Solo un anno fa, un gruppo di hacker che si fa chiamare Dark Angels ha messo in atto un ransomware contro Cencora, un’importante casa farmaceutica americana, compiendo uno dei più grandi attacchi hacker della storia. Il riscatto informatico che l’impresa statunitense ha dovuto pagare, però, non è stato chiesto in moneta tradizionale, ma in Bitcoin per un valore di 75 milioni di dollari. Negli ultimi anni le criptovalute hanno registrato una crescita vertiginosa: il 2025 Crypto Crime Report del Trm Labs, una società di intelligence che aiuta a rilevare, investigare e a gestire le frodi e i crimini che avvengono nel crypto market, ha analizzato come, a livello globale, nel 2024 il volume di transazioni crittografiche ha superato i 10,6 trilioni di dollari, con un aumento del 56 per cento rispetto al 2023. Ma cosa sono le criptovalute?
Si tratta di monete virtuali, i cui movimenti sono monitorati attraverso una “catena di blocchi”. La blockchain è la tecnologia alla base dei Bitcoin e di molte altre criptovalute, un registro digitale immutabile che tiene traccia di tutte le transazioni in modo sicuro e trasparente. Un sistema informatico che conserva informazioni in sezioni collegate tra loro in ordine cronologico. Ognuna di esse è contrassegnata da un codice univoco che la identifica e non è modificabile una volta inserita all’interno della catena. «La bellezza della blockchain è proprio questa. – spiega Mahya Karbalaii, Senior Researcher in Blockchain and Cryptocurrencies e ricercatrice del Luiss Data Lab – Tutto viene registrato nei blocchi, è tutto trasparente ma è tutto anonimo».
La chiarezza e la tracciabilità dei dati permettono un maggiore controllo, mentre le chiavi crittografiche proteggono l’identità degli utenti. «A nessuno importa chi sei, l’unica cosa di cui hai bisogno è un address, un lungo codice fatto di numeri e lettere, direttamente collegato al tuo wallet. che consiste di due parti: public key e private key. La chiave pubblica equivale all’address, mentre quella privata è conosciuta solo dalla persona interessata e serve per aver accesso al suo denaro. Nessuno deve registrarsi con la sua identità. Non ci sono tracce personali, ma le transazioni restano registrate nella blockchain che conserva lo storico degli scambi».
Secondo i dati raccolti da Statista, i cinque Paesi con il più alto numero di cittadini possessori di valute digitali nel 2024 sono Argentina (30 per cento), Brasile (24 per cento), India (22), Sudafrica (22) e Portogallo (20). Gli studi di Chainalysis mostrano che il valore totale delle crypto crime nel 2024 ammontano a circa 50 miliardi di dollari, equivalenti allo 0,14 per cento del volume totale delle transazioni on-chain.
Il mercato illecito
Nonostante il traffico illegale rappresenti solo una piccola parte del crypto market, l’anonimità garantita dalla blockchain consente agli hacker di commettere frodi e ransomware, finanziare il terrorismo e spacciare sostanze stupefacenti senza il pericolo di essere tracciati. L’anno scorso l’Office of Foreign Assets Control (Ofac) degli Stati Uniti e i partner globali hanno emesso tredici designazioni di sanzioni che includono 86 indirizzi di criptovalute, in gran parte rivolte a entità legate alla Russia e ad Hamas, un’organizzazione terroristica che controlla la striscia di Gaza.
I flussi in entrata legati alle truffe, secondo quanto riportato dallo studio del Trm Labs, sono diminuiti del 40 per cento nel 2024, pur rimanendo elevati a 10,7 miliardi di dollari. Alla base del calo c’è una riduzione dell’attività degli schemi Ponzi e piramidali che hanno ricevuto oltre 4,3 miliardi di dollari, ma con una diminuzione del 37 per cento rispetto ai flussi del 2023. Nel 2024, i gruppi di finanziamento del terrorismo hanno continuato a espandere l’uso delle criptovalute, rivolgendosi prevalentemente alle stablecoin per la loro usabilità e stabilità. In particolare Hamas sta facendo sempre più affidamento sulle monete virtuali per finanziare le operazioni, ricevere donazioni e condurre attacchi. Invece il ransomware è rimasto una minaccia in crescita, con 5.635 attacchi segnalati pubblicamente, superando i 5.223 del 2023. Stesso discorso per la vendita online di droghe: il commercio annuo è cresciuto di oltre il 20 per cento tra il 2023 e il 2024, sfiorando i 2,4 miliardi di dollari.
L’anonimato offerto da questo tipo di transazioni e l’esistenza di sistemi di conversione di denaro in criptovaluta aumentano anche la proliferazione di attività criminali on-line. Ottenere un address per entrare nella bolla dello scambio non è molto complicato. Ci sono diversi modi per ottenere Bitcoin: il più diretto è acquistarlo usando denaro tradizionale, detto fiat, come euro o dollari. In pratica, lo compri proprio come se cambiassi euro in sterline in un ufficio di cambio. Tutto ciò è possibile tramite una piattaforma di scambio, chiamata exchange. «Ne esistono due tipi: centralized exchange (Cex) e decentralized exchanges (Dex). I primi richiedono dati personali e permettono di convertire qualsiasi tipo di valuta in moneta virtuale», spiega Karbalaii.
A partire da quel momento chiunque può trasferire il suo capitale online da un address a un altro: «Una volta entrati nel mondo dei Bitcoin, ciascuno può ottenere quanti addresses desidera e far circolare capitale inviandolo anche a se stesso. La tracciabilità dei “bonifici” resta, ma nessuno conosce l’identità degli intestatari dei conti», dice Karbalaii. Il Dex non permette la conversione delle valute in cripto, ma ha un vantaggio: non richiede informazioni sui proprietari.
Il caso della Corea del Nord
Secondo il 2025 Crypto Crime Report del Trm Labs, gli attacchi alle infrastrutture, che hanno riguardato principalmente il furto di chiavi private e di seed phrase, – che permette di recuperare il private key – hanno rappresentato quasi il 70 per cento dei fondi rubati nel 2024. La Corea del Nord è stata responsabile del 35 per cento dei furti (quasi 800 milioni di dollari), facendo operazioni ad alto impatto, cinque volte più grandi di quelle di altri attori. Nel mondo del crimine cripto, il riciclaggio di denaro è una fase cruciale: serve a “ripulire” i fondi ottenuti illegalmente (tramite hack, truffe, ransomware, ecc.) per renderli utilizzabili senza destare sospetti. Nel 2023, Chainalysis ha osservato un abbassamento del 29,5 per cento nel valore totale riciclato, sceso a 22,2 miliardi di dollari rispetto ai 31,5 dell’anno precedente.
Tale diminuzione può essere in parte spiegata da una generale riduzione dell’attività cripto (sia lecita che illecita), ma il calo del riciclaggio è stato più marcato rispetto alla media del mercato. Inoltre, il modo in cui i criminali riciclano sta cambiando: le tecniche si stanno diversificando, e alcuni, come Lazarus, stanno usando metodi molto più complessi e difficili da tracciare. Dal 2010, il gruppo nordcoreano, probabilmente legato al governo di Pyongyang, è stato ritenuto responsabile di numerosi attacchi informatici: secondo il Dipartimento di Giustizia degli Stati Uniti, il gruppo è lo strumento che l’esecutivo usa per indebolire la sicurezza informatica globale e generare entrate illecite.
Lazarus non è il solo modo in cui la Corea del Nord riesce ad acquisire informazioni e denaro. Secondo una ricerca del Google Threat Intelligence Group, un’altra strategia è quella di far assumere presso importanti aziende statunitensi fidati esperti di informatica che dovranno estorcere soldi alle imprese dietro la minaccia di rivelare notizie riservate. Un caso recente è quello di un hacker nordcoreano che aveva fatto domanda per un posto da ingegnere presso la borsa di criptovalute Kraken ed è stato smascherato durante il colloquio di lavoro.
Leggi anche: Le criptovalute, l’arma nascosta nello scontro tra Russia e Ucraina
