Il Dark Web è solo una minuscola parte di Internet, ma il suo impatto cresce ogni giorno. Nel 2025, la rete Tor ha superato i 3 milioni di utenti giornalieri: segno che questa “zona d’ombra” non è affatto marginale. Anche quando le forze dell’ordine smantellano marketplace criminali, il sistema si rigenera in fretta. Nel 2026, la vera sfida non è più prevenire ogni attacco, ma quanto velocemente riusciamo a ripartire dopo un colpo.
Un ecosistema criminale sempre più organizzato
Oggi il Dark Web non è più un caos di attività illegali: è diventato un ecosistema organizzato, con regole interne, ruoli specializzati e persino “professionisti” del crimine digitale. Tra questi spiccano i cyber mercenari, piccoli team che operano in forum chiusi e ultra-selezionati, dove la reputazione è tutto e ogni transazione è blindata.
Questi ambienti adottano meccanismi tipici dei mercati regolamentati: sistemi di escrow obbligatori, moderazione attiva, arbitraggio delle dispute e regole stringenti che garantiscono stabilità operativa e fiducia tra gli attori.
L’arrivo degli agenti IA autonomi
Ma la vera rivoluzione è l’arrivo di agenti IA autonomi progettati per attaccare. Non parliamo di semplici chatbot: sono sistemi che gestiscono intere campagne offensive, dalla ricognizione all’esfiltrazione dei dati. Il risultato? Attacchi che prima richiedevano giorni ora si chiudono in pochi minuti. Le macchine corrono, mentre le difese spesso restano lente e umane.
Questo divario temporale segna il superamento definitivo della prevenzione come unico obiettivo: la resilienza operativa diventa la nuova metrica di maturità cyber.
Accessi iniziali, exploit e cracking su commissione
Nei mercati più riservati si comprano accessi iniziali, exploit 0-day e servizi “su misura”, come il cracking di hash amministrativi per prendere il controllo totale di un’infrastruttura. Quando un gruppo ottiene l’accesso a un server compromesso ma non riesce a crackare l’hash dell’account privilegiato, pubblica una richiesta nel forum offrendo un compenso per la sua decodifica.
Le cifre variano enormemente: dalle piccole somme di 50–200 dollari fino a offerte di migliaia di dollari per hash particolarmente complessi. Il cracking su commissione è affidato a specialisti dotati di workstation multi-GPU e configurazioni ottimizzate, una nicchia altamente tecnica che consente di trasformare un accesso parziale in pieno controllo dei sistemi compromessi.
Attacchi silenziosi e crisi della fiducia digitale
Cresce anche la domanda di attacchi silenziosi, senza ransomware, puntati solo a rubare dati senza lasciare tracce. Il vero valore oggi è la persistenza invisibile, non il clamore. E mentre il ransomware continua a evolversi, la fiducia digitale vacilla: deepfake, phishing avanzato e campagne iper-mirate sfruttano la psicologia più che la tecnologia, aggirando persino MFA. L’identità diventa il nuovo perimetro di sicurezza.
I modelli Ransomware-as-a-Service si integrano sempre più con broker di accesso iniziale, mentre deepfake e phishing evoluto accelerano la crisi della fiducia digitale, rendendo inefficaci molti controlli tradizionali.
Cosa significa per le aziende
Cosa significa tutto questo? Che il Dark Web è ormai una fabbrica criminale “regolamentata”, con capacità simili alle APT. Nessuna azienda è troppo piccola per essere un bersaglio. Servono modelli di rischio aggiornati, visibilità end-to-end, controlli sugli accessi privilegiati e risposte automatizzate. Non si tratta più di evitare ogni intrusione, ma di ripristinare sistemi puliti prima che l’attaccante si adatti.
Oggi più che mai la cyber threat intelligence orientata al Dark Web e l’automazione della risposta diventano elementi essenziali per competere con un avversario che opera senza interruzioni e a velocità macchina.
Analisi di Vasily Kononov, Threat Intelligence Lead, CYBEROO
