L'11 aprile 2026 hacker hanno rubato 3,6 milioni USD (3,3 milioni EUR, tasso ECB 1 USD=0,92 EUR) dai ATM crypto di Bitcoin Depot negli USA. L'azienda gestisce oltre 6.000 chioschi pubblici e ha confermato l'incidente.
Le operazioni continuano senza interruzioni, ma i sistemi colpiti restano isolati. L'evento evidenzia rischi sistemici nei dispositivi crypto.
Dettagli tecnici dell'attacco
I criminali hanno sfruttato una vulnerabilità zero-day nel software Android 11 modificato dei chioschi. Hanno iniettato malware via connessione remota e trasferito fondi da hot wallet aziendali per 3,6 milioni USD, secondo il report Bitcoin Depot del 12 aprile 2026.
Bitcoin Depot ha ingaggiato Mandiant per tracciare i fondi su blockchain Bitcoin ed Ethereum. Audit preliminari escludono compromissioni di dati utente.
Vulnerabilità e contesto regolatorio UE
I chioschi crypto presentano rischi elevati: malware da schermi touch, phishing su Wi-Fi pubblici e API esposte. Bitcoin Depot ha applicato un update firmware OTA entro 24 ore.
La Direttiva DORA (2025) impone test penetrazione annuali e piani continuità per entità digitali. Per italiani, CONSOB richiede compliance MiCA e certificazioni CE sui chioschi. AgID guida la sicurezza di dispositivi pubblici connessi.
Impatto sul mercato crypto
Al 11 aprile 2026 ore 18:00 CET, Fear & Greed Index (alternative.me) indica 15 (Extreme Fear). Bitcoin quota 73.014 USD (+1,4% daily), Ethereum 2.248,35 USD (+2,7%), Solana 132,45 USD (+0,9%), USDT a 1,00 USD.
Volume globale CoinMarketCap: 85 miliardi USD (-5%). Il mercato mantiene stabilità, senza cali oltre 3%. Investitori seguono contromisure Bitcoin Depot e indagini SEC.
In Italia, Young Platform rileva +12% traffico post-incidente (dati interni).
Lezioni di sicurezza per utenti italiani
Usate wallet hardware: Ledger Nano X (149 EUR, Amazon.it, BIP39) o Trezor Model T (179 EUR). Evitate hot wallet su chioschi; preferite cold storage.
Attivate 2FA con Authy o Google Authenticator. Per ATM crypto, verificate QR code offline e usate VPN come ExpressVPN (8,32 EUR/mese, no-log).
Piattaforme italiane: Young Platform (Milano, assicurazione 250.000 EUR, fee 0,99 EUR) o The Crypto Gateway (CONSOB). Binance Italia con KYC avanzato.
Aggiornate app e chioschi; scansionate con Bitdefender Mobile (14,99 EUR/anno, 99,9% rilevamento malware Android).
Casi simili e strategie di prevenzione
Nel 2025, un ATM londinese perse 500.000 GBP (~590.000 EUR, tasso BoE) per trojan (Metropolitan Police). In Italia, Guardia di Finanza sequestrò chioschi non compliant a Milano e Roma (Q1 2026).
Sviluppatori adottino zero-trust, audit Deloitte Cyber e crittografia end-to-end. GDPR art. 33 impone notifica breach entro 72 ore alla Garante, multe al 4% fatturato.
Alternative: Electrum (Lightning Network, fee <0,01 EUR) o MetaMask hardware. Satispay integra crypto con SEPA IBAN.
Prospettive future
Il cyberattacco Bitcoin Depot espone debolezze nei chioschi crypto. UE rafforza MiCA phase 2 per ATM transfrontalieri. Italiani scelgano piattaforme compliant per ridurre rischi.
Monitorate Bitcoin Depot e diversificate su asset regolamentati.
Alessandro Ricci, esperto software per Adattatore Portatile.
