Nel 2025 la Corea del Nord ha smesso definitivamente di essere considerata una semplice minaccia teorica nel cyberspazio. I numeri parlano chiaro e raccontano una realtà che inquieta governi, mercati finanziari e agenzie di intelligence: Pyongyang è diventata il più grande predatore globale di criptovalute. Secondo le stime della società di analisi Chainalysis, i gruppi di hacker legati al regime hanno sottratto circa 2 miliardi di dollari in asset digitali in un solo anno, pari a oltre il 60 per cento dei furti di criptovalute avvenuti a livello mondiale. Un record assoluto, costruito con metodo, disciplina e una strategia che porta il marchio dello Stato.
Non si tratta più di bande di criminali informatici che agiscono nell’ombra per profitto personale. Quello nordcoreano è un sistema industriale del crimine digitale, pianificato, finanziato e protetto dalle istituzioni del regime. Meno attacchi rispetto al passato, ma colpi chirurgici, devastanti, capaci di spostare miliardi in pochi minuti. Nel 2025 il numero complessivo delle incursioni è crollato rispetto all’anno precedente, ma il valore medio dei bottini è esploso. Ogni operazione è studiata per colpire infrastrutture critiche del mondo cripto, piattaforme ad alta liquidità, snodi centrali dell’economia digitale globale.
L’episodio simbolo di questa escalation è avvenuto a febbraio, quando un attacco fulmineo ha portato via 1,5 miliardi di dollari in un’unica operazione. Nel mirino è finita Bybit, uno dei principali exchange di criptovalute al mondo, con decine di milioni di utenti. Secondo l’emittente statunitense CNN, si è trattato della più grande rapina informatica mai registrata. Una cifra che, da sola, equivale a una quota rilevante del prodotto interno lordo nordcoreano. Un paradosso solo apparente, perché quei fondi non finiscono nell’economia civile: vengono assorbiti direttamente dalle casse dello Stato.
Le connessioni tra gli hacker e l’apparato di potere di Pyongyang non sono più oggetto di dibattito. Le operazioni cyber funzionano come un sistema di entrate parallelo, coordinato dai servizi di intelligence e supportato da reti di riciclaggio internazionale, intermediari esteri e infrastrutture finanziarie opache. L’obiettivo è duplice: aggirare le sanzioni internazionali e garantire risorse fresche a un regime che investe una quota sproporzionata delle proprie finanze nel settore militare. Dalla ricerca missilistica al programma nucleare, il cybercrimine è ormai una leva strategica della politica di sicurezza nordcoreana.
Un rapporto di un gruppo di esperti delle Nazioni Unite ha ricostruito con precisione la traiettoria di questa macchina: tra il 2017 e il 2023, la Corea del Nord avrebbe sottratto circa 3 miliardi di dollari in asset virtuali attraverso almeno 58 attacchi documentati. Da allora, l’apparato non ha fatto che crescere. Investimenti in infrastrutture, formazione tecnica di altissimo livello, aggiornamento continuo delle capacità offensive: Pyongyang è oggi considerata uno degli attori cyber più sofisticati e aggressivi al mondo.
Crolla così uno degli stereotipi più duri a morire: quello di una Corea del Nord tecnologicamente arretrata. La realtà è opposta. Già dalla metà degli anni Novanta il regime aveva avviato programmi avanzati di formazione informatica, selezionando studenti d’élite e addestrandoli per anni nelle università di Pyongyang. Un progetto strategico, avviato sotto Kim Jong-il, che ha prodotto una generazione di operatori capaci di muoversi con estrema competenza nei sistemi finanziari digitali globali.
Il risultato è sotto gli occhi di tutti: uno dei Paesi più poveri del pianeta è oggi una superpotenza del crimine informatico, in grado di drenare ricchezza dall’economia digitale mondiale e trasformarla in carburante per il proprio riarmo. Non è solo una questione di sicurezza informatica, ma un tema geopolitico centrale. Ogni wallet svuotato, ogni exchange violato, ogni miliardo sottratto contribuisce a rafforzare un regime isolato ma sempre più pericoloso.
Nel 2025, la guerra della Corea del Nord non si combatte solo con missili e test nucleari: passa anche, e sempre di più, attraverso le linee invisibili del cyberspazio.
(*) Docente universitario di Diritto internazionale e normative per la sicurezza
Aggiornato il 23 dicembre 2025 alle ore 12:51
