Corea del Nord e criptovalute: la guerra invisibile di Pyongyang

La Corea del Nord ha progressivamente costruito una vera e propria “economia parallela digitale”, trasformando il cyberspazio in una leva strategica capace di aggirare vincoli geopolitici, sanzioni e isolamento internazionale. Non si tratta più di episodi isolati di hacking, ma di un modello strutturato, sofisticato e adattivo di sfruttamento delle tecnologie informatiche per l’acquisizione di risorse finanziarie. Il risultato è un cambiamento profondo: la sicurezza internazionale non si gioca più soltanto in terra, mare e aria, ma anche nello spazio digitale fatto di reti informatiche, protocolli crittografici e registri distribuiti. Come ha rilevato anche il recente rapporto del gruppo di lavoro ONU sulla sicurezza delle tecnologie informatiche: “i furti di criptovalute e il loro utilizzo per finanziare attività illecite costituiscono una potenziale minaccia per la pace e per la sicurezza internazionale” (ONU 2025).

La guerra invisibile del cyberspazio

Negli ultimi anni, gruppi riconducibili al regime di Pyongyang – in particolare il Lazarus Group – hanno sviluppato capacità operative comparabili a quelle di attori statali avanzati. Da quando, ormai dieci anni fa, la Corea del Nord è stata colpita da sanzioni internazionali e isolata dai circuiti finanziari tradizionali, gli attacchi sono diventati sempre più sofisticati, combinando tecniche di social engineering, intelligenza artificiale, sfruttamento di vulnerabilità software e infiltrazioni nelle supply chain digitali.
Gli obiettivi sono selezionati con precisione: exchange di criptovalute, protocolli di finanza decentralizzata (DeFi), piattaforme fintech. Non si tratta solo di sottrarre risorse, ma di sfruttare le fragilità strutturali di un ecosistema ancora in evoluzione. In questo contesto, il cyberspazio agisce come un moltiplicatore di potenza per uno Stato che, sul piano economico tradizionale, rimane fortemente limitato e vincolato.

Un’economia criminale ad alta tecnologia

Le evidenze quantitative rafforzano questa lettura. Tra il 2022 e il 2025, le attività riconducibili alla Corea del Nord hanno generato oltre 6 miliardi di dollari in criptovalute sottratte, con una dinamica particolarmente significativa.
Tra il 2022 e il 2024 si osserva una stabilizzazione attorno a una soglia di circa 1,3 miliardi di dollari annui, segnale di una capacità operativa ormai strutturata. Nel 2025 si registra invece un salto oltre i 2 miliardi, con un incremento di circa il 51% rispetto all’anno precedente. Questo andamento suggerisce che non si è di fronte a una sequenza di attacchi episodici, ma a una vera e propria capacità industriale di estrazione di valore, stabile nel tempo e progressivamente scalabile.
Il furto di criptovalute frutta alla Corea del Nord un flusso di proventi dall’estero cinque volte maggiore delle sue esportazioni e rappresenta una quota rilevante del PIL nordcoreano, superiore al 12%; si potrebbe dire che costituisce ormai la sua industria più importante e fiorente.

L’ultimo e più spettacolare furto risale a febbraio 2025, quando un gruppo di hacker nordcoreani ha sottratto in un solo colpo grosso 1,5 miliardi di dollari in token ether (ETH) a Bybit, il secondo mercato di criptovalute al mondo.

Tuttavia, l’elemento più critico non è il furto in sé, ma la fase successiva di trasformazione e reintegrazione dei fondi. Infatti, l’architettura informatica che sottende le criptovalute, ossia la c.d. blockchain o tecnologia a registri distribuiti, consente di tracciare ogni singola transazione. È vero che il trasferimento di fondi può avvenire direttamente senza il ricorso a intermediari e che il mittente e il destinatario sono coperti da pseudonimi; tuttavia, in più di un’occasione le autorità giudiziarie sono riuscite a risalire alle identità dei titolari di fondo proprio seguendo le tracce di una catena di pagamenti successivi.

Per questo motivo, le risorse sottratte devono essere sottoposte a strumenti di riciclaggio altamente sofisticati, volti a mascherare la provenienza delle risorse finanziarie e a consentirne la re-immissione nei circuiti dell’economia legale: mixer, bridge cross-chain, piattaforme decentralizzate e frammentazione delle transazioni in sequenze difficilmente ricostruibili.
Un aspetto tecnico particolarmente rilevante è il ricorso sistematico al chain-hopping, ovvero il trasferimento rapido di asset tra diverse blockchain (Ethereum, Bitcoin, Tron e layer secondari), combinato con l’uso di liquidity pool o di criptovalute ad anonimato potenziato (le c.d. privacy coins). Questo processo rompe la continuità della tracciabilità e sfrutta le differenze nei livelli di regolamentazione e monitoraggio tra le varie reti.
A ciò si aggiunge l’utilizzo di prestanome, broker OTC (over-the-counter) e piattaforme con requisiti di identificazione deboli o assenti, spesso situate in giurisdizioni opache, che consentono la conversione in asset più stabili e da ultimo, magari dopo un periodo di “dormienza”, in valuta legale.
Si configura così una vera e propria filiera del riciclaggio digitale, che non solo replica, ma in alcuni casi supera la complessità dei sistemi tradizionali.
Questo fenomeno non è circoscritto a contesti statali ostili. Anche in Europa, e in Italia in particolare, emergono evidenze dell’utilizzo delle criptovalute da parte della criminalità organizzata per attività di riciclaggio, pagamento di servizi illeciti e trasferimento transnazionale di valore. Le organizzazioni criminali stanno progressivamente integrando strumenti digitali nei propri modelli operativi, sviluppando strutture ibride che combinano economia illegale tradizionale e innovazione tecnologica.

Bypassare le sanzioni: una crisi del paradigma tradizionale

Per decenni, le sanzioni economiche hanno rappresentato uno degli strumenti principali per contenere regimi ostili. Il loro funzionamento si basa sul controllo dei nodi centrali del sistema finanziario: banche, sistemi di pagamento, clearing internazionali.
Le criptovalute introducono una discontinuità strutturale. Operando su infrastrutture decentralizzate, non richiedono l’accesso al sistema bancario tradizionale, non dipendono da intermediari centralizzati e non sono facilmente bloccabili.
Ne deriva una asimmetria crescente: gli Stati mantengono il controllo sui punti di accesso alla finanza tradizionale, ma non sui protocolli decentralizzati. Di conseguenza, l’efficacia delle sanzioni si riduce, intervenendo spesso solo nella fase finale di conversione, quando i fondi sono già stati ampiamente “ripuliti”.

Dal cybercrime alla capacità militare

Un ulteriore elemento critico riguarda la destinazione delle risorse. Diverse analisi indicano che una quota significativa dei fondi sottratti viene reinvestita nello sviluppo dei programmi missilistici e nucleari nordcoreani.
Si crea così un collegamento diretto tra attività cybercriminali e capacità militare strategica. Il cyberspazio non è più soltanto un dominio operativo, ma una fonte di finanziamento per il rafforzamento di arsenali militari. Questo introduce una nuova dimensione del rischio, in cui vulnerabilità tecnologiche si traducono in implicazioni geopolitiche concrete.

Un rischio sistemico per la finanza globale

Il caso nordcoreano rappresenta un segnale anticipatore di dinamiche più ampie. L’ecosistema delle criptovalute, nato come infrastruttura per l’innovazione finanziaria, può essere utilizzato anche come strumento geopolitico.
Il rischio è duplice. Da un lato, la crescente sofisticazione degli attacchi mina la fiducia nei mercati digitali. Dall’altro, l’interconnessione crescente tra finanza tradizionale e finanza decentralizzata, attraverso exchange, stablecoin e prodotti ibridi, crea canali attraverso cui capitali illeciti possono transitare tra i due sistemi.
In questo senso, la vulnerabilità dell’ecosistema delle criptovalute può trasmettersi, per contagio, all’intero sistema finanziario globale.

Rischi per l’Italia e per il sistema europeo

Per l’Italia, il fenomeno si inserisce in un contesto già caratterizzato da vulnerabilità strutturali. L’elevata presenza di piccole e medie imprese, la complessità delle filiere e la storica presenza di organizzazioni criminali rendono il sistema particolarmente esposto. Le criptovalute offrono nuovi strumenti per il riciclaggio e il reinvestimento di capitali illeciti nell’economia reale, con effetti distorsivi sulla concorrenza e sull’allocazione delle risorse. Le mafie, in particolare, stanno integrando progressivamente questi strumenti nei propri modelli operativi, aumentando resilienza e capacità di operare su scala globale.
A livello europeo, il rischio riguarda la crescente esposizione degli intermediari finanziari a flussi di origine incerta, nonostante l’adozione di sistemi avanzati di antiriciclaggio. La natura decentrata e transnazionale delle transazioni crypto rende più complessa l’identificazione delle origini dei fondi, più frammentato il quadro normativo di riferimento e più difficile il coordinamento delle autorità giudiziarie e di polizia.
Vi è infine una dimensione strategica: la possibilità che attori ostili utilizzino questi strumenti per finanziare attività destabilizzanti introduce un legame diretto tra finanza e sicurezza nazionale.

Guerra cognitiva e finanziamento delle narrazioni

Un ulteriore livello, ancora poco analizzato, riguarda la relazione tra finanza digitale e guerra cognitiva.
Le risorse generate attraverso circuiti opachi possono essere impiegate per finanziare ecosistemi informativi orientati all’influenza. Attraverso una rete articolata di piattaforme digitali, media non trasparenti, account automatizzati e campagne coordinate, capitali difficilmente tracciabili possono essere convertiti in flussi informativi capaci di modellare opinioni e percezioni.
Si configura così una vera e propria catena del valore della narrativa: finanziamento, distribuzione, amplificazione, legittimazione. L’efficacia di una campagna di disinformazione è oggi amplificata dalla possibilità di incrementarne la diffusione attraverso pagamenti in criptovaluta a reti di troll o a bot farms che provvedono al rilancio dei messaggi attraverso attori umani o robotizzati. Questo rende più complesso distinguere tra dinamiche spontanee e operazioni deliberate di influenza.
Per Paesi come l’Italia, caratterizzati da un sistema informativo aperto e pluralistico, ciò rappresenta un rischio specifico. La permeabilità dello spazio informativo, combinata con l’opacità dei flussi finanziari, può facilitare l’ingresso di narrazioni funzionali a interessi esterni.

Una nuova agenda per Stati e istituzioni

Di fronte a questo scenario, emerge la necessità di un approccio integrato.
Non è sufficiente intervenire sul piano tecnologico o repressivo. Tre direttrici appaiono centrali: l’evoluzione della regolamentazione dei mercati crypto, il rafforzamento della cooperazione internazionale in ambito cyber e lo sviluppo di capacità avanzate di monitoraggio delle transazioni decentralizzate.
Ma il cambiamento più rilevante è di natura concettuale perché la distinzione tra finanza e sicurezza è ormai superata.
Le criptovalute rappresentano una nuova infrastruttura strategica, capace di influenzare equilibri economici, militari e informativi.
In questo contesto emerge una contraddizione sempre più evidente. Da un lato, molti Stati occidentali incontrano ancora difficoltà anche nelle attività più basilari di accesso forense ai wallet digitali, spesso impossibilitati a recuperare fondi senza le chiavi private o a ricostruire in tempi rapidi la titolarità effettiva degli asset. Dall’altro, attori come la Corea del Nord dimostrano una capacità operativa avanzata, in grado non solo di violare sistemi complessi, ma di muoversi con agilità all’interno di ecosistemi multi-chain, sfruttando vulnerabilità tecnologiche, regolatorie e operative.

Questo squilibrio suggerisce che il vantaggio non sia soltanto tecnico, ma organizzativo e strategico. La crescente sofisticazione delle operazioni, la continuità dei flussi e la capacità di scalare il modello nel tempo indicano che non si è più di fronte a iniziative isolate. Al contrario, si intravede una possibile logica di specializzazione e coordinamento tra attori statali, in cui competenze cyber, capacità finanziarie e obiettivi geopolitici convergono.
In questo quadro, il blocco composto da Russia, Cina e Corea del Nord potrebbe non agire necessariamente come un’alleanza formalizzata, ma come un ecosistema convergente, in cui ciascun attore sviluppa vantaggi comparati in specifiche aree: infrastrutture tecnologiche, capacità offensive cyber, resilienza finanziaria alternativa, controllo delle catene informative.
Il rischio, per le democrazie occidentali, è quello di trovarsi di fronte non a singole minacce, ma a un sistema integrato, capace di operare simultaneamente sul piano finanziario, tecnologico e cognitivo.
La questione, quindi, non è più soltanto come regolamentare le criptovalute o contrastare il cybercrime.
È comprendere se l’architettura attuale degli Stati sia adeguata ad affrontare un contesto in cui il potere si costruisce attraverso reti distribuite, competenze altamente specializzate e forme di coordinamento non convenzionali.
In un mondo governato in misura crescente dai rapporti di forza anziché dalla legalità, un fronte sempre più decisivo passa fra chi ancora fatica ad aprire un wallet e chi lo utilizza sistematicamente per finanziare programmi strategici nucleari.