È possibile trovare l’IP della transazione? È possibile rintracciare la persona attraverso i record delle transazioni dell’indirizzo Bitcoin? È possibile rilevare il riciclaggio di denaro tramite Bitcoin? La polizia può trovare account Bitcoin?
Domanda: La polizia può scoprire chi ha trasferito Bitcoin? È possibile trovare l’IP della transazione? È possibile rintracciare la persona attraverso i record delle transazioni dell’indirizzo Bitcoin? È possibile rilevare il riciclaggio di denaro tramite Bitcoin? La polizia può trovare gli account Bitcoin?
Risposta: È possibile interrogare la destinazione della transazione di Bitcoin. Le transazioni Bitcoin verranno registrate sulla blockchain di Bitcoin. Puoi controllare la liquidità di Bitcoin e da quale portafoglio è stato trasferito. Tuttavia, sai solo il trasferimento: quale portafoglio è dentro, non sai a chi appartiene. Bitcoin è trasparente e pubblico, ma anche anonimo. Le transazioni e i flussi sono pubblici e verranno registrati, ma la persona che effettua la transazione è anonima.
Particolare attenzione: nei casi di crimine informatico legati a Bitcoin, le prove che dimostrano il flusso delle transazioni di Bitcoin sono generalmente incentrate sul flusso di denaro e sulle tracce informatiche. Il nostro lavoro come avvocati nella difesa di casi di crimine legati a Bitcoin è trovare problemi nelle prove esistenti riguardanti il flusso di denaro e le tracce informatiche.
Cinque metodi per interrompere il tracciamento del flusso di Bitcoin.
I crimini informatici legati a Bitcoin sono diversi dai crimini tradizionali, non lasciano tracce o oggetti che possano dimostrare la loro identità e comportamento nel luogo del crimine. In molti casi, le tracce lasciate dai sospettati sono false, e trovare prove concrete di condanna tra tracce false è molto difficile, poiché è difficile collegare le prove online con quelle offline, rendendo complicata la formazione di una catena di prove completa e portando a fatti poco chiari e prove insufficienti, rendendo difficile la condanna. Questo è ciò che dico sempre: non esiste una verità, ma solo costruzioni e interpretazioni dei fatti basate su prove.
Quando trattiamo casi come questi, dobbiamo prima familiarizzare con il sistema delle prove di questo tipo di crimine e classificare le prove correlate. Le prove di questo tipo di crimine di solito si dividono in diverse aree:
(1)La testimonianza del sospettato, la testimonianza dei coimputati, le dichiarazioni del fornitore o del destinatario.
(2)Informazioni di registrazione, indirizzo e transazioni del portafoglio Bitcoin.
(3)Informazioni sugli utenti associate agli indirizzi dei portafogli ottenute e analizzate tramite computer, telefoni e metodi di estrazione dati cloud, come nomi email, account Weibo, indirizzi IP di accesso a QQ, ecc.
(4)Registri delle transazioni e delle informazioni relative alla piattaforma di trading.
(5)Registri di ricarica e prelievo dei giochi online.
(6)Registri delle transazioni bancarie.
(7)Registri delle chat da WeChat, QQ e applicazioni di chat estere come Bat e Paper Plane.
(8)Dati elettronici recuperati da computer, telefoni, hard disk esterni sequestrati e rapporti di analisi e identificazione; indirizzo Bitcoin, chiave e analisi degli indirizzi virtuali dei soggetti coinvolti negli scambi utilizzando i registri di transazione del sospettato.
(9)Dati elettronici mirati relativi a piattaforme di trading di terzi, client, dispositivi mobili correlati e le relative azioni di pagamento nel flusso di denaro.
Poiché questo tipo di crimine si svolge principalmente nello spazio virtuale, la raccolta di prove è principalmente basata su prove elettroniche. Queste prove presentano alcune somiglianze con altre forme di crimine informatico, cioè sono facilmente distruttibili e modificabili, e poiché i crimini si svolgono in spazi virtuali, è difficile lasciare tracce e indizi sufficienti. Inoltre, gli operatori del settore nero generalmente possiedono capacità di controspionaggio, ad esempio utilizzando Tor o proxy per avviare transazioni, effettuando transazioni Bitcoin in contanti al di fuori, ecc. Gli operatori del settore nero hanno una padronanza della rete e dei computer che supera di gran lunga quella della persona comune, e la loro distruzione o eliminazione delle prove elettroniche è molto più completa. Inoltre, la maggior parte di essi ha una certa resistenza a confessare la verità dopo essere stati catturati, il che rende difficile formare una catena di prove sul comportamento di transazione Bitcoin, sulle reti di transazione e sui flussi di denaro in molti casi.
Ora, voglio brevemente discutere il modo in cui noi avvocati esaminiamo le catene di prove quando difendiamo gli imputati in questo tipo di crimine. Quando esaminiamo le prove per la difesa, consideriamo principalmente se cinque aree di prove possono formare una catena di prove.
1. È possibile interrompere la catena di prove che associa l'indirizzo del portafoglio all'identità del sospettato (imputato)? Prima di tutto, noi avvocati dobbiamo esaminare le prove per vedere se possiamo interrompere la corrispondenza delle prove tra l'indirizzo del portafoglio di ricezione e l'identità del sospettato. Per accusare un crimine, è necessario avere prove che dimostrino che l'account Bitcoin che riceve i proventi illeciti appartiene al sospettato o è collegato a lui. L'anonimato di Bitcoin rende difficile dimostrare che l'account Bitcoin che riceve i proventi illeciti appartiene al sospettato. Nel caso di Li e degli altri che hanno aperto un casinò online, i giocatori possono scommettere solo utilizzando Bitcoin o Ethereum. I giocatori devono depositare Bitcoin o Ethereum nell'indirizzo del portafoglio di Kiying. Le forze dell'ordine inizialmente hanno identificato 4 indirizzi di portafoglio Bitcoin come conti per ricevere le scommesse in base all'indirizzo di ricezione fornito dal denunciante, ma alla fine, a causa della mancanza di prove, non sono riusciti a decifrare l'anonimato del portafoglio Bitcoin, e alla fine è stato riconosciuto solo un portafoglio Bitcoin come conto per ricevere le scommesse.
2. È possibile interrompere la catena di prove che collega l'indirizzo del portafoglio all'indirizzo IP del sospettato e all'indirizzo MAC del dispositivo? Dobbiamo comprendere i limiti delle prove ottenute tramite triangolazione o rilevamento del flusso mirato per ottenere l'indirizzo IP di origine. Dobbiamo prestare attenzione alle carenze e alla correlazione delle prove riguardanti gli indirizzi IP nell'uso di Tor e VPN. Inoltre, nei crimini informatici, quando il comportamento criminoso è associato a un indirizzo IP bloccato, ciò indica solo: primo, che il comportamento criminoso ha stabilito una possibile associazione con un indirizzo reale, ma non implica necessariamente una correlazione. Se ci sono circostanze in cui gli indirizzi IP sono assegnati casualmente, non si può concludere una correlazione necessaria tra il comportamento criminoso e il luogo reale dell'indirizzo IP bloccato. In secondo luogo, anche se la correlazione è stabilita, non si può direttamente stabilire un legame tra il luogo reale e l'autore. È ancora necessario determinare la necessaria correlazione tra il luogo reale e l'autore affinché si possa infine riconoscere la relazione tra l'autore e il comportamento criminoso online. Dobbiamo comprendere che avere solo l'indirizzo del portafoglio rende difficile determinare l'indirizzo IP di accesso, e avere solo l'indirizzo IP non può direttamente stabilire una correlazione tra il luogo reale e l'autore, rendendo difficile la semplice identificazione del crimine. La maggior parte delle persone condannate ha altre prove a conferma, come confessioni, o dati e registri di rete provenienti da computer e telefoni.
3. È possibile interrompere la catena di prove che collega il processo di transazione Bitcoin alle altre informazioni e tracce online del sospettato? Bitcoin è solo semi-anonimo; il protocollo non conosce il vero nome delle parti coinvolte, ma attraverso vari metodi è comunque possibile collegare le informazioni di transazione a persone nel mondo reale. In molti casi, i sospettati vengono catturati non perché l'indirizzo del portafoglio Bitcoin corrisponda all'identità reale, ma perché le varie tracce lasciate durante le transazioni Bitcoin sono state analizzate e collegate all'identità del sospettato. Durante la difesa, dobbiamo prestare attenzione alla legalità del recupero di queste tracce online. Ad esempio, in un caso, un certo Feng è stato arrestato perché ha venduto Bitcoin a un gruppo di frode. Dopo l'arresto, era confuso perché aveva effettuato transazioni Bitcoin utilizzando WiFi pubblico e aveva intrapreso una serie di operazioni per aumentare l'anonimato, come il trading tramite proxy, cambiando frequentemente indirizzi di portafoglio, utilizzando ricariche di giochi online per poi ritirare denaro. Come hanno comunque potuto trovarlo? In realtà, è un problema che molte persone nel mondo delle criptovalute incontrano. In questo caso, anche se Feng ha utilizzato WiFi pubblico, l'app Dropbox del suo laptop era collegata al server della sua azienda, il che ha collegato il suo indirizzo IP all'account Dropbox nei log del server dell'azienda. Dobbiamo anche prestare attenzione a una situazione: anche se il sospettato non visita alcun sito personale, le informazioni sui cookie memorizzate nel computer possono essere collegate con le informazioni sui cookie della cronologia di navigazione precedente.
4. È possibile interrompere la catena di prove che collega il flusso di denaro al sospettato (imputato)?
Il flusso di denaro durante il processo di monetizzazione di Bitcoin è la prova chiave per risolvere i casi. Molti casi sono stati risolti solo perché sono state trovate prove durante il processo di monetizzazione, e le prove relative all'interruzione del flusso di denaro sono un elemento cruciale su cui possiamo contare per chiedere l'archiviazione del caso, il non perseguimento penale o l'assoluzione.
Dobbiamo prestare attenzione, poiché ora in molti casi, il processo di monetizzazione di Bitcoin ha adottato misure di controspionaggio, come monetizzazione all'estero tramite banche nere o casinò, o transazioni in contante offline, o tramite miscelazione o dark web, rendendo difficile chiarire il flusso di denaro. Lo scorso anno ho gestito un caso in Henan in cui Li cercava su QQ il gruppo di chat 'Telecom Laundering' e ha scritto nel gruppo che forniva servizi di riciclaggio per i gruppi di frode online. Hanno acquistato un gran numero di carte di debito nere da fornire ai gruppi di frode e poi hanno acquistato Bitcoin con tutto il denaro dalle carte, vendendoli poi a pagamento in contante. Hanno cercato di evitare le indagini facendo transazioni in contante offline, aumentando l'anonimato, quindi l'identità del principale autore dell'acquisto e della vendita di Bitcoin è stata conosciuta solo attraverso il nome WeChat, e l'identità non è mai stata confermata, rendendo difficile chiarire l'importo coinvolto.
Nei crimini informatici legati a Bitcoin, a causa dell'anonimità di Bitcoin e delle capacità di controspionaggio degli operatori del settore nero, nel processo di circolazione del denaro si utilizzano spesso carte nere, banche sotterranee, siti di gioco d'azzardo o miscelazione, dark web. Formare una catena di prove che punti a un sospettato per ogni transazione è difficile. In un caso di frode online che ho gestito nel 2017, hanno acquistato Bitcoin con tutto il denaro versato dai clienti da siti esteri. Le forze dell'ordine hanno confermato che l'importo coinvolto era superiore a 20 milioni, ma durante la difesa abbiamo scoperto che una parte sostanziale di questi 20 milioni non poteva formare una catena di prove sul flusso di denaro. Alla fine l'ufficio del pubblico ministero ha rivisto l'importo a oltre 7 milioni. Il caso in cui ho gestito il maggiore abbassamento dell'importo si è verificato in Zhejiang, dove l'importo della frode è stato ridotto da 190 milioni a 120 milioni, con una riduzione di circa 70 milioni.
Noi avvocati dobbiamo concentrarci sull'esame:
(1)La carta di debito su cui affluiscono i proventi illeciti è di proprietà o in possesso del sospettato. È importante prestare attenzione a eventuali problemi legati alle carte nere nel processo di circolazione dei proventi illeciti, verificare se queste carte nere sono in possesso del sospettato, esaminare se ci sono prove di sequestro delle carte nere; è anche necessario prestare attenzione alle prove che riguardano il prelevatore, se il prelevatore è stato arrestato e se ci sono prove che dimostrino un legame tra il prelevatore e il sospettato.
(2)Verificare se gli account di pagamento online, come Alipay, Internet banking o altri, utilizzati per gestire i proventi illeciti sono in possesso e gestiti dal sospettato. In molti casi, i proventi illeciti affluiscono in più account di pagamento online come Alipay e Internet banking. Quando gestiamo i casi, dobbiamo esaminare attentamente se ci sono prove che dimostrino che questi account sono di proprietà o gestiti dal sospettato. Nel caso di Wang, i proventi illeciti sono stati trasferiti in 5 account Alipay, che poi sono stati depositati in piattaforme di gioco online, senza alcuna prova che dimostrasse che questi 5 account Alipay fossero gestiti da Wang. Perché le forze dell'ordine hanno arrestato Wang? Il motivo è che la squadra di investigazione sulla sicurezza informatica ha analizzato la traccia degli indirizzi IP di accesso di questi 5 account Alipay e ha scoperto che il suo numero QQ, la sua email e l'IP dell'account Alipay corrispondevano più volte a quelli di questi 5 account, dimostrando quindi che l'utente dei 5 account Alipay coinvolti nel caso era Wang. Questo è un punto su cui dobbiamo prestare attenzione come avvocati, cioè il problema della corrispondenza degli indirizzi IP. In molti casi, ci si trova di fronte a questo problema. Ciò che dobbiamo notare è che determinare che una persona è un sospettato basandoci solo sulla corrispondenza degli indirizzi IP di più account di pagamento è un presupposto, e nel caso di server virtuali (VPS) e reti virtuali private (VPN), più computer sulla stessa rete pubblica possono avere lo stesso indirizzo IP. Se non ci sono altre prove a conferma, può essere possibile interrompere la catena di prove sul flusso di denaro.
5. È possibile interrompere la catena di prove che collega "persona e caso"? Cioè interrompere le prove che collegano il sospettato ai coimputati.
I crimini legati a Bitcoin presentano caratteristiche della catena industriale nera, i sospettati e i coimputati di solito non si conoscono, potrebbero essere solo conoscenti online e nemmeno conoscere i veri nomi l'uno dell'altro. Nei crimini informatici, le forme di comunicazione tra gli autori sono diversificate, i soggetti di comunicazione sono virtuali, le azioni comuni sono sfumate, a volte è difficile formare una catena di prove che punti a un sospettato specifico. In molti casi, le forze dell'ordine catturano solo un segmento della catena industriale nera, cercando prove da questi sospettati arrestati per puntare ad altre persone nella catena, questo è ciò che chiamo prova che punta "da persona a persona" nei crimini informatici.
Con l'aumento delle capacità di controspionaggio dei lavoratori del settore nero, le forze dell'ordine trovano sempre più difficile ottenere una catena di prove "da persona a persona". Lo scorso anno, nei casi che ho gestito a Jingzhou, Hubei e Zhoukou, Henan, i gruppi criminali hanno utilizzato rispettivamente il software di chat Bat e il software di chat taiwanese WhatsApp, che sono end-to-end criptati, senza tracce sui server, accessibili direttamente tramite ID senza bisogno di legare informazioni identificative. La massima sicurezza e riservatezza, la possibilità di autodistruzione delle informazioni, la revoca bidirezionale e l'eliminazione dei messaggi rendono difficile interrompere la catena di prove "da persona a persona".
Noi avvocati dobbiamo esaminare le conversazioni, i registri di trasferimento, le chiamate e altre prove per verificare se ci sono prove sufficienti che dimostrino che ci sia stata un'intesa o un collegamento, cercando di interrompere la catena di prove "da persona a persona".
Dobbiamo prestare particolare attenzione alla testimonianza del sospettato e a quella dei coimputati. Come già detto, i crimini legati a Bitcoin sono difficili da provare a causa dell'anonimato di Bitcoin e delle difficoltà nella raccolta delle prove elettroniche. Ottenere una catena di prove completa per accusare un crimine è piuttosto difficile. In molti casi, la testimonianza del sospettato è molto importante; molti casi hanno trovato la loro strada attraverso la testimonianza. Dobbiamo esaminare la stabilità della testimonianza del sospettato e la coerenza e le contraddizioni con le dichiarazioni degli altri coimputati. Quando ci sono ripetizioni o ritrattazioni nella testimonianza del sospettato, dobbiamo capire come valutare e contestare queste affermazioni durante il nostro lavoro.
I casi di crimine informatico legati a Bitcoin comportano molte questioni tecniche, ci sono difficoltà nella raccolta delle prove e spesso è difficile trovare prove sufficienti. Le prove possono essere difficili da credere, la determinazione dei fatti oggettivi è particolarmente complicata, la prova soggettiva del crimine è difficile da ottenere, il legame tra i coimputati è sfocato e la classificazione dei crimini è controversa. Tutto ciò richiede agli avvocati di migliorare la propria competenza legale e tecnica e approfondire la ricerca. Solo comprendendo le caratteristiche di questo tipo di crimine e le tecniche di difesa possiamo ottenere risultati di assoluzione o attenuazione nelle difese di tali crimini.
