Lo smantellamento di AudiA6 segna uno degli interventi più rilevanti degli ultimi anni contro l’infrastruttura finanziaria della cybercriminalità organizzata. Il servizio, sospettato di aver riciclato oltre 336 milioni di euro in criptovalute criminali tra il 2022 e il 2025, operava come piattaforma specializzata nella conversione di asset digitali rubati in fondi apparentemente puliti, offrendo ai gruppi criminali un canale rapido per monetizzare proventi provenienti soprattutto da attacchi ransomware. L’operazione internazionale, coordinata con il supporto di Eurojust ed Europol, ha coinvolto autorità di Francia, Polonia, Georgia, Islanda e Stati Uniti, portando ad arresti, sequestri di server, blocco di domini, congelamento di criptovalute e acquisizione di migliaia di dati KYC collegati ad account mule. Il caso conferma come la fase di riciclaggio sia ormai parte integrante dell’economia ransomware: senza servizi capaci di oscurare la provenienza dei fondi, la monetizzazione degli attacchi diventa più lenta, più rischiosa e più tracciabile.
Cosa leggere
AudiA6 trasformava criptovalute rubate in fondi apparentemente puliti
AudiA6 funzionava come un servizio di crypto laundering progettato per spezzare la tracciabilità tra fondi criminali e wallet finali controllati dagli attaccanti. I cybercriminali trasferivano criptovalute rubate verso wallet gestiti dal gruppo e ricevevano in cambio fondi ripuliti attraverso una sequenza complessa di transazioni, passaggi intermedi e account di comodo. Secondo le autorità, l’intero processo poteva concludersi in circa un’ora, un tempo estremamente ridotto che rendeva il servizio particolarmente utile per gruppi coinvolti in campagne ransomware, furti di asset digitali e frodi informatiche. Il modello economico era diretto: AudiA6 applicava commissioni comprese tra il 3% e il 10% per ogni operazione, monetizzando il rischio operativo e la capacità di offuscare l’origine illecita delle criptovalute. La piattaforma non era quindi un semplice mixer generico, ma un’infrastruttura criminale orientata al servizio, capace di offrire liquidità, velocità e anonimizzazione a operatori che avevano necessità di convertire rapidamente proventi digitali in valore spendibile.
Migliaia di account falsi e money mule sostenevano il riciclaggio
La struttura operativa di AudiA6 si basava su una rete estesa di account falsi creati con identità rubate, acquistate o manipolate. Le autorità hanno identificato oltre 6.000 record KYC associati ad account di money mule, un dato che rivela la scala industriale dell’infrastruttura utilizzata per muovere i fondi attraverso exchange e servizi crypto. Molti di questi account sarebbero stati gestiti da intermediari di lingua russa, reclutati per aprire profili, superare controlli di verifica e movimentare capitali illeciti senza esporre direttamente gli amministratori del servizio. Il gruppo utilizzava sia provider email commerciali sia indirizzi collegati a domini sotto il proprio controllo, creando un ecosistema parallelo utile alla registrazione massiva di profili sulle piattaforme di scambio. Questa architettura rendeva più difficile distinguere tra utenti legittimi e soggetti strumentali al riciclaggio, soprattutto quando gli account disponevano di documentazione KYC apparentemente valida. La pubblicazione dei domini impiegati per creare profili falsi offre ora agli exchange un set concreto di indicatori per identificare account collegati alla rete e interrompere ulteriori movimenti sospetti.
Il collegamento con Dark2Web rivela una struttura criminale più ampia
L’indagine ha evidenziato anche il collegamento tra il servizio AudiA6 e il forum cybercrime Dark2Web, una piattaforma utilizzata come marketplace per pubblicizzare servizi illeciti, mettere in contatto operatori criminali e facilitare scambi tra attori coinvolti in frodi, ransomware e traffico di strumenti offensivi. Questa connessione mostra come l’attività di riciclaggio non fosse isolata, ma inserita in un ecosistema criminale multilivello nel quale servizi finanziari clandestini, forum, intermediari, mule e operatori ransomware collaboravano per massimizzare profitti e ridurre il rischio di individuazione. Dark2Web avrebbe fornito uno spazio di relazione e visibilità, mentre AudiA6 costituiva la componente finanziaria necessaria a trasformare il denaro digitale di provenienza illecita in fondi più difficili da collegare agli attacchi originari. Il legame tra marketplace cybercriminale e piattaforma di laundering conferma una tendenza ormai consolidata: le infrastrutture criminali moderne non operano come gruppi isolati ma come reti di servizi specializzati, dove ogni componente sostiene una fase diversa della filiera offensiva.
Arresti e sequestri in Georgia chiudono l’infrastruttura operativa
La fase decisiva dell’operazione si è svolta il 10 giugno 2026 in Georgia, dove le forze dell’ordine hanno arrestato due presunti amministratori di AudiA6. Durante l’intervento sono state perquisite tre proprietà, sequestrati più di 30 server, bloccati 25 domini e confiscati oltre 80 veicoli insieme ad altre proprietà ritenute collegate all’attività criminale. Le autorità hanno inoltre congelato 692.000 euro in criptovalute e sequestrato più di 86.000 euro in asset digitali, colpendo direttamente le risorse finanziarie residue della rete. L’azione georgiana è arrivata dopo l’arresto di un co-perpetratore avvenuto in Polonia nel settembre 2025, dimostrando che l’indagine era già in fase avanzata prima del colpo finale all’infrastruttura. Il fermo dei sospettati in Georgia si è basato su una diffusione rossa emessa dalla Procura regionale di Łódź e gestita dal Central Cybercrime Bureau polacco, elemento che conferma la dimensione transnazionale del procedimento e la necessità di coordinamento giudiziario tra più Paesi.
Eurojust ha coordinato la risposta giudiziaria internazionale
Il ruolo di Eurojust è stato centrale nella preparazione delle misure giudiziarie e operative adottate nei diversi Paesi coinvolti. L’agenzia ha organizzato più incontri di coordinamento tra i desk nazionali polacco e francese, i procuratori di collegamento di Stati Uniti, Georgia e Islanda e le autorità responsabili delle indagini nei rispettivi ordinamenti. Il lavoro ha permesso di allineare tempistiche, richieste di assistenza giudiziaria reciproca, misure di sequestro, blocco dei domini e interventi sugli asset digitali. In operazioni di questo tipo, la componente giudiziaria è decisiva quanto quella tecnica, perché server, wallet, domini, sospetti, exchange e dati KYC si trovano spesso in giurisdizioni differenti. La capacità di Eurojust di facilitare richieste transfrontaliere e sincronizzare gli interventi ha ridotto il rischio di dispersione delle prove, fuga dei sospettati o spostamento rapido dei fondi verso infrastrutture alternative. Il caso AudiA6 dimostra quindi l’importanza crescente della cooperazione giudiziaria europea nel contrasto alle economie criminali basate su criptovalute.
Europol ha tracciato i flussi finanziari della piattaforma
Europol, attraverso lo European Cybercrime Centre, ha fornito supporto analitico e di intelligence per ricostruire i flussi di denaro criminale gestiti da AudiA6. Gli esperti hanno tracciato le transazioni illecite, mappato l’infrastruttura di riciclaggio e analizzato i passaggi utilizzati per spostare i proventi oltre confine. Questo lavoro è fondamentale perché il riciclaggio crypto non si basa soltanto sulla moltiplicazione delle transazioni, ma sull’uso combinato di wallet, exchange, account mule, domini, email, identità false e servizi di conversione. La mappatura prodotta da Europol ha permesso alle autorità di comprendere il funzionamento complessivo della piattaforma e di colpire non solo il sito principale, ma anche i nodi accessori che ne garantivano continuità operativa. Il contributo dell’agenzia europea ha inoltre rafforzato la possibilità di individuare ulteriori soggetti coinvolti nella gestione degli account e nella movimentazione dei fondi, aprendo la strada a indagini successive basate sui dati sequestrati.
Stati Uniti, Francia e Islanda rafforzano la dimensione globale dell’indagine
L’operazione contro AudiA6 ha visto anche il coinvolgimento di diverse agenzie e autorità extraeuropee, a conferma della portata globale dell’infrastruttura criminale. Gli Stati Uniti hanno partecipato attraverso l’Ufficio del Procuratore per il Distretto Orientale della Pennsylvania, il United States Secret Service, IRS Criminal Investigation e altre agenzie federali impegnate nel contrasto al cybercrime finanziario. La Francia ha contribuito con la Procura di Parigi specializzata in criminalità informatica e con l’unità cybercrime della Gendarmeria nazionale, mentre l’Islanda ha preso parte all’indagine tramite la Procura generale e la polizia metropolitana di Reykjavík. Questa composizione mostra come il riciclaggio crypto richieda ormai una risposta multilaterale stabile, perché le piattaforme criminali sfruttano differenze normative, confini giurisdizionali e infrastrutture distribuite per rendere più difficile la repressione. Il coordinamento internazionale ha permesso di superare questi ostacoli e colpire contemporaneamente persone, domini, server e asset finanziari.
Il sequestro dei dati KYC può alimentare nuove indagini
Uno degli esiti più rilevanti dell’operazione riguarda l’acquisizione di oltre 6.000 record KYC collegati ad account mule. Questi dati costituiscono un patrimonio investigativo di grande valore perché possono consentire alle autorità di risalire non soltanto agli amministratori della piattaforma, ma anche a intermediari, reclutatori, soggetti prestanome e utenti criminali che hanno sfruttato il servizio. Gli exchange possono utilizzare le informazioni sui domini e sugli account associati per bloccare profili sospetti, rafforzare controlli antiriciclaggio e impedire ulteriori movimenti di fondi. La disponibilità di dati verificabili permette inoltre di collegare transazioni apparentemente distinte a uno stesso ecosistema operativo, migliorando la capacità di attribuzione finanziaria. Nel contrasto al riciclaggio crypto, l’identificazione dei mule rappresenta spesso il punto di ingresso verso reti più ampie, perché dietro ogni account verificato possono esistere catene di reclutamento, pagamenti, commissioni e contatti con gruppi ransomware o marketplace cybercriminali.
Il colpo ad AudiA6 interrompe un canale critico per il ransomware
La chiusura di AudiA6 incide direttamente sulla capacità dei gruppi ransomware di monetizzare i proventi degli attacchi. Le gang che estorcono pagamenti in criptovalute hanno bisogno di servizi capaci di trasformare fondi tracciabili in asset più difficili da collegare agli indirizzi originari. Un’infrastruttura come AudiA6 riduceva il tempo tra incasso illecito e riciclaggio, offrendo una risposta rapida alla necessità di muovere fondi prima che wallet, exchange o autorità potessero intervenire. Il blocco di server, domini e wallet collegati alla piattaforma non elimina il problema strutturale del crypto laundering, ma interrompe un canale significativo utilizzato da operatori criminali ad alta intensità finanziaria. L’operazione lancia inoltre un segnale agli ecosistemi di supporto al ransomware: le autorità non puntano soltanto agli sviluppatori di malware o agli affiliati che eseguono intrusioni, ma anche ai servizi che rendono economicamente sostenibile l’intera filiera criminale.
La lotta al riciclaggio crypto diventa una priorità cyber
Il caso AudiA6 conferma che il contrasto al cybercrime non può limitarsi alla difesa tecnica delle reti o all’arresto degli operatori direttamente coinvolti negli attacchi. La componente finanziaria è ormai il centro di gravità dell’economia criminale digitale. Senza piattaforme di riciclaggio, account mule, exchange compiacenti o infrastrutture di conversione rapida, i proventi di ransomware, frodi e furti crypto diventano molto più difficili da utilizzare. L’operazione coordinata da Eurojust e supportata da Europol dimostra che la pressione congiunta su server, domini, wallet, dati KYC e amministratori può produrre effetti concreti anche contro servizi distribuiti su più giurisdizioni. La pubblicazione dei domini utilizzati per creare account falsi amplia l’impatto dell’indagine e consente al settore privato di contribuire al blocco di ulteriori movimenti sospetti. AudiA6 rappresenta quindi un caso esemplare di come le autorità stiano spostando il contrasto al ransomware dalla sola risposta agli incidenti alla demolizione delle infrastrutture economiche che ne alimentano la crescita.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
