Crypto truffe, un binomio che molto spesso si incontra, specie nella stampa mainstream, quando compare l’ennesima notizia di utenti che hanno perso i loro capitali inseguendo fantomatici guru che promettevano guadagni facili, oppure meccanismi malevoli come schemi ponzi, mail che richiedevano di fornire password e seed phrase, e affini fattispecie indirizzate da menti più o meno raffinate per sottrarre fondi alla malcapitata vittima.
Spesso la cronaca in questione viene usata per demonizzare l’intero settore, sulla base di automatismi del tutto ingiustificati, che vorrebbero le stesse criptovalute — cosa ovviamente falsa — essere esse stesse delle truffe.
Sussiste tuttavia una dinamica parallela: se le crypto non sono certamente truffe, ma anzi un ottimo strumento di investimento e gestione del potere d’acquisto, è comunque possibile che le crypto siano “usate” per truffare, o più frequentemente “richieste come bottino” in truffe vere e proprie.
L’obiettivo di questo articolo è fornire una disamina critica e propositiva sulle truffe crypto più frequenti e su come difendersi efficacemente.
La tecnologia, come la libertà, porta necessariamente con sé grandi poteri, da cui derivano altrettanto grandi responsabilità.
Il mondo delle criptovalute, con la sua natura decentralizzata, non è da meno, specialmente perché porge strumenti che fanno di temi come privacy e anonimato un cavallo di battaglia, che può però in certi casi occultare non già la difendibile volontà di difendere un diritto, ma la disdicevole intenzione di nascondere un reato.
Vedremo dunque di capire quali sono le principali minacce che un uso troppo disinvolto e inconsapevole delle criptovalute può veicolare, e di conseguenza quali contromisure mettere in atto per gestire i propri wallet digitali in piena sicurezza.
Crypto truffe: Il quadro generale
Negli ultimi anni, la tecnologia blockchain, inizialmente del tutto sconosciuta ai più, e progressivamente venuta alla ribalta della cronaca dopo la pubblicazione del protocollo Bitcoin, ha suscitato crescente interesse e conseguenti controversie, soprattutto in relazione a eventi come la recessione percepita delle criptovalute in vari momenti storici, nonché alcuni eventi legati a comportamenti discutibili messi in atto da certi progetti, ovvero dai loro amministratori diretti o responsabili.
Se è vero che alcuni exchange hanno veicolato più o meno in malafede truffe ai danni del consumatore e utente, è però anche vero che la quantità di criptovalute prelevata giornalmente in modo illecito ha statisticamente molto più a che fare coi tantissimi truffatori singoli (hacker, scammer, etc…) che hanno rubato cifre esigue, magari attraverso processi seriali, piuttosto che coi pochissimi progetti ritenuti seri che hanno sottratto cifre ingenti in una volta sola, andando comunque incontro a severi processi e a sanzioni di risarcimento danni.
C’è comunque da ribadire che, a livello globale, additare il mondo crypto come intrinsecamente caratterizzato da truffe significa compiere un clamoroso errore, anche per il fatto, piuttosto banale, che la proporzione tra le truffe in crypto e quelle in fiat money è esattamente la stessa che intercorre tra circolante in crypto e circolante in fiat money.
In altri termini, le truffe compiute in euro e in dollari sono almeno cento volte tanto quelle compiute in crypto, e la statistica generale conferma che non è la moneta a fare la truffa, ma il truffatore, che usa la moneta — crypto o standard che sia — per truffare qualcuno.
Detto questo, tuttavia, esistono certamente alcune “caratteristiche” che rendono le crypto piuttosto versatili per certi eventuali tipi di truffe, che andremo dunque a considerare punto per punto, nell’ottica di riassumere poi le buone prassi che l’utente medio metterà in pratica al fine di difendersi in modo efficace.
Premessa: semianonimato e incensurabilità
La crypto in assoluto più celebre, ossia Bitcoin, nasce senza alcun dubbio per rispondere anche a istanze quali privacy e incensurabilità monetaria.
In realtà, una caratteristica fondamentale del protocollo, vale a dire la piena tracciabilità di qualsiasi transazione tra wallet e wallet all’interno della blockchain pubblica, sembrerebbe condurre a un concetto apparentemente opposto e inconciliabile col precedente: la totale trasparenza.
Ebbene, come si conciliano queste due idee che paiono così intrinsecamente in conflitto? La verità è che Bitcoin non è assolutamente un sistema “anonimo”, bensì un sistema “semianonimo”, nel senso che le transazioni, come detto del tutto trasparenti e perfettamente tracciabili e immutabili in blockchain, riguardano fondi crittografici che transitano tra wallet e wallet, ossia tra locazioni puramente “matematiche”, che di certo non recano alcuna denominazione, tanto meno anagrafica.
In tal senso Bitcoin è “semianonimo” in quanto è anonimo per quello che concerne l’identità reale del detentore delle chiavi private (che comunque può affiorare indirettamente da siti dove il detentore stesso si sia dichiarato, oppure da registrazioni ufficiali in exchange relativamente a un certo indirizzo crittografico, etc…), ma non lo è per quanto concerne la stringa (chiave pubblica) di cui in qualsiasi momento si conoscono saldo e trasferimenti.
Questo aspetto, come ovvio, può essere utilizzato da chiunque per richiedere dei fondi senza minimamente essere obbligato a fornire i propri dati personali; ovvero, per richiedere fondi fornendo magari un’identità del tutto falsa, che, a differenza di quanto accade per un comune bonifico bancario, relativamente a una chiave pubblica può essere tranquillamente spesa al cospetto dell’ignara e sprovveduta vittima.
Bitcoin, quindi, e con esso comunque tutta la famiglia delle criptovalute, rappresenta un sistema di pagamento e transazione della ricchezza che, per quanto globale e senza confini, in realtà richiama in causa concetti che sembravano lontani e perduti: la fiducia, la conoscenza reciproca e la stima, nonché in molti casi addirittura la vicinanza fisica tra persone (si pensi anche solo al grande tema delle economie circolari, che tanto interessa e affascina i cultori delle crypto).
Dove stiamo inviando i nostri fondi? A un amico o parente che conosciamo come ovvio di persona, e che magari è addirittura presente davanti a noi col suo device e il suo QR-code? Oppure a un perfetto sconosciuto che si è dichiarato attraverso una mail o una chat giunta dal nulla ai nostri device mobili? A un sito ufficiale, di cui abbiamo più volte controllato l’URL e confrontato con quello presente in documentazioni altrettanto ufficiali? Oppure a un oscuro sito nel dark web, peraltro non presente in alcuna recensione dotata di un minimo di reputazione?
Da notare inoltre che il costrutto decentralizzato che governa le transazioni in blockchain individua fondi che in definitiva risultano incensurabili e impignorabili.
Quindi, una volta che il “ladro” di turno è riuscito a sottrarceli, c’è poco da fare: ammesso e non concesso che si possa individuare il suo nome e la sua ubicazione, sarà praticamente impossibile ottenerli indietro, magari anche dopo una regolare denuncia andata a buon fine.
Concetti come semianonimato e incensurabilità tornano quindi a richiamare a gran voce la necessità di essere totalmente consapevoli e responsabili dei propri fondi.
Pig butchering e fuffaguru
Sulla scorta di quanto detto, le principali truffe che intervengono direttamente sfruttando i canali del “basso livello di allerta” della vittima hanno come ovvio a che fare con una certa capacità di “seduzione” del truffatore, che tenta di far leva su debolezze o desideri reconditi.
A tali fattispecie ci si riferisce spesso con l’espressione di “truffe romantiche”, per il semplice fatto che solitamente, per rompere il ghiaccio, il truffatore di turno contatta la vittima presentandosi come persona amica, o in cerca di amore e comprensione, al fine di stabilire un legame propedeutico alle richieste successive.
Da notare comunque quanto questa generica espressione possa alludere anche a forme di approccio più spicciolo, magari anche slegate dal contesto sentimentale: per esempio ricerca di partner in business ritenuti estremamente profittevoli, oppure allusioni a vincite milionarie, donazioni da parte di filantropi più o meno noti,e via discorrendo.
Le scuse possono in questo senso essere le più fantasiose: fantomatici parenti che hanno lasciato eredità ingenti, personaggi celebri che si sono svegliati una mattina decidendo di donare milioni di dollari al primo che capitava, etc…
Come ovvio tutte queste manovre sono studiate col solo scopo di individuare il soggetto credulone ed emotivamente debole al fine di procedere lungo le fasi successive della truffa…
Una volta stabilito questo legame, il truffatore procede verso la fase detta di “pig butchering” (macellazione del maiale), dove inizia a introdurre alla vittima opportunità di guadagni, ipotesi di business in comune, investimenti e altri artifici aventi come unico scopo la richiesta di denaro, che possono chiaramente in forme criptovalutarie.
La forma alternativa a quella bancaria, in quanto semianonima, permette di bypassare il normale controllo identitario che la vittima potrebbe fare avendo a disposizione un comune IBAN.
Da questo momento in poi, le richieste di pagamenti assumono una natura seriale, fino addirittura a prevedere riscatti necessari all’ottenimento di quanto versato, in tutto o in parte (come ovvio del tutto infondati e facenti parte della stessa strategia di “dissanguamento” della vittima).
La truffa in oggetto può anche assumere la forma ben più spicciola di uno sconosciuto “fuffaguru” che pretende di fornire servizi finanziari al malcapitato.
Abbiamo deciso di includere tra le più comuni morfologie truffaldine anche questa fantasiosa espressione in quanto ormai parte integrante del linguaggio comune, che purtroppo veicola una quantità crescente di truffe spesso anche mediate dal mezzo criptovalutario.
Da un certo punto di vista siamo al cospetto di modalità simili alle truffe “romantiche” orientate a un successivo “pig butchering”, con la sola differenza che in questo caso il meccanismo è probabilmente molto meno articolato del precedente, e utilizza strumenti ben più semplici: in primis, lo spam via mail, oppure — di recente con ben maggiore frequenza — quello attraverso chat e instant messenger.
Lo schema è diretto. Un contatto del tutto sconosciuto si presenta attraverso messaggio diretto o richiesta di amicizia nel social di riferimento della vittima, fornendo servizi di carattere soprattutto finanziario: fantomatici sistemi di trading o gestione patrimoniale, corsi di formazione, etc…
Come ovvio, la prosecuzione del rapporto potrebbe portare a richieste di denaro, che, nella fattispecie, andando a riguardare asset crittografici, andrebbe a ricadere nel “pig butchering” sopraccitato.
Pishing
I truffatori creano in questo caso siti web, e-mail o account falsi che sembrano in tutto e per tutto legittimi, spesso imitando piattaforme di trading o wallet di criptovalute celebri, per rubare informazioni personali o credenziali da utilizzare in vario modo.
Ovviamente tale fattispecie può riguardare tanto la sottrazione di dati privati (comprese password e seedphrase, con tutti i rischi che ne conseguono) quanto la più o meno automatica richiesta di denaro, crittografico o meno.
Schemi ponzi e piramidali
Si tratta di vere e proprie proposte di investimento, spesso mediate da siti anche ufficiali, che illustrano possibilità di guadagno attraverso schemi in cui il generico utente è chiamato a portare gente che faccia la stessa cosa con altri, generando guadagni a monte dalla sommatoria dei pagamenti effettuati a valle.
Molti di questi schemi sono purtroppo utilizzati anche in progetti che minimamente li menzionano. Ossia distribuiscono guadagni che non sono realizzati dall’effettiva validità di un progetto, o addirittura di un asset o token di riferimento, ma solo dal flusso di denaro prodotto dagli investitori dei livelli inferiori.
Come ovvio, dopo un certo periodo di tempo il sistema non è più in grado di pagare in quanto non è in grado di trovare nuovi investitori, ovvero di rastrellare denaro aggiuntivo preesistente.
Pump and dump
Gruppi di persone comprano una criptovaluta con bassa capitalizzazione di mercato e poi la promuovono massicciamente per farne salire il prezzo (pump). Una volta che il prezzo è alto, vendono (dump) lasciando gli investitori successivi con perdite.
Di per sé, la dinamica “pump and dump” non è necessariamente di natura truffaldina, in quanto può essere anche parte di una normale strategia di promozione di un investimento. Si tratta però di una prassi da riconoscere e osservare con un certo sospetto, in quanto comunque spesso connessa a crypto del tutto prive di valore intrinseco.
Nello specifico, la dinamica può essere anche legata a forme particolari di truffe, che sfruttano a livello speculativo il “sentiment” creato piuttosto artificialmente attorno a una certa crypto.
Rug pull
I creatori di un progetto di criptovaluta raccolgono fondi attraverso un’ICO (Initial Coin Offering) ma poi scompaiono con il denaro, lasciando gli investitori con token privi di valore.
Tale forma può anche sconfinare nel “fake ICQ” o “scams di giveaway”, ossia modalità più raffinate che propongono vere e proprie ICQ inesistenti alla base, oppure progettati per rubare fondi e informazioni.
Cryptojacking e smart contract malevoli
Attraverso malware opportunamente diffuso l’utente inizia a porgere inconsapevolmente la potenza di calcolo del suo device per minare crypto a vantaggio del truffatore (cryptojacking).
In questo senso è sempre opportuno valutare con attenzione le soluzioni per minare Bitcoin, rivolgendosi a metodi classici, o a progetti certificati e contrattualmente trasparenti.
In altri casi, piuttosto diversi, ma sempre veicolati da qualche codice malevolo, il wallet del truffato è caricato con degli NFT che contengono smart contract indesiderati in grado di attivare funzioni automatiche di invio fondi a terzi wallet, attraverso procedure automatizzate al di fuori del controllo del legittimo proprietario.
Exchange fasulli
Noti exchange assolutamente sicuri e regolamentati possono essere oggetto di clonazione. Il portale, o l’app di riferimento online, appaiono dunque assolutamente identici a quelli originali. Ciò che ovviamente cambia è l’URL, che potrebbe essere confuso anche per la presenza di un solo carattere diverso rispetto a quello originale.
Nell’exchange fasullo può comparire una banale finestra di login, che dunque andrebbe a registrare le credenziali dell’utente per utilizzarle immediatamente come accesso fraudolento all’exchange reale.
In altri casi, specie legati ad exchange decentralizzati, potrebbero essere svolte operazioni di cambio crypto (swapping) che invece di indirizzare i fondi cambiati al wallet puntualmente indicato dall’utente, potrebbero dirottarli altrove
Conclusioni e consigli pratici
La blockchain rappresenta un’opportunità per una rivoluzione economica e sociale, ma richiede un’adeguata formazione e un senso di responsabilità per essere sfruttata correttamente. La sua implementazione deve accompagnarsi a una cultura della responsabilità che educhi gli utenti non solo all’uso, ma anche alla protezione e alla gestione sicura delle risorse digitali.
Abbiamo visto come numerose truffe facciano unicamente leva sulla capacità di destare determinati desideri nella vittima. Questo passaggio è fondamentale in quanto “abbassa i livelli di guardia” e induce la stessa a comportamenti irragionevoli.
La verità rimane quella dettata dal buonsenso. Perché mai un principe emiratino dovrebbe rintracciare e promettere amore a una pensionata italiana, promettendo poi denaro in cambio di tariffe per sbloccare operazioni finanziarie?
Evidentemente la cosa non ha senso, e quindi veicola una truffa. Allo stesso modo è altrettanto evidente che promesse di guadagni stratosferici ottenuti senza sforzo, previo pagamento di cifre preliminari del tutto ingiustificate, non possono provenire da professionisti certificati.
Da questo punto di vista la prescrizione è semplice. Valutare solo fonti attendibili, rivolgersi a exchange conosciuti e regolamentati, che propongono investimenti chiari, contrattualmente proposti da società rintracciabili e certificate, nonché legati a un controbilanciamento razionale tra costi e benefici.
L’equazione “alto rischio, alto guadagno” è una costante da tenere sempre presente. Forme alternative di investimento, anche in crypto, possono essere ugualmente interessanti, ma rimangono confinate a percentuali “normali” di remunerazione. Oscuri personaggi che pretendono di far guadagnare migliaia di euro netti al giorno sono banalmente da lasciare alla porta.
Quanto a truffe più raffinate, come quelle legate al pishing e alla contraffazione di siti, è sempre importante confrontare i dati per accertarsi che quel portale o quella particolare applicazione siano effettivamente quelle ufficiali.
Procedure più subdole come quelle mediate da smart contract malevoli, spesso veicolati da airdrop e richieste indirizzate all’utente sull’onda di “mode” dell’ultim’ora, hanno caratteristiche piuttosto riconoscibili: un fortissimo richiamo a dinamiche psicologiche come quelle della cosiddetta FOMO (Fear Of Missing Out, ossia paura di essere esclusi da una certa tendenza), diciture ammiccanti che alludono a ticket in grado di trasferire la titolarità di chissà che vincita in crypto, corse all’acquisto di token senza alcun valore intrinseco, e via discorrendo…
Buona regola è attenersi sempre a una strategia di investimento deliberata, uniforme, mediata da consigli di soggetti certificati e avulsa da “inviti” arrivati da fonti sconosciute.
Nel contempo, valgono sempre i comuni dettami in materia di conservazione delle proprie chiavi private, di cui abbiamo già parlato, ai quali si aggiungono sempre le classiche prescrizioni in materia di sicurezza informatica.
Tenendo presente la natura delle minacce descritte, le truffe crypto perdono immediatamente la loro efficacia, non avendo alcuna possibilità di superare la soglia della nostra attenzione, ovvero la sola e unica chiave veramente efficace per tenere al sicuro il nostro portafoglio crittografico.
Filippo Albertin
