Le truffe sugli investimenti stanno diventando operazioni industriali, capaci di combinare deepfake, social media, gruppi WhatsApp, manipolazione di titoli reali e piattaforme crypto fraudolente. Secondo un report di Group-IB, non si tratta più solo di falsi consulenti o siti improvvisati, ma di ecosistemi coordinati che sfruttano la fiducia degli utenti verso professionisti finanziari, brand legittimi, mercati regolamentati e strumenti digitali di uso comune.
Nel 2025, in Australia le perdite legate alle truffe sugli investimenti hanno raggiunto 837,7 milioni di dollari australiani, diventando la categoria di frode più pesante del Paese. Negli Stati Uniti, i consumatori hanno segnalato 7,9 miliardi di dollari di perdite da investment scam, con una perdita mediana individuale superiore a 10.000 dollari.
Il dato più preoccupante non è solo economico. È il livello di organizzazione raggiunto dagli attori criminali. Le campagne analizzate mostrano l’uso di impersonificazioni tramite deepfake, annunci social geo-localizzati, gruppi di coordinamento su WhatsApp, schemi pump-and-dump su titoli quotati e una rete di oltre 200 piattaforme di investimento crypto false, con ricavi stimati superiori a 187 milioni di dollari.
Truffe sugli investimenti, deepfake e social media diventano l’esca iniziale
Uno degli schemi più significativi parte da un annuncio su Facebook. L’utente vede comparire nel feed il volto di un economista o di un professionista finanziario noto, apparentemente impegnato a promuovere consigli di investimento. L’immagine e la credibilità della persona vengono sfruttate tramite deepfake e contenuti manipolati per attirare la vittima verso un contatto WhatsApp.
Il meccanismo è semplice, ma efficace. Chi clicca sull’annuncio viene indirizzato a un account che impersona il professionista citato. Da lì, la vittima viene inserita in gruppi di coordinamento dove riceve indicazioni precise: comprare un determinato titolo, a un determinato prezzo, su una piattaforma di trading legittima, e inviare uno screenshot come prova dell’acquisto.
Gli annunci sono spesso attivi per poche ore e usano tecniche di geo-targeting. Gli utenti australiani, per esempio, vengono reindirizzati verso i contatti fraudolenti su WhatsApp, mentre gli utenti di altri Paesi possono essere mandati verso siti legittimi. Questo riduce l’esposizione della campagna e rende più difficile l’individuazione da parte di investigatori o piattaforme di controllo.
Durante l’indagine sono stati identificati più di 20 account WhatsApp falsi che impersonavano un singolo economista australiano, tutti apparentemente gestiti in modo centralizzato. Sono stati osservati anche numeri registrati negli Stati Uniti, segno di una possibile operatività transnazionale.
Come funziona uno schema pump-and-dump su titoli reali
Il punto più insidioso è che lo schema non usa necessariamente asset inesistenti. In alcuni casi le vittime vengono spinte ad acquistare azioni reali, quotate su mercati legittimi. Questo rende la truffa più credibile, perché l’utente vede effettivamente il titolo sulla propria piattaforma di trading.
Il funzionamento è quello classico del pump-and-dump. I criminali acquistano preventivamente il titolo a un prezzo più basso, poi usano gruppi social e messaggistica per generare una domanda artificiale. Le vittime comprano in massa, il prezzo sale, gli organizzatori vendono al picco e il titolo crolla, lasciando gli utenti con perdite pesanti.
In un caso analizzato, le vittime sono state istruite ad acquistare un titolo quotato al Nasdaq a 24,79 dollari per azione, con un target indicato a 29 dollari. Il titolo ha raggiunto un picco di 27,87 dollari, pari a un rialzo del 12,4%, prima di scendere a 14,27 dollari, con un calo del 42,4% rispetto al prezzo di ingresso.
Secondo l’analisi, per generare quel movimento sarebbero bastati tra 1,5 e 3 milioni di dollari di acquisti coordinati. Se ogni vittima investe 1.000 dollari, servono tra 1.500 e 3.000 persone. Se l’investimento medio sale tra 5.000 e 10.000 dollari, possono bastare da 150 a 600 vittime. Sono numeri compatibili con pochi gruppi WhatsApp o Telegram ben gestiti.
Questo dato cambia la percezione del rischio. La manipolazione non richiede necessariamente una struttura enorme. Un’organizzazione criminale ben coordinata può generare pressione sufficiente su titoli a bassa capitalizzazione usando canali social, urgenza psicologica e fiducia artificiale.
Le false piattaforme crypto imitano servizi finanziari reali
Il secondo schema analizzato riguarda piattaforme di investimento in criptovalute completamente fraudolente. Le vittime possono arrivarci tramite risultati di ricerca ottimizzati, annunci sui social, truffe sentimentali o programmi di referral. Una volta entrate nel sito, trovano interfacce professionali, statistiche inventate, piani di investimento a rendimento giornaliero e procedure di registrazione apparentemente credibili.
Alcune piattaforme usano anche falsi numeri di registrazione presso autorità finanziarie o imitano società legittime, copiandone brand, linguaggio e flussi operativi. La vittima completa una finta procedura KYC, che serve anche a raccogliere dati personali, deposita criptovalute e vede il proprio portafoglio crescere con rendimenti costanti e irrealistici.
Per aumentare la fiducia, in alcuni casi vengono consentiti piccoli prelievi iniziali. Il problema emerge quando l’utente prova a ritirare somme più importanti. A quel punto compaiono richieste di pagamento per tasse, costi di compliance, upgrade obbligatori dell’account o presunti errori tecnici. Ogni ostacolo superato viene sostituito da un altro. Il prelievo reale non esiste.
La truffa può poi proseguire con una seconda fase. Dopo la scomparsa della piattaforma, la vittima può essere contattata da una falsa società di recupero fondi, spesso collegata agli stessi criminali, che promette di recuperare il denaro perso dietro pagamento anticipato. In questo modo la stessa persona viene colpita due volte.
Una rete da oltre 200 domini e 187 milioni di dollari stimati
La parte più rilevante dell’indagine riguarda la dimensione dell’infrastruttura. L’analisi di una piattaforma fraudolenta confermata ha mostrato collegamenti con 23 altri siti che condividevano le stesse informazioni di contatto e con 208 domini ospitati sullo stesso indirizzo IP. Più piattaforme presentavano anche template grafici molto simili, segno di risorse di sviluppo condivise e di un possibile operatore comune.
Questa struttura ha due vantaggi per i criminali. Il primo è la resilienza: se un sito viene rimosso, gli altri continuano a funzionare. Il secondo è la massimizzazione dei ricavi: più marchi fraudolenti permettono di raggiungere vittime diverse, in Paesi diversi e con narrazioni di investimento differenti.
L’analisi on-chain della singola piattaforma confermata ha identificato oltre 90.000 dollari di depositi in Bitcoin, Ethereum e USDT su rete TRC20, con attività rilevata dal 2022. Estendendo la stima ai 208 domini collegati, il volume complessivo dei ricavi fraudolenti supererebbe i 187 milioni di dollari.
È una stima, non una misura definitiva dell’intero fenomeno. Ma mostra il salto di scala. Le truffe crypto non sono più soltanto siti isolati creati per durare pochi giorni. Possono essere reti strutturate, con infrastruttura condivisa, template riutilizzabili, brand multipli e flussi di cassa distribuiti.
Il punto debole dei criminali è il cash-out verso exchange regolamentati
Un elemento interessante riguarda il modo in cui i fondi vengono spostati. In alcuni casi, i criminali trasferiscono le criptovalute rubate direttamente verso exchange centralizzati soggetti a procedure KYC, senza usare tecniche avanzate di offuscamento.
Questo comportamento può creare un vantaggio investigativo. Se gli indirizzi vengono identificati e condivisi rapidamente, gli exchange possono segnalare o bloccare transazioni sospette e le autorità possono tentare di collegare i flussi a identità reali. Il problema è la velocità: spesso le informazioni arrivano troppo tardi, quando i fondi sono già stati spostati o convertiti.
È qui che entra in gioco il concetto di Cyber Fraud Fusion, un modello difensivo che punta a unire threat intelligence, digital risk protection, prevenzione frodi e capacità investigative in un unico processo coordinato. L’obiettivo è intervenire prima che la truffa raggiunga scala, non solo dopo che le vittime hanno perso denaro.
Perché le difese tradizionali non bastano più
Le truffe analizzate funzionano perché attraversano più ambienti contemporaneamente. L’annuncio nasce sui social, la conversazione si sposta su app di messaggistica, l’acquisto può avvenire su piattaforme di trading legittime, il deposito passa da wallet crypto e il cash-out può arrivare su exchange regolamentati.
Ogni attore vede solo una parte del problema. Le banche non controllano cosa accade nei gruppi WhatsApp. Le piattaforme di trading non vedono l’origine social della manipolazione. Gli exchange crypto possono ricevere fondi senza sapere che arrivano da una piattaforma fraudolenta. Le autorità spesso intervengono quando il danno è già avvenuto.
La frammentazione è il vero vantaggio degli attaccanti. I criminali coordinano social engineering, infrastruttura digitale, flussi finanziari e psicologia delle vittime. I difensori, invece, sono spesso separati per settore, giurisdizione e competenza.
Un approccio Cyber Fraud Fusion prova a invertire questa dinamica. La protezione del brand individua annunci falsi e domini fraudolenti. La threat intelligence collega infrastruttura, wallet e attori. I sistemi antifrode monitorano transazioni e comportamenti anomali. Le piattaforme di intelligence condividono indicatori tra istituzioni. Le indagini cercano di attribuire i flussi finanziari a persone identificabili.
Le truffe colpiscono la fiducia, non la tecnologia
La lezione più importante è che questi schemi non attaccano principalmente la sicurezza tecnica degli utenti. Attaccano la fiducia. Sfruttano volti noti, piattaforme conosciute, mercati regolamentati, interfacce professionali e linguaggio finanziario credibile.
Per l’utente finale, questo significa che non basta chiedersi se un sito sembra ben fatto o se un titolo è quotato davvero. Bisogna verificare l’identità di chi propone l’investimento, controllare le autorizzazioni su registri ufficiali, diffidare di consigli ricevuti via social o app di messaggistica e considerare sospetti i rendimenti garantiti o troppo elevati.
Un altro segnale d’allarme è la pressione a muoversi rapidamente. Le truffe più efficaci creano urgenza: comprare subito, entrare nel gruppo, non perdere l’occasione, inviare prova dell’investimento, pagare una commissione per sbloccare il prelievo. Questa pressione serve a ridurre il tempo di verifica e aumentare il controllo psicologico sulla vittima.
Anche le aziende finanziarie devono aggiornare le proprie difese. Non basta reagire alle segnalazioni dei clienti. Serve monitorare annunci falsi, domini sospetti, pattern di acquisto coordinato, wallet collegati a frodi e tentativi di cash-out. La prevenzione deve iniziare prima che il denaro venga trasferito.
Le truffe sugli investimenti del 2026 sono ormai un ecosistema. Usano l’AI per rendere più credibile l’impersonificazione, i social per trovare vittime, le app di messaggistica per coordinarle, le piattaforme legittime per dare apparenza di normalità e le criptovalute per muovere fondi. La difesa dovrà essere altrettanto coordinata.
