Casi Studio

Contesto

Un pensionato italiano di 65 anni, residente in Piemonte, è stato avvicinato tramite un gruppo WhatsApp verso quella che gli veniva presentata come una piattaforma di "arbitrage crypto" con base a Hong Kong. Nell'arco di sei mesi ha eseguito quattordici depositi in USDT-TRC20 su un singolo indirizzo on-chain, per un totale di €340.000. L'interfaccia mostrava profitti in crescita, un account manager dedicato e persino un piccolo "prelievo di prova" effettivamente pagato per costruire fiducia. Quando i prelievi più consistenti hanno iniziato a essere bloccati dietro richieste crescenti di "tasse" e "pre-pagamenti di compliance", ha compreso di essere stato bersaglio di un'operazione pig-butchering.

Siamo stati contattati 52 giorni dopo l'ultimo deposito — tardi rispetto all'ideale, ma prima che la catena di cashout fosse completata.

La sfida

Al momento dell'apertura del fascicolo, i fondi erano già transitati attraverso tre hop di wallet e avevano raggiunto un cluster di deposito presso un exchange asiatico di Tier-2. L'operatore della truffa aveva iniziato l'off-ramp verso fiat ma non lo aveva completato: una parte del saldo era ancora sulla piattaforma. Ogni settimana in più avrebbe significato una frazione maggiore di saldo dispersa in bonifici bancari non recuperabili.

Il nostro approccio

1. Tracciamento on-chain tramite Chainalysis Reactor e TRM Labs per ricostruire il pattern completo dei 14 depositi e identificare il cluster ricevente presso l'exchange.
2. Correlazione delle tempistiche di cashout con un template pig-butchering già noto al nostro database interno — l'analisi ha rivelato due wallet ricorrenti in oltre quaranta segnalazioni di vittime da noi incrociate.
3. Consolidamento delle evidenze in un unico dossier multi-vittima e deposito formale presso la Procura della Repubblica competente, con richiesta parallela di compliance all'exchange.
4. Freeze preventivo compliance-driven presso l'exchange sulla base del dossier, prima che fosse disponibile un formale provvedimento giudiziario.
5. Azione civile parallela per ottenere l'ordine giudiziario di rilascio richiesto dall'exchange per restituire i fondi.

Esito

€187.000 recuperati — il 55% del capitale — quattordici mesi dopo l'apertura del caso. La parte residua era già stata dispersa in cashout fiat attraverso molteplici relazioni bancarie minori prima del freeze ed è stata formalmente documentata come non recuperabile nella nostra relazione di chiusura.

Ciò che ha fatto la differenza: il cliente è arrivato da noi in tempo utile perché la cluster analysis avesse ancora leva. Se ci avesse contattati sei mesi dopo, la catena di cashout sarebbe stata ultimata e lo stesso fascicolo avrebbe prodotto un recupero pari a zero. Il tempo è l'ingrediente più costoso nel lavoro di recupero.

---

Contesto

Un divorzio contenzioso davanti al Tribunale Civile di Milano. I legali della moglie sospettavano che il marito avesse trasferito beni significativi della comunione in criptovalute nei diciotto mesi precedenti il deposito del ricorso, ma i tracciati bancari italiani mostravano solo ordinari movimenti familiari. Il marito, sotto giuramento, negava di detenere cripto.

Il procedimento civile italiano ha strumenti di discovery limitati per patrimoni off-shore o in self-custody. Senza un approccio forense mirato, il portafoglio occulto sarebbe rimasto invisibile al procedimento.

La sfida

Dovevamo costruire una tesi persuasiva davanti a un giudice non tecnico, con evidenze che reggessero il controesame del CTP avverso. Significava: (1) ottenere registri ammissibili dagli exchange italiani giusti, (2) stabilire un collegamento difendibile fra quei registri e un wallet on-chain, (3) produrre una relazione che un giudice civile potesse leggere, comprendere e farne propria.

Il nostro approccio

1. Assunzione dell'incarico come CTP (consulente tecnico di parte) per la difesa della moglie.
2. Redazione tramite il legale di istanze per acquisire, via ordinanza, i registri dei tre exchange italiani più probabilmente utilizzati dal marito: Young Platform, The Rock Trading e Coinbase Italy. I registri restituiti hanno mostrato circa €95.000 di depositi recenti.
3. Identificazione di otto indirizzi di prelievo riconducibili al marito dai registri degli exchange, successivamente clusterizzati su un unico wallet self-custody tramite euristica di co-spend.
4. Valutazione on-chain alla data dell'analisi: 4,2 BTC, 31 ETH e circa 890.000 USDT — per un totale di circa €520.000.
5. Redazione di una perizia forense di 47 pagine con glossario integrato, catena di custodia completa, metodologia riproducibile e conclusioni adeguatamente caveatate. Testimonianza in tre udienze, inclusa una controdeduzione strutturata rispetto al perito della controparte.

Esito

Il giudice ha accolto integralmente la nostra analisi. La sentenza ha ordinato al marito di trasferire il 50% delle disponibilità identificate — circa €260.000 alla data del trasferimento — all'asse matrimoniale. Il successivo appello è stato rigettato.

Ciò che ha fatto la differenza: la relazione era scritta per un giudice non tecnico. Glossario integrato, diagrammi puliti, conclusioni correttamente caveatate. La credibilità sotto controesame è pesata più di ogni singolo dettaglio on-chain. Una risposta corretta che il giudice non può comprendere non è una prova — è rumore.

---

Contesto

Una PMI manifatturiera di medie dimensioni in Emilia-Romagna è stata colpita da una variante LockBit. Dopo undici giorni di tentativi di ripristino falliti e pressione per le ore di produzione perse, l'amministratore delegato ha autorizzato il pagamento di un riscatto di 1,8 BTC (circa €78.000 al cambio del momento). Le operazioni sono state ripristinate. La Procura locale ha successivamente aperto un'indagine sulla filiera del pagamento e siamo stati incaricati come consulenti tecnici a supporto del Nucleo Speciale Tutela Economia della Guardia di Finanza.

La sfida

L'infrastruttura Bitcoin di LockBit adotta pattern di peel chain aggressivi e miscela sistematicamente le quote degli affiliati tramite CoinJoin. L'indirizzo di ricezione del riscatto era nuovo di zecca, senza errori di OPSEC nel punto di ingresso. Preso da solo, il fascicolo non aveva alcun appiglio evidente.

Il nostro approccio

1. Seguito della peel chain su 23 hop nell'arco di quattro settimane di analisi manuale, con log di ogni split e di ogni indirizzo toccato.
2. Identificazione di una transazione Wasabi CoinJoin in cui il flusso del riscatto confluiva con output già flaggati da un caso precedente su affiliato, presente nel nostro dataset interno.
3. Applicazione di intersection analysis fra i due flussi per isolare due indirizzi di output come candidati plausibili per la quota dell'affiliato.
4. Uno dei due candidati ha successivamente consolidato verso un indirizzo già flaggato presso HTX — la firma che stavamo aspettando.
5. Richiesta di compliance tramite canali MLAT, formalmente veicolata dalla Guardia di Finanza, ha portato HTX al congelamento di 0,84 BTC in attesa di provvedimento giudiziario.

Esito

0,84 BTC congelati presso HTX (circa €36.000 alla data del freeze), attualmente in attesa di rilascio giudiziario a favore della PMI vittima. Al di là del singolo caso, l'analisi ha contribuito tre nuovi cluster di wallet affiliati all'intelligence europea congiunta sul ransomware.

Ciò che ha fatto la differenza: il CoinJoin doveva essere la fine della pista. Non lo è stato — perché un caso separato aveva già fissato il pattern di consolidamento di quell'affiliato. L'investigazione è cumulativa. Ogni fascicolo alimenta il successivo; il valore di un dataset interno si misura in mesi, non in transazioni.