente, fornendo al contempo protezioni sociali che sono di
+fatto più potenti rispetto a quelle delle banconote per la lotta al
+riciclaggio di denaro (\textit{Anti-Money Laundering} - AML) e al
finanziamento del terrorismo (\textit{Counter Terrorism Financing} - CFT).
-La privacy nelle transazioni è importante per tre motivi. In primo luogo,
-protegge gli utenti dal potenziale abuso di monitoraggio e sorveglianza
-da parte dei governi. Anche se si pensa di non avere nulla da nascondere,
-i piani di sorveglianza di massa restano problematici, se non altro per
-il rischio di errori e abusi, soprattutto se condotti senza trasparenza
-e responsabilità~\cite[vedi][]{Solove}. In secondo luogo, la privacy nelle
-transazioni protegge gli utenti dallo sfruttamento dei dati da parte dei
-fornitori di servizi di pagamento. Infine, salvaguarda gli utenti dalla
-controparte nelle transazioni in quanto esclude possibili comportamenti
-opportunistici successivi o rischi per la sicurezza dovuti a negligenza
+La privacy nelle transazioni è importante per tre motivi. In primo luogo,
+protegge gli utenti dal potenziale abuso di monitoraggio e sorveglianza
+da parte dei governi. Anche se si pensa di non avere nulla da nascondere,
+i piani di sorveglianza di massa restano problematici, se non altro per
+il rischio di errori e abusi, soprattutto se condotti senza trasparenza
+e responsabilità~\cite[vedi][]{Solove}. In secondo luogo, la privacy nelle
+transazioni protegge gli utenti dallo sfruttamento dei dati da parte dei
+fornitori di servizi di pagamento. Infine, salvaguarda gli utenti dalla
+controparte nelle transazioni in quanto esclude possibili comportamenti
+opportunistici successivi o rischi per la sicurezza dovuti a negligenza
o mancata protezione dei dati dei clienti~\cite[vedi][]{Kahn2005}.
-Questo documento è strutturato come segue: nella Sezione II si spiega
-la differenza tra la moneta di banca centrale e altri tipi di moneta.
-Nella Sezione III si esaminano i modelli di CBDC tipici e generici prima
-di proporre il nostro progetto nella Sezione IV. Si considerano poi
-gli aspetti normativi e le politiche (V) e il relativo lavoro (VI).
+Questo documento è strutturato come segue: nella Sezione II si spiega
+la differenza tra la moneta di banca centrale e altri tipi di moneta.
+Nella Sezione III si esaminano i modelli di CBDC tipici e generici prima
+di proporre il nostro progetto nella Sezione IV. Si considerano poi
+gli aspetti normativi e le politiche (V) e il relativo lavoro (VI).
Infine, si conclude (VII).
\section{Cos'è la moneta di banca centrale?}
\label{2.-cos'è-la-moneta-di-banca-centrale}
-La moneta è un attivo che può essere utilizzato per acquistare beni e
-servizi. Per essere considerato moneta, l'attivo deve essere accettato
-da entità diverse dall'emittente. Ecco perché i voucher, ad esempio,
-non sono considerati moneta. La moneta autentica deve essere
-\emph{comunemente} accettata come mezzo di scambio. Sebbene la moneta
-abbia altre funzioni, ad esempio come unità di conto e riserva di valore,
-la sua caratteristica distintiva è la sua funzione di mezzo di scambio.
-Normalmente l'unità di conto (cioè come avvengono la fissazione dei
-prezzi e la contabilizzazione dei debiti) coincide per ragioni
-pratiche con il mezzo di scambio. Una separazione può tuttavia
-verificarsi se il valore del mezzo di scambio manca di stabilità
-rispetto ai beni e servizi scambiati.\footnote{Ciò può accadere
-spontaneamente in un ambito caratterizzato da un'inflazione elevata,
-ad esempio quando i prezzi sono quotati in USD ma i pagamenti vengono
-effettuati in valuta locale. Lo stesso vale per i pagamenti in Bitcoin,
-dove i prezzi sono solitamente fissati in USD o altre valute locali a
-causa dell'elevata volatilità del Bitcoin. Una separazione può anche
-essere progettata appositamente, come nel caso
-dell'\textit{Unidad de Fomento} (UF) in Cile o i Diritti Speciali di
-Prelievo (DSP) del Fondo Monetario Internazionale (FMI). Tuttavia,
-anche in questi casi lo scopo è quello di avere un'unità di conto più
-stabile.} La moneta deve anche essere una riserva di valore per fungere
-da mezzo di scambio perché deve preservare il suo potere d'acquisto tra
-il momento in cui si riceve e quello in cui si spende. In ogni modo,
-ci sono molti altri attivi che fungono da riserva di valore, come azioni,
-obbligazioni, metalli preziosi e immobili. Pertanto, la caratteristica
+La moneta è un attivo che può essere utilizzato per acquistare beni e
+servizi. Per essere considerato moneta, l'attivo deve essere accettato
+da entità diverse dall'emittente. Ecco perché i voucher, ad esempio,
+non sono considerati moneta. La moneta autentica deve essere
+\emph{comunemente} accettata come mezzo di scambio. Sebbene la moneta
+abbia altre funzioni, ad esempio come unità di conto e riserva di valore,
+la sua caratteristica distintiva è la sua funzione di mezzo di scambio.
+Normalmente l'unità di conto (cioè come avvengono la fissazione dei
+prezzi e la contabilizzazione dei debiti) coincide per ragioni
+pratiche con il mezzo di scambio. Una separazione può tuttavia
+verificarsi se il valore del mezzo di scambio manca di stabilità
+rispetto ai beni e servizi scambiati.\footnote{Ciò può accadere
+spontaneamente in un ambito caratterizzato da un'inflazione elevata,
+ad esempio quando i prezzi sono quotati in USD ma i pagamenti vengono
+effettuati in valuta locale. Lo stesso vale per i pagamenti in Bitcoin,
+dove i prezzi sono solitamente fissati in USD o altre valute locali a
+causa dell'elevata volatilità del Bitcoin. Una separazione può anche
+essere progettata appositamente, come nel caso
+dell'\textit{Unidad de Fomento} (UF) in Cile o i Diritti Speciali di
+Prelievo (DSP) del Fondo Monetario Internazionale (FMI). Tuttavia,
+anche in questi casi lo scopo è quello di avere un'unità di conto più
+stabile.} La moneta deve anche essere una riserva di valore per fungere
+da mezzo di scambio perché deve preservare il suo potere d'acquisto tra
+il momento in cui si riceve e quello in cui si spende. In ogni modo,
+ci sono molti altri attivi che fungono da riserva di valore, come azioni,
+obbligazioni, metalli preziosi e immobili. Pertanto, la caratteristica
di riserva di valore non è distintiva della moneta.
-In un'economia moderna, il pubblico utilizza due tipi diversi di
-moneta: (a) moneta statale e (b) moneta privata. La moneta statale viene
-generalmente emessa dalla banca centrale, che agisce in qualità di
-agente dello Stato. La moneta della banca centrale è disponibile per
-alcune istituzioni finanziarie sotto forma di depositi presso la banca
-centrale (riserve) e per il pubblico sotto forma di valuta (banconote e
-monete), nota anche come «contante». In una economia moderna con valuta
-fiat, tale moneta non ha un valore intrinseco. Legalmente è una passività
-della banca centrale, sebbene non sia rimborsabile. Nella maggior parte
-dei paesi, la moneta della banca centrale è definita come avente corso
-legale, il che significa che deve essere accettata per il pagamento dei
-debiti monetari, comprese le tasse e le sanzioni legali. Sebbene ciò
-garantisca un certo valore alla moneta della banca centrale, lo status
-di corso legale non è sufficiente per mantenere un valore stabile. È la
-politica monetaria della banca centrale che mantiene il valore della
-moneta. Mantenere la stabilità dei prezzi, vale a dire un valore stabile
-della moneta rispetto a quello dei beni e dei servizi scambiati, è
+In un'economia moderna, il pubblico utilizza due tipi diversi di
+moneta: (a) moneta statale e (b) moneta privata. La moneta statale viene
+generalmente emessa dalla banca centrale, che agisce in qualità di
+agente dello Stato. La moneta della banca centrale è disponibile per
+alcune istituzioni finanziarie sotto forma di depositi presso la banca
+centrale (riserve) e per il pubblico sotto forma di valuta (banconote e
+monete), nota anche come «contante». In una economia moderna con valuta
+fiat, tale moneta non ha un valore intrinseco. Legalmente è una passività
+della banca centrale, sebbene non sia rimborsabile. Nella maggior parte
+dei paesi, la moneta della banca centrale è definita come avente corso
+legale, il che significa che deve essere accettata per il pagamento dei
+debiti monetari, comprese le tasse e le sanzioni legali. Sebbene ciò
+garantisca un certo valore alla moneta della banca centrale, lo status
+di corso legale non è sufficiente per mantenere un valore stabile. È la
+politica monetaria della banca centrale che mantiene il valore della
+moneta. Mantenere la stabilità dei prezzi, vale a dire un valore stabile
+della moneta rispetto a quello dei beni e dei servizi scambiati, è
infatti una delle principali responsabilità delle banche centrali.
-La maggior parte dei pagamenti in un'economia moderna vengono effettuati
-con moneta privata emessa dalle banche commerciali ed è costituita da
-depositi bancari a vista che le persone detengono presso queste banche.
-Sono depositi che si posssono utilizzare mediante assegni, carte di
-debito, carte di credito e altri mezzi di trasferimento di denaro e
-costituiscono una passività della banca commerciale di riferimento. Una
-caratteristica fondamentale di questi depositi è che le banche commerciali
-garantiscono la convertibilità su richiesta in moneta della banca centrale
-ad un prezzo fisso, vale a dire, alla pari. I depositanti possono prelevare
-i propri fondi in contante o trasferirli ad un valore fisso di 1:1. Le
-banche commerciali mantengono stabile il valore della propria moneta
+La maggior parte dei pagamenti in un'economia moderna vengono effettuati
+con moneta privata emessa dalle banche commerciali ed è costituita da
+depositi bancari a vista che le persone detengono presso queste banche.
+Sono depositi che si posssono utilizzare mediante assegni, carte di
+debito, carte di credito e altri mezzi di trasferimento di denaro e
+costituiscono una passività della banca commerciale di riferimento. Una
+caratteristica fondamentale di questi depositi è che le banche commerciali
+garantiscono la convertibilità su richiesta in moneta della banca centrale
+ad un prezzo fisso, vale a dire, alla pari. I depositanti possono prelevare
+i propri fondi in contante o trasferirli ad un valore fisso di 1:1. Le
+banche commerciali mantengono stabile il valore della propria moneta
ancorandola a quella della banca centrale.
-Tuttavia, in un sistema di riserva frazionaria, una banca commerciale,
-anche se solvibile, potrebbe non avere liquidità a sufficienza per
-onorare la sua promessa di convertire i depositi bancari in moneta
-della banca centrale (ad esempio, nel caso di una corsa agli sportelli)
-in modo tale che i clienti non possano prelevare i propri soldi. Una
-banca può anche diventare insolvente e fallire, e di conseguenza i
-clienti possono perdere denaro. Per questo motivo le banche commerciali
+Tuttavia, in un sistema di riserva frazionaria, una banca commerciale,
+anche se solvibile, potrebbe non avere liquidità a sufficienza per
+onorare la sua promessa di convertire i depositi bancari in moneta
+della banca centrale (ad esempio, nel caso di una corsa agli sportelli)
+in modo tale che i clienti non possano prelevare i propri soldi. Una
+banca può anche diventare insolvente e fallire, e di conseguenza i
+clienti possono perdere denaro. Per questo motivo le banche commerciali
sono soggette a regolamentazioni volte a mitigare tali rischi.
-Una differenza notevole tra la moneta di una banca centrale e la
-moneta privata emessa da una banca commerciale è, pertanto, che
-quest'ultima comporta un rischio di controparte. Una banca centrale
-può sempre adempiere ai suoi obblighi utilizzando la propria moneta
-non rimborsabile. In un'economia nazionale, la moneta della banca
-centrale è l'unico attivo monetario esento da rischi di credito e di
-liquidità. È pertanto l'attivo tipicamente preferito per regolare i
-pagamenti nelle infrastrutture dei mercati finanziari (si veda, per
-esempio, \textit{CPMI-IOSCO Principles for Financial Market
-Infrastructures}, 2012). Un'altra differenza risiede nella capacità
-della moneta della banca centrale di sostenere il sistema monetario
-nazionale fornendo un valore di riferimento con cui la moneta delle
+Una differenza notevole tra la moneta di una banca centrale e la
+moneta privata emessa da una banca commerciale è, pertanto, che
+quest'ultima comporta un rischio di controparte. Una banca centrale
+può sempre adempiere ai suoi obblighi utilizzando la propria moneta
+non rimborsabile. In un'economia nazionale, la moneta della banca
+centrale è l'unico attivo monetario esento da rischi di credito e di
+liquidità. È pertanto l'attivo tipicamente preferito per regolare i
+pagamenti nelle infrastrutture dei mercati finanziari (si veda, per
+esempio, \textit{CPMI-IOSCO Principles for Financial Market
+Infrastructures}, 2012). Un'altra differenza risiede nella capacità
+della moneta della banca centrale di sostenere il sistema monetario
+nazionale fornendo un valore di riferimento con cui la moneta delle
banche commerciali mantiene la piena convertibilità.
-A parte le banche commerciali, altre entità private tentano
-occasionalmente di emettere moneta; le criptovalute sono solo il
-tentativo più recente. Ma a differenza dei depositi bancari, tale
-moneta non è comunemente accettata come mezzo di scambio. Questo vale
-anche per Bitcoin, la criptovaluta più ampiamente accettata. Un
-ostacolo all'utilità delle criptovalute come mezzo di scambio è l'elevata
-volatilità del loro valore. In risposta a questo problema sono emerse
-le criptovalute stabili, cosiddette «stablecoins». Le
-\textit{stablecoin} generalmente tentano di stabilizzare il proprio
-valore in due modi: imitando le banche centrali (\textit{stablecoin}
-algoritmiche) o imitando le banche commerciali e strumenti di
-investimento (\textit{stablecoin} ancorate ad attivi).\footnote{Per una
+A parte le banche commerciali, altre entità private tentano
+occasionalmente di emettere moneta; le criptovalute sono solo il
+tentativo più recente. Ma a differenza dei depositi bancari, tale
+moneta non è comunemente accettata come mezzo di scambio. Questo vale
+anche per Bitcoin, la criptovaluta più ampiamente accettata. Un
+ostacolo all'utilità delle criptovalute come mezzo di scambio è l'elevata
+volatilità del loro valore. In risposta a questo problema sono emerse
+le criptovalute stabili, cosiddette «stablecoins». Le
+\textit{stablecoin} generalmente tentano di stabilizzare il proprio
+valore in due modi: imitando le banche centrali (\textit{stablecoin}
+algoritmiche) o imitando le banche commerciali e strumenti di
+investimento (\textit{stablecoin} ancorate ad attivi).\footnote{Per una
tassonomia delle \textit{stablecoin}, si veda~\cite{Bullmann}.}
-Le «\textit{stablecoin} algoritmiche» si basano su algoritmi per regolare
-l'offerta della moneta. In altre parole, cercano di stabilizzarne il
-prezzo attraverso una «politica monetaria algoritmica». Esistono
-esempi di tali \textit{stablecoin} (per es. Nubits), ma finora nessuna è
+Le «\textit{stablecoin} algoritmiche» si basano su algoritmi per regolare
+l'offerta della moneta. In altre parole, cercano di stabilizzarne il
+prezzo attraverso una «politica monetaria algoritmica». Esistono
+esempi di tali \textit{stablecoin} (per es. Nubits), ma finora nessuna è
riuscita a stabilizzare il proprio valore per molto tempo.
-Le \textit{stablecoin} «ancorate ad attivi» differiscono in base al tipo
-di attivo che utilizzano e ai diritti concessi ai possessori. I tipi di
-attivi generalmente utilizzati sono: valuta (riserve di banche centrali,
-banconote o depositi presso banche commerciali), materie prime (come
-l'oro), titoli e talvolta altre criptovalute. La capacità di un tale
-schema di stabilizzare il valore della moneta rispetto agli attivi
-sottostanti dipende in modo cruciale dai diritti legali acquisiti dai
-detentori della moneta. Se una \textit{stablecoin} è riscattabile ad un
-prezzo fisso (ad esempio, 1 moneta = 1 USD o 1 moneta = 1 oncia d'oro),
-la stabilità si può teoricamente ottenere.\footnote{Se possa stabilizzare
-il valore della \textit{stablecoin} anche rispetto ai beni e servizi
-scambiati dipende essenzialmente da quanto sia stabile il valore degli
-attivi su cui poggia rispetto al valore dei beni e servizi.} Tale strategia
-riproduce essenzialmente quella delle banche commerciali garantendo la
-convertibilità nell'attivo sottostante su richiesta. Tuttavia, a differenza
-dei depositi bancari, che in genere sono coperti solo parzialmente dalle
-riserve della banca centrale, le \textit{stablecoin} sono spesso
-completamente garantite dalle riserve di attivi sottostanti al fine di
-evitare il rischio di liquidità, principalmente perché non dispongono di
-tutele pubbliche tali come l'assicurazione dei depositi e il prestatore
+Le \textit{stablecoin} «ancorate ad attivi» differiscono in base al tipo
+di attivo che utilizzano e ai diritti concessi ai possessori. I tipi di
+attivi generalmente utilizzati sono: valuta (riserve di banche centrali,
+banconote o depositi presso banche commerciali), materie prime (come
+l'oro), titoli e talvolta altre criptovalute. La capacità di un tale
+schema di stabilizzare il valore della moneta rispetto agli attivi
+sottostanti dipende in modo cruciale dai diritti legali acquisiti dai
+detentori della moneta. Se una \textit{stablecoin} è riscattabile ad un
+prezzo fisso (ad esempio, 1 moneta = 1 USD o 1 moneta = 1 oncia d'oro),
+la stabilità si può teoricamente ottenere.\footnote{Se possa stabilizzare
+il valore della \textit{stablecoin} anche rispetto ai beni e servizi
+scambiati dipende essenzialmente da quanto sia stabile il valore degli
+attivi su cui poggia rispetto al valore dei beni e servizi.} Tale strategia
+riproduce essenzialmente quella delle banche commerciali garantendo la
+convertibilità nell'attivo sottostante su richiesta. Tuttavia, a differenza
+dei depositi bancari, che in genere sono coperti solo parzialmente dalle
+riserve della banca centrale, le \textit{stablecoin} sono spesso
+completamente garantite dalle riserve di attivi sottostanti al fine di
+evitare il rischio di liquidità, principalmente perché non dispongono di
+tutele pubbliche tali come l'assicurazione dei depositi e il prestatore
di ultima istanza che offrono invece le banche regolamentate.
-Le \textit{stablecoin} che utilizzano le valute come attivi sono anche
-dette «stablecoin a valuta fiat». Detenere il 100\% delle
-garanzie sotto forma di valuta (banconote o depositi bancari) non risulta però
-molto redditizio. Di conseguenza, i fornitori di \textit{stablecoin} hanno
-un buon motivo per rispiarmiare sugli attivi passando ad un sistema di
-riserva frazionaria, proprio come hanno fatto le banche
-commerciali.\footnote{L'incertezza sulla garanzia delle
-\textit{stablecoin} può essere uno dei motivi per cui vengono scambiate
-al di sotto del loro valore nel mercato parallelo~\cite[vedi][]{Lyons}.
-Casi simili si sono storicamente verificati anche con le banconote, quando
-erano ancora emesse dalle banche commerciali. Le banconote venivano
-scambiate a prezzi scontati nel mercato parallelo prima che l'emissione
-fosse nazionalizzata e trasferita alle banche centrali come monopolio.}
-Ciò comporta la riduzione degli attivi meno redditizi al minimo ritenuto
-necessario per soddisfare il requisito di convertibilità e l'aumento
-degli attivi liquidi a rendimento più elevato come i titoli di stato.
-Questo migliora la redditività ma aumenta nel contempo il livello
-di rischio. Tuttavia, anche se una \textit{stablecoin} fosse garantita
-interamente da depositi presso le banche commerciali, rimarrebbe comunque
-vulnerabile ai rischi di insolvenza del credito e di liquidità della
-relativa banca. Tale rischio può essere evitato effettuando i depositi
-presso la banca centrale in modo che siano le riserve di quest'ultima a
-garantire la \textit{stablecoin}. Tali \textit{stablecoin} sono state
-chiamate «CBDC sintetiche»~\cite[][]{Adrian}. È importante sottolineare che
-queste \textit{stablecoin} non sono moneta di banca centrale e quindi
-non costituiscono una CBDC in quanto non sono registrate come passività
-della banca centrale e, pertanto, rimangono soggette al rischio di
+Le \textit{stablecoin} che utilizzano le valute come attivi sono anche
+dette «stablecoin a valuta fiat». Detenere il 100\% delle
+garanzie sotto forma di valuta (banconote o depositi bancari) non risulta però
+molto redditizio. Di conseguenza, i fornitori di \textit{stablecoin} hanno
+un buon motivo per rispiarmiare sugli attivi passando ad un sistema di
+riserva frazionaria, proprio come hanno fatto le banche
+commerciali.\footnote{L'incertezza sulla garanzia delle
+\textit{stablecoin} può essere uno dei motivi per cui vengono scambiate
+al di sotto del loro valore nel mercato parallelo~\cite[vedi][]{Lyons}.
+Casi simili si sono storicamente verificati anche con le banconote, quando
+erano ancora emesse dalle banche commerciali. Le banconote venivano
+scambiate a prezzi scontati nel mercato parallelo prima che l'emissione
+fosse nazionalizzata e trasferita alle banche centrali come monopolio.}
+Ciò comporta la riduzione degli attivi meno redditizi al minimo ritenuto
+necessario per soddisfare il requisito di convertibilità e l'aumento
+degli attivi liquidi a rendimento più elevato come i titoli di stato.
+Questo migliora la redditività ma aumenta nel contempo il livello
+di rischio. Tuttavia, anche se una \textit{stablecoin} fosse garantita
+interamente da depositi presso le banche commerciali, rimarrebbe comunque
+vulnerabile ai rischi di insolvenza del credito e di liquidità della
+relativa banca. Tale rischio può essere evitato effettuando i depositi
+presso la banca centrale in modo che siano le riserve di quest'ultima a
+garantire la \textit{stablecoin}. Tali \textit{stablecoin} sono state
+chiamate «CBDC sintetiche»~\cite[][]{Adrian}. È importante sottolineare che
+queste \textit{stablecoin} non sono moneta di banca centrale e quindi
+non costituiscono una CBDC in quanto non sono registrate come passività
+della banca centrale e, pertanto, rimangono soggette al rischio di
controparte, ovvero al rischio di fallimento dell'emittente.
-% Not sure the reference to Adrian above is fixed correctly.
-
-Se una \textit{stablecoin} non è rimborsabile ad un prezzo fisso, la sua
-stabilità rispetto all'attivo sottostante non è garantita. Se la
-\textit{stablecoin} rappresenta comunque una quota di proprietà
-dell'attivo sottostante, lo schema ricorda quello di un fondo comune di
+Se una \textit{stablecoin} non è rimborsabile ad un prezzo fisso, la sua
+stabilità rispetto all'attivo sottostante non è garantita. Se la
+\textit{stablecoin} rappresenta comunque una quota di proprietà
+dell'attivo sottostante, lo schema ricorda quello di un fondo comune di
investimento chiuso o di un fondo indicizzato quotato (\textit{Exchange-
-Traded Fund} - ETF) e si applicano i relativi rischi. Il valore
-della moneta dipenderà dal valore patrimoniale netto del fondo, ma il
-suo valore effettivo può variare. Se ci sono partecipanti autorizzati
-a creare e riscattare \textit{stablecoin} e quindi ad agire come
-arbitraggisti, come nel caso degli ETF e come previsto per la
+Traded Fund} - ETF) e si applicano i relativi rischi. Il valore
+della moneta dipenderà dal valore patrimoniale netto del fondo, ma il
+suo valore effettivo può variare. Se ci sono partecipanti autorizzati
+a creare e riscattare \textit{stablecoin} e quindi ad agire come
+arbitraggisti, come nel caso degli ETF e come previsto per la
Diem~\cite[][]{Libra}, la deviazione si presume minima.
-% Not sure the reference to Libra above is fixed correctly.
-
-Nel complesso, le \textit{stablecoin} hanno maggiori possibilità di
-diventare moneta rispetto alle criptovalute, soprattutto se
-adeguatamente regolamentate, anche se la disponibilità di CBDC
+Nel complesso, le \textit{stablecoin} hanno maggiori possibilità di
+diventare moneta rispetto alle criptovalute, soprattutto se
+adeguatamente regolamentate, anche se la disponibilità di CBDC
limiterebbe notevolmente la loro utilità.
\section{Modelli generici di CBDC} \label{3.-modelli-generici-di-cbdc}
-Come abbiamo visto, la CBDC sarebbe una passività della banca
-centrale. Due modelli possibili che si trovano nella letteratura
-sull'argomento sono (a) CBDC basata su conti e (b) CBDC basata su
-token (o sul valore). Questi modelli corrispondono ai due tipi
-esistenti di moneta delle banche centrali e ai relativi sistemi di
-pagamento (Kahn e Roberds 2008): riserve delle banche centrali
-(sistema basato su conti) e banconote (sistema basato su token). Un
-pagamento si verifica quando un'attivo monetario viene trasferito da un
-pagatore a un beneficiario. In un sistema basato su conti, il
-trasferimento avviene addebitando sul conto del pagatore e
-accreditando sul conto del beneficiario. In un sistema basato su
-token, il trasferimento avviene trasferendo il valore stesso o il
-token, ovvero un oggetto che rappresenta l'attivo monetario. Il miglior
-esempio di token è il contante (monete o banconote). Pagare in contanti
-equivale a consegnare una moneta o una banconota. Non è necessario
-registrare il trasferimento, il semplice possesso del token è
-sufficiente. Pertanto, le parti non sono tenute a rivelare la propria
-identità in nessun momento durante la transazione, entrambe possono
-rimanere anonime. Ciononostante, il beneficiario deve essere in grado di
-verificare l'autenticità del token. Questo è il motivo per cui le
-banche centrali investono notevoli risorse nelle caratteristiche di
+Come abbiamo visto, la CBDC sarebbe una passività della banca
+centrale. Due modelli possibili che si trovano nella letteratura
+sull'argomento sono (a) CBDC basata su conti e (b) CBDC basata su
+token (o sul valore). Questi modelli corrispondono ai due tipi
+esistenti di moneta delle banche centrali e ai relativi sistemi di
+pagamento (Kahn e Roberds 2008): riserve delle banche centrali
+(sistema basato su conti) e banconote (sistema basato su token). Un
+pagamento si verifica quando un'attivo monetario viene trasferito da un
+pagatore a un beneficiario. In un sistema basato su conti, il
+trasferimento avviene addebitando sul conto del pagatore e
+accreditando sul conto del beneficiario. In un sistema basato su
+token, il trasferimento avviene trasferendo il valore stesso o il
+token, ovvero un oggetto che rappresenta l'attivo monetario. Il miglior
+esempio di token è il contante (monete o banconote). Pagare in contanti
+equivale a consegnare una moneta o una banconota. Non è necessario
+registrare il trasferimento, il semplice possesso del token è
+sufficiente. Pertanto, le parti non sono tenute a rivelare la propria
+identità in nessun momento durante la transazione, entrambe possono
+rimanere anonime. Ciononostante, il beneficiario deve essere in grado di
+verificare l'autenticità del token. Questo è il motivo per cui le
+banche centrali investono notevoli risorse nelle caratteristiche di
sicurezza delle banconote.
-È stato suggerito che la distinzione tra sistemi basati su conti e
-quelli basati su token non sia applicabile alle monete digitali~\cite[][]{Garratt}.
-Noi al contrario riteniamo che ci sia una differenza significativa. La
-differenza essenziale risiede nelle informazioni contenute nell'attivo.
-In un sistema basato su conti, gli attivi (i conti) sono riconducìbili
-ad una cronologia delle transazioni che include tutte le operazioni di
-credito e addebito dei conti. In un sistema basato su token, gli attivi
-(i token) contengono solo informazioni sul valore del token e
-sull'entità che lo ha emesso. I sistemi basati su token sono quindi
-l'unica possibilità per ottenere la stessa privacy nelle transazioni che
-offre il contante.\footnote{Sebbene il termine «Bitcoin» suggerisca
-l'uso di token, Bitcoin è un sistema basato su conti. L'unica differenza
-tra un sistema tradizionale basato su conti e una \textit{blockchain} è
-che i conti non sono conservati in un database centrale ma in un
+È stato suggerito che la distinzione tra sistemi basati su conti e
+quelli basati su token non sia applicabile alle monete digitali~\cite[][]{Garratt}.
+Noi al contrario riteniamo che ci sia una differenza significativa. La
+differenza essenziale risiede nelle informazioni contenute nell'attivo.
+In un sistema basato su conti, gli attivi (i conti) sono riconducìbili
+ad una cronologia delle transazioni che include tutte le operazioni di
+credito e addebito dei conti. In un sistema basato su token, gli attivi
+(i token) contengono solo informazioni sul valore del token e
+sull'entità che lo ha emesso. I sistemi basati su token sono quindi
+l'unica possibilità per ottenere la stessa privacy nelle transazioni che
+offre il contante.\footnote{Sebbene il termine «Bitcoin» suggerisca
+l'uso di token, Bitcoin è un sistema basato su conti. L'unica differenza
+tra un sistema tradizionale basato su conti e una \textit{blockchain} è
+che i conti non sono conservati in un database centrale ma in un
database decentralizzato di solo accodamento.}
-% Not sure the reference to Garratt above is fixed correctly.
-
\subsection{CBDC basata su conti}\label{cbdc-basata-su-conti}
-Il modo più semplice per avviare una CBDC sarebbe consentire al
-pubblico di detenere conti deposito presso la banca centrale. Ciò
-comporta che la banca centrale si facesse responsabile dei controlli per
-conoscere i propri clienti (\textit{Know-Your-Customer} - KYC) e di
-garantire la conformità con i requisiti per la lotta al riciclaggio di
-denaro e al finanziamento del terrorismo. Ciò includerebbe non solo la
-gestione del processo iniziale di conoscenza del cliente, ma anche
-l'autenticazione dei clienti per le transazioni bancarie, la gestione
-delle frodi e delle autenticazioni false positive e false negative.
-Data la scarsa presenza fisica delle banche centrali nella società e il
-fatto che probabilmente oggi non sono disposte ad eseguire l'autenticazione
-dei cittadini su larga scala, qualsiasi CBDC basata su conti richiederebbe
-alla banca centrale di delegare questi compiti. Tutti i servizi di
-assistenza e manutenzione di tali conti potrebbero essere affidati ad
-operatori esterni~\cite[][]{Bindseil}, oppure le banche commerciali potrebbero
+Il modo più semplice per avviare una CBDC sarebbe consentire al
+pubblico di detenere conti deposito presso la banca centrale. Ciò
+comporta che la banca centrale si facesse responsabile dei controlli per
+conoscere i propri clienti (\textit{Know-Your-Customer} - KYC) e di
+garantire la conformità con i requisiti per la lotta al riciclaggio di
+denaro e al finanziamento del terrorismo. Ciò includerebbe non solo la
+gestione del processo iniziale di conoscenza del cliente, ma anche
+l'autenticazione dei clienti per le transazioni bancarie, la gestione
+delle frodi e delle autenticazioni false positive e false negative.
+Data la scarsa presenza fisica delle banche centrali nella società e il
+fatto che probabilmente oggi non sono disposte ad eseguire l'autenticazione
+dei cittadini su larga scala, qualsiasi CBDC basata su conti richiederebbe
+alla banca centrale di delegare questi compiti. Tutti i servizi di
+assistenza e manutenzione di tali conti potrebbero essere affidati ad
+operatori esterni~\cite[][]{Bindseil}, oppure le banche commerciali potrebbero
essere obbligate per legge ad aprire conti presso la banca centrale per i
propri clienti~\cite{Berentsen}.
-% Not sure the references to Bindseil, and Berentsen, above are fixed correctly.
-
-Una CBDC basata su conti darebbe potenzialmente alla banca centrale
-l'accesso a molti dati aggiuntivi. Uno dei motivi di preoccupazione è
-che i governi potrebbero facilmente mettere in atto una sorveglianza
-di massa e imporre sanzioni ai singoli titolari dei conti. La natura
-centralizzata di tali interventi li rende poco costosi e facili da
-applicare nei confronti di persone o gruppi. Ci sono molti esempi di
-sorveglianza abusiva contro critici e oppositori politici, anche nelle
-democrazie. Si potrebbe argomentare che le banche centrali indipendenti
-siano in grado di salvaguardare tali informazioni dall'intrusione del
-governo e dagli abusi politici, ma ciò aprirebbe comunque una nuova
-strada alle pressioni politiche che minacciano l'indipendenza delle
-banche centrali. Inoltre, un database centrale sarebbe un obiettivo
-cospicuo per gli attacchi: anche l'accesso in sola lettura ad una parte
-del database potrebbe creare rischi significativi per le persone i cui
+Una CBDC basata su conti darebbe potenzialmente alla banca centrale
+l'accesso a molti dati aggiuntivi. Uno dei motivi di preoccupazione è
+che i governi potrebbero facilmente mettere in atto una sorveglianza
+di massa e imporre sanzioni ai singoli titolari dei conti. La natura
+centralizzata di tali interventi li rende poco costosi e facili da
+applicare nei confronti di persone o gruppi. Ci sono molti esempi di
+sorveglianza abusiva contro critici e oppositori politici, anche nelle
+democrazie. Si potrebbe argomentare che le banche centrali indipendenti
+siano in grado di salvaguardare tali informazioni dall'intrusione del
+governo e dagli abusi politici, ma ciò aprirebbe comunque una nuova
+strada alle pressioni politiche che minacciano l'indipendenza delle
+banche centrali. Inoltre, un database centrale sarebbe un obiettivo
+cospicuo per gli attacchi: anche l'accesso in sola lettura ad una parte
+del database potrebbe creare rischi significativi per le persone i cui
dati sarebbero esposti.
-Se dovessero forniri conti bancari per il pubblico, le banche centrali
-entrerebbero in diretta concorrenza con le banche commerciali, competizione
-che comporterebbe due rischi. In primo luogo, potrebbe minacciare la base
-dei depositi delle banche e, all'estremo, portare alla disintermediazione
-bancaria. Ciò potrebbe influire negativamente sulla disponibilità di
-credito per il settore privato e, di conseguenza, sull'attività
-economica~\cite[][]{Agur}. La disintermediazione delle banche potrebbe anche
-condurre alla centralizzazione dell'allocazione del credito all'interno
-della banca centrale, con ripercussioni negative sulla produttività e
-sulla crescita economica. In secondo luogo, la possibilità per le persone
-di trasferire i propri depositi nel porto sicuro di una banca centrale
+Se dovessero forniri conti bancari per il pubblico, le banche centrali
+entrerebbero in diretta concorrenza con le banche commerciali, competizione
+che comporterebbe due rischi. In primo luogo, potrebbe minacciare la base
+dei depositi delle banche e, all'estremo, portare alla disintermediazione
+bancaria. Ciò potrebbe influire negativamente sulla disponibilità di
+credito per il settore privato e, di conseguenza, sull'attività
+economica~\cite[][]{Agur}. La disintermediazione delle banche potrebbe anche
+condurre alla centralizzazione dell'allocazione del credito all'interno
+della banca centrale, con ripercussioni negative sulla produttività e
+sulla crescita economica. In secondo luogo, la possibilità per le persone
+di trasferire i propri depositi nel porto sicuro di una banca centrale
potrebbe accelerare le corse agli sportelli nei periodi di crisi economica.
-% Not sure the reference to Agur above is fixed correctly.
-
-Vi sono però argomentazioni contrarie. \cite{Brunnermeier}
-sostengono che i trasferimenti di fondi dai depositi ai conti
-CBDC porterebbero alla sostituzione automatica del finanziamento
-mediante depositi con il finanziamento tramite la banca centrale, il
-che andrebbe ad esplicitare la garanzia finora implicita di prestatore
-di ultima istanza delle banche centrali. \cite{Berentsen}
-sostengono che la concorrenza delle banche centrali potrebbe persino
-avere un effetto disciplinare sulle banche commerciali e quindi
-aumentare la stabilità del sistema finanziario, dato che queste ultime
-sarebbero costrette a consolidare la sicurezza dei propri modelli
+Vi sono però argomentazioni contrarie. \cite{Brunnermeier}
+sostengono che i trasferimenti di fondi dai depositi ai conti
+CBDC porterebbero alla sostituzione automatica del finanziamento
+mediante depositi con il finanziamento tramite la banca centrale, il
+che andrebbe ad esplicitare la garanzia finora implicita di prestatore
+di ultima istanza delle banche centrali. \cite{Berentsen}
+sostengono che la concorrenza delle banche centrali potrebbe persino
+avere un effetto disciplinare sulle banche commerciali e quindi
+aumentare la stabilità del sistema finanziario, dato che queste ultime
+sarebbero costrette a consolidare la sicurezza dei propri modelli
economici per eviatare corse agli sportelli.
-Esistono anche proposte per ridurre il rischio di disintermediazione
-restringendo o scoraggiando l'uso della CBDC come riserva di valore. Una
-delle proposte è di limitare la quantità di CBDC che si può possedere.
-Una seconda proposta consiste nell'applicare un tasso di interesse
-variabile ai conti in CBDC, in modo che il rendimento sia sempre
-sufficientemente inferiore a quello dei conti nelle banche commerciali,
-arrivando eventualmente fino a tassi negativi, in modo da rendere la CBDC
-meno attraente come riserva di valore~\cite{Kumhof,Bindseil}. Oltre a ciò,
-per evitare le corse agli sportelli \cite[][]{Kumhof} suggeriscono che la
-CBDC non dovrebbe essere emessa a fronte di depositi bancari ma solo a
-fronte di obbligazioni come i titoli di stato. Nel complesso, una CBDC
-basata su conti richiederebbe un'analisi più approfondita di queste
+% References to Kumhof, Bindseil below should render like this:
+% valore (Kumhof & Noone, 2018 e Bindseil, 2020).
+\bibpunct{(}{)}{ e }{a}{}{,}
+
+Esistono anche proposte per ridurre il rischio di disintermediazione
+restringendo o scoraggiando l'uso della CBDC come riserva di valore. Una
+delle proposte è di limitare la quantità di CBDC che si può possedere.
+Una seconda proposta consiste nell'applicare un tasso di interesse
+variabile ai conti in CBDC, in modo che il rendimento sia sempre
+sufficientemente inferiore a quello dei conti nelle banche commerciali,
+arrivando eventualmente fino a tassi negativi, in modo da rendere la CBDC
+meno attraente come riserva di valore~\cite[][]{Kumhof,Bindseil}. Oltre a ciò,
+per evitare le corse agli sportelli \cite[][]{Kumhof} suggeriscono che la
+CBDC non dovrebbe essere emessa a fronte di depositi bancari ma solo a
+fronte di obbligazioni come i titoli di stato. Nel complesso, una CBDC
+basata su conti richiederebbe un'analisi più approfondita di queste
problematiche.
-% References to Kumhof, Bindseil above should render like this:
-% valore (Kumhof & Noone, 2018 e Bindseil, 2020).
+% Back to default style.
+\bibpunct{(}{)}{ e }{,}{}{,}
-% Not sure the reference to Kumhof above is fixed correctly.
\subsection{CBDC Basata su token e legata al hardware}
\label{cbdc-basata-su-token-e-legata-al-hardware}
-In alternativa ai conti deposito, una banca centrale potrebbe emettere
-token elettronici. Tecnicamente ciò richiede un sistema per garantire che
-i token elettronici non possano essere copiati facilmente. Le funzioni
-fisicamente non clonabili~\cite[vedi][]{Katzenbeisser} e le aree
-sicure nell'hardware~\cite[vedi][]{Alves,Pinto} sono due tecnologie
-possibili per la prevenzione della copia digitale. Le funzioni
-fisicamente non clonabili, tuttavia, non possono essere scambiate su
-Internet (eliminando di fatto l'uso principale delle CBDC) e le precedenti
-funzionalità di sicurezza nell'hardware per la prevenzione della copia
+In alternativa ai conti deposito, una banca centrale potrebbe emettere
+token elettronici. Tecnicamente ciò richiede un sistema per garantire che
+i token elettronici non possano essere copiati facilmente. Le funzioni
+fisicamente non clonabili~\cite[vedi][]{Katzenbeisser} e le aree
+sicure nell'hardware~\cite[vedi][]{Alves,Pinto} sono due tecnologie
+possibili per la prevenzione della copia digitale. Le funzioni
+fisicamente non clonabili, tuttavia, non possono essere scambiate su
+Internet (eliminando di fatto l'uso principale delle CBDC) e le precedenti
+funzionalità di sicurezza nell'hardware per la prevenzione della copia
sono state ripetutamente compromesse~\cite[si veda, ad esempio,][]{Wojtczuk,Johnston,Lapid}.
-Un vantaggio fondamentale delle CBDC basate su token rispetto a quelle
-basate su conti è che i sistemi tokenizzati funzionerebbero offline,
-ovvero, gli utenti potrebbero scambiare token (\textit{peer-to-peer})
-senza coinvolgere la banca centrale, proteggendo così la privacy e la
-libertà delle persone. Tuttavia, la disintermediazione che si verifica
-quando gli utenti possono scambiare token elettronici senza
-intermediari bancari che eseguano i controlli per la conoscenza dei
-clienti e le procedure per la lotta al riciclaggio di denaro e al
-finanziamento del terrorismo renderebbe difficile la lotta alla
+Un vantaggio fondamentale delle CBDC basate su token rispetto a quelle
+basate su conti è che i sistemi tokenizzati funzionerebbero offline,
+ovvero, gli utenti potrebbero scambiare token (\textit{peer-to-peer})
+senza coinvolgere la banca centrale, proteggendo così la privacy e la
+libertà delle persone. Tuttavia, la disintermediazione che si verifica
+quando gli utenti possono scambiare token elettronici senza
+intermediari bancari che eseguano i controlli per la conoscenza dei
+clienti e le procedure per la lotta al riciclaggio di denaro e al
+finanziamento del terrorismo renderebbe difficile la lotta alla
criminalità.
-Le schede SIM sono oggi il mezzo più ampiamente disponibile per un
-sistema di pagamento sicuro basato su hardware, ma comportano anche
-dei rischi. L'esperienza~\cite[si veda, ad esempio,][]{Soukup,Garcia,Kasper,CCC}
-suggerisce che qualsiasi dispositivo economicamente riproducibile in grado
-di memorizzare token con valore monetario, che una persona possa possedere
-e che consenta transazioni offline --- e quindi il furto mediante
-clonazione delle informazioni in esso contenute --- sarà l'obiettivo di
-attacchi di contraffazione riusciti non appena il valore economico
-dell'attacco risulti sostanziale. Tali attacchi provengono anche da
-utenti che forzano il proprio hardware~\cite[vedi][]{Allen}. Per
-limitare l'impatto di una compromissione, i sistemi con carte di pagamento
-che sono stati precedentemente implementati dependono dalla resistenza
-alle manomissioni in combinazione con il rilevamento delle frodi.
-Tuttavia, il rilevamento delle frodi richiede la capacità di identificare
-i pagatori e tenere traccia dei clienti, il che non è compatibile con la
+Le schede SIM sono oggi il mezzo più ampiamente disponibile per un
+sistema di pagamento sicuro basato su hardware, ma comportano anche
+dei rischi. L'esperienza~\cite[si veda, ad esempio,][]{Soukup,Garcia,Kasper,CCC}
+suggerisce che qualsiasi dispositivo economicamente riproducibile in grado
+di memorizzare token con valore monetario, che una persona possa possedere
+e che consenta transazioni offline --- e quindi il furto mediante
+clonazione delle informazioni in esso contenute --- sarà l'obiettivo di
+attacchi di contraffazione riusciti non appena il valore economico
+dell'attacco risulti sostanziale. Tali attacchi provengono anche da
+utenti che forzano il proprio hardware~\cite[vedi][]{Allen}. Per
+limitare l'impatto di una compromissione, i sistemi con carte di pagamento
+che sono stati precedentemente implementati dependono dalla resistenza
+alle manomissioni in combinazione con il rilevamento delle frodi.
+Tuttavia, il rilevamento delle frodi richiede la capacità di identificare
+i pagatori e tenere traccia dei clienti, il che non è compatibile con la
privacy nelle transazioni.
\section{Una CBDC basata su token progettata per tutelare la privacy}
\label{4.-una-cbdc-basata-su-token-progettata-per-tutelare-la-privacy}
-La CBDC qui proposta è di tipo «solo software», semplicemente
-un'applicazione per smartphone che non richiede alcun hardware aggiuntivo.
-Il design fa affidamento su eCash e GNU Taler. Taler fa parte del progetto
-GNU, il cui fondatore, Richard Stallman, ha coniato il termine
-«\emph{Software Libero}», ora spesso indicato come \textit{Free/Libre
-and Open Source Software} (FLOSS).\footnote{Per ulteriori informazioni
-su GNU, si veda \url{https://www.gnu.org} e \cite{Stallman}. GNU Taler
-è rilasciato sotto la licenza libera \textit{GNU Affero General Public
-License} del Progetto GNU. Altri programmi del progetto GNU noti tra gli
-economisti sono \textit{R} e \textit{GNU Regression, Econometrics and
-Time-series Library} (GRETL). Per un'analisi dei vantaggi del FLOSS
-rispetto al software proprietario nel campo della ricerca, si veda~\cite{Baiocchi}, \cite{Yalta2008} e \cite{Yalta2010}.
-Sulle licenze libere e open source, si veda~\cite{Lerner}.} Il software
-è considerato libero se la sua licenza concede agli utenti quattro libertà
-essenziali: la libertà di eseguire il programma come si desidera, la
-libertà di studiare il programma e modificarlo, la libertà di ridistribuire
-copie del programma e la libertà di distribuire copie delle versioni
-modificate del programma. Il software libero non impedisce la
-commercializzazione; fornire supporto tecnico per il software è un modello
+La CBDC qui proposta è di tipo «solo software», semplicemente
+un'applicazione per smartphone che non richiede alcun hardware aggiuntivo.
+Il design fa affidamento su eCash e GNU Taler. Taler fa parte del progetto
+GNU, il cui fondatore, Richard Stallman, ha coniato il termine
+«\emph{Software Libero}», ora spesso indicato come \textit{Free/Libre
+and Open Source Software} (FLOSS).\footnote{Per ulteriori informazioni
+su GNU, si veda \url{https://www.gnu.org} e \cite{Stallman}. GNU Taler
+è rilasciato sotto la licenza libera \textit{GNU Affero General Public
+License} del Progetto GNU. Altri programmi del progetto GNU noti tra gli
+economisti sono \textit{R} e \textit{GNU Regression, Econometrics and
+Time-series Library} (GRETL). Per un'analisi dei vantaggi del FLOSS
+rispetto al software proprietario nel campo della ricerca, si veda~\cite{Baiocchi}, \cite{Yalta2008} e \cite{Yalta2010}.
+Sulle licenze libere e open source, si veda~\cite{Lerner}.} Il software
+è considerato libero se la sua licenza concede agli utenti quattro libertà
+essenziali: la libertà di eseguire il programma come si desidera, la
+libertà di studiare il programma e modificarlo, la libertà di ridistribuire
+copie del programma e la libertà di distribuire copie delle versioni
+modificate del programma. Il software libero non impedisce la
+commercializzazione; fornire supporto tecnico per il software è un modello
di business standard per il FLOSS.
-Dato il gran numero di parti interessate coinvolte in una CBDC al
-dettaglio (la banca centrale, il settore finanziario, i venditori e
-i clienti) e l'importanza critica dell'infrastruttura, una CBDC al
-dettaglio deve essere basata sul FLOSS. Imporre una soluzione
-proprietaria, che comporta la dipendenza da un fornitore specifico,
-sarebbe probabilmente un ostacolo all'adozione fin dall'inizio. Con il
-FLOSS, tutte le parti interessate hanno accesso a ogni dettaglio della
-soluzione e il diritto di adattare il software alle proprie esigenze.
-Ciò facilita l'integrazione e migliora l'interoperabilità e la
-concorrenza tra i fornitori.\footnote{Tuttavia, l'hardware privato
-potrebbe avere un ruolo da svolgere. La protezione degli archivi delle
-chiavi e di alcune funzioni di controllo, ad esempio, può essere un'area
-dove l'hardware dedicato valutato solo da un numero limitato di esperti
-può presentare dei vantaggi, nella misura in cui tale sicurezza sia solo
-additiva.} Consente inoltre alla banca centrale di soddisfare i requisiti
-di trasparenza e responsabilità. I vantaggi del FLOSS riguardo la
-sicurezza sono anche ampiamente riconosciuti. La disponibilità del codice
-sorgente e la libertà di modificarlo facilitano l'identificazione degli
-errori e la loro rapida correzione. \footnote{Ad esempio, un bollettino
-sulla sicurezza informatica emesso dall'Agenzia per la sicurezza nazionale
-degli Stati Uniti (NSA) nell'aprile 2020 esorta gli utenti a dare la
-priorità al software libero nella scelta e nell'utilizzo dei servizi
-collaborativi per le comunicazioni su Internet: «Lo sviluppo open source
-garantisce trasparenza sulla robustezza del codice e la sua conformità
-alle migliori pratiche di programmazione, evitando l'introduzione di
-vulnerabilità o punti deboli che potrebbero mettere a rischio utenti e
+Dato il gran numero di parti interessate coinvolte in una CBDC al
+dettaglio (la banca centrale, il settore finanziario, i venditori e
+i clienti) e l'importanza critica dell'infrastruttura, una CBDC al
+dettaglio deve essere basata sul FLOSS. Imporre una soluzione
+proprietaria, che comporta la dipendenza da un fornitore specifico,
+sarebbe probabilmente un ostacolo all'adozione fin dall'inizio. Con il
+FLOSS, tutte le parti interessate hanno accesso a ogni dettaglio della
+soluzione e il diritto di adattare il software alle proprie esigenze.
+Ciò facilita l'integrazione e migliora l'interoperabilità e la
+concorrenza tra i fornitori.\footnote{Tuttavia, l'hardware privato
+potrebbe avere un ruolo da svolgere. La protezione degli archivi delle
+chiavi e di alcune funzioni di controllo, ad esempio, può essere un'area
+dove l'hardware dedicato valutato solo da un numero limitato di esperti
+può presentare dei vantaggi, nella misura in cui tale sicurezza sia solo
+additiva.} Consente inoltre alla banca centrale di soddisfare i requisiti
+di trasparenza e responsabilità. I vantaggi del FLOSS riguardo la
+sicurezza sono anche ampiamente riconosciuti. La disponibilità del codice
+sorgente e la libertà di modificarlo facilitano l'identificazione degli
+errori e la loro rapida correzione. \footnote{Ad esempio, un bollettino
+sulla sicurezza informatica emesso dall'Agenzia per la sicurezza nazionale
+degli Stati Uniti (NSA) nell'aprile 2020 esorta gli utenti a dare la
+priorità al software libero nella scelta e nell'utilizzo dei servizi
+collaborativi per le comunicazioni su Internet: «Lo sviluppo open source
+garantisce trasparenza sulla robustezza del codice e la sua conformità
+alle migliori pratiche di programmazione, evitando l'introduzione di
+vulnerabilità o punti deboli che potrebbero mettere a rischio utenti e
dati» (U/OO/134598-20).}
-Nell'architettura che proponiamo, tutte le interazioni tra consumatori
-e venditori si fanno con le banche commerciali, ma la creazione di moneta
-e il database sono forniti esclusivamente dalla banca centrale. Le banche
-commerciali autenticano i clienti quando ritirano CBDC così come i
-venditori o beneficiari quando le ricevono. Quando spendono CBDC,
-invece, i clienti o pagatori devono solo autorizzare le transazioni senza
-bisogno di identificarsi. I pagamenti risultano più economici, più facili
-e più veloci, evitando al contempo interferenze con la privacy~\cite[][]{Dold}.
-L'autenticazione dei clienti quando ritirano CBDC, nonché dei venditori
-o beneficiari quando le ricevono, consente altresì di adempire alle
-normative sulla conoscenza dei clienti e sulla lotta al riciclaggio di
+Nell'architettura che proponiamo, tutte le interazioni tra consumatori
+e venditori si fanno con le banche commerciali, ma la creazione di moneta
+e il database sono forniti esclusivamente dalla banca centrale. Le banche
+commerciali autenticano i clienti quando ritirano CBDC così come i
+venditori o beneficiari quando le ricevono. Quando spendono CBDC,
+invece, i clienti o pagatori devono solo autorizzare le transazioni senza
+bisogno di identificarsi. I pagamenti risultano più economici, più facili
+e più veloci, evitando al contempo interferenze con la privacy~\cite[][]{Dold}.
+L'autenticazione dei clienti quando ritirano CBDC, nonché dei venditori
+o beneficiari quando le ricevono, consente altresì di adempire alle
+normative sulla conoscenza dei clienti e sulla lotta al riciclaggio di
denaro e al finanziamento del terrorismo.
-% Not sure the reference to Dold above is fixed correctly.
-
-La CBDC che si propone in questo documento è un vero e proprio
-strumento digitale al portatore perché quando l'utente preleva una
-somma di denaro sotto forma di numero, tale numero viene «accecato» o
-nascosto dallo smartphone con un'apposita crittografia. Nel sistema
-stesso, una moneta è una coppia di chiavi pubblica-privata dove la
-chiave privata è nota solo al proprietario della moneta.\footnote{In
-Bitcoin, un sistema basato su conti, la coppia di chiavi è un conto
-dove la chiave pubblica rappresenta l'«indirizzo» e quindi una sorta di
-«identità», anche se pseudonimo.} La moneta trae il suo valore
-finanziario dalla firma della banca centrale apposta sulla chiave
-pubblica della moneta. La banca centrale firma con la propria chiave
-privata e detiene più coppie di chiavi di valore per apporre la firma
-cieca su monete di diverso valore unitario. Il venditore può utilizzare
-la corrispondente «chiave pubblica» della banca centrale per verificare
-la firma. Tuttavia, al fine di garantire che la moneta non sia stata
-copiata e già ritirata da un altro beneficiario (cioè che non sia stata
-«spesa due volte»), il venditore deve depositare la moneta affinché la
-banca centrale possa confrontarla con un archivio di monete ritirate.
-Poiché né la banca commerciale né la banca centrale vedono il numero
-della moneta durante il prelievo, in seguito, quando il venditore
-deposita la moneta, non si sa quale utente l'abbia ritirata. L'accecamento
-e la privacy che ne deriva fanno di questa tipologia di CBDC un vero e
+La CBDC che si propone in questo documento è un vero e proprio
+strumento digitale al portatore perché quando l'utente preleva una
+somma di denaro sotto forma di numero, tale numero viene «accecato» o
+nascosto dallo smartphone con un'apposita crittografia. Nel sistema
+stesso, una moneta è una coppia di chiavi pubblica-privata dove la
+chiave privata è nota solo al proprietario della moneta.\footnote{In
+Bitcoin, un sistema basato su conti, la coppia di chiavi è un conto
+dove la chiave pubblica rappresenta l'«indirizzo» e quindi una sorta di
+«identità», anche se pseudonimo.} La moneta trae il suo valore
+finanziario dalla firma della banca centrale apposta sulla chiave
+pubblica della moneta. La banca centrale firma con la propria chiave
+privata e detiene più coppie di chiavi di valore per apporre la firma
+cieca su monete di diverso valore unitario. Il venditore può utilizzare
+la corrispondente «chiave pubblica» della banca centrale per verificare
+la firma. Tuttavia, al fine di garantire che la moneta non sia stata
+copiata e già ritirata da un altro beneficiario (cioè che non sia stata
+«spesa due volte»), il venditore deve depositare la moneta affinché la
+banca centrale possa confrontarla con un archivio di monete ritirate.
+Poiché né la banca commerciale né la banca centrale vedono il numero
+della moneta durante il prelievo, in seguito, quando il venditore
+deposita la moneta, non si sa quale utente l'abbia ritirata. L'accecamento
+e la privacy che ne deriva fanno di questa tipologia di CBDC un vero e
proprio strumento digitale al portatore.
-Nell'analisi che segue forniamo una panoramica approfondita della
-tecnologia e mostriamo come si può integrare con il sistema bancario
-esistente per creare una CBDC. \citet{Dold} fornisce ulteriori
+Nell'analisi che segue forniamo una panoramica approfondita della
+tecnologia e mostriamo come si può integrare con il sistema bancario
+esistente per creare una CBDC. \citet{Dold} fornisce ulteriori
dettagli.
\subsection{Componenti fondamentali}\label{componenti-fondamentali}
-Di seguito si descrivono i componenti principali del protocollo, comprese
-le basi matematiche per una delle possibili rappresentazioni delle
-primitive crittografiche utilizzate, allo scopo di illustrare in
-che modo potrebbe funzionare un'implementazione. Considerando che
-esistono altri modelli matematici equivalenti per ciascun componente,
+Di seguito si descrivono i componenti principali del protocollo, comprese
+le basi matematiche per una delle possibili rappresentazioni delle
+primitive crittografiche utilizzate, allo scopo di illustrare in
+che modo potrebbe funzionare un'implementazione. Considerando che
+esistono altri modelli matematici equivalenti per ciascun componente,
presentiamo solo la più semplice delle soluzioni sicure a noi note.
-\emph{Firme digitali.} L'idea che sta alla base delle firme digitali in
-uno schema di firma a chiave pubblica è quella di garantire che il
-titolare della chiave privata sia l'unico in grado di firmare un
-messaggio, mentre la chiave pubblica consente a chiunque di verificare
-la validità della firma.\footnote{La crittografia a chiave pubblica è
-stata introdotta da~\cite{Diffie} e le prime implementazioni di firme
-digitali sono state quelle di~\cite{Rivest}.} Il risultato della funzione
-di verifica della firma è la dichiarazione binaria «vero» o «falso». Se
-il messaggio è firmato con la chiave privata che appartiene alla chiave
-pubblica di verifica, il risultato è «vero», altrimenti è «falso».
-Nella nostra proposta il messaggio è una moneta o una banconota con un
-numero di serie, e la firma della banca centrale ne attesta la
-validità. Sebbene GNU Taler utilizzi per impostazione predefinita le
-moderne firme EdDSA~\cite[vedi][]{Bernstein2012}, qui presentiamo un
-semplice schema di firma crittografica basato su RSA~\cite[][]{Rivest}, un
-sistema crittografico ben studiato.\footnote{Per un'analisi della
-lunga storia del crittosistema RSA e uno studio degli attacchi a questo
-sistema, si veda~\cite{Boneh}.} Tuttavia, in linea di principio, è
-possibile utilizzare qualsiasi tecnologia di firma crittografica
+\emph{Firme digitali.} L'idea che sta alla base delle firme digitali in
+uno schema di firma a chiave pubblica è quella di garantire che il
+titolare della chiave privata sia l'unico in grado di firmare un
+messaggio, mentre la chiave pubblica consente a chiunque di verificare
+la validità della firma.\footnote{La crittografia a chiave pubblica è
+stata introdotta da~\cite{Diffie} e le prime implementazioni di firme
+digitali sono state quelle di~\cite{Rivest}.} Il risultato della funzione
+di verifica della firma è la dichiarazione binaria «vero» o «falso». Se
+il messaggio è firmato con la chiave privata che appartiene alla chiave
+pubblica di verifica, il risultato è «vero», altrimenti è «falso».
+Nella nostra proposta il messaggio è una moneta o una banconota con un
+numero di serie, e la firma della banca centrale ne attesta la
+validità. Sebbene GNU Taler utilizzi per impostazione predefinita le
+moderne firme EdDSA~\cite[vedi][]{Bernstein2012}, qui presentiamo un
+semplice schema di firma crittografica basato su RSA~\cite[][]{Rivest}, un
+sistema crittografico ben studiato.\footnote{Per un'analisi della
+lunga storia del crittosistema RSA e uno studio degli attacchi a questo
+sistema, si veda~\cite{Boneh}.} Tuttavia, in linea di principio, è
+possibile utilizzare qualsiasi tecnologia di firma crittografica
(DSA, ECDSA, EdDSA, RSA, ecc.)
-% Not sure the reference to Rivest above is fixed correctly.
-
-Per generare una chiave RSA, il firmatario prende prima due grandi
-numeri primi indipendenti $p$ e $q$ e calcola $n = \emph{pq}$,
-nonché la funzione phi di Eulero
-$\phi(n) = (p - 1)(q - 1)$.
-Quindi, si può utilizzare qualsiasi $e$ con $1 < e < \phi(n)$ e
-$\gcd(e, \phi(n)) = 1$ per definire una chiave pubblica $(e,n)$.
-La condizione che il massimo comune denominatore ($\texttt{MCD}$) di $e$ e
-$\phi(n)$ debba essere 1 (cioè, che devono essere
-primi tra loro) assicura che l'inverso di
-$e \mod \phi(n)$ esista.
-Questo inverso è la
-corrispondente chiave privata $d$. Data $\phi(n)$, la chiave
-privata $d$ può essere calcolata mediante l'algoritmo esteso
-di Euclide tale che
+
+Per generare una chiave RSA, il firmatario prende prima due grandi
+numeri primi indipendenti $p$ e $q$ e calcola $n = \emph{pq}$,
+nonché la funzione phi di Eulero
+$\phi(n) = (p - 1)(q - 1)$.
+Quindi, si può utilizzare qualsiasi $e$ con $1 < e < \phi(n)$ e
+$\gcd(e, \phi(n)) = 1$ per definire una chiave pubblica $(e,n)$.
+La condizione che il massimo comune denominatore ($\texttt{MCD}$) di $e$ e
+$\phi(n)$ debba essere 1 (cioè, che devono essere
+primi tra loro) assicura che l'inverso di
+$e \mod \phi(n)$ esista.
+Questo inverso è la
+corrispondente chiave privata $d$. Data $\phi(n)$, la chiave
+privata $d$ può essere calcolata mediante l'algoritmo esteso
+di Euclide tale che
$d \cdot e \equiv 1 \mod \phi(n)$.
-Data la chiave privata $d$ e la chiave pubblica $(e, n)$, una semplice
-firma RSA
-$s$ su un messaggio $m$ è
-$s \equiv m^{d} \mod n$.
-Per verificare la firma si calcola
-$m' \equiv s^{e} \mod n$.
-Se $m'$ e $m$ corrispondono, la firma è valida e dimostra che il
-messaggio è stato firmato con la chiave privata che corrisponde alla
-chiave pubblica di verifica (autenticazione del messaggio) e che il
-messaggio non è stato modificato durante il transito (integrità del
-messaggio). In pratica, le firme vengono poste sull'hash dei messaggi
-piuttosto che sui messaggi stessi. Le funzioni di hash calcolano le
-impronte digitali dei messaggi (\textit{digest}), che sono identificatori
-univoci e brevi per i messaggi. Firmare un hash breve è molto più veloce
-che firmare un messaggio di grandi dimensioni, e la maggior parte degli
-algoritmi di firma funzionano solo su input relativamente brevi.\footnote{Nel
-caso del crittosistema RSA, il limite di lunghezza è di
+Data la chiave privata $d$ e la chiave pubblica $(e, n)$, una semplice
+firma RSA
+$s$ su un messaggio $m$ è
+$s \equiv m^{d} \mod n$.
+Per verificare la firma si calcola
+$m' \equiv s^{e} \mod n$.
+Se $m'$ e $m$ corrispondono, la firma è valida e dimostra che il
+messaggio è stato firmato con la chiave privata che corrisponde alla
+chiave pubblica di verifica (autenticazione del messaggio) e che il
+messaggio non è stato modificato durante il transito (integrità del
+messaggio). In pratica, le firme vengono poste sull'hash dei messaggi
+piuttosto che sui messaggi stessi. Le funzioni di hash calcolano le
+impronte digitali dei messaggi (\textit{digest}), che sono identificatori
+univoci e brevi per i messaggi. Firmare un hash breve è molto più veloce
+che firmare un messaggio di grandi dimensioni, e la maggior parte degli
+algoritmi di firma funzionano solo su input relativamente brevi.\footnote{Nel
+caso del crittosistema RSA, il limite di lunghezza è di
$\log_{2}n$ bit.}
-\emph{Firme cieche.} Utilizziamo le firme cieche introdotte
-da~\cite{Chaum1983} per tutelare la privacy degli acquirenti. Una firma
-cieca viene utilizzata per creare una firma crittografica per un messaggio
-senza rivelare al firmatario il contenuto del messaggio. Nella nostra proposta,
-ciò impedisce alle banche commerciali e alla banca centrale di poter risalire
-all'acquirente tracciando gli acquisti. In linea di principio, la nostra
-proposta funziona con qualsiasi sistema di firma cieca, ma la soluzione migliore
-rimane la variante basata su RSA descritta da~\cite{Chaum1983}.
-
-L'accecamento viene eseguito dai clienti, che accecano le proprie
-monete prima di trasmetterle alla banca centrale per la firma. I
-clienti non devono quindi affidare alla banca centrale la tutela della
-propria privacy. Inoltre, l'accecamento con RSA fornirebbe protezione
-della privacy anche contro gli attacchi informatici quantistici. La
-banca centrale, dal canto suo, predispone più coppie di chiavi di
-valore per apporre la firma cieca su monete di diverso valore
-unitario, e fornisce le corrispondenti chiavi pubbliche
+\emph{Firme cieche.} Utilizziamo le firme cieche introdotte
+da~\cite{Chaum1983} per tutelare la privacy degli acquirenti. Una firma
+cieca viene utilizzata per creare una firma crittografica per un messaggio
+senza rivelare al firmatario il contenuto del messaggio. Nella nostra proposta,
+ciò impedisce alle banche commerciali e alla banca centrale di poter risalire
+all'acquirente tracciando gli acquisti. In linea di principio, la nostra
+proposta funziona con qualsiasi sistema di firma cieca, ma la soluzione migliore
+rimane la variante basata su RSA descritta da~\cite{Chaum1983}.
+
+L'accecamento viene eseguito dai clienti, che accecano le proprie
+monete prima di trasmetterle alla banca centrale per la firma. I
+clienti non devono quindi affidare alla banca centrale la tutela della
+propria privacy. Inoltre, l'accecamento con RSA fornirebbe protezione
+della privacy anche contro gli attacchi informatici quantistici. La
+banca centrale, dal canto suo, predispone più coppie di chiavi di
+valore per apporre la firma cieca su monete di diverso valore
+unitario, e fornisce le corrispondenti chiavi pubbliche
$(e, n)$ per tali valori.
-Sia $f$ il valore di hash di una moneta e quindi l'identificatore
-univoco per questa moneta. Il cliente che preleva la moneta prima
-genera un fattore di accecamento casuale $b$ e calcola
-$f' \equiv fb^{e} \mod n$
-con la chiave pubblica della banca centrale per quel valore.
-La moneta accecata $f'$ viene quindi trasmessa alla banca centrale per
-la firma. La banca centrale firma $f'$ con la sua chiave
-privata $d$ calcolando la firma cieca
-$s' \equiv \left(f' \right)^{d} \mod n$, appone
-la firma $s'$ alla moneta accecata $f'$ e restituisce la coppia
-$(s',f')$ al cliente. Il cliente può quindi rimuovere l'accecamento
-della firma calcolando
-$s \equiv s'b^{- 1} \mod n$.
-Ciò è possibile perché
-$\left( f' \right)^d = f^db^{ed} = f^db$, e quindi
-moltiplicando $s'$ con $b^{- 1}$ si ottiene $f^d$, che è una firma RSA
-valida su $f$ come prima:
+Sia $f$ il valore di hash di una moneta e quindi l'identificatore
+univoco per questa moneta. Il cliente che preleva la moneta prima
+genera un fattore di accecamento casuale $b$ e calcola
+$f' \equiv fb^{e} \mod n$
+con la chiave pubblica della banca centrale per quel valore.
+La moneta accecata $f'$ viene quindi trasmessa alla banca centrale per
+la firma. La banca centrale firma $f'$ con la sua chiave
+privata $d$ calcolando la firma cieca
+$s' \equiv \left(f' \right)^{d} \mod n$, appone
+la firma $s'$ alla moneta accecata $f'$ e restituisce la coppia
+$(s',f')$ al cliente. Il cliente può quindi rimuovere l'accecamento
+della firma calcolando
+$s \equiv s'b^{- 1} \mod n$.
+Ciò è possibile perché
+$\left( f' \right)^d = f^db^{ed} = f^db$, e quindi
+moltiplicando $s'$ con $b^{- 1}$ si ottiene $f^d$, che è una firma RSA
+valida su $f$ come prima:
$s^e \equiv f^{de} \equiv f \mod n$.
-Nella proposta originale di Chaum, le monete erano dei semplici
-gettoni. Quel che vogliamo, invece, è che i consumatori possano
-utilizzare le firme digitali per stipulare contratti. A tal fine, ogni
-volta che un portafoglio digitale preleva una moneta, in primo luogo
-crea per la moneta una chiave privata casuale $c$ e calcola la
-corrispondente chiave pubblica $C$ per creare firme digitali con i
-normali sistemi di firma crittografica (come DSA, ECDSA, EdDSA e
-RSA). Quindi si deriva $f$ mediante una funzione di hash crittografica
-dalla chiave pubblica $C$, prima che la banca centrale ne apponga la
-firma cieca (utilizzando un nuovo fattore di accecamento casuale per
-ciascuna moneta). Ora il cliente può utilizzare $c$ per firmare
+Nella proposta originale di Chaum, le monete erano dei semplici
+gettoni. Quel che vogliamo, invece, è che i consumatori possano
+utilizzare le firme digitali per stipulare contratti. A tal fine, ogni
+volta che un portafoglio digitale preleva una moneta, in primo luogo
+crea per la moneta una chiave privata casuale $c$ e calcola la
+corrispondente chiave pubblica $C$ per creare firme digitali con i
+normali sistemi di firma crittografica (come DSA, ECDSA, EdDSA e
+RSA). Quindi si deriva $f$ mediante una funzione di hash crittografica
+dalla chiave pubblica $C$, prima che la banca centrale ne apponga la
+firma cieca (utilizzando un nuovo fattore di accecamento casuale per
+ciascuna moneta). Ora il cliente può utilizzare $c$ per firmare
elettronicamente gli acquisti, spendendo così la moneta.
-Come visto sopra, la banca centrale andrebbe a predisporre coppie di
-chiavi diverse per ogni valore unitario di moneta e pubblicherebbe le
-chiavi pubbliche che i clienti userebbero per prelevare denaro. Queste
-chiavi di valore, e quindi le monete, avrebbero una data di scadenza
-prima della quale dovrebbero essere spese o scambiate con monete
-nuove. Ai clienti verrebbe concesso un certo periodo di tempo per
-scambiare le monete. Un processo simile esiste per le banconote
-fisiche, dove le serie di banconote vengono regolarmente rinnovate per
-essere dotate delle più recenti caratteristiche di sicurezza, tranne
-per il fatto che le banconote generalmente rimangono in circolazione
-per decenni anziché per pochi anni o mesi.\footnote{In Svizzera,
-ad esempio, la Banca nazionale svizzera ha iniziato a ritirare dalla
-circolazione l'ottava serie di banconote nell'aprile 2016. Questa serie
-era stata messa in circolazione alla fine degli anni novanta. Dal 1
-gennaio 2020, tuttavia, tutte le banconote a partire dalla sesta serie
-(emesse nel 1976) fino alle serie future restano valide e possono essere
+Come visto sopra, la banca centrale andrebbe a predisporre coppie di
+chiavi diverse per ogni valore unitario di moneta e pubblicherebbe le
+chiavi pubbliche che i clienti userebbero per prelevare denaro. Queste
+chiavi di valore, e quindi le monete, avrebbero una data di scadenza
+prima della quale dovrebbero essere spese o scambiate con monete
+nuove. Ai clienti verrebbe concesso un certo periodo di tempo per
+scambiare le monete. Un processo simile esiste per le banconote
+fisiche, dove le serie di banconote vengono regolarmente rinnovate per
+essere dotate delle più recenti caratteristiche di sicurezza, tranne
+per il fatto che le banconote generalmente rimangono in circolazione
+per decenni anziché per pochi anni o mesi.\footnote{In Svizzera,
+ad esempio, la Banca nazionale svizzera ha iniziato a ritirare dalla
+circolazione l'ottava serie di banconote nell'aprile 2016. Questa serie
+era stata messa in circolazione alla fine degli anni novanta. Dal 1
+gennaio 2020, tuttavia, tutte le banconote a partire dalla sesta serie
+(emesse nel 1976) fino alle serie future restano valide e possono essere
scambiate a tempo indeterminato con banconote correnti.}
-Da un punto di vista tecnico, una data di scadenza offre due vantaggi.
-In primo luogo, migliora l'efficienza del sistema perché la banca
-centrale può cancellare i dati scaduti, evitando così di dover
-archiviare e poi cercare in un elenco sempre crescente di monete
-(spese) per rilevare una doppia spesa. In secondo luogo, riduce i
-rischi per la sicurezza dato che la banca centrale non deve
-preoccuparsi di attacchi alle proprie chiavi (private) di valore ($d$)
-scadute. Inoltre, anche se una chiave privata venisse compromessa, il
-periodo durante il quale l'attaccante può utilizzarla è breve. In aggiunta,
-l'addebito di una commissione di cambio consentirebbe alla banca centrale di
-applicare tassi di interesse negativi, se ritenuto necessario. La banca centrale
-potrebbe anche, se lo desidera, fissare un limite di conversione per cliente in
-considerazione dell'antiriciclaggio e l'antiterrorismo (soglia di «contante») o
-per motivi di stabilità finanziaria (per prevenire accaparramenti e corse agli
+Da un punto di vista tecnico, una data di scadenza offre due vantaggi.
+In primo luogo, migliora l'efficienza del sistema perché la banca
+centrale può cancellare i dati scaduti, evitando così di dover
+archiviare e poi cercare in un elenco sempre crescente di monete
+(spese) per rilevare una doppia spesa. In secondo luogo, riduce i
+rischi per la sicurezza dato che la banca centrale non deve
+preoccuparsi di attacchi alle proprie chiavi (private) di valore ($d$)
+scadute. Inoltre, anche se una chiave privata venisse compromessa, il
+periodo durante il quale l'attaccante può utilizzarla è breve. In aggiunta,
+l'addebito di una commissione di cambio consentirebbe alla banca centrale di
+applicare tassi di interesse negativi, se ritenuto necessario. La banca centrale
+potrebbe anche, se lo desidera, fissare un limite di conversione per cliente in
+considerazione dell'antiriciclaggio e l'antiterrorismo (soglia di «contante») o
+per motivi di stabilità finanziaria (per prevenire accaparramenti e corse agli
sportelli).
-\emph{Protocollo di scambio di chiavi.} GNU Taler utilizza un protocollo
-di scambio di chiavi in un modo particolare per fornire un collegamento
-tra la moneta originale e il resto reso per quella stessa moneta. Ciò
-garantisce che il resto possa sempre essere reso senza compromettere
-la trasparenza del reddito e la privacy dei consumatori. Lo stesso
-meccanismo si può utilizzare per i rimborsi anonimi ai clienti. Il
-protocollo gestisce anche i guasti alla rete e ai componenti,
-assicurando che i pagamenti siano andati a buon fine o siano stati
-definitivamente annullati e che tutte le parti abbiano una prova
-crittografica dell'esito. Questo corrisponde all'incirca agli scambi
-atomici nei protocolli \textit{interledger} o allo scambio equo nei
+\emph{Protocollo di scambio di chiavi.} GNU Taler utilizza un protocollo
+di scambio di chiavi in un modo particolare per fornire un collegamento
+tra la moneta originale e il resto reso per quella stessa moneta. Ciò
+garantisce che il resto possa sempre essere reso senza compromettere
+la trasparenza del reddito e la privacy dei consumatori. Lo stesso
+meccanismo si può utilizzare per i rimborsi anonimi ai clienti. Il
+protocollo gestisce anche i guasti alla rete e ai componenti,
+assicurando che i pagamenti siano andati a buon fine o siano stati
+definitivamente annullati e che tutte le parti abbiano una prova
+crittografica dell'esito. Questo corrisponde all'incirca agli scambi
+atomici nei protocolli \textit{interledger} o allo scambio equo nei
tradizionali sistemi \textit{e-cash}.
-La costruzione matematica più comune per un protocollo di scambio di
-chiavi è la costruzione~\cite{Diffie}), che
-consente a due parti di derivare una chiave segreta condivisa. A tale
-scopo, condividono due parametri di dominio $p$ e $g$, che possono
-essere pubblici, dove $p$ è un numero primo grande e $g$ è una radice
-primitiva modulo $p$.\footnote{Un intero $g$ è una radice primitiva
-modulo $p$ se per ogni intero $a$ coprimo a $p$ esiste un intero $k$
-per il quale
-$g^k \equiv a \mod p$.
-In pratica, $g$ dovrebbe essere una radice primitiva $(p-1)$-esima, detta
-anche generatore, al fine di prevenire attacchi a sottogruppi come quelli
-Pohlig-Hellman~\cite[vedi][]{Lim}.} Ora, le due parti scelgono le loro
-chiavi private \emph{a} e \emph{b}, che sono due numeri interi grandi.
-Con queste chiavi private e i parametri di dominio, generano le
-rispettive chiavi pubbliche
-$A \equiv g^{a} \mod p$ e $B \equiv g^{b} \mod p$.
-Ciascuna parte può ora utilizzare la propria chiave privata e la chiave
-pubblica dell'altra parte per calcolare la chiave segreta condivisa
+La costruzione matematica più comune per un protocollo di scambio di
+chiavi è la costruzione~\cite{Diffie}), che
+consente a due parti di derivare una chiave segreta condivisa. A tale
+scopo, condividono due parametri di dominio $p$ e $g$, che possono
+essere pubblici, dove $p$ è un numero primo grande e $g$ è una radice
+primitiva modulo $p$.\footnote{Un intero $g$ è una radice primitiva
+modulo $p$ se per ogni intero $a$ coprimo a $p$ esiste un intero $k$
+per il quale
+$g^k \equiv a \mod p$.
+In pratica, $g$ dovrebbe essere una radice primitiva $(p-1)$-esima, detta
+anche generatore, al fine di prevenire attacchi a sottogruppi come quelli
+Pohlig-Hellman~\cite[vedi][]{Lim}.} Ora, le due parti scelgono le loro
+chiavi private \emph{a} e \emph{b}, che sono due numeri interi grandi.
+Con queste chiavi private e i parametri di dominio, generano le
+rispettive chiavi pubbliche
+$A \equiv g^{a} \mod p$ e $B \equiv g^{b} \mod p$.
+Ciascuna parte può ora utilizzare la propria chiave privata e la chiave
+pubblica dell'altra parte per calcolare la chiave segreta condivisa
$k \equiv \left( g^b \right)^{a} \equiv \left( g^{a} \right)^{b} \equiv g^{\text{ab}} \mod p$.\footnote{
-Lo stesso meccanismo potrebbe essere utilizzato per garantire
-che le monete non vengano trasferite a terzi durante il prelievo. A
-questo scopo, gli utenti devono salvaguardare una chiave di identità a
-lungo termine. Il processo di prelievo potrebbe quindi essere
-costruito allo stesso modo di quello utilizzato da GNU Taler per dare
-il resto, tranne per il fatto che quando si preleva dal conto bancario
-del cliente verrebbe utilizzata la chiave d'identità a lungo termine
-del cliente al posto della moneta originale. Tuttavia, le garanzie
-sulla privacy potrebbero decadere se il cliente non protegge la chiave
-d'identità a lungo termine, con il conseguente rischio di furto di
-tutte le monete residue. Dato che il rischio nei trasferimenti a terzi
-quando si prelevano monete è basso, non è chiaro se questa riduzione
+Lo stesso meccanismo potrebbe essere utilizzato per garantire
+che le monete non vengano trasferite a terzi durante il prelievo. A
+questo scopo, gli utenti devono salvaguardare una chiave di identità a
+lungo termine. Il processo di prelievo potrebbe quindi essere
+costruito allo stesso modo di quello utilizzato da GNU Taler per dare
+il resto, tranne per il fatto che quando si preleva dal conto bancario
+del cliente verrebbe utilizzata la chiave d'identità a lungo termine
+del cliente al posto della moneta originale. Tuttavia, le garanzie
+sulla privacy potrebbero decadere se il cliente non protegge la chiave
+d'identità a lungo termine, con il conseguente rischio di furto di
+tutte le monete residue. Dato che il rischio nei trasferimenti a terzi
+quando si prelevano monete è basso, non è chiaro se questa riduzione
del rischio possa essere un buon compromesso.}
-Per ottenere il resto, il cliente parte dalla chiave privata della
-moneta parzialmente spesa $c$. Sia $C$ la chiave pubblica corrispondente,
-per esempio
-$C = g^{c} \mod p$.
-Quando la moneta fu parzialmente spesa in precedenza, la banca centrale
-registrò la transazione relativa a $C$ nel proprio database. Per
-semplicità, assumiamo che esista un valore unitario che corrisponda
-esattamente a questo valore residuo. In caso contrario, il protocollo si
-riavvia finché non viene reso tutto il resto. Sia $(e,n)$ la
+Per ottenere il resto, il cliente parte dalla chiave privata della
+moneta parzialmente spesa $c$. Sia $C$ la chiave pubblica corrispondente,
+per esempio
+$C = g^{c} \mod p$.
+Quando la moneta fu parzialmente spesa in precedenza, la banca centrale
+registrò la transazione relativa a $C$ nel proprio database. Per
+semplicità, assumiamo che esista un valore unitario che corrisponda
+esattamente a questo valore residuo. In caso contrario, il protocollo si
+riavvia finché non viene reso tutto il resto. Sia $(e,n)$ la
chiave di valore per il resto da rendere.
-Per ottenere il resto, l'acquirente crea prima $\kappa$ chiavi di
-trasferimento private $t_{i}$ per
-$i \in \left\{ 1,\ldots,\kappa \right\}$ e calcola le
-corrispondenti chiavi pubbliche $T_{i}$. Queste chiavi di
-trasferimento $\kappa$ sono semplicemente coppie di chiavi
-pubbliche-private che consentono al cliente di eseguire localmente il
-protocollo di scambio di chiavi, con il cliente che gioca su entrambi
-i lati del processo, $\kappa$ volte tra $c$ e ogni $t_{i}$.
-Se si usa Diffie-Hellman come protocollo per lo scambio di chiavi, si
-ottiene
+Per ottenere il resto, l'acquirente crea prima $\kappa$ chiavi di
+trasferimento private $t_{i}$ per
+$i \in \left\{ 1,\ldots,\kappa \right\}$ e calcola le
+corrispondenti chiavi pubbliche $T_{i}$. Queste chiavi di
+trasferimento $\kappa$ sono semplicemente coppie di chiavi
+pubbliche-private che consentono al cliente di eseguire localmente il
+protocollo di scambio di chiavi, con il cliente che gioca su entrambi
+i lati del processo, $\kappa$ volte tra $c$ e ogni $t_{i}$.
+Se si usa Diffie-Hellman come protocollo per lo scambio di chiavi, si
+ottiene
$T_{i} \equiv g^{t_{i}} \mod p$.
-Il risultato sono tre trasferimenti
-$K_{i} \equiv \emph{KX}(c,t_{i})$. Il protocollo di scambio di chiavi
-può essere utilizzato in diversi modi per ottenere lo stesso valore
-$K_{i} \equiv \emph{KX}(C,t_{i}) = \emph{KX}(c,T_{i})$.
-Data $K_{i}$, il cliente utilizza una funzione crittografica hash $H$
-per ricavare i valori
-$(b_{i},c_{i}) \equiv H(K_{i})$, dove
-$b_{i}$ è un fattore di accecamento valido per la chiave di valore
-$(e,n)$ e $c_{i}$
-è una chiave privata per la nuova moneta da ottenere come resto.
-$c_{i}$ deve essere adatta sia per creare firme crittografiche sia per
-un uso futuro con il protocollo di scambio di chiavi
-(come $c$, per ottenere resto a partire dal resto).
-Sia $C_{i}$ la chiave pubblica corrispondente a $c_{i}$.
-Il cliente chiede quindi alla banca centrale di creare una firma cieca su
-$C_{i}$ per $i \in \{ 1,\ldots,\kappa\}$.\footnote{Se dovesse essere
-utilizzato il crittosistema RSA per le firme cieche, useremmo
-$f \equiv \emph{FDH}_{n}(C_{i})$, dove
-$\emph{FDH}_{n}()$
-è l'hash del dominio completo sul dominio $n$.} In questa richiesta, il
-cliente si impegna anche con le chiavi pubbliche
-$T_{i}$.
-La richiesta è autorizzata mediante una firma effettuata con la chiave
+Il risultato sono tre trasferimenti
+$K_{i} \equiv \emph{KX}(c,t_{i})$. Il protocollo di scambio di chiavi
+può essere utilizzato in diversi modi per ottenere lo stesso valore
+$K_{i} \equiv \emph{KX}(C,t_{i}) = \emph{KX}(c,T_{i})$.
+Data $K_{i}$, il cliente utilizza una funzione crittografica hash $H$
+per ricavare i valori
+$(b_{i},c_{i}) \equiv H(K_{i})$, dove
+$b_{i}$ è un fattore di accecamento valido per la chiave di valore
+$(e,n)$ e $c_{i}$
+è una chiave privata per la nuova moneta da ottenere come resto.
+$c_{i}$ deve essere adatta sia per creare firme crittografiche sia per
+un uso futuro con il protocollo di scambio di chiavi
+(come $c$, per ottenere resto a partire dal resto).
+Sia $C_{i}$ la chiave pubblica corrispondente a $c_{i}$.
+Il cliente chiede quindi alla banca centrale di creare una firma cieca su
+$C_{i}$ per $i \in \{ 1,\ldots,\kappa\}$.\footnote{Se dovesse essere
+utilizzato il crittosistema RSA per le firme cieche, useremmo
+$f \equiv \emph{FDH}_{n}(C_{i})$, dove
+$\emph{FDH}_{n}()$
+è l'hash del dominio completo sul dominio $n$.} In questa richiesta, il
+cliente si impegna anche con le chiavi pubbliche
+$T_{i}$.
+La richiesta è autorizzata mediante una firma effettuata con la chiave
privata $c$.
-Invece di restituire direttamente la firma cieca, la banca centrale
-chiede prima al cliente di dimostrare che ha utilizzato correttamente la
-costruzione di cui sopra fornendo
-$\gamma \in \left\{ 1,\ldots,\kappa \right\}$.
-Il cliente deve quindi mostrare alla banca centrale la
-$t_{i}$ per $i \neq \gamma$.
-La banca centrale può quindi calcolare
-$K_{i} \equiv \emph{KX}(C,t_{i})$ e ricavare i valori
-$(b_{i},c_{i})$. Se per tutte le
-$i \neq \gamma$ la $t_{i}$ fornita dimostra che il cliente ha utilizzato
-correttamente la costruzione, la banca centrale restituisce la firma
-cieca su $C_{\gamma}$.
-Se il cliente non fornisce una prova corretta, il valore residuo della
-moneta originale viene perso. Questo penalizza efficacemente coloro che
-tentano di eludere la trasparenza del reddito con un'aliquota fiscale
+Invece di restituire direttamente la firma cieca, la banca centrale
+chiede prima al cliente di dimostrare che ha utilizzato correttamente la
+costruzione di cui sopra fornendo
+$\gamma \in \left\{ 1,\ldots,\kappa \right\}$.
+Il cliente deve quindi mostrare alla banca centrale la
+$t_{i}$ per $i \neq \gamma$.
+La banca centrale può quindi calcolare
+$K_{i} \equiv \emph{KX}(C,t_{i})$ e ricavare i valori
+$(b_{i},c_{i})$. Se per tutte le
+$i \neq \gamma$ la $t_{i}$ fornita dimostra che il cliente ha utilizzato
+correttamente la costruzione, la banca centrale restituisce la firma
+cieca su $C_{\gamma}$.
+Se il cliente non fornisce una prova corretta, il valore residuo della
+moneta originale viene perso. Questo penalizza efficacemente coloro che
+tentano di eludere la trasparenza del reddito con un'aliquota fiscale
stimata di $1 - \frac{1}{\kappa}$.
-Per evitare che un cliente cospiri con un venditore che sta tentando di
-evadere il fisco, la banca centrale consente a chiunque
-conosca $C$ di ottenere, in qualsiasi momento, i valori di
-$T_{\gamma}$
-e le firme cieche di tutte le monete collegate alla moneta originaria $C$.
-Ciò permette al possessore della moneta originaria, che conosce $c$, di
-calcolare
-$K_{\gamma} \equiv \emph{KX}( c,T_{\gamma})$
-e da lì ricavare
-$(b_{i},c_{i})$
-per, infine, rimuovere la firma cieca. Di conseguenza, un venditore che
-nasconde il proprio reddito in questo modo formerebbe solo un'accordo
+Per evitare che un cliente cospiri con un venditore che sta tentando di
+evadere il fisco, la banca centrale consente a chiunque
+conosca $C$ di ottenere, in qualsiasi momento, i valori di
+$T_{\gamma}$
+e le firme cieche di tutte le monete collegate alla moneta originaria $C$.
+Ciò permette al possessore della moneta originaria, che conosce $c$, di
+calcolare
+$K_{\gamma} \equiv \emph{KX}( c,T_{\gamma})$
+e da lì ricavare
+$(b_{i},c_{i})$
+per, infine, rimuovere la firma cieca. Di conseguenza, un venditore che
+nasconde il proprio reddito in questo modo formerebbe solo un'accordo
economico limitato con il cliente invece di ottenere il controllo esclusivo.
\hypertarget{architettura-del-sistema}{%
\subsection{Architettura del sistema}\label{architettura-del-sistema}}
-Uno degli obiettivi principali della nostra architettura è garantire
-che le banche centrali non debbano interagire direttamente con i
-clienti né conservare alcuna informazione su di loro, ma solo tenere
-un elenco delle monete spese. L'autenticazione è delegata alle banche
-commerciali, che dispongono già dell'infrastruttura necessaria. I
-protocolli di prelievo e deposito raggiungono la banca centrale
-tramite una banca commerciale in qualità di intermediaria. Dal punto
-di vista del cliente, il processo è analogo al prelievo di contanti da
-un bancomat. La transazione tra la banca commerciale dell'utente e la
-banca centrale avviene in background. La procedura per il prelievo di
+Uno degli obiettivi principali della nostra architettura è garantire
+che le banche centrali non debbano interagire direttamente con i
+clienti né conservare alcuna informazione su di loro, ma solo tenere
+un elenco delle monete spese. L'autenticazione è delegata alle banche
+commerciali, che dispongono già dell'infrastruttura necessaria. I
+protocolli di prelievo e deposito raggiungono la banca centrale
+tramite una banca commerciale in qualità di intermediaria. Dal punto
+di vista del cliente, il processo è analogo al prelievo di contanti da
+un bancomat. La transazione tra la banca commerciale dell'utente e la
+banca centrale avviene in background. La procedura per il prelievo di
CBDC è illustrata nel diagramma~\ref{fig:fig1}.
\begin{figure}[h!]
@@ -929,51 +921,51 @@ CBDC è illustrata nel diagramma~\ref{fig:fig1}.
\label{fig:fig1}
\end{figure}
-Il cliente (1) invia i dati di accesso alla propria banca commerciale
-utilizzando le relative procedure di autenticazione e autorizzazione.
-Quindi il telefono (o il computer) del cliente ottiene la chiave di
-valore pubblica $(e, n)$ fornita dalla banca centrale per quel valore; (2)
-calcola quindi una coppia di chiavi per la moneta, con una chiave
-privata $c$ e una chiave pubblica $C$, e sceglie un fattore di accecamento
-$b$. La chiave pubblica della moneta viene quindi sottoposta a hash
-($\to$ $f$) e accecata ($\to$ $f'$). Quindi il dispositivo del cliente (3)
-invia $f'$ insieme all'autorizzazione a prelevare la moneta e ad
-addebitarla dal conto del cliente presso la banca commerciale tramite un
-canale sicuro stabilito. La banca commerciale (4) addebita quindi
-l'importo dal conto deposito del cliente, (5) autorizza digitalmente la
-richiesta utilizzando la firma digitale specifica della propria filiale
-e inoltra la richiesta e la moneta accecata alla banca centrale per la
-firma. La banca centrale (6) sottrae il valore della moneta dal conto
-della banca commerciale, appone la firma cieca sulla moneta
-utilizzando la chiave privata che detiene per il relativo valore e (7)
-restituisce la firma cieca $s'$ alla banca commerciale. La banca
-commerciale (8) inoltra la firma cieca $s'$ al portafoglio elettronico
-del cliente. Infine, il dispositivo del cliente (9) utilizza $b$ per
-rimuovere l'accecamento dalla firma ($\to$ $f$) e salva la moneta appena
+Il cliente (1) invia i dati di accesso alla propria banca commerciale
+utilizzando le relative procedure di autenticazione e autorizzazione.
+Quindi il telefono (o il computer) del cliente ottiene la chiave di
+valore pubblica $(e, n)$ fornita dalla banca centrale per quel valore; (2)
+calcola quindi una coppia di chiavi per la moneta, con una chiave
+privata $c$ e una chiave pubblica $C$, e sceglie un fattore di accecamento
+$b$. La chiave pubblica della moneta viene quindi sottoposta a hash
+($\to$ $f$) e accecata ($\to$ $f'$). Quindi il dispositivo del cliente (3)
+invia $f'$ insieme all'autorizzazione a prelevare la moneta e ad
+addebitarla dal conto del cliente presso la banca commerciale tramite un
+canale sicuro stabilito. La banca commerciale (4) addebita quindi
+l'importo dal conto deposito del cliente, (5) autorizza digitalmente la
+richiesta utilizzando la firma digitale specifica della propria filiale
+e inoltra la richiesta e la moneta accecata alla banca centrale per la
+firma. La banca centrale (6) sottrae il valore della moneta dal conto
+della banca commerciale, appone la firma cieca sulla moneta
+utilizzando la chiave privata che detiene per il relativo valore e (7)
+restituisce la firma cieca $s'$ alla banca commerciale. La banca
+commerciale (8) inoltra la firma cieca $s'$ al portafoglio elettronico
+del cliente. Infine, il dispositivo del cliente (9) utilizza $b$ per
+rimuovere l'accecamento dalla firma ($\to$ $f$) e salva la moneta appena
coniata $(c, s)$.
-Un cliente e un venditore negoziano un contratto commerciale. Il
-cliente (1) utilizza una moneta elettronica per firmare il contratto o
-l'atto di vendita con la chiave privata $c$ della moneta e trasmette la
-firma al venditore. La firma di una moneta su un contratto con una
-moneta valida è l'istruzione del cliente di pagare il venditore, che è
-identificato dal conto bancario nel contratto. Se una singola moneta
-non fosse sufficiente per coprire l'importo totale, i clienti possono
-firmare il contratto con più monete. Il venditore (2) convalida quindi
-la firma della moneta sul contratto e la firma $s$ della banca centrale
-su $f$, che corrisponde a quella della moneta $C$ con le rispettive
-chiavi pubbliche, e inoltra la moneta firmata (insieme alle
-informazioni sul conto del venditore) alla banca commerciale del
-venditore. La banca commerciale del venditore (3) conferma che il
-venditore è un suo cliente e inoltra la moneta firmata alla banca
-centrale. La banca centrale (4) verifica le firme e controlla il
-proprio database per accertarsi che la moneta non sia già stata spesa.
-Se tutto è in ordine, la banca centrale (5) aggiunge la moneta
-all'elenco delle monete spese, l'accredita sul conto della banca
-commerciale presso la banca centrale e (6) invia una conferma in tal
-senso alla banca commerciale. Quindi la banca commerciale (7)
-accredita la moneta sul conto del venditore e (8) gli invia una
-notifica. Il venditore (9) consegna il prodotto o servizio al cliente.
+Un cliente e un venditore negoziano un contratto commerciale. Il
+cliente (1) utilizza una moneta elettronica per firmare il contratto o
+l'atto di vendita con la chiave privata $c$ della moneta e trasmette la
+firma al venditore. La firma di una moneta su un contratto con una
+moneta valida è l'istruzione del cliente di pagare il venditore, che è
+identificato dal conto bancario nel contratto. Se una singola moneta
+non fosse sufficiente per coprire l'importo totale, i clienti possono
+firmare il contratto con più monete. Il venditore (2) convalida quindi
+la firma della moneta sul contratto e la firma $s$ della banca centrale
+su $f$, che corrisponde a quella della moneta $C$ con le rispettive
+chiavi pubbliche, e inoltra la moneta firmata (insieme alle
+informazioni sul conto del venditore) alla banca commerciale del
+venditore. La banca commerciale del venditore (3) conferma che il
+venditore è un suo cliente e inoltra la moneta firmata alla banca
+centrale. La banca centrale (4) verifica le firme e controlla il
+proprio database per accertarsi che la moneta non sia già stata spesa.
+Se tutto è in ordine, la banca centrale (5) aggiunge la moneta
+all'elenco delle monete spese, l'accredita sul conto della banca
+commerciale presso la banca centrale e (6) invia una conferma in tal
+senso alla banca commerciale. Quindi la banca commerciale (7)
+accredita la moneta sul conto del venditore e (8) gli invia una
+notifica. Il venditore (9) consegna il prodotto o servizio al cliente.
L'intera operazione richiede poche centinaia di millisecondi.
\begin{figure}[h!]
@@ -986,295 +978,295 @@ L'intera operazione richiede poche centinaia di millisecondi.
\subsection{Considerazioni sulla sicurezza}
\label{considerazioni-sulla-sicurezza}}
-Nella nostra proposta, occorre che la banca centrale gestisca un
-database e un servizio online ad alta disponibilità. Poiché le monete
-elettroniche possono essere copiate dagli utenti, solo con i controlli
-online si può prevenire in modo efficace la doppia spesa. Sebbene
-nella teoria esistano soluzioni per identificare a posteriori gli
-utenti che effettuano una doppia spesa~\cite[vedi][]{Chaum1990},
-queste soluzioni creano rischi economici sia per gli utenti che per la
-banca centrale a causa del ritardo nell'identificazione di
-transazioni fraudolente. Il rilevamento online della doppia spesa
-elimina questo rischio, ma significa anche che sarà impossibile
-effettuare le transazioni se la connessione Internet alla banca
+Nella nostra proposta, occorre che la banca centrale gestisca un
+database e un servizio online ad alta disponibilità. Poiché le monete
+elettroniche possono essere copiate dagli utenti, solo con i controlli
+online si può prevenire in modo efficace la doppia spesa. Sebbene
+nella teoria esistano soluzioni per identificare a posteriori gli
+utenti che effettuano una doppia spesa~\cite[vedi][]{Chaum1990},
+queste soluzioni creano rischi economici sia per gli utenti che per la
+banca centrale a causa del ritardo nell'identificazione di
+transazioni fraudolente. Il rilevamento online della doppia spesa
+elimina questo rischio, ma significa anche che sarà impossibile
+effettuare le transazioni se la connessione Internet alla banca
centrale non è disponibile.
-La banca centrale dovrà anche proteggere la riservatezza delle chiavi
-private che utilizza per firmare le monete e altri messaggi di
-protocollo. Se le chiavi di firma della banca centrale dovessero
-essere compromesse, ad esempio da un computer quantistico, da un
-attacco fisico ai \textit{datacenter} o anche da qualche nuovo algoritmo
-imprevisto, è possibile rimborsare gli utenti --- in tutta sicurezza e
-senza compromettere la privacy --- tutte le monete non spese. La banca
-centrale annuncerebbe la revoca della chiave tramite l'\textit{Application
-Programming Interface} (API), che verrebbe rilevata dai portafogli,
-avviando quindi il seguente protocollo di aggiornamento: l'utente
-svela alla banca centrale la chiave pubblica $C$ della moneta, la firma
-$s$ della banca centrale e il fattore di accecamento $b$, consentendo così
-alla banca centrale di verificare il legittimo prelievo dell'utente e
-di rimborsare il valore della moneta non spesa. Per rilevare una
-possibile compromissione della propria chiave, la banca centrale può
-monitorare il database in cerca di depositi che eccedano i prelievi.
+La banca centrale dovrà anche proteggere la riservatezza delle chiavi
+private che utilizza per firmare le monete e altri messaggi di
+protocollo. Se le chiavi di firma della banca centrale dovessero
+essere compromesse, ad esempio da un computer quantistico, da un
+attacco fisico ai \textit{datacenter} o anche da qualche nuovo algoritmo
+imprevisto, è possibile rimborsare gli utenti --- in tutta sicurezza e
+senza compromettere la privacy --- tutte le monete non spese. La banca
+centrale annuncerebbe la revoca della chiave tramite l'\textit{Application
+Programming Interface} (API), che verrebbe rilevata dai portafogli,
+avviando quindi il seguente protocollo di aggiornamento: l'utente
+svela alla banca centrale la chiave pubblica $C$ della moneta, la firma
+$s$ della banca centrale e il fattore di accecamento $b$, consentendo così
+alla banca centrale di verificare il legittimo prelievo dell'utente e
+di rimborsare il valore della moneta non spesa. Per rilevare una
+possibile compromissione della propria chiave, la banca centrale può
+monitorare il database in cerca di depositi che eccedano i prelievi.
\subsection{Scalabilità e costi}\label{scalabilità-e-costi}
-Lo schema che proponiamo sarebbe efficiente ed economico quanto i
+Lo schema che proponiamo sarebbe efficiente ed economico quanto i
moderni sistemi RTGS attualmente utilizzati dalle banche centrali.
-La scalabilità si riferisce al costo di aumentare la potenza di
-calcolo in modo che si possa concludere un numero crescente di
-transazioni in tempi adeguati. Il costo complessivo del sistema può
-essere basso in quanto la CBDC qui proposta si basa interamente su
-software. Le monete spese devono essere conservate fino alla scadenza
-della coppia di chiavi di valore utilizzata per firmare le monete, ad
-esempio tramite un ciclo annuale continuo, che mantiene limitata la
-dimensione del database. La potenza di calcolo e la larghezza di banda
-necessarie aumentano della stessa quantità per ogni transazione, spesa
-o deposito addizionali, dato che le transazioni sono intrinsecamente
-indipendenti l'una dall'altra. Questa ulteriore potenza si ottiene
-semplicemente aggiungendo più hardware, una pratica spesso conosciuta
-come partizionamento o \textit{sharding}. Grazie al cosiddetto
-\textit{consistent hashing}, le aggiunte di hardware non risultano
+La scalabilità si riferisce al costo di aumentare la potenza di
+calcolo in modo che si possa concludere un numero crescente di
+transazioni in tempi adeguati. Il costo complessivo del sistema può
+essere basso in quanto la CBDC qui proposta si basa interamente su
+software. Le monete spese devono essere conservate fino alla scadenza
+della coppia di chiavi di valore utilizzata per firmare le monete, ad
+esempio tramite un ciclo annuale continuo, che mantiene limitata la
+dimensione del database. La potenza di calcolo e la larghezza di banda
+necessarie aumentano della stessa quantità per ogni transazione, spesa
+o deposito addizionali, dato che le transazioni sono intrinsecamente
+indipendenti l'una dall'altra. Questa ulteriore potenza si ottiene
+semplicemente aggiungendo più hardware, una pratica spesso conosciuta
+come partizionamento o \textit{sharding}. Grazie al cosiddetto
+\textit{consistent hashing}, le aggiunte di hardware non risultano
dirompenti. Si può anche utilizzare qualsiasi tipo di database.
-Più nello specifico, la logica del \textit{front-end} presso la banca
-centrale deve solo eseguire poche operazioni di firma, e un singolo
-processore può eseguirne alcune migliaia al secondo~\cite[vedi][]{Bernstein2020}.
-Se un unico sistema non fosse sufficiente, è facile aggiungere altri
-server \textit{front-end} e invitare le varie banche commerciali a
-bilanciare le loro richieste nella \textit{server farm} o
-utilizzare un sistema di bilanciamento del carico per distribuire le
+Più nello specifico, la logica del \textit{front-end} presso la banca
+centrale deve solo eseguire poche operazioni di firma, e un singolo
+processore può eseguirne alcune migliaia al secondo~\cite[vedi][]{Bernstein2020}.
+Se un unico sistema non fosse sufficiente, è facile aggiungere altri
+server \textit{front-end} e invitare le varie banche commerciali a
+bilanciare le loro richieste nella \textit{server farm} o
+utilizzare un sistema di bilanciamento del carico per distribuire le
richieste all'interno dell'infrastruttura della banca centrale.
-I server \textit{front-end} devono comunicare con un database per
-effettuare le transazioni e prevenire la doppia spesa. Un unico server
-di database moderno dovrebbe essere in grado di gestire in modo
-affidabile decine di migliaia di operazioni al secondo. Le operazioni
-possono essere facilmente distribuite su più server di database
-semplicemente assegnando a ciascuno un intervallo di valori da
-gestire. Tale configurazione garantisce che le singole transazioni non
-incrocino mai le partizioni. Pertanto, anche i sistemi \textit{back-end}
-dovrebbero scalare in modo lineare con le risorse di calcolo messe a
-disposizione, partendo sempre da una solida base di riferimento per un
+I server \textit{front-end} devono comunicare con un database per
+effettuare le transazioni e prevenire la doppia spesa. Un unico server
+di database moderno dovrebbe essere in grado di gestire in modo
+affidabile decine di migliaia di operazioni al secondo. Le operazioni
+possono essere facilmente distribuite su più server di database
+semplicemente assegnando a ciascuno un intervallo di valori da
+gestire. Tale configurazione garantisce che le singole transazioni non
+incrocino mai le partizioni. Pertanto, anche i sistemi \textit{back-end}
+dovrebbero scalare in modo lineare con le risorse di calcolo messe a
+disposizione, partendo sempre da una solida base di riferimento per un
singolo sistema.
-I \textit{front-end} devono anche comunicare con i \textit{back-end} per
-mezzo di un'interconnessione. Queste interconnessioni possono
-supportare un gran numero di transazioni al secondo. La dimensione di
-una singola transazione è in genere di circa 1–10 kilobyte. Pertanto,
-i \textit{datacenter} di oggi, che scambiano informazioni a 400 Gbit/s,
+I \textit{front-end} devono anche comunicare con i \textit{back-end} per
+mezzo di un'interconnessione. Queste interconnessioni possono
+supportare un gran numero di transazioni al secondo. La dimensione di
+una singola transazione è in genere di circa 1–10 kilobyte. Pertanto,
+i \textit{datacenter} di oggi, che scambiano informazioni a 400 Gbit/s,
possono supportare milioni di transazioni al secondo.
Infine, il costo totale del sistema è basso. Probabilmente il costo
-principale sia rappresentato dall'archiviazione sicura per
-molti anni di 1–10 kilobyte per transazione. Gli esperimenti su un
-prototipo di GNU Taler che utilizzava i prezzi di \textit{Amazon Web Service}
-hanno stabilito che il costo del sistema (archiviazione, larghezza di
-banda e capacità di calcolo) su larga scala sarebbe inferiore a
+principale sia rappresentato dall'archiviazione sicura per
+molti anni di 1–10 kilobyte per transazione. Gli esperimenti su un
+prototipo di GNU Taler che utilizzava i prezzi di \textit{Amazon Web Service}
+hanno stabilito che il costo del sistema (archiviazione, larghezza di
+banda e capacità di calcolo) su larga scala sarebbe inferiore a
0,0001 USD per transazione (per i dettagli sui dati, si veda~\citet{Dold}).
-% In the reference for Dold, the year 2019 should be either not between parentesis
-% or there should be a comma after Dold: Dold, 2019.
+% In the reference for Dold, the year 2019 should be either not between parentesis
+% or there should be a comma after Dold: Dold, 2019.
\section{Considerazioni normative e politiche}
\label{5.-considerazioni-normative-e-politiche}
-Nella soluzione che proponiamo, la banca centrale non conosce
-l'identità dei consumatori o dei venditori né l'importo totale delle
-transazioni, ma vede solo il momento in cui le monete elettroniche vengono
-rilasciate e quando vengono riscattate. Le banche commerciali continuano a
-fornire l'autenticazione cruciale di consumatori e venditori e, in particolare,
-custodiscono le informazioni che acquisiscono per la conoscenza dei clienti
-(KYC). Le banche commerciali osservano quando i venditori ricevono fondi e, se
-necessario, possono limitare la quantità di CBDC per transazione che
-un singolo venditore può ricevere. Inoltre, le transazioni sono
-collegate ai relativi contratti con i clienti. La conseguente
-trasparenza del reddito consente al sistema di soddisfare i requisiti
-delle normative sulla lotta al riciclaggio di denaro e al
-finanziamento del terrorismo (AML e CFT). In caso vengano rilevate
-anomalie nei redditi dei venditori, la banca commerciale e
-l'autorità fiscale o giudiziaria possono ottenere e ispezionare i
-contratti relativi ai pagamenti sospetti al fine di verificarne la
-legittimità. La trasparenza del reddito risultante è anche una forte
-misura contro l'evasione fiscale perché i venditori non possono
-sottodichiarare il proprio reddito o evadere le tasse sulle vendite.
+Nella soluzione che proponiamo, la banca centrale non conosce
+l'identità dei consumatori o dei venditori né l'importo totale delle
+transazioni, ma vede solo il momento in cui le monete elettroniche vengono
+rilasciate e quando vengono riscattate. Le banche commerciali continuano a
+fornire l'autenticazione cruciale di consumatori e venditori e, in particolare,
+custodiscono le informazioni che acquisiscono per la conoscenza dei clienti
+(KYC). Le banche commerciali osservano quando i venditori ricevono fondi e, se
+necessario, possono limitare la quantità di CBDC per transazione che
+un singolo venditore può ricevere. Inoltre, le transazioni sono
+collegate ai relativi contratti con i clienti. La conseguente
+trasparenza del reddito consente al sistema di soddisfare i requisiti
+delle normative sulla lotta al riciclaggio di denaro e al
+finanziamento del terrorismo (AML e CFT). In caso vengano rilevate
+anomalie nei redditi dei venditori, la banca commerciale e
+l'autorità fiscale o giudiziaria possono ottenere e ispezionare i
+contratti relativi ai pagamenti sospetti al fine di verificarne la
+legittimità. La trasparenza del reddito risultante è anche una forte
+misura contro l'evasione fiscale perché i venditori non possono
+sottodichiarare il proprio reddito o evadere le tasse sulle vendite.
Nel complesso, il sistema implementa gli approcci \textit{privacy-by-
-design} e \textit{privacy-by-default} (come richiesto, ad esempio,
-dal Regolamento generale sulla protezione dei dati dell'UE, GDPR). I
-venditori non apprendono necessariamente l'identità dei propri clienti,
-le banche possiedono solo le informazioni necessarie sulle attività dei
-propri clienti e la banca centrale non ha accesso ai dettagli sulle
+design} e \textit{privacy-by-default} (come richiesto, ad esempio,
+dal Regolamento generale sulla protezione dei dati dell'UE, GDPR). I
+venditori non apprendono necessariamente l'identità dei propri clienti,
+le banche possiedono solo le informazioni necessarie sulle attività dei
+propri clienti e la banca centrale non ha accesso ai dettagli sulle
attività dei cittadini.
-In alcuni paesi le normative impongono limiti per i prelievi e i
-pagamenti in contanti. Tali restrizioni possono essere implementate
-anche per la CBDC nel progetto proposto. Ad esempio, è possibile
-stabilire una soglia per l'importo giornaliero che i consumatori possono
-prelevare, oppure limitare l'importo totale di CBDC che le banche
+In alcuni paesi le normative impongono limiti per i prelievi e i
+pagamenti in contanti. Tali restrizioni possono essere implementate
+anche per la CBDC nel progetto proposto. Ad esempio, è possibile
+stabilire una soglia per l'importo giornaliero che i consumatori possono
+prelevare, oppure limitare l'importo totale di CBDC che le banche
commerciali possono convertire.
-La disintermediazione del settore bancario è uno dei rischi di
-instabilità finanziaria spesso sollevato per quanto riguarda la BCDC
-al dettaglio. In particolare, una CBDC al dettaglio potrebbe
-facilitare l'accumulo di ingenti somme di denaro della banca
-centrale, il che potrebbe avere un impatto negativo sul finanziamento
-alle banche mediante depositi perché il pubblico deterrebbe meno
-denaro sotto forma di depositi bancari. Per i paesi le cui valute
-fungono da valute rifugio, ciò potrebbe anche portare ad un aumento
-degli afflussi di capitali durante i periodi globali di avversione al
-rischio, dando luogo ad ulteriori pressioni sui tassi di cambio.
-Quello che quindi potrebbe rappresentare un serio problema nel caso di
-una CBDC basata su conti, lo sarebbe molto meno con una CBDC basata
-su token. Innanzitutto, l'accumulo di una CBDC basata su token comporta
-rischi di furto o perdita simili a quelli legati all'accumulo di
-contanti. Tenere poche centinaia di dollari su uno smartphone è
-probabilmente un rischio accettabile per molti, ma detenere una somma
-molto alta è probabilmente un rischio meno accettabile. Pertanto, non
-ci aspettiamo un accaparramento significativamente maggiore rispetto a
+La disintermediazione del settore bancario è uno dei rischi di
+instabilità finanziaria spesso sollevato per quanto riguarda la BCDC
+al dettaglio. In particolare, una CBDC al dettaglio potrebbe
+facilitare l'accumulo di ingenti somme di denaro della banca
+centrale, il che potrebbe avere un impatto negativo sul finanziamento
+alle banche mediante depositi perché il pubblico deterrebbe meno
+denaro sotto forma di depositi bancari. Per i paesi le cui valute
+fungono da valute rifugio, ciò potrebbe anche portare ad un aumento
+degli afflussi di capitali durante i periodi globali di avversione al
+rischio, dando luogo ad ulteriori pressioni sui tassi di cambio.
+Quello che quindi potrebbe rappresentare un serio problema nel caso di
+una CBDC basata su conti, lo sarebbe molto meno con una CBDC basata
+su token. Innanzitutto, l'accumulo di una CBDC basata su token comporta
+rischi di furto o perdita simili a quelli legati all'accumulo di
+contanti. Tenere poche centinaia di dollari su uno smartphone è
+probabilmente un rischio accettabile per molti, ma detenere una somma
+molto alta è probabilmente un rischio meno accettabile. Pertanto, non
+ci aspettiamo un accaparramento significativamente maggiore rispetto a
quello del denaro fisico.
-Tuttavia, se l'accumulo o la massiccia conversioni dei depositi
-bancari in CBDC dovessero destare proccupazione, la banca centrale
-avrebbe diverse opzioni. Come si è spiegato, secondo il progetto
-proposto le banche centrali fissano una data di scadenza per tutte le
-chiavi di firma, il che implica che in una data prestabilita le monete
-firmate con quelle chiavi diventano non valide. Alla scadenza delle
-chiavi di valore, i consumatori devono scambiare con monete nuove le
-monete che erano state firmate con le vecchie chiavi; l'autorità di
-regolamentazione può facilmente fissare una soglia di conversione per
-cliente per creare un limite rigido alla quantità di CBDC che ogni
-individuo può accumulare. Inoltre, la banca centrale potrebbe addebitare
-commissioni, se necessario. Una commissione di aggiornamento quando le monete
-stanno per scadere significherebbe nella pratica tassi di interesse negativi
-sulla CBDC per limitare il suo fascino come riserva di valore, come
-suggerisce~\cite{Bindseil}. Si tratterebbe infatti della diretta attuazione
-dell'idea di Silvio Gesell di applicare una tassa di possesso sulla moneta,
-notoriamente citata da~\cite{Keynes} e ripresa da~\cite{Goodfriend},
+Tuttavia, se l'accumulo o la massiccia conversioni dei depositi
+bancari in CBDC dovessero destare proccupazione, la banca centrale
+avrebbe diverse opzioni. Come si è spiegato, secondo il progetto
+proposto le banche centrali fissano una data di scadenza per tutte le
+chiavi di firma, il che implica che in una data prestabilita le monete
+firmate con quelle chiavi diventano non valide. Alla scadenza delle
+chiavi di valore, i consumatori devono scambiare con monete nuove le
+monete che erano state firmate con le vecchie chiavi; l'autorità di
+regolamentazione può facilmente fissare una soglia di conversione per
+cliente per creare un limite rigido alla quantità di CBDC che ogni
+individuo può accumulare. Inoltre, la banca centrale potrebbe addebitare
+commissioni, se necessario. Una commissione di aggiornamento quando le monete
+stanno per scadere significherebbe nella pratica tassi di interesse negativi
+sulla CBDC per limitare il suo fascino come riserva di valore, come
+suggerisce~\cite{Bindseil}. Si tratterebbe infatti della diretta attuazione
+dell'idea di Silvio Gesell di applicare una tassa di possesso sulla moneta,
+notoriamente citata da~\cite{Keynes} e ripresa da~\cite{Goodfriend},
\cite{Buiter}, e~\cite{Agarwal}.
-Per quanto riguarda le implicazioni in termini di politica monetaria,
-non dovrebbero esserci cambiamenti reali perché la nostra CBDC è
-progettata per replicare il contante piuttosto che i depositi bancari.
-L'emissione, il prelievo e il deposito della nostra CBCD corrispondono
-esattamente all'emissione, al prelievo e al deposito di banconote. È
-possibile che la velocità di circolazione di una CBDC al dettaglio sia
-diversa da quella del contante fisico, ma questo non dovrebbe
+Per quanto riguarda le implicazioni in termini di politica monetaria,
+non dovrebbero esserci cambiamenti reali perché la nostra CBDC è
+progettata per replicare il contante piuttosto che i depositi bancari.
+L'emissione, il prelievo e il deposito della nostra CBCD corrispondono
+esattamente all'emissione, al prelievo e al deposito di banconote. È
+possibile che la velocità di circolazione di una CBDC al dettaglio sia
+diversa da quella del contante fisico, ma questo non dovrebbe
rappresentare un problema significativo per la politica monetaria.
\hypertarget{lavori-correlati}{%
\section{Lavori correlati}\label{6.-lavori-correlati}}
-Come segnalato in precedenza, la CBDC che si propone in questo documento
-si basa su eCash e GNU Taler.\footnote{L'implementazione di eCash
-da parte della società DigiCash negli anni novanta è documentata su
-\url{https://www.chaum.com/ecash}.} A partire dalla proposta originale
-e-Cash di Chaum, la ricerca si è concentrata su tre questioni principali.
-In primo luogo, nella proposta originale di Chaum le monete avevano un
-valore fisso e potevano essere spese solo nella loro totalità. Pagare
-grandi somme con monete denominate in centesimi sarebbe stato poco
-efficiente; quindi~\cite{Okamoto}, \cite{Camenisch2005}, \cite{Canard}
-e~\cite{Dold} idearono modi per affrontare il problema. Queste soluzioni
+Come segnalato in precedenza, la CBDC che si propone in questo documento
+si basa su eCash e GNU Taler.\footnote{L'implementazione di eCash
+da parte della società DigiCash negli anni novanta è documentata su
+\url{https://www.chaum.com/ecash}.} A partire dalla proposta originale
+e-Cash di Chaum, la ricerca si è concentrata su tre questioni principali.
+In primo luogo, nella proposta originale di Chaum le monete avevano un
+valore fisso e potevano essere spese solo nella loro totalità. Pagare
+grandi somme con monete denominate in centesimi sarebbe stato poco
+efficiente; quindi~\cite{Okamoto}, \cite{Camenisch2005}, \cite{Canard}
+e~\cite{Dold} idearono modi per affrontare il problema. Queste soluzioni
comprendono protocolli per dare il resto o rendere divisibili le monete.
-Un secondo problema riguarda gli errori nelle transazioni dovuti ad
-interruzioni della rete. In questo caso, il sistema deve garantire che
-i fondi rimangano in possesso del consumatore senza pregiudicare la
-privacy. L'\textit{Endorsed E-Cash} proposto da~\cite{Camenisch2007},
-così come da~\cite{Dold}, affrontano entrambi questo problema. Molte
-delle soluzioni violano le garanzie sulla privacy per i clienti che
-utilizzano queste funzionalità e tutte, tranne Taler, violano il
+Un secondo problema riguarda gli errori nelle transazioni dovuti ad
+interruzioni della rete. In questo caso, il sistema deve garantire che
+i fondi rimangano in possesso del consumatore senza pregiudicare la
+privacy. L'\textit{Endorsed E-Cash} proposto da~\cite{Camenisch2007},
+così come da~\cite{Dold}, affrontano entrambi questo problema. Molte
+delle soluzioni violano le garanzie sulla privacy per i clienti che
+utilizzano queste funzionalità e tutte, tranne Taler, violano il
requisito della trasparenza del reddito.
-La terza questione importante, spesso trascurata, è la trasparenza del
-reddito e quindi la conformità con i requisiti AML e KYC. \cite{Fuchsbauer}
-hanno deliberatamente progettato il loro sistema di disintermediazione
-per fornire una semantica più simile al contante. Tuttavia, la
-disintermediazione totale è in genere difficile da concialiare con le
-normative AML e KYC dato che diventa impossibile raggiungere qualsiasi
-livello di responsabilità. Un esempio di tale architettura è ZCash, un
-registro distribuito (\textit{ledger}) che nasconde dalla rete le
-informazioni sul pagatore, sul beneficiario e sull'importo della
-transazione, rendendolo quindi il sistema di pagamento perfetto per la
-criminalità online. Solo Taler offre sia una privacy costante per i
-clienti che la trasparenza del reddito, fornendo al contempo un sistema
-di resto efficiente, scambi atomici~\cite[vedi][]{Camenisch2007} e la
+La terza questione importante, spesso trascurata, è la trasparenza del
+reddito e quindi la conformità con i requisiti AML e KYC. \cite{Fuchsbauer}
+hanno deliberatamente progettato il loro sistema di disintermediazione
+per fornire una semantica più simile al contante. Tuttavia, la
+disintermediazione totale è in genere difficile da concialiare con le
+normative AML e KYC dato che diventa impossibile raggiungere qualsiasi
+livello di responsabilità. Un esempio di tale architettura è ZCash, un
+registro distribuito (\textit{ledger}) che nasconde dalla rete le
+informazioni sul pagatore, sul beneficiario e sull'importo della
+transazione, rendendolo quindi il sistema di pagamento perfetto per la
+criminalità online. Solo Taler offre sia una privacy costante per i
+clienti che la trasparenza del reddito, fornendo al contempo un sistema
+di resto efficiente, scambi atomici~\cite[vedi][]{Camenisch2007} e la
possibilità di ripristinare i portafogli dal backup.
-Per quanto riguarda i sistemi di pagamento per le CBDC, \cite{Danezis}
-hanno progettato un \textit{ledger} scalabile per RSCoin. Si tratta
-fondamentalmente di un sistema RTGS che viene protetto utilizzando la
-stessa crittografia che si usa in Bitcoin. Come Taler, il design utilizza
-il \textit{sharding} del database per consentire la scalabilità lineare.
-Tuttavia, la soluzione di Danezis e Meiklejohn non prevede alcuna
-disposizione per la privacy e manca di elementi per l'integrazione
+Per quanto riguarda i sistemi di pagamento per le CBDC, \cite{Danezis}
+hanno progettato un \textit{ledger} scalabile per RSCoin. Si tratta
+fondamentalmente di un sistema RTGS che viene protetto utilizzando la
+stessa crittografia che si usa in Bitcoin. Come Taler, il design utilizza
+il \textit{sharding} del database per consentire la scalabilità lineare.
+Tuttavia, la soluzione di Danezis e Meiklejohn non prevede alcuna
+disposizione per la privacy e manca di elementi per l'integrazione
pratica del design con i sistemi e i processi bancari esistenti.
-L'EUROchain della Banca Centrale Europea\cite[vedi][]{ECB} è un altro
-prototipo di CBDC con registro distribuito. Simile all'architettura
-proposta in questo documento, EUROchain utilizza un'architettura a due
-livelli in cui le banche commerciali agiscono come intermediari. Una
-differenza cruciale è il modo in cui i sistemi cercano di combinare
-privacy e conformità con la normativa antiriciclaggio (AML). Mentre nel
-nostro progetto l'autorità di regolamentazione può imporre un limite
-alla somma di denaro elettronico che un titolare di conto bancario può
-prelevare in un determinato periodo di tempo, EUROchain emette un numero
-limitato di «voucher di anonimato» che garantiscono al destinatario un
-numero limitato di transazioni senza controlli AML. Poiché questi voucher
-sembrano essere privi di qualsiasi token di valore, non è chiaro come
-il design possa impedire l'emergere di un mercato nero per i «voucher
-di anonimato». Inoltre, la nozione di anonimato di EUROchain è molto
-diversa, in quanto i loro «voucher di anonimato» eliminano solo alcuni
-controlli AML, preservando la capacità delle banche commerciali di
-sapere in che modo i clienti spendono il denaro elettronico. Laddove chi
-paga utilizzando Taler interagisce direttamente con i venditori per
-spendere il proprio contante elettronico, il sistema EUROchain chiede
-ai pagatori di istruire le proprie banche commerciali per accedere alle
-CBDC. Pertanto, EUROchain non emette direttamente token di valore ai
-consumatori, affida invece ai consumatori il compito di autenticarsi
-presso la propria banca commerciale per accedere alle CBDC che la
-banca centrale detiene effettivamente in deposito a garanzia. Non è
-quindi evidente quali siano i vantaggi di EUROchain in termini di
+L'EUROchain della Banca Centrale Europea\cite[vedi][]{ECB} è un altro
+prototipo di CBDC con registro distribuito. Simile all'architettura
+proposta in questo documento, EUROchain utilizza un'architettura a due
+livelli in cui le banche commerciali agiscono come intermediari. Una
+differenza cruciale è il modo in cui i sistemi cercano di combinare
+privacy e conformità con la normativa antiriciclaggio (AML). Mentre nel
+nostro progetto l'autorità di regolamentazione può imporre un limite
+alla somma di denaro elettronico che un titolare di conto bancario può
+prelevare in un determinato periodo di tempo, EUROchain emette un numero
+limitato di «voucher di anonimato» che garantiscono al destinatario un
+numero limitato di transazioni senza controlli AML. Poiché questi voucher
+sembrano essere privi di qualsiasi token di valore, non è chiaro come
+il design possa impedire l'emergere di un mercato nero per i «voucher
+di anonimato». Inoltre, la nozione di anonimato di EUROchain è molto
+diversa, in quanto i loro «voucher di anonimato» eliminano solo alcuni
+controlli AML, preservando la capacità delle banche commerciali di
+sapere in che modo i clienti spendono il denaro elettronico. Laddove chi
+paga utilizzando Taler interagisce direttamente con i venditori per
+spendere il proprio contante elettronico, il sistema EUROchain chiede
+ai pagatori di istruire le proprie banche commerciali per accedere alle
+CBDC. Pertanto, EUROchain non emette direttamente token di valore ai
+consumatori, affida invece ai consumatori il compito di autenticarsi
+presso la propria banca commerciale per accedere alle CBDC che la
+banca centrale detiene effettivamente in deposito a garanzia. Non è
+quindi evidente quali siano i vantaggi di EUROchain in termini di
privacy, prestazioni o sicurezza rispetto all'attuale denaro in deposito.
\section{Conclusione}\label{7.-conclusione}
-Con l'emergere di Bitcoin e valute digitali come Diem (già nota come
-Libra) recentemente proposte dai colossi del web, le banche centrali
-affrontano una crescente concorrenza da parte di operatori privati che
-offrono la propria alternativa digitale al contante fisico. Le decisioni
-delle banche centrali sull'emissione o meno di una CBDC dipendono dalla
-loro valutazione dei benefici e dei rischi di una CBDC. È probabile che
-questi vantaggi e rischi, nonché le circostanze giurisdizionali
-specifiche che definiscono l'ambito di applicazione di una CBDC al
+Con l'emergere di Bitcoin e valute digitali come Diem (già nota come
+Libra) recentemente proposte dai colossi del web, le banche centrali
+affrontano una crescente concorrenza da parte di operatori privati che
+offrono la propria alternativa digitale al contante fisico. Le decisioni
+delle banche centrali sull'emissione o meno di una CBDC dipendono dalla
+loro valutazione dei benefici e dei rischi di una CBDC. È probabile che
+questi vantaggi e rischi, nonché le circostanze giurisdizionali
+specifiche che definiscono l'ambito di applicazione di una CBDC al
dettaglio, differiscano da un paese all'altro.
-Se una banca centrale decide di emettere una CBDC al dettaglio,
-proponiamo una CBDC basata su token che combina la privacy delle
-transazioni con la conformità alle normative KYC, AML e CFT. Tale CBDC
-non sarebbe in concorrenza con i depositi presso le banche commerciali,
-replicherebbe piuttosto il contante fisico, limitando quindi i rischi di
+Se una banca centrale decide di emettere una CBDC al dettaglio,
+proponiamo una CBDC basata su token che combina la privacy delle
+transazioni con la conformità alle normative KYC, AML e CFT. Tale CBDC
+non sarebbe in concorrenza con i depositi presso le banche commerciali,
+replicherebbe piuttosto il contante fisico, limitando quindi i rischi di
stabilità finanziaria e di perturbazione della politica monetaria.
-Abbiamo dimostrato che lo schema qui proposto sarebbe efficiente ed
-economico quanto i moderni sistemi RTGS gestiti dalle banche centrali.
-I pagamenti elettronici con la nostra CBDC richiederebbero solo un
-semplice database e minuscole quantità di larghezza di banda per le
-transazioni. L'efficienza e l'economicità di questa soluzione, insieme
-alla maggiore facilità d'uso da parte del consumatore determinata dal
-passaggio dall'autenticazione all'autorizzazione, rendono questo schema
-probabilmente il primo a supportare l'annoso obiettivo dei micropagamenti
-online. Inoltre, l'uso di monete per firmare crittograficamente contratti
-elettronici consente anche l'impiego di contratti intelligenti. Ciò
-potrebbe anche portare all'emergere di applicazioni completamente nuove
-per i sistemi di pagamento. Sebbene il nostro sistema non sia basato su
-DLT, può essere facilmente integrato con tali tecnologie se richiesto
+Abbiamo dimostrato che lo schema qui proposto sarebbe efficiente ed
+economico quanto i moderni sistemi RTGS gestiti dalle banche centrali.
+I pagamenti elettronici con la nostra CBDC richiederebbero solo un
+semplice database e minuscole quantità di larghezza di banda per le
+transazioni. L'efficienza e l'economicità di questa soluzione, insieme
+alla maggiore facilità d'uso da parte del consumatore determinata dal
+passaggio dall'autenticazione all'autorizzazione, rendono questo schema
+probabilmente il primo a supportare l'annoso obiettivo dei micropagamenti
+online. Inoltre, l'uso di monete per firmare crittograficamente contratti
+elettronici consente anche l'impiego di contratti intelligenti. Ciò
+potrebbe anche portare all'emergere di applicazioni completamente nuove
+per i sistemi di pagamento. Sebbene il nostro sistema non sia basato su
+DLT, può essere facilmente integrato con tali tecnologie se richiesto
dalle future infrastrutture del mercato finanziario.
-Altrettanto importante, una CBDC al dettaglio deve rimanere, come il
-contante fisico, un bene rispettoso della privacy sotto il controllo
-individuale dei cittadini. Lo schema proposto in questo studio soddisfa
-questo criterio e consente alle banche centrali di evitare gravi sfide
-alla loro politica monetaria e alla stabilità finanziaria sfruttando al
+Altrettanto importante, una CBDC al dettaglio deve rimanere, come il
+contante fisico, un bene rispettoso della privacy sotto il controllo
+individuale dei cittadini. Lo schema proposto in questo studio soddisfa
+questo criterio e consente alle banche centrali di evitare gravi sfide
+alla loro politica monetaria e alla stabilità finanziaria sfruttando al
contempo i vantaggi del passaggio al digitale.
\newpage