Mt.Gox, Bitfinex, Coincheck, FTX: la storia dei principali hack e collassi degli exchange crypto. Le lezioni sulla custodia e perché 'not your keys, not your coins'.
Contenuto educativo: Questo articolo ha finalità esclusivamente informative. Non costituisce consulenza finanziaria, fiscale o di investimento. Le criptovalute sono strumenti ad alto rischio: il valore può azzerarsi. Prima di qualsiasi decisione consulta un consulente finanziario indipendente.
Gli exchange di criptovalute rappresentano uno dei bersagli più appetibili per i criminali informatici a livello globale. La ragione è strutturale: concentrano in un unico punto miliardi di dollari in asset digitali, spesso con infrastrutture di sicurezza inferiori a quelle delle banche tradizionali. In gergo tecnico vengono definiti honeypot, letteralmente "vasi di miele": attraggono attacchi proprio perché il potenziale guadagno è enorme.
È importante distinguere tre categorie di eventi avversi:
Comprendere la differenza tra queste tre categorie è fondamentale: le contromisure sono diverse e il profilo di rischio per l'utente cambia significativamente in ciascun caso.
Nel 2013, Mt.Gox era l'exchange di Bitcoin dominante a livello mondiale, gestendo circa l'85% dei volumi di scambio globali. Aveva sede a Tokyo ed era diventato il punto di riferimento per chiunque volesse acquistare o vendere Bitcoin. Poi, nel febbraio 2014, arrivò l'annuncio che scosse l'intero settore: la società dichiarava bancarotta e comunicava la scomparsa di 850.000 BTC, pari a circa 450 milioni di dollari al valore dell'epoca.
Le indagini successive rivelarono che l'hack era stato in corso per anni, probabilmente dal 2011, senza che il management se ne accorgesse — o volesse accorgersene. Una combinazione di vulnerabilità tecniche, assenza di controlli interni e gestione finanziaria approssimativa aveva reso possibile una delle più grandi perdite della storia delle criptovalute.
Il procedimento fallimentare è durato quasi un decennio. Solo nel 2024 i creditori hanno iniziato a ricevere un risarcimento parziale in Bitcoin, dopo anni di battaglie legali in Giappone. Mt.Gox rimane il caso emblematico di come la fiducia cieca in una piattaforma centralizzata possa tradursi in perdite irreversibili.
Attenzione: Gli 850.000 BTC persi in Mt.Gox avrebbero oggi un valore di decine di miliardi di dollari. I creditori che hanno aspettato dieci anni hanno ricevuto solo una frazione del valore attuale degli asset perduti, a causa delle complesse procedure fallimentari giapponesi.
Nell'agosto 2016, l'exchange Bitfinex subì un attacco che portò alla sottrazione di 119.756 BTC, equivalenti a circa 72 milioni di dollari al momento del furto. La risposta di Bitfinex fu controversa: anziché accollarsi interamente le perdite, decise di socializzarle distribuendo a tutti gli utenti token denominati BFX, proporzionali alle perdite subite dall'intero portafoglio della piattaforma. In sostanza, anche chi non aveva subito direttamente il furto si trovò con meno fondi disponibili.
Il caso ebbe un clamoroso sviluppo nel 2022, quando il Dipartimento di Giustizia americano (DOJ) arrestò la coppia Heather Morgan e Ilya Lichtenstein, accusata di aver tentato di riciclare i Bitcoin rubati sei anni prima. Le autorità statunitensi riuscirono a sequestrare circa 3,6 miliardi di dollari in Bitcoin, uno dei sequestri di asset digitali più grandi della storia.
Il caso Bitfinex dimostra che la blockchain è permanente e tracciabile: i fondi rubati possono essere seguiti per anni. Questo non protegge le vittime nell'immediato, ma può portare a recuperi parziali nel lungo periodo.
Nel gennaio 2018, l'exchange giapponese Coincheck annunciò la perdita di 530 milioni di dollari in token NEM (XEM), rendendolo numericamente il più grande furto da un singolo exchange fino a quel momento. La causa fu tanto grave quanto evitabile: i token NEM erano conservati interamente in un hot wallet — ovvero un portafoglio connesso a internet — privo di protezione multi-signature.
La lezione tecnica è chiara: la quantità di fondi mantenuta in hot wallet dovrebbe essere ridotta al minimo indispensabile per le operazioni quotidiane. Il resto andrebbe conservato in cold storage, disconnesso dalla rete. Coincheck sopravvisse all'incidente e fu successivamente acquisita da Monex Group, ma il caso segnò un punto di svolta nelle discussioni sulla gestione della custodia degli asset digitali.
Il novembre 2022 rappresenta una frattura nella storia delle criptovalute. FTX, all'epoca il secondo exchange per volumi a livello globale, dichiarò bancarotta nel giro di pochi giorni. A differenza dei casi precedenti, non si trattava di un attacco informatico esterno: era una frode strutturale orchestrata dall'interno.
Le indagini rivelarono che il fondatore Sam Bankman-Fried aveva sistematicamente utilizzato i fondi depositati dai clienti di FTX per finanziare le operazioni speculative di Alameda Research, la sua società di trading collegata. La perdita stimata per i clienti ammonta a 8-10 miliardi di dollari. Nel novembre 2023, SBF è stato condannato a 25 anni di carcere negli Stati Uniti.
Il caso FTX ha scosso profondamente la fiducia nel settore perché la piattaforma aveva una reputazione consolidata, era presente alle conferenze istituzionali e aveva stretto partnership con grandi brand. La lezione più amara è che la reputazione pubblica di un exchange non garantisce la sicurezza dei fondi.
Caso emblematico di frode: FTX non ha ceduto a un attacco esterno. Ha tradito la fiducia dei propri clienti dall'interno. Nessuna misura di sicurezza personale — password robuste, autenticazione a due fattori — può proteggere dall'insolvenza fraudolenta di una piattaforma. Solo la self-custody elimina questo rischio specifico.
Questa frase, diventata un mantra nella comunità crypto, sintetizza un concetto tecnico preciso: quando tieni le tue criptovalute su un exchange, non possiedi direttamente le chiavi crittografiche che controllano quei fondi. Stai affidandoti alla solvibilità, onestà e sicurezza di una terza parte.
La self-custody tramite hardware wallet — dispositivi fisici che conservano le chiavi private offline — elimina il rischio di frode o insolvenza dell'exchange. Rimane però un rischio diverso: la perdita o il furto della seed phrase (la sequenza di parole che permette il recupero del wallet) comporta la perdita irreversibile dei fondi.
Una proporzione pratica suggerita da molti esperti del settore è la seguente:
La storia degli hack e delle frodi sugli exchange evidenzia un principio fondamentale: nessuna piattaforma è immune dal rischio. La regolamentazione — incluso il framework europeo MiCA — introduce requisiti più stringenti in termini di custodia e trasparenza, e questo rappresenta un progresso reale. Tuttavia, la regolamentazione riduce ma non elimina i rischi tecnici, operativi e di frode.
Un aspetto spesso sottovalutato riguarda la protezione dei depositi: a differenza dei conti correnti bancari, dove il Fondo Interbancario di Tutela dei Depositi (FITD) garantisce fino a 100.000 euro per correntista, non esiste un meccanismo equivalente per le criptovalute. In caso di fallimento o hack di un exchange, il recupero dei fondi è incerto e può richiedere anni di procedure legali.
Nessuna garanzia sui depositi crypto: Le criptovalute detenute su exchange non sono protette da alcun fondo di garanzia paragonabile al FITD bancario. In caso di insolvenza della piattaforma, potresti perdere l'intero importo depositato senza possibilità di rimborso immediato o certo.
Non esiste in Italia — né in Europa — un sistema di garanzia sui depositi in criptovalute analogo al FITD bancario. Alcuni exchange dichiarano di avere polizze assicurative private che coprono parzialmente certi tipi di perdite (ad esempio hack esterni), ma i termini variano significativamente da piattaforma a piattaforma e spesso presentano esclusioni rilevanti. È fondamentale leggere attentamente la documentazione legale dell'exchange prima di depositare fondi.
I criteri principali da valutare includono: la registrazione al registro OAM (Organismo Agenti e Mediatori) per gli exchange operativi in Italia, la conformità al regolamento europeo MiCA, la presenza di procedure di proof-of-reserves verificabili, la politica di conservazione dei fondi in cold storage, la storia operativa della piattaforma e la trasparenza sulla struttura societaria. Nessuno di questi criteri garantisce l'assenza di rischi, ma contribuisce a ridurli.
Lo scenario dipende dall'entità del danno e dalla solidità finanziaria della piattaforma. Alcuni exchange hanno coperto in passato le perdite con fondi propri (come Binance con il suo SAFU fund). In altri casi, come Mt.Gox, si è aperta una procedura fallimentare con rimborsi parziali distribuiti nel corso di anni. Non esiste una procedura standardizzata: ogni caso ha avuto un esito diverso, spesso sfavorevole per i clienti.
Il processo di rimborso è in corso attraverso la procedura fallimentare gestita negli Stati Uniti. Nel 2024, il piano di reorganizzazione approvato prevede che i creditori ricevano rimborsi in dollari basati sul valore dei loro asset al momento della dichiarazione di bancarotta (novembre 2022), non al valore corrente di mercato. Questo significa che chi deteneva Bitcoin su FTX potrebbe ricevere meno in termini reali rispetto al valore attuale di quegli asset. I tempi e le modalità di distribuzione effettiva rimangono soggetti all'evoluzione della procedura legale.
Vuoi iniziare con le crypto in modo consapevole? Prima di aprire un conto su qualsiasi exchange, verifica che sia regolamentato MiCA e registrato OAM in Italia.
Le guide Moneyside hanno carattere educativo e informativo. Non costituiscono consulenza finanziaria, legale o fiscale ai sensi del D.Lgs. 58/1998 (TUF) e della Direttiva MiFID II. Verifica sempre le informazioni con fonti ufficiali o un professionista qualificato.