Quando le vittime cercano disperatamente "aiuto, mi hanno rubato le criptovalute" O "hanno svuotato la mia MetaMask", imparano rapidamente che la variabile più critica nel recupero delle risorse digitali non è più solo la giurisdizione geografica o il tipo di risorsa rubata. La metrica definitiva del successo ora è la velocità.
Stiamo assistendo a una fondamentale “asimmetria della velocità” nell’ecosistema blockchain, in cui i criminali informatici utilizzano script automatizzati per comprimere il ciclo di vita del riciclaggio di denaro in pochi secondi, mentre i team investigativi e di conformità sono spesso costretti a fare affidamento su flussi di lavoro manuali. Nel 2025, più di 4,04 miliardi di dollari sono stati rubati a causa di gravi episodi di hacking. Nei casi più veloci mai registrati, i fondi venivano spostati e stratificati in pochi secondi. Si stima che la finestra operativa per eseguire con successo un congelamento prima che i fondi vengano inviati ai crossbridge o ai mixer sia di soli 10-15 minuti. *(Fonti: Global Ledger Hack Report 2026, TRM Labs Crypto Crime Report 2026)*
La firma comportamentale dei bot
Nella nostra esperienza, questa automazione lascia una firma comportamentale distintiva sulla blockchain. I ricercatori umani possono facilmente rilevare quando il software prende il controllo.
"In genere, ci sono molti indicatori, come la velocità, con gli asset che si muovono pochi secondi dopo essere stati ricevuti", spiega Umberto Buonora, responsabile della ricerca di Recoveris. "Cerchiamo modelli schematici con lo stesso numero di hop prima di un deposito su un servizio, o l'uso di molti portafogli 'nuovi' che richiederebbero a un essere umano una notevole quantità di tempo per la configurazione e il backup."
Evasione multi-catena in pochi secondi
Questa consegna programmatica si sta evolvendo rapidamente. Gli aggressori non utilizzano più solo semplici mixer. Stanno eseguendo complesse tattiche di evasione multi-catena progettate per sopraffare i tradizionali strumenti forensi a catena singola.
"Direi che stiamo assistendo a un complesso livello di beni rubati e all'uso di più blockchain per farlo", afferma Dawid Koperski, Blockchain Investigations Manager presso Recoveris. "Ci sono numerosi scambi tra stablecoin che sembrano molto automatici e ben organizzati. Ho visto questo modello specifico emergere con forza nelle ultime cinque o sei settimane."
Il collo di bottiglia manuale per l'avvocato specializzato in truffe crittografiche
Per i ricercatori, il monitoraggio di questi trasferimenti incrociati crea un enorme collo di bottiglia manuale. Gli strumenti standard di analisi blockchain spesso si scontrano con un muro quando i fondi si spostano attraverso ponti cross-chain appena distribuiti o non attribuiti. A questo punto esatto i ricercatori devono scoprire manualmente quale ponte è stato utilizzato e poi tracciare i corrispondenti prelievi sulla catena bersaglio. Sintetizzare questi dati grezzi multi-catena in un rapporto forense ammissibile in tribunale richiede un ampio lavoro manuale, un triplo controllo dei dati e un monitoraggio continuo dell'attività del nuovo portafoglio.
Ciò significa che le vittime che cercano a "avvocato specializzato in frodi crittografiche" O a "servizio di recupero criptovaluta" Occorre coinvolgere immediatamente gli investigatori tecnici. Poiché l’intelligenza artificiale generativa rende più semplice per i criminali individuare le vulnerabilità nelle piattaforme e implementare contratti dannosi migliori (drenatori), il volume e la velocità di questi attacchi non potranno che aumentare. Per contrastare questo fenomeno, il settore richiede uno standard operativo completamente nuovo.
Il tempo è denaro
"Nel nostro lavoro il tempo è fondamentale", sottolinea Koperski. "I truffatori stanno diventando più veloci e più intelligenti grazie all'intelligenza artificiale, e la maggior parte delle volte bussiamo alla porta mentre loro stanno in agguato fuori dalla finestra, aspettando che andiamo via. Per contrastare questo, sarebbe molto utile avere una migliore cooperazione tra VASP (scambi) e giocatori legittimi come Recoveris."
Questo è esattamente il motivo per cui le indagini manuali sulle criptovalute stanno diventando obsolete. Automatizzando la correlazione incrociata dei trasferimenti ponte non attribuiti e standardizzando la scrittura dei rapporti forensi, il lungo lavoro manuale viene eliminato dalla scrivania dell'investigatore. È necessaria una risposta rapida potenziata dall’intelligenza artificiale per sfondare la porta prima che i criminali possano scappare con i fondi rubati.