È di fine giugno la notizia dell’arresto di tre giovani italiani, portati in carcere per scontare la pena definitiva di nove anni e un giorno di reclusione stabilita dalla Corte d’Appello di Milano per sequestro di persona a scopo estorsivo. Nel 2023, sembra per vendicarsi di una truffa subita relativa a una compravendita di orologi di lusso e Bitcoin mai ripagata, avevano chiuso in un appartamento di Milano tre fratelli, legandoli e picchiandoli, e avevano chiesto ai genitori un riscatto da 120mila euro in criptovalute.
Erano stati individuati e arrestati. E poche settimane prima era stata diffusa dai media internazionali la storia di un trader italiano di criptovalute che per due settimane è stato sotto sequestro, torturato per avere accesso al suo wallet. A maggio in Francia la figlia di un investitore in cripto aveva scampato un tentativo di rapimento che aveva coinvolto lei e il suo bambino di due anni. A gennaio, invece, il co-fondatore di Ledger, David Balland, e sua moglie erano stati rapiti in Francia, i banditi avevano chiesto un riscatto in criptovalute. L’imprenditore e la consorte erano stati liberati dalle forze dell’ordine.
Sono solo alcuni episodi che negli ultimi mesi hanno riguardato un’ondata di sequestri, soprattutto in Francia, con un vistoso elemento in comune: un legame delle parti offese con il mondo delle criptovalute. E letta la cronaca, è necessario riflettere. Perché proprio ora, quali sono i fattori di rischio e cosa devono aspettarsi i malviventi?
Indice degli argomenti
Sequestri di persona per le criptovalute, perché stanno sostituendo il cybercrime
Il primo pensiero che viene, spontaneo, di fronte a questi fatti è domandarsi perché i malviventi non trovino più semplice sferrare un attacco cyber e sottrarre così i beni ai cripto-ricchi. Anche perché, sul piano pratico, un sequestro di persona è un lavoro complesso. Sono richieste ore di appostamenti, studio della vittima e delle sue relazioni, social engineering, individuazione del target che si vuole effettivamente rapire, studio delle sue abitudini. Bisogna individuare anche un posto dove nascondere il rapito, studiare la logistica e le forniture, programmare per quanto tempo si vuole portare avanti il sequestro. E poi bisogna dotarsi di mezzi di trasporto e armi, perpetuare la violenza fisica, considerare tutti i fattori di rischio possibili.
Un’operazione che richiede una banda di più persone per essere svolto, quindi vanno anche cercati complici. Oggi però grazie alla tecnologia, alla capacità di leggere con efficienza le tracce digitali e fisiche che inevitabilmente si lasciano e alla rapidità di informazioni, comunicazioni e alla capillarità delle forze dell’ordine, per fortuna molti episodi vengono o sventati o risolti senza conseguenze fisiche per le persone coinvolte.
Cosa sono i wrench attack
Per citare il Wall street journal, tuttavia, si sta virando verso i cosiddetti “wrench attacks”, letteralmente attacchi con la chiave inglese. Il riferimento è a una vignetta in cui due malintenzionati progettano di rubare cripto al proprietario picchiandolo con, appunto, una chiave inglese. Anche perché sempre più investitori si portano i wallet offline, così i cyber attacchi sono più difficili. E dunque, i criminali tornano ai vecchi metodi.
Il fenomeno non sta passando inosservato, sia a chi si occupa di sicurezza ma anche agli investitori stessi, preoccupati: “Il settore delle criptovalute è ancora relativamente nuovo e in evoluzione, con una regolamentazione non sempre chiara o uniforme a livello globale – spiega Enrico Masala, Senior Penetration Tester per Maticmind -. Pur essendo una grande innovazione, le cripto stanno generando nuove minacce per la sicurezza. I rapimenti legati a Bitcoin e simili sono in aumento e stanno mettendo sotto stress molte persone nel settore. È necessario un approccio più consapevole e misure adeguate per evitare che l’utilizzo delle criptovalute diventi un pericolo per chi vi è coinvolto”.
Pecoraro: “brutto momento per chi ha cripto, ecco come mi difendo dai rapimenti”
“In questi giorni si leggono cose brutte sui possessori di criptovalute. Siamo spaventati”.
Federico Pecoraro è un imprenditore italiano con una lunga esperienza nel settore tech e blockchain, attivo nel mondo dei bitcoin fin dai primi anni. È uno dei fondatori di Chainblock, società pioniera nel settore dei servizi per criptovalute in Italia, e oggi consulente per la sicurezza patrimoniale in asset digitali.
“Nel solo ultimo anno, si sono verificati oltre 50 rapimenti legati al possesso di criptovalute. In genere, gli aggressori puntano a ottenere al massimo qualche centinaio di bitcoin, ma anche cifre più basse possono mettere in pericolo chi detiene questi asset”, aggiunge.
E se non rapiscono l’investitore, possono mirare ai familiari: “un caso recente riguarda un padre rapito in Francia, costretto a cedere 40 bitcoin ai suoi sequestratori. La paura è concreta: anch’io ho dei figli e voglio proteggere la mia famiglia“.
“Per questo motivo, ho adottato misure estreme di sicurezza. Le password e le chiavi di accesso sono custodite in un caveau in Svizzera”, spiega. “Non sono in possesso di alcuna copia digitale e non conosco personalmente le credenziali: sono accessibili solo fisicamente e solo all’interno del caveau“.
“Così, in caso di minacce o violenze, non potrei fornire le chiavi nemmeno volendo“.
Redazione
Sequestro di persona per criptovalute, il ruolo dei social
Ovviamente, un punto di partenza per i criminali è l’accesso alle informazioni sugli investitori. E questo può avvenire, tra gli altri metodi sofisticati, attraverso classici come:
- Data breach
- Social engineering
Un caso esemplare è quello del furto di dati subito da Coinbase global a maggio. I dati rubati contenevano nomi, indirizzi, numeri di telefono, documenti e chiavi di accesso a conti bancari. Tutte informazioni che possono essere, purtroppo, utili per chi vuole organizzare un atto criminale come un sequestro.
Vi è poi il pericolo del social engineering che, come spesso avviene, indossa vesti innocenti come quelle dei social network. Le piattaforme di social network come TikTok o Instagram sono piene di investitori in cripto che dedicano tutta la loro immagine social a ciò: mostrano stili di vita da milionari, elencando i benefici di investire in criptovalute, danno consigli su come fare, si presentano come trader, broker, esperti o semplicemente persone che “ce l’hanno fatta”. Tante sono chiacchiere, magari per monetizzare il desiderio di successo di qualche utente, ma qualcuno è davvero un capace investitore con un buon wallet. E così diventa un target.
Non è un caso che, come riporta il Wall street journal nell’articolo prima citato, in seguito ai primi episodi molti nelle cripto communities stanno rendendo privati i loro profili social. Va considerato anche che, in generale, mostrare troppo sui social espone a rischi reali che possono coinvolgere anche persone che con le cripto non c’entrano nulla. Per esempio la cronaca nera italiana ha riportato, negli anni, episodi di appartamenti di influencer svaligiati. Un tema esteso, con numerose declinazioni, tra cui si ricorda anche il rischio dello sharenting e dell’esposizione dei minori online.
Cripto-rapimenti, cosa si rischia in Italia
In Italia il fenomeno dei cripto-rapimenti si è dimostrato contenuto rispetto alla Francia. È importante però, capire il quadro normativo per sapere cosa rischia chi compie un gesto criminale così grave. È bene ricordare infatti che in Italia il reato di sequestro di persona è disciplinato dall’art. 605 del Codice Penale, ed è considerato un reato molto grave, soprattutto se aggravato da determinate circostanze. La fattispecie indica: “Chiunque priva taluno della libertà personale è punito con la reclusione da sei mesi a otto anni”.
La pena aumenta da uno a dieci anni se il reato è commesso:
- Verso un ascendente, un discendente o il coniuge,
- Da un pubblico ufficiale con abuso di potere.
La pena aumenta da tre a dodici anni se la vittima è un minorenne, fino a quindici anni se il minore viene trattenuto all’estero. Se il minore muore, la pena per il rapitore è dell’ergastolo.
Vi è poi il reato di sequestro di persona a scopo di estorsione, disciplinato dall’articolo 630 del Codice penale, che prevede pene da venticinque a trent’anni se si sequestra qualcuno per chiedere il riscatto. Se la persona rapita muore:
- Il rapitore rischia trent’anni di carcere se la morte è sopraggiunta come conseguenza del reato principale, non per volontà del reo,
- La pena è dell’ergastolo se il rapitore ha commesso l’omicidio della vittima.
Vi è poi una selva di reati altrettanto contestabili insieme a quelli principali:
- Lesioni personali – Art. 582 c.p. – Se la vittima subisce danni fisici durante il sequestro.
- Rapina – Art. 628 c.p. – Se, oltre al sequestro, viene sottratto denaro o criptovaluta con violenza o minaccia.
- Accesso abusivo a sistemi informatici – Art. 615-ter c.p. – se i rapitori accedono ai wallet o account di criptovalute forzando codici o password.
- Riciclaggio o autoriciclaggio – Artt. 648-bis e 648-ter.1 c.p. – Se i proventi del sequestro (criptovalute) vengono reinvestiti o movimentati per nasconderne l’origine.
L’Italia ha vissuto una tragica stagione di sequestri di persona. Qualcuno è stato liberato, altri non sono più tornati. A porre un freno fu, a inizio anni Novanta, la legge sul blocco dei beni dei familiari.
I cripto rapimenti in Italia “non sono esclusi. Se molti italiani continueranno a investire somme importanti in cripto e mantenere una visibilità pubblica, il rischio di imitazione da parte delinquenziale aumenta”, commenta Ciro Faella, Sales Specialist per Maticmind.
Cripto-rapimenti, come tutelarsi
Bisogna fare attenzione dunque. La sicurezza parte online, si manifesta anche in misure fisiche e, in generale, richiede consapevolezza dei rischi della rete. e misure di sicurezza da adottare investendo in criptovalute coprono più aspetti:
1. Sicurezza digitale: come spiega Faella è utile “usare wallet non custodial e preferibilmente cold wallet (offline), usare Wallet multi-firma (multisig) per cifre elevate, attivare sempre autenticazione a 2 fattori (2FA), non rivelare pubblicamente l’entità del proprio patrimonio crypto, usare password manager e seed phrase conservati offline, cifrati”;
2. Sicurezza fisica e familiare: non flexare online il proprio patrimonio di cripto. Faella consiglia di “mantenere massima discrezione (niente post social, né vantarsi), proteggere la casa (allarmi, nascondigli non ovvi, cassaforte), impostare “panic wallet” (wallet fittizi con piccole somme), informare i familiari su cosa fare in caso di minaccia o coercizione”.
3. Tutela legale e strategica: se possibile, è imporante “intestare gli asset a entità legali (trust, società), considerare assicurazioni cripto o cyber per patrimoni elevati”, conclude Faella.
Ma soprattutto, in caso di minacce o sensazioni relative a situazioni di possibile pericolo, è importante allertare subito le forze dell’ordine e fare la giusta formazione in sicurezza informatica, anche ai propri familiari, per mantenerli al sicuro.
