Il 10 giugno 2026 Europol ha coordinato l'abbattimento di AudiA6, servizio di riciclaggio criptovalutario che ha processato tra i 336 e i 389 milioni di euro in fondi illeciti per conto di gang ransomware e altri operatori criminali. Due presunti amministratori — Ruslan Igorevich Tkachuk e Alexander Vladimirovich Ledenev, rispettivamente di nazionalità ucraina e russa — sono stati arrestati in Georgia mentre le squadre sequestravano 25 domini, oltre 30 server e più di 80 veicoli. L'operazione dimostra che i nodi centrali dell'economia ransomware, quando impersonano infrastrutture legittime, restano vulnerabili all'analisi blockchain abbinata all'infiltrazione undercover.
- L'operazione del 10 giugno 2026 ha arrestato in Georgia Tkachuk e Ledenev, presunti amministratori del servizio di riciclaggio AudiA6
- Il servizio ha riciclato almeno EUR 336 milioni (Europol, 2022-2025) o $389 milioni / 10.333 BTC (DOJ, dal 2021) attraverso migliaia di account exchange fraudolenti aperti con identità rubate
- Gli operatori promettevano un AML risk score inferiore al 25% per eludere i sistemi antifrode delle piattaforme legittime, con 'pulizia' dei fondi in circa un'ora
- Agenti undercover hanno confermato la complicità del servizio accettando esplicitamente fondi dichiarati provenienti da attività ransomware
"industrial-scale cryptocurrency laundering operation" — Europol sulla portata del servizio AudiA6
L'architettura del riciclaggio: come AudiA6 ingannava gli exchange legittimi
AudiA6 non era una piattaforma autonoma né un mixer decentralizzato: era un'operazione di intermediazione manuale e semi-automatizzata che sfruttava le stesse infrastrutture compliant del mercato legale. Secondo Europol, il servizio controllava migliaia di account su exchange regolamentati, aperti con identità rubate o acquistate. Questa base di "money mule" KYC — oltre 6.000 record identificati — costituiva il primo strato di anonimizzazione.
Il secondo strato era tecnico e commerciale insieme. Il DOJ, citando la complaint unsealed per il District Court della Pennsylvania Orientale, documenta che AudiA6 prometteva ai clienti un AML risk score inferiore al 25%. Questo parametro, interno ai sistemi di compliance delle piattaforme, determinava la probabilità di freeze o segnalazione SAR (Suspicious Activity Report). Manipolarlo artificialmente significava trasformare exchange rispettabili in "partner inconsapevoli" — per usare la definizione ricorrente nel briefing investigativo.
Il terzo strato era la velocità. Europol misura il ciclo di "pulizia" in circa un'ora: una catena di transazioni cross-chain e conversioni rapidissime dissociava i fondi criminali dall'origine prima che i sistemi di monitoraggio tardivi potessero correlare gli alert. Il servizio distingueva esplicitamente "dirty and clean crypto" — terminologia riportata dalla fonte DOJ — e addebitava commissioni tra il 3 e il 10% secondo Europol, fino al 5% secondo la stima DOJ.
Dalla Polonia alla Georgia: come si è chiuso il cerchio investigativo
L'operazione del 10 giugno 2026 non è partita dal nulla. Europol documenta un arresto precedente il 15 settembre 2025 in Polonia: un cittadino ucraino collegato al gruppo, fermato con materiale informatico sottoposto a forensic examination. Da quell'analisi sono emersi "additional individuals" — la formulazione ufficiale — che hanno permesso di ricostruire la gerarchia e localizzare i due amministratori in Georgia.
L'arco temporale copre almeno quattro anni. Il DOJ indica attività dal 2021; Europol concentra la stima su 2022-2025. Le cifre, pur coerenti in ordine di grandezza, divergono: $389 milioni (circa 10.333 BTC) per il DOJ, EUR 336 milioni per Europol. La discrepanza è spiegabile con periodi di riferimento leggermente diversi e con fluttuazioni valutarie euro-dollaro, oltre a possibili metodologie di conteggio distinte (transazioni grosse vs netto riciclato). Cybernews riporta una stima superiore, circa $890 milioni, che include probabilmente volumi associati a criminalità collegata non direttamente processati dal servizio core.
Le azioni di enforcement hanno prodotto sequestri materiali e digitali significativi: 25 domini irraggiungibili o reindirizzati a banner law enforcement, oltre 30 server, più di 80 veicoli in Georgia, proprietà immobiliari multiple. Sul fronte finanziario, EUR 692.000 (circa $730.000) congelati e ulteriori EUR 86.000 (circa $100.000) sequestrati in criptovalute. Sono stati inoltre bloccati account Telegram e dismessi siti sia sul clearnet che sul dark web.
La trappola undercover: quando i criminali hanno documentato se stessi
Elemento distintivo del fascicolo DOJ è l'operazione infiltrata. Agenti undercover hanno contattato AudiA6 dichiarando esplicitamente l'intenzione di riciclare fondi legati a ransomware. La risposta dell'operatore, riportata nella complaint, è stata: "yes, no problem". Questa registrazione elimina ogni ambiguità sullo scopo consapevole del servizio e costituisce probabilmente l'elemento probatorio più solido per l'accusa di cospirazione.
Un'altra citazione ricorrente nel materiale DOJ è il motto del servizio: "cut off your tails" — taglia le tue tracce. La metafora coda/tail si riferisce ovviamente alle tracce blockchain, ma assume un riscontro ironico: le conversazioni stesse sono diventate coda processuale. Gli imputati affrontano una pena massima potenziale di 20 anni di reclusione.
Europol aggiunge un dettaglio di contesto criminale più ampio: gli stessi operatori amministravano il forum darknet "Dark2Web", hub di aggregazione per cybercriminali. Questa sovrapposizione tra servizio di riciclaggio e piattaforma di community rafforza la tesi che AudiA6 fosse un'infrastruttura intenzionalmente progettata come utility per l'ecosistema ransomware, non un'operazione occasionale o opportunistica.
Perché la caduta di un singolo nodo espone l'intero ecosistema
AudiA6 occupava una posizione strutturalmente critica. I gruppi ransomware dipendono da servizi di cash-out affidabili quanto dipendono dai propri encryptor: senza liquidazione, gli estorsori detengono dati criptati e portafogli pieni di tracce. La professionalizzazione osservata — punteggi AML finti, customer service, fee strutturate, tempi garantiti — indicava che il mercato aveva raggiunto una stabilità apparente. La sua rimozione forzata crea un vuoto immediato.
Le conseguenze sono triangolari. Per le vittime di ransomware, il messaggio è che i pagamenti non scompaiono in un vuoto tecnologicamente irraggiungibile: l'analisi forense può ricostruire flussi anche attraverso mixer complessi. Per il settore crypto, l'operazione amplifica la pressione regolatoria su exchange e VASP (Virtual Asset Service Provider) per rafforzare i controlli KYC/AML contro l'apertura di account mule. Per le forze dell'ordine, il modello ibrido — blockchain analysis più infiltrazione umana — è replicabile contro altri servizi con analoga struttura pseudo-legittima.
Ciò che il dossier non specifica è l'impatto operativo immediato sui gruppi ransomware privati del servizio. Non emergono sovrapposizioni infrastrutturali che colleghino attori specifici a Tkachuk e Ledenev, né quanti fondi tra quelli riciclati siano effettivamente recuperabili rispetto a irrimediabilmente dispersi. Resta ignoto inoltre se esistano amministratori residui capaci di ricostruire l'infrastruttura con la base di account KYC compromessi.
Domande e risposte
Perché le stime sul volume riciclato divergono così nettamente?
Europol riporta EUR 336 milioni per il periodo 2022-2025; il DOJ indica $389 milioni (circa 10.333 BTC) dal 2021; Cybernews stima ~$890 milioni. Le differenze riflettono probabilmente intervalli temporali diversi, fluttuazioni BTC/EUR/USD, e metodologie di conteggio distinte (volume transazionale lordo vs valore netto riciclato attraverso il servizio).
Cosa rendeva AudiA6 differente da un normale mixer decentralizzato?
L'elemento distintivo documentato è l'interazione con exchange regolamentati: non un protocollo autonomo, ma un sistema di account fraudolenti con identità reali, gestito manualmente, con garanzie commerciali sui tempi e sui rischi di freeze. Questo modello offriva liquidità superiore rispetto ai mixer puri ma esponeva a vulnerabilità investigative di tipo tradizionale.
Gli exchange coinvolti sono responsabili?
Il brief non contiene accuse specifiche verso piattaforme identificate. Europol descrive gli exchange come "unwitting partners" — partner inconsapevoli. Il focus investigativo è sull'inganno sistematico dei controlli KYC/AML, non sulla complicità istituzionale delle piattaforme.
Fonti
- https://www.cisa.gov/stopransomware/official-alerts-statements-cisa
- https://cybernews.com/cybercrime/audia6-crypto-washing-shut-down/
- https://www.europol.europa.eu/media-press/newsroom/news/ransomware-gangs-cut-eur-336-million-audia6-crypto-laundering-pipeline
- https://ambcrypto.com/doj-says-389m-crypto-laundering-network-helped-cybercriminals-evade-exchange-aml-systems/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.