Una volta che il denaro arrivava, la frode doveva essere mantenuta come un'attività operativa. Questa è la parte che spesso sfugge agli esterni. Il "pig butchering" non è una singola truffa, ma una sequenza di occultamenti. Il cruscotto della vittima deve mostrare guadagni. La piattaforma deve rimanere online. La persona del servizio clienti deve rispondere. La criptovaluta deve essere stratificata attraverso portafogli abbastanza rapidamente da frustrarne il recupero, ma non così rapidamente da far perdere il controllo della propria contabilità all'operazione.
Nei fascicoli emersi nelle denunce di confisca e nei reportage investigativi su cluster di truffe su larga scala legati al Sud-est asiatico, i meccanismi sono visibili in miniatura e in massa. Le vittime venivano indirizzate verso interfacce di trading che sembravano lucide e istituzionali, complete di grafici dei prezzi, storie di deposito e riepiloghi dei profitti. Le piattaforme false non erano un effetto collaterale del crimine; erano lo strumento di esso. Un grafico che saliva su comando, un saldo che appariva accumularsi da un giorno all'altro, uno schermo di prelievo che prometteva liquidità mentre la ritardava—ogni caratteristica guadagnava tempo. In una frode la cui sopravvivenza dipende dal momentum, anche pochi giorni extra di fiducia possono valere una fortuna.
La rete di controllo si estendeva oltre la pagina web. Le avvertenze del Tesoro degli Stati Uniti hanno descritto come questi schemi utilizzino società di comodo, siti web clonati e "money mules" per mascherare il movimento dei fondi. Il lavoro di tracciamento della blockchain citato da Chainalysis ha mostrato lo stesso schema ripetutamente: i proventi illeciti sono suddivisi in più portafogli, collegati attraverso le catene e spinti attraverso servizi intermediari. Quella stratificazione trasforma un furto in un labirinto. Un trasferimento diretto può essere annullato o congelato se catturato abbastanza rapidamente. Un trasferimento stratificato diventa una scia di frammenti. Quando una vittima si lamenta, il denaro potrebbe già essere stato diviso in dozzine o centinaia di indirizzi, ogni passaggio rende il recupero più difficile e ogni salto aggiunge un ulteriore strato di plausibile negazione.
Il lavoro di mantenere l'illusione ha la sensazione di un processo industriale perché i giornalisti e gli investigatori lo hanno descritto in questo modo. La scena non è quella di un truffatore solitario in un seminterrato, ma di una stanza piena di lavoratori che aggiornano chat, copiano e incollano script, registrano depositi e fanno escalation ai supervisori quando un obiettivo diventa difficile. Alcuni gruppi si affidavano a software di traduzione; altri assumevano madrelingua per mercati particolari affinché la frode suonasse locale, fluente e immediata. L'operazione aveva ruoli, e quei ruoli rispecchiavano un call center o un piano di vendita: setter, closers, supporto tecnico, manager. Questa divisione del lavoro è una delle ragioni per cui la frode è così difficile da interrompere. Rimuovi un nodo e il resto continua a muoversi.
La manutenzione quotidiana richiedeva anche inganno nei confronti degli intermediari. Banche, processori di pagamento, exchange e fornitori di hosting dovevano essere mantenuti a distanza. I truffatori aprivano conti utilizzando identità false, società di facciata e storie aziendali fabricate. Acquistavano tempo di server e canali di pagamento attraverso entità che apparivano ordinarie sulla carta. In alcuni casi, le vittime venivano istruite a utilizzare bonifici bancari o acquisti di criptovalute peer-to-peer che somigliavano ad attività di vendita al dettaglio di routine. Un bonifico, un acquisto di token, un modulo KYC, una conferma di deposito—ogni documento ordinario aiutava a nascondere lo scopo anormale dietro di esso. Il crimine era nascosto all'interno di documenti così banali che potevano passare attraverso i sistemi di conformità a meno che un umano non si accorgesse di ciò che i sistemi automatizzati non notavano.
Un dettaglio sorprendente dai rapporti delle Nazioni Unite e delle forze dell'ordine è che i complessi stessi a volte dovevano fingere una legittimità interna. Ai lavoratori venivano mostrati regole, orari e penalità come se fossero in un vero luogo di lavoro. La finzione era ricorsiva: un'azienda di investimento falsa supportata da una falsa cultura d'ufficio, composta in alcuni casi da persone che potrebbero esse stesse essere state intrappolate. Quel sistema contava. Normalizzava la frode internamente e offuscava la colpevolezza esternamente. Se l'ufficio sembrava regolamentato, se il turno aveva un orario, se c'erano penalità per il mancato raggiungimento della quota, l'operazione poteva imitare la disciplina di un'impresa legittima mentre usava la coercizione per mantenere la macchina in funzione.
Quella macchina aveva costi. Il denaro non andava prima al lusso in ogni caso. Spesso veniva utilizzato per sostenere l'impresa stessa: stipendi, affitti, tangenti, trasporti, dispositivi e sicurezza consumavano tutti i proventi. La truffa aveva spese generali. Ma anche il consumo di alta gamma esisteva, e le autorità nel Sud-est asiatico e nelle confische negli Stati Uniti hanno documentato acquisti di auto di lusso, orologi, proprietà e scorte di criptovalute collegate a reti di frode più ampie. Alcuni di quegli asset sono stati eventualmente congelati o confiscati. Gran parte del denaro non è mai tornato. La traccia finanziaria, una volta entrata nel circuito sotterraneo della frode, non era solo ricchezza rubata ma capitale operativo per la prossima vittima.
Il carico di manutenzione creava un costante rischio di esposizione. Qualsiasi richiesta di prelievo da una vittima esperta, qualsiasi bandiera di conformità bancaria, qualsiasi sequestro di dispositivo, qualsiasi conto compromesso poteva esporre la struttura. Per mantenere viva la truffa, qualcuno doveva essere disponibile quasi 24 ore su 24. Il peso si manifestava nelle persone che gestivano le stanze. I lavoratori delle truffe intervistati dai giornalisti hanno descritto stanchezza, pressione per raggiungere le quote e paura di punizioni. Questa è una delle ragioni per cui le condizioni di traffico e la frode sono così strettamente intrecciate in questo ecosistema. La truffa è costruita per estrarre denaro dalle vittime e lavoro dai lavoratori allo stesso tempo, e entrambe le forme di estrazione dipendono dal controllo.
I punti di fallimento erano spesso sorprendentemente ordinari. Una vittima che chiedeva di prelevare fondi potrebbe essere informata di aver frainteso la meccanica delle criptovalute, o che era necessario un ulteriore trasferimento per soddisfare gli obblighi fiscali prima che i profitti potessero essere rilasciati. Il linguaggio tecnico funzionava come una barriera. Creava l'impressione di un processo amministrativo, uno che suonava sufficientemente ufficiale da rimandare il sospetto. Se l'obiettivo mancava di fiducia, il truffatore poteva inventare un requisito di conformità più velocemente di quanto qualsiasi reale ufficiale di conformità potesse esaminarlo. Il ritardo era la strategia. Il tempo era l'asset, e il ritardo era il modo in cui l'asset veniva estratto.
I quasi incidenti lasciavano tracce. Una registrazione di dominio potrebbe essere imprecisa. Un exchange falso potrebbe condividere l'infrastruttura del server con siti di truffa noti. Una vittima potrebbe scoprire che la stessa foto del profilo veniva riutilizzata sotto nomi diversi. Nessuno di questi errori provava l'intero caso da solo, ma insieme creavano un modello. La frode dipendeva dalla scala, e la scala crea impronte digitali. Una volta che un numero sufficiente di persone era stato danneggiato, gli stessi indirizzi, siti web e script di chat cominciavano a ricorrere. Investigatori, giornalisti e analisti della blockchain potevano collegare i frammenti. Più denaro si muoveva, più registri si accumulavano. La menzogna generava il proprio archivio.
Ecco perché il crimine è infine diventato leggibile nelle aule di tribunale e nelle denunce di confisca. Le prove non erano nascoste tanto quanto distribuite attraverso sistemi che nessuna singola vittima poteva vedere in una sola volta: un sito web qui, un portafoglio lì, una registrazione aziendale, un bonifico, un registro del server, una denuncia, un'analisi della catena, un sequestro. La struttura della frode emergeva solo quando quei pezzi venivano assemblati. Era un modello di business costruito sull'occultamento, ma l'occultamento su scala lascia documentazione, e la documentazione lascia una traccia.
La menzogna, in altre parole, non era perfetta. Era semplicemente occupata. E più denaro generava, più prove accumulava. Quelle prove si stavano accumulando molto prima che il pubblico comprendesse la forma del crimine, il che è il motivo per cui il primo crollo visibile non è arrivato come una sorpresa, ma come risultato di una pressione che si era accumulata in piena vista.