Il recente annuncio di Brian Armstrong secondo cui Coinbase avrebbe iniziato a richiedere l'orientamento di persona e a limitare alcuni ruoli ai cittadini statunitensi ha generato scetticismo sulla possibilità che le nuove politiche dell'azienda violassero le leggi antidiscriminazione degli Stati Uniti.
In un'intervista con BeInCrypto, un portavoce di Coinbase ha chiarito che l'azienda non sta adottando una politica generalizzata "solo per cittadini statunitensi". Le modifiche, implementate per contrastare gli hacker nordcoreani, interesseranno solo i ruoli con accesso a sistemi sensibili.
La minaccia di infiltrazione nordcoreana
Coinbase si sta preparando ad adottare nuove politiche di sicurezza radicali in risposta alla crescente minaccia degli hacker nordcoreani .
La scorsa settimana l'amministratore delegato Brian Armstrong ha annunciato che l'azienda riorienterà le sue attività commerciali verso gli Stati Uniti, riservando determinati ruoli ai soli cittadini americani.
Le nuove policy impongono a tutti i neoassunti di partecipare a un corso di orientamento in presenza. Inoltre, i dipendenti che gestiscono sistemi sensibili dovranno ora essere cittadini statunitensi e sottoporsi al rilevamento delle impronte digitali.
Il problema di Coinbase è tutt'altro che secondario. Essendo uno dei principali exchange centralizzati, è un bersaglio costante per gli hacker nordcoreani. Questi autori di minacce sponsorizzati dallo Stato hanno evoluto i loro metodi oltre i tradizionali attacchi informatici, passando a una tattica più insidiosa: l'infiltrazione .
Questo nuovo approccio prevede che agenti nordcoreani si candidino per ruoli Web3 e IT da remoto presso aziende di criptovalute. Utilizzano identità ingannevoli e sofisticate tecniche di ingegneria sociale per ottenere un punto d'appoggio dall'interno, consentendo loro di compiere furti su larga scala e dirottare fondi verso il regime.
Nonostante la gravità della situazione, l'annuncio ha scatenato immediate polemiche e una questione giuridica centrale: queste politiche, in particolare il requisito della cittadinanza, violano le leggi federali statunitensi contro la discriminazione?
Coinbase può difendere le sue misure in base alla legge vigente?
A prima vista, la nuova politica di Coinbase sembra essere in diretto conflitto con la legge federale degli Stati Uniti.
L'Immigration and Nationality Act (INA) generalmente vieta ai datori di lavoro di discriminare una persona in base alla cittadinanza o allo stato di immigrazione.
Dato che il sistema è concepito per garantire un trattamento equo ai cittadini statunitensi, ai residenti permanenti, ai richiedenti asilo e ai rifugiati, una regola generale "solo per cittadini statunitensi" per tutti i lavori sarebbe probabilmente illegale.
Tuttavia, l'INA riconosce diverse eccezioni cruciali. Ad esempio, la legge federale può consentire ai datori di lavoro di negare opportunità a individui che non soddisfano specifici requisiti di sicurezza nazionale . Questa regola si applica spesso ai ruoli che richiedono un'autorizzazione di sicurezza formale o l'accesso a informazioni classificate.
Le leggi sul controllo delle esportazioni impediscono inoltre che tecnologie sensibili finiscano nelle mani sbagliate. La più rigorosa di queste, l'International Traffic in Arms Regulations (ITAR), disciplina i prodotti militari e di difesa. Le più ampie norme dell'Export Administration Regulations (EAR) riguardano i prodotti "a duplice uso" con applicazioni commerciali e militari.
Queste leggi non impongono assunzioni basate sulla cittadinanza. Tuttavia, possono semplificare l'assunzione di un cittadino statunitense da parte di un'azienda, evitando la complessa procedura per ottenere una licenza governativa speciale per condividere la tecnologia con cittadini non americani.
Infine, un'azienda potrebbe essere legalmente tenuta ad assumere solo cittadini statunitensi per determinati ruoli nell'ambito di un contratto federale.
Il principale enigma legale di Coinbase resta se potrà sostenere con successo che le sue misure di sicurezza rientrano in una di queste eccezioni ammissibili o se il suo approccio crei un precedente pericoloso per il settore tecnologico.
Una politica mirata, non un divieto assoluto
La notizia iniziale dell'annuncio di Coinbase ha scatenato speculazioni sul fatto che l'azienda stesse adottando una politica di assunzione rivolta esclusivamente a cittadini statunitensi, il che avrebbe violato direttamente la legge federale.
Tuttavia, un portavoce ha corretto questa versione in uno scambio di email tra BeInCrypto e Coinbase.
"Non stiamo adottando una politica di assunzione 'solo per cittadini statunitensi' valida per tutta l'azienda… Questi cambiamenti interesseranno principalmente i dipendenti che ricoprono ruoli con accesso a sistemi sensibili e i ruoli in Coinbase restano aperti a candidati qualificati, indipendentemente dalla nazionalità", ha dichiarato il portavoce a BeInCrypto.
Questa distinzione suggerisce che l'azienda non si basa su una specifica normativa federale per giustificare la propria politica. Infatti, un portavoce ha chiarito che le nuove misure di sicurezza di Coinbase non mirano a sfruttare alcuna eccezione legale prevista dalla legge federale statunitense.
"Non si tratta di invocare l'ITAR/EAR o di creare restrizioni all'assunzione basate sulla cittadinanza. Le modifiche in discussione riguardano l'aggiunta di nuove misure di sicurezza nella fase di onboarding, come la verifica dell'identità di persona, le impronte digitali e l'orientamento, per ridurre i rischi derivanti da malintenzionati", ha affermato Coinbase.
Per quanto riguarda l'orientamento obbligatorio in presenza, Coinbase ha chiarito che questi eventi si svolgeranno in hub regionali per i dipendenti non statunitensi.
Sebbene la politica di Coinbase apparentemente eviti le insidie legali più evidenti, si avventura in una nuova e non testata zona grigia.
Oltre l'assunzione: proteggere la forza lavoro
La posizione di Coinbase si basa sull'argomentazione che la minaccia rappresentata dagli attori nordcoreani è così grave da richiedere una misura che altrimenti sarebbe considerata eccessiva. In sostanza, si tratta di scommettere che un tribunale riterrebbe la sua motivazione di sicurezza sufficientemente convincente da prevalere su una denuncia per discriminazione.
Nel difendere la propria posizione, Coinbase ha inserito le nuove misure nel contesto di un più ampio cambiamento che ha interessato l'intero settore.
"Dato l'aumento delle applicazioni fraudolente e degli attori malintenzionati che tentano di infiltrarsi nelle aziende tecnologiche, prevediamo che una prova d'identità più rigorosa e requisiti limitati di presenza fisica diventeranno più comuni in tutto il settore", ha dichiarato il portavoce di Coinbase a BeInCrypto.
A complemento di questa tendenza più ampia verso una verifica più rigorosa dell'identità, l'azienda ha anche implementato un approccio di sicurezza multilivello per contrastare le vulnerabilità interne.
"Prendiamo sul serio i rischi di minacce interne, inclusa la possibilità di coercizione esterna o tentativi di corruzione. Il nostro approccio a più livelli include monitoraggio tecnico, controlli dei precedenti, formazione obbligatoria sulla sicurezza e, in futuro, misure di sicurezza più rigorose per l'onboarding di persona", ha aggiunto Coinbase.
Dimostrando che le sue politiche riguardano sia i nuovi assunti sia i dipendenti esistenti, Coinbase non presenta le sue misure come discriminatorie, bensì come una risposta olistica a una minaccia che la legge federale potrebbe non aver pienamente previsto.
Coinbase come caso di prova per il settore delle criptovalute
Il dibattito sulla politica di Coinbase è rappresentativo di una sfida più ampia che sta affrontando l'intero settore. Man mano che attori sponsorizzati da stati e gruppi criminali diventano più sofisticati, le aziende sono costrette ad adottare misure di sicurezza che confondono i confini tra le tradizionali pratiche di assunzione e la sicurezza nazionale.
Data la sua ampia portata, la risposta di Coinbase a queste minacce probabilmente creerà un precedente. La questione non è più se un'azienda possa assumere un cittadino straniero.
Ciò implica anche dover camminare sul filo del rasoio legale ed etico per proteggere se stessa e i propri clienti da questi attacchi sempre più sofisticati.
Sebbene Coinbase abbia difeso le proprie azioni, non è ancora chiaro se il suo modello stabilirà un nuovo standard del settore o sarà il primo caso di prova di una nuova era di battaglie legali.
L'articolo La nuova politica di assunzione di Coinbase contraddice la legge federale degli Stati Uniti? è apparso per la prima volta su BeInCrypto .