«Una piattaforma blockchain a Panama? È un'interessante investimento. Ci servirebbe, per spostare i bitcoin», la frase risale a qualche tempo fa. A pronunciarla, prima che finisse in carcere, è Giuseppe Romeo, alias U Maluferru, superlatitante, membro di spicco di una pericolosa 'ndrina di San Luca (Reggio Calabria), che dalla Spagna gestiva un imponente traffico di narcotici dal Sud America ai porti del Nord Europa, giù fino in Calabria, per poi risalire lungo la penisola, fino in Emilia Romagna. Grazie all'uso di chat criptate, Romeo non faceva mancare fiumi di cocaina e hashish al Bel Paese. Era lui a organizzare tutto. La cocaina di Romeo arrivava a Roma, dove aveva messo su un laboratorio con tanto di chimici colombiani che tagliavano la droga, destinata poi a Milano e altre piazze, facendo scalo a Reggio Emilia. E si occupava anche del flusso di denaro di ritorno, da consegnare a intermediari cinesi che, in meno di otto ore, con un sistema di compensazione fra un Paese e l'altro (il Fei Ch'ien, ovvero “denaro volante” in cinese) consentiva di trasferire milioni di euro dall'Emilia Romagna in Colombia, Brasile e Perù, passando da Hong Kong. Romeo si occupava anche degli investimenti: in diamanti, immobili e – ultima novità – in bitcoin. Un sistema all inclusive, servizio completo. È solo un esempio, uno squarcio sull'imponente evoluzione liquida degli affari della criminalità organizzata. A L'Espresso, il generale Antonio Mancazzo, al comando del Nucleo speciale tutela privacy e frodi tecnologiche della Gdf, dice: «Non serve più il controllo fisico di un territorio, se puoi manovrare una fetta del mercato nero globale da un laptop. Allo stesso modo la criminalità non ha più bisogno di negozi fisici o imprese per riciclare: spostano capitali sfruttando i meccanismi della blockchain e l'anonimato garantito dalla Rete».

Se la più nota inchiesta Aemilia, che risale al 2015, aveva svelato come la 'ndrangheta, in particolare la cosca Grande Aracri di Cutro, non fosse più solo infiltrata, ma radicata nel tessuto emiliano, controllando l'edilizia e relativi subappalti, l'operazione Aspromonte Emiliano, che vede al centro l'ex latitante Giuseppe Romeo, condotta dalla Guardia di Finanza di Bologna e coordinata dalla Dda, conferma che quel radicamento non è mai venuto meno, ma si è spostato su altri settori e con modalità tecnologiche decisamente più evolute. Nel 2023, a conclusione delle indagini di Aspromonte Emiliano, la Procura aveva chiesto complessivi 350 anni di pena. La maggior parte dei 64 imputati ha scelto il rito abbreviato, con condanne arrivate in primo grado a novembre del 2024 per un totale di 338 anni. A ottobre 2025 è cominciato il giudizio in Corte d'appello. L'operazione Aspromonte Emiliano è un monito: la criminalità organizzata si è fatta liquida, adattandosi a tecnologie digitali e alle reti internazionali per bypassare i controlli dei sistemi bancari tradizionali.

Il punto di svolta dell'indagine Aspromonte Emiliano è stata l'acquisizione da parte delle autorità italiane delle chat contenute sulla piattaforma Sky Ecc e decriptate da parte di un Joint investigation team di forze di polizia francesi, belga e olandesi, sotto il cappello di Europol, che ha permesso di accedere alle comunicazioni segrete di oltre 70 mila utilizzatori della piattaforma Sky Ecc, fra cui proprio la 'ndrina di San Luca. Nelle conversazioni di Giuseppe Romeo emerge l'offerta, da parte dei fornitori sudamericani, di utilizzare una piattaforma per la negoziazione di criptovalute. A Romeo era stata data la possibilità di sfruttare una piattaforma blockchain per riciclare denaro e lui si era dimostrato interessato, dicendo che gli serviva un modo per inviare bitcoin a Panama.

Le cripto sono diventate terreno appetibile per le mafie, come spiega a L'Espresso il colonnello Gabriele Di Guglielmo, vice comandante operativo del Nucleo speciale polizia valutaria della Guardia di Finanza: «Per esempio, sempre più casinò online accettano depositi e prelievi in cripto. I cripto casinò sfruttano la velocità e l’anonimato garantito della blockchain. Pur operando con licenze estere, sono facilmente raggiungibili tramite web anche dall’Italia. Queste caratteristiche rendono i cripto casinò appetibili per attività di riciclaggio. I fondi di provenienza illecita vengono convertiti in criptovalute, spesso attraverso strumenti intestati a prestanome, quindi depositati su un conto di gioco creato con un profilo anonimo. Dopo poche puntate, il denaro viene prelevato e riconvertito in valuta fiat, assumendo la veste di una vincita lecita».

Esistono modalità più sofisticate, come il chip dumping, partite online truccate per trasferire somme di denaro da un account all’altro: «Attraverso sale da gioco private e comunicazioni esterne (per esempio chat in cui vengono condivise informazioni sulle carte o sulle puntate) l’esito della partita viene pilotato per trasformare il denaro illecito in una vincita legittima».

In base alle inchieste delle forze di polizia è emerso come alcune organizzazioni terroristiche abbiano tentato, e in alcuni casi siano riuscite, a finanziare le proprie attività attraverso l’utilizzo di criptovalute: «A luglio 2023, l’Office of foreign assets control (Ofac) degli Stati Uniti ha disposto il congelamento dei beni di diverse persone e società legate a gruppi terroristici. Tra questi figurava anche un indirizzo cripto riconducibile a un affiliato dello Stato Islamico, che avrebbe tentato di autofinanziarsi sollecitando donazioni in Monero, una cosiddetta privacy coin», continua Di Guglielmo, che aggiunge: «Oltre alla propaganda e al reclutamento, le organizzazioni terroristiche sfruttano i social network per raccogliere fondi, invitando i sostenitori a effettuare numerose donazioni di piccolo importo, così da non attirare l’attenzione delle autorità».

Ripulire denaro attraverso le cripto sembra essere un gioco da ragazzi, anzi, per ragazzi, come rivela un'indagine condotta dal Nucleo Speciale tutela privacy e frodi tecnologiche della Guardia di Finanza. Tre giovanissimi pugliesi hanno riscritto le regole del mercato nero globale, protetti da una selva di server cloud sparsi per il mondo e da una crittografia che credevano impenetrabile. Il loro ufficio non aveva una sede fisica, ma un nome enfatico: Berlusconi Market. Il sito, che non ha nulla a che vedere con il fu Cavaliere, era una macchina da guerra commerciale: oltre 103.000 annunci attivi. Un Amazon del crimine dove, con pochi clic e un pugno di bitcoin, chiunque poteva acquistare cocaina, armi da guerra, documenti d'identità contraffatti e codici per svuotare conti correnti. In base alle evidenze dell'indagine condotta dalla Gdf, i gestori del sito, che operavano dietro gli altisonanti pseudonimi di Vladimir Putin (l'amministratore supremo) ed Emmanuel Macron (il moderatore), erano tre ventenni della provincia pugliese. L.D.V., nato nel 1999, aveva appena vent'anni quando l'inchiesta è esplosa nel 2019. Un ragazzo che, ufficialmente, viveva la vita di un qualunque suo coetaneo di Putignano, ma che digitalmente regnava su un impero globale. Assieme a lui, i barlettani G.R. (classe 1994) e G.D.M (classe '93), poco più che venticinquenni. «La loro non era una banda di quartiere, ma un'associazione criminale tecnologica che offriva la possibilità di far incontrare venditori e acquirenti di tutto il mondo, interessati esclusivamente a prodotti e servizi illeciti. Non toccavano mai la merce: la loro ricchezza derivava dalle commissioni sulle transazioni. Una rendita passiva alimentata dal crimine altrui e protetta da una maschera di bit», racconta il generale Mancazzo a L'Espresso. Il problema per i giovani pugliesi Putin e Macron era rendere spendibili i milioni di euro in bitcoin raccolti, senza però farsi notare dal fisco. E qui ci si sposta in Emilia, dove l'inchiesta bresciana individua il chief financial officier del gruppo: M.S., un esperto informatico di 35 anni residente nel Modenese, che operava come exchanger clandestino dichiarando al fisco solo 40mila euro l'anno, ma nei fatti gestendo wallet milionari. Era lui a fornire agli amministratori del Berlusconi Market e ai loro contatti (compreso un avvocato e la coppia di spacciatori che si faceva chiamare Kriminal) il servizio di conversione delle criptovalute in moneta sonante. Utilizzava conti correnti in Germania e a Malta, frammentando i capitali su una rete di prestanome che ricaricavano carte Postepay in cambio di piccole mance.

Gli esperti in cyber-investigazioni della GdF hanno iniziato a seguire le briciole lasciate da M.S. nel mondo reale: un bonifico senza causale, una ricarica effettuata da un familiare, un errore nel mascheramento dei metadati dei server. Seguendo la flebile scia del denaro e delle cripto, i finanzieri sono risaliti dai server cloud internazionali fino alle camerette della Puglia e agli uffici di Modena, facendo così crollare il mito dell’anonimato del dark web. L'operazione si è conclusa con la confisca di beni di lusso e cripto per un controvalore di 6,5 milioni di euro. «Il Berlusconi Market ci insegna che la criminalità ha cambiato pelle», racconta il generale Antonio Mancazzo, che continua: «Il dark web è diventato un'infrastruttura di servizio per la criminalità organizzata (droga, armi, documenti falsi) dove l'anonimato è garantito, tra l'altro, dalla crittografia pgp. Le organizzazioni utilizzano mixer e piattaforme di exchange estere per spezzare la tracciabilità della blockchain. Il Nucleo ha registrato un aumento vertiginoso dei sequestri: nell'ultimo anno sono stati sottratti alla criminalità 130 milioni di euro in asset digitali».