Perché gli attacchi wrench stanno trasformando le crypto nel bersaglio dei crimini più violenti

Nel gennaio 2025 le autorità francesi liberarono David Balland, cofondatore di Ledger, dopo che i rapitori avevano chiesto un ingente riscatto in criptovalute, un episodio che ha reso evidente come i reati legati alle criptovalute possano assumere forme fisiche e violente quando escono dallo schermo.

Questo caso è esemplare di una tendenza più ampia: furti e controversie legate alle criptovalute sempre più spesso si collegano a violenza reale, sequestri e richieste di riscatto finalizzate a ottenere l’accesso ai fondi.

Cos’è un wrench attack?

Un wrench attack è un reato che si svolge nel mondo reale, in cui gli aggressori ricorrono a minacce o violenza per costringere il detentore di un portafoglio digitale a rivelare credenziali, sbloccare un dispositivo o autorizzare un trasferimento.

In sostanza, si tratta di ottenere criptovalute attaccando la persona e non la crittografia che protegge i fondi: quando la matematica è solida, il “corto circuito” diventa la coercizione fisica.

Il termine deriva da una famosa vignetta di Xkcd, che illustra come, quando la crittografia è forte, un aggressore possa scegliere la via più semplice: usare la forza per costringere la vittima ad aprire il suo dispositivo — il cosiddetto “cacciavite da 5 dollari” applicato al mondo digitale.

Aumenti reali o maggiore attenzione mediatica?

La risposta breve è che entrambi i fenomeni possono coesistere: i dati richiedono però interpretazioni attente perché le fonti pubbliche non offrono una copertura completa di tutti i casi.

Haseeb Qureshi di Dragonfly, analizzando il registro degli incidenti curato da Jameson Lopp, segnala un aumento nel numero di wrench attack riportati nel tempo e una maggiore gravità media degli episodi negli ultimi anni.

L’analisi evidenzia anche un chiaro effetto prezzo: quando la capitalizzazione di mercato complessiva delle criptovalute cresce, tende ad aumentare anche il numero di episodi violenti segnalati; una regressione semplice attribuisce circa il 45% della variazione della frequenza degli attacchi alle fluttuazioni della capitalizzazione.

Due avvertenze sono però cruciali: il database di Jameson Lopp non è esaustivo, essendo basato su segnalazioni pubbliche, e la letteratura accademica indica un sottostima sistematica dovuta anche al silenzio delle vittime, che temono revittimizzazione o altri rischi.

Perché i wrench attack sono tra i crimini più violenti nel mondo crypto

Questi attacchi risultano particolarmente drammatici perché combinano diversi fattori che rendono il bottino rapidamente trasferibile e difficile da recuperare, mentre il bersaglio diventa più identificabile e raggiungibile nel mondo reale.

Fattore 1: pagamento rapido e difficile da annullare. Se gli aggressori costringono la vittima a eseguire un trasferimento, il valore può muoversi istantaneamente oltre confine senza necessità di riciclaggio tradizionale o di vendere beni materiali.

Fattore 2: concentrazione crescente di ricchezza raggiungibile. L’aumento dei prezzi rende gli stessi portafogli obiettivi più appetibili: la frequenza degli attacchi segue infatti l’andamento della capitalizzazione di mercato.

Fattore 3: reperire e localizzare i bersagli è più facile di quanto si pensi. Ruoli pubblici nel settore, meetup, transazioni P2P e pratiche di condivisione eccessiva online forniscono ganci concreti che possono trasformarsi in informazioni sfruttabili sul territorio.

Fattore 4: fughe di dati che rendono l’identità online una minaccia offline. Perdite di dati da terze parti, abusi interni o frodi che coinvolgono assistenti rendono più semplice collegare persone reali a attività in criptovaluta, facilitando il rintraccio e la pressione fisica.

Come si svolgono tipicamente questi attacchi

Spesso la dinamica segue uno schema simile a uno script criminale: individuazione del bersaglio, avvicinamento, coercizione e trasferimento rapido dei fondi una volta ottenuto l’accesso.

L’approccio iniziale può ricordare normali reati predatori — rapina, intrusione domiciliare — oppure manifestarsi come forme più organizzate di estorsione. Le vittime non sono sempre passanti casuali: possono essere persone note nel settore o i loro familiari.

In alcuni casi gli attacchi si sovrappongono a dinamiche di abuso domestico o di controllo interpersonale, dove l’accesso alle risorse finanziarie diventa uno strumento di coercizione e dominio.

Un caso ampiamente citato nelle ricostruzioni internazionali riguarda la scomparsa di Roman Novak e Anna Novak, una coppia di nazionalità russa residente a Dubai, attirata a un incontro vicino a Hatta e al confine con l’Oman, episodio in cui gli investigatori hanno valutato la possibilità che il rapimento fosse collegato a tentativi di estorcere accesso a risorse, incluse criptovalute.

Chi è più esposto al rischio

I wrench attack raramente colpiscono utenti anonimi e occasionali: i bersagli più a rischio sono persone facilmente identificabili, localizzabili e ritenute in possesso di portafogli di valore accessibile.

Tra i gruppi più vulnerabili figurano fondatori ed esponenti aziendali, influencer con visibilità pubblica, operatori OTC o P2P, e chiunque lasci tracce online che colleghino la propria identità reale a consistenti giacenze in criptovalute.

La geografia incide: gli aumenti segnalati si sono concentrati in particolari aree, con spunti di preoccupazione in Europa occidentale e in alcune parti del Asia-Pacifico, mentre il Nord America appare relativamente meno colpito, pur con un incremento assoluto dei casi.

Non è solo il titolare del portafoglio a essere bersaglio: in diversi episodi i criminali hanno puntato a parenti o partner, sfruttando la prossimità familiare per fare leva sul proprietario quando quest’ultimo è difficile da raggiungere.

Misure pratiche per ridurre il rischio

La lezione dura dei wrench attack è che una buona gestione delle chiavi non annulla automaticamente tutti i rischi: protegge dai furti digitali ma può lasciare esposta l’ultima “miglia” — la persona, le sue abitudini e i suoi dati.

Per la maggior parte degli utenti l’obiettivo pratico è diventare un bersaglio poco interessante e limitare ciò che un aggressore può ottenere rapidamente. Tre linee di azione concrete sono raccomandate:

Ridurre la visibilità: evitare di esporre pubblicamente informazioni su giacenze o ruoli nel settore, limitare i collegamenti tra identità reale e attività in criptovalute e considerare che l’oversharing aumenta il rischio.

Limitare il saldo a accesso immediato: separare i fondi per spese quotidiane dallo stoccaggio a lungo termine; usare soluzioni con firme multiple, periodi di attesa o custodie distribuite per somme rilevanti, anziché un singolo punto di rottura.

Considerare l’usurpazione del supporto tecnico come minaccia concreta: dati trapelati possono servire ai criminali per fingersi assistenza e convincere una vittima a spostare fondi. Coinbase e altre piattaforme ufficiali raccomandano che l’assistenza legittima non chieda password, codici 2FA o trasferimenti verso presunti “indirizzi sicuri”.

Se la minaccia diventa reale, la priorità deve essere la sicurezza personale e cercare aiuto dalle forze dell’ordine o da professionisti della sicurezza: salvare il portafoglio non deve mai essere più importante della vita e dell’incolumità delle persone coinvolte.

I wrench attack rappresentano uno degli aspetti più acuti della criminalità legata alle criptovalute, perché spostano il dibattito sulla sicurezza oltre il browser, rendendo necessario che operatori, istituzioni e utenti considerino misure integrate di tutela digitale e fisica.