Annuncio sponsorizzato

Con Debifi hai accesso a liquidità fiat immediata senza rinunciare ai tuoi bitcoin.

Debifi è una piattaforma di prestiti Bitcoin-only e non-custodial. Depositi i tuoi bitcoin come collaterale in un escrow multisig 3-di-4: le chiavi sono distribuite tra te, il creditore, un key holder autorizzato e Debifi. Servono 3 firme su 4 per muovere i fondi - nessuno può toccare i tuoi bitcoin unilateralmente.

Il codice è open source: puoi verificare tutto.

Dimentica l’incubo del 33% di tasse sulle plusvalenze derivanti dalla vendita di bitcoin: il prestito non è un evento tassabile!

Scegli la durata del prestito, il LTV (la quota di bitcoin che impegni rispetto a quanto ricevi in fiat) e ricevi il prestito in euro, dollari o stablecoin. Debifi, non vendere mai più i tuoi bitcoin!

Richiedi il tuo primo prestito da qui: https://debifi.com

Quando Keonne Rodriguez ha varcato il cancello del penitenziario federale, la cronaca se n’è occupata per un pomeriggio. Titoli asciutti, qualche tweet indignato, poi il silenzio. Eppure quella giornata è probabilmente la più importante degli ultimi anni per chi si occupa di privacy, perché ha certificato una cosa: negli Stati Uniti d’America, scrivere software non-custodial per Bitcoin può costarti il carcere.

Rodriguez e il suo socio William Lonergan Hill, i due developer di Samourai Wallet avevano patteggiato a luglio 2025. In cambio di cinque anni (quattro per Hill, che ha ottenuto uno sconto per età e diagnosi di autismo), il Department of Justice ha accettato di far cadere il capo di accusa più pesante, quello per cospirazione a riciclare denaro, da vent’anni di massimo.

Rodriguez ha scelto di patteggiare. In una storia parallela, ma legata a doppia mandata al caso Samourai, Roman Storm, co-fondatore di Tornado Cash, ha scelto di combattere.

Caso Roman Storm: a che punto siamo

Roman Storm è stato arrestato nell’agosto del 2023, accusato insieme al co-fondatore Roman Semenov (tuttora latitante) di tre capi: cospirazione a riciclare denaro, cospirazione a violare le sanzioni contro la Corea del Nord (in sostanza: Lazarus Group ha usato Tornado Cash per ripulire Ether rubati), e cospirazione a operare un servizio di money transmitting senza licenza. Quattro anni di indagini, un processo di quattro settimane nel Southern District di New York, e poi il verdetto del 6 agosto 2025.

La giuria si è trovata d’accordo solo su uno dei tre capi: quello, apparentemente più tecnico, del money transmitting senza licenza. Sugli altri due, i più pesanti, nessun consenso. La giuria non se l’è sentita di stabilire un nesso diretto fra il codice scritto da Storm e la volontà deliberata di facilitare il crimine. Ma sul capo minore - che non richiede alcuna prova di complicità col crimine stesso - la condanna è arrivata.

Storm è libero su cauzione, in attesa della sentenza. A ottobre 2025 la sua difesa ha depositato una motion for acquittal, chiedendo al giudice di annullare la condanna per insufficienza di prove. Lo scorso 9 aprile 2026, in aula, si è tenuto l’oral argument davanti alla giudice Katherine Polk Failla. Secondo chi ha assistito all’udienza, il Governo ancora non comprende la tecnologia e il giudice ha posto domande dettagliate senza lasciar trapelare l’orientamento. Se la mozione verrà accolta, il Governo dovrà decidere se fare appello o lasciar perdere. Se respinta, Storm andrà a giudizio sul capo di accusa per cui è già stato condannato (rischia fino a cinque anni di prigione) e affronterà un retrial sui due capi non risolti a ottobre 2026, con un’esposizione complessiva che sfiora i quarantacinque anni.

Torniamo però al capo minore. Perché lì si gioca la partita vera.

Si chiama Section 1960: conspiracy to operate an unlicensed money transmitting business. Tradotto: cospirazione per gestire un’attività di trasmissione di denaro senza licenza.

Ora, la cosa interessante è che per condannare qualcuno sotto questo capo non serve dimostrare che il denaro trasmesso sia frutto di crimine. Non serve dimostrare che l’imputato abbia aiutato terroristi, narcotrafficanti o Paesi sotto sanzione. Non serve dimostrare un dolo specifico. Basta dimostrare che ha gestito un’attività che, secondo l’interpretazione del DOJ, trasmette denaro, e che non aveva la licenza per farlo.

Il problema - e qui sta la ragione per cui la vicenda Storm pesa - è che Tornado Cash è software non-custodial. Storm non ha mai avuto accesso ai fondi degli utenti. Il software era open source e permetteva agli utenti di mixare le proprie transazioni. Nessuno, nemmeno Storm, aveva il potere di bloccare o inviare fondi altrui.

Eppure, secondo la giuria di New York, questo è operare un’attività di money transmitting. Scrivere e mantenere il codice, curarne il frontend, pubblicizzarlo. Tutto questo - nell’interpretazione vincente del DOJ - trasforma uno sviluppatore in un gestore di servizi finanziari non autorizzati. Non servono i fondi degli utenti. Non serve la custodia. Serve il codice.

Se questa interpretazione regge in appello, qualsiasi sviluppatore americano di wallet, coinjoin, Lightning Service Provider, Fedimint o Cashu diventa un potenziale imputato.

Il template Samourai

Che questa non sia un’interpretazione isolata lo dimostra la storia di Rodriguez e Hill. I due co-fondatori di Samourai Wallet sono stati arrestati nell’aprile del 2024, con capi d’accusa sostanzialmente identici a quelli di Storm: cospirazione a riciclare denaro, cospirazione a gestire un’attività di money transmitting senza licenza. Samourai era un wallet Bitcoin non-custodial con funzioni avanzate di privacy (Whirlpool per il coinjoin). Come Tornado Cash, non custodiva le chiavi degli utenti.

A luglio 2025, Rodriguez e Hill hanno scelto il patteggiamento. Hanno accettato la condanna sul capo § 1960 - lo stesso che ora pende su Storm - in cambio della caduta dell’accusa relativa al riciclaggio.

Il risultato è quello che il Southern District of New York ha sancito a novembre: cinque anni a Rodriguez più $250.000 di multa, quattro anni a Hill. Più la confisca di samouraiwallet.com, dell’app sul Google Play Store e di oltre sei milioni di dollari. Lo sviluppatore perde la libertà, il dominio, l’app, i soldi. L’eredità tecnica viene cancellata.

A questo punto il menu del DOJ è scritto nero su bianco: se sei uno sviluppatore americano di software non-custodial con funzioni di privacy, e il Governo decide che quello che hai scritto “trasmette denaro”, hai due opzioni. Patteggi sul § 1960 e prendi quattro o cinque anni. Combatti su tutta la linea e rischi di prenderne quarantacinque.

Storm ha scelto la seconda strada, ed è esattamente la scelta che rende il suo processo un test esistenziale per la comunità degli sviluppatori open source.

Eppure fino a qualche anno fa sembrava che il quadro giuridico americano offrisse una protezione agli sviluppatori. Nel maggio del 2019, il Financial Crimes Enforcement Network (FinCEN, l’agenzia del Tesoro che si occupa di anti-riciclaggio) aveva pubblicato una guidance interpretativa esplicita: i fornitori di software che consentono transazioni peer-to-peer senza mai avere il controllo dei fondi non sono money transmitter sotto la normativa federale. In sostanza: un wallet non-custodial non è una banca e chi lo sviluppa non è un gestore di servizi finanziari.

Ad aprile 2025, il Deputy Attorney General Todd Blanche ha emesso un memo interno al DOJ che andava nella stessa direzione: basta prosecuzioni regolatorie contro sviluppatori di software non-custodial, priorità alla protezione delle vittime, non all’estensione della giurisdizione penale sul codice.

Ecco. La giuria di Storm ha emesso il verdetto nell’agosto del 2025 - quattro mesi dopo il memo Blanche. I procuratori della Southern District di New York hanno spinto per la condanna comunque. E a marzo 2026 hanno chiesto un nuovo processo sugli altri due capi, pur avendo - formalmente, per iscritto, da parte del vertice stesso del DOJ - la direttiva opposta. A voi il giudizio su cosa vale di più: la policy della casa madre, oppure la volontà del singolo procuratore di Manhattan di portarsi a casa una testa?

L’errore che Samourai ha regalato al DOJ

Perché la giuria di Storm si è bloccata sui due capi gravi (money laundering e sanzioni), mentre Rodriguez e Hill hanno ritenuto di non avere altra via che il patteggiamento?

La risposta sta negli atti processuali di Samourai. Nella sentenza, i procuratori hanno depositato un catalogo di comunicazioni pubbliche e private dei due fondatori. A luglio 2020, dopo che un utente su Twitter aveva suggerito ad alcuni hacker di usare Whirlpool per ripulire i proventi del loro attacco, Rodriguez intervenne sul thread incoraggiando personalmente quegli hacker a inviare i fondi illeciti dentro il mixer di Samourai. Quando gli hacker scelsero un mixer concorrente, Rodriguez e Hill si lamentarono pubblicamente sui social.

Dall’account @SamouraiWallet partì un tweet che diceva, testualmente, “Welcome new Russian oligarch Samourai Wallet users”. Su un canale darknet Hill scrisse che Samourai Whirlpool era “un’opzione molto migliore” per “ripulire BTC sporchi” rispetto a un servizio concorrente.

Ora. Qualsiasi difensore penale, davanti a prove di questo tipo, sa che l’unica via d’uscita è un patteggiamento rapido. Perché il capo di money laundering conspiracy richiede proprio quella cosa lì: la consapevolezza che i fondi trattati abbiano origine criminale. E Rodriguez l’aveva messa per iscritto, su Twitter, davanti al mondo. Non occorre che un pubblico ministero sia particolarmente brillante per portare un tweet del genere davanti a una giuria e vincere.

Storm, semplicemente, non aveva fatto lo stesso. Tornado Cash era stato costruito e comunicato con un linguaggio da progetto open source, non da manifesto in faccia alle agenzie federali. C’erano errori - alcune dichiarazioni pubbliche ambigue, un frontend mantenuto dopo che Lazarus Group era diventato un problema conclamato - ma niente di paragonabile al repertorio di Rodriguez e Hill. E infatti la giuria, sui capi che richiedevano la prova del dolo specifico, si è bloccata. Non ha assolto, ma non ha nemmeno condannato.

Questo è il punto. Non è che il codice di Samourai fosse più colpevole di quello di Tornado Cash. Era identico nella sua natura non-custodial. Quello che è cambiato, nelle due aule, è la quantità di munizioni che gli sviluppatori hanno messo nelle mani del procuratore prima ancora che il procuratore arrivasse.

La lezione per chi scrive privacy software nel 2026 non è quindi smettete di scrivere. È un’altra, meno romantica ma molto più utile. Il codice open source per la privacy finanziaria va pubblicato come hanno sempre fatto i cypherpunks: pseudonimi, sobrietà, zero retorica pubblica su come e da chi viene usato il software. Quel modello funziona ancora. Anzi, dopo Samourai e Storm, è l’unico che funziona.

Un tool di privacy ben scritto non ha bisogno di un fondatore che lo difenda in pubblico, né di un account Twitter che si compiaccia dei clienti criminali. Ha bisogno di essere verificabile, riproducibile, e di sopravvivere ai suoi autori.

Leave a comment

Annuncio sponsorizzato

Praga, 11-13 giugno: la più importante conferenza europea su Bitcoin arriva alla sua quarta edizione. Jeff Booth, Jack Mallers, Michael Saylor, Peter McCormack e molti altri, consulta l’elenco di tutti gli speaker qui.

Acquista subito il tuo biglietto per l’evento dell’anno, fallo con il codice BTCTRAIN per ottenere il 10% di sconto. Sarò ovviamente presente anche io, ci vediamo a Praga!

Quando mi chiedete dove comprare bitcoin, la mia prima risposta è sempre il mercato peer-to-peer: Bisq, HodlHodl, Robosats. Ma so che non tutti vogliono usare questi servizi. Se cercate un servizio immediato ma compatibile con i valori originali di Bitcoin, la mia scelta oggi è Bull Bitcoin. Iscrivendovi con il codice “federico” ottenete uno spread ridotto all’1,75% invece del 2%, per sempre. Potete farlo da qui.

Non-custodial, supporta Bitcoin on-chain, Lightning e Liquid. E potete anche spendere i vostri bitcoin per pagare qualsiasi IBAN in euro, senza passare da una banca.

I dati KYC sono su infrastruttura self-hosted, non vengono condivisi con agenzie fiscali, governi o terze parti. E continueranno a non collaborare finché qualcuno non si presenterà con un’ordinanza di un giudice in mano. È l’unico servizio in Europa di cui posso dire questo con certezza.