La maggior parte delle persone ha sentito parlare del dark web, ma pochi capiscono come sia realmente o cosa vi accada. Per distinguere la realtà dalla finzione, il nostro team di ricerca ha trascorso 48 ore esplorandolo in prima persona e documentando ciò che abbiamo scoperto.
Il dark web non è intrinsecamente negativo. Ha anche scopi legittimi, in quanto garantisce un livello di privacy a giornalisti, informatori, attivisti e altre persone che hanno bisogno di comunicare in forma anonima. Per accedervi è solitamente necessario il browser Tor, e diverse organizzazioni affidabili gestiscono siti ufficiali sul dark web. Ad esempio, il sito web di notizie della BBC è disponibile al seguente indirizzo Tor: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Ma accanto a questi usi legittimi esiste un fiorente ecosistema criminale.
Quello che abbiamo scoperto è stata un’economia sommersa organizzata e attiva, che opera in modi che la maggior parte delle persone non immagina nemmeno. I criminali informatici non agiscono da soli. Si riuniscono in forum clandestini dedicati alla criminalità informatica, dove discutono dei nuovi metodi di attacco, condividono tecniche e collaborano per individuare modalità con cui colpire persone in tutto il mondo.
Non pensatelo tanto come un vicolo buio, quanto piuttosto come una rete professionale di criminali informatici.
Oltre a questi forum, abbiamo individuato dei veri e propri mercati dedicati alla criminalità informatica. Questi funzionano come negozi online in cui hackers truffatori possono acquistare e vendere una vasta gamma di beni digitali compromessi, dalle credenziali di account rubate agli strumenti di hacking, il tutto tramite transazioni anonime effettuate utilizzando criptovalute.
Curiosità: molti di questi marketplace prendono il nome da personaggi pubblici famosi, tra cui il presidente degli Stati Uniti Donald Trump.
La bussola del dark web
I criminali informatici provengono da ogni angolo del mondo e, come qualsiasi comunità globale, hanno bisogno di un modo per trovarsi a vicenda. È qui che entrano in gioco le bacheche di link.
Le "link board" sono elenchi che raccolgono centinaia di forum e mercati clandestini. Sono organizzate per lingua e fungono da bussola per il dark web.
Un criminale informatico può operare all'interno di una comunità che parla la sua lingua madre oppure partecipare a forum più grandi in lingua inglese che attirano un pubblico internazionale.
Non tutti i forum hanno però lo stesso peso. Nel 2026, la comunità è concentrata in gran parte attorno a piattaforme dominanti come BreachForums e DarkForums. I forum in lingua russa più esclusivi, come Exploit e XSS, tendono ad attrarre alcuni dei cybercriminali più sofisticati dell’underground.
Dati compromessi: le tue informazioni potrebbero già essere circolate
La maggior parte delle persone non ha idea di quante delle proprie informazioni personali stiano già circolando sul dark web. In molti casi, la prima difficoltà consiste semplicemente nel capire se le proprie informazioni siano state effettivamente divulgate. Puoi verificare qui se è il tuo caso.
Per comprendere la portata del problema, è utile confrontare ciò che è di dominio pubblico con ciò che abbiamo scoperto andando oltre le apparenze.
Le violazioni rese pubbliche rappresentano solo una parte del quadro complessivo. Dall’inizio del 2026, Malwarebytes hanno individuato oltre 7.500 set di dati compromessi contenenti più di 8,4 miliardi di record. Tra questi figurano dati sottratti in seguito a violazioni, raccolti tramite campagne di phishing, estratti da servizi online ed esposti a causa di sistemi configurati in modo errato.
Tra le organizzazioni coinvolte figurano nomi molto noti come SoundCloud, ADT, Hallmark, Amtrak, Vimeo e Instagram.
Ma per quanto significativi possano essere questi dati, essi raccontano solo una parte della storia.
Esaminando la sezione dedicata ai database su DarkForums, una delle piattaforme più attive del mondo underground, abbiamo trovato 63 pagine di annunci pubblicati dall’inizio del 2026. Con 20 annunci per pagina, si tratta di oltre 1.200 violazioni dei dati di piccola e media entità, la maggior parte delle quali non ha mai fatto notizia sui media.
La situazione su BreachForums era simile. Dall’inizio dell’anno, la piattaforma ha accumulato 37 pagine di elenchi di database, ciascuna contenente 20 voci, aggiungendo oltre 700 database compromessi al già enorme bacino di dati rubati.
Se si sommano tutti questi dati, le violazioni rese pubbliche rappresentano solo la punta dell’iceberg. Gran parte dei dati personali rubati e scambiati online cambia di mano in modo discreto e lontano dagli occhi di tutti.
Identità statunitensi in vendita
Uno dei beni più ricercati nel mondo clandestino del crimine informatico è ciò che hackers “fullz”: un pacchetto completo contenente le informazioni relative all’identità di una persona reale. Nel 2026, le identità statunitensi continuano a essere particolarmente preziose grazie all’infrastruttura finanziaria del Paese, agli elevati limiti di credito e all’ampia gamma di servizi che possono essere sfruttati a fini fraudolenti.
Un tipico pacchetto “fullz” include nome completo, numero di previdenza sociale (SSN), data di nascita, indirizzo e altri dati personali. Se finiscono nelle mani sbagliate, queste informazioni costituiscono uno strumento pronto all’uso per la frode d’identità. Consentono ai criminali informatici di aprire conti di credito fraudolenti, presentare dichiarazioni dei redditi false, accedere a conti finanziari o persino ottenere prestazioni sanitarie a nome di qualcun altro.
Ciò che rende i “fullz” particolarmente pericolosi è che spesso le vittime non si rendono conto che la propria identità è stata compromessa fino a molto tempo dopo che il danno è già stato fatto. A volte ciò avviene mesi o addirittura anni dopo, quando vengono contattate da agenzie di recupero crediti o quando una richiesta di credito viene inaspettatamente respinta.
Non sorprende che gli Stati Uniti rimangano uno dei paesi più colpiti dai furti d’identità. Solo nei primi tre trimestri del 2025 sono stati segnalati alla Federal Trade Commission (FTC) oltre 1,15 milioni di casi di furto d’identità, superando già il numero totale registrato nell’intero 2024.
Nel corso della nostra ricerca, ci siamo imbattuti in 9-Digits Market, uno dei tanti mercati del dark web specializzati nella vendita di dati relativi a identità rubate. Ciò che ci ha colpito è stato il prezzo: un profilo completo relativo a un’identità statunitense era in vendita a soli 0,95 dollari.
Con meno del prezzo di una tazza di caffè, un criminale informatico può acquistare informazioni sufficienti a mandare in rovina la situazione finanziaria di una persona.
Come i criminali informatici utilizzano il malware per attaccare il tuo computer
Le violazioni dei dati non sono l’unico modo in cui le tue informazioni personali finiscono sul dark web. A volte la fonte è molto più vicina a te: il tuo stesso computer. Durante la nostra esperienza sul dark web, abbiamo incontrato gli sviluppatori responsabili di una categoria particolarmente pericolosa di malware nota come “infostealer”, o semplicemente “stealer”. Il concetto è semplice, ed è in parte proprio per questo che è così efficace.
Una volta installato, un infostealer esegue una ricerca silenziosa sul dispositivo alla ricerca di qualsiasi informazione di valore. Tra queste possono figurare nomi utente e password salvati, dati di compilazione automatica, dettagli di pagamento memorizzati, portafogli di criptovalute e altre informazioni sensibili. I dati rubati vengono poi inviati all'autore dell'attacco.
Di seguito è riportata un'anteprima del pannello dello stealer STORM, che ha compromesso un computer con sede negli Stati Uniti e ha sottratto 87 combinazioni di nome utente e password dal dispositivo.
Forse l’aspetto più allarmante è quanto sia diventato accessibile questo tipo di malware. Nel 2026, qualsiasi aspirante criminale informatico potrà noleggiare un infostealer tramite abbonamento, senza bisogno di particolari conoscenze tecniche né di ingenti investimenti finanziari. Il “cybercrime-as-a-service” ha drasticamente abbassato la barriera all’ingresso.
I dati rubati vengono poi venduti o diffusi su forum e mercati clandestini. Siamo rimasti scioccati dall'enorme quantità di dati in questione.
Ogni giorno, su queste piattaforme vengono condivise milioni di credenziali rubate. Dietro ognuna di quelle righe c’è una persona in carne e ossa, completamente all’oscuro del fatto che la propria vita digitale venga smembrata e scambiata come una merce.
Investimenti fasulli e truffe legate alle criptovalute
Non tutti i reati informatici ruotano attorno al furto di password o alla fuga di dati da database. Alcuni criminali puntano a guadagni molto più consistenti attraverso truffe di ingegneria sociale pianificate con cura. Uno degli esempi più sofisticati e dannosi che abbiamo riscontrato è rappresentato dalle truffe sugli investimenti in criptovalute, note anche come pig butchering”.
La strategia alla base di tutto ciò è estremamente efficace. I criminali dedicano molto tempo e impegno a costruire quella che sembra una relazione autentica con la loro vittima tramite app di incontri, social media o piattaforme di messaggistica.
Sono pazienti, cordiali e convincenti, e si guadagnano lentamente la fiducia della vittima nel corso di giorni o addirittura settimane. Solo dopo aver instaurato un rapporto di fiducia presentano quella che sembra essere un’entusiasmante opportunità di investimento. Quando la vittima si rende conto che qualcosa non va, i suoi soldi sono già spariti e la persona di cui si fidava è scomparsa senza lasciare traccia.
Nel corso della nostra indagine, abbiamo osservato un'operazione di frode nel settore delle criptovalute su larga scala, già pienamente operativa, che prendeva di mira nuove vittime attraverso piattaforme di investimento fasulle, ben curate e di alto livello, progettate appositamente per tenere le vittime agganciate per lunghi periodi.
L'operazione prevedeva:
- Documentazione completa, script e elementi che ne rafforzano la credibilità. Tutto il necessario per apparire attendibile fin dal primo giorno.
- Guide di comunicazione redatte con cura e manuali di ingegneria sociale pensati per esercitare una pressione psicologica sulle vittime affinché raggiungano il limite massimo delle loro carte di credito, contraggano prestiti e continuino a investire sempre più denaro.
- Team di sviluppo interni che realizzano piattaforme di trading fasulle che imitano fedelmente i servizi di investimento legittimi.
I nostri ricercatori sono inoltre riusciti ad accedere a una di queste piattaforme fraudolente e siamo rimasti sconcertati dal livello di sofisticazione.
Non si tratta di operazioni condotte da dilettanti. Sono organizzazioni criminali ben finanziate e gestite in modo professionale, che considerano l’inganno come un vero e proprio business.
In sole 48 ore abbiamo individuato identità rubate, malware a pagamento, password trapelate e operazioni di frode su scala industriale. La maggior parte delle persone non visiterà mai il dark web, ma i suoi effetti possono comunque raggiungerle attraverso violazioni dei dati, infezioni da malware e truffe.
Malwarebytes proteggerti da ciascuna di queste minacce. Il nostro servizio di monitoraggio delle violazioni dei dati ti avvisa se le tue informazioni personali compaiono in una violazione già nota. Theft Identity monitora le informazioni sensibili, compreso il tuo numero di previdenza sociale, mentre Scam Guard utilizza un sistema di rilevamento basato sull’intelligenza artificiale per aiutarti a identificare SMS, e-mail, link e numeri di telefono sospetti prima che possano causare danni.
Il dark web prospera grazie alle informazioni rubate. Sapere quando i propri dati vengono esposti è il primo passo per stare un passo avanti.
