5 min
La Corea del Sud si trova al centro di un caso che sta scuotendo il dibattito globale sulla custodia degli asset digitali da parte delle autorità pubbliche: il National Tax Service (NTS) coreano ha perso il controllo di una quota significativa di criptovalute sequestrate nel corso di un'operazione contro 124 grandi evasori fiscali, dopo aver commesso un errore operativo di sicurezza elementare ma dai risvolti gravissimi. L'incidente non è solo una vicenda di negligenza istituzionale, ma un caso studio su come la mancanza di comprensione tecnica dei digital asset possa tradursi in perdite concrete per il patrimonio pubblico. In un momento in cui governi di tutto il mondo, inclusa l'Unione Europea con il framework MiCA, stanno cercando di strutturare politiche coerenti sulla gestione delle cripto-confische, questo episodio suona come un campanello d'allarme difficile da ignorare.
L'operazione fiscale aveva portato inizialmente al sequestro di asset digitali per un valore complessivo di circa 8,1 miliardi di won coreani, equivalenti a circa 5,6 milioni di dollari. I funzionari avevano poi diffuso un comunicato stampa per celebrare i risultati dell'azione di recupero delle imposte non versate, allegando fotografie dei Ledger hardware wallet confiscati. Ed è proprio qui che è avvenuto il disastro: quelle immagini, in alta risoluzione, mostravano chiaramente anche i foglietti scritti a mano contenenti le seed phrase, ovvero le frasi mnemoniche di recupero che costituiscono la chiave master per accedere ai wallet.
Per chi non ha familiarità con il funzionamento dei cold wallet hardware come i dispositivi Ledger, è fondamentale capire cosa significa esporre una seed phrase: chiunque sia in possesso di quella sequenza di parole può importarla su qualsiasi altro wallet software o hardware e ottenere controllo totale sugli asset, senza bisogno del dispositivo fisico originale. La sicurezza del cold storage, che rappresenta il principale vantaggio di questi strumenti rispetto alla custodia su exchange centralizzati (CEX), viene azzerata completamente nel momento in cui la seed phrase diventa pubblica.
Un soggetto ignoto, dopo aver visionato le fotografie distribuite nel comunicato ufficiale, ha sfruttato immediatamente la vulnerabilità. La prima mossa è stata quella di inviare una piccola quantità di Ethereum (ETH) a uno degli indirizzi compromessi, necessaria per coprire le gas fee della rete Ethereum indispensabili per eseguire transazioni in uscita. Successivamente, sono stati eseguiti tre trasferimenti separati che hanno sottratto circa 4 milioni di token Pre-Retogeum (PRTG), il cui valore al momento del furto ammontava a 4,8 milioni di dollari. Come riportato da The Block, la liquidazione di un simile quantitativo avrebbe tuttavia incontrato resistenze significative legate alle dinamiche di mercato del token.
Le possibilità di recupero degli asset sottratti appaiono, nella migliore delle ipotesi, estremamente limitate. Poiché la seed phrase è stata resa pubblica attraverso un comunicato stampa a diffusione capillare, non esiste un sospettato identificabile: il furto avrebbe potuto essere compiuto da chiunque abbia visualizzato le immagini. A differenza di quanto accade con le stablecoin o con fondi transitati su exchange regolamentati disposti a collaborare con le forze dell'ordine, le transazioni su blockchain sono irreversibili e prive di una controparte centrale che possa intervenire per bloccare o restituire i fondi.
Quello dell'NTS non è tuttavia un caso isolato nel panorama coreano. Nel novembre 2021, la polizia di Gangnam aveva sequestrato 22 Bitcoin (BTC) nell'ambito di un'indagine su una denuncia di hacking relativa alla A Coin Foundation, custodendo le monete in un wallet fornito dalla stessa fondazione oggetto di indagine. La seed phrase di quel wallet era successivamente arrivata nelle mani di terzi, e la settimana scorsa le autorità hanno arrestato due individui legati alla fondazione con l'accusa di aver usato quella frase per svuotare il portafoglio sequestrato dalla polizia. Quei 22 Bitcoin valgono oggi circa 1,5 milioni di dollari.
Questi episodi istituzionali si inseriscono in un quadro più ampio di minacce alla sicurezza crypto che coinvolge anche privati cittadini. La piena auto-custodia degli asset digitali, pur garantendo indipendenza dagli intermediari, scarica sull'utente finale una responsabilità operativa che può diventare un vettore di rischio fisico. Un recente caso a Scottsdale, in Arizona, ha visto due adolescenti californiani percorrere oltre 600 miglia per raggiungere un'abitazione privata, fingendosi corrieri per poi fare irruzione nella casa, immobilizzare una coppia con nastro adesivo e pretendere l'accesso a crypto asset che ritenevano valessero 66 milioni di dollari. I due sospettati sono stati arrestati poco dopo.
Sul fronte delle minacce interne alle organizzazioni, dipendenti e funzionari pubblici con accesso a dati personali di holder crypto stanno emergendo come un vettore di rischio sottovalutato. Un ex dipendente di Revolut avrebbe tentato di ricattare un cliente minacciando di divulgarne i dati personali a meno che non venisse pagato un riscatto in criptovaluta. Separatamente, un funzionario fiscale francese avrebbe ceduto dati personali di utenti crypto a reti criminali in cambio di compenso economico.
Anche le truffe telefoniche e online sfruttano sistematicamente la finalità irreversibile delle transazioni blockchain, convincendo le vittime — spesso anziane — a trasferire fondi attraverso crypto ATM. Negli Stati Uniti, il Minnesota sta valutando un divieto totale di questi chioschi, con preoccupazioni analoghe sollevate in Maine, Massachusetts e Kansas. L'FBI ha stimato l'impatto nazionale di queste truffe in 333 milioni di dollari nell'arco di undici mesi, dato che non include nemmeno il mese di dicembre.
Il caso coreano pone una questione urgente per tutti i governi che stanno costruendo capacità di enforcement nel settore crypto: la gestione operativa dei sequestri di asset digitali richiede competenze tecniche specifiche che non possono essere improvvisate. La formazione degli operatori pubblici sul funzionamento di wallet, seed phrase e cold storage non è più un'opzione facoltativa, ma una condizione necessaria per evitare che le azioni di recupero si trasformino in perdite nette per le casse statali. Con l'accelerazione dell'adozione istituzionale delle criptovalute e la crescente frequenza delle confische, il gap di competenza tecnica nelle pubbliche amministrazioni rischia di diventare uno dei principali punti deboli dell'intero sistema.