Nel mondo delle criptovalute siamo abituati a parlare di sicurezza informatica, chiavi private, hardware wallet, multi-firma, cold storage. Tuttavia negli ultimi anni sta emergendo una minaccia completamente diversa, non si tenta più di violare il codice, ma la persona.
Questa minaccia ha un nome ormai diffuso nell’ecosistema crypto: “wrench attack”.
Il termine nasce dalla famosa vignetta satirica di xkcd secondo cui, invece di cercare di hackerare una password complessa, un aggressore potrebbe semplicemente colpire la vittima con una chiave inglese da 5$ finché non la rivela. In altre parole, la crittografia è inutile se qualcuno può costringerti fisicamente a sbloccarla. Oggi questa vignetta sta diventando una realtà.
In pratica non si attacca il wallet. Attaccano il proprietario !
L’aumento degli attacchi nel mondo
Secondo analisi di società di sicurezza blockchain, gli attacchi di questo tipo stanno crescendo rapidamente. Nel 2025 sono stati confermati almeno 72 incidenti violenti legati a criptovalute, con un aumento di circa il 75% rispetto all’anno precedente. Le perdite economiche accertate hanno superato 40 milioni di dollari, ma il numero reale è probabilmente molto più alto perché molti casi semplicemente non vengono denunciati. La ragione è semplice, rubare criptovalute tramite hacking richiede competenze, potenza di calcolo e tempo. Minacciare una vittima può richiedere solo pochi minuti.
Francia l’epicentro europeo del wrench attack
Forse per la politica adottata dal governo in questi ultimi anni in merito all’inserimento delle crypto nella dichiarazione dei rediti, negli ultimi mesi la Francia è diventata uno dei paesi più colpiti da questo fenomeno.
Da varie ricerche online mi risultano nel 2025 ben 19 attacchi confermati, il numero più alto al mondo, e rappresenta una quota significativa dei casi europei.
Proprio in questi giorni, ad esempio, una coppia vicino Parigi è stata costretta da aggressori, travestiti da poliziotti, a trasferire circa 900.000 euro in Bitcoin sotto minaccia.
In altri episodi recenti come imprenditori crypto sono stati rapiti per ottenere riscatti, dirigenti del settore sono stati presi di mira con irruzioni domestiche, familiari di investitori sono stati usati come leva per estorsioni…ecc. Il problema non è solo criminale, ma strutturale. Le criptovalute hanno le migliori caratteristiche che le rendono particolarmente attraenti per le estorsioni:
- Transazioni irreversibili
Una volta inviate, le crypto non possono essere annullate. - Trasferimento immediato globale
Il denaro può essere spostato in pochi secondi. - Custodia personale diffusa
Molti utenti gestiscono autonomamente grandi somme. - Identificazione pubblica delle vittime
Social media, conferenze, LinkedIn e leak di dati possono rivelare chi possiede asset importanti.
Il risultato è che la sicurezza crypto non è più solo un problema tecnologico, ma anche un problema di sicurezza personale, il mito dell’auto-custodia assoluta nel mondo Bitcoin esiste ma sta diventando un problema – “Not your keys, not your coins.”
Una possibile soluzione è delegare la custodia
Per questo motivo consiglierei di separare la proprietà degli asset dalla capacità immediata di trasferirli, delegando la custodia a terzi specializzati, come, custodian istituzionali, servizi multi-firma professionali, soluzioni di cold custody distribuite, strutture con governance condivisa. In questo modo nessuna singola persona controlla tutte le chiavi, i trasferimenti richiedono più firme o procedure, con periodi di attesa e controlli antifrode. Questo cambia completamente lo scenario per un aggressore. Se la vittima non può tecnicamente spostare i fondi da sola, la coercizione fisica diventa molto meno efficace.
Penso che inoltre sia inutile riccordare le buone pratiche di sicurezza personale, oltre alla custodia delegata, esistono altre misure importanti come: Ridurre la visibilità pubblica, evitare di pubblicizzare holdings crypto, limitare informazioni personali online…ecc..
Società note che offrono custodia di bitcoin
Custodian istituzionali classici
Queste aziende custodiscono direttamente le chiavi per conto dei clienti.
- BitGo – uno dei primi custodian crypto (2013), usato da molte istituzioni.
- Coinbase Custody – uno dei principali custodian per ETF e fondi.
- Bitcoin Suisse – società svizzera molto attiva nella custodia per istituzioni.
- Paxos Trust Company – società regolamentata negli USA che offre infrastruttura e custodia crypto.
Custody orientata a Bitcoin (modelli più “bitcoin-native”)
Checksig – Penso che sia la prima in Italia con sede a Milano e la più certificata d’Europa. Con il mitico co-founder and CEO dott. Ferdinando Ametrano. Offre custodia, trading e servizi fiscali per crypto, utilizza cold storage multilivello e multisignature, pubblica Proof-of-Reserves mensile dal 2020 per verificare i depositi dei clienti, inoltre ha le certificazioni SOC1/SOC2 Type II e copertura assicurativa. È una delle poche società europee focalizzate sulla custodia regolamentata e trasparente.
Unchained – Società statunitense fondata nel 2016, offre servizi finanziari per chi possiede bitcoin, usa un modello chiamato collaborative custody basato su multisig 2-of-3. Tipicamente: 1 chiave cliente – 1 chiave cliente (secondo dispositivo) – 1 chiave Unchained – In questo modo Unchained non può muovere i fondi da sola, ma può aiutare nel recupero se il cliente perde una chiave. La società ha aiutato a custodire miliardi di dollari in bitcoin per clienti privati e istituzionali.
Se conosci altre mi puoi scrivere.