Nel panorama digitale contemporaneo le criptovalute rappresentano sia una rivoluzione finanziaria sia una fertile terra di coltura per attività criminali. Tra frodi, ransomware e riciclaggio di denaro, le autorità di tutto il mondo si trovano a dover fronteggiare un ecosistema in rapido mutamento, dove le transazioni sono pubbliche ma spesso pseudonime.
Nel dicembre 2023 il Federal Bureau of Investigation (FBI) ha annunciato il risultato dell' “Operation Cookie Monster”, un’indagine che ha portato all’arresto di 119 persone, al sequestro di oltre 1 milione di dollari in criptovaluta e allo smantellamento di una rete internazionale di phishing, ransomware e schemi Ponzi. Il fulcro dell’operazione è stato l’uso sapiente di OSINT (Open‑Source Intelligence) integrato con modelli di intelligenza artificiale per tracciare, correlare e attribuire attività su blockchain.
Questo caso è una dimostrazione concreta di come le tecniche di raccolta e analisi di fonti aperte possano trasformare dati apparentemente anonimi in prove giudicabili, aprendo la strada a nuove metodologie di formazione per professionisti della sicurezza e dell’investigazione digitale. Nel seguito esploreremo il contesto operativo, le tecniche impiegate, le implicazioni legali ed etiche, e trarremo spunti utili per chi vuole apprendere queste competenze nella nostra Academy.
1. Che cos’è l' “Operation Cookie Monster”?
L’operazione prende il nome da un meme interno dell’FBI, ma il suo obiettivo era serio: identificare e interrompere una rete di crimine informatico che utilizzava criptovalute per finanziare ransomware, phishing e truffe di investimento.
Obiettivi principali –
- Smantellare l’infrastruttura di pagamento in Bitcoin, Ethereum e monete emergenti.
- Identificare i responsabili dietro gli indirizzi wallet.
- Recuperare i fondi sequestrati e restituirli alle vittime.
Risultati –
- 119 arresti in più di 10 paesi.
- Sequestro di > 1 milione di USD in criptovalute (convertite in fiat per il recupero).
- Confisca di server, domini e tool di phishing.
La notizia è stata riportata da The Hacker News, che ha evidenziato il ruolo cruciale dell’OSINT e dell’AI nella riuscita dell’operazione.
2. Perché l’OSINT è indispensabile nelle indagini su blockchain
- Visibilità pubblica – Tutte le transazioni su blockchain sono registrate in un ledger pubblico e immutabile.
- Pseudonimato, non anonimato – Gli indirizzi non contengono nomi, ma possono essere collegati a identità reali tramite analisi di pattern, metadata e attività offline.
- Volume enorme – Milioni di transazioni al giorno richiedono strumenti di automazione per essere esaminate.
L’OSINT fornisce le fonti di contesto (forum, social media, marketplace darknet, registri WHOIS) necessarie per collegare un indirizzo a un individuo o a un’organizzazione.
3. Il ruolo della AI/ML nella “Cookie Monster”
Gli investigatori hanno impiegato diversi modelli di machine learning per:
| Attività | Algoritmo / Tool | Scopo |
| Clustering di wallet | K‑means, DBSCAN su feature di transazione (valore medio, frequenza, contratti smart) | Raggruppare wallet appartenenti alla stessa entità. |
| Riconoscimento di pattern di phishing | NLP su testi di email, regex su URL sospetti | Identificare campagne di phishing associate a specifici wallet. |
| Analisi di grafi | Graph Neural Networks (GNN) su network di transazioni | Scoprire relazioni nascoste tra indirizzi, individuare hub centralizzati. |
| Classificazione di contratti smart | Random Forest su bytecode e ABI | Distinguere contratti legittimi da quelli usati per frodi. |
Grazie a questi approcci, gli analisti hanno potuto ridurre il set di indirizzi sospetti dal milione a poche centinaia, concentrando le risorse investigative su target ad alto valore probatorio.
4. Workflow operativo tipico
- Raccolta dati – Utilizzo di API pubbliche (BlockCypher, Etherscan) e crawler per forum darknet, Reddit, Telegram.
- Normalizzazione – Pulizia dei dati, rimozione di duplicati, conversione in formati tabulari (CSV, Parquet).
- Feature Engineering – Calcolo di metriche come “age of address”, “average transaction value”, “inter‑transaction time”.
- Model Training – Addestramento di modelli di clustering e classificazione su dataset etichettati (wallet noti per attività illecite).
- Correlazione – Incrocio con fonti OSINT (profilo LinkedIn, registri aziendali, registrazioni WHOIS).
- Validazione – Verifica manuale da parte di analisti senior, controllo di coerenza temporale.
- Reportistica – Generazione di dossier PDF con grafi di transazioni, mappe di rete e timeline, pronti per l’uso in procedimenti giudiziari.
5. Etica e privacy nella sorveglianza delle blockchain
Anche se le transazioni sono pubbliche, l’aggregazione di dati da fonti diverse può rivelare l’identità di individui innocenti (es. utenti che ricevono donazioni o pagamenti legittimi). È fondamentale adottare pratiche di minimizzazione dei dati: conservare solo le informazioni strettamente necessarie per l’indagine, anonimizzare i dati sensibili prima della pubblicazione e rispettare le normative GDPR/CCPA quando si trattano dati personali.
6. La catena di custodia digitale
Perché le prove OSINT siano ammissibili in tribunale, è necessario garantire una catena di custodia digitale impeccabile:
- Hashing (SHA‑256) di ogni file scaricato.
- Timestamp certificati da un’autorità di fiducia (es. RFC 3161).
- Log di accesso con firma digitale per ogni operazione di trasformazione (pulizia, normalizzazione).
Questi passaggi dimostrano che i dati non sono stati alterati dopo la raccolta.
7. Limiti tecnici e false positive
I modelli di AI, per quanto potenti, possono generare false positive (wallet erroneamente associati a attività illecite). Una buona pratica è impostare soglie di confidenza e prevedere un “human‑in‑the‑loop” per la revisione finale. Inoltre, la natura dinamica delle blockchain richiede aggiornamenti continui dei modelli, poiché gli attori criminali cambiano tattiche (es. utilizzo di mixer, tumblers, o nuove chain).
8. Futuri scenari: DeFi, NFT e privacy‑enhancing crypto
Con l’avvento di DeFi (Finanza Decentralizzata) e NFT, le transazioni diventano più complesse: smart contract interattivi, pool di liquidità, e token non fungibili. Allo stesso tempo, progetti come Monero, Zcash e Tornado Cash offrono privacy avanzata, rendendo più difficile l’applicazione di OSINT tradizionale.
Le prossime generazioni di investigatori dovranno:
- Sfruttare analisi comportamentale (pattern di interazione con DEX).
- Utilizzare tecniche di de‑anonymizzazione basate su analisi di rete off‑chain (es. analisi di wallet exchange).
- Collaborare con provider di dati (es. Chainalysis, CipherTrace) per accedere a dataset arricchiti.
Vuoi diventare un esperto di OSINT applicato alle criptovalute e all’intelligenza artificiale? Iscriviti subito alla nostra Academy e approfitta dell’offerta speciale di questo mese: un anno di abbonamento a un prezzo incredibilmente basso.
Con l’iscrizione avrai accesso a:
- Decine di nuovi contenuti su tecniche di investigazione digitale, aggiornati mensilmente.
- Supporto continuo un istruttore esperto.
Non lasciarti sfuggire l’opportunità di trasformare la tua curiosità in competenza concreta. Iscriviti ora e inizia a costruire il tuo percorso professionale nella frontiera dell’OSINT e della sicurezza blockchain!