Nelle ultime ventiquattro ore Facebook è stato attraversato da una campagna di manipolazione visiva inedita per scala e per precisione: una serie di fotomontaggi professionali con Giorgia Meloni, Matteo Salvini, Carlo Calenda e altri protagonisti della scena pubblica italiana è comparsa all’interno di inserzioni sponsorizzate che imitavano frame televisivi, grafiche giornalistiche e interviste economiche. Non si tratta di video deepfake, ma di immagini statiche costruite per riprodurre l’estetica dell’informazione: loghi inventati, titoli confezionati per sembrare veri, dichiarazioni che nessuno dei politici coinvolti ha mai pronunciato. L’obiettivo, però, non era politico e non mirava a influenzare l’opinione pubblica: serviva a spingere gli utenti verso piattaforme di trading che promettevano guadagni rapidi, sicuri e privi di rischio. In realtà erano l’esatto contrario: sistemi fraudolenti travestiti da prodotti finanziari legittimi.
Le piattaforme più ricorrenti in questa ondata sono TramarexoMax e AlevroxanPro, presentate come soluzioni tecnologiche all’avanguardia in grado di generare rendimenti automatici grazie a “algoritmi avanzati”. Visitando le loro pagine, costruite con grande cura per suggerire professionalità, si ritrovavano ovunque due testimonial d’eccezione: Carlo Calenda e Piero Ferrari, associati a frasi di endorsement che non avevano mai pronunciato. L’intera struttura grafica, dai pulsanti ai moduli di registrazione, rivelava però un dettaglio inequivocabile: le due piattaforme erano cloni perfetti l’una dell’altra, identiche in tutto tranne che nel nome, nei colori e nel logo. La tecnica è nota: cambiare la “vernice” per sfuggire ai controlli e continuare a rimpiazzare marchi compromessi con nuovi brand più puliti.
In parallelo, nelle stesse ore, è comparsa un’altra piattaforma segnalata dagli utenti: Immediate Nystex. A differenza delle prime due, non si diffondeva tramite Facebook Ads, ma percorreva canali privati come SMS, chat WhatsApp e link mascherati da articoli economici. Il risultato finale, però, era identico: la pagina mostrava di nuovo Calenda e Ferrari come testimonial, con la stessa impaginazione, lo stesso copione e lo stesso modulo di registrazione utilizzato dalle altre due piattaforme. La differenza riguardava quindi solo il canale di distribuzione, non la logica della truffa. TramarexoMax e AlevroxanPro puntavano all’utente generalista attraverso l’impatto visivo dei deepfake statici; Immediate Nystex intercettava invece persone già esposte al mondo cripto o al trading amatoriale. Tre percorsi diversi che portavano alla stessa destinazione.
Il primo contatto con la vittima avveniva tramite telefonata. Nel caso di TramarexoMax e AlevroxanPro, il numero compariva come italiano, con geolocalizzazione a Montecatini Terme: un dettaglio studiato per rassicurare l’utente. In realtà si trattava di numeri VoIP mascherati che instradavano la chiamata da Paesi dell’Est Europa o dal Caucaso. Per Immediate Nystex, invece, apparivano direttamente prefissi internazionali che cambiavano a rotazione. Ma la voce dall’altra parte era sempre la stessa: giovani donne che parlavano un italiano comprensibile ma con un accento dell’Est Europa inconfondibile. Il copione, le pause, il tono, persino le frasi di apertura erano identici. L’utente veniva informato di avere un “account già attivo” che doveva essere completato con una ricarica immediata. Si trattava di un’operazione psicologica calibrata per generare urgenza e togliere tempo al ragionamento.
Quando la piattaforma prevedeva bonifico bancario, il “consulente” guidava la vittima passo dopo passo all’interno della propria area riservata bancaria. Le istruzioni erano così precise da suggerire una conoscenza diretta delle interfacce dei principali istituti italiani. La causale del bonifico veniva precompilata con il nome di una società artificiale, creata per sembrare reale ma completamente irrintracciabile. La partita IVA riportata nei moduli era falsa, mentre l’IBAN risultava appartenere a prestanome che fungevano da “muli finanziari”. Nel caso di Immediate Nystex, invece, il percorso si spostava sulle criptovalute: veniva richiesto alla vittima di acquistare crypto tramite un exchange e inviarle a un indirizzo esterno. Il trasferimento rendeva immediatamente irrecuperabile il denaro.
La dinamica dei conti mule è uno degli aspetti più rivelatori della struttura. Due IBAN emersi nelle ultime ore lo rappresentano con chiarezza: un conto Findomestic (IT69…) e un conto Mediolanum (IT62…), formalmente validi e associati a banche italiane reali ma intestati a persone usate come prestanome. Questi conti vengono aperti, utilizzati per ricevere denaro dalle vittime e rapidamente svuotati tramite trasferimenti successivi. La rotazione degli IBAN ogni quarantotto o settantadue ore conferma l’esistenza di un reparto specifico incaricato di rifornire il call center con nuovi conti non ancora segnalati. Nel mondo crypto, il processo è ancora più immediato: l’indirizzo fornito è un wallet di smistamento che viene rigenerato automaticamente.
Qualunque sia la piattaforma di ingresso, il percorso converge sempre nello stesso punto: un sedicente broker chiamato Alantra MC. Dopo la registrazione, l’utente riceve un pannello in italiano sgrammaticato che fornisce credenziali generate automaticamente e chiede un versamento immediato verso un IBAN italiano. La pagina di deposito è rudimentale, con grafica amatoriale e testi pieni di errori. Una volta trasferito il denaro, il sistema invia una mail del “Team Alantra” che dà accesso a un webtrader teoricamente destinato alla gestione degli investimenti. In realtà si tratta di un front-end vuoto, senza alcun collegamento con i mercati reali. I grafici provengono da widget gratuiti, nessun ordine viene eseguito e il margine richiesto rimane sempre a zero. È una simulazione estetica costruita solo per creare l’illusione del profitto e spingere la vittima a depositare di più.
L’analisi tecnica del dominio utilizzato — alantrafx[.]com — chiude il cerchio. Registrato il 5 novembre 2025, appena ventotto giorni prima dell’ondata di campagne fraudolente, il dominio è ospitato dietro Cloudflare, con dati del proprietario completamente oscurati e una rotazione continua di nameserver e indirizzi IP. È un dominio usa e getta, costruito per durare il tempo necessario alla truffa. Il WHOIS rivela che il sito reale non esiste: ciò che viene mostrato alle vittime è un’interfaccia caricata tramite script e widget, priva di backend e di qualunque infrastruttura finanziaria.
Il ramo parallelo utilizzato da Immediate Nystex conduce invece a newclientpanel[.]com, un altro dominio senza sito pubblico, registrato a ottobre e riciclato in decine di truffe della famiglia “Immediate”. Si tratta di un pannello privato, nascosto dietro Cloudflare, progettato per mostrare saldi finti e depositi simulati. La differenza di interfaccia fa credere all’utente di trovarsi davanti a una piattaforma indipendente, ma la destinazione finale del denaro è identica: conti mule italiani, wallet anonimi e la stessa rete criminale transnazionale.
La coesistenza nello stesso giorno di tre marchi diversi — TramarexoMax, AlevroxanPro e Immediate Nystex — dimostra il livello di maturità di questo ecosistema. Cambiano i nomi, cambiano i colori, cambiano i testimonial fasulli. Non cambia la struttura. È una macchina criminale modulare, capace di adattarsi ai canali, ai pubblici e alle contingenze tecniche con una rapidità impossibile da replicare per le autorità. Un modello replicabile all’infinito, dove ogni brand è sacrificabile e ogni dominio può scomparire in poche ore.
Dietro i deepfake politici, dietro le telefonate dall’Est, dietro gli IBAN mule e dietro i pannelli di trading inesistenti, c’è un’unica infrastruttura che sfrutta la velocità come arma e la confusione come scudo. Tutto ciò che cambia è l’ingresso. La destinazione, invece, è sempre la stessa.
