La Corea del Nord non ha mai ufficialmente legalizzato le criptovalute. Anzi, nel 2025, il regime ha rafforzato il suo divieto assoluto sull’uso di Bitcoin e altre criptovalute per i cittadini comuni. Ma mentre i nordcoreani rischiano pene severe anche per aver scambiato un solo Bitcoin, il governo di Pyongyang sta usando la stessa tecnologia per rubare miliardi di dollari dal resto del mondo. È un paradosso crudele: vietato per i suoi cittadini, strumento di guerra per il suo regime.
Il colpo più grande della storia: l’attacco a ByBit
Nel febbraio 2025, un attacco informatico ha colpito ByBit, una delle più grandi piattaforme di criptovalute al mondo. Circa 1,5 miliardi di dollari in asset digitali sono scomparsi in poche ore. L’FBI ha battezzato l’operazione "TraderTraitor" e ha confermato senza ombra di dubbio che dietro c’era la Corea del Nord. Questo non era un semplice hack: era un colpo chirurgico, studiato per anni. I criminali hanno penetrato un portafoglio "cold" - un sistema fisicamente isolato dalla rete, considerato il più sicuro esistente. Eppure, è stato violato.
La tecnica usata? Social engineering su larga scala. Agenti nordcoreani, fingendosi sviluppatori informatici, sono stati assunti da aziende occidentali. Con accesso legittimo ai sistemi, hanno installato malware, rubato credenziali e hanno atteso il momento giusto. Quando hanno colpito, hanno sfruttato vulnerabilità che nessun firewall avrebbe potuto fermare: la fiducia umana.
Un business di stato: finanziare missili con Bitcoin
La Corea del Nord non ruba criptovalute per divertimento. Lo fa per sopravvivere. Le sanzioni internazionali hanno soffocato il suo commercio legale, ma non hanno fermato il suo programma nucleare. Così, il regime ha trasformato l’hacking in un’industria statale. Nel 2025, hanno rubato oltre 2,17 miliardi di dollari in criptovalute - più di quanto avevano rubato in tutto il 2024. L’attacco a ByBit da solo ha rappresentato il 69% di tutti i furti globali dell’anno.
Questo denaro non rimane sui blocchi. Viene convertito in Bitcoin, poi smistato in migliaia di indirizzi diversi, attraverso ponti blockchain e servizi DeFi. Il tutto per confondere gli investigatori. Alla fine, il denaro finisce nei conti bancari di paesi con regole deboli, dove viene convertito in valuta reale e usato per comprare componenti per missili balistici o per pagare scienziati nucleari.
La rete di riciclaggio: Cambogia e Huione Group
La Corea del Nord non agisce da sola. Ha costruito una rete internazionale di riciclaggio, e il cuore di questa rete è in Cambogia. Il gruppo Huione - con le sue sussidiarie Huione Guarantee e Huione Crypto - è stato ufficialmente sanzionato dalla FinCEN, l’agenzia statunitense contro il riciclaggio. Huione non solo lava denaro, ma emette stablecoin non congelabili, un’arma perfetta per eludere le sanzioni.
Le transazioni passano da piattaforme nordcoreane a scambi cambogiani, poi a casinò online, poi a conti bancari in Thailandia o in Africa. Non c’è traccia. Non c’è nome. Solo denaro pulito. Tra il 2021 e il 2025, oltre 37,6 milioni di dollari in criptovalute legate alla Corea del Nord sono state lavate attraverso Huione. E questo è solo ciò che è stato scoperto.
Agenti informatici nascosti: 600 milioni di dollari all’anno
Oltre agli hack, la Corea del Nord invia migliaia di suoi cittadini all’estero, fingendosi lavoratori remoti. Sono programmatori, ingegneri, grafici. Lavorano per aziende in Europa, Stati Uniti, Canada, India. Usano VPN, account falsi, portfolio inventati. Vengono pagati in criptovaluta - per evitare tracce bancarie. Il governo di Pyongyang riscuote il 70% del loro stipendio. Il resto lo tengono per vivere, ma solo perché il regime lo permette.
Secondo le Nazioni Unite, questo sistema genera fino a 600 milioni di dollari l’anno. È un’esportazione di talento forzato. E non è un caso: i funzionari nordcoreani hanno creato centri di formazione specializzati in hacking e linguaggi di programmazione. Questi agenti non sono soldati. Sono soldi in forma umana.
La risposta internazionale: sanzioni, indagini e ricompense
Gli Stati Uniti hanno reagito con una campagna senza precedenti. L’Ufficio per il Controllo degli Asset Esteri (OFAC) ha sanzionato la Korea Sobaeksu Trading Company e tre funzionari nordcoreani direttamente coinvolti: Kim Se Un, Jo Kyong Hun e Myong Chol Min. Jo Kyong Hun è stato identificato come capo di un team IT che coordinava le operazioni di criptovaluta per il regime.
Il Dipartimento di Giustizia ha emesso mandati di arresto per sette cittadini nordcoreani, accusati di traffico illegale di sigarette contraffatte - un altro canale di finanziamento. E per la prima volta, il governo americano ha offerto ricompense fino a 7 milioni di dollari per informazioni che portino all’arresto di questi individui.
Il Senato americano, guidato da Elizabeth Warren e Jack Reed, ha chiesto un rapporto urgente a tutti i ministeri coinvolti. Le domande erano chiare: cosa state facendo per fermare questi attacchi? Quali sono le lacune? Come proteggere le piattaforme di criptovaluta? La risposta non è arrivata ancora, ma il messaggio è chiaro: questo non è più un crimine informatico. È una minaccia alla sicurezza nazionale.
Cosa succede ora? La guerra silenziosa delle criptovalute
Le aziende di criptovalute stanno spendendo sempre di più per difendersi. Ma non basta. I hacker nordcoreani non attaccano solo i server. Attaccano le persone. Un dipendente che clicca su un link falso. Un recruiter che assume un falso sviluppatore. Un exchange che non controlla abbastanza bene chi entra nel sistema.
Le piattaforme devono cambiare. Devono verificare non solo gli indirizzi, ma le identità. Devono bloccare transazioni sospette anche se arrivano da "wallet" legittimi. Devono collaborare con l’FBI, non aspettare che venga richiesto. E devono capire che la sicurezza non è un costo: è l’unica difesa.
Intanto, la Corea del Nord continua. Non ha mai avuto un piano B. Ha solo un piano: rubare. E finché il mondo continuerà a fidarsi di chi sembra legittimo, il regime continuerà a vincere.
Perché la Corea del Nord ha vietato le criptovalute ai suoi cittadini?
La Corea del Nord ha vietato le criptovalute ai suoi cittadini per controllare completamente il flusso di denaro e impedire qualsiasi forma di accesso a informazioni o sistemi finanziari esterni. Il regime teme che l’uso di Bitcoin o altre criptovalute possa portare a una maggiore consapevolezza del mondo esterno, a contatti illegali o a tentativi di evadere il controllo statale. Ma allo stesso tempo, il governo usa la stessa tecnologia per rubare miliardi dall’esterno, creando un paradosso intenzionale: il popolo è isolato, ma lo stato è connesso.
Come fanno gli hacker nordcoreani a bypassare le sanzioni internazionali?
Usano una rete complessa di intermediari in paesi con leggi deboli: Cambogia, Laos, alcuni paesi africani e la Cina. Attraverso società come Huione, convertono le criptovalute rubate in stablecoin non congelabili, le trasferiscono su scambi non regolamentati e le riciclano attraverso casinò online, servizi di pagamento e acquisti di beni fisici. Il denaro finisce poi in conti bancari legittimi, mascherato da attività commerciali normali.
Perché ByBit è stato un obiettivo così importante?
ByBit era uno dei pochi exchange globali con una grande quantità di asset in portafogli "cold" - considerati quasi invulnerabili. L’attacco ha dimostrato che anche i sistemi più sicuri possono essere violati se si attacca l’elemento umano. Inoltre, ByBit aveva un volume di transazioni elevato e una base di utenti internazionale, rendendolo perfetto per il riciclaggio. Il colpo non era solo per il denaro, ma per inviare un messaggio: nessun sistema è al sicuro.
Quali paesi sono più a rischio di essere usati per il riciclaggio?
I paesi più a rischio sono quelli con scarse regolamentazioni finanziarie, alta dipendenza dai servizi digitali e bassa cooperazione internazionale. Cambogia, Laos, Myanmar, alcune nazioni dell’Africa occidentale e parti della Cina meridionale sono i principali hub. In questi luoghi, i servizi di cambio cripto operano senza licenze, i casinò accettano criptovalute senza controlli e i banche locali non segnalano transazioni sospette.
Cosa possono fare le piattaforme di criptovaluta per difendersi?
Devono adottare un approccio "zero trust": verificare ogni utente, ogni transazione, ogni accesso. Devono collaborare con agenzie governative e aziende di analisi blockchain per bloccare gli indirizzi noti come legati agli hacker nordcoreani. Devono formare il personale sulle tecniche di social engineering. E soprattutto, devono smettere di fidarsi dei profili online. Un programmatore "filippino" che lavora da casa in Germania potrebbe essere un agente nordcoreano.
