Il 26 dicembre 2024, un gruppo di contractor stranieri cominciò a vendere i dati interni di Coinbase a criminali informatici. Per 137 giorni, questa esfiltrazione silenziosa rimase invisibile ai sistemi di sicurezza del più grande exchange di criptovalute degli Stati Uniti. Quando Coinbase scoprì la violazione, l’11 maggio 2025, erano già stati compromessi i dati personali di 69.461 clienti, con un costo stimato tra $180 milioni e $400 milioni. Non si trattava di un exploit tecnico sofisticato: era semplicemente corruzione.
Cosa è Successo: Contractor Corrotti e 69.461 Vittime
La violazione di Coinbase è anomala rispetto alla maggior parte degli attacchi agli exchange di criptovalute. Non ci sono state vulnerabilità zero-day, iniezioni SQL, o intrusioni nei sistemi core. Il vettore di attacco scelto dai criminali è stato molto più semplice e difficile da rilevare: corrompere direttamente i dipendenti.
Secondo il filing SEC presentato da Coinbase il 14 maggio 2025, un numero non specificato di contractor e dipendenti operanti in ruoli di supporto clienti al di fuori degli Stati Uniti fu contattato dai criminali con offerte di denaro in cambio di accesso ai dati interni. Questi individui, che per il loro ruolo avevano accesso legittimo ai sistemi di supporto, iniziarono a esfiltrare informazioni sui clienti verso operatori del dark web.
L’11 maggio 2025, Coinbase ricevette un’email di estorsione: i criminali rivendicavano il possesso dei dati e chiedevano $20 milioni per non pubblicarli. Fu in quel momento che la società realizzò l’entità della compromissione, quattro mesi e mezzo dopo l’inizio dell’esfiltrazione. Il 14 maggio, Coinbase presentò la notifica alla SEC. Il giorno seguente, il 15 maggio, pubblicò un comunicato ufficiale rendendo pubblica la violazione e annunciando il rifiuto di pagare il riscatto.
La Cronologia: 137 Giorni di Esfiltrazione Invisibile
La timeline della violazione Coinbase rivela un punto di debolezza critico: la latenza di rilevamento. Secondo i documenti depositati presso il procuratore generale del Maine, la violazione ebbe inizio il 26 dicembre 2024 e venne rilevata solo il 11 maggio 2025.
Questo intervallo di 137 giorni colloca Coinbase nella media preoccupante del settore finanziario: secondo il Chainalysis Crypto Crime Report, il tempo medio di permanenza degli attori malevoli nei sistemi delle organizzazioni fintech prima della scoperta supera frequentemente i 100 giorni. Ma 137 giorni di esfiltrazione incontrollata, in un ambiente che gestisce dati KYC altamente sensibili come copie di passaporti e coordinate bancarie, rappresentano un fallimento sistemico nei controlli di accesso.
Il gap tra compromissione e rilevamento è particolarmente grave perché, in questo arco di tempo, i contractor con accesso compromesso hanno potuto operare senza destare sospetti. L’accesso ai sistemi di supporto era legittimo per il loro ruolo, i volumi di query erano compatibili con l’attività normale, e nessun sistema di allarme automatico ha rilevato il pattern anomalo fino all’email di estorsione del maggio 2025.
“Un sistema di monitoraggio comportamentale adeguato avrebbe dovuto rilevare pattern anomali di accesso ai record dei clienti entro giorni, non mesi”, ha commentato Jasper van Rijn, responsabile della sicurezza informatica di una società di compliance finanziaria olandese, in un’analisi pubblicata dopo la divulgazione. “Quando un agente di supporto accede a migliaia di profili al giorno senza aprire ticket correlati, i segnali d’allarme dovrebbero scattare in automatico.”
I Dati Compromessi: Identità, Saldi e Documenti Governativi
Secondo la notifica ufficiale di Coinbase, i dati esfiltrati comprendono una combinazione particolarmente pericolosa di informazioni personali, finanziarie e documentali:
- Dati anagrafici: nome, cognome, data di nascita, indirizzo fisico completo
- Dati di contatto: indirizzo email, numero di telefono
- Dati finanziari (parzialmente mascherati): ultime 4 cifre del codice fiscale USA (SSN), numeri di conto bancario mascherati e identificativi
- Documenti di identità: immagini di documenti governativi presentati durante la procedura KYC (passaporti, carte d’identità, patenti)
- Dati di account: saldi del conto, storico delle transazioni, snapshot degli asset detenuti
- Materiali aziendali: documenti interni, materiale di formazione, comunicazioni degli agenti di supporto
Cosa NON è Stato Rubato
Coinbase ha precisato con chiarezza che la violazione non ha interessato password, chiavi private, frasi seed, né ha consentito l’accesso diretto ai fondi dei clienti. I sistemi core dell’exchange, i wallet in cold storage e le infrastrutture crittografiche sono rimasti integri. I fondi dei 69.461 clienti non sono stati sottratti direttamente, ma i dati rubati aprono scenari di frode secondaria altamente sofisticati.
La distinzione tra “fondi al sicuro” e “dati rubati” è fondamentale per comprendere il rischio reale. Avere la copia del passaporto di una persona, il suo saldo in Bitcoin, lo storico delle transazioni e il numero di telefono fornisce ai criminali tutto il necessario per costruire attacchi di impersonificazione estremamente convincenti, che nella pratica portano spesso alla perdita volontaria dei fondi da parte delle vittime.
La Tecnica del Contractor Corrotto: Come Nasce un Insider Breach
Il breach di Coinbase appartiene a una categoria di attacchi in rapida crescita nel settore fintech: le minacce interne facilitate da corruzione. A differenza delle classiche violazioni tecniche, questo tipo di attacco sfrutta i meccanismi di controllo degli accessi legittimi, rendendolo quasi invisibile ai sistemi di sicurezza tradizionali basati su firme o anomalie di rete.
I criminali hanno selezionato target specifici tra i contractor di supporto di Coinbase operanti in paesi a basso costo del lavoro, dove l’offerta di migliaia di dollari in cambio dell’accesso ai dati dei clienti rappresenta un incentivo economico enorme rispetto agli stipendi locali. Il meccanismo operativo tipico di questi attacchi prevede:
- Ricognizione: identificazione dei dipendenti con accesso ai sistemi di supporto tramite LinkedIn, forum specializzati e forum underground
- Approccio: contatto diretto via Telegram o app di messaggistica cifrata con offerte economiche presentate come “lavoro secondario”
- Esfiltrazione graduale: trasferimento lento e continuo dei dati per evitare alert volumetrici basati su soglie fisse
- Monetizzazione: vendita dei dataset nel dark web o utilizzo diretto per campagne di frode mirate
Secondo la ricercatrice di sicurezza Allison Nixon, fondatrice di Unit221B e una delle voci più autorevoli sul tema delle minacce interne nel settore crypto, “il problema fondamentale è che la maggior parte delle aziende tech si concentra sulla sicurezza perimetrale, ignorando che il vettore di attacco più efficace nel 2025 non è un exploit zero-day, ma un essere umano con accesso legittimo e motivazioni economiche”.
La Richiesta di Riscatto da $20 Milioni e il Rifiuto di Coinbase
La risposta di Coinbase alla richiesta di riscatto da $20 milioni rappresenta uno dei casi più significativi di resistenza all’estorsione nel settore crypto. Anziché cedere, l’azienda ha adottato una strategia opposta: offrire la stessa cifra, $20 milioni, come ricompensa per chi fornisse informazioni utili all’identificazione e all’arresto dei responsabili.
Brian Armstrong, CEO di Coinbase, ha dichiarato pubblicamente: “Non pagheremo il riscatto. Invece, stiamo istituendo un fondo da $20 milioni per ricompensare chiunque fornisca informazioni che portino all’arresto e alla condanna dei criminali responsabili di questo attacco.” Coinbase ha anche annunciato l’impegno a rimborsare integralmente i clienti che dimostrino perdite finanziarie dirette riconducibili alla violazione.
Questa decisione è in linea con le raccomandazioni dell’Europol, che scoraggia sistematicamente il pagamento di riscatti cyber perché alimenta l’ecosistema criminale e non garantisce la distruzione dei dati rubati. Il Dipartimento di Giustizia degli Stati Uniti ha confermato di aver avviato un’indagine federale, e Coinbase ha dichiarato piena collaborazione con le autorità. Ad oggi, non risultano arresti confermati.
Il Costo del Breach: tra $180 Milioni e $400 Milioni
Il filing SEC di Coinbase stima il costo totale dell’incidente tra $180 milioni e $400 milioni, una forbice estremamente ampia che riflette l’incertezza sulle principali voci di costo: indennizzi ai clienti per perdite dirette, spese legali per le class action già depositate, costi di remediation tecnica, eventuali sanzioni regolatorie e l’impatto sulla reputazione aziendale.
Per contestualizzare l’entità dell’impatto: Coinbase ha generato circa $6,5 miliardi di ricavi nel 2024. Un costo massimo di $400 milioni rappresenterebbe il 6,2% dei ricavi annui, una cifra significativa ma non esistenziale per un’azienda di questa dimensione. Tuttavia, la forbice ampia del costo segnala che l’esito delle class action potrebbe spostare sostanzialmente il dato finale.
Almeno una class action è già stata depositata nel Northern District of California il 15 maggio 2025, il giorno stesso della divulgazione pubblica. Gli avvocati dei ricorrenti sostengono che Coinbase abbia adottato misure di sicurezza inadeguate per il monitoraggio dei contractor e abbia tardato a notificare i clienti colpiti, violando gli obblighi di trasparenza previsti dalla normativa californiana sulla privacy (CCPA) e, potenzialmente, dal GDPR per i clienti europei.
Implicazioni GDPR per gli Utenti Europei e Italiani
La violazione Coinbase solleva interrogativi critici per gli utenti europei e italiani. Coinbase ha decine di milioni di clienti in Europa, dove opera tramite Coinbase Europe con sede a Dublino, sotto la supervisione dell’Irish Data Protection Commission (DPC) come principale autorità GDPR per il mercato europeo.
I dati rubati, che includono documenti di identità, indirizzi fisici, informazioni finanziarie e storico delle transazioni, rientrano pienamente nella categoria dei dati personali protetti dal GDPR. L’articolo 33 del regolamento impone la notifica all’autorità di controllo competente entro 72 ore dalla scoperta di una violazione dei dati personali, e l’articolo 34 richiede la comunicazione diretta agli interessati quando la violazione presenta un rischio elevato per i loro diritti e libertà.
In caso di accertata violazione del GDPR, il Garante per la Protezione dei Dati Personali italiano e le autorità di supervisione degli altri stati membri potrebbero infliggere sanzioni fino al 4% del fatturato globale annuo o €20 milioni, a seconda di quale importo risulti più elevato. Con ricavi di circa $6,5 miliardi, il 4% equivarrebbe a circa $260 milioni di potenziale esposizione sanzionatoria.
Il precedente dell’anno scorso è chiarissimo: la DPC irlandese ha inflitto a Meta sanzioni miliardarie per violazioni GDPR riguardanti le stesse tipologie di dati. Come riportato nella nostra analisi sulle sanzioni GDPR record del 2026, le autorità europee non esitano ad applicare le massime penali sui colossi digitali quando i dati personali dei cittadini UE vengono trattati con negligenza.
Confronto Storico: i Maggiori Hack Crypto 2014-2026
Per comprendere la posizione di Coinbase nella storia delle violazioni crypto, è utile confrontare questo incidente con i precedenti più significativi del settore. La differenza principale è che questa violazione non ha portato al furto diretto di fondi cripto, distinguendola dalle classiche rapine agli exchange.
| Exchange / Entità | Anno | Tipo di Attacco | Impatto Finanziario | Dati/Fondi Rubati |
|---|---|---|---|---|
| Mt. Gox | 2014 | Compromissione hot wallet | ~$450M (valore 2014) | 850.000 BTC |
| Bitfinex | 2016 | Exploit wallet multisig | ~$71M (valore 2016) | 119.756 BTC |
| Coincheck | 2018 | Hot wallet non protetto | ~$530M | 523 milioni token NEM |
| Binance | 2019 | Phishing e malware | ~$40M | 7.000 BTC + API key |
| KuCoin | 2020 | Compromissione chiave privata | ~$281M | Diversi token ERC-20 |
| Ronin / Axie Infinity | 2022 | Compromissione validatori | ~$625M | 173.600 ETH + USDC |
| Coinbase | 2024-2025 | Insider threat / corruzione contractor | $180M-$400M (stimato) | Dati personali 69.461 clienti |
La violazione Coinbase si distingue per un aspetto fondamentale: nessuna criptovaluta è stata sottratta direttamente. Il danno è misurato in costi di remediation, cause legali e perdita di fiducia, non in coin spariti. Questo la rende tecnicamente meno catastrofica di Mt. Gox o Ronin, ma simbolicamente più rilevante per l’intero settore: dimostra che i criminali hanno spostato l’attenzione dai fondi alle identità, un approccio più redditizio nel lungo termine e più difficile da rilevare.
Sicurezza degli Exchange Crypto a Confronto nel 2026
La violazione Coinbase invita a una riflessione più ampia sugli standard di sicurezza dei principali exchange crypto operativi in Europa. Di seguito un confronto basato sulle politiche di sicurezza pubblicamente dichiarate dai principali operatori al giugno 2026.
| Exchange | Cold Storage | Fondo Assicurativo | 2FA Obbligatorio | Whitelist Prelievi | Sede UE |
|---|---|---|---|---|---|
| Coinbase | ~98% degli asset | Sì (hot wallet) | Opzionale | Sì | Dublino (IE) |
| Kraken | 95%+ degli asset | Sì (limitata) | Opzionale | Sì | Dublino (IE) |
| Binance | Non divulgato | SAFU $1 miliardo | Opzionale | Sì | Parigi (FR) |
| Crypto.com | ~100% in cold | Sì, $750 milioni | Obbligatorio | Sì | Malta / Amsterdam |
| Bitstamp | ~95% | Sì | Opzionale | Sì | Lussemburgo |
Il problema evidenziato dal caso Coinbase non riguarda la percentuale di cold storage o il valore del fondo assicurativo: riguarda il controllo dei processi umani. Il 98% di cold storage non protegge i dati KYC dei clienti se un contractor con accesso ai sistemi di supporto può esportarli senza attivare alert. La sicurezza tecnica delle infrastrutture è necessaria ma non sufficiente: il vettore umano rimane il punto di vulnerabilità primario.
L’Impatto sui Clienti: Frodi, Phishing e Ingegneria Sociale
Per i 69.461 clienti colpiti, il rischio principale non è la perdita immediata di criptovalute, ma l’esposizione a campagne di frode altamente personalizzate. I criminali in possesso di nome, cognome, indirizzo, saldo del conto, storico transazioni e copia del documento di identità possono costruire attacchi di social engineering estremamente convincenti.
Gli scenari di frode più comuni già documentati dopo la divulgazione includono:
- Impersonificazione del supporto Coinbase: chiamate telefoniche in cui il truffatore conosce il saldo esatto del cliente e lo convince a trasferire fondi per “proteggere il conto da accessi non autorizzati”
- Phishing personalizzato: email che citano transazioni specifiche e saldi reali del cliente per sembrare comunicazioni legittime di Coinbase
- Furto d’identità: utilizzo delle immagini dei documenti governativi per aprire conti finanziari fraudolenti in nome della vittima
- SIM swapping: usando i numeri di telefono rubati per dirottare l’autenticazione SMS e prendere il controllo degli account
Secondo la ENISA Threat Landscape 2024, gli attacchi di ingegneria sociale che sfruttano dati rubati da violazioni precedenti sono aumentati del 58% nel 2024 rispetto all’anno precedente, e le vittime con esposizione nel settore finanziario rappresentano il target preferenziale. La combinazione di dati finanziari e documenti d’identità rubati da Coinbase offre ai criminali esattamente le informazioni necessarie per questi attacchi di precisione.
L’avvocato esterno di Coinbase, Alex Spiro, ha dichiarato che l’azienda “sta prendendo di mira aggressivamente i criminali che si spacciano per Coinbase online” e ha aggiunto che l’azienda collabora attivamente con le autorità per smantellare le operazioni di frode nate dallo sfruttamento dei dati rubati. Coinbase ha anche attivato sistemi di rilevamento automatico delle chiamate fraudolente che utilizzano i suoi dati di brand.
5 Previsioni: Come Cambierà la Sicurezza degli Exchange Crypto
Il caso Coinbase avrà ripercussioni durature sulle pratiche di sicurezza dell’intero settore degli exchange di criptovalute. Ecco cinque previsioni basate sull’analisi delle tendenze regolatorie e tecnologiche al giugno 2026.
1. Zero Trust per i Contractor Diventerà lo Standard del Settore entro il 2027
Il modello di accesso dei contractor ai sistemi di supporto cambierà radicalmente. Gli exchange adotteranno architetture Zero Trust con accesso granulare ai singoli record, sessioni monitorate in tempo reale e alert comportamentali basati su AI. Entro la fine del 2027, i regolatori finanziari richiederanno agli exchange registrati nell’UE di dimostrare standard minimi documentati per il monitoraggio del personale esterno.
2. Il Regolamento MiCA Aggiungerà Requisiti Specifici per i Dati KYC
L’Autorità Bancaria Europea (EBA), nell’ambito del quadro MiCA entrato in piena applicazione nel 2025, aggiungerà probabilmente requisiti specifici per gli audit di sicurezza dei sistemi di gestione dei dati KYC, con focus sui controlli di accesso per il personale di terze parti. La violazione Coinbase fornisce il caso d’uso perfetto per giustificare questo intervento normativo.
3. Le Indagini GDPR sugli Exchange Crypto Intensificheranno la Pressione Regolatoria
L’Irish Data Protection Commission (DPC), competente per Coinbase Europe, aprirà quasi certamente un’indagine formale nel 2026. Analogamente a quanto avvenuto con Meta e TikTok, ci aspettiamo sanzioni significative se dovessero emergere violazioni degli obblighi di notifica e protezione dei dati personali dei cittadini europei.
4. Il Mercato degli Hardware Wallet Vedrà un’Accelerazione nella Domanda
La violazione rafforzerà la narrativa “not your keys, not your coins”. Nei mesi successivi alla divulgazione, i produttori di hardware wallet come Ledger e Trezor hanno già registrato un aumento delle richieste. La consapevolezza che anche gli exchange tecnicamente sicuri possono essere vulnerabili agli attacchi insider spingerà una quota crescente di utenti verso soluzioni di custodia autonoma.
5. La Sicurezza dei Dati KYC Diventerà un Differenziatore Competitivo
Nel prossimo ciclo di mercato, gli exchange che potranno dimostrare audit indipendenti dei loro sistemi di gestione dei dati KYC, con certificazioni verificabili, avranno un vantaggio competitivo sostanziale. La fiducia nella protezione dei dati personali, non solo dei fondi, diventerà un criterio di scelta determinante per i nuovi utenti.
Cosa Devono Fare Ora gli Utenti Europei di Coinbase
Se sei un cliente di Coinbase operante in Italia o in Europa, queste sono le azioni prioritarie da intraprendere indipendentemente dal fatto che tu abbia ricevuto una notifica di violazione diretta.
- Attiva l’autenticazione a due fattori con app (TOTP), non SMS. Il SIM swapping è un rischio concreto con i numeri di telefono esposti. App come Google Authenticator o Authy sono molto più sicure degli SMS.
- Abilita la whitelist dei prelievi nelle impostazioni avanzate del tuo account: limita i prelievi esclusivamente agli indirizzi wallet che hai pre-approvato. Qualsiasi richiesta di prelievo verso indirizzi non in whitelist viene automaticamente bloccata.
- Diffida di qualsiasi chiamata o email da “supporto Coinbase” che conosce dettagli del tuo conto o chiede di spostare fondi per sicurezza: è quasi certamente un truffatore che usa i tuoi dati rubati.
- Monitora il tuo dossier creditizio presso le agenzie italiane (CRIF, CTC, Experian) per rilevare aperture fraudolente di conti a tuo nome con i tuoi documenti d’identità.
- Valuta il trasferimento dei fondi su un hardware wallet per i saldi significativi. I fondi su Coinbase sono tecnicamente al sicuro da questa violazione, ma ridurre l’esposizione agli exchange è una buona pratica indipendente.
- Segnala al Garante Privacy se ritieni che i tuoi dati personali siano stati violati e non hai ricevuto adeguata notifica nei termini previsti dal GDPR.
Copertura Correlata
Per approfondire i temi di sicurezza crypto, protezione dati e violazioni degli exchange, consulta questi articoli di shattered.io:
- Ledger vs Trezor: €79 vs €49, quale Hardware Wallet scegliere nel 2026
- GDPR 2026: €7,1 Miliardi di Sanzioni, TikTok €530M e 443 Violazioni al Giorno
- 16 Miliardi di Credenziali Esposte: il Leak più Grande della Storia
- France Titres Violata: 19 Milioni di Identità Esposte
- Violazione Odido: 6,2M Clienti Colpiti
Domande Frequenti (FAQ)
I fondi sul mio conto Coinbase sono al sicuro dopo questa violazione?
Sì. Coinbase ha confermato che la violazione non ha riguardato password, chiavi private o fondi dei clienti. I criminali non hanno accesso diretto al tuo saldo crypto. Tuttavia, i dati rubati possono essere usati per attacchi di social engineering che ti convincano a trasferire fondi volontariamente verso indirizzi controllati dai criminali.
Come faccio a sapere se sono tra i 69.461 clienti colpiti?
Coinbase ha dichiarato di aver inviato notifiche individuali a tutti i clienti i cui dati sono stati compresi nella violazione. Se non hai ricevuto alcuna comunicazione ufficiale via email, è probabile che il tuo account non sia tra quelli colpiti. Puoi comunque contattare il supporto Coinbase per richiedere conferma scritta.
Perché Coinbase ha impiegato 137 giorni per accorgersi della violazione?
L’attacco è stato condotto da personale con accesso legittimo ai sistemi: questo lo rende estremamente difficile da rilevare con i sistemi di sicurezza tradizionali. Il volume degli accessi era compatibile con il normale lavoro di supporto clienti. Solo l’analisi comportamentale avanzata, basata su AI, può rilevare pattern anomali di questo tipo in tempo reale, distinguendo tra accessi legittimi e esfiltrazione mascherata.
Coinbase è soggetta al GDPR per i clienti italiani ed europei?
Sì. Coinbase Europe è registrata a Dublino, in Irlanda, e opera sotto la supervisione dell’Irish Data Protection Commission (DPC) come principale autorità GDPR. Tuttavia, le autorità nazionali degli stati membri, incluso il Garante italiano, possono avviare procedimenti paralleli per violazioni che coinvolgano residenti nei rispettivi paesi, specialmente in caso di mancato rispetto degli obblighi di notifica.
Il principio “not your keys, not your coins” risolve il problema?
In parte. Mantenere le criptovalute su un hardware wallet elimina il rischio che i tuoi fondi vengano toccati in caso di breach di un exchange. Tuttavia, non elimina il rischio che i tuoi dati personali KYC vengano rubati, dato che li hai già forniti all’exchange durante la registrazione. La custodia autonoma protegge i fondi, non l’identità. Entrambi i rischi vanno gestiti separatamente.
Questo tipo di attacco potrebbe colpire altri exchange europei?
Sì, e probabilmente è già avvenuto su scala minore senza essere reso pubblico. Gli attacchi insider sono difficili da rilevare e ancor più difficili da ammettere pubblicamente per le implicazioni reputazionali e legali. La divulgazione di Coinbase, obbligata dalla normativa SEC, è un atto di trasparenza che molti attori europei del settore, non soggetti agli stessi obblighi di disclosure statunitensi, non avrebbero necessariamente replicato.
Quanto può ammontare la multa GDPR per Coinbase?
Teoricamente, fino al 4% del fatturato globale annuo, che con ricavi intorno a $6,5 miliardi equivarrebbe a circa $260 milioni. Nella pratica, le autorità europee considerano fattori attenuanti come la cooperazione con le autorità, le misure correttive adottate e la notifica tempestiva agli interessati. Il precedente TikTok (€530M nel 2025) e le sanzioni GDPR record del 2026 dimostrano che le autorità UE non esitano a irrogare penali significative su piattaforme digitali globali quando la negligenza è dimostrata.
