C’è una cosa che molti danno per scontata: se un’app è nel Mac App Store, allora è affidabile. Questa settimana quella convinzione si è schiantata contro un caso piuttosto pesante: una falsa app che imitava Ledger Live (il software usato da chi possiede un wallet hardware Ledger) è riuscita a restare online abbastanza a lungo da svuotare portafogli per circa 9,5 milioni di dollari, colpendo più di 50 persone.
Il dettaglio che fa più male? Non parliamo di un “virus” classico. È stata una truffa semplice e, proprio per questo, devastante: ti fidi, inserisci le informazioni sbagliate nel posto sbagliato, e fine.
Cosa è successo (in breve, ma chiaro)
Tra 7 e 13 aprile 2026, diversi utenti Mac hanno cercato “Ledger Live” nello store e hanno scaricato un’app che sembrava quella vera: nome, icona, interfaccia… tutto costruito per rassicurare. In realtà l’app era pubblicata da un soggetto non collegato a Ledger (in vari report viene citato il publisher “Leva Heal Limited”) e aveva un obiettivo preciso: farti digitare la seed phrase (la famosa frase di recupero, di solito 24 parole).
Una volta inserita quella frase, i truffatori ottengono le chiavi per controllare il wallet: possono spostare fondi dove vogliono, senza “ripensamenti” e senza tasto annulla.
Apple ha poi rimosso l’app dal Mac App Store, ma secondo diverse ricostruzioni sarebbe rimasta disponibile circa due settimane.
Perché questa truffa ha funzionato così bene
Qui c’è il punto: l’App Store, per come lo viviamo, è un marchio di fiducia. E i criminali lo sanno. L’app non aveva bisogno di “bucare” macOS o di superare Gatekeeper con chissà quale exploit. Doveva solo chiederti una cosa che nessuna app legittima dovrebbe mai chiedere: la frase di recupero.
In più, è emerso un dettaglio molto “da manuale”: l’app avrebbe creato una finta cronologia versioni, passando rapidamente da 1.0 a 5.0 in pochi giorni, per sembrare un progetto vivo e “curato”.
E poi c’è la confusione di fondo che ha aiutato lo scam: Ledger distribuisce l’app macOS dal proprio sito, non dal Mac App Store (al contrario, esiste una versione iOS ufficiale). Se cerchi su store, trovi… quello che capita.
I numeri che rendono il caso ancora più serio
Non è la solita storia da “mi hanno rubato 200 euro”. Qui parliamo di:
- circa 9,5 milioni sottratti in totale e 50 vittime in pochi giorni
- tre vittime con perdite a sette cifre (milioni di dollari)
- fondi passati da exchange e servizi di “mixing” (viene citato KuCoin e un mixer chiamato AudiA6)
- KuCoin avrebbe anche congelato alcuni account collegati ai movimenti, ma con limiti temporali e procedure legali di mezzo
Nel mezzo è finita anche una storia umana che ha fatto il giro del web: il musicista G. Love ha raccontato di aver perso circa 5,9 BTC (oltre 400.000 dollari) dopo aver scaricato l’app sbagliata e inserito la seed phrase.
Come proteggersi (senza diventare paranoici)
Se usi wallet crypto (Ledger o altro), questa regola è la cintura di sicurezza: la seed phrase non si digita mai. Non su un’app, non su un sito, non in chat, non “solo per un attimo”. È la chiave di casa, e chi la vede può entrare.
Due mosse pratiche che oggi mi sento di considerare “igiene digitale”:
- Scarica software critico solo da canali ufficiali (sito del produttore, link dai documenti di supporto, bookmark che ti sei creato tu).
- Controlla il publisher/sviluppatore: è banale, ma spesso è l’unico indizio immediato che qualcosa non torna.
E se ti accorgi di aver installato un’app sospetta? In ambito crypto la priorità è sempre la stessa: spostare i fondi su un wallet sicuro prima che sia troppo tardi.
FAQ
La vera app Ledger Live (su Mac) è nel Mac App Store?
No: diversi report indicano che l’app macOS ufficiale viene distribuita dal sito di Ledger, non dal Mac App Store.
Qual è il segnale rosso numero uno per riconoscere la truffa?
Se un’app ti chiede la seed phrase / 24 parole, devi considerarla compromessa.
Apple ha commentato pubblicamente?
Al momento, nelle ricostruzioni pubbliche citate dai media, non risulta un commento ufficiale dettagliato.
Quante persone sono state colpite?
Le stime più citate parlano di oltre 50 vittime tra il 7 e il 13 aprile 2026.
Perché l’App Store non l’ha bloccata subito?
Perché non è detto che ci fosse “malware” nel senso classico: la truffa si basa su phishing e fiducia dell’utente, cioè su input volontario.
Se ho inserito la seed phrase in un’app fake, posso recuperare i fondi?
È difficile: i trasferimenti su blockchain sono spesso irreversibili. In alcuni casi si tenta di bloccare passaggi su exchange tramite segnalazioni e forze dell’ordine, ma non è una garanzia.
Considerazioni finali
Questo episodio è un promemoria fastidioso: la “fiducia di piattaforma” non è una protezione, è solo un comfort psicologico. Apple ha costruito (giustamente) la reputazione del suo ecosistema sul controllo, ma basta un’app ben confezionata, una keyword cercata nel momento sbagliato e una richiesta scritta con sicurezza per mandare in fumo patrimoni reali.
La parte che mi lascia più perplesso non è tanto “come hanno fregato qualcuno”: i social engineer campano di quello da sempre. È il contesto. Il Mac App Store dovrebbe essere il posto dove, almeno, non ti aspetti un clone di un’app finanziaria che ti chiede la chiave universale del tuo denaro. Se non altro, casi così spingono verso un’idea semplice: le app che gestiscono soldi veri meritano livelli di verifica diversi, più simili a quelli bancari che a quelli di un normale tool qualsiasi.
