La sintesi della Sessione Tematica 3, dal titolo “Cybercrime, Crypto Asset e Nuove Tecnologie”, che si è tenuta durante la Conferenza Internazionale CyberSEC2026.

Sintesi della Sessione Tematica 3 dal titolo ““Cybercrime, Crypto Asset e Nuove Tecnologie”” durante la quinta edizione della Conferenza Internazionale CyberSEC – Cybercrime e Cyberwar: Norme, Geopolitica e Cybersecurity per una Difesa Comune, promossa e organizzata da Cybersecurity Italia in collaborazione con la Polizia di Stato, tenutasi a Roma presso la Scuola Superiore di Polizia.

Mancazzo (Guardia di Finanza): “Assistiamo a un progressivo spostamento degli illeciti dalle piazze fisiche alle piazze virtuali”

Crypto-asset e criminalità, ransomware, riciclaggio e darknet markets, istituti bancari, fintech e pagamenti digitali, frodi, crypto e sicurezza dell’economia digitale, intelligenza artificiale (AI), deepfake, frodi automatizzate e social engineering evoluto, sono stati i temi chiave al centro della sessione dal titolo “Cybercrime, crypto asset e nuove tecnologie”, presieduta e moderata da Antonio Mancazzo, Comandante Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, della 5^ edizione di CyberSEC,la Conferenza internazionale promossa ed organizzata dal quotidiano Cybersecurity Italia, in collaborazione con Polizia di Stato.

Nucleo delle Fiamme gialle che oggi è fortemente impegnato su due fronti principali, ha spiegato il Generale Mancazzo: “Da un lato il monitoraggio della rete — e in particolare del deep web — con attività di contrasto ai black market; dall’altro il contrasto all’utilizzo illecito delle criptovalute.

Effettuiamo un monitoraggio costante della blockchain e, pur con notevoli sforzi investigativi, riusciamo spesso a de-anonimizzare i soggetti responsabili di determinate operazioni. Tuttavia, ci troviamo di fronte anche a diverse criticità normative e operative, come le modalità di sequestro dei crypto-asset. Non parliamo soltanto di criptovalute, che rappresentano una categoria all’interno del più ampio insieme dei crypto-asset, che comprende anche token, smart contract e altri strumenti digitali”.

Le difficoltà

“Una delle difficoltà principali è che, ancora oggi, non disponiamo di un Fondo unico di giustizia che consenta, analogamente a quanto avviene per la valuta tradizionale, di depositare immediatamente i beni sequestrati alla criminalità economico-finanziaria. A questo si aggiunge il problema delle tempistiche di conversione dei crypto-asset sottoposti a sequestro. Le criptovalute – ha precisato il Comandante del Nucleo spciale – sono rappresentazioni digitali di valore caratterizzate da fortissima volatilità. Per questo sarebbe opportuno prevedere tempi certi entro i quali procedere alla loro conversione”.

“Le difficoltà sono ulteriormente aggravate dal fatto che i tempi della blockchain sono immediati, mentre quelli della cooperazione di polizia e della cooperazione giudiziaria internazionale sono inevitabilmente più lunghi. Le frodi legate ai falsi investimenti online non sono più episodi isolati, ma rappresentano ormai un vero e proprio allarme sociale”.

Criminalità e tecnologie

La criminalità economico-finanziaria e la criminalità organizzata sfruttano sempre più le tecnologie digitali, ha affermato Mancazzo: “Assistiamo a un progressivo spostamento degli illeciti dalle piazze fisiche alle piazze virtuali. Nei black market, venditori e acquirenti non si conoscono e l’anonimato rappresenta una forma di tutela reciproca. In questi contesti abbiamo riscontrato la vendita di armi, stupefacenti, documenti contraffatti, banconote false e intere liste di dati sottratti a seguito di data breach. Spesso, quando la vittima di un attacco informatico non paga il riscatto, i dati vengono pubblicati sul dark web. Un ulteriore ambito di intervento riguarda la tassazione delle criptovalute. In questo settore registriamo numerosi casi di evasione fiscale, spesso legati alla convinzione che lo pseudo-anonimato della blockchain consenta di sottrarsi agli obblighi fiscali. Su questo fronte, con grande fatica, siamo riusciti a ottenere importanti pronunce della Corte di Cassazione, che hanno chiarito un punto fondamentale: la tassazione delle criptovalute era dovuta anche prima del 1° gennaio 2023, data a partire dalla quale è stata introdotta una disciplina organica della materia”.

Dalla Benetta (Protiviti Italia): “Passare dai SOC agli X Operations Center, in cui far confluire tutti i dati rilevanti per la difesa dell’organizzazione”

Nicola Dalla Benetta, Director di Protiviti Italia, ha parlato del modello 4×4: “Quattro ostacoli da riconoscere e quattro passi operativi da mettere in sequenza per riuscire ad affrontare efficacemente questi fenomeni. Partiamo dagli ostacoli. Il primo riguarda le complessità e le stratificazioni tecnologiche presenti all’interno delle aziende. Nel tempo le organizzazioni hanno accumulato sistemi, piattaforme, strumenti diversi che spesso convivono senza essere realmente integrati. Il secondo è rappresentato dalle stratificazioni organizzative: ruoli, responsabilità e processi che si sono sovrapposti nel tempo, sia all’interno delle aziende sia, più in generale, nel contesto della società e delle istituzioni. Il terzo ostacolo è la stratificazione culturale e formativa, un tema che è stato richiamato più volte durante la giornata. Parliamo di competenze, linguaggi e approcci professionali differenti che non sempre riescono a dialogare tra loro. Infine c’è la stratificazione regolatoria, cioè un quadro normativo che si è costruito progressivamente nel tempo e che spesso aggiunge ulteriori livelli di complessità. Questi quattro fattori, messi insieme, hanno prodotto un risultato abbastanza evidente: un insieme di contromisure che faticano a lavorare in modo realmente armonico”.

I vari processi

All’interno delle organizzazioni, ha proseguito Dalla Benetta, si trovano processi diversi: “Antiriciclaggio, gestione delle frodi esterne, gestione delle frodi interne, cyber security. Oggi questi ambiti condividono sempre più elementi, perché la digitalizzazione ha portato a una forte convergenza tra questi fenomeni. Tuttavia, nella pratica, sono ancora gestiti da team diversi, con competenze differenti e spesso anche con difficoltà di comunicazione reciproca. Per questo propongo quattro passi operativi che possono aiutare ad affrontare in modo più efficace queste sfide. Il primo è una governance chiara. All’interno delle organizzazioni bisogna rispondere a domande molto semplici: chi si occupa delle cyber frodi? Chi intercetta questi eventi? E chi li gestisce? Chi li analizza? Chi risponde operativamente? E, soprattutto, quali schemi di cyber fraud vogliamo intercettare? È evidente quindi che questi ambiti non possono più essere trattati come compartimenti separati e analizzati da tre team diversi”.

Il secondo passo riguarda i dati, ha affermato Dalla Benetta: “Oggi abbiamo parlato molto di SOC, Security Operations Center, ed è positivo. Ma forse dobbiamo iniziare a guardare allo step successivo: quello che potremmo definire X Operations Center, cioè strutture in cui far confluire progressivamente tutti i dati rilevanti per la difesa dell’organizzazione. Il terzo passaggio riguarda i controlli su questi dati. In questo contesto l’intelligenza artificiale diventa un elemento abilitante fondamentale, perché consente di analizzare grandi volumi di informazioni e individuare schemi e anomalie che altrimenti sarebbero difficili da intercettare. Infine c’è il quarto elemento: i presidi e la formazione. Abbiamo bisogno di competenze verticali molto solide sulle singole materie, ma queste competenze devono essere poi orchestrate in modo orizzontale all’interno dell’organizzazione. Solo così è possibile garantire una gestione davvero efficace di fenomeni complessi come le cyber frodi”.

Galvagna (Vectra AI): “Le frodi cyber si combattono con consapevolezza umana e tecnologie avanzate”

riguardo all’evoluzione degli attacchi cyber, sempre più numerosi, ma soprattutto sempre più efficaci e pericolosi, Massimiliano Galvagna, Country Manager Italy di Vectra AI, ha invece portato un esempio personale: “Lavoro per un’azienda americana e, fortunatamente, il nostro CEO viene spesso in Italia perché il nostro è un account molto attivo. Proprio per questo motivo sono stato oggetto di un attacco di smishing molto ben costruito. Ho ricevuto un messaggio su WhatsApp apparentemente proveniente dal nostro CEO, con tanto di fotografia del profilo. Il messaggio diceva più o meno: “Dobbiamo incontrarci a breve, chiamami perché ho un problema”. Tutto era credibile: sapevano che era prevista una sua visita in Italia, conoscevano il contesto e il momento. Questo tipo di attacco funziona proprio perché abbassa le nostre soglie di attenzione. Quando riceviamo un messaggio da quello che sembra essere il nostro amministratore delegato, si attivano automaticamente una serie di meccanismi psicologici. Al tavolo precedente si parlava di bias cognitivi, e credo sia un riferimento molto pertinente. In questo caso non parliamo nemmeno di tecnologie particolarmente sofisticate: si tratta semplicemente di un messaggio WhatsApp con una foto. Tuttavia, se a questo aggiungiamo l’intelligenza artificiale nelle mani del cybercrime, è evidente che il livello di sofisticazione degli attacchi può crescere ulteriormente e rendere tutto ancora più complesso”.

L’importanza della formazione

“Per questo motivo è stato giustamente ricordato, anche questa mattina, quanto sia fondamentale il tema della formazione. Conoscenza, consapevolezza e formazione sono strumenti essenziali – ha continuato Galvagna – perché ci permettono di riconoscere quei piccoli segnali — quei trigger tipici di un attacco — che possono metterci in allerta. È sempre possibile accorgersene? Purtroppo no. Ed è qui che entra in gioco la tecnologia. Noi, come azienda, stiamo lavorando molto sull’analisi comportamentale. In particolare analizziamo tre elementi fondamentali: le credenziali, cioè le utenze che tutti noi utilizziamo; gli asset, che possono essere uno smartphone, un tablet, un computer o un laptop; e infine i servizi utilizzati.
Attraverso l’analisi comportamentale di questi tre fattori e grazie all’utilizzo dell’intelligenza artificiale, è possibile individuare le differenze tra un comportamento normale e uno anomalo. Questo può aiutarci a identificare situazioni problematiche: ad esempio il comportamento di un dipendente infedele, oppure quello di una persona che, magari senza rendersene conto, è caduta in un meccanismo di frode”.

Le frodi non sono nate con l’informatica

“Le frodi non sono nate con l’informatica. Esistevano già prima. La tecnologia ha semplicemente fornito un nuovo vettore, un nuovo mezzo attraverso cui realizzarle. Ed è vero anche che oggi si tratta di attività estremamente remunerative per chi le mette in atto. Anche con tecniche molto semplici — una sorta di “pesca a strascico” digitale — è possibile ottenere risultati economici significativi. Purtroppo questo rende il fenomeno molto diffuso.

Detto questo – ha concluso Galvagna – non dobbiamo essere completamente pessimisti. Una via d’uscita esiste: passa certamente attraverso la formazione e il miglioramento dei processi, ma passa anche attraverso l’utilizzo della tecnologia. Oggi è sempre più difficile riconoscere un attacco soltanto grazie all’esperienza personale. Video ben realizzati, messaggi credibili o richieste apparentemente legittime possono risultare molto convincenti. Per questo motivo la combinazione tra consapevolezza umana e strumenti tecnologici avanzati diventa fondamentale per affrontare efficacemente queste minacce”.

Tonelli (OPSWAT): “AI come strumento per ottenere in modo rapido informazioni complesse”

“Le minacce avanzate, come il ransomware e i cosiddetti ransomware-like, si stanno evolvendo in qualcosa di sempre più difficile da prevenire e gestire. La criminalità informatica non è ancora arrivata al punto in cui l’intelligenza artificiale viene utilizzata in modo completamente autonomo per sviluppare software in grado di causare qualsiasi tipo di danno alla vittima prescelta, ma siamo molto vicini a quel livello. Per il momento, l’AI viene utilizzata dai cybercriminali soprattutto per ottimizzare l’efficacia delle loro attività malevole”, ha spiegato Emilio Tonelli, Senior Solution Engineer di OPSWAT.

“Grazie all’intelligenza artificiale – ha aggiunto Tonelli – un criminale può comprendere velocemente, qual è il profilo economico delle vittime. Calibrare attacco e importo del riscatto in modo proporzionale alle reali capacità economiche della vittima, aumentando così le probabilità di successo dell’azione e che il pagamento venga effettivamente effettuato”.

Come ottenere velocemente informazioni

“L’AI diventa quindi uno strumento per ottenere rapidamente informazioni complesse e mirate. Può essere utilizzata anche da un punto di vista tecnico per creare malware ottimizzati per colpire uno specifico target. Si passa così da un modello di attacco a strascico, più o meno casuale, in cui la vittima non è realmente mirata, a un modello in cui il bersaglio e tecniche di attacco vengono selezionate con precisione”, ha proseguito il Senior Solution Engineer di OPSWAT.

Nella cyber kill chain, ha sottolineato Tonelli, “l’intelligenza artificiale ha già un ruolo rilevante nel mondo del cybercrime proprio nella fase di selezione della vittima, individuando chi ha maggiori probabilità di cadere nella trappola di un phishing o di un vishing, cioè il voice phishing. L’AI è in grado di ascoltare e replicare il timbro vocale di una persona, arrivando così a ingannare la vittima in modo estremamente convincente. L’industria (e OPSWAT) si sta muovendo per contrastare questo utilizzo dell’AI, sviluppando soluzioni basate su intelligenza artificiale in grado di rilevare files generati da AI utilizzati dai criminali. Questa attenzione potrà essere utile anche per fornire strumenti alle Forze dell’Ordine e ai cittadini”.

Vai al sito di Cybersecurity Italia.

L'articolo CyberSEC2026, Sessione 3 “Cybercrime, Crypto Asset e Nuove Tecnologie” sembra essere il primo su CyberSecurity Italia.