I criminali informatici stanno approfittando del periodo delle dichiarazioni dei redditi per ingannare i possessori di criptovalute e farsi rivelare le frasi di recupero dei loro portafogli, creando falsi siti web governativi.
Sono in corso campagne di phishing in molti paesi. I ricercatori di Kaspersky hanno scoperto siti falsi che imitavano gli uffici delle imposte in Germania, Francia, Austria, Svizzera, Brasile, Cile e Colombia.
I sistemi tedeschi e francesi sono aggressivi. Gli hacker dicono ai possessori di criptovalute che le normative UE li obbligano a "verificare" le proprie partecipazioni, pena multe fino a 1 milione di euro.
Falsi portali fiscali richiedono frasi di recupero per portafogli di criptovalute
Gli attacchi che prendono di mira le criptovalute seguono uno schema ricorrente. Le vittime finiscono su siti che imitano siti fiscali legittimi, come il portale ELSTER tedesco o un falso "Portale di conformità fiscale per le criptovalute" che riproduce il Ministero dell'Economia e delle Finanze francese.
I siti informano gli utenti che i loro guadagni in criptovalute sono esenti da tasse, ma solo dopo aver completato un processo di "verifica".
Al termine di tale processo, alla vittima viene richiesta la frase di recupero, ovvero la chiave che le conferisce il pieno controllo del portafoglio di criptovalute.
Kaspersky afferma che il falso sito tedesco è rivolto agli utenti di Ledger, Trezor, Trust Wallet, MetaMask, Phantom, Coinbase e altri noti servizi di portafoglio.
La versione francese tenta inoltre di svuotare gli account su MetaMask, Binance, Coinbase, Trust Wallet e WalletConnect.
Questi siti minacciano azioni legali se gli utenti non si conformano alla richiesta. Questo è un modo per aggirare l'istinto di sicurezza di base che suggerisce di non condividere mai la frase di recupero.
I possessori di criptovalute non sono gli unici bersagli.
Kaspersky ha scoperto un numero maggiore di siti di phishing negli stessi paesi che rubavano informazioni personali ai contribuenti. Un sito fasullo in Cile prometteva un rimborso fiscale di circa 375 dollari, ma poi prelevava i soldi direttamente dalla carta di credito della vittima.
In Colombia, falsi siti web governativi hanno indotto le persone a scaricare file ZIP protetti da password, installando malware sui loro dispositivi.
Una campagna francese, fingendosi un ispettore fiscale, ha inviato un PDF contenente malware al posto di un documento ufficiale, avvertendo le persone di dichiarazioni dei redditi incomplete.
In Brasile, i truffatori creano siti web che promettono di aiutare le persone a compilare la dichiarazione dei redditi a pagamento. Raccolgono quindi nomi, numeri di telefono, indirizzi, date di nascita, indirizzi email e codicident(TIN).
Kaspersky ha affermato che fornire un TIN (Tax Identification Number) rende le vittime vulnerabili a false richieste di prestito, account governativi violati e altri attacchi di ingegneria sociale.
Un contesto di minacce in crescita per i possessori di criptovalute
Le truffe di phishing fiscale espongono i possessori di criptovalute a pericoli da più fronti.
Nel gennaio 2026, l'applicazione francese per la tassazione delle criptovalute Waltio ha rivelato che gli hacker del gruppo "Shiny Hunters" avevano affermato di aver rubato dati personali a circa 50.000 utenti, secondo Cryptopolitanda quanto riportato all'epoca
Waltio, che aiuta gli utenti a calcolare le plusvalenze ai fini fiscali, ha affermato che le informazioni rubate includevano indirizzi email e dati sui saldi in criptovalute. La Francia ha assistito a una serie di rapimenti e furti in abitazione legati alle criptovalute negli ultimi mesi, in parte dovuti alla fuga di notizie riguardanti i detentori di criptovalute.
Nell'aprile del 2026, il Global Research and Analysis Team (GReAT) di Kaspersky ha segnalato la presenza di un nuovo trojan di accesso remoto chiamato CrystalX, venduto come servizio in abbonamento su Telegram, dotato di funzionalità di monitoraggio degli appunti. Gli hacker utilizzano queste funzionalità per intercettare gli indirizzi dei portafogli digitali copiati e sostituirli con indirizzi controllati dall'attaccante.
Il malware ruba anche le password dei browser, di Steam, Discord e Telegram, consentendo agli hacker di controllare i dispositivi infetti da qualsiasi luogo.
Una vera autorità fiscale non richiederà mai la frase di recupero di una criptovaluta. Non esistono portali di "verifica del portafoglio" per le agenzie governative e le normative UE non richiedono frasi di recupero per le criptovalute per nessun motivo.
È sconsigliabile scaricare file da email che affermano di provenire da funzionari fiscali. Inoltre, è opportuno considerare, per principio, una truffa qualsiasi sito che prometta guadagni in criptovalute esentasse.
