Vai al contenuto

Podcast RSI – Story: Dietro le quinte delle truffe sugli investimenti in criptovalute

logo del Disinformatico

È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

[CLIP: voce di donna complice dei truffatori che parla con una delle
vittime: “Nice to see you, I will message on WhatsApp, OK?”]

Pig butchering: letteralmente, “macellazione del maiale”. È il nome
spietato che viene usato dai criminali informatici per indicare un particolare
tipo di truffa online basata su un misto di belle ragazze, criptovalute, false
app e soprattutto call center organizzatissimi dove lavorano
migliaia di persone. Se siete stati contattati da qualcuno che vi offre metodi
rapidi per fare soldi con Bitcoin e simili e avete cominciato a fidarvi perché
vi sono davvero arrivati dei soldi sul vostro conto corrente, fate
attenzione: è quasi sicuramente una truffa.

Questa è la storia di un caso concreto di pig butchering, portato alla
luce da un esperto del settore, che mostra l’incredibile sofisticazione
raggiunta da queste bande criminali organizzate e rivela dove si trovano le
loro sedi operative e le tecniche usate per ingannare le vittime.

Benvenuti alla puntata del 22 marzo 2024 del Disinformatico, il podcast
della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo: un po’ giù di voce, come potete
sentire.

[SIGLA di apertura]

Lo schema della truffa

Da alcuni anni su Internet è facile imbattersi in una truffa che è
particolarmente crudele già a partire dal suo nome: viene chiamata
pig butchering, ossia “macellazione del maiale”, perché è così che i criminali vedono le
proprie vittime. I truffatori selezionano i propri bersagli usando le
informazioni che trovano sui social network: età, situazione sentimentale,
foto. Scelgono le persone che non hanno un partner e che mostrano nelle
fotografie sui social un’età adulta e suggeriscono una certa disponibilità
economica significativa perché mostrano per esempio la loro auto, il loro
abbigliamento o le immagini dei loro viaggi.

Una volta scelta la vittima, i criminali la circuiscono con il metodo ormai
tristemente classico del romance scam o truffa sentimentale: si
presentano come uomini o donne molto attraenti, intrecciano una lunga
relazione a base di messaggi e foto, senza chiedere nulla di insolito,
diventano conoscenti di lunga data e si conquistano la fiducia del bersaglio
con parole affettuose e una presenza costante e piacevole.

L’inganno scatta solo dopo settimane o anche mesi di corteggiamento, ma a
differenza della truffa classica, nella quale il criminale finge di avere
bisogno di soldi temporaneamente per tirarsi fuori da un guaio burocratico o
di salute, nel pig butchering non c’è nessuna richiesta di denaro,
almeno inizialmente, e questo fa abbassare ancora di più le difese
psicologiche delle vittime.

A un certo punto il truffatore, ormai diventato uno di famiglia per la sua
vittima, “rivela” a quella vittima di aver fatto un ottimo investimento in
criptovalute e le propone di fare altrettanto, dandole tutte le istruzioni
necessarie su come versare i soldi per aprire un conto. Ma l’investimento non
esiste, il conto è una finzione gestita dal truffatore o da suoi complici, e i
soldi investiti dalla vittima non verranno mai restituiti integralmente.

Fin qui lo schema è abbastanza noto, anche se c’è sempre qualcuno che non lo
conosce e ci casca perdendo somme ingenti, a giudicare dalle telefonate e
dalle mail che mi arrivano continuamente: ma grazie all’esperto di truffe
informatiche Jim Browning possiamo andare oltre questo schema astratto e
vedere concretamente dove e come lavorano questi criminali.

Dentro la sede dei criminali

Browning ha infatti pubblicato su Youtube un’inchiesta
in cui mostra come funziona in dettaglio questa truffa, con immagini girate
all’interno degli edifici dove lavorano migliaia di persone che passano la
giornata a cercare online vittime da sedurre e derubare in tutto il mondo.

Se vi siete mai chiesti come facciano le persone a cadere in queste trappole,
la ragione principale è che sono costruite in maniera estremamente
professionale, assumendo persino delle modelle in carne e ossa per fare le
conversazioni online con le vittime.

Nel caso descritto da Browning, la sede dei criminali è un grande complesso di
edifici ad alcuni chilometri dal centro di Dubai, negli Emirati Arabi Uniti.
Otto palazzine di otto piani occupate in buona parte da un esercito di
imbroglioni, così numeroso che è stato necessario installare un’antenna
cellulare mobile apposita per gestire tutto il loro traffico telefonico.
Browning indica l’indirizzo preciso, perché tanto sa benissimo che entro pochi
giorni questi professionisti del crimine avranno già traslocato altrove.

Questi edifici sono pieni di postazioni dotate di computer, sui quali sono
installate le app di vari siti di incontri per persone in cerca di compagnia.
È questo il serbatoio iniziale dal quale i truffatori pescano le proprie
vittime, usando delle VPN per fingere di essere in un paese insospettabile e
così eludere i controlli dei gestori di questi siti di incontri.

Il copione di chi lavora a queste postazioni è sempre lo stesso: fingere di
essere una persona facoltosa e attraente che ha uno stile di vita molto
dispendioso, esibito tramite foto e video eloquenti. I gestori della truffa
gli affidano un personaggio preciso e dettagliato e gli forniscono un software
che traccia altrettanto dettagliatamente l’andamento di ciascun tentativo di
raggiro.

Dopo aver agganciato la vittima su un sito di incontri, facendo per esempio
con lui o con lei delle chat romantiche o erotiche, il criminale cerca sempre
di portare la conversazione fuori da questi siti, che sono monitorati contro
le truffe, e invita a proseguirla su WhatsApp o su Telegram, dove non c’è
nessuna salvaguardia.

La conversazione prosegue in maniera inizialmente innocente, con un po’ di
chiacchiere per presentarsi e magari qualche foto di qualche piatto consumato
in un ristorante costoso ed esotico. Il truffatore dice di lavorare nel
settore della finanza, e a un certo punto si offre di condividere alcuni dei
suoi trucchi per fare soldi. Un’offerta molto generosa da fare a un perfetto
sconosciuto, e questo dovrebbe insospettire, ma l’inganno è costruito così
bene che il sospetto passa in fretta.

I truffatori, spiega Browning, adoperano un’app chiamata Hello World Pro, che
è capace di gestire varie sessioni Telegram e WhatsApp contemporaneamente e
traduce la conversazione dall’inglese, che è la lingua solitamente parlata dal
criminale, verso la lingua della vittima. C’è anche un gruppo Telegram usato
da tutti i truffatori della banda per comunicare con i propri capi e i propri
colleghi.

Gli operatori di questi call center professionalissimi sono in molti casi dei
migranti, che vengono sfruttati dai gestori, che sono cinesi. I contratti sono
in inglese e cinese; tutti i computer sono impostati in cinese e anche le reti
Wi-Fi usate nei call center hanno nomi cinesi. Gli operatori lavorano e vivono
come schiavi e i loro datori di lavoro sequestrano i loro passaporti.

Le dimensioni di questa organizzazione, una delle tante del suo genere, sono
impressionanti. Browning riesce a procurarsi la planimetria degli edifici in
cui si svolge la truffa e nota che ci sono oltre cinquanta stanze per piano, ciascuna
stanza è occupata da quattro operatori, e ci sono otto piani per ciascuno dei
quattro edifici coinvolti. Probabilmente qui lavorano oltre mille persone,
reclutate tramite il passaparola dicendo che si tratta di un lavoro di
marketing regolare.

Solo dopo che il lavoratore firma il contratto e inizia a lavorare si rende
conto che si tratta di una truffa, con tanto di copione dettagliato di una
quindicina di pagine, che si articola su vari giorni, fatto apposta per
conquistare man mano la fiducia della vittima. Gli operatori vengono pagati a
commissione: se non riescono a reclutare vittime non prendono soldi e vengono licenziati e
rimpiazzati da altri disperati in cerca di lavoro.

Tutta questa organizzazione, però, serve solo per gestire il primo livello
della truffa, perché la trappola è ancora più complessa.

Trappola professionale

Per riuscire a convincere una persona ad affidare a uno sconosciuto i propri
soldi, magari i risparmi di una vita, è necessario costruire una situazione di
fiducia, e per farlo i gestori della truffa assumono anche modelle in carne e
ossa, donne attraenti reali, e organizzano videochiamate fra queste donne e le
vittime, guidandole anche qui con un copione, per far vedere che la persona
con la quale le vittime stanno chattando esiste veramente.

[CLIP: voce di donna complice dei truffatori che parla in videochiamata in diretta con una delle vittime: “Nice to see you, I will message on WhatsApp, OK? OK, thank you, bye bye, gracias”]

Browning riesce anche a mostrare una di queste modelle grazie a delle riprese
effettuate da un lavoratore pentito.

[CLIP: voce di donna che parla in inglese a un interlocutore nel call center]

Lei dice senza troppi giri di parole che
le sue uniche alternative erano fare la escort o fare video per le piattaforme
di pornografia e siccome non voleva che la sua famiglia la vedesse su un sito
a luci rosse ha scelto questa carriera. E così si presta a conquistare la
fiducia di gente che, grazie a lei, perderà tutti i propri soldi.

Nella fase successiva del raggiro, la modella invita la vittima a iscriversi a
un servizio legittimo di compravendita di criptovalute, come per esempio
Binance. I gestori della truffa le mettono a disposizione screenshot già
pronti, con freccine esplicative chiarissime, per spiegare alle vittime
esattamente come procedere. È tutto molto, molto professionale e rassicurante.

È solo a questo punto che scatta la trappola vera e propria. Browning spiega
che i truffatori chiedono alla vittima di scaricare un’app di compravendita di
criptovalute, che è accompagnata da precisi video tutorial su YouTube che
spiegano come usarla e da recensioni che ne confermano in apparenza la bontà e
affidabilità totale. Ma l’app, i tutorial e le recensioni sono tutte parte
della finzione: i gestori si intascano subito i soldi investiti dalla vittima
e non fanno altro che mostrare un saldo fittizio sullo schermo del telefonino.

Fra l’altro, molti di questi truffatori invitano le vittime a reclutare altre
persone, in un classico schema a piramide, col risultato che può capitare che
la proposta di iscriversi a questo raggiro ci arrivi da un amico di cui ci
fidiamo e che è caduto nella trappola. Attenzione, quindi, anche agli amici
che ci promettono rendimenti mirabolanti.

Un altro modo usato dai truffatori per rendersi credibili è restituire alle
vittime una parte del denaro che hanno investito. Sì, i soldi arrivano
davvero, e vanno veramente sul conto della vittima presso una banca regolare.
Ma non sono mai tutti quelli affidati ai criminali.

Ci possono essere molte variazioni a questo schema generale, ma il principio
di fondo è che una persona molto attraente, solitamente una giovane donna, vi
contatta su WhatsApp o in un sito di incontri e dopo un po’ vi incoraggia a
investire i vostri soldi in qualche affare online che probabilmente non avete
mai sentito nominare. Se lo fate e poi cercate di farvi ridare il vostro
denaro, salterà fuori che il bonifico è in attesa di approvazione o ci sarà
qualche altra scusa, e non rivedrete mai tutti i soldi che avete inviato.

Se vi riconoscete in questa descrizione, troncate i rapporti con i truffatori,
e non mandate loro altri soldi sperando che vi ridiano quelli già dati: sono
persi. Segnalate la vicenda alla polizia, che ne ha bisogno a fini statistici,
e non fidatevi di sedicenti società di recupero di criptovalute che vi
contatteranno promettendo di farvi riavere i vostri risparmi se solo anticipate le
spese: sono complici dei truffatori. E se conoscete qualcuno che si trova in
questa situazione, avvisatelo che è caduto in una trappola estremamente
professionale, e preparatevi al fatto che non vi crederà.

Vista la provenienza specifica dei capibanda, è proprio il caso di dire che si
tratta di uno schema crudelissimo a scatole cinesi, in cui l’unico modo per
vincere è non partecipare. Fate attenzione, e mettete in guardia amici e
colleghi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Violato l’account Twitter del Ministero della transizione ecologica italiano per promuovere una truffa di criptovaluta

Violato l’account Twitter del Ministero della transizione ecologica italiano per promuovere una truffa di criptovaluta

Pubblicazione iniziale: 2022/09/15 9:41. Ultimo aggiornamento: 2022/09/15
11:45.

9:41. Il profilo ufficiale del Ministero della transizione ecologica
italiano (https://twitter.com/MiTE_IT/) al momento in cui scrivo ha questo aspetto:

Promuove una truffa basata sulle criptovalute: lo schema è quello classico del
“fidati di me che sono famoso, dammi la tua criptovaluta e te la
restituisco moltiplicata”.
Infatti l’account Twitter rubato ora si fa chiamare Vitalik.eth, come
quello autentico di Vitalik Buterin, fondatore della criptovaluta Ethereum, e mostra la sua foto; inoltre il
sito reclamizzato nei tweet, ethmerges[.]blogspot.com, dice proprio
“To participate you just need to send from 0.5+ ETH to 500+ ETH to the
contribution address and we will immediately send you back from 1+ ETH to
1000+ ETH (x2) to the address you sent it from.”

Inutile dire che la criptovaluta data a questi truffatori non verrà mai
restituita.

Fate attenzione a truffe come questa, nelle quali il truffatore prende il
controllo di un account molto conosciuto e addirittura autenticato con il
bollino blu, per poi offrire i propri “servizi” ai numerosi follower
dell’account. E fate attenzione anche agli sciacalli, che dicono di essere in
grado di aiutarvi a recuperare il maltolto o consigliano qualcuno che lo è:
vorranno essere pagati per il tentativo di recupero, che ovviamente fallirà e
resterete doppiamente fregati. Uno di questi sciacalli è già
comparso
nei commenti alla mia segnalazione su Twitter.

L’account del Ministero è così almeno dalle 8.37 italiane di stamattina, ora
del primo tweet del truffatore.

11.05. Sembra che il controllo dell’account del Ministero sia stato
ripreso: alcuni tweet promozionali del truffatore sono stati rimossi e il
profilo sta riprendendo il suo aspetto normale.

11.45. Intanto Repubblica (copia permanente), Rainews (copia permanente) e Fatto Quotidiano (copia permanente) scrivono fandonie sulla vicenda spacciandole per notizie, addirittura
accusando pubblicamente Buterin di un reato informatico che non ha commesso (e fra l’altro Buterin è russo di origini ma naturalizzato canadese).
Il tweet di Angelo Bonelli è
archiviato qui

Il tweet di Repubblica.
Il titolo del Fatto Quotidiano.
Repubblica cita il tweet di Bonelli.
Rainews dice che Vitalik Buterin è “un pirata informatico”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come perdere 200 milioni di dollari in criptovalute

Come perdere 200 milioni di dollari in criptovalute

Nota: nella
versione podcast di questo articolo, lo spezzone audio introduttivo è tratto da
Breaking bad.

Il mondo delle criptovalute attira molta attenzione con le
sue apparenti promesse di guadagni facili, ma anche le perdite sono almeno
altrettanto facili. Non c’è solo il problema del controvalore, che varia con
andamenti da montagne russe; c’è anche quello dell’affidabilità degli
intermediari. Non perché siano disonesti, ma semplicemente perché il loro lavoro
si basa interamente sul software e basta un piccolo errore in quel software per
causare disastri costosissimi, senza che i clienti abbiano diritto a
risarcimenti garantiti dalla legge.

La società di sicurezza informatica Sophos
racconta
il caso recentissimo di Nomad, un
servizio di cosiddetto bridging, ossia di scambio fra criptovalute. Se
per esempio avete dei bitcoin e li volete convertire in Ethereum o viceversa,
potete usare un servizio di bridging.

Nomad in questo momento è completamente bloccato e si stima che abbia perso
circa 200 milioni di dollari, o meglio l’equivalente di questo valore in
criptovalute. E ha perso questi soldi in una maniera decisamente imbarazzante,
nota nel settore come replay attack.

Immaginate di andare da un cambiavalute con cento euro e chiedere di
convertirli in, che so, rupie indonesiane. L’addetto ritira i vostri cento
euro, ma non ha subito a disposizione la valuta che avete chiesto e quindi vi
rilascia uno scontrino numerato. Quando le rupie arrivano, voi presentate lo
scontrino e l’addetto vi consegna le rupie, ritirando lo scontrino.

Ora immaginate di presentare all’addetto una fotocopia dello scontrino
chiedendo di nuovo le rupie e che l’addetto, particolarmente smemorato, non si
ricordi di voi e di avervele già date e non controlli il numero dello
scontrino per vedere se è già stato usato. L’addetto vi dà di nuovo le rupie
senza che gli abbiate dato dei soldi equivalenti. E se gli presentate un’altra
fotocopia del medesimo scontrino, vi dà altri soldi, e così via all’infinito.
O perlomeno finché il cambiavalute esaurisce tutto il denaro che ha in cassa.

Questo è, grosso modo, quello che è successo a Nomad: un aggiornamento del suo
software aveva inavvertitamente disattivato la verifica delle transazioni
completate, per cui era sufficiente presentarsi al sito con i dati di una
transazione già avvenuta e ripeterla per prelevare criptovalute
senza averne versate. Non solo: era anche possibile modificare le
coordinate del beneficiario mettendoci le proprie.

Non servivano conoscenze sofisticate: era sufficiente trovare una transazione
completata correttamente, copiarla, e incollarla cambiando il beneficiario.

La semplicità del raggiro ha scatenato una frenesia di transazioni fasulle che
in breve tempo ha prosciugato appunto circa 200 milioni di dollari dalle casse
virtuali di Nomad. 200 milioni di dollari che erano stati versati da utenti
che si erano fidati del servizio e che adesso hanno pochissime speranze di
riavere i propri risparmi.

Nomad ha
annunciato
di aver comunicato l’accaduto alle forze dell’ordine e di aver incaricato
degli esperti per identificare gli utenti che hanno approfittato dell’errore
nel software e per recuperare il maltolto. Ha anche messo a disposizione un
wallet, ossia un conto, sul quale possono essere restituiti i soldi che
sono stati ottenuti indebitamente o, come dice nel suo annuncio, sono stati
presi per “custodirli al sicuro”.

Ma incidenti spettacolari come questo sottolineano il fatto, spesso
trascurato, che moltissimi servizi legati alle criptovalute operano senza
nessuna delle garanzie e tutele legali degli istituti finanziari convenzionali
e quindi se uno di questi servizi viene depredato da criminali informatici che
sfruttano una falla le speranze di riavere il maltolto sono minime. Prima di
affidare i vostri soldi a uno di questi servizi, conviene assolutamente
verificare quali sono le garanzie offerte dalla legge nel paese in cui
operano.

Ma non è finita: Sophos, infatti, mette in guardia contro gli sciacalli delle
criptovalute, ossia truffatori che fingono di essere vittime di uno di questi
incidenti e raccontano la loro disavventura nei commenti ad articoli dedicati
alle valute digitali. Dicono di aver recuperato tutto grazie ai servizi di una
certa persona o azienda, ma in realtà si tratta di pubblicità ingannevoli per
servizi fraudolenti che fingono di offrire il recupero di criptovalute.
Soprattutto se vi chiedono altri soldi per recuperare quelli che avete perso
online, ignorateli: rischiate di perdere altro denaro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

“Ogni criptovaluta ha un proprio bug bounty incorporato”

Ci sono alcune frasi che riescono a riassumere un concetto complesso
perfettamente, concisamente e in maniera memorabile. A volte hanno anche un
altro effetto: permettono di valutare le competenze delle persone in base al
modo in cui reagiscono quando le sentono per la prima volta, perché la loro
brevità e il loro argomento un po’ tecnico le rende criptiche. Bisogna insomma
intendersene un po’per capirle.

Ma se le si capisce, creano un guizzo di piacere intellettuale tutto speciale:
quello che spesso su Internet si rappresenta graficamente con il celebre meme
mind blown (quello dove qualcuno mette le mani ai lati della propria
testa e mima lo scoppio della propria mente causato dalla potenza dell’idea
che ha appena ricevuto).

 

Una di queste frasi è
“Ogni criptovaluta ha un proprio bug bounty incorporato”. Se avete
accanto a voi qualcuno che dice di conoscere bene il mondo delle criptovalute,
dai bitcoin agli Ether passando per i Dogecoin e gliela sottoponete, guardate
attentamente la sua reazione. Se ci pensa su un attimo e poi si lascia andare
a un “a-HA!” di profonda e improvvisa comprensione, seguita da
un’espressione preoccupata o rassegnata, allora quella persona sa il fatto suo
sull’argomento. Se reagisce diversamente, forse è il caso di essere un po’
cauti nel fidarsi delle sue competenze. Purtroppo quello delle criptovalute è
un campo nel quale ci sono molti improvvisati che sono vittima del proprio
entusiasmo e della speranza di arricchirsi magicamente e in fretta.

La frase, se ve lo state chiedendo, non è opera mia: l’ha coniata, a quanto mi
risulta, l’informatico finlandese Mikko Hyyponen.

Se l’avete capita al volo, e quindi avete provato quel piacere di scoprire un
concetto potente espresso con eleganza, complimenti: ma se invece brancolate
nel buio, niente paura. Chiarisco subito.

Il termine chiave da conoscere, qui, è bug bounty: è il nome che si dà
alla ricompensa, di solito monetaria, che spetta a chi scopre un difetto in un
software e lo comunica responsabilmente a chi ha sviluppato quel software.
Moltissime aziende informatiche, come
Microsoft,
Apple o
Google, offrono questi bug bounty e ci sono molti informatici che si
mantengono grazie a queste ricompense, che possono essere decisamente
ragguardevoli. Apple, per esempio, offre centomila dollari a chiunque scopra
un modo per ottenere un accesso non autorizzato ai dati di un account iCloud
sui server di Apple oppure trovi la maniera di scavalcare la schermata di
blocco di un dispositivo della stessa marca. E le ricompense possono arrivare
anche a un milione di dollari in alcuni casi molto particolari.

Questi bug bounty esistono e funzionano perché costituiscono un
incentivo molto chiaro a ispezionare il software altrui, trovarne gli errori e
segnalarli allo sviluppatore del software affinché li corregga, invece di
approfittare di questi difetti per commettere qualche crimine informatico.
Fanno insomma in modo che convenga essere onesti e responsabili invece di
tenere per sé le vulnerabilità scoperte.

Bene. Sappiamo cos’è un bug bounty, sappiamo cos’è una criptovaluta; ma
il senso complessivo di quella frase può essere ancora un po’ nebuloso e il
momento “a-HA!” non è ancora arrivato. Manca ancora un passo e ci
siamo.

Una criptovaluta, semplificando, è una valuta digitale basata sulla
crittografia e su un registro digitale condiviso e pubblico delle transazioni
(una blockchain): in parole povere, è denaro espresso tramite software
e protetto tramite software. Questo vuol dire che se c’è un difetto in quel
software e qualcuno lo scopre, chi lo scopre può approfittarne direttamente
prelevando quel denaro e saccheggiando i conti altrui. Non c’è bisogno che
l’azienda che ha sviluppato il software decida di istituire un sistema di
ricompense e di seguire la sua complessa trafila burocratica per riscuotere il
premio: la ricompensa è già integrata nella falla. E questo fa crollare
completamente il normale incentivo del bug bounty. Allo scopritore di
una falla nelle criptovalute conviene non rivelarla e usarla per
continuare a depredare i conti altrui.

È per questo motivo che moltissimi operatori del settore delle criptovalute
sono stati oggetto di attacchi informatici che hanno portato a saccheggi da
centinaia di milioni di dollari: se c’è un singolo difetto in uno dei vari
componenti software di una criptovaluta, quel difetto ha effetto su tutti i
conti espressi in quella valuta, quei conti sono tutti accessibili online e
quindi il furto può essere ripetuto su vastissima scala in pochissimo
tempo. 

In altre parole, ogni criptovaluta ha un proprio
bug bounty incorporato.

È arrivato il vostro momento “a-HA!”? Ottimo. Allora divertitevi a
proporre questa frase ai vostri conoscenti o colleghi presi dalla febbre delle
criptovalute: farete bella figura e distinguerete gli intenditori dagli
improvvisati.

2022/05/06 9:30. Esiste anche il bug bounty inverso: un lettore mi segnala via Twitter il caso di un errore nel software e nelle procedure di JUNO, una comunità basata sulla blockchain, che ha fatto finire circa 36 milioni di dollari in un indirizzo della blockchain che è irraggiungibile per chiunque (persino per i gestori). Per recuperarli sarà necessaria una drastica ristrutturazione dell’intera blockchain. 

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Attenzione agli antivirus Avira e Norton 360, sfruttano i computer degli utenti per generare criptovalute

Fonte:

Avira/Krebs on Security.

Di solito, quando qualcuno mi chiede quale antivirus usare, rispondo che
grosso modo uno vale l’altro: l’importante è usarne uno, tenerlo aggiornato e
stare alla larga dagli antivirus fasulli che appaiono spesso nelle pubblicità
di Internet. È già tanto rispetto a quello che fanno molti utenti, ossia
assolutamente niente oppure, peggio ancora, installare qualche antivirus
farlocco che dà un falso senso di protezione. Ma forse sarò costretto a
cambiare consiglio.

Due noti antivirus, Norton360 e Avira, hanno infatti iniziato qualche mese fa
a integrare nelle proprie installazioni un cryptominer, ossia un
programma che genera criptovalute. Nel caso specifico, genera la criptovaluta
Ethereum.

I soldi digitali così prodotti vengono suddivisi fra l’utente e l’azienda
produttrice dell’antivirus. Norton e Avira si prendono il 15%, più una
commissione su ogni transazione, e il resto va all’utente. Tutto il meccanismo
è descritto in una
sezione apposita del sito di Norton
e in
una analoga del sito di Avira.

Il problema è che generare criptovalute richiede un uso molto intensivo del
computer dell’utente, per cui questo guadagno in realtà si paga sotto forma di
consumo di energia elettrica e di surriscaldamento e rallentamento del
computer. Per chi non usa le criptovalute, poi, non c’è proprio nessun
guadagno ma solo una perdita.

Va chiarito che l’installazione del cryptominer non è automatica: avviene solo
su computer dotati di scheda grafica piuttosto potente (per esempio una NVIDIA
o AMD con almeno 6 GB di memoria) e viene proposta all’utente durante la prima
installazione dell’antivirus, secondo la formula chiamata
opt-in, ma molti utenti sono abituati a cliccare distrattamente sulle
varie richieste che compaiono durante le installazioni e quindi è facile che
si ritrovino con un cryptominer installato senza volerlo.

La decisione di Norton e Avira
non è stata gradita
da molti
addetti ai lavori
e da
parecchi utenti. È vero che Avira è un prodotto gratuito, per cui lasciare che questo
antivirus guadagni qualcosina è una sorta di forma di pagamento, ma è spesso
un pagamento inconsapevole. Norton360, invece, è un prodotto a
pagamento, per cui l’utente
finisce in un certo senso per pagarlo due volte.

Se avete installato di recente uno di questi prodotti e notate che il vostro
computer è più lento del solito o fa girare più spesso la ventola di
raffreddamento, può darsi che abbiate installato il cryptominer senza
accorgervene. E qui arriva l’altro problema che sta facendo arrabbiare gli
utenti: disinstallare il cryptominer non è affatto facile.

Bisogna infatti trovare un file specifico, di nome Ncrypt.exe, e
rimuoverlo. Ma per rimuoverlo bisogna andare nelle impostazioni e disattivare
la protezione contro le alterazioni, come descritto in una
pagina del sito di Norton
che non è certo facile da trovare per un utente medio. Una volta rimosso il
file, bisogna poi riattivare la protezione contro le alterazioni
dell’antivirus. Tutte cose che portano via tempo. E il tempo è denaro,
specialmente se richiede l’intervento di uno specialista: forse è meglio
scegliere direttamente un antivirus a pagamento che non comporta tutte queste
complicazioni.

Fonti:
Slashdot,
Digital Trends,
Wired,
The Register,
Punto Informatico,
The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre
della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra
disposizione presso
www.rsi.ch/ildisinformatico (link diretto)
ed è ascoltabile anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

—-

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e
delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze
misteriose; due resteranno. Provate a indovinare quali. È importante, perché
storie come questa succedono realmente e possono capitare a tutti. 

—-

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica
statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma
di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo
vero nome), è un single che, come tante altre persone, usa app di incontri
come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il
profilo di un donna che si descriveva in una maniera che ha colpito la sua
attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente
due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin,
ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto
che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo
svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del
mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune
di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una
caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento
aveva un aspetto leggermente differente da quello che aveva visto nelle sue
foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto
reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi
genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000
dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa
di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che
Sara era tutto sommato poco interessata a bere: mostrava molto più interesse
per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi
si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla
toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di
mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma
aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che
la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è
svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il
portafogli, le carte di credito e i documenti personali dell’uomo erano ancora
al loro posto. In casa non erano spariti soldi, computer o altri oggetti di
valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i
propri account: ha visto che qualcuno aveva tentato di fare acquisti di
criptovalute usando il suo conto corrente bancario e di effettuare prelievi di
bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore
stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai
quali non interessavano i soldi che aveva in casa o le carte di credito.
Interessavano soltanto le password che proteggevano i suoi conti in
criptovalute. Quelle password erano custodite nel suo smartphone: quello che
mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di
Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel
ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli
aveva messo nel bicchiere approfittando della visita di Mark alla toilette.
Una sostanza di quelle che appunto notoriamente causano perdita di inibizione
e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai
danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era
un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le
vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro
smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene
passato a un altro componente della banda che si occupa di estrarne tutti i
dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è
molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso
alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro
telefonino sbloccato può accedere alla vostra casella di mail e intercettare
tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail
permette di ricevere i link inviati dai siti degli account dei social network
e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e
prenderne quindi il controllo cambiandone la password. Ma questo è soltanto
l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro
telefonino possa essere considerato così prezioso dai malviventi da spingerli
addirittura a organizzare una seduzione mirata, con tanto di incontro in carne
e ossa con un membro della banda, soltanto per rubare quel dispositivo e
farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che
avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di
autenticazione di banche e altri account che controllano denaro. Sul
telefonino c’è anche l’app di autenticazione, per esempio Google
Authenticator, che genera i codici usa e getta di questi account. E quindi
avere lo smartphone sbloccato di una vittima significa avere tutto quello che
serve per superare anche la cosiddetta autenticazione a due fattori usata
dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la
password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice
ti induce a rivelare quello che sai e si porta via quello che hai,
l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli
account di criptovalute che gestiva, ma non aveva considerato il fattore
umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano
disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di
incontri e immettendo in questi account parole chiave che attirano vittime
facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a
cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti,
infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne
vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle
bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono
riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in
uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva
protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o
chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e
gestite da persone differenti. Per fare un trasferimento di denaro servono
almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la
prassi standard per la gestione dei conti correnti nelle grandi aziende, e
rende difficilissima la tecnica della seduzione: i malviventi dovrebbero
riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una
variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per
indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora
l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle
criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato
buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono
estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

  • Se date appuntamento a una persona sconosciuta che avete contattato su un sito
    di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di
    telecamere le cui registrazioni possano essere consultate dalle autorità se
    qualcosa va storto.
  • Confrontate sempre la foto della persona nel profilo con l’aspetto della
    persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa
    persona, è il caso di allarmarsi.
  • Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da
    sconosciuti o persone incontrate da poco.
  • Limitate il vostro consumo di alcolici quando siete in un incontro di questo
    tipo.
  • Mettetevi sempre d’accordo con una persona fidata che sappia del vostro
    appuntamento e agisca se non vi sente entro un certo orario.
  • E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le
    criptovalute.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
SayPal ti paga se citi il nome di un prodotto mentre parli

SayPal ti paga se citi il nome di un prodotto mentre parli

Avvertenza: leggete questo articolo fino in fondo prima di saltare a
conclusioni affrettate.

Avete mai avuto la sensazione che il vostro telefonino vi ascolti e vi
proponga pubblicità sulla base di quello che dite? Non è così; si tratta
soltanto di pubblicità mirata, generata sulla base di dove siete, vicino a chi
siete, che siti visitate, che informazioni cercate e altri dati personali. Ma
ora è stata annunciata un’app che estende questo concetto: SayPal. La trovate
presso Saypal.app.

SayPal, infatti, vi paga per citare nomi di marche celebri nelle vostre conversazioni. A
differenza del tracciamento pubblicitario convenzionale, inoltre, vi avvisa
subito di quanto avete incassato con ciascuna menzione della marca, e
l’incasso va a voi, non a chissà chi.

Una volta concessi i permessi, SayPal vi ascolta tramite il microfono del
telefonino e adopera sofisticate tecniche di intelligenza artificiale ed
elaborazione del linguaggio naturale per identificare le parole chiave. 

SayPal
include inoltre un wallet Bitcoin, sul quale vengono accreditati
automaticamente gli incassi.

Come vi siete sentiti leggendo questa descrizione? Tentati di monetizzare le vostre conversazioni o inorriditi all’idea di essere costantemente ascoltati o i vedere che i vostri amici si convertono a SayPal e cominciano a parlarvi intercalando citazioni di marche famose in cambio di soldi?

È esattamente questo lo scopo di SayPal, che non esiste se non come provocazione da parte di Matt Reed, “tecnologo creativo” presso redpepper e già autore di altre burle digital come il Rickroll per Zoom e lo Zoombot

che crea un ”gemello” virtuale da far partecipare alle riunioni online. Se continuiamo ad accettare la sorveglianza commerciale, SayPal rischia di essere un’anticipazione profetica di quello che ci aspetta nel nostro futuro
iperpubblicitario.

Ancora una volta, con sentimento: Idiocracy era un avvertimento, non un manuale di cose da fare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
BitcoinUp, occhio alle trappole

BitcoinUp, occhio alle trappole

Mi è arrivata una segnalazione (grazie Lorenza) di un messaggio molto sospetto che sta circolando: una notifica che arriva sugli smartphone e secondo la quale il politico italiano Matteo Salvini sarebbe stato ospite di un programma di una rete televisiva italiana (“la trasmissione di
Floris”, presumo si riferisca a “Dimartedì” su La7, condotto da Giovanni Floris) e avrebbe parlato dei miracoli di questa app basata sui Bitcoin.

Sempre secondo la notifica, il conduttore della trasmissione si sarebbe iscritto all’app come dimostrazione in diretta.

Non mi risulta che sia successo nulla del genere: la notifica fa probabilmente parte dei tanti tentativi di speculare sull’interesse per i bitcoin. 

Alcuni di questi tentativi sconfinano nella truffa e nell’abuso, usando appunto nomi di programmi televisivi o di celebrità senza il loro consenso o addirittura inventando finte pagine di giornale che magnificano le opportunità di guadagno dei loro servizi, come questa falsa pagina di Repubblica che parla di Maria de Filippi, il cui ultimo investimento avrebbe “lasciato gli esperti a bocca aperta e spaventato le banche” (copia permanente su Archive.is):

Di questa tendenza parla anche Marco Cavicchioli in questo video, con molti esempi di finte pagine di giornali che sembrano promuovere servizi legati alle criptovalute.

Finte notizie come queste purtroppo approdano anche su testate giornalistiche reali, come ho raccontato il mese scorso, causando ancora più confusione nei lettori, che si fidano di quello che vedono scritto.

La notifica ricevuta dalla lettrice parla specificamente di un’app denominata BitcoinUp, il cui sito fa promesse mirabolanti (“i nostri algoritmi
di trading stanno generando risultati folli per i nostri clienti […] guadagna potenzialmente fino a $ 1500 il primo
giorno di negoziazione […]”), ed è interessante leggere quali sono le conseguenze per chi si iscrive a BitcoinUp, secondo il racconto di Lorenza: ha scaricato d’impulso l’app e vi ha inserito nome, cognome e numero di telefono.

“Da
lì sono tempestata di chiamate con prefissi da Romania, Inghilterra,
Svizzera, Germania o Austria, li sto bloccando ma mi arrivano sempre
chiamate con numeri diversi. Ad una ho risposto e hanno riappeso.”

Ora Lorenza non vuole essere più contattata, ma ormai il suo numero è nelle rubriche di altri partecipanti a BitcoinUp.

Posso solo ripetere per l’ennesima volta le raccomandazioni classiche: non bisogna credere a tutto quello che si legge, anche se sarebbe legittimo aspettarsi dalle testate giornalistiche un minimo di controllo in più, e qualunque offerta che vi sembri troppo bella per essere vera probabilmente non è vera. 

Purtroppo le ristrettezze economiche aumentano il desiderio di trovare vie d’uscita, e il valore crescente dei bitcoin attira speculatori e imbroglioni in cerca di vittime vulnerabili. Siate prudenti, e non date i vostri dati al primo che passa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come perdere 600.000 dollari grazie a un’app nell’App Store di Apple

Come perdere 600.000 dollari grazie a un’app nell’App Store di Apple

Questo è il vero Trezor.

Secondo quanto riportato dal
Washington Post, un proprietario di criptovalute, Phillipe Christodoulou, afferma di aver
perso circa 600.000 dollari per colpa di un’app presente nel blindatissimo App
Store di Apple.

L’utente ha cercato nello store di Apple un’app per
Trezor, un dispositivo speciale che
custodisce criptovalute (un wallet hardware). Ha trovato l’app, con
tanto di recensioni a cinque stelle, e l’ha scaricata e installata. Poi ha
immesso le proprie credenziali nell’app. In meno di un secondo ha perso 17,1
bitcoin, che all’epoca dei fatti valevano circa 600.000 dollari. Anche altri
utenti hanno lamentato furti analoghi.

L’app, infatti, era una truffa, creata da criminali informatici che hanno
abusato del nome Trezor per rendersi visibili e ingannare gli utenti di questo
dispositivo. Trezor, infatti, non ha un’app ufficiale.

Christodoulou, però, non se la prende soltanto con i ladri informatici:
incolpa Apple di aver contribuito a ingannarlo dandogli un falso senso di
fiducia. Apple, infatti, presenta il suo App Store come un luogo sicuro e
affidabile, nel quale ogni app viene controllata prima di essere messa a
disposizione degli utenti.

L’utente ha segnalato il caso all’FBI e fa notare che Apple incassa dal 15 al
30% sulle vendite delle app e dice che questa commissione serve a finanziare i
controlli. Ma i controlli sono evidentemente meno robusti di quello che viene
dichiarato negli slogan. Apple ha rimosso l’app truffaldina, ma è ricomparsa
subito nello Store.

I controlli vengono aggirati con una tecnica semplice: il creatore dell’app
pubblica nello Store una versione innocua dell’app, che supera le verifiche, e
poi la sostituisce con un’altra versione che contiene la trappola. In questo
caso, inoltre, i truffatori avevano usato apertamente il nome Trezor e
il logo dell’azienda. Apple non se n‘è accorta.

Per evitare questo genere di danno, anche se non siete titolari di grandi
cifre in criptovalute, è sempre consigliabile andare sul sito ufficiale del
produttore di un dispositivo o di un’app e usare il link allo Store
appositamente fornito, invece di cercare alla cieca sullo Store.

 

Fonte aggiuntiva:
Cointelegraph.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
I bitcoin consumano tanta energia. Che proviene in gran parte da fonti inquinanti. Un dilemma etico

I bitcoin consumano tanta energia. Che proviene in gran parte da fonti inquinanti. Un dilemma etico

Ultimo aggiornamento: 2021/04/20 1:35.

Tutti parlano di criptovalute e in particolare di bitcoin, grazie anche al
fatto che il controvalore dei bitcoin è salito vertiginosamente. Chi ha comprato
bitcoin un anno fa oggi ha ben 12 volte l’investimento iniziale.

Ma questa corsa all’oro digitale ha anche un risvolto ecologico che non va
trascurato. Ogni creazione di bitcoin e ogni transazione richiede
complicatissimi calcoli matematici, che richiedono enormi potenze di calcolo.
A loro volta, queste potenze di calcolo richiedono computer altrettanto
potenti, che consumano energia. Tanta energia. E molta di questa energia viene
prodotta usando fonti altamente inquinanti.

Non solo: la matematica dei bitcoin è fatta in modo che man mano che aumenta
la potenza di calcolo disponibile aumenta anche la difficoltà dei calcoli, per
cui aumenta anche il consumo di energia.

Secondo una stima del Cambridge Centre for Alternative Finance, pubblicata
presso Cbeci.org, nel 2019 la generazione di
bitcoin consumava
più energia dell’intera Svizzera: 77 terawattora ogni anno (la Svizzera ne ha consumati circa 57). Oggi, nel
2021, questo consumo stimato di energia è salito a 127,7 TWh/anno, ossia
più di Norvegia o Argentina
(mentre il consumo svizzero è lievemente diminuito (-0,8%)). Altre stime indicano valori più bassi.

Queste stime hanno ampi margini d’incertezza, ma la tendenza è chiara: i
consumi derivanti dall’uso dei bitcoin stanno aumentando. Oggi rappresentano,
secondo il CCAF, lo 0,6% dei
consumi totali di elettricità del pianeta. A titolo di paragone, tutti i
datacenter del mondo consumano
199 TWh/anno.

Se volete un altro paragone, e se non ho perso qualche zero per strada, 127,7
TWh sarebbero sufficienti a far fare oltre 100.000 km a tutte le auto della
Svizzera (circa 6 milioni di veicoli) o 16.000 km a tutte le auto d’Italia
(circa
39 milioni) se fossero tutte elettriche (stimando 0,2 kWh/km).

Il 65% dell’hashrate
(la potenza di calcolo complessiva usata per generare bitcoin e gestirne le
transazioni) si trova in Cina.

Inoltre secondo la ricerca del CCAF circa i due terzi dell’energia consumata
per gestire i bitcoin provengono da fonti fossili, e questo significa che i
bitcoin hanno un impatto ambientale significativo. Investire in bitcoin e
presentarsi come sostenitori dell’ecologia, come ha fatto per esempio
Tesla
a febbraio scorso, sembra essere un controsenso. 

I sostenitori dei bitcoin obiettano che parte dell’energia usata deriva da
fonti rinnovabili oppure da centrali che la devono generare anche se non viene
utilizzata e non c’è modo di accumularla, per cui formalmente non è tolta ad
altri usi. Tuttavia è difficile quantificare con precisione quanta sia questa
parte.

Ma probabilmente l’obiezione principale all’adozione su vasta scala
dei bitcoin (e specificamente dei bitcoin) è il numero di transazioni
gestibili da questo sistema: attualmente è
meno di sette
al secondo ed è tecnicamente difficilissimo aumentarlo. Non si può pensare di
usare questa criptovaluta per gestire gli scambi dell’economia
mondiale.

 


A titolo di confronto, la rete informatica di un singolo gestore di
carta di credito, come Visa, ha una
capacità teorica
di 65.000 transazioni al secondo.

Altre criptovalute hanno sviluppato metodi che consentono un numero molto
superiore di transazioni al secondo e riducono fortemente il consumo di
energia, ma al prezzo di una minore sicurezza. Il problema è che oggi è il
bitcoin la forma di criptovaluta dominante.

In sintesi: per come stanno le cose ora, i bitcoin non hanno alcuna
possibilità di sostituire le monete convenzionali e producono molto
inquinamento. Altre criptovalute possono far di meglio, ma resta il dilemma
del grande consumo di energia, inevitabile per qualunque criptovaluta basata
sul
proof of work
e in generale per qualunque tecnologia basata sulla blockchain.

Per cui mi sa che liquiderò i miei pochi bitcoin: mi arrendo al fatto che non
sono eticamente sostenibili, salvo prove contrarie. 

 

2021/04/20. Ho liquidato il mio wallet e ho convertito in franchi svizzeri, che ora riposano nel mio conto corrente.

Fonti aggiuntive:
BBC,
BBC.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.