Truffe cripto 2025: come funzionano in Italia e perché stanno crescendo

Aggiornato al 7 ottobre 2025

Nel 2025 le frodi in cripto-attività stanno crescendo in Italia per ampiezza, raffinatezza tecnica e impatto economico. L’aggancio avviene sempre più spesso su Telegram e WhatsApp, ma anche su Facebook, Instagram e YouTube, dove inserzioni e profili apparentemente autorevoli convogliano gli utenti verso piattaforme d’investimento non autorizzate. Qui sedicenti “consulenti” o “account manager” instaurano un rapporto continuativo, costruendo fiducia attraverso messaggi quotidiani, finti report di mercato e schermate di profitti artefatti, sino a condurre la vittima a depositare somme crescenti. La dinamica è ricorrente: primi micro-prelievi riusciti per generare credibilità, escalation dei versamenti con la promessa di “bonus” o “piani VIP”, quindi il blocco dei fondi con pretesti burocratici (KYC, presunte imposte, commissioni di sblocco) e, infine, il silenzio o la pressione a versare altro denaro.

La vera novità del 2025 è l’uso massivo di contenuti deepfake generati con intelligenza artificiale: volti e voci di personaggi pubblici – talvolta doppiati in italiano con estrema naturalezza – compaiono a loro insaputa in video e audio che “garantiscono” rendimenti certi o presentano “metodi” infallibili. Questi materiali, distribuiti tramite campagne pubblicitarie mirate e gruppi chiusi, alimentano un effetto FOMO e spostano traffico su domini effimeri registrati di recente, spesso con estensioni atipiche, che replicano l’estetica di broker regolamentati ma operano senza alcuna licenza. L’intero funnel è industrializzato: lead generation social, contatto su chat criptate, accompagnamento passo-passo nelle ricariche tramite exchange o carte, e successivo lock-out. A ciò si aggiunge la coda dei “recovery scam”, in cui finti recuperatori, sedicenti studi legali internazionali o presunti “funzionari della blockchain” richiedono ulteriori somme per sbloccare i fondi, trasformando la prima truffa in una trappola doppia.

I numeri ufficiali: Italia ed estero

In Italia, i dati operativi confermano un fenomeno ormai strutturale. Nel 2024 la Polizia Postale ha monitorato centinaia di migliaia di siti, disponendone l’oscuramento in migliaia di casi per attività illecite online: non si tratta di episodi isolati, ma di un flusso continuo di domini “usa e getta” che nascono, vengono segnalati e vengono rapidamente rimpiazzati da cloni. L’oscuramento, in questo contesto, è una misura di contenimento indispensabile, ma non fa recuperare il denaro perduto: serve a ridurre l’esposizione dei risparmiatori e ad alzare l’asticella del rischio per i gestori delle truffe.

Sul versante della vigilanza finanziaria, CONSOB ha proseguito per tutto il 2025 gli ordini di inibizione dell’accesso a siti che offrono—senza abilitazione—servizi di investimento o prodotti collegati a cripto-attività. Il messaggio ai risparmiatori è netto: prima di conferire fondi a “piattaforme” conosciute via social o messaggistica, occorre verificare l’autorizzazione dell’operatore nei registri ufficiali ed evitare chi promette rendimenti “garantiti” o usa testimonial farlocchi. L’inibizione amministrativa, peraltro, è spesso accompagnata da segnalazioni all’Autorità giudiziaria e agli organismi di cooperazione internazionale, a riprova del carattere transfrontaliero di questi schemi.

Il quadro internazionale è coerente con l’esperienza italiana. I rapporti IC3/FBI 2024 registrano perdite record per i crimini online, con le frodi di investimento—molte delle quali in criptovalute—tra le voci economicamente più dannose. Non è soltanto una questione di volumi, ma di qualità dell’attacco: funnel di acquisizione contatti costruiti su misura, finti centri assistenza, KYC pretestuosi per bloccare i prelievi e richieste di “tasse” o “commissioni di sblocco” che spingono la vittima a versare altro denaro. In parallelo, l’analisi 2025 di Europol segnala la crescente professionalizzazione dei gruppi criminali, l’adozione di modelli “as-a-service” (dai database di lead alle infrastrutture per il riciclaggio) e l’uso sistematico di AI generativa e deepfake nelle campagne fraudolente: volti e voci credibili aumentano drasticamente i tassi di conversione, soprattutto quando l’inserzione è confezionata in lingua locale e veicolata su canali percepiti come “affidabili”.

Per l’utente finale, queste dinamiche hanno implicazioni pratiche molto chiare: l’oscuramento di un sito è un segnale di allarme, non un lasciapassare per altre “versioni” della stessa piattaforma; la verifica delle abilitazioni deve avvenire prima del primo versamento; ogni promessa di rendimento certo, di “sblocco immediato” o di recupero garantito è indice di rischio elevatissimo. In caso di sospetto, la strada utile è una sola: rivolgersi subito al proprio legale di fiducia, raccogliere evidenze tecniche (wallet, hash, domini, chat, bonifici) e presentare una denuncia circostanziata, chiedendo l’attivazione degli strumenti investigativi e di cooperazione previsti. Solo così si può tentare, nei tempi utili, un intervento concreto sui flussi.

Perché le crypto-scam rendono

Gli schemi sono veloci, transfrontalieri e altamente scalabili. I truffatori impiegano domini usa-e-getta e siti “specchio” che rimpiazzano in ore quelli oscurati; campagne social con A/B testing e finto “social proof” convogliano l’utente in funnel di pagamento esteri, mentre un customer care solo apparente riduce l’attrito decisionale con report artefatti, micro-prelievi iniziali per generare fiducia e successivi blocchi dei fondi con pretesti (KYC, “tasse”, commissioni di sblocco). La componente tecnica massimizza la redditività: dashboard che imitano broker regolamentati, automazioni di contatto su più fusi orari, on-ramp fiat e off-ramp su reti di “money mule”, uso di stablecoin, mixer e bridge cross-chain per frammentare i flussi e moltiplicare i passaggi.

È vero che le transazioni on-chain sono tracciabili, ma un congelamento tempestivo richiede competenze specialistiche, strumenti forensi e cooperazione internazionale: occorrono analisi tecniche qualificate, segnalazioni puntuali agli exchange, ordini di blocco e richieste di assistenza giudiziaria verso giurisdizioni differenti, nel rispetto della chain-of-custody probatoria. Il risultato è un forte squilibrio informativo e operativo: per i criminali l’esecuzione è rapida e a basso costo; per le vittime e per l’Autorità, la reazione efficace è complessa, time-critical e spesso onerosa.

Confronto con altri segmenti del cyber-crime

Le crypto-scam competono per redditività con ransomware e business email compromise perché condividono la stessa logica industriale: catene operative modulari, servizi “as-a-service” e filiere di riciclaggio multilivello. Nel ransomware il modello economico è la doppia (o tripla) estorsione con programmi di affiliazione RaaS, infrastrutture di comando a noleggio e pagamenti in criptovaluta; nel BEC il profitto nasce dall’ingegneria sociale su email aziendali, dall’intercettazione di flussi finanziari e dall’impiego di conti “mule” per il cash-out. Le crypto-scam, pur con bersagli spesso retail, sfruttano tasselli identici: domini bulletproof, advertising e lead generation a pagamento, CRM criminali per nutrire la relazione con la vittima, on-ramp fiat e off-ramp in stablecoin, quindi obfuscation con mixer, bridge cross-chain e OTC poco presidiati.

Cambia il punto d’ingresso ma non la catena del valore: inizial access brokers per traffico e identità, hosting resiliente, help desk “fittizi” h24, KYC fraudolenti per aprire wallet e conti, cash-out in giurisdizioni permissive. Anche i tempi economici sono comparabili: nel ransomware il “time-to-money” è rapido ma espone a forte attenzione investigativa; nel BEC è legato alla velocità dei bonifici e dei richiami bancari; nelle crypto-scam l’incasso è scalabile e reiterabile finché la vittima accetta nuovi versamenti, con rischio percepito più basso perché mascherato da “investimento”. In tutti e tre i segmenti l’ultimo miglio è il riciclaggio: stratificazione, frazionamento, conversioni tra asset e passaggi transfrontalieri per rendere più costoso e lento il tracciamento, sfruttando la stessa infrastruttura criminale sottostante.

Perché tante denunce finiscono in archiviazione

Le indagini realmente efficaci richiedono una combinazione di analisi on-chain, richieste mirate ai provider esteri, interventi presso gli exchange e attivazione di canali di cooperazione internazionale. Si tratta di attività tecniche, costose e soprattutto “time-critical”: gli exchange conservano i log per periodi limitati, i fondi si muovono rapidamente tramite mixer, bridge e OTC non presidiati, i domini vengono dismessi in poche ore. Quando la notizia di reato arriva priva di elementi tecnici minimi—indirizzi wallet, hash di transazione, ID degli account presso le piattaforme, timeline dei contatti, ricevute bancarie e on-ramp—la Procura si trova senza coordinate per chiedere ordini di blocco o rogatorie; ne consegue spesso l’archiviazione per impossibilità di identificare l’autore o tracciare utilmente i flussi.

Incidono anche ritardi nella denuncia, perdita o alterazione delle prove digitali, assenza di una mappatura iniziale dei movimenti on-chain e difficoltà oggettive nel coordinare richieste a soggetti collocati in più giurisdizioni. In questo contesto, una denuncia “generica” equivale di fatto a non fornire gli strumenti per un’azione tempestiva: mancando gli identificativi tecnici e una ricostruzione cronologica verificabile, l’Autorità non può attivare in tempo le misure di conservazione dei dati, i sequestri mirati né la cooperazione internazionale.

Per ridurre il rischio di archiviazione occorre presentare una denuncia tempestiva e tecnicamente strutturata, con allegata la ricognizione dei wallet e delle transazioni, la timeline sinottica dei contatti, gli estremi degli account e dei pagamenti utilizzati, nonché la richiesta espressa di utilizzare gli strumenti investigativi e di cooperazione previsti. Solo così si innalzano le probabilità di ottenere provvedimenti conservativi sui fondi e di dare un seguito concreto all’azione penale.

Cosa fare subito in Italia

L’unica via ufficiale per tentare il recupero è la denuncia, da presentare senza indugio e in forma tecnicamente circostanziata. Prima di rivolgersi all’Autorità è fondamentale interrompere ogni ulteriore trasferimento, evitare contatti con sedicenti “recuperatori”, non cancellare chat o file e mettere al sicuro le prove digitali: occorre conservare gli indirizzi dei wallet coinvolti e gli hash delle transazioni, indicare con precisione gli exchange utilizzati, riportare i domini e gli URL delle piattaforme, gli identificativi dei profili social e di messaggistica con cui si è interagito, la cronologia dei contatti con data e ora, le ricevute di bonifici, carte o ricariche, nonché screenshot e log completi. È utile esportare i dati in formato originale ove possibile, indicare il controvalore in euro al momento di ciascuna operazione e allegare gli estratti conto, mantenendo integro il dispositivo usato (telefono o computer) per consentire eventuali acquisizioni forensi.

Per l’Italia ci si rivolge alla Polizia Postale o, in alternativa, si formalizza la querela presso Questura o Carabinieri, chiedendo espressamente l’attivazione tempestiva degli strumenti investigativi e dei canali di cooperazione internazionale necessari per la conservazione dei dati e il blocco dei fondi presso i terzi coinvolti. Quando emergono profili di abusivismo finanziario si presenta segnalazione a CONSOB con indicazione degli elementi identificativi della “piattaforma” e dei soggetti che l’hanno promossa; se il caso presenta punti di contatto con operatori, server o pagamenti con base negli Stati Uniti risulta utile trasmettere anche la denuncia all’IC3 dell’FBI, in parallelo al percorso nazionale. In ogni fase è opportuno farsi assistere da uno studio legale con competenze specifiche in cripto-forensics, così da strutturare l’esposizione dei fatti in modo tecnico, circostanziato e funzionale a richieste mirate di sequestro, conservazione dei log e rogatorie, riducendo il rischio di archiviazione e aumentando le probabilità di un intervento effettivo sui flussi.

Attenzione ai finti “recuperatori”

Dopo la prima truffa, troppo spesso se ne innesta una seconda: compaiono sedicenti società di “recovery”, fantomatici studi “specializzati” o presunti “funzionari della Blockchain” che promettono sblocchi immediati e recuperi garantiti in cambio di anticipi, ricariche in cripto o “tasse” da versare per ottenere un inesistente dissequestro. La strategia è sempre la stessa: contatto spontaneo via e-mail o messaggistica, uso di loghi di exchange o Autorità senza alcuna investitura reale, siti vetrina registrati da poche settimane, indirizzi PEC o numeri di telefono non verificabili, richieste di documenti sensibili e pressione psicologica sul “fattore tempo” per indurre a pagare subito. Talvolta vengono esibite “prove” manipolate, come dashboard costruite ad hoc o ricevute contraffatte; in altri casi si millanta un rapporto privilegiato con istituzioni italiane o estere, che nessun soggetto privato può vantare.

È fondamentale ricordare che non esistono recuperi certi né scorciatoie: il denaro sottratto può essere tracciato e, in rari casi, congelato, ma solo attraverso canali ufficiali e con presupposti tecnici e giuridici rigorosi. Pagare ulteriormente significa esporsi a un secondo raggiro e disperdere le risorse necessarie per un’azione legale efficace. Occorre diffidare di chi chiede anticipi elevati, pretende pagamenti in criptovalute su wallet anonimi, propone “commissioni di sblocco”, chiede accessi remoti al computer o frasi seed, oppure rifiuta di indicare sede legale, partita IVA, identità dei professionisti incaricati e un incarico scritto che definisca oggetto, limiti e responsabilità del servizio. Un operatore serio non garantisce risultati, non sollecita versamenti urgenti, indica chiaramente chi sono i professionisti coinvolti e si colloca in un perimetro regolato e verificabile.

La linea prudente è interrompere ogni contatto con questi soggetti, conservare le prove del loro approccio, rivolgersi al proprio studio legale di fiducia e formalizzare una denuncia circostanziata. Solo l’Autorità Giudiziaria, con il supporto tecnico adeguato e la cooperazione internazionale, può attivare gli strumenti idonei a tentare un recupero; tutto il resto è verosimilmente parte della stessa filiera criminale che ha generato la truffa iniziale.

Il profilo penale

Le condotte riconducibili alle crypto-scam si collocano, a seconda delle modalità esecutive, nell’alveo della truffa ex art. 640 c.p. e, quando l’inganno si realizza mediante alterazione del funzionamento di sistemi o indebita interazione con dati e credenziali, nella frode informatica ex art. 640-ter c.p.; frequenti sono anche la sostituzione di persona ex art. 494 c.p. per l’uso di identità altrui o di testimonial “deepfake”, l’accesso abusivo a un sistema informatico o telematico ex art. 615-ter c.p. e i reati di riciclaggio e autoriciclaggio ex artt. 648-bis e 648-ter.1 c.p., attivati nella fase di dispersione dei proventi attraverso mixer, bridge e conversioni cross-chain. All’esito, sui profitti e sui beni impiegati si applica la confisca di cui all’art. 648-quater c.p., anche per equivalente, ferma la possibilità di sequestro probatorio ex art. 253 c.p.p. e di sequestro preventivo ex art. 321 c.p.p. su wallet, chiavi e disponibilità presso provider o exchange.

Quando la condotta è frutto di organizzazione stabile o filiera “as-a-service”, può configurarsi l’associazione per delinquere ex art. 416 c.p., con possibile connotazione transnazionale ai sensi della L. 16 marzo 2006, n. 146 (artt. 3 e 4), ove concorra il requisito della partecipazione di più Stati nelle fasi di pianificazione, esecuzione o vantaggio. La dimensione sovranazionale impone il ricorso agli strumenti di cooperazione: Convenzione di Budapest sulla criminalità informatica (L. 18 marzo 2008, n. 48) per l’acquisizione rapida di dati e log, Convenzione di Palermo ONU contro la criminalità organizzata transnazionale (recepita con L. 146/2006) per canali di assistenza giudiziaria, nonché Ordine Europeo di Indagine di cui al D.Lgs. 21 giugno 2017, n. 108 per l’assunzione di prove e misure conservative in altri Stati membri. Resta, sul versante amministrativo-prevenzionistico, il perimetro del D.Lgs. 231/2007 in materia antiriciclaggio con obblighi di adeguata verifica e segnalazione, e sul versante della responsabilità degli enti l’applicabilità del D.Lgs. 231/2001 per i reati-presupposto informatici (art. 24-bis) e di riciclaggio/impiego/autoriciclaggio (art. 25-octies), qualora le condotte siano riconducibili a interessi o vantaggi aziendali.

Sotto il profilo processuale, l’efficacia dell’azione repressiva dipende dalla tempestività delle misure reali e dall’attivazione coordinata dei canali di cooperazione. La corretta qualificazione giuridica del fatto consente di chiedere sin da subito provvedimenti di sequestro su disponibilità cripto e su relativi strumenti, la conservazione urgente dei dati presso provider esteri, l’inoltro di richieste OEI o rogatorie, con successiva confisca del profitto ove ne ricorrano i presupposti. In assenza di un’impostazione tecnico-giuridica puntuale, il rischio è la dispersione dei proventi e, conseguentemente, l’inefficacia sia dell’azione penale sia delle pretese risarcitorie della persona offesa.

FAQ

È vero che i video con i VIP sono reali?

Nella maggior parte dei casi sono deepfake o montaggi. La presenza di volti noti non certifica l’affidabilità dell’offerta.

Posso recuperare i miei soldi senza denuncia?

Non esiste un canale certo al di fuori dell’Autorità Giudiziaria. La denuncia circostanziata è il presupposto per attivare strumenti tecnici e cooperazione internazionale.

Chi contatto in Italia?

Polizia Postale per la denuncia; Consob per segnalare offerte abusive; eventualmente IC3 se ci sono connessioni con soggetti o piattaforme statunitensi.

Come riconosco i finti “recovery”?

Promettono recuperi sicuri e immediati, chiedono anticipi e millantano legami con Exchange o “uffici blockchain”. Sono segnali tipici di un secondo raggiro.