Translate

lunedì 27 novembre 2017

I RISCHI OPERATIVI DEI CRYPTO EXCHANGES PT.2

Per la prima parte, clicca qui.
Nella prima parte abbiamo visto che Basilea II, dopo aver definito il rischio operativo, impose alle banche di detenere una determinata quota di patrimonio al fine di mitigare gli effetti negativi che potrebbero derivare da una sua manifestazione (l’incendio di una servers farm, una frode interna, una frode esterna, un attacco informatico ecc.).
Per stabilire quanto patrimonio accantonare, le banche debbono stimare la dimensione del rischio operativo sopportato. Tre sono le metodologie comunemente utilizzate a tal fine:
1.      Basic Indicator Approach (Metodo Base).
2.      Stanrdardized Approach (Metodo Standardizzato).
3.      AMA- Advanced Measurement Approach (Metodo Avanzato Di Misurazione).
Cosa orienta la scelta di una banca? Il grado di sofisticazione della sua organizzazione complessiva.
Con il Metodo Base, dapprima l’istituto di credito calcola la media dei margini d’intermediazione registrati negli ultimi tre esercizi ed in seguito accantona patrimonio in misura pari al 15% della stessa.
Con il Metodo Standardizzato, l’attività della banca viene divisa in 8 linee di business ed il requisito patrimoniale è calcolato moltiplicando il margine d’intermediazione con il fattore attribuito alla linea di riferimento.
Con il Metodo Avanzato, ogni banca può utilizzare i suoi modelli interni per calcolare le perdite operative che, con un livello di confidenza del 99,9% , si ritiene non verranno oltrepassate nel corso di un anno. Quindi, qualora la banca stipulasse polizze assicurative sul rischio operativo, potrebbe ridurre gli accantonamenti richiesti in tal senso.
Qual è il rischio principale del modello di business dei crypto exchanges? Quello operativo. Perché? Per la natura strettamente informatica, telematica, non solo dei servizi offerti ma anche dei prodotti trattati (cripovalute), per effetto dell’assenza -allo stato attuale- di qualsiasi controllo istituzionale, per l’assenza di obblighi relativa alla conduzione di audits da rendere pubblici (tutti gli exchanges dicono: «Abbiamo fatto redigere un audit dalla migliore società bla bla bla». «Ok, allora lo rendete pubblico?». «No, è ad uso interno».), in virtù della possibilità di sfruttare, con relativo front running, notizie price sensitive anche in ragione del fatto che in alcuni casi i proprietari degli exchanges risultino essere comproprietari di mining pools, per l’eventualità di dover  pagare multe connesse all’ offerta di leva finanziaria in assenza delle autorizzazioni richieste ecc.
Nel caso in cui dovesse palesarsi uno dei rischi operativi di cui sopra, ad esempio un attacco hacker (molto frequenti sugli exchanges) con furto dei depositi in valuta fiat o cripto l’exchange, in presenza di ammontari rilevanti, potrebbe trovarsi nell’impossibilità di rimborsare i propri clienti (si veda il presunto hacking perpetrato a danno di Bitfinex con conversione del debito in equity). In altri termini, il rischio operativo che teoricamente dovrebbe essere gestito, amministrato e contenuto dall’exchange, ricadrebbe quasi totalmente sui clienti.
Naturalmente, non si tratta di mera malafede (sicuramente presente) e di pressapochismo gestionale (sicuramente presente): sussiste anche un problema di osservazione statistica dei dati disponibili, astrattamente idonei a determinare la quota di patrimonio da accantonare a fronte del rischio operativo. 
Credits to Pius Bak
Moltissimi exchanges sono nati negli ultimi 2-3 anni e dispongono quindi di dati scarsamente significativi da un punto di vista statistico. Infatti, nel caso in cui volessero stimare il rischio operativo dovrebbero considerare due distribuzioni:
1.      quella della frequenza delle perdite (loss frequency distribution);
2.      quella della severità delle perdite (loss severity distribution).
La prima misura il numero di perdite osservate nel corso di un dato orizzonte temporale (in genere 1 anno).
La seconda misura la distribuzione della dimensione delle perdite, ove queste si siano verificate.
Le due distribuzioni si assumono indipendenti tra loro (il che è discutibile).
La prima si ritiene sia ben approssimata dalla distribuzione di Poisson, la quale ipotizza che le perdite si verifichino in modo casuale nel tempo. Più precisamente, dato un breve intervallo di tempo Δt, la probabilità di subire una perdita è pari a λ Δt, mentre nel periodo di tempo (0, T) la probabilità di subire n perdite è pari a:



Il parametro λ è il numero medio di perdite nell’ unità di tempo.
La distribuzione di Poisson gode della proprietà secondo cui la varianza della frequenza delle perdite è pari alla media di  λ, della frequenza delle perdite.
Con riguardo alla Loss Severity Distribution si ritiene, usualmente, che sia log-normale e che le stime dei parametri di questa distribuzione siano pari alla media ed alla deviazione standard del logaritmo delle perdite.
La loss frequency distribution può essere combinata con la loss severity distribution al fine di ottenere, per ogni area di attività, la distribuzione delle perdite. Uno dei metodi utilizzati a tale scopo è il cosiddetto Monte Carlo il quale, partendo dall’ ipotesi che le due distribuzioni siano indipendenti le une dalle altre, richiede di procedere:
1.      estraendo un’ osservazione dalla loss frenquency distribution per determinare il numero delle perdite in un anno, ipotizzata pari ad n;
2.      estraendo n osservazioni dalla loss severity distribution, per determinare le perdite (L1 +L2...+Ln) patite in ogni singolo n evento;
3.      determinando la perdita complessiva (L1 +L2...+Ln) subita nell’ anno.
Si procederà dunque con N simulazioni ottenendo una stima della loss distribution.

Quale exchange oggi procede come sopra? Nessuna. Perché? Perché non hanno obblighi in tal senso e perché non dispongono di dati statisticamente significativi. Chi pagherà e (chi ha già pagato in alcuni casi) il conto che la materializzazione dei rischi operativi presenterà? I clienti, tramite haircut dei depositi in fiat o in crypto. 

Post scritto ascoltando