Il deep web e il dark web rappresentano due dimensioni della rete spesso confuse nel linguaggio comune ma sostanzialmente diverse nella loro natura, funzione e impatto sulla sicurezza informatica. Mentre il deep web include tutte quelle risorse digitali non indicizzate dai motori di ricerca (come database accademici, archivi sanitari o contenuti protetti da credenziali), il dark web è un sottoinsieme volutamente nascosto, accessibile solo tramite software specifici come Tor o I2P, e noto per l’alto grado di anonimato che offre agli utenti.
Sebbene entrambi i livelli siano nati con scopi legittimi, proteggere la privacy e la libertà di espressione in contesti repressivi, il dark web è diventato nel tempo un ecosistema criminale strutturato, in continua evoluzione e sempre più rilevante per i professionisti della cybersecurity. In questo articolo analizziamo le sfide attuali e future che queste aree della rete pongono, con un focus sui trend emergenti, le implicazioni legali e tecnologiche e le misure di contrasto più efficaci.
Deep e dark web: una distinzione essenziale
Il deep web rappresenta una porzione significativamente maggiore della rete rispetto alla superficie indicizzata, includendo contenuti legittimi e strategici non accessibili tramite motori di ricerca tradizionali.
Al contrario, il dark web è intenzionalmente nascosto e richiede strumenti di anonimizzazione per accedervi. I contenuti ospitati spaziano da mercati neri, forum di hacking, vendita di malware, servizi di phishing e ransomware-as-a-service (RaaS), fino ad attività più sofisticate come lo scambio di exploit zero-day.
La crescente professionalizzazione degli attori che operano nel dark web ha trasformato queste reti in hub criminali decentralizzati, che pongono sfide sempre più complesse per la sicurezza delle organizzazioni pubbliche e private.
L’evoluzione delle minacce
Nel corso del 2024, l’Osservatorio Cyberoo ha identificato 218 file di database compromessi in circolazione nei principali marketplace e forum del dark web.
Attraverso un’attenta attività di threat intelligence, è stato possibile constatare che la maggior parte dei dump non contiene semplicemente informazioni ridondanti o di scarso valore, bensì dati unici e particolari che comprendono credenziali aziendali non duplicate, informazioni personali identificabili (PII) e accessi privilegiati a sistemi strategici. Questa tipologia di dati rappresenta un patrimonio inestimabile per gli attori malevoli, in quanto consente loro di orchestrare attacchi sempre più mirati e complessi.
Monitorare il dark web è diventato quindi un requisito strategico, non più una scelta opzionale. Gli attori malevoli sfruttano i dati rubati per movimenti laterali nelle infrastrutture aziendali, attacchi di phishing mirati (spear phishing) o campagne di personification BEC (Business Email Compromise).
Le aziende devono adottare soluzioni di cyber threat intelligence esterna in grado di intercettare la diffusione di informazioni particolari prima che queste vengano sfruttate operativamente.
La vulnerabilità della supply chain
Gli attacchi alla supply chain rappresentano oggi una delle principali minacce sistemiche. Gli attaccanti colpiscono fornitori terzi o software di largo uso per introdursi nei sistemi target. Episodi come SolarWinds, Kaseya e MOVEit hanno dimostrato come anche una singola falla in un anello della catena possa avere effetti devastanti su scala globale.
La direttiva europea NIS2, in vigore da ottobre 2024, impone un rafforzamento del monitoraggio dei fornitori critici, la segmentazione delle responsabilità e la gestione del rischio basata su indicatori di compromissione (IoC) e metriche di conformità.
L’approccio “zero trust” non si limita più all'interno dell’organizzazione, ma si estende a tutta l’ecosistema digitale interconnesso.
Il dark web come ambiente criminale
I forum del dark web sono oggi piattaforme di collaborazione e scambio altamente strutturate, dove cybercriminali, broker di accessi, sviluppatori di malware e affiliati RaaS interagiscono su base commerciale.
Forum come “Exploit”, “RAMP”, “BreachForums” (o i loro fork successivi) offrono spazi per:
- Reclutamento di insider
- Scambio di credenziali e tool di attacco
- Pubblicazione di leak proof-of-hack
- Vendita di exploit e botnet.
Alcuni richiedono inviti e sistemi reputazionali interni, rendendo difficile l’infiltrazione da parte delle forze dell’ordine o delle unità di threat intelligence. La comprensione delle dinamiche interne di questi forum, come linguaggio, modalità di verifica, criptovalute utilizzate, è oggi fondamentale per anticipare minacce e prevenire attacchi mirati.
Codice criminale del cybercrime
Nei forum più strutturati del dark web, il cybercrime segue spesso un vero e proprio codice di condotta interno, che regola i comportamenti degli utenti per garantire ordine e affidabilità all’interno della comunità. Sebbene si tratti di ambienti illeciti, molti di questi forum operano con regole "etiche" ben definite: è comune, ad esempio, vietare le truffe tra membri, gli attacchi a obiettivi critici come ospedali o organizzazioni umanitarie, e la distribuzione di contenuti particolarmente violenti.
Alcuni forum impongono persino regole comportamentali più peculiari, come il divieto di ringraziare pubblicamente i venditori (per non attirare attenzione indesiderata) e l’obbligo di utilizzare sistemi di escrow: questi servizi intermedi garantiscono che il pagamento venga rilasciato solo dopo la conferma della consegna del prodotto o servizio, riducendo il rischio di frodi interne.
Le violazioni di queste norme possono portare all’espulsione, alla perdita della reputazione digitale o a ritorsioni virtuali. In questo modo, i criminali informatici cercano di costruire un ambiente “professionale” e cooperativo, dove scambiarsi strumenti, servizi e informazioni con un minimo di fiducia reciproca.
Democratizzazione del cybercrime
Uno degli sviluppi più allarmanti del dark web è la completa commercializzazione dei servizi criminali, con modelli simili a quelli SaaS legittimi. Oggi è possibile acquistare pacchetti completi di attacco a partire da 100-200 dollari, fino ad arrivare a servizi più avanzati che operano su modelli più complessi e costosi, spesso basati su partnership criminali e revenue sharing.
- Phishing-as-a-Service (PhaaS) con template brandizzati
- Ransomware-as-a-Service (RaaS) con interfacce user-friendly
- Access broker service con credenziali RDP e VPN aziendali
- Synthetic ID e documenti d’identità falsi generati da AI.
Questa “democratizzazione del cybercrime” abbassa drasticamente le barriere d'ingresso, portando nuovi attori non tecnici a partecipare ad attività illegali.
Intelligenza artificiale: potenziatore di attacchi
L’arrivo dell’intelligenza artificiale generativa ha introdotto una nuova dimensione di complessità nel panorama delle minacce informatiche. Gli attaccanti stanno già sfruttando modelli linguistici avanzati per rendere le proprie operazioni più efficaci e meno rilevabili. Tra gli usi più comuni ci sono la creazione di email di phishing altamente realistiche, la scrittura automatica di codice malevolo su misura, l’impiego di deepfake vocali o video per raffinare l’ingegneria sociale e l’analisi automatizzata delle vulnerabilità nei sistemi target.
Tuttavia, anche i difensori possono contare sull’intelligenza artificiale: molte aziende la utilizzano per potenziare le attività di threat hunting, analizzare comportamenti anomali e gestire in modo automatizzato la risposta agli incidenti. In questo contesto, il vero vantaggio competitivo non risiede solo nella tecnologia in sé, ma nella capacità di impiegarla con efficienza, adattabilità e tempestività.
La resilienza come asset strategico
La nuova frontiera della cybersecurity non è solo prevenzione, ma resilienza organizzativa. La capacità di un’azienda di continuare le operazioni durante e dopo un attacco è diventata un parametro critico. Questo implica:
- Cyber Threat Intelligence
- Business Continuity Plan aggiornati e testati
- Disaster recovery automatizzato
- Incident response team attivi 24/7
- Simulazioni di attacchi reali (Red/Blue/Purple Team).
La compliance alla NIS2 e ad altri framework internazionali (come ISO/IEC 27001, DORA o il Cyber Resilience Act) è solo il punto di partenza per costruire una difesa realmente efficace.
CSI: Cyber Threat Intelligence
CSI (Cyber Security Intelligence) di Cyberoo rappresenta un approccio avanzato alla protezione delle aziende dalle minacce informatiche emergenti, con un focus particolare sul deep e dark web. Questa soluzione si avvale di un team di Cyber Security Specialist che operano in incognito per raccogliere e analizzare dati attraverso l'Open Source Intelligence. L'obiettivo è fornire una visione completa delle minacce esterne che possono influenzare la presenza online di un'azienda, accrescendo la consapevolezza dei rischi potenziali.
Il servizio di CSI non si limita alle minacce tecnologiche tradizionali, ma pone un'enfasi significativa anche sulle minacce di natura fraudolenta. Le informazioni raccolte sono accessibili solo a utenti e sistemi autorizzati, garantendo che ogni accesso sia registrato e conforme agli standard di sicurezza e alle normative vigenti.
Le capacità di CSI includono l'identificazione di data breach e data leakage, il monitoraggio del brand per proteggere la reputazione aziendale, e l'analisi approfondita del deep e dark web per individuare informazioni che potrebbero avere un impatto sull'azienda. Inoltre, offre un monitoraggio completo della presenza online attraverso il VIP Monitoring Ultra, che orchestra e correla i dati da diverse fonti per una visione integrata.
CSI fornisce anche una valutazione continua della postura di sicurezza aziendale, identificando in tempo reale le vulnerabilità nei sistemi esposti. Questo approccio proattivo permette alle aziende di mantenere un alto livello di sicurezza e resilienza contro le minacce informatiche, assicurando che le loro difese siano sempre aggiornate e pronte a rispondere a qualsiasi attacco.
Il futuro del deep e del dark web
Nei prossimi anni, il deep e dark web evolveranno seguendo almeno tre direttrici:
- Frammentazione e decentralizzazione: l’aumento delle operazioni delle forze dell’ordine e la chiusura dei grandi marketplace (come Hydra e DarkMarket) stanno spingendo gli attori criminali verso ambienti più resilienti, come reti P2P e piattaforme Web3 peer-to-peer, supportate da criptovalute privacy‑oriented quali Monero e Zcash.
- Automazione e AI criminale: l’adozione di modelli di intelligenza artificiale, spesso basati su versioni modificate di GPT-2 o Codex e rilanciati con branding truffaldino come “WormGPT” e “FraudGPT”, sta già consentendo campagne di phishing, malware su misura, deepfake e attacchi adattivi altamente scalabili. Nel frattempo, forze dell’ordine e aziende adottano AI avanzata per il threat hunting e l’analisi comportamentale, rendendo la cybersicurezza sempre più affidata a sistemi predittivi e automatizzati.
- Geopolitica del cybercrime: i confini tra hacktivismo, cyber‑spionaggio statale e crimine organizzato si stanno annullando. Ad esempio, APT riconducibili a stati (come la Lazarus Group per la Corea del Nord o gruppi cinesi) operano nelle stesse reti e mercati del crimine comune, rendendo opache le motivazioni dietro agli attacchi.
In questo scenario, la cybersecurity non può più essere vista come una semplice funzione tecnica. Deve trasformarsi in una leva strategica per la governance globale. Per affrontare minacce sempre più distribuite e automatizzate, servono collaborazione internazionale, regole comuni su AI e blockchain, e investimenti mirati in threat intelligence.
Senza questi elementi, il rischio è di restare indietro rispetto a un cybercrime sempre più evoluto e organizzato. La collaborazione tra aziende, governi e comunità di ricerca sarà essenziale per costruire un ecosistema digitale più sicuro e resiliente.
