Cosa succede ai tuoi dati sull'exchange dopo aver spostato le cripto in self-custody?
Conformità DAC8 · Aggiornato 2026-07-17 · 11min di lettura
In questa pagina
TL;DR:
- Spostare le cripto in self-custody cambia chi detiene l’asset, non ciò che l’exchange ha già in archivio. La self-custody toglie l’asset dalla custodia dell’exchange e dal saldo attivo del conto. Non rimuove i registri storici di saldi, transazioni, identità e indirizzi di prelievo già conservati dall’exchange.
- Chiudere l’account non cancella subito i registri di identità e transazione che l’exchange deve conservare. Le norme antiriciclaggio UE impongono alle piattaforme cripto coperte di conservare i documenti di identificazione del cliente e i registri delle transazioni per cinque anni dopo la fine del rapporto con il cliente, e gli Stati membri possono estendere quel periodo. Con un periodo di conservazione quinquennale applicabile, chiudere un account nel 2026 può significare che certi registri restano fino al 2031.
- Un prelievo verso il tuo wallet viene registrato, ma non è la stessa cosa che essere monitorati. L’exchange che ha processato il prelievo non diventa per ciò stesso tenuto a comunicare in via permanente ogni transazione successiva di quel wallet. Le interazioni successive con un CASP (prestatore di servizi per le cripto-attività) possono creare nuovi registri e nuovi eventi di comunicazione propri.
Hai già usato un exchange con KYC e hai prelevato. Quali dati restano indietro?
Supponi di aver aperto un account su un exchange UE nel 2021. Per farti verificare hai consegnato la foto del passaporto, un selfie, il tuo indirizzo di casa e una carta bancaria: quel processo si chiama KYC, l’insieme di controlli e informazioni che una piattaforma usa per confermare chi sei. A giugno 2026 hai spostato tutto su un wallet self-custody (un wallet non custodial in cui le chiavi private sono tue), e poi hai anche chiuso l’account. Le cripto ora stanno a un indirizzo che controlli tu. È una rottura netta nella custodia, ma non nella conservazione dei dati.
Capire perché conta per una ragione pratica: l’archivio dell’exchange può collegare identità verificata e indirizzo con la storia del conto e dei saldi. Se quell’archivio un giorno trapela, non puoi rimediare come rimedi a una password trapelata. Una password si ruota in un minuto. I fatti identitari fondamentali e i registri storici di verifica non possono essere resi obsoleti allo stesso modo. Li chiameremmo dati identitari non ruotabili: fatti identitari fondamentali e registri storici di verifica, come la data di nascita, le immagini dei documenti già presentate e gli indirizzi verificati in passato, che non possono essere neutralizzati semplicemente cambiando una credenziale.
Questa pagina mappa cosa un exchange conserva dopo che te ne sei andato, quali parti possono essere comunicate o trasmesse, e quale livello di rischio cambia davvero quando passi alla self-custody. L’obiettivo è aiutarti a distinguere i rischi che spostare le cripto riduce dai rischi che solo decisioni migliori sui tuoi dati possono ridurre.
Cosa conserva il tuo exchange e quali parti possono essere comunicate
Parti da ciò che c’è davvero nell’archivio. Spesso contiene più dei soli documenti d’identità, e si divide in quattro categorie.
Dati di identità e verifica. Il livello KYC: nome legale, data di nascita, immagini dei documenti d’identità, selfie, indirizzo di casa e spesso codici di identificazione fiscale. Raccolti per soddisfare requisiti di verifica dell’identità, antiriciclaggio e conformità correlata, con i campi esatti che variano per piattaforma e per profilo di rischio del cliente.
Storia del conto e dei saldi. Cosa detenevi, quando e quanto valeva, incluse fotografie dei saldi che persistono dopo che il saldo stesso è andato a zero.
Registri di trading, prelievi e trasferimenti. I registri di operazioni, depositi e prelievi processati attraverso il conto, inclusi gli indirizzi di destinazione usati per i prelievi.
Dati su dispositivi, accessi e rischio. Le piattaforme possono registrare anche identificativi dei dispositivi, dati di sessione collegati all’IP, attività di login, interazioni con il sito e segnali di rischio. Non ogni campo è specificamente imposto dalla legge: le piattaforme raccolgono combinazioni diverse per sicurezza del conto, prevenzione delle frodi, conformità, operatività del servizio e analisi di prodotto. La documentazione pubblica sulla privacy di Coinbase, per prendere l’esempio di una grande piattaforma, elenca “comportamenti online”, dati dei dispositivi e log di attività tra le categorie a cui un cliente può chiedere accesso.
La distinzione successiva è dove va ogni parte dell’archivio. Le quattro categorie sopra non corrispondono una a una alle destinazioni; lo stesso dato può stare in più canali contemporaneamente.
La maggior parte dell’archivio resta nei registri interni dell’exchange. Una fetta definita viene comunicata alle autorità fiscali ai sensi della DAC8, la norma UE in base alla quale le piattaforme cripto coperte comunicano informazioni specificate su clienti e transazioni attraverso l’autorità fiscale competente, dopodiché le informazioni possono essere scambiate tra autorità fiscali, con copertura dell’attività dal periodo di comunicazione 2026 in avanti. Le informazioni coperte da quella comunicazione sono specifiche: dati identitari come nome, indirizzo, residenza fiscale e codice di identificazione fiscale, più dati aggregati sulle transazioni per tipo di cripto-attività e categorie di transazione. È più ristretta di tutto ciò che la piattaforma detiene: il nostro riferimento su DAC8 e prelievi verso la self-custody spiega quando e come le prime comunicazioni si muovono nel sistema.
Una fetta separata accompagna i trasferimenti regolamentati ai sensi della Travel Rule UE (TFR, la norma che richiede che i trasferimenti viaggino con informazioni identificative su mittente e destinatario). Gli obblighi qui ricadono sui CASP, i prestatori di servizi per le cripto-attività, la categoria regolamentata che può includere exchange, custodi e provider che offrono servizi di cambio cripto-fiat. Per i trasferimenti che coinvolgono wallet self-hosted sopra i 1.000 €, i CASP devono anche valutare, ove applicabile, se l’indirizzo è posseduto o controllato dal cliente coinvolto nel trasferimento. L‘“indirizzo” valutato in quel contesto è ciò che le norme chiamano un indirizzo auto-ospitato (self-hosted): un indirizzo controllato attraverso un wallet che gestisci tu, del tipo verso cui si è spostato l’esempio di questo articolo.
E oltre a entrambi i canali, le piattaforme possono anche essere tenute a fornire registri aggiuntivi in risposta a richieste legittime e circoscritte al caso da parte delle autorità competenti.
Un incidente reale mostra cosa contiene il livello interno quando viene a galla. A maggio 2025 Coinbase ha reso noto, in un deposito presso la Securities and Exchange Commission statunitense, che persone impiegate in ruoli di assistenza all’estero erano state corrotte per ottenere dati dai sistemi interni. I dati compromessi includevano nomi, indirizzi, numeri di telefono ed email; numeri di previdenza sociale mascherati; identificativi bancari mascherati; immagini di documenti governativi; e dati di conto incluse fotografie dei saldi e storia delle transazioni. Una notifica regolamentare separata ha indicato in 69.461 il numero dei clienti coinvolti. Non sono state sottratte password né chiavi private, e i dati esposti non davano di per sé accesso diretto ai fondi dei clienti. L’esposizione durevole era il livello dell’identità e delle informazioni di conto: una violazione reale mostra perché la distinzione conta, perché i registri identitari e le informazioni di conto possono restare preziosi molto dopo che una password è stata cambiata.
La lezione pratica della mappa: ciò che la tua autorità fiscale riceve automaticamente è una fetta definita. L’esposizione più ampia viene dall’insieme più grande di dati che la piattaforma conserva, non solo dai campi comunicati automaticamente.
Chiudere l’account cancella i tuoi dati?
Non i registri che contano qui. Chiudere un account exchange normalmente non cancella i registri di identità, transazione e trasferimento che la piattaforma è legalmente tenuta a conservare, anche se altri dati, come le preferenze di marketing o le risposte ai sondaggi, possono essere cancellati o anonimizzati su richiesta.
La ragione non è la policy della piattaforma ma il diritto antiriciclaggio UE. Le piattaforme cripto che sono soggetti obbligati nel quadro antiriciclaggio UE devono conservare copie dei documenti di identificazione del cliente e i registri delle transazioni per cinque anni dopo la fine del rapporto d’affari, e gli Stati membri possono estendere quel periodo fino ad altri cinque anni. Il nuovo regolamento antiriciclaggio UE direttamente applicabile porta avanti il quadro di conservazione di base quando inizierà ad applicarsi a luglio 2027. Quindi, nell’esempio con cui si è aperto questo articolo: se il periodo di conservazione applicabile è di cinque anni dalla fine del rapporto con il cliente, chiudere l’account a giugno 2026 può significare che certi registri restano almeno fino a metà 2031, più a lungo dove uno Stato membro ha esteso il periodo, e più a lungo ancora se interviene una controversia o un’indagine.
Pensala come penseresti a una banca: chiudere il conto termina il rapporto, non manda al macero il fascicolo. Ciò che chiudere un account cambia è il futuro. I dati ordinari di trading, saldi e sessioni in genere smettono di accumularsi. Il registro storico resta, anche se l’attività ordinaria del conto si è fermata.
Chiudere un account può fermare l’accumulo di nuovi dati. Non è un modo per cancellare il registro storico, e saperlo ti dice dove stanno le tue opzioni reali, che è dove questo articolo va a finire.
L’exchange può ancora vedere il mio wallet dopo il prelievo?
Su una blockchain pubblica chiunque, incluso il tuo ex exchange, può guardare qualsiasi indirizzo. Ma “può guardare un registro pubblico” e “ha un rapporto di comunicazione continuativo con il tuo wallet” sono due cose molto diverse, e confonderle è un fraintendimento frequente in questo campo.
Scomponi l’evento in tre livelli:
Il prelievo viene registrato. Quando hai spostato le cripto fuori, l’exchange ha registrato quel trasferimento, con importo, asset e indirizzo di destinazione, come parte dei suoi registri di trasferimenti e di conto, la stessa categoria di registri descritta sopra.
Il registro può alimentare la comunicazione applicabile. A seconda di quali norme si applicano, le informazioni su quel trasferimento o su di te come cliente possono dover essere conservate, trasmesse insieme al trasferimento o riflesse nella comunicazione periodica. Sono regimi diversi con ritmi diversi, un pacchetto di dati Travel Rule non è una comunicazione fiscale, e si agganciano all’evento e al rapporto con il cliente, non al tuo wallet in quanto tale. Il nostro riferimento su DAC8 e prelievi copre quali di questi flussi sono automatici e quali no.
L’attività successiva del wallet non è automaticamente una comunicazione dell’exchange. L’exchange che ha processato il prelievo non diventa per ciò stesso tenuto a comunicare in via permanente ogni transazione successiva di quel wallet. Le interazioni successive con un CASP possono creare nuovi registri e nuovi eventi di comunicazione propri.
Due avvertenze oneste impediscono che questo diventi troppo comodo. Se le autorità fiscali o le società di analisi possano ricollegare la tua attività on-chain successiva al registro del prelievo è una questione separata: un registro pubblico significa che l’osservazione è sempre possibile, anche dove non esiste alcun obbligo di comunicazione. E ogni provider coperto che userai in seguito può creare i propri registri e può avere i propri obblighi di comunicazione, a seconda del servizio, della transazione e delle norme applicabili: il rapporto sui dati con il tuo vecchio exchange si esaurisce; ne iniziano di nuovi ovunque tu vada dopo.
Il confine: prelevare verso la self-custody è un’azione ordinaria e lecita. Può comunque essere sottoposta a screening o revisione come altri trasferimenti, ma non crea di per sé un rapporto di comunicazione permanente tra l’exchange e ogni transazione successiva del wallet.
Cosa cambia davvero la self-custody e cosa no
Per la persona del nostro esempio, tre cose sono cambiate e tre no.
Cosa è cambiato: la custodia e il controllo dell’asset, perché l’exchange non lo detiene più né lo mostra come saldo attivo di un cliente; la superficie futura, perché con l’account chiuso i dati ordinari di trading, saldi e sessioni in genere smettono di accumularsi; e la forma dell’esposizione futura, perché non c’è un saldo attivo che un futuro incidente presso quell’exchange possa catturare.
Cosa non è cambiato: i registri storici di KYC, saldi e transazioni, per tutto il tempo in cui il diritto sulla conservazione li trattiene, e registri aggiuntivi di conformità o amministrativi possono ancora essere creati anche dopo la chiusura; la possibilità che quell’archivio storico trapeli; e i tuoi obblighi fiscali. Passare alla self-custody cambia dove stanno i tuoi asset, non cambia ciò che devi. Come dice il nostro riferimento DAC8, le regole di comunicazione cambiano ciò che l’autorità fiscale sa, non ciò che è dovuto.
Nell’insieme: lo spostamento riduce l’esposizione futura di custodia e limita i nuovi dati di conto detenuti da quell’exchange. Non cancella l’archivio storico, e non impedisce che l’attività su blockchain pubblica venga osservata altrove.
La self-custody toglie gli asset dal controllo dell’exchange, non i tuoi registri storici di identità e transazione dai suoi sistemi. Questo spiega sia la protezione rivolta al futuro che la self-custody può dare, sia l’esposizione rivolta al passato che non può rimuovere.
La tua situazione → le tue opzioni
Tieni ancora la maggior parte delle tue cripto su un exchange e non ti sei ancora mosso. Sappi prima di muoverti cosa resterà indietro: tutto quanto sopra. Le azioni che cambiano la tua superficie futura sono ridurre il saldo permanente che tieni sulla piattaforma, chiudere gli account inattivi ed evitare account duplicati e invii di documenti d’identità non necessari presso servizi che non intendi usare. Dove questo non vale: se ti serve ancora un on/off-ramp fiat, mantenere un account verificato è un costo ragionevole; vedi il nostro riferimento su come sostituire le funzioni di un exchange per cosa si sposta e cosa resta.
Ti sei già spostato, e sono i dati storici a preoccuparti. Non puoi richiamarli, ma puoi delimitarli. Scarica e conserva copie tue della storia di transazioni e prelievi, anche dagli account che hai chiuso, leggi la policy della piattaforma su chiusura dell’account e conservazione così che la tempistica non riservi sorprese, e non aspettarti che prelievo o chiusura azzerino qualcosa. Cosa non fare: non lasciare che il disagio verso il KYC ti spinga verso sedi non regolamentate senza KYC; rischi di sostituire una preoccupazione sulla conservazione dei dati con un rischio di controparte e di recupero più serio.
Una violazione o una notizia di aggressioni fisiche a detentori di cripto ti ha spaventato. Separa i livelli. Spostare l’asset protegge dall’esposizione futura di custodia presso l’exchange, ma non rimuove il rischio identitario già archiviato nel fascicolo KYC dell’exchange. Ruota ciò che si ruota: password, metodi di autenticazione a due fattori, email collegata. Per ciò che non si ruota, alza la guardia contro il phishing mirato che cita i tuoi dati reali, e segui i rimedi formali della piattaforma. La pratica di sicurezza fisica personale conta e ha una sua letteratura; va oltre ciò che questo riferimento copre.
Hai esitato a prelevare perché avevi sentito che ti fa finire segnalato. Un prelievo può essere registrato e sottoposto a screening senza mettere il wallet in un rapporto di comunicazione permanente con l’exchange. La distinzione importante è tra un trasferimento che entra nei registri di conformità e l’exchange che diventa tenuto a comunicare in via continuativa tutta l’attività successiva del wallet: la sezione sul confine qui sopra la percorre, e il riferimento su DAC8 e prelievi è la mappa più completa della filiera di comunicazione in sé.
FAQ
Posso chiedere all’exchange di cancellare i miei dati con il GDPR?
Puoi chiederlo, ma il diritto alla cancellazione non è assoluto. In base al diritto UE sulla protezione dei dati, un exchange può rifiutare di cancellare i registri che deve conservare per adempiere a obblighi legali, come i periodi di conservazione descritti sopra, pur cancellando o limitando altri dati non più necessari. La documentazione pubblica sulla privacy di una grande piattaforma illustra la divisione: categorie come i dati di marketing e le risposte ai sondaggi possono essere cancellate liberamente, mentre la cancellazione dei dati di identità o transazione richiede la chiusura dell’account, e i dati soggetti a conservazione regolamentare non vengono cancellati finché quei requisiti non sono stati soddisfatti.
Se il mio exchange ha subito una violazione, cosa dovrei fare concretamente?
Cambia ciò che si può cambiare: password, metodo di autenticazione a due fattori, email collegata, anche se la piattaforma dice che le credenziali non sono state sottratte. Per ciò che non si può cambiare, dai per scontato che prima o poi il phishing mirato citerà dettagli reali presi dalla fuga, e tratta quei dettagli come indizio di un possibile bersaglio, non come prova che un messaggio sia autentico. Il fatto che un messaggio conosca il tuo indirizzo o il tuo saldo non lo rende l’assistenza della tua piattaforma. Usa i rimedi formali della piattaforma, come il monitoraggio del credito o l’assistenza dedicata, dove offerti.
I miei dati sono più al sicuro su un exchange piccolo che su uno grande?
La dimensione da sola non è una misura affidabile della sicurezza dei dati. Ciò che determina la tua esposizione è cosa la piattaforma raccoglie, quanto lo centralizza, per quanto tempo lo conserva e come controlla gli accessi interni e dei fornitori. Il confronto utile è la sostanza della privacy policy, non la dimensione del marchio.
DeGate sviluppa un wallet self-custody multichain. Questo riferimento intende spiegare sia cosa la self-custody cambia sia cosa non cambia. Non è una consulenza legale, fiscale o di sicurezza; i periodi di conservazione, le policy delle piattaforme e le regole di comunicazione variano per Stato membro e cambiano nel tempo. Verifica nelle fonti primarie qui sotto o con un consulente qualificato.
Domande a cui risponde questo riferimento
Le domande specifiche a cui questa pagina è scritta per rispondere, utili come punto di partenza per cosa approfondire.
- Quali dati conserva un exchange dopo che hai prelevato le cripto verso la self-custody?
- Chiudere un account exchange cancella i tuoi registri KYC e delle transazioni?
- L'exchange può ancora vedere o segnalare il tuo wallet dopo il prelievo?
- Cosa ha esposto la violazione di Coinbase del 2025, e perché conta per la self-custody?
- Puoi chiedere a un exchange di cancellare i tuoi dati con il GDPR?
- Cosa cambia davvero la self-custody nella tua esposizione sui dati?
Fonti
Le norme primarie, la prassi ufficiale e le dashboard citate sopra. Ogni voce rimanda alla fonte canonica per verificare quanto detto.
Normativa e fonti primarie
- Directive (EU) 2015/849, Art. 40 (AMLD — CDD document and transaction-record retention for five years after the end of the business relationship; member-state extension of up to five further years)· EU
- Regulation (EU) 2024/1624 (AMLR — carries the core retention framework forward when it begins applying in July 2027)· EU
- Directive (EU) 2023/2226 (DAC8)· EU
- Regulation (EU) 2023/1113 (Transfer of Funds Regulation)· EU
Prassi amministrativa
- Coinbase Global, Inc. — Form 8-K, Item 1.05 Material Cybersecurity Incident (filed 2025-05-15; affected data categories, overseas support personnel, no passwords or private keys compromised)· US · 2025-05-15
- SecurityWeek — Coinbase Says Rogue Contractor Data Breach Affects 69,461 Users (May 21, 2025; figure from the mandatory notification filed with the Maine Attorney General)· US · 2025-05-21
Ultimo aggiornamento: 17 luglio 2026. Scritto da DeGate Editorial Team.
Correzioni e aggiornamenti da fonti primarie sono benvenuti a corrections@degate.com .
Riferimenti correlati
DAC8 e self-custody: i prelievi da un exchange vengono segnalati al Fisco?
Come la DAC8 tratta i prelievi verso wallet self-custody: cosa viene comunicato al Fisco e cosa no, per chi sposta cripto fuori dagli exchange nel 2026.
DAC8 ed exchange esteri: i tuoi dati arrivano comunque al Fisco?
I percorsi di comunicazione DAC8 (stesso Stato, scambio UE, CASP extra-UE) e perché un exchange estero non tiene automaticamente i dati fuori dal Fisco.
Alternative a Coinbase e Binance nel 2026: come passare alla self-custody in sicurezza
Come lasciare Coinbase o Binance per la self-custody nel 2026: quale alternativa scegliere per il tuo caso d'uso e come migrare senza perdere fondi.
MiCA e l'uscita da un exchange centralizzato: cosa cambia davvero e cosa no
Come MiCA ridisegna la scelta tra exchange centralizzato e self-custody per gli utenti UE: cosa cambia lato exchange, cosa resta invariato lato wallet.