Quando un attaccante riesce a monetizzare un furto, che si tratti di ransomware, SIM swap, phishing o di un malware che svuota wallet e password salvate nel browser, il vero problema non è incassare. Il punto critico è un altro: staccare il prima possibile il legame tra l’indirizzo che ha ricevuto i fondi rubati e l’indirizzo che un domani proverà a convertirli in denaro reale.
Sembra banale, ma non lo è affatto. Le blockchain sono archivi pubblici e permanenti, e ogni transazione racconta una storia che gli analisti possono, con il tempo e gli strumenti giusti, ricostruire. È qui che entrano in gioco i mixer, servizi progettati per rendere fragile, quando non puramente probabilistico, il collegamento tra input e output.
Negli ultimi anni le autorità li hanno identificati come un nodo strategico dell’economia criminale: non perché “creino” denaro sporco, ma perché rendono più difficile dimostrarne la provenienza e più semplice portarlo alla fase finale della conversione in valore spendibile.
Ma che cos’è davvero un mixer?
Al netto delle etichette, un mixer è un servizio che prende criptovalute in input, le mescola in un grande contenitore insieme a quelle di altre persone, e poi restituisce fondi che, almeno idealmente, non possono essere collegati alle monete originali.
Non esiste un solo modello. In realtà il mondo si divide in due grandi famiglie, con filosofie opposte.
I mixer custodial: fidati (a tuo rischio) del gestore
Sono i più vecchi e, paradossalmente, ancora i più usati dai criminali meno sofisticati. Il funzionamento è semplice: invii i fondi al servizio, che li mescola in un grande “serbatoio” comune e ti restituisce le criptovalute “ripulite” su uno o più indirizzi che hai indicato in precedenza.
Il problema è evidente: devi fidarti dell’operatore. Se l’infrastruttura viene sequestrata, o se qualcuno conserva log che non dovrebbe conservare, la “privacy” promessa può crollare in pochi minuti.
I mixer non‑custodial: la privacy diventa un protocollo
La seconda categoria nasce proprio per eliminare questa dinamica di fiducia. Qui non c’è un gestore centrale: è tutto governato da smart contract e crittografia.
L’utente deposita fondi lasciando un commitment crittografico (una sorta di impegno registrato sulla blockchain), e in un momento successivo li preleva dimostrando — tramite una prova crittografica — di averne diritto senza rivelare quale deposito stia effettivamente spendendo.
Dal punto di vista tecnico è molto elegante, ma non è magia: restano rischi di correlazione, errori operativi e soprattutto punti di uscita regolamentati come exchange e broker.
Come avviene davvero l’offuscamento
I mixer non cancellano le tracce: cambiano la forma del grafo delle transazioni.
Invece di una catena lineare A → B → C, costruiscono un reticolo dove la connessione tra input e output diventa probabilistica e mai del tutto certa.
Il cuore dell’offuscamento sta in quattro concetti:
- Pooling: tutti i fondi finiscono in un unico contenitore, dal quale escono con tempi e importi variabili.
- Spezzettamento: entrate e uscite non coincidono mai in modo chiaro; spesso si lavora su “denominazioni” standard proprio per confondere le acque.
- Ritardi e batching: i fondi non vengono restituiti subito, ma dopo ore o giorni e spesso in tranche multiple.
- CoinJoin (nel mondo Bitcoin): più utenti creano insieme una transazione con molti input e molti output. Un osservatore esterno faticherebbe a capire chi ha finanziato cosa.
Nei sistemi più avanzati entrano in gioco le prove a conoscenza zero (ZK), che permettono di dimostrare diritti di prelievo senza rivelare nulla del deposito collegato. È un enorme passo avanti, ma non perfetto: restano metadati esterni, tempistiche, errori umani, abitudini riconoscibili del criminale stesso.
Perché i criminali li usano
Una cosa che si capisce solo osservando i casi reali è che nessuno usa un mixer per diventare invisibile. L’obiettivo, molto più pragmatico, è creare incertezza.
Incertezza sul legame tra fondi rubati e fondi reintrodotti.
Incertezza sulle timeline.
Incertezza sul valore da bloccare durante un’operazione di sequestro.
È una pipeline, non un singolo passaggio: offuscamento on‑chain, chain‑hopping tra diverse blockchain tramite swap o bridge, frammentazione su decine di indirizzi, ricomposizione finale e poi, quando i rischi sembrano ridotti, l’uscita verso exchange, broker OTC, servizi di pagamento o mule finanziari.
Il mixer è solo un tratto del percorso, quello che serve a sciogliere la connessione più compromettente: quella tra l’indirizzo del furto e l’indirizzo del cash‑out.
Come si può ricostruire la traccia
Chi si occupa di analisi blockchain lo ripete sempre: “mixer = invisibilità” è marketing.
Le indagini funzionano ancora, ma cambiano forma.
Non si lavora più su certezze deterministiche, bensì su attribuzioni probabilistiche basate su un mosaico di indizi: clustering di indirizzi, pattern di consolidamento, riaggregazioni sospette, finestre temporali, intelligence su wallet ricorrenti, e soprattutto osservazione dei punti di cash‑out, dove le criptovalute incontrano normative, controlli e identità reali.
Implicazioni per le aziende
Per un’azienda, studiare i mixer non è un esercizio accademico: è capire che la capacità dei criminali di riciclare i fondi alimenta la sostenibilità economica del ransomware e di tutto il mondo basato sul furto di credenziali.
Le difese più efficaci non consistono nel “inseguire il mixer del mese”, ma nel ridurre la probabilità che gli attaccanti arrivino allo stadio della monetizzazione:
- prevenzione dell’accesso iniziale (MFA robusta, hardening, patching, least privilege),
- difese contro esfiltrazione e movimento laterale (controllo egress, rilevamento tool, segmentazione),
- incident response rapida per interrompere la monetizzazione,
- collaborazione con Threat Intelligence e provider per intercettare i passaggi verso il cash-out.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
