Un musicista americano ha perso quasi 6 Bitcoin, equivalenti a circa 424.000 dollari, per colpa di un’applicazione falsa spacciata per ufficiale di Ledger sull’App Store di Apple.

La vittima è Garrett Dutton, in arte G. Love, frontman della band G. Love & Special Sauce.

È successo il 11 aprile 2026 mentre configurava un nuovo computer Mac: ha cercato “Ledger Live” sull’App Store, ha scaricato quella che sembrava l’app giusta e, seguendo le istruzioni, ha inserito la sua frase di recupero di 24 parole.

Pochi minuti dopo, i fondi – il suo fondo pensione accumulato in dieci anni – sono spariti.

Il trasferimento fraudolento sembra  abbia riguardato solo i Bitcoin e non le altre cripto presenti nel wallet.

In termini semplici, è andata così: l’app falsa presente nell’app store ha ingannato l’utente facendogli credere di dover inserire la “chiave segreta” per far funzionare il wallet. Una volta inserita, i truffatori hanno preso il controllo e trasferito tutto.

Perché Ledger non c’entra nulla

Ledger produce hardware wallet considerati tra i più sicuri al mondo.

Il dispositivo Ledger (Nano S, Nano X o Stax) genera offline una seed phrase (frase di recupero) generalmente di 12 o 24 parole, detta anche Secret Recovery Phrase.

Questa frase è l’unica cosa che serve per recuperare i fondi: non viene mai memorizzata sul pc o celllulare né inviata online. Il vero Ledger Live (l’app ufficiale) serve solo a gestire le transazioni, ma non chiede mai la seed phrase. Le chiavi private restano sul dispositivo hardware e firmano le operazioni senza mai lasciare il chip sicuro.

In questo caso non si trattava né di un Ledger hardware contraffatto né di un problema di sicurezza del dispositivo o del software ufficiale.

Era un’app completamente falsa pubblicata sull’Apple Mac App Store sotto il nome di “SAS SOFTWARE COMPANY” che imitava perfettamente l’interfaccia di Ledger Live.

L’app, una volta installata, mostrava un messaggio di errore fittizio e chiedeva esplicitamente la frase di 12 o 24 parole. Una volta inserita, i criminali hanno ottenuto l’accesso completo al wallet.

Ledger non ha alcuna responsabilità in questo episodio.

L’azienda lo ripete da anni: mai inserire la seed phrase su un computer o su un’app scaricata da store di terze parti.

Sul sito ufficiale ledger.com e nei suoi supporti ufficiali esiste una pagina dedicata proprio alle “Fraudulent Ledger Wallet applications” che avvisa gli utenti di questo rischio.

La truffa è stata possibile solo perché l’utente ha scaricato un’app non ufficiale e ha violato la regola base della sicurezza crypto: la seed phrase non si condivide mai, con nessuno e per nessun motivo.

Purtroppo capita spesso che, quando un utente perde fondi con un Ledger, la colpa venga data all’azienda. È un classico errore di percezione. Ricordiamo due precedenti emblematici:

• Nel 2020 Ledger subì una violazione di dati che espose solo gli indirizzi email di circa un milione di clienti (non le seed phrase né i fondi). Ne seguirono campagne di phishing mirate, ma molti accusarono Ledger di “insicurezza” ignorando che i wallet hardware erano rimasti intatti.
• Nei primi mesi del 2026, un altro utente su Reddit ha raccontato di aver perso oltre un milione di dollari scaricando una fake “Ledger Wallet” sempre dall’App Store di Apple, convintosi che fosse più sicuro dell’installazione diretta dal sito.

In tutti questi casi, Ledger non è mai stata compromessa: il problema è sempre stato l’errore umano o un’app contraffatta.

L’App Store di Apple: procedure costose per la sicurezza… che non bastano sempre

Apple vanta un processo di revisione delle app tra i più rigorosi del settore. Per pubblicare un app sullo store servono:

• un account sviluppatore annuale (99 dollari, ma per aziende serie i costi reali sono molto più alti);
• una revisione manuale e automatica che verifica codice, privacy, funzionalità e potenziali rischi di sicurezza;
• conformità a centinaia di linee guida che rendono molto difficile far passare malware palese.

Tutto questo costa tempo e denaro agli sviluppatori onesti e dovrebbe proteggere gli utenti.

Eppure, come dimostra questo caso (e altri simili), app false riescono a superare i controlli, soprattutto quando sono ben camuffate e non contengono codice evidentemente maligno fino al momento dell’installazione.

Ecco perché Ledger, come molti altri produttori di wallet, consiglia da sempre di scaricare l’app ufficiale direttamente dal proprio sito (ledger.com/ledger-live) e verificare l’autenticità con checksum o link ufficiali.

È più sicuro, più veloce e toglie di mezzo l’intermediario che, nonostante tutti gli sforzi e i costi, non riesce a garantire il 100% di protezione contro truffe sofisticate.

La vicenda di G. Love è un doloroso promemoria per tutta la community crypto: la tecnologia è sicura, ma l’anello debole resta sempre l’utente. Scaricare solo dal produttore, non fidarsi delle ricerche sullo store e, soprattutto, non inserire mai la seed phrase rimangono le regole d’oro.

Ledger non è responsabile di questa truffa, così come non lo è stata nei precedenti casi simili.

La responsabilità è di chi ha messo online l’app falsa e di chi, purtroppo, ci è cascato.

Ne parla anche Atlas21, qui l’articolo in italiano: https://atlas21.com/it/app-ledger-falsa-su-app-store-musicista-perde-59-btc/