Deepfake, politici e trading fantasma: Meloni, Salvini e Calenda usati per reclutare vittime a colpi di algoritmi falsi

Nelle ultime ventiquattro ore il newsfeed di Facebook è diventato un laboratorio di manipolazione digitale. Facce familiari, loghi rassicuranti, inquadrature che imitano i talk show economici: Giorgia Meloni, Matteo Salvini e Carlo Calenda sono stati catapultati in un universo parallelo dove sostenevano piattaforme di trading che nessuno di loro ha mai incontrato. Non erano video, né deepfake sofisticati: erano immagini statiche, costruite con un’abilità chirurgica per evocare la credibilità del giornalismo televisivo. L’utente medio non vedeva una truffa: vedeva un frame del Tg2, un’intervista a Radio24, un’infografica da studio televisivo. Una grammatica visiva familiare usata come arma.

In cima alla piramide di questo ecosistema digitale c’erano due marchi nati dal nulla: TramarexoMax e AlevroxanPro. Cambiava il colore, cambiava il logo, cambiavano due frasi sul bottone “Inizia ora”: per il resto erano fotocopie perfette. Le landing page erano costruite per fare una sola cosa: catturare l’attenzione qualche secondo prima che scatti il sospetto. Il meccanismo era sempre lo stesso: grandi promesse (“oltre 950 euro al giorno”), testimonial inventati, citazioni mai pronunciate attribuite a Calenda o a Piero Ferrari e un layout apparentemente professionale. La loro estetica sembrava uscita da un manuale di marketing finanziario, ma il codice sotto la superficie era quello delle truffe seriali: form di registrazione identici, script riciclati, pulsanti clonati.

Nel frattempo, attraverso canali paralleli, emergeva un terzo nome: Immediate Nystex. Nessuna pubblicità su Facebook, nessun fotomontaggio politico. La sua arma principale era la messaggistica privata: SMS, chat WhatsApp, link travestiti da articoli economici. Il pubblico-target era diverso: non la massa generica intercettata dallo scrolling casuale, ma utenti con già un minimo di familiarità con crypto, blockchain o investimenti digitali. Anche qui i testimonial erano finti, la grafica identica, le frasi di onboarding copiate. Tre piattaforme apparentemente concorrenti, ma costruite nella stessa fabbrica.

La conferma arrivava dal primo contatto umano. Registrarsi significava ricevere una telefonata lampo. Il numero, nel caso di TramarexoMax e AlevroxanPro, risultava italiano: Montecatini Terme come geolocalizzazione, un dettaglio scelto per abbassare le difese cognitive. Era un trucco: numeri VoIP mascherati, instradati dall’Est Europa. Nel caso di Immediate Nystex, invece, il numero appariva con prefissi internazionali a rotazione. Ma la voce era sempre la stessa. Giovani donne che parlavano un italiano corretto, con un accento dell’Europa orientale, e soprattutto con un copione identico. “Ha un account attivo”, “dobbiamo procedere subito”, “se non versiamo entro pochi minuti il sistema la disattiva”. Una pressione studiata per far scattare il timore di perdere un’occasione, o peggio, di essere già coinvolti in qualcosa che va sanato.

A quel punto iniziava la parte più delicata: accompagnare l’utente dentro la propria banca online. Il “consulente” guidava passo passo, come se conoscesse a memoria ogni interfaccia di login degli istituti italiani. I bonifici venivano indirizzati verso conti italiani apparentemente innocui: IBAN Findomestic, IBAN Mediolanum, intestati a persone reali ma usate come prestanome. Conti che duravano il tempo necessario a ricevere una manciata di versamenti e poi venivano svuotati o chiusi. Una rotazione continua, calcolata al millimetro, tanto da far pensare a un reparto interno della truffa dedicato solo allo smistamento degli IBAN.

Quando il percorso prevedeva criptovalute, tutto diventava ancora più rapido. Il “consulente” chiedeva di acquistare crypto su un exchange noto e trasferirle a un wallet anonimo. Bastava qualche minuto perché il denaro sparisse in un ecosistema di portafogli usa e getta progettati per dissolversi nella rete. Era un sistema fluido, senza intoppi, costruito per bruciare le tappe e impedire qualsiasi passo indietro.

Il punto di caduta di tutte le piattaforme — e quello che le rivelava per ciò che erano — era il broker fantasma: Alantra MC. Il nome suggeriva solidità, professionalità, un sapore vagamente anglosassone. La realtà era ben diversa: un pannello in italiano mal tradotto invitava a effettuare immediatamente il primo deposito, mentre una mail automatica forniva le credenziali di accesso a un sedicente webtrader ospitato su alantrafx[.]com. L’interfaccia sembrava plausibile, ma bastava scrutarla con attenzione per capire che era un guscio vuoto: grafici caricati tramite widget gratuiti, margine sempre a zero, nessuna operazione realmente collegata ai mercati. Clickare “compra” o “vendi” dava la sensazione di operare, ma non succedeva nulla. Era un teatro interattivo costruito per far credere alla vittima che il proprio denaro stesse crescendo.

Poi c’era il dettaglio più rivelatore: il dominio. Registrato ventotto giorni prima dell’ondata di truffe, nascosto dietro Cloudflare, con dati del proprietario oscurati, cambi di server in serie e nessuna traccia di un’azienda reale. Alantra MC non era un broker, non era un servizio, non era un’infrastruttura. Era uno scenario. Un set grafico. Un pannello che serviva a una sola cosa: rendere credibile la richiesta di ulteriori versamenti.

Immediate Nystex, invece, conduceva a un’altra destinazione: newclientpanel[.]com. Anche qui un dominio recente, senza sito pubblico, usato come pannello interno per mostrare saldi finti, profitti inventati e richieste di nuovi depositi. Non c’erano tre sistemi separati: c’era un’unica azienda criminale che declinava la truffa in tre interfacce. Cambiava il colore, cambiava il logo, cambiava l’esca iniziale. La struttura era identica: call center dall’Est, conti mule italiani, pannelli di trading inesistenti, pressione psicologica programmata.

L’aspetto più impressionante dell’intera operazione non è la tecnologia dei deepfake statici, né la precisione delle landing page. È la coordinazione. Le piattaforme si muovevano come tre maschere diverse indossate dalla stessa persona. TramarexoMax serviva a colpire la fascia generalista; AlevroxanPro replicava lo schema ampliandolo; Immediate Nystex agiva sul pubblico già esposto alla cultura del trading. Tre percorsi convergenti verso un’unica destinazione: svuotare i conti delle vittime e far sparire il denaro in pochi minuti.

Alla fine, il meccanismo è semplice solo in apparenza. In realtà è una macchina sofisticata che unisce grafica professionale, manipolazione psicologica, tecniche di social engineering, infrastrutture digitali usa e getta e un call center dotato di copioni perfetti. Una macchina che non ha bisogno di convincere tutti: basta che inganni l’1% degli utenti che incrocia. Tutto cambia per sembrare nuovo. La destinazione del denaro, invece, non cambia mai.