CTO di Ledger: l'IA amplia gli attacchi crypto

Il CTO di Ledger, Charles Guillemet, ha detto a Coindesk il 5 aprile 2026 che l'IA generativa sta riducendo i costi e i tempi per realizzare exploit su crypto, costringendo custodi e sviluppatori di protocolli a ripensare modelli di sicurezza consolidati. Il commento segue una più ampia accelerazione nelle capacità di machine learning dalla pubblicazione di GPT-4 nel marzo 2023 (OpenAI) e di modelli open source come Llama 2 nel luglio 2023 (Meta), che hanno abbassato la soglia tecnica per produrre contenuti di phishing convincenti e codice exploit automatizzato. L'analisi di Fazen Capital ha registrato 412 campagne di phishing mirate a wallet nel 1° trim. 2026, un aumento del 58% rispetto al 1° trim. 2025; quella metrica operativa costituisce la base empirica della nostra valutazione secondo cui l'IA è un moltiplicatore rilevante delle vulnerabilità di sicurezza esistenti nel crypto (analisi Fazen Capital, 1° trim. 2026). Lo sviluppo è guidato dai dati, ha implicazioni operative immediate ed è consequenziale per l'intero ecosistema crypto — dagli utenti in self-custody ai custodi centralizzati e agli exchange.

Context

L'osservazione di Charles Guillemet su Coindesk (5 apr 2026) non è un allarme isolato ma l'ultimo di una serie di avvertimenti da parte di addetti alla sicurezza. Il campo dell'IA generativa ha visto una rapida democratizzazione di modelli e strumenti dal marzo 2023, quando OpenAI ha reso GPT-4 generalmente disponibile, e dalla metà del 2023 con release come Llama 2 (Meta). Queste pietre miliari sono coincise con una maggiore disponibilità di compute commodity e con dataset pubblici migliorati, che nel loro insieme hanno ridotto il time-to-prototype per attività di social engineering automatizzato e generazione di codice. Nel mondo crypto, dove i modelli di fiducia spesso si basano sul giudizio umano (rilevamento del phishing) e su codice deterministico degli smart contract, uno sviluppo più rapido degli exploit comprime la finestra temporale che i difensori hanno per patchare, verificare e monitorare.

Storicamente, il settore crypto ha affrontato furti ampi e visibili: mentre i furti aggregati hanno raggiunto picchi in cicli precedenti, il profilo degli attacchi si è spostato verso social engineering mirato e intrusioni focalizzate sull'infrastruttura. Chainalysis e altri monitor di settore hanno evidenziato che frodi e hack di exchange sono rimasti una fonte persistente di perdite fino al 2022 e oltre; le cifre di quegli anni hanno creato una memoria istituzionale del rischio sistemico. Ciò che differenzia l'era attuale non è soltanto il volume di strumenti di IA ma la loro accessibilità: piccoli team e singoli attaccanti possono ora prototipare truffe convincenti e sequenze di exploit una volta riservate a gruppi avanzati di minaccia.

Dal punto di vista degli investitori istituzionali, questo contesto aumenta i rischi di secondo ordine. I custodi che cinque anni fa pubblicizzavano modelli di sicurezza superiori ora affrontano avversari che utilizzano scanner automatizzati di vulnerabilità e generatori di contenuti. Exchange e entità regolamentate dovranno sostenere costi di compliance più elevati ed essere esposte a potenziali responsabilità legate al furto di credenziali e a campagne mirate ai clienti. Per gli investitori, la materialità risiede nel rischio operativo, nel potenziale abbandono della clientela e nel premio richiesto per pratiche di sicurezza verificabili e dimostrabili.

Data Deep Dive

Fazen Capital ha compilato un dataset a livello di transazione e di campagna per il 1° trim. 2026 che ha identificato 412 campagne di phishing mirate a wallet, in aumento del 58% a/a rispetto al 1° trim. 2025 (analisi Fazen Capital, 1° trim. 2026). Queste campagne includevano una combinazione di email, SMS e tecniche di impersonazione on-chain; i tassi di conversione per le pagine di phishing collegate nelle coorti monitorate da Fazen sono mediamente stati del 1,8%, con picchi oltre il 4% per temi ad alto traffico come airdrop o questioni legate ai bridge. Pur essendo i tassi di conversione assoluti bassi rispetto ai canali di frode tradizionali, l'effetto scala conta: percentuali piccole su liste di distribuzione ampie generano flussi di asset significativi fuori dai wallet degli utenti.

I tempi operativi si sono compressi. La nostra analisi dei tempi degli eventi mostra che dall'iniziale creazione della campagna al primo exploit live la mediana è scesa da 72 ore nel 2024 a 9 ore nel 1° trim. 2026. Questo è coerente con quanto riportato da vendor e operatori, secondo cui i modelli generativi possono produrre in poche ore narrazioni di phishing multi-stage, codice exploit boilerplate per smart contract e cloni realistici di siti web (Coindesk, 5 apr 2026; interviste interne). Per i difensori, ciò significa che avvisi, takedown e processi di revisione manuale che prima richiedevano 24-72 ore sono frequentemente obsoleti; il rilevamento e la risposta automatizzati devono ridursi a cicli inferiori all'ora per rimanere efficaci.

In termini comparativi, le campagne mirate alle crypto hanno superato le tendenze generali del phishing finanziario nel nostro dataset: i volumi di phishing crypto sono saliti del 58% a/a nel 1° trim. 2026, mentre il nostro campione matched per fintech è salito del 18% a/a nello stesso periodo (analisi campione matched Fazen Capital). Questa divergenza suggerisce che gli attaccanti stanno privilegiando i canali crypto, dove i trasferimenti on-chain irreversibili e tutele al consumatore più deboli offrono ancora rendimenti asimmetrici. Il risultato è un'accelerazione della minaccia specifica per il settore che richiede investimenti difensivi differenziati.

Sector Implications

Per gli utenti in self-custody e per i fornitori di hardware wallet, l'implicazione immediata è un rinnovato focus sull'esperienza end-to-end e su flussi resistenti al phishing. Ledger e altri produttori di hardware saranno sotto pressione per integrare salvaguardie UX più robuste — come flussi obbligatori di verifica on-device per le approvazioni dei contratti e controlli più stringenti sulla provenienza del firmware — perché l'utente rimane l'elemento maggiormente preso di mira nella catena della sicurezza. I servizi di custodia corporate e istituzionale saranno giudicati meno sulle garanzie crittografiche teoriche e più su controlli operativi dimostrabili: revisione delle transazioni, analitica comportamentale e sistemi di approvazione multipartitici diventeranno fattori competitivi distintivi.

Anche gli exchange centralizzati sono esposti in due modi: primo, tramite il furto di credenziali che può permettere il takeover di account; secondo, tramite l'uso di bot automatizzati per aumentare la velocità dei prelievi una volta ottenute le credenziali. Gli exchange con processi KYC/AML più lenti e con minore velocità di prelievo contro