Skip to content

DAC8

DAC8: fermiamo la sorveglianza di massa dei detentori di cripto

Siamo a un bivio.

È in gioco la sicurezza di milioni di europei: è in corso un programma di sorveglianza di massa e di raccolta dati, pericoloso e ingiustificato.

La DAC8 è la più grande minaccia mai vista alla sopravvivenza dei diritti fondamentali e dei principi cypherpunk di Bitcoin.

Bull Bitcoin si erge come baluardo: rifiutiamo di essere complici di questo abuso da parte dei governi. Rifiutiamo di sottometterci senza combattere.

Per questo abbiamo avviato un'azione legale per far annullare questa legge.

La battaglia legale di Bull Bitcoin per annullare DAC8 e CARF

01

Cos'è la DAC8?

La direttiva di sorveglianza fiscale sui cripto-attivi, in vigore dal 1° gennaio 2026.

La direttiva DAC8, in vigore dal 1° gennaio 2026, impone a ogni fornitore di servizi per cripto-attività (CASP) dell’UE di segnalare informazioni annuali sulle transazioni crypto dichiarabili dei propri clienti alle autorità fiscali. Queste informazioni vengono poi scambiate automaticamente tra i 27 Stati membri.

Ogni CASP deve segnalare, ogni anno:

  • l’identità completa del cliente (nome, indirizzo di residenza, data di nascita, codice fiscale) e la residenza fiscale;
  • i tipi di cripto-attività e le categorie di transazione;
  • valori, unità, date, numero di transazioni e aggregati annuali;
  • informazioni sui trasferimenti, compresi i trasferimenti aggregati verso indirizzi di registro distribuito non associati a un VASP, ove applicabile.

Il primo periodo di rendicontazione riguarda l’anno solare 2026, e il primo scambio tra le autorità fiscali è previsto per settembre 2027. In Francia, la DAC8 è stata recepita dal Decreto n. 2025-1276 del 19 dicembre 2025.

Comunicato stampa del Consiglio dell’UE, 17 ottobre 2023 · pagina DAC8 della Commissione europea · Decreto n. 2025-1276 del 19 dicembre 2025 · barometro ADAN / Deloitte / Ipsos 2026.

Contribuisci alla lotta

La lotta contro la DAC8 è finanziata da BULLBITCOIN.COM e da un'altra piattaforma di scambio cripto francese che per ora preferisce restare anonima. Per contribuire, usa BULLBITCOIN.COM come piattaforma di scambio. I profitti generati dalla tua attività aiutano a finanziare le azioni legali contro DAC8 e CARF ovunque siano utili.

Fai girare la voce

Avvisa le persone intorno a te

Condividi il sito per raggiungere quante più persone possibile, oppure scarica l'infografica per diffonderla intorno a te.

Infografica che spiega come la DAC8 raccoglie i dati degli utenti cripto e delle transazioni e li condivide tra le amministrazioni fiscali.

03

Perché ti riguarda

Il primo dovere dello Stato è proteggere i suoi cittadini.

La DAC8 non riguarda soltanto i detentori di cripto-attività. Riunendo identità, indirizzi di residenza e dati su transazioni e trasferimenti crypto in un database condiviso da 27 amministrazioni fiscali, la direttiva crea un bersaglio di altissimo valore, proprio nel momento in cui i criminali stanno dando priorità ai familiari dei detentori.

40-135 M

europei in una zona di rischio fisico (detentori e loro familiari)

>50%

delle vittime di attacchi nel 2026 non possiede alcuna cripto: coniugi, figli, genitori anziani

Le cripto-attività sono liquide, trasferibili e talvolta visibili su blockchain pubbliche. Una volta collegati identità civile, indirizzo di residenza, attività crypto e segnali di valore, i dati non servono più solo all’amministrazione fiscale: possono essere usati per colpire le persone.

Più della metà delle persone aggredite nel 2026 non possiede alcuna criptovaluta. Non hai mai comprato bitcoin? Basta un solo familiare che ne detenga per farti diventare un bersaglio, e non hai mai acconsentito a comparire in questo database.

La posizione di Bull Bitcoin è semplice: le autorità fiscali dovrebbero poter indagare su contribuenti specifici tramite richieste mirate e motivate. Non dovrebbero creare un database di massa di utenti cripto, indirizzi di residenza, transazioni e trasferimenti.

CertiK, Wrench Attacks Report Q1 2026 · barometro ADAN 2026 · Eurostat EU-SILC 2023.

04

Perché è irragionevole

Un indirizzo blockchain non è un numero di conto. È un'intera vita finanziaria messa a nudo.

01

La trasparenza della blockchain rende sproporzionata la raccolta di massa

Un indirizzo blockchain non è un numero di conto bancario. Può essere un punto d'accesso a un grafo finanziario pubblico e permanente. DAC8 può quindi esporre molto più di un semplice evento imponibile.

Scopri di più ↓

Un indirizzo blockchain non è un numero di conto bancario: è una chiave d’accesso a un’intera vita finanziaria, pubblica e permanente. Su Bitcoin, Ethereum e quasi tutte le chain pubbliche, ogni transazione è pubblica, verificabile e permanente. Quando l’attività crypto dichiarata collega un’identità civile ad attività su registri pubblici, l’esposizione supera quindi di molto un singolo evento imponibile.

  • Esposizione totale. Dove DAC2 trasmette i saldi, DAC8 collega identità e indirizzo di residenza a dati su transazioni e trasferimenti crypto; sui registri pubblici, questo può diventare un punto d’accesso a una storia più ampia.
  • Tutto, incluso il non fiscale. Trasferimenti tra i propri wallet, doni a familiari, pagamenti a commercianti, operazioni P2P: DAC8 cattura movimenti privi di qualsiasi rilevanza fiscale.
  • Una fuga che non si chiude mai. A differenza di un saldo congelato, la storia on-chain si aggiorna da sola, perpetuamente, sotto gli occhi di qualsiasi aggressore.
  • Una violazione del principio di proporzionalità. L’articolo 52 della Carta dei diritti fondamentali richiede che ogni limitazione di un diritto sia necessaria e proporzionata; la CGUE lo ha ribadito nella sua giurisprudenza su FATCA e sul GDPR.
Leggi l'analisi completa
02

Nessuna efficacia dimostrata giustifica questo livello di rischio

Una misura che espone milioni di persone dovrebbe richiedere solide prove di necessità ed efficacia. Il caso a favore della segnalazione di massa delle crypto resta debole rispetto al suo costo in termini di sicurezza.

Scopri di più ↓

Nessun dato pubblico dimostra che lo scambio automatico di massa produca un ritorno fiscale proporzionato al suo costo. Sette anni dopo la sua prima valutazione, la Commissione europea ammette che “la valutazione dei benefici è estremamente limitata”. Nonostante ciò, estende lo stesso schema alle crypto-attività.

  • La Commissione (SWD 2019, poi SWD 2025) ammette di non poter quantificare le entrate aggiuntive generate dallo scambio automatico.
  • La Corte dei conti europea (relazione 03/2021) ha rilevato che solo uno dei cinque Stati membri controllati verifica la qualità dei dati, e che tra il 2015 e il 2017 solo il 2% dei contribuenti coperti era collegato a un numero fiscale.
  • Il regime comparabile AML/KYC intercetta solo lo 0,1% dei fondi criminali a fronte di 136,5 miliardi di dollari di costi annuali in Europa.
  • Il precedente CRS mostra soprattutto uno spostamento verso giurisdizioni non partecipanti, non una riduzione netta dell’evasione.
Leggi l'analisi completa
03

DAC8 può produrre l'effetto opposto a quello dichiarato

Rendendo l'uso di un CASP regolamentato sinonimo di esposizione automatica, DAC8 può spingere gli utenti prudenti verso i mercati peer-to-peer, le piattaforme offshore, il mining o i flussi non-custodial.

Scopri di più ↓

Il detentore informato non si chiede se dichiarare: nel momento in cui usa un CASP, i suoi dati arrivano comunque al fisco. La sua vera domanda diventa “Conviene ancora usare un CASP regolamentato?”. Per un numero crescente di detentori, la risposta sarà no.

  • Le alternative sono lecite. Wallet non-custodial, DEX, P2P, mining, staking non-custodial: tutti fuori dal campo di applicazione di DAC8 e perfettamente legali. La direttiva non spinge verso la frode, ma verso l’abbandono dei CASP regolamentati.
  • La contraddizione con MiCA è frontale. L’UE ha impiegato quasi cinque anni (2019-2024) a costruire MiCA per riportare gli europei verso piattaforme regolamentate, sicure e supervisionate. Sei mesi prima della scadenza del 1° luglio 2026, DAC8 trasforma proprio quelle piattaforme nel luogo più esposto in cui operare.
  • L’efficacia si ribalta. I detentori più sofisticati se ne vanno; restano nel perimetro solo gli utenti comuni, che sopportano da soli il rischio fisico. Meno base imponibile identificata, a costo di posti di lavoro e sovranità digitale.
Leggi l'analisi completa
04

Esiste già un'alternativa meno invasiva

Il diritto francese già conferisce al fisco poteri di richiesta di informazioni mirata. Una richiesta motivata su un contribuente identificato è più sicura e proporzionata rispetto alla raccolta di massa.

Scopri di più ↓

Il diritto di comunicazione (articoli L. 81 e seguenti del Codice di procedura fiscale francese) consente già all’amministrazione di accedere ai dati detenuti da terzi (banche, fornitori di servizi, e ora CASP) in modo mirato e motivato, per un contribuente identificato sottoposto a indagine. Quando una misura meno invasiva raggiunge lo stesso obiettivo, la raccolta di massa è, per costruzione, sproporzionata.

Punti chiave:

  • Esiste un’alternativa meno invasiva. DAC8 fallisce il test di proporzionalità dell’articolo 52 della Carta: non necessaria, non adeguata, non proporzionata.
  • Il diritto di comunicazione è mirato. Riguarda i contribuenti sottoposti a indagine, con dati strettamente necessari, invece di circa 54 milioni di detentori distribuiti in 27 database centralizzati.
  • È già lo standard. Opere d’arte, lingotti, immobili all’estero (modulo 3916), conti titoli: l’amministrazione li ottiene su richiesta motivata, mai tramite accesso permanente. Le crypto-attività non giustificano alcuna eccezione.
Leggi l'analisi completa

05

Perché va fermata

Un archivio centralizzato è un bersaglio.

01

Un'epidemia di violenza fisica colpisce i detentori

La violenza fisica legata alle cripto è esplosa: l'82% degli attacchi globali avviene in Europa e il 70% in Francia (da gennaio ad aprile 2026), e il Ministero dell'Interno francese registra circa un attacco ogni 2,5 giorni. 101 milioni di dollari estorti in quattro mesi. I criminali non agiscono più a caso: comprano i dati personali dei loro bersagli.

Scopri di più ↓

La violenza fisica legata alle cripto è esplosa e si concentra in Europa, con la Francia in testa. I criminali non agiscono più a caso: comprano i dati personali dei loro bersagli per selezionare, localizzare e fare pressione sui detentori e sui loro familiari.

  • L’82% degli attacchi fisici globali legati alle cripto avviene in Europa e il 70% in Francia (da gennaio ad aprile 2026); 101 milioni di dollari estorti in quattro mesi (CertiK, 2026). Il Ministero dell’Interno francese registra circa un attacco ogni 2,5 giorni.
  • La Francia registra un aumento costante: 18 casi nel 2024, 67 nel 2025, 47 nel 2026 al 25 aprile; 88 persone incriminate, tra cui più di 10 minorenni (PNACO).
  • Il modus operandi è cambiato: acquisto di dati, incrocio di fughe di dati dalle piattaforme (caso Waltio), sorveglianza dei familiari, complici reclutati tramite Telegram, regia orchestrata dall’estero.
  • DAC8 e CARF aggiungerebbero un database strutturato che collega identità civili a dati cripto: esattamente ciò che gli aggressori già cercano di ottenere.
Leggi l'analisi completa
02

Le famiglie sono in prima linea

Più della metà delle vittime del 2026 non sono detentori: sono i loro coniugi, figli o genitori anziani. La DAC8 espone quindi non solo i detentori ma l'intera cerchia familiare, tra 40 e 135 milioni di europei in una zona di rischio fisico, nessuno dei quali ha mai dato il proprio consenso.

Scopri di più ↓

Più della metà degli episodi di violenza registrati nel 2026 non colpiscono i detentori: colpiscono i loro coniugi, figli o genitori anziani, come vittime dirette o come leve di pressione (CertiK, Q1 2026). La DAC8 espone quindi non solo i detentori di cripto-attività, ma l’intera cerchia familiare stretta.

  • Un rischio su scala di massa. Moltiplicando ogni detentore per la propria cerchia familiare stretta (× 2,5, coerente con la dimensione media di un nucleo familiare UE) si ottengono tra i 40 e i 135 milioni di europei in una zona di rischio fisico.
  • Un rischio asimmetrico. Una fuga di dati di 50.000 detentori diventa una fuga di 125.000 persone realmente esposte; una fuga di dati della DAC8 (54 milioni) diventerebbe una fuga di 135 milioni.
  • Nessun consenso. I familiari non hanno mai usato una piattaforma cripto, non hanno mai accettato alcuna condizione contrattuale e non hanno modo di sottrarsi.
Leggi l'analisi completa
03

DAC8 aggiunge un database a un terreno già contaminato

In 18 mesi, oltre 100 milioni di registri di cittadini francesi sono stati compromessi da database gestiti dallo Stato o dai suoi fornitori. Il legame tra fughe di dati e violenza è ormai riconosciuto dalle autorità: la violazione Waltio ha servito direttamente almeno tre sequestri di persona. DAC8 aggiunge a questo terreno un database di detentori di un bene trasferibile sotto coercizione.

Scopri di più ↓

Nessun database pubblico può essere considerato permanentemente sicuro. In 12 mesi, la CNIL ha ricevuto 8.613 notifiche di violazione (+45%), circa una fuga all’ora, che ha coinvolto 12,2 milioni di persone. DAC8 aggiunge a questo terreno un database che incrocia l’identità civile con l’attività crypto.

Punti chiave:

  • La sicurezza dipende dall’anello più debole: basta una sola delle 27 amministrazioni. I precedenti esistono (NRA Bulgaria 2019: fino a 7 milioni di contribuenti; Equalize in Italia; l’agente DGFiP Ghalia C. che prendeva di mira investitori crypto).
  • Il rischio non riguarda solo gli attacchi esterni: accessi interni abusivi, configurazioni errate e fornitori compromessi contano altrettanto.
  • I dati crypto trapelati restano sfruttabili a lungo e possono creare una sorveglianza permanente, fino al targeting fisico.
Leggi l'analisi completa
04

Un database centralizzato è un bersaglio per definizione

Concentrare dati sensibili crea un honeypot: un obiettivo ad altissimo valore. I CASP regolamentati (MiCA, DORA, GDPR) sono professionisti supervisionati e sanzionabili, con incentivi a proteggere i propri clienti. DAC8 fa l'opposto: 27 database condivisi, la cui sicurezza complessiva vale quanto l'anello più debole.

Scopri di più ↓

Concentrare dati crypto sensibili in un database condiviso crea un honeypot: un obiettivo di altissimo valore. Più il database è ampio e prezioso, maggiore è lo sforzo che gli aggressori vi dedicano e più devastante è una singola fuga. Il bersaglio DAC8 sarà uno dei più preziosi d’Europa.

I CASP regolamentati (MiCA dal 30 dicembre 2024, DORA da gennaio 2025, GDPR) sono professionisti supervisionati e incentivati: una fuga di dati costa loro la licenza, i clienti e la reputazione, con sanzioni fino al 4% del fatturato mondiale. Un’amministrazione che perde i dati dei contribuenti, al contrario, continua a esistere e nella peggiore delle ipotesi subisce una multa simbolica (Bulgaria 2019: 2,9 milioni di euro pagati dal contribuente bulgaro allo Stato bulgaro).

DAC8 fa l’opposto del sano riflesso di sicurezza:

  • Modello attuale: circa 100-200 CASP indipendenti; una fuga resta contenuta (Waltio: 50.000 clienti).
  • Modello DAC8: 1 database × 27 amministrazioni = 27 bersagli equivalenti, con milioni di agenti esposti (DGFiP: circa 100.000).
  • La sicurezza dell’insieme vale quanto il suo anello più debole.
Leggi l'analisi completa

Risorse

Il dossier di riferimento, in pagine leggibili

Analisi, cifre, fonti e contesto globale del CARF, senza appesantire la homepage.

Sostieni la lotta contro la DAC8