Controversie legate alle criptovalute: Furti e hack di portafogli digitali
Il mercato delle criptovalute conosce una crescita fulminante, ma questa espansione è accompagnata da un aumento significativo delle controversie riguardanti i furti e le intrusioni informatiche di portafogli digitali. In Svizzera, giurisdizione riconosciuta per il suo quadro regolamentare favorevole agli attivi digitali, questi contenziosi rappresentano una sfida maggiore per i detentori di criptoattivi. Il nostro studio legale accompagna le persone lese nel recupero dei loro attivi digitali e nella difesa dei loro interessi, basandosi sulle specificità del diritto svizzero e sulla sua applicazione alle tecnologie blockchain.
Tipologie di attacchi e qualificazioni penali svizzere
La tabella seguente presenta i principali metodi di furto di criptovalute e la loro qualificazione nel diritto svizzero:
| Tipo di attacco | Descrizione | Qualificazione penale (CP) | Responsabilità civile possibile |
|---|---|---|---|
| Phishing / falso sito exchange | Imitazione di un servizio legittimo per sottrarre le chiavi private o le credenziali | Art. 146 CP (truffa), art. 143 CP | Autore; exchange in caso di negligenza nella notifica |
| SIM swapping | Presa di controllo del numero di telefono per aggirare il 2FA | Art. 146 CP, art. 143bis CP | Autore + operatore telefonico (art. 41 CO) |
| Hack di exchange (falla server) | Sfruttamento di vulnerabilità della piattaforma per accedere ai wallet hot | Art. 143bis CP, art. 144bis CP | Exchange (art. 97 CO — mancanza sicurezza) |
| Malware / keylogger | Software malevolo che intercetta le chiavi private o le seed phrase | Art. 143 CP, art. 144bis CP | Autore identificato |
| Smart contract exploit | Sfruttamento di falle nel codice di un contratto intelligente (DeFi) | Art. 143bis CP secondo le circostanze | Sviluppatori / auditor (responsabilità professionale) |
| Insider theft (furto interno) | Appropriazione indebita da parte di un dipendente o amministratore con accesso alle chiavi | Art. 138 CP (abuso di fiducia), art. 158 CP | Datore di lavoro (art. 55 CO) + autore |
Quadro giuridico svizzero applicabile ai furti di criptovalute
Il diritto svizzero offre un ambiente particolarmente propizio al trattamento delle controversie legate alle criptovalute. Per le questioni di furto o intrusione, il diritto penale svizzero si applica pienamente:
- Art. 143 CP: sottrazione di dati (pena detentiva fino a 5 anni)
- Art. 143bis CP: accesso indebito a un sistema informatico
- Art. 144bis CP: danneggiamento di dati
- Art. 146 CP: truffa (se inganno astuto)
Sul piano civile, il Codice delle obbligazioni permette di impegnare la responsabilità contrattuale dei fornitori di servizi (art. 97 CO) in caso di mancanza ai loro obblighi di sicurezza, nonché la responsabilità extracontrattuale (art. 41 CO) contro gli autori identificati degli attacchi.
Strategie di recupero degli attivi rubati
Il recupero delle criptovalute rubate richiede un'azione rapida che combina analisi tecnica e misure giuridiche:
Tracciamento delle transazioni sulla blockchain
La natura trasparente di molte blockchain permette di seguire il percorso degli attivi rubati grazie a strumenti di analisi forense specializzati (Chainalysis, Elliptic, ecc.). Questa tracciabilità costituisce un atout maggiore nelle procedure giudiziarie. Quando le criptovalute rubate transitano per piattaforme di scambio centralizzate soggette alle normative KYC, l'identificazione degli autori diventa possibile.
Misure cautelari e sequestro
Il diritto svizzero permette di ottenere rapidamente misure per bloccare gli attivi digitali identificati:
- Sequestro penale (art. 263 CPP): blocco dei valori patrimoniali dall'apertura di un'istruzione penale
- Misure superprovvisionali (art. 261 segg. CPC): decisione urgente senza previa audizione della controparte
- Richiesta di blocco rivolta direttamente agli exchange identificati come destinatari
- Notifica alle autorità: MROS (Money Laundering Reporting Office Switzerland), fedpol, unità di cybercriminalità cantonali
Responsabilità degli exchange e dei fornitori di servizi
Le piattaforme di scambio che operano in Svizzera sotto la regolamentazione FINMA sono tenute a standard elevati in materia di cybersicurezza. La loro responsabilità può essere impegnata su diverse basi:
- Responsabilità contrattuale (art. 97 segg. CO): mancanza agli obblighi di diligenza e di sicurezza previsti nelle condizioni generali
- Responsabilità extracontrattuale (art. 41 CO): negligenza nell'implementazione di misure di sicurezza adeguate
- Responsabilità per gli ausiliari (art. 101 CO): disfunzioni imputabili al personale o ai subappaltatori
Domande frequenti sui furti e hack di crypto in Svizzera
Quali articoli del Codice penale svizzero si applicano al furto di criptovalute?
Diverse disposizioni si applicano a seconda dei fatti: art. 143 CP (sottrazione di dati), art. 143bis CP (accesso indebito a un sistema informatico), art. 144bis CP (danneggiamento di dati), art. 139 CP (furto, se appropriazione fisica di un supporto), art. 146 CP (truffa, se inganno). Il diritto penale svizzero offre basi solide, ma la difficoltà risiede nell'identificazione degli autori spesso localizzati all'estero.
Come provare la proprietà di criptovalute rubate per un'azione in giudizio?
La proprietà si stabilisce tramite: lo storico delle transazioni di acquisizione (estratti di exchange, conferme bancarie), il possesso delle chiavi private (seed phrase, file di portafoglio) prima del furto, gli indirizzi blockchain associati al conto verificato (KYC) presso un exchange. L'analisi forense della blockchain può corroborare questi elementi. In caso di furto tramite phishing, le comunicazioni (email, SMS) costituiscono prove complementari essenziali.
Un exchange può essere ritenuto responsabile di un hack del conto utente?
Sì, se il furto risulta da una falla di sicurezza della piattaforma (piuttosto che da un comportamento imprudente dell'utente). La responsabilità contrattuale (art. 97 CO) e quella extracontrattuale (art. 41 CO) possono essere impegnate. Gli exchange svizzeri regolamentati dalla FINMA sono tenuti a standard di sicurezza elevati. Una mancanza rispetto a questi standard (autenticazione insufficiente, assenza di cifratura, ecc.) costituisce un elemento probatorio forte.
È possibile recuperare criptovalute rubate se sono state inviate verso un exchange straniero?
È possibile ma complesso. Richiede: (1) un'analisi blockchain per identificare l'exchange di destinazione, (2) una domanda di assistenza giudiziaria internazionale tramite le convenzioni CEAG o MLAT, (3) la cooperazione dell'exchange straniero (più facile se regolamentato: Coinbase, Kraken, ecc.). La rapidità d'azione è determinante: se i fondi sono ancora sull'exchange prima di essere ritrasferiti, un blocco è possibile.
Il SIM swapping è un reato penale in Svizzera?
Sì. Il SIM swapping (presa di controllo fraudolenta di un numero di telefono per aggirare l'autenticazione a due fattori) costituisce una truffa (art. 146 CP) o un accesso indebito a un sistema informatico (art. 143bis CP). L'operatore telefonico può anch'esso vedere impegnata la sua responsabilità civile (art. 41 CO) se ha proceduto al trasferimento del numero senza la dovuta diligenza.