Prima di procedere
Il panorama della sicurezza digitale globale sta affrontando una crisi senza precedenti all'alba del 2026, con una concentrazione di ricchezza illecita che fluisce verso un unico, isolato attore statale. La stragrande maggioranza delle criptovalute sottratte illegalmente dall'inizio di quest'anno viene utilizzata per finanziare le casse della Corea del Nord. Le unità di cyber-guerra di Pyongyang, guidate da gruppi d'élite come il celebre Lazarus Group, stanno compiendo furti storici di asset digitali con una cadenza ormai settimanale, mettendo in ginocchio protocolli che fino a poco tempo fa erano considerati inattaccabili. Questi incidenti prosperano in un ecosistema che, per sua natura, è privo di supporto governativo e di garanzie centralizzate, costringendo i possessori di asset a proteggere i propri capitali con mezzi propri, spesso del tutto inadeguati di fronte a minacce di livello statale.
I dati relativi al 2025 avevano già lanciato un allarme rosso per l'intero settore finanziario. Secondo i report dell'FBI, negli Stati Uniti sono stati sottratti asset in criptovalute per un valore superiore agli 11 miliardi di dollari in un solo anno, e questa cifra rappresenta esclusivamente i casi ufficialmente registrati e denunciati. Tuttavia, è nel primo quadrimestre del 2026 che la situazione è precipitata: il 76% dei fondi rubati globalmente è stato ricondotto direttamente a operazioni orchestrate da Pyongyang. Questo non significa necessariamente che la Corea del Nord compia il maggior numero di attacchi in termini assoluti, ma dimostra come il regime sia diventato un maestro dei colpi mirati e ad altissimo rendimento. Tra gennaio e aprile 2026, sono bastati due soli incidenti critici — gli attacchi ai protocolli Drift Protocol e KelpDAO — per generare profitti illeciti rispettivamente di 285 milioni e 292 milioni di dollari.
L'arma segreta che ha permesso questa scalata criminale è l'integrazione massiccia dell'Intelligenza Artificiale nelle operazioni di hacking. Grazie all'IA, i gruppi criminali nordcoreani hanno abbattuto le storiche barriere linguistiche che spesso rendevano i tentativi di phishing facilmente identificabili. Oggi, l'ingegneria sociale utilizzata da Pyongyang è di una raffinatezza estrema: vengono creati profili falsi su piattaforme come LinkedIn o Telegram, completi di storie lavorative credibili e video deepfake, per ingannare gli sviluppatori di software e ottenere l'accesso alle chiavi private dei protocolli. Esperti del settore, tra cui analisti di TRM Labs, hanno evidenziato come il numero di schemi fraudolenti basati sull'IA sia cresciuto del 500% nell'ultimo anno, rendendo gli ecosistemi di smart contract intrinsecamente fragili di fronte a una velocità di attacco non più umana.
Le motivazioni dietro questa offensiva senza tregua sono di natura geopolitica ed economica. A causa delle pesanti sanzioni internazionali, la Corea del Nord è stata tagliata fuori dalla maggior parte degli strumenti finanziari globali e dal circuito SWIFT. In questo contesto, le criptovalute rappresentano un bersaglio perfetto e uno strumento di sopravvivenza: una volta rubati, gli asset digitali sono quasi impossibili da recuperare. Mentre una banca tradizionale può bloccare o annullare un trasferimento sospetto, molti progetti di finanza decentralizzata sono costruiti su architetture che non prevedono interventi di censura. Questa caratteristica, tanto amata dagli investitori che cercano la libertà d'azione, si rivela un'arma a doppio taglio che espone i capitali a rischi sistemici irreversibili.
Analizzando lo storico delle attività illecite, si nota un'evoluzione inquietante. Nel 2017 e nel 2018, la Corea del Nord era responsabile di circa un terzo dei furti globali; dopo una flessione nel 2020, il volume è tornato a salire vertiginosamente, toccando il picco attuale nel 2026. Un evento spartiacque è avvenuto nel febbraio 2025, quando un gruppo hacker legato a Pyongyang ha sottratto all'exchange ByBit circa 1,5 miliardi di dollari in Ethereum. Gli schemi di attacco variano continuamente, ma il denominatore comune è una profonda comprensione tecnica delle debolezze strutturali delle piattaforme di scambio. La velocità dell'IA ha poi eliminato i tempi morti nella creazione di codice malevolo, permettendo di sfruttare le falle dei contratti intelligenti pochi minuti dopo la loro pubblicazione.
Il futuro della sicurezza nel settore Web3 richiede ora un cambio di paradigma radicale. Molti esperti suggeriscono che l'architettura dei servizi decentralizzati debba essere riscritta per includere sistemi di multi-firma obbligatori che richiedano tempi di approvazione di ore o giorni, annullando il vantaggio della velocità d'esecuzione tipico degli hacker. Anche se l'IA continuerà a supportare gli aggressori, l'introduzione di barriere temporali potrebbe permettere ai team di sicurezza di intervenire prima che il danno sia definitivo. Senza queste contromisure, il mercato delle criptovalute rischia di rimanere la principale fonte di finanziamento per programmi militari e ambizioni nucleari, trasformando ogni vulnerabilità tecnica in una minaccia alla sicurezza mondiale nel corso di tutto il 2026 e oltre.
