Fermata #247 - Coin-breach

Lo scorso 11 maggio Coinbase, uno dei più grandi exchange al mondo, ha ricevuto una mail anonima in cui il mittente dichiarava di possedere informazioni riservate sui conti di una parte degli utenti della piattaforma e richiedeva un riscatto di $20 milioni.

La notizia è stata ufficializzata il 15 maggio in un filing dell’azienda americana. Coinbase ha ammesso che gli attaccanti sono riusciti a estrarre dati sensibili relativi a meno dell’1% dei clienti mensilmente attivi. Le chiavi private e i fondi degli utenti non sono stati compromessi.

Il set di dati trafugati include informazioni altamente sensibili: nomi e cognomi, indirizzi, numeri di telefono, email, le ultime quattro cifre del Social Security Number, le coordinate bancarie solo parzialmente mascherate. A essere sottratte sono state anche le immagini dei documenti, come passaporti e patenti, e le informazioni sullo storico delle transazioni all’interno dell’exchange.

Le prime indagini hanno chiarito il metodo di compromissione: gli hacker avrebbero corrotto alcuni membri del personale di supporto esterno a Coinbase per far copiare dati di clienti dai sistemi interni.

I dati trafugati sono stati già utilizzati nei giorni successivi per colpi di social engineering: i malintenzionati chiamavano fingendosi operatori Coinbase e sfruttando i dettagli ottenuti dai dati personali degli utenti, inducendo alcuni di loro a inviargli denaro. Coinbase ha dichiarato che in questi casi rimborserà le vittime. Nell’annuncio ufficiale, la società ha inoltre garantito che rifiuterà il pagamento del riscatto e offrirà invece una ricompensa di $20 milioni per informazioni utili a identificare e condannare i responsabili. L’azienda stima un costo complessivo compreso tra 180 e 400 milioni di dollari per bonifiche e rimborsi. Queste stime – riportate sia nel filing SEC che in comunicazioni successive – riflettono sia le spese legate alla sicurezza informatica potenziata sia i possibili indennizzi volontari verso i clienti.

Gli honeypot del mondo Bitcoin

Gli exchange centralizzati come Coinbase agiscono da honeypot per i cybercriminali: accumulano grandi quantità di valore in un unico luogo e informazioni aggregate sui clienti. Ciò li rende obiettivi primari, come dimostrano gli innumerevoli hack subiti, da Mt. Gox in poi. Anche l’analisi dei dati mostra quanto il settore sia vulnerabile: secondo Chainalysis nel 2024 sono stati sottratti complessivamente $2,2 miliardi da piattaforme crypto tramite attacchi informatici.

Dal punto di vista della sicurezza, la vulnerabilità principale non è sempre tecnica, ma spesso di processo e organizzazione: l’attenzione deve spostarsi anche sulla parte umana. Nel caso di Coinbase, gli errori di governance interna hanno permesso a pochi individui corrotti di accedere a sistemi estremamente sensibili. La risposta è pertanto non solo migliore crittografia o firewall, ma anche politiche rigorose di controllo del personale (screening, monitoraggio continuo degli accessi, rotazione dei compiti).

“KYC is the illicit activity”

L’incidente mette in evidenza gli enormi limiti - mai discussi dai giornali generalisti - delle politiche KYC/AML. “KYC is the illicit activity” - il KYC è la vera attività illecita - dicono in molti nella community di Bitcoin, mettendo a nudo in un singolo slogan il paradosso rappresentato dalle procedure di know-your-customer: ideate a parole per disincentivare gli illeciti e servite, nei fatti, a creare dei succosi honeypot per cybercriminali.

Le evidenze ormai lasciano spazio a poche interpretazioni: la raccolta obbligatoria dei dati personali crea quei bersagli che dovrebbe prevenire, senza però arginare davvero il crimine. Europol stima che le banche europee spendano ogni anno circa $20 miliardi in regole AML - Anti Money Laundering - riuscendo tuttavia a confiscare appena lo 0,1% dei flussi di denaro illecito.

In compenso permettono la caccia all’uomo anche nei casi più paradossali, come quello riportato da Capital, uno dei siti d’informazione economica di riferimento in Francia: le poste hanno preteso l’origine dei fondi dopo che un uomo ha richiesto di depositare sul proprio conto la bellezza di €0,66.

E’ innegabile ormai come le normative anti-riciclaggio ostacolino molto più clienti onesti e attività imprenditoriali, mentre il loro apparente target si rifugia facilmente in sistemi off-shore o trova altre facili vie di fuga. La lista delle banche coinvolte in maxi-scandali ne dà un assaggio: HSBC, Wells Fargo, BNP Paribas e tante altre hanno facilitato il riciclaggio di migliaia di milioni di dollari nonostante il rispetto di tutte le procedure formali KYC/AML. Uno dei più grandi scandali risale al 2012, quando il Dipartimento di Giustizia americano attestò come HSBC aveva permesso “il riciclaggio di almeno $881 milioni di proventi della droga”, attraverso il sistema finanziario statunitense.

La sovversione pacifica

Non lasciamoci quindi ingannare dal linguaggio rassicurante con cui gli Stati e gli intermediari finanziari mascherano la loro fame di dati. La minaccia del regolatore nei confronti delle aziende costrette a sprecare denaro e risorse per implementare le procedure AML non è altro che il prolungamento elettronico di quel cappio fiscale e burocratico che da secoli stringe il collo agli individui: un’arma — ormai totalmente software — che consente ai poteri centrali di tassare, controllare, bloccare.

Ma in fondo al tunnel distopico c’è un bagliore chiamato Bitcoin. Ogni blocco aggiunto è una scheggia di disobbedienza non violenta, un voto a favore della libertà individuale, un atto di sfiducia verso l’idea che la libertà debba essere elemosinata da un’autorità. Bitcoin vive ovunque e in nessun luogo, rende superfluo il concetto di “territorio” come base imponibile, vanifica la pretesa dello Stato di tracciare ogni spostamento di valore.

Quando un exchange cade, quando un nuovo regolamento pretende di schedarci fino all’ultimo centesimo, la lezione è sempre la stessa: la vera protezione contro le frodi, contro l’abuso di potere, contro la rapacità fiscale non si ottiene con montagne di documenti, ma con tecnologie resistenti alla censura. È la sola armatura che non può essere incrinata da un decreto o comprata con la corruzione di un operatore di call-center.

Bitcoin è, nell’accezione più positiva del termine, una forza sovversiva: mina i presupposti arcaici su cui si regge la tassazione territoriale, sospinge gli individui verso un’economia di scambio volontario, riduce le politiche di sorveglianza a faticose reliquie.

Prima lo capiremo, prima ci libereremo.