Nella storia delle crypto, non sono mancati episodi anche clamorosi di frodi. Ogni volta che è capitato è stato dato ampio risalto mediatico e questo ha contribuito a consolidare il preconcetto che criptovalute e fregature vadano normalmente a braccetto.
Summary
La paura della forte correlazione tra crypto e frodi
Il recente lancio su Netflix di Trust No One, documentario sulla controversa vicenda di Quadriga CX, un importante exchange canadese in cui si sono volatilizzati centinaia di milioni di dollari in criptovalute degli utenti della piattaforma, a seguito della misteriosa morte del suo fondatore, Gerald Cotten, mette il dito su una ferita aperta e ne ravviva il dolore.
Si sa, la paura è una leva potente, propaga diffidenza verso tutto ciò che è crypto e questo costituisce uno degli ostacoli primari all’impiego diffuso delle criptovalute e dei molti crypto asset.
Proviamo a ragionare sul fenomeno a mente fredda, evitando facili suggestioni.
Uno dei punti di forza delle valute virtuali che si basano su una blockchain è che essa è virtualmente inviolabile. Per riuscire a forzarla occorre disporre di una potenza computazionale in grado di prevalere sulle capacità di calcolo proprie di quella blockchain.
Su blockchain estese, come quella di Bitcoin ad esempio, questa possibilità in termini pratici è pari a zero. Per “rubare” una criptovaluta la strada più praticabile è quella di impossessarsi in modo illecito delle chiavi private. Un furto “fisico”, ad esempio, o farsele consegnare volontariamente con l’inganno.
Tralasciando la teoria, nella pratica tra le frodi più frequenti che in qualche modo hanno a che fare con le criptovalute o i crypto asset vi sono quelle in cui finte piattaforme di exchange raccolgono fondi dagli utenti per l’acquisto di criptovalute, che le vittime non riusciranno mai a prelevare dagli account aperti su queste piattaforme fantasma. Un bel giorno, quando queste avranno fatto il pieno, spariranno nel nulla.
Non dissimili nella struttura, le frodi basate su ICO fasulle, in cui, una volta che viene raccolto un adeguato quantitativo di risorse in criptovalute, per finanziare la realizzazione di un ipotetico progetto tecnologico ed imprenditoriale, semplicemente i promotori scappano con la cassa.
I principali schemi di frode
Altro schema ricorrente: si viene contattati per telefono o via mail da qualcuno che si presenta come dipendente di una qualche banca, vera ed autorevole. Naturalmente non lo è. Con una serie di scuse si viene indotti ad investire somme crescenti in criptovalute, facendo credere che l’investimento sta maturando rendimenti molto elevati.
A volte vengono fatti firmare contratti, finti ma credibili. Poi al momento di ritirare i frutti dell’investimento miracoloso (magari, previo versamento di qualche importo aggiuntivo per pagare presunte tasse per “sbloccare” l’account) tutto svanisce: criptovalute, o valute fiat versate.
Un altro tipo di frode, con qualche caratteristica di novità, è quella conosciuta come CryptoRom: è basata sulle app di incontri (come Tinder). Il truffatore aggancia la vittima e ne conquista la fiducia, per lo più usando la leva romantica o quella dell’attrazione fisica, poi la convince ad entrare in uno schema Ponzi.
Chi casca in questa “honeytrap” va avanti a buttar via denaro finchè viene convinta che l’investimento sta dando frutti abbondanti, che però non raccoglierà mai. Nel frattempo, a spizzichi e bocconi, sarà stata indotta a versare diverse decine di migliaia di euro, quando con la scusa di tasse, o di fee per sbloccare l’investimento, quando fingendo situazioni di urgente necessità, bisogno o addirittura pericolo, insomma, applicando una qualche leva emotiva adeguata alla situazione.
I danni provocati da queste frodi sono particolarmente odiosi perché colpiscono i risparmi di piccoli investitori e spesso ne compromettono irreversibilmente le esistenze.
Gli ingredienti impiegati per queste ricette sono quasi sempre gli stessi: a parte l’ovvia componente emotiva (prospettare alla vittima qualcosa che gli piacerebbe sentirsi offrire, blandirla, fare leva su paure e desideri) la frode in genere non incide in termini tecnologici sulla blockchain, ma su altre debolezze che sono, per così dire, sovrastrutturali.
Falle del sistema bancario che non interviene quasi mai per bloccare le operazioni effettuate nel corso della frode, o debolezze umane (ingenuità, infatuazioni, ignoranza, etc.).
Insomma, la frode si colloca uno o due gradini più a valle rispetto al cuore della tecnologia blockchain.
Ora, anche quando la frode muove da un trasferimento di criptovalute, prima o poi queste ultime vengono convertite in valute fiat e versate su conti correnti presso banche vere, regolarmente autorizzate. Quei conti, però, subito dopo il colpo spariscono e risultano intestati a false identità. E anche le telefonate arrivano da numeri di telefono in chiaro, le cui utenze però di fatto non sono rintracciabili. Lo stesso vale per le email, riconducibili a domini apparentemente in chiaro, di cui, tuttavia, non si riesce a identificare il proprietario effettivo, e così via.
Sembra incredibile che, nonostante questi passaggi siano tracciati ed in chiaro, risulti così difficile per le vittime di queste frodi ottenere tutela dalla legge. Il fatto è che le indagini su questi tipi di crimini sono complesse e costose. Le forze di polizia spesso non hanno le risorse per perseguire i criminali.
Queste frodi, poi, spesso hanno portata transnazionale perché i trasferimenti finiscono in conti esteri. Questo implica la necessità della collaborazione di polizia e autorità inquirenti di quel paese, il che complica e rallenta le indagini. Soprattutto nei casi in cui le frodi colpiscono una molteplicità di individui per importi individuali relativamente contenuti, questo porta all’ineluttabile risultato di far arenare le indagini e i processi.
Le norme a garanzia di questo tipo di frodi
Ora, le norme volte a colpire questo tipo di crimini e di criminali, almeno sulla carta, ci sono. Esistono le figure di reato tradizionali, come la truffa, ma esistono anche una serie di figure di reato dedicate, come l’accesso non autorizzato a sistemi informatici o l’indebito utilizzo di carte di credito (previsto dall’art. 493 ter c.p. di recentissima introduzione), che colpisce anche l’utilizzo indebito di qualunque mezzo di pagamento diverso dal contante.
Senza contare la figura di reato della frode informatica, prevista dall’art. 640 ter c.p., che prevede un’aggravante specifica quando il fatto comporta un trasferimento di denaro o di valuta virtuale (comma 2). Queste ultime introdotte con norme che si occupano di antiriciclaggio, come il recente D.Lgs. 8 novembre 2021, n. 184, di recepimento della direttiva 2019/713/UE.
Il fatto che, nonostante l’esistenza di queste norme, nella pratica avvenga raramente che in concreto si riesca a punire questo genere di criminali e quindi a tutelare le vittime, evidentemente è un grosso problema.
Ne abbiamo parlato con Paolo Dal Checco, tra i più noti e accreditati Digital Forenser in Italia, docente universitario, CTU per corti e tribunali, e consulente di organi investigativi delle forze dell’ordine. Paolo Dal Checco afferma che:
“L’identificazione e quindi la punibilità di questi soggetti è molto legata alle potenzialità investigative del contesto in cui si sono mossi. In ambito crypto, ovviamente con un minimo di conoscenze i criminali sono in grado di rendersi anonimi e sfuggire a qualunque tipo di tracciamento, a meno che non commettano degli errori che talvolta portano gli inquirenti a ottenere informazioni che possono poi permettere di ricondurre all’identità dei malfattori. In ambito bancario, invece, le norme antiriciclaggio funzionano fino a che i criminali non approfittano di ignare vittime per violare le norme stesse, ad esempio intestando i conti a prestanome o soggetti ai quali hanno rubato l’identità, o attaccando profili web banking di soggetti che a loro volta, a loro insaputa, diventano vettori per le truffe. Quest’ultima casistica, tra l’altro, comincia essere piuttosto frequente e coinvolgere soggetti ai quali viene imputata la responsabilità di aver perpetrato una truffa della quale invece sono loro stessi vittime. Altre volte, molto più semplicemente, tramite social engineering i truffatori riescono a convincere le vittime a collaborare alle attività di riciclaggio, con i loro conti correnti regolarmente intestati. Si tratta dei cosiddetti “money mule”: una maniera per superare gli ostacoli posti delle norme antiriciclaggio ed eludere le indagini sfruttando come punti di appoggio i conti legittimi i soggetti che spesso inconsapevolmente (ma talora anche consapevolmente), creano un ponte di anonimizzazione tra la vittima finale e il criminale. Tutte queste casistiche fanno pensare che le norme antiriciclaggio spesso finiscano per fungere da deterrente e generano complicazioni sproporzionate (anche solo sulla semplice gestione di un conto o di una carta di credito/debito) a scapito proprio delle persone “normali”, cioè di quegli utenti che molto probabilmente non intendono commettere reati non semplicemente utilizzare loro conti per la loro attività quotidiana. Invece purtroppo risultano ampiamente superabili dai criminali che hanno ormai imparato come eluderle. Questo ovviamente non significa che siano inutili, ma certamente andrebbero bilanciate in modo da creare più danni ai criminali e meno ostacoli agli utenti comuni che non fanno nulla di criminale.”
Il quadro che ne emerge fa riflettere. L’impianto capillare ed elefantiaco della normativa antiriciclaggio (soprattutto quella italiana, più onerosa di quanto lo richiedano le direttive europee) spesso finisce per limitare l’operatività di utenti ed imprese.
In più, offre a quegli istituti bancari particolarmente ostili verso le operazioni che hanno a che fare con le criptovalute, molti pretesti per evitare di dare corso a questo tipo di operazioni. È di questi mesi il caso di Unicredit che è arrivata a bloccare le operazioni in crypto di alcuni clienti e di minacciali brandendo la normativa antiriciclaggio, salvo fare retromarcia quando il caso è divenuto di pubblico dominio.
Ma allora a che servono queste massive raccolte di dati, l’ipertrofia di sanzioni e adempimenti burocratici ed identificativi, le pesanti limitazioni a carico dell’utenza comune, se poi il sistema in concreto consente a criminali conclamati di operare e restare tranquillamente nell’ombra e, infine, anche di farla franca?
