Una nuova norma sulla segnalazione fiscale entrata in vigore nel Regno Unito a gennaio obbliga gli exchange a fornire dati dettagliati sugli utenti a HMRC e alle autorità fiscali di oltre 70 Paesi. Esperti del settore ora avvertono che questo framework potrebbe mettere in pericolo fisico i normali detentori di crypto.
La preoccupazione non è senza precedenti. In Francia, un regime di condivisione dei dati quasi identico è già stato collegato a una serie di crimini violenti contro detentori di crypto.
Cosa richiede effettivamente il CARF
Il Crypto-Asset Reporting Framework, noto come CARF, è uno standard globale progettato dall’OCSE che il Regno Unito ha ufficialmente integrato nella legge due mesi fa.
La legge richiede legalmente a qualsiasi exchange o provider di wallet custodial con sede nel Regno Unito di raccogliere e segnalare annualmente a HMRC, l’agenzia fiscale britannica, una serie standardizzata di dati degli utenti.
Tali dati includono nome completo, indirizzo, data di nascita, residenza fiscale, numero di identificazione fiscale e un registro dettagliato di ogni acquisto, vendita, scambio e trasferimento effettuato dall’utente.
Finora, 76 Paesi hanno aderito al framework, e il numero continua a crescere. Dal 2027, HMRC inizierà a condividere tali informazioni in modo automatico con le autorità fiscali delle giurisdizioni che hanno anche implementato CARF.
Piattaforme importanti come Binance e Kraken operative nel Regno Unito rientrano tra quelle ora obbligate alla segnalazione.
Le autorità di regolamentazione sostengono che il framework chiude una lacuna che ha a lungo permesso l’evasione fiscale sulle crypto. Gli exchange devono anche notificare agli utenti che i loro dati potranno essere condivisi con governi stranieri.
Il precedente della Francia
Freddie New, chief policy officer di Bitcoin Policy UK, ha sottolineato che il CARF crea qualcosa di ben più pericoloso di un database fiscale. A suo avviso, crea una vera e propria “lista di bersagli”.
I ricercatori nel campo della sicurezza hanno un termine per ciò che può avvenire dopo.
Un wrench attack si verifica quando i criminali usano violenza fisica per costringere un detentore di crypto a cedere i propri asset. Quando una persona o la sua famiglia viene minacciata, la tecnologia non offre alcuna protezione. A differenza di un conto bancario violato, nessuno può congelare, annullare o recuperare una transazione crypto forzata.
“Un malintenzionato che ottenesse questi dati potrebbe subito organizzarli rapidissimamente in base alla facilità del bersaglio e all’ammontare di denaro”, ha dichiarato New in occasione di un recente panel legale e normativo ospitato da BeInCrypto. “E a quel punto potrebbe semplicemente fare le valigie e andare a colpire fisicamente le persone.”
Ha indicato la Francia come esempio di Paese che ha già vissuto questo scenario. In Francia è in vigore un regime simile di segnalazione crypto e negli ultimi anni si è registrato uno spiccato aumento di crimini violenti contro i detentori di crypto.
Gli attacchi hanno compreso rapimenti, amputazioni di dita e torture. Le indagini hanno identificato anche un impiegato corrotto presso l’agenzia fiscale francese che avrebbe venduto i dati personali dei detentori di crypto a reti criminali.
Il problema non riguarda solo la Francia.
Un rapporto di Chainalysis, società di analisi blockchain, pubblicato a luglio 2025, ha rilevato che il 2025 era sulla buona strada per registrare il doppio degli attacchi fisici ai detentori di crypto rispetto a qualsiasi anno precedente.
Gli analisti hanno osservato una chiara correlazione tra l’aumento del prezzo di Bitcoin e la frequenza degli episodi violenti. La società ha anche avvertito che molti attacchi non vengono denunciati, suggerendo che le cifre effettive sono potenzialmente più elevate.
Ciò che rende la situazione particolarmente difficile da risolvere è che il CARF non è mai stato frutto di una scelta politica britannica.
Un quadro globale, una vulnerabilità locale
Il CARF non è un’invenzione esclusivamente britannica, ed è proprio questo che lo rende così difficile da mettere in discussione. Tutti i 27 Stati membri dell’Unione Europea lo hanno adottato tramite una direttiva parallela, nota come DAC8, anch’essa entrata in vigore a gennaio.
Dion Seymour, crypto tax director presso Andersen ed ex responsabile delle politiche crypto di HMRC, ha spiegato durante lo stesso panel che i vincoli sono di natura strutturale.
“Il problema è che ora il CARF è già stato creato dall’OCSE”, ha detto Seymour. “È stato ratificato dal G20 in tutto il mondo.”
Quella ratifica, ha spiegato, limita la possibilità che ogni singolo Paese possa cambiare le cose unilateralmente.
Al momento il framework è operativo, la raccolta dei dati è in corso e gli exchange hanno iniziato a segnalare. Resta da vedere se questi dati rimarranno nelle mani giuste nel Regno Unito.
