Cosa fare se il tuo portafoglio crypto è stato svuotato: passi immediati, gestione dei danni e opzioni di recupero

9 giugno 2026 • 12 min di lettura • Guida al recupero

Guida al recupero del portafoglio crypto svuotato

Hai appena scoperto che il tuo portafoglio crypto è stato svuotato. Forse stai fissando uno saldo azzerato su MetaMask. Forse hai appena ricevuto un avviso di transazione che non riconosci. Qualunque cosa sia successa, le prossime ore sono decisive. Questa guida ti accompagna passo dopo passo: come limitare i danni immediatamente, come raccogliere le prove on-chain, come segnalare l'accaduto alle autorità competenti e come valutare le reali possibilità di recupero. Segui l'ordine: è stato studiato per proteggere ciò che non hai ancora perso.

Cosa è appena successo: come funzionano i drainer di portafogli

Lo svuotamento di un portafoglio non è un attacco casuale. Di solito è un'operazione precisa e automatizzata che è partita nel momento esatto in cui hai firmato qualcosa che non avresti dovuto firmare. Capire la meccanica è fondamentale perché influenza ogni decisione che prenderai da questo momento in poi.

Il software drainer è una categoria di codice malevolo — talvolta venduto come kit nei mercati criminali del dark web — incorporato in siti di phishing che imitano applicazioni decentralizzate legittime. Secondo l'analisi dettagliata di Blockaid del 2024 sulla meccanica dei drainer, un attacco tipico segue una sequenza in tre fasi: la vittima viene attirata su un sito di phishing che imita una vera dApp; il sito attiva una richiesta di connessione del portafoglio che appare di routine; poi viene presentata una richiesta di firma malevola, spesso mascherata da approvazione per le gas fee o da transazione per un mint gratuito.

Come funzionano gli exploit approve() e permit()

Gli attacchi più devastanti sfruttano la funzione approve() dello standard ERC-20 o la sua variante senza gas, permit(). Quando firmi una transazione approve(), autorizzi uno smart contract a trasferire token dal tuo portafoglio per tuo conto. I kit drainer ne abusano richiedendo un'approvazione illimitata per tutti i token nel portafoglio. L'analisi di TRM Labs sui drainware mostra come gli attaccanti usino le firme approve() e permit() per svuotare i portafogli in pochi secondi senza ulteriori interazioni da parte della vittima. Una firma permit() è particolarmente pericolosa perché non appare nemmeno come transazione nella cronologia delle approvazioni della maggior parte delle interfacce wallet — è una firma off-chain che autorizza una spesa on-chain.

Chainalysis ha riferito nel 2023 che il phishing tramite approvazione aveva causato perdite per almeno 374,6 milioni di dollari fino a novembre di quell'anno, con una significativa sovrapposizione con le operazioni di romance scam, in cui le vittime vengono manipolate per settimane o mesi prima di essere indotte a firmare un'approvazione malevola. Questa tattica non è scomparsa — si è evoluta. Entro il 2025, gli attacchi basati su permit rappresentavano il 38% delle perdite in incidenti superiori a 1 milione di dollari, secondo i dati di Scam Sniffer.

La portata del problema nel 2025 e nel 2026

Le perdite complessive dovute ai drainer sono diminuite dell'83% nel 2025, scendendo a un valore stimato di 83,85 milioni di dollari, rispetto ai 494 milioni del 2024. Ma questo dato di sintesi è fuorviante. L'analisi di Scam Sniffer mostra che il calo riflette un cambio strategico degli attaccanti — dalle campagne di phishing di massa alla «caccia alle balene» mirata contro portafogli di alto valore. L'ecosistema dei drainer è rimasto attivo, con 106.106 vittime nel solo 2025. Nel frattempo, le perdite da phishing sono aumentate del 207% a gennaio 2026 rispetto a dicembre 2025, segnalando una ripresa. TRM Labs ha rilevato 68 milioni di dollari in volume di svuotamenti precedentemente non attribuiti su Ethereum solo nel Q1 2026, suggerendo che la reale portata degli attacchi è sistematicamente sottostimata.

Il panorama generale delle frodi è ancora più grave. Il Crypto Crime Report 2026 di Chainalysis stima che nel 2025 siano stati rubati 17 miliardi di dollari in truffe e frodi crypto a livello globale, con le truffe di impersonazione in aumento del 1.400% e le truffe abilitate dall'intelligenza artificiale che si sono rivelate 4,5 volte più redditizie del social engineering tradizionale. Il Rapporto sui crimini informatici 2025 dell'FBI ha registrato 11,36 miliardi di dollari in perdite da crimini crypto negli Stati Uniti su 181.565 denunce, con le sole frodi sugli investimenti crypto a rappresentare 7,2 miliardi di dollari.

Un nuovo vettore di attacco: le firme malevole basate su EIP-7702

Nell'agosto 2025, un nuovo attacco basato su firme malevole EIP-7702 ha causato perdite per 2,54 milioni di dollari in due incidenti. Questo standard, concepito per migliorare l'account abstraction, può essere sfruttato per convertire temporaneamente un account di proprietà esterna in un portafoglio smart contract, concedendo agli attaccanti ampie autorizzazioni. Rappresenta il punto più avanzato dell'evoluzione dei drainer ed è uno dei motivi per cui tenere il software del portafoglio e le liste delle dApp connesse regolarmente verificate è così importante.

I primi 10 minuti: fermare l'emorragia

Il primo impulso dopo aver scoperto uno svuotamento è spesso quello di cercare di capire cosa è successo. Resisti a questo impulso finché non hai completato i passi protettivi immediati qui sotto. L'attaccante sa già cosa è successo. Il tuo compito adesso è limitare ulteriori danni, non fare un'analisi post-mortem.

Passo 1: Non interagire con il portafoglio compromesso

Se sospetti che la tua frase seed o la tua chiave privata siano state esposte — non solo un'approvazione di token — smetti immediatamente di utilizzare quel portafoglio. Qualsiasi nuovo asset inviato a un indirizzo compromesso può essere sottratto immediatamente. Non tentare di spostare gli asset rimanenti usando lo stesso software wallet sullo stesso dispositivo finché non hai escluso la presenza di malware su quel dispositivo.

Passo 2: Disconnetti il portafoglio da internet se sei ancora sul sito di phishing

Se sei ancora connesso a una dApp sospetta, disconnettiti immediatamente usando la schermata di gestione dei siti integrata nel tuo wallet. Non chiudere semplicemente la scheda del browser — la connessione persiste finché non viene esplicitamente revocata. In MetaMask e nella maggior parte dei wallet browser, vai su Impostazioni - Siti connessi e rimuovi il sito sospetto.

Passo 3: Trasferisci gli asset rimanenti a un portafoglio pulito

Se la tua frase seed non è compromessa e sono state sfruttate solo specifiche approvazioni di token, alcuni asset potrebbero essere rimasti intatti. La valuta nativa della blockchain (ETH, BNB, MATIC) non è soggetta agli exploit di approvazione ERC-20 e potrebbe essere ancora nel tuo portafoglio. Spostala il più velocemente possibile su un portafoglio appena creato su un dispositivo pulito o su un hardware wallet. La velocità è fondamentale: i bot drainer monitorano spesso i portafogli per le transazioni in entrata dopo uno svuotamento, sottraendo qualsiasi nuovo deposito in pochi secondi.

Passo 4: Non tentare di riacquistare gli stessi token

Un errore comune è acquistare immediatamente gli stessi asset che sono stati rubati. Se il drainer mantiene ancora un'approvazione attiva per il tuo portafoglio, può sottrarre i token di sostituzione in pochi minuti. Revoca prima tutte le approvazioni (vedi Sezione 3) prima di spostare qualsiasi nuovo asset nell'indirizzo del portafoglio colpito.

Passo 5: Preserva il dispositivo — non eseguire il ripristino di fabbrica ancora

L'impulso di cancellare il dispositivo è comprensibile, ma farlo prima di raccogliere le prove potrebbe distruggere dati di cui le forze dell'ordine o una società forense ha bisogno. Disconnettiti da internet se sospetti la presenza di malware, ma non eseguire il ripristino finché non hai fatto screenshot e documentato l'attacco (vedi Sezione 4). Usa un dispositivo diverso per tutti i passaggi successivi.

Lista delle priorità nei 60 minuti

1. Smetti di usare il portafoglio compromesso. 2. Disconnettiti dal sito di phishing. 3. Sposta gli asset non colpiti su un portafoglio pulito. 4. Revoca tutte le approvazioni di token (sezione successiva). 5. Fai screenshot di tutto. 6. Non inviare fondi all'indirizzo compromesso ancora.

Revocare le approvazioni di token e i permessi

Anche dopo che uno svuotamento è avvenuto, le approvazioni di token in sospeso restano una minaccia attiva. Se lo smart contract dell'attaccante mantiene ancora l'autorizzazione a spostare token dal tuo portafoglio e depositi altri asset a quell'indirizzo, potranno essere sottratti automaticamente. Revocare le approvazioni chiude questa finestra di rischio.

Strumenti per revocare le approvazioni

Esistono diversi strumenti gratuiti e affidabili per verificare e revocare le approvazioni di token. Usali digitando l'URL direttamente — non cliccare link da risultati di ricerca o social media nell'immediato dopo un attacco, poiché i siti di phishing che imitano gli strumenti di revoca sono comuni:

Revoke.cash — supporta Ethereum e la maggior parte delle chain EVM; connetti il tuo portafoglio (la sola lettura è sufficiente per visualizzare; devi firmare una transazione di revoca per revocare effettivamente)
Etherscan Token Approval Checker — vai su etherscan.io, naviga al tuo indirizzo e usa la scheda Approvazioni Token; copre la mainnet di Ethereum
DeBank — gestione delle approvazioni cross-chain su oltre 30 chain
Rabby Wallet — dispone di un pannello integrato di gestione delle approvazioni se lo utilizzi come wallet principale

Ogni revoca è una transazione on-chain e costa una piccola quantità di gas. Se il tuo portafoglio è stato completamente svuotato della valuta nativa (ETH, BNB, ecc.) potresti non avere abbastanza gas per revocare. In quel caso, invia una piccola quantità di valuta nativa da un altro portafoglio pulito al tuo indirizzo compromesso esclusivamente per pagare il gas di revoca — poi revoca tutto prima di spostare altri asset.

Le firme permit: l'approvazione invisibile

Gli strumenti di revoca standard mostrano principalmente le autorizzazioni basate su approve() registrate on-chain. Ma le approvazioni basate su permit(), che rappresentano il 38% delle perdite in incidenti superiori a 1 milione di dollari secondo il rapporto 2026 di Scam Sniffer, sono firme off-chain che vengono registrate on-chain solo quando l'attaccante sceglie di eseguirle. Alcuni token implementano permitAllowancesOf() o viste simili; altri no. L'implicazione pratica è che se è stata sfruttata una firma permit(), potresti non vederla negli strumenti di approvazione standard. Per portafogli di alto valore, considera di contattare una società di sicurezza blockchain per un'analisi completa delle firme.

L'analisi di Chainalysis sul phishing tramite approvazione documenta come gli attaccanti mantengano un accesso continuativo ai portafogli delle vittime raccogliendo firme di approvazione nel tempo, aspettando a volte settimane prima di eseguire uno svuotamento. Ecco perché gli audit regolari delle approvazioni — non solo le revoche post-attacco — fanno parte di una buona igiene del portafoglio.

Permessi NFT e smart contract

Se il tuo svuotamento ha incluso NFT, verifica la presenza di approvazioni setApprovalForAll() usando il pannello di revoca di OpenSea, Revoke.cash (che copre le approvazioni NFT) o direttamente sull'explorer della tua blockchain. Queste approvazioni concedono pieni diritti di trasferimento su tutti gli NFT di una collezione a un operatore terzo. Una singola setApprovalForAll() verso un indirizzo malevolo è sufficiente per svuotare un'intera collezione di NFT all'istante.

Dopo la revoca: controlla periodicamente le nuove approvazioni

Imposta un promemoria sul calendario per verificare le approvazioni dei token mensilmente. Molti portafogli accumulano decine di approvazioni aperte da dApp legittime che non sono più necessarie. Ogni approvazione aperta è una superficie di attacco. Chiuderle costa solo gas e richiede pochi minuti.

Preservare e documentare le prove on-chain

Le prove non servono solo a sostenere una denuncia alle forze dell'ordine — spesso sono la differenza tra la capacità di una società forense di tracciare i fondi e l'impossibilità di farlo. I dati on-chain sono immutabili, ma il contesto off-chain (quale sito hai visitato, cosa hai firmato, quali messaggi hai ricevuto) può scomparire rapidamente se non lo acquisisci immediatamente.

Dati on-chain da registrare immediatamente

L'indirizzo del tuo portafoglio — registra l'indirizzo completo (0x...) di ogni portafoglio coinvolto
Hash delle transazioni di svuotamento — cerca il tuo indirizzo su Etherscan (o sull'explorer della chain rilevante) e individua le transazioni in uscita sospette; registra ogni hash di transazione
Indirizzi di destinazione — registra dove sono stati inviati i tuoi asset; questi sono i primi nodi nel grafo di tracciamento
Timestamp — numeri di blocco e timestamp UTC per ogni transazione
Tipologie di token e valore approssimativo in USD — registra cosa è stato rubato e il valore approssimativo al momento dello svuotamento
Hash della transazione di approvazione — se riesci a identificarla, la transazione in cui è stata concessa l'approvazione malevola è una prova fondamentale

Esporta questi dati come screenshot e salva gli URL delle transazioni raw dall'explorer della blockchain. Servizi come Etherscan ti permettono di esportare la cronologia delle transazioni in formato CSV. Fallo ora — i dati saranno sempre on-chain, ma averli organizzati in un file con i timestamp accelererà qualsiasi indagine.

Prove off-chain da acquisire

URL del sito di phishing — fai uno screenshot prima che scompaia; registra l'URL completo
Comunicazioni di social engineering — se sei stato attirato tramite Discord, Telegram, email o SMS, conserva ogni messaggio (esporta la conversazione, fai screenshot)
La richiesta di firma della transazione — cosa ti mostrava il tuo wallet quando hai approvato la transazione? Ricostruiscila nel modo più preciso possibile
Screenshot dell'interfaccia wallet o dApp — come appariva il sito? Quale progetto legittimo stava impersonando?
Intestazioni email — se hai ricevuto un'email di phishing, conserva l'email raw con le intestazioni complete (non solo il corpo del messaggio)

Crea una cronologia scritta

Scrivi un resoconto cronologico di tutto ciò che è accaduto: quando hai incontrato per la prima volta il sito o messaggio sospetto, quali azioni hai intrapreso, quando hai notato lo svuotamento e ogni passo che hai fatto da allora. Includi orari esatti dove possibile. Questa narrazione verrà richiesta dalle forze dell'ordine, dalle piattaforme di scambio e dalle società forensi. Averla scritta ora — mentre la memoria è fresca — ha un valore significativamente maggiore rispetto al tentativo di ricostruirla settimane dopo.

Non scartare dispositivi o hardware

Il tuo dispositivo, la cronologia del browser e qualsiasi hardware wallet possono contenere prove forensi. Non eseguire il ripristino di fabbrica, formattare o scartare nulla finché le forze dell'ordine o un professionista forense non ti hanno consigliato che è sicuro farlo.

Segnalare alle forze dell'ordine e ai regolatori

Segnalare non è inutile. È un prerequisito per quasi ogni percorso di recupero e contribuisce a un quadro investigativo più ampio che porta a risultati concreti. La cooperazione internazionale delle forze dell'ordine attorno ai crimini crypto è cresciuta sostanzialmente. L'Operazione Atlantic, conclusa nel marzo 2026, ha visto il Secret Service degli Stati Uniti collaborare con la National Crime Agency del Regno Unito e le autorità canadesi per identificare 45 milioni di dollari in frodi crypto, congelare 12 milioni di dollari in asset e contattare oltre 3.000 vittime accertate. Più di 120 domini truffaldini sono stati smantellati.

Dove presentare le denunce

Denuncia in tutte le giurisdizioni competenti. Non dare per scontato che una singola denuncia copra tutto. Le principali destinazioni dove segnalare includono:

FBI Internet Crime Complaint Center (IC3) — ic3.gov — il canale federale statunitense per i crimini finanziari abilitati da internet; usato dall'Unità Frodi Crypto dell'FBI. Il Rapporto Annuale IC3 2025 dell'FBI ha registrato 181.565 denunce per crimine crypto. La presentazione qui attiva un potenziale rinvio alle unità di indagine crypto specializzate.
Denuncia alla polizia locale — molte piattaforme di scambio e prodotti assicurativi richiedono un numero di rapporto di polizia prima di elaborare un reclamo o assistere con un'indagine. Denuncia presso le autorità locali anche se non possono intraprendere azioni tecniche.
Ufficio locale del Secret Service degli Stati Uniti — per perdite superiori a 50.000 dollari, le Electronic Crimes Task Forces del Secret Service gestiscono i grandi casi di frode crypto
EC3 di Europol — le vittime europee possono segnalare al Centro Europeo per la Lotta al Crimine Informatico; l'IOCTA 2024 di Europol ha identificato il phishing come il principale vettore di criminalità informatica in Europa
Regolatori finanziari nazionali — nel Regno Unito, il portale FCA ScamSmart; nell'UE, l'autorità di mercato finanziario nazionale; in Australia, AFCA e ReportCyber
Piattaforme di scambio coinvolte — se i fondi rubati sono stati inviati a un indirizzo noto di una piattaforma di scambio centralizzata, contatta immediatamente il team di compliance o antifrode di quella piattaforma con l'hash della transazione di destinazione; le piattaforme possono talvolta congelare i depositi prima del prelievo

Cosa richiedono le forze dell'ordine da te

Fornisci la cronologia scritta e tutte le prove on-chain che hai preparato nella Sezione 4. Le denunce alle forze dell'ordine che includono hash di transazione specifici, indirizzi wallet e valori USD stimati sono molto più operative rispetto a vaghe descrizioni di quanto accaduto. La Guida al Recupero degli Asset 2025 del GAFI raccomanda l'interdizione in tempo reale come approccio prioritario per il furto di asset virtuali, il che significa che la velocità di segnalazione è direttamente correlata alla probabilità di congelare gli asset.

Le linee guida del GAFI rilevano inoltre che, con i giusti strumenti di analisi blockchain, gli asset virtuali possono spesso essere tracciati più velocemente e in modo più completo rispetto ai flussi finanziari tradizionali. Il limite non è tecnico — è portare gli strumenti giusti davanti agli investigatori giusti con la dovuta rapidità. La tua denuncia è ciò che fa partire quel timer.

Segnala alle piattaforme di scambio proattivamente, non reattivamente

Le principali piattaforme di scambio mantengono team di compliance che possono agire sulla base delle prove fornite dagli hash delle transazioni. Se riesci a identificare che i fondi rubati sono finiti in un indirizzo di deposito di Binance, Coinbase, Kraken o OKX, contatta quelle piattaforme direttamente e contemporaneamente alle forze dell'ordine. Il tempo che intercorre prima del congelamento è determinante. Alcune piattaforme dispongono di hotline antifrode attive 24 ore su 24 appositamente per questo scenario.

Coinvolgere la forensica blockchain: cosa è realistico

La forensica blockchain è una disciplina professionale. Comporta il tracciamento dei flussi di fondi tra diverse chain, il raggruppamento degli indirizzi per identificare le entità di controllo e la produzione di rapporti che possono supportare procedimenti legali. Capire cosa può e non può fare ti eviterà sia di scartarla prematuramente che di nutrire aspettative irrealistiche.

Cosa può ottenere il tracciamento

Tutte le transazioni sulle blockchain pubbliche sono registrate in modo permanente. Una società forense può tipicamente tracciare il movimento dei fondi rubati dal tuo portafoglio attraverso più salti, identificare dove gli asset sono stati convertiti o trasferiti tramite bridge e determinare se sono arrivati su una piattaforma di scambio regolamentata o su un mixer. Quando i fondi rubati raggiungono una piattaforma di scambio regolamentata — che è un percorso di uscita comune perché gli attaccanti devono convertire la crypto in valuta fiat — quella piattaforma può essere costretta dalle forze dell'ordine a congelare il conto e a fornire i dati KYC dell'identità.

La sfida aumenta significativamente quando gli attaccanti usano bridge cross-chain, protocolli per la privacy o mixer. Il rapporto 2025 di Elliptic sul crimine cross-chain ha documentato 21,8 miliardi di dollari in crypto illecite o ad alto rischio riciclate tramite metodi cross-chain nel 2025. L'attività cross-chain rompe il semplice modello di tracciamento lineare e richiede strumenti specializzati. Società come Chainalysis, TRM Labs, Elliptic e CipherTrace hanno sviluppato questi strumenti. La ricerca di TRM Labs sui drainware mostra che anche gli attaccanti sofisticati commettono frequenti errori di sicurezza operativa che l'analisi forense può sfruttare.

Quando coinvolgere una società forense

Il coinvolgimento di una forense privata è maggiormente giustificato quando: la perdita supera una soglia dove le spese professionali sono proporzionate (tipicamente oltre 10.000 dollari); esiste un percorso realistico verso una piattaforma di scambio regolamentata dove gli asset possono essere congelati; o si sta preparando una causa civile che richiede un rapporto forense di livello da perito. Per perdite minori, le denunce alle forze dell'ordine e i team di compliance delle piattaforme di scambio possono essere sufficienti come primo passo — e sono gratuiti.

Le società forensi reputate includono Chainalysis (offre anche servizi investigativi tramite la sua offerta Incident Response), TRM Labs, Elliptic, CipherTrace (Mastercard) e Coinfirm. Una società legittima fornirà un ambito di lavoro chiaro, una struttura tariffaria basata su tariffe professionali piuttosto che su una percentuale del recupero, e aspettative realistiche sui risultati. Non chiederà mai la tua frase seed.

Vie legali che la forensica può supportare

Un rapporto forense può supportare: un'ingiunzione Mareva (ordine di congelamento degli asset) nelle giurisdizioni di common law; un Norwich Pharmacal Order (che impone a una piattaforma di scambio di rivelare l'identità dell'aggressore); procedimenti civili contro i convenuti identificati; e reclami assicurativi. Questi percorsi richiedono consulenza legale nella giurisdizione competente. La Guida al Recupero degli Asset 2025 del GAFI evidenzia specificamente come l'analisi blockchain acceleri la fase di tracciamento degli asset che nei casi di frode finanziaria convenzionale richiede tradizionalmente settimane.

Risultati realistici da aspettarsi

Il recupero completo è l'eccezione, non la regola. Il recupero parziale — tramite congelamenti da parte delle piattaforme di scambio, accordi civili o assicurazione — è più comune quando le vittime agiscono rapidamente, conservano bene le prove e si avvalgono di aiuto professionale proporzionale alla perdita. Ciò che la forensica blockchain fa in modo affidabile è stabilire cosa è successo e dove sono finiti i fondi. Ciò che accade dopo dipende dai sistemi legali, dalle giurisdizioni e dagli errori operativi commessi dagli attaccanti.

Proteggere i beni rimasti e ricostruire la sicurezza

Dopo uno svuotamento, la tentazione è di concentrarsi interamente su ciò che è andato perso. Ma probabilmente hai ancora asset su altri portafogli, piattaforme di scambio o chain — e quelli sono a rischio se lo stesso vettore di attacco che ti ha colpito una volta è ancora aperto. Ricostruire la sicurezza non è facoltativo.

Hardware wallet e igiene della frase seed

I wallet come estensioni del browser sono fondamentalmente più esposti rispetto agli hardware wallet perché girano su dispositivi connessi a internet che possono essere compromessi da malware, phishing o estensioni del browser malevole. Un hardware wallet come Ledger o Trezor richiede la conferma fisica per ogni transazione e mantiene la chiave privata air-gapped dal computer. Se non ne stai usando uno per asset significativi, è il momento di cambiare.

La tua frase seed è la chiave maestra per ogni indirizzo nella gerarchia del tuo portafoglio. Deve essere scritta su carta o incisa su metallo — non deve mai essere conservata in un file digitale, in un documento cloud, in un'email o in un'app di messaggistica. Se hai condiviso la tua frase seed con qualcuno, o se l'hai digitata in qualsiasi sito, quel portafoglio è definitivamente compromesso e tutti gli asset devono essere spostati immediatamente su un portafoglio appena generato.

Verifica tutti gli account connessi

Un attaccante che ha avuto accesso al tuo dispositivo o account email potrebbe avere molto più delle tue crypto. Verifica quanto segue:

Account email — cambia le password e verifica la presenza di regole di inoltro che potrebbero essere state impostate per esfiltrare i messaggi
Account delle piattaforme di scambio — controlla la presenza di chiavi API non autorizzate, modifiche agli indirizzi di prelievo o cronologia degli accessi per IP
Autenticazione a due fattori — se usi un 2FA basato su SMS, considera di passare a un'app di autenticazione o a una chiave hardware (FIDO2), poiché il SIM swapping è un attacco conseguente comune
Estensioni del browser — esamina ogni estensione installata; le estensioni malevole travestite da strumenti wallet o blocchi pubblicitari sono un vettore di attacco documentato

In futuro: igiene minima delle approvazioni

Ricostruisci la tua postura di sicurezza attorno a tre principi: approva solo ciò di cui hai bisogno, revoca le approvazioni dopo l'uso e verifica ogni richiesta di transazione su uno schermo hardware wallet prima di confermarla. Usa un portafoglio dedicato per le interazioni DeFi che contenga solo gli asset necessari per un'operazione specifica — non le tue riserve a lungo termine. Questo limita il raggio d'azione in caso di nuovo contratto malevolo.

Considera l'utilizzo di uno strumento di simulazione delle transazioni come Tenderly, Pocket Universe o l'estensione Fire che mostra in anteprima cosa farà effettivamente una transazione prima che tu la confermi. Questi strumenti mostrano i flussi di token che una transazione eseguirà, intercettando gli exploit di approvazione prima che avvengano.

La psicologia del recupero: evitare le truffe secondarie

Il periodo immediatamente successivo a uno svuotamento del portafoglio è una delle finestre di rischio più elevato per le frodi secondarie. Le vittime sono in difficoltà, cercano urgentemente soluzioni e spesso rendono pubblica la loro situazione sui social media. I truffatori monitorano questi segnali in modo sistematico.

Le truffe di recupero prendono di mira specificatamente le vittime di svuotamento

La truffa secondaria più comune è il finto servizio di recupero: un'azienda o un individuo che afferma di specializzarsi nel recupero crypto, spesso usando siti web dall'aspetto professionale, false testimonianze e credenziali normative fabbricate. Addebitano una grossa somma anticipata — pagabile in crypto — e scompaiono dopo averla ricevuta. Alcuni trattengono le vittime per settimane, fabbricando rapporti sui progressi, prima della fuga finale. Questi servizi non hanno capacità di recuperare fondi perché non hanno accesso alla blockchain, ai canali delle forze dell'ordine o ai team di compliance delle piattaforme di scambio che il recupero legittimo richiede effettivamente.

Un secondo schema comune è la truffa di impersonazione rivolta alle note vittime di svuotamento. Dopo che uno svuotamento di alto profilo viene segnalato pubblicamente, gli impostori che si spacciano per società di sicurezza blockchain, funzionari delle forze dell'ordine o staff di compliance delle piattaforme di scambio contattano la vittima offrendo aiuto — in cambio di un compenso o, più pericolosamente, di accesso a un nuovo portafoglio. Il rapporto 2026 di Chainalysis ha documentato un aumento del 1.400% nelle truffe di impersonazione e ha notato che le varianti abilitate dall'IA sono significativamente più persuasive e redditizie rispetto alle versioni precedenti.

Come valutare qualsiasi servizio di recupero

Nessuna azienda legittima garantisce il recupero. Il tracciamento on-chain può seguire i fondi; il recupero dipende da ciò che le forze dell'ordine e i tribunali possono imporre. Qualsiasi garanzia è un segnale di allarme.
Nessuna azienda legittima chiede la tua frase seed. Mai. In nessuna circostanza.
Le commissioni devono essere trasparenti e professionali. Le società forensi blockchain legittime addebitano tariffe orarie o basate su progetto comunicate in anticipo, non percentuali dei fondi recuperati con grandi depositi crypto richiesti prima.
Verifica in modo indipendente. Cerca l'azienda nei registri ufficiali delle imprese. Trova il loro team su LinkedIn. Chiamali a un numero dal loro sito web ufficiale, non da un messaggio che ti hanno inviato.
Consulta prima un avvocato. Per qualsiasi impegno che coinvolga fondi significativi, un avvocato specializzato nel recupero di asset digitali può verificare una società forense e strutturare l'incarico per proteggere i tuoi interessi.

Gestire la dimensione emotiva

Il furto di crypto ha un impatto psicologico reale. La combinazione di perdita finanziaria, violazione della privacy e opacità tecnica di quanto accaduto crea uno stress acuto che compromette il giudizio — esattamente lo stato che i truffatori sfruttano. Rallenta prima di interagire con qualsiasi servizio che ti ha contattato proattivamente. Parla con qualcuno di cui ti fidi prima di prendere qualsiasi impegno finanziario. Le decisioni che prenderai nelle prime 48 ore dopo uno svuotamento avranno conseguenze a lungo termine; meritano una riflessione attenta, non un'azione reattiva guidata dal desiderio di annullare rapidamente la perdita.

Segnali d'allarme di una truffa di recupero

Ti hanno contattato per primi. Garantiscono il recupero. Richiedono un pagamento anticipato in crypto. Chiedono la tua frase seed o chiave privata. Il loro sito web non ha informazioni aziendali verificabili. Ti mettono pressione perché la «finestra si stia chiudendo». Ognuno di questi è già motivo sufficiente per andarsene.

Punti chiave

Agisci subito: revoca tutte le approvazioni di token, trasferisci gli asset rimasti su un portafoglio pulito e non interagire più con l'indirizzo compromesso
Conserva tutto: hash delle transazioni, indirizzi di destinazione, screenshot del sito di phishing e tutte le comunicazioni di social engineering
Segnala in fretta: denuncia all'FBI IC3, alla polizia locale e alle piattaforme di scambio coinvolte contemporaneamente — la velocità determina se i fondi possono essere congelati prima del prelievo
Il tracciamento blockchain funziona: il GAFI conferma che gli asset virtuali possono spesso essere tracciati più velocemente dei flussi finanziari tradizionali — ma solo se le prove sono conservate e le denunce presentate tempestivamente
Le firme permit sono invisibili: il 38% delle grandi perdite coinvolge approvazioni basate su permit che gli strumenti di revoca standard potrebbero non mostrare — richiedi un audit completo per perdite significative
L'Operazione Atlantic ha dimostrato che l'applicazione della legge è reale: 12 milioni di dollari congelati, oltre 3.000 vittime contattate, 120+ domini truffaldini smantellati in una singola operazione internazionale del 2026
Le truffe secondarie sono sistematiche: i truffatori monitorano le vittime di svuotamento e le prendono di mira con finti servizi di recupero — nessuna azienda legittima garantisce il recupero o chiede la tua frase seed
Gli hardware wallet e le approvazioni minime non sono opzionali per asset significativi — sono la differenza tra uno svuotamento che diventa una catastrofe e un incidente minore

Hai bisogno di aiuto dopo lo svuotamento del portafoglio?

Il nostro team lavora con specialisti di forensica blockchain e consulenti legali esperti nel recupero di asset digitali. Possiamo aiutarti a valutare la tua situazione.

Parla con uno specialista

Non sei sicuro della tua situazione?

Fai il quiz sulla sicurezza crypto

Scopri quanto è esposta la tua configurazione attuale e ottieni una lista personalizzata di miglioramenti. Bastano 3 minuti.

Inizia il quiz

Riferimenti

1.Chainalysis, Crypto Crime Report 2026: Truffe e Frodi, Chainalysis, marzo 2026. link
2.Federal Bureau of Investigation Internet Crime Complaint Center, Rapporto sui Crimini Informatici 2025, FBI IC3, aprile 2026. link
3.TRM Labs, Drainware: Purtroppo in Arrivo su un Portafoglio Cryptocurrency Vicino a Te, Blog TRM Labs. link
4.TRM Labs, Indice Globale di Adozione Crypto Q1 2026, TRM Labs, aprile 2026. link
5.Gruppo di Azione Finanziaria Internazionale, Guida e Migliori Pratiche per il Recupero degli Asset 2025, GAFI, novembre 2025. link
6.Europol, Valutazione della Minaccia della Criminalità Organizzata su Internet (IOCTA) 2024, Agenzia dell'Unione Europea per la Cooperazione nell'Applicazione della Legge, luglio 2024. link
7.United States Secret Service, L'Operazione Atlantic Smantella Oltre 45 Milioni di Dollari in Frodi Crypto e Congela gli Asset, USSS Newsroom, aprile 2026. link
8.Chainalysis, Truffe Crypto tramite Phishing di Approvazione 2023, Chainalysis, novembre 2023. link
9.Elliptic, Lo Stato del Crimine Cross-Chain 2025, Elliptic, 2025. link
10.National Crime Agency (UK), I Truffatori che Prendono di Mira le Criptovalute Fermati e 12 Milioni di Dollari Congelati nell'Operazione Atlantic Guidata dalla NCA, NCA Newsroom, aprile 2026. link
11.Scam Sniffer / Cointelegraph, Le Perdite da Phishing Crypto Sono Diminuite dell'83% nel 2025 ma l'Ecosistema dei Drainer Rimane Attivo, via TradingView/Cointelegraph, gennaio 2026. link
12.Blockaid, Smascherare i Drainer di Portafogli: Analisi Passo per Passo di un Furto Crypto, Blog Blockaid, 2024. link

Domande frequenti

Le criptovalute rubate possono essere recuperate?

Il recupero è possibile ma non garantito. Il successo dipende dalla rapidità con cui viene denunciato il furto, dalla qualità delle prove conservate e dalla possibilità di tracciare i fondi prima che vengano mescolati o trasferiti tramite bridge verso chain che privilegiano la privacy. Le forze dell'ordine e le società forensi hanno ottenuto risultati reali — l'Operazione Atlantic (2026) ha congelato 12 milioni di dollari — ma questi risultati richiedono un'azione rapida e la cooperazione delle piattaforme di scambio regolamentate dove finiscono i fondi rubati. Per la maggior parte delle singole vittime, il recupero parziale tramite congelamenti presso le piattaforme è più realistico della restituzione integrale.

Quanto tempo ho per agire dopo lo svuotamento del portafoglio?

I primi 60 minuti sono critici. Gli attaccanti agiscono rapidamente per convertire o trasferire via bridge gli asset rubati, e una volta che i fondi raggiungono un mixer o una piattaforma non conforme, il tracciamento diventa significativamente più difficile. Revocare immediatamente le approvazioni di token può prevenire ulteriori perdite se il drainer mantiene ancora autorizzazioni attive. Il contatto tempestivo con le piattaforme che detengono gli indirizzi di destinazione — combinato con una denuncia alle forze dell'ordine con data lo stesso giorno — è il modo più efficace per attivare le procedure di congelamento degli asset.

Quali strumenti di revoca delle approvazioni sono sicuri da usare?

Gli strumenti affidabili includono Revoke.cash (multi-chain), l'Etherscan Token Approval Checker (mainnet Ethereum) e DeBank (oltre 30 chain). Accedili sempre digitando l'URL direttamente piuttosto che cliccando su qualsiasi link, in particolare nell'immediato dopo un attacco quando i siti di phishing che imitano questi strumenti potrebbero apparire nei risultati di ricerca. Questi strumenti richiedono solo il tuo indirizzo wallet per visualizzare le approvazioni e una connessione al wallet per inviare le transazioni di revoca — non dovrebbero mai avere bisogno della tua frase seed o chiave privata.

Devo pagare un servizio di recupero crypto dopo lo svuotamento del mio portafoglio?

È necessaria estrema cautela. Il mercato delle truffe secondarie che prendono di mira le vittime di svuotamento è vasto, e i truffatori monitorano attivamente i social media e i forum per trovare vittime da colpire. Le società forensi blockchain legittime addebitano tariffe professionali, forniscono ambiti di lavoro chiari e non garantiscono il recupero in anticipo. Qualsiasi servizio che ti ha contattato proattivamente, promette un recupero garantito, richiede la tua frase seed o richiede un'elevata commissione anticipata pagabile in crypto deve essere trattato come una truffa. Verifica sempre un'azienda in modo indipendente tramite registri ufficiali e consulenza legale prima di procedere.

Cosa sono le firme permit e perché sono più pericolose delle normali approvazioni?

Le firme permit sono autorizzazioni di spesa off-chain che non appaiono nella cronologia delle transazioni del tuo wallet finché l'attaccante non sceglie di eseguirle. A differenza delle normali approvazioni approve() che vengono registrate immediatamente on-chain, una firma permit rimane «invisibile» negli strumenti di revoca standard. Ciò significa che anche dopo aver revocato tutte le approvazioni visibili, potresti ancora avere autorizzazioni attive nel portafoglio. Per perdite significative, richiedi una verifica completa delle firme da parte di una società di sicurezza blockchain per identificare eventuali firme permit non ancora eseguite.