Le informazioni che finiscono in vendita nel dark web provengono da un’ampia gamma di attività illecite. Violazioni su vasta scala di database aziendali, spesso perpetrate da gruppi criminali organizzati o, in alcuni contesti, da attori statali, che riescono a sfruttare vulnerabilità software o a orchestrare attacchi persistenti.
Parallelamente, campagne di phishing sempre più sofisticate, inclusi attacchi di spear phishing mirati su specifici individui o ruoli aziendali, riescono a carpire credenziali preziose.
Non meno rilevanti sono le infezioni da malware infostealer, software progettato per registrare i tasti premuti o estrarre dati direttamente dai browser e dalle applicazioni.
Persino le minacce interne, ovvero dipendenti infedeli o negligenti, possono contribuire all’esfiltrazione di dati. Una volta ottenute, queste informazioni entrano in una filiera che ne massimizza il valore economico.
Per strutturare una difesa informata, è cruciale capire le modalità con cui i malintenzionati impiegano concretamente questi dati vengono.
Indice degli argomenti
Dati rubati, i prezzi nel dark web
Il prezzo di un pacchetto di dati varia notevolmente: pochi euro possono bastare per un numero di carta di credito, mentre le credenziali di accesso a servizi finanziari con saldi consistenti possono raggiungere quotazioni di decine di euro.
L’accesso a portafogli di criptovalute, data l’immediata e spesso irrintracciabile possibilità di monetizzazione, o le credenziali per accedere a infrastrutture aziendali (come accessi Rdp o Vpn), possono valere centinaia se non migliaia di euro.
Tale valore è dettato da fattori come la freschezza del dato, la sua effettiva lavorabilità (cioè la facilità con cui può essere sfruttato per un guadagno illecito) e persino la reputazione del venditore all’interno delle comunità di cyber crime online.
Credenziali di accesso: un tesoro da tutelare
Le credenziali di accesso, composte da username e password, rappresentano uno degli asset più ricercati.
Il loro utilizzo principale avviene tramite attacchi di credential stuffing, dove software automatizzati testano sistematicamente le coppie di credenziali rubate su un vasto numero di piattaforme online, facendo leva sulla deprecabile, ma diffusa, abitudine degli utenti di riutilizzare le medesime password su più servizi.
La compromissione di un account può aprire le porte a furti diretti, per esempio da piattaforme di eCommerce o servizi di online banking, oppure può servire come trampolino di lancio per ulteriori attività illecite, come l’invio di campagne di spam o phishing mirate ai contatti della vittima.
In scenari più complessi, un account violato può fungere da pivot point, un punto di snodo per tentare di compromettere account di valore superiore, come l’indirizzo email principale utilizzato per il recupero password di altri servizi critici.
Furto d’identità e identità sintetiche
I dati anagrafici e PII, quali codice fiscale, data di nascita, indirizzo di residenza, numero di telefono, sono invece mattoni fondamentali per la costruzione di furti d’identità.
Con queste informazioni, i cyber criminali possono tentare di aprire conti correnti o richiedere finanziamenti a nome della vittima, configurando vere e proprie frodi creditizie.
Un altro impiego è l’intestazione fraudolenta di Sim card, poi eventualmente utilizzate in attacchi di Sim swapping per intercettare i codici di autenticazione a due fattori inviati tramite Sms, aggirando così una misura di sicurezza altrimenti efficace per l’accesso a servizi bancari o altri account sensibili.
La minaccia emergente delle identità sintetiche, create combinando dati reali appartenenti a più individui con informazioni fittizie, aggiunge un ulteriore livello di complessità a questo scenario.
Le frodi Cnp (card not present)
Per quanto riguarda i dati finanziari, specificamente quelli relativi a carte di credito o debito, i carder utilizzano le informazioni carpite (numeri di carta, date di scadenza, codici CVV e, in alcuni casi, i dati contenuti nella banda magnetica o nel chip) per effettuare acquisti fraudolenti online (le cosiddette frodi CNP, Card Not Present) o, se in possesso dei dati fisici, per la clonazione delle carte stesse.
Spesso, prima di un utilizzo massivo, i dati delle carte vengono testati con transazioni di piccolo importo su siti web con controlli meno stringenti.
Anche le scansioni o fotografie di documenti d’identità trovano un loro mercato, venendo impiegate per superare le procedure di Know your customer (Kyc) richieste da molte piattaforme online, per aprire account su exchange di criptovalute in modo anonimo, o per la creazione di profili falsi utilizzati in truffe o altre attività illecite.
Come verificare la propria esposizione
Sorge spontanea la domanda su come una persona possa verificare la propria esposizione.
Fortunatamente, esistono strumenti e servizi legittimi che consentono un certo grado di monitoraggio senza la necessità di addentrarsi negli anfratti del Dark Web. Il servizio Dark web report di Google, per esempio, integrato negli account personali, può notificare l’utente qualora il proprio indirizzo email o altre informazioni personali precedentemente specificate vengano rilevate in noti data dump.
Analogamente, il gestore di password di Apple include una funzionalità che segnala se le credenziali archiviate dall’utente sono state identificate come compromesse in violazioni di dati conosciute.
Un punto di riferimento consolidato nella comunità della sicurezza informatica è il database Have I Been Pwned, curato dal ricercatore Troy Hunt, che aggrega dati provenienti da molteplici breach, permettendo una rapida verifica basata sull’indirizzo email o, per i servizi premium, su altri identificatori.
Anche i moderni password manager stanno sempre più assumendo il ruolo di vere e proprie console per la sicurezza personale, integrando funzionalità di monitoraggio che segnalano proattivamente password deboli, riutilizzate o compromesse.
È tuttavia fondamentale comprendere i limiti intrinseci di questi strumenti: essi tipicamente hanno visibilità solo sui data dump che sono stati resi pubblici o attivamente condivisi con i loro sviluppatori.
Una porzione significativa delle transazioni di dati rubati avviene in contesti come forum privati, che sfuggono a questo tipo di monitoraggio.
Mentre le aziende possono avvalersi di servizi di Threat Intelligence commerciale per un monitoraggio più capillare e proattivo, per l’utente individuale gli strumenti citati rappresentano un primo, ma indispensabile, livello di consapevolezza.
La prima linea di difesa: la tutela finanziaria
La scoperta di una propria esposizione, per quanto preoccupante, non deve condurre alla paralisi, ma piuttosto a una reazione strutturata e tempestiva. Sebbene sia virtualmente impossibile eliminare completamente le informazioni una volta che sono entrate nei circuiti del dark web, è possibile e doveroso implementare una serie di misure concrete per circoscrivere il danno e prevenire ulteriori abusi.
La prima linea di difesa, in caso di sospetta o accertata compromissione, riguarda la messa in sicurezza del proprio patrimonio finanziario. Ciò implica un contatto immediato con i propri istituti bancari o con gli emittenti delle carte di pagamento per procedere al blocco e alla sostituzione degli strumenti potenzialmente coinvolti.
Parallelamente, un esame meticoloso e costante degli estratti conto e delle movimentazioni finanziarie è cruciale per l’identificazione precoce di eventuali transazioni anomale o non autorizzate.
Nel contesto normativo e operativo italiano, è altresì fondamentale interagire con i sistemi di informazioni creditizie.
Una visura periodica presso questi enti permette di accertare che non siano state attivate linee di credito, prestiti o altre forme di finanziamento a proprio nome in maniera fraudolenta.
Alcuni di questi enti offrono anche servizi di alerting che notificano l’utente in caso di richieste di credito a suo nome.
Un ulteriore strumento di tutela è la segnalazione alla Centrale d’allarme interbancaria, effettuabile tramite la propria banca, che permette di bloccare l’utilizzo di assegni e carte in caso di furto o smarrimento, rendendone più complesso l’impiego fraudolento.
Infine, qualsiasi episodio di frode o attività sospetta deve essere formalizzato attraverso una denuncia circostanziata e dettagliata alla Polizia postale e delle comunicazioni, allegando ogni elemento probatorio disponibile. Tale denuncia non solo avvia l’iter investigativo, ma è un documento imprescindibile per poter disconoscere operazioni fraudolente e avviare eventuali procedure di rimborso.
Credenziali digitali: serve un password manager
Contestualmente alle azioni di tutela finanziaria, si impone una revisione e una fortificazione sistematica delle proprie credenziali digitali. Qualsiasi password associata a servizi, i cui dati sono noti per essere stati compromessi, deve essere modificata.
Data la pericolosa e purtroppo diffusa pratica del riutilizzo delle password, questo processo di bonifica deve essere esteso a tutti gli account che potrebbero condividere la medesima password o lievi variazioni. In questo scenario, l’adozione e l’utilizzo di un password manager cessa di essere una semplice opzione per trasformarsi in una necessità operativa.
Questi software, infatti, non solo sono in grado di generare password ad elevata entropia (ovvero lunghe, complesse e realmente casuali, quindi altamente resistenti a tentativi di cracking tramite brute-force o dictionary attack) ma le archiviano in modo sicuro e cifrato, sollevando l’utente dall’onere di memorizzarle.
Anche nel caso in cui un database violato contenga versioni hashed delle password, password deboli o comuni possono essere comunque ottenute utilizzando tecniche come le rainbow table o attraverso l’impiego di massiccia potenza di calcolo.
Password uniche e generate casualmente da un manager minimizzano drasticamente questo rischio, rendendo inefficaci attacchi di tipo credential stuffing.
Adozione sistematica dell’Mfa
L’efficacia della protezione delle credenziali migliora, inoltre, con l’implementazione sistematica di MFA.
Questa misura di sicurezza aggiunge un ulteriore livello di verifica oltre alla semplice password (qualcosa che l’utente sa), richiedendo un secondo fattore, che può essere qualcosa che l’utente possiede (come un token hardware o un’app di autenticazione sullo smartphone) o qualcosa che l’utente è (come un’impronta digitale).
È cruciale abilitare l’MFA su tutti i servizi online che la supportano, con un’attenzione prioritaria per gli account di posta elettronica (spesso utilizzati per il recupero password di altri servizi), i servizi di online banking, i principali social network, i servizi di cloud storage e, non da ultimo, l’accesso al proprio password manager.
Tra i metodi di MFA, è preferibile optare per applicazioni che generano codici OTP basati sul tempo (TOTP), come Google Authenticator, Authy o le funzionalità MFA integrate in alcuni password manager. Essi sono considerati più sicuri rispetto all’invio di OTP tramite Sms, poiché quest’ultimo canale è vulnerabile ad attacchi di SIM swapping o all’intercettazione del traffico SMS tramite attacchi alla rete SS7.
Per una protezione ancora più robusta, specialmente contro attacchi di phishing sofisticati, le chiavi di sicurezza hardware basate su standard FIDO2/WebAuthn (come le YubiKey o le Google Titan Keys) rappresentano attualmente il gold standard.
Queste chiavi fisiche, inserite nel dispositivo al momento dell’autenticazione, implementano un meccanismo di origin binding, assicurando che le credenziali crittografiche vengano scambiate solo con il sito web legittimo, rendendo inefficaci i tentativi di phishing che mirano a carpire codici OTP o password su siti contraffatti.
Non bisogna poi dimenticare la gestione sicura dei codici di backup forniti all’atto dell’attivazione dell’MFA, che devono essere conservati in un luogo sicuro, preferibilmente offline e separato dal dispositivo di autenticazione primario.
Altrettanto importante è una revisione periodica dei metodi di recupero degli account (email secondarie, numeri di telefono), assicurandosi che siano sempre aggiornati, sicuri e pienamente sotto il proprio controllo, evitando l’uso di domande di sicurezza le cui risposte potrebbero essere facilmente dedotte o reperite online.
Proteggere Spid e Cie
Un aspetto proattivo della difesa della propria identità digitale, particolarmente rilevante nel contesto italiano, riguarda il presidio e la messa in sicurezza degli account istituzionali.
Strumenti come Spid e Cie sono ormai le chiavi d’accesso primarie a una
vasta gamma di servizi della Pubblica Amministrazione e a numerosi servizi privati.
È quindi imperativo proteggere l’accesso a questi strumenti con password robuste e, ove il proprio Identity Provider SPID lo consenta per i livelli di sicurezza superiori, con meccanismi di autenticazione forte.
Un monitoraggio regolare degli accessi effettuati tramite Spid o Cie, solitamente possibile attraverso i pannelli di controllo forniti dagli Identity Provider, permette di individuare tempestivamente eventuali attività anomale.
È altresì buona norma verificare periodicamente le applicazioni e i servizi di terze parti ai quali si è concesso l’accesso tramite Spid/Cie, revocando le autorizzazioni per quelli non più utilizzati o ritenuti sospetti.
Similmente, è consigliabile accedere con regolarità ai portali online dell’Inps e dell’Agenzia delle Entrate per verificare la propria posizione, eventuali comunicazioni o anomalie, sfruttando i Pin dispositivi e gli altri meccanismi di sicurezza offerti da tali enti per una maggiore protezione, per esempio, nelle operazioni fiscali.
Principio di minimizzazione dei dati
Una strategia difensiva di lungo respiro non può prescindere dall’adozione del principio di minimizzazione dei dati, un concetto cardine anche del Gdpr. Questo principio implica la necessità di fornire, per ogni servizio o transazione, solo i dati strettamente necessari al perseguimento della finalità dichiarata dal titolare del trattamento.
È opportuno sviluppare una sana diffidenza verso richieste di informazioni personali che appaiono eccessive o non chiaramente giustificate, chiedendo delucidazioni sulla necessità di tali dati.
Il codice fiscale, per esempio, non dovrebbe essere comunicato con leggerezza a qualsiasi esercente o servizio online. Anche la condivisione di copie digitali di documenti d’identità, come la carta d’identità o la patente di guida, merita un’attenta valutazione del contesto, della finalità e dell’affidabilità del soggetto richiedente, tenuto conto del loro crescente impiego nelle procedure di Know Your Customer online, spesso automatizzate.
Per l’iscrizione a servizi non critici, newsletter o forum, può essere prudente valutare l’utilizzo di indirizzi email alias o temporanei, che limitano l’esposizione del proprio indirizzo email principale.
La lettura attenta delle informative sulla privacy e una gestione consapevole dei consensi forniti, specialmente per trattamenti di dati non strettamente indispensabili all’erogazione del servizio richiesto, contribuiscono significativamente a ridurre la propria superficie d’attacco digitale.
Ricordare che ogni dato non condiviso è un dato che non potrà essere perso in una futura violazione o rivenduto nel dark web.
Incident response plan: un piano personale
Per una gestione ancora più strutturata della propria sicurezza, può essere utile
delineare un embrione di Personal Incident response plan.
Questo non significa redigere un documento formale complesso. Invece vuol dire avere mentalmente (o, meglio, in forma scritta, conservata offline o in un archivio digitale crittografato) una chiara cognizione dei propri account più critici, delle relative procedure di blocco o recupero password, e dei contatti di emergenza.
Mantenere una traccia documentale di eventuali incidenti subiti (screenshot di attività sospette, email di notifica, date di modifica delle password, numeri di protocollo delle denunce presentate) può rivelarsi estremamente utile in caso di dispute legali o per la ricostruzione di eventi complessi.
Si suggerisce anche l’utilizzo di un indirizzo email dedicato esclusivamente ai servizi finanziari e ad altre attività online particolarmente sensibili, mantenendolo distinto da quello utilizzato per i social media, le iscrizioni a newsletter o altre attività a minor rischio.
Cancellarsi dal dark web è impossibile: ma la prevenzione è doverosa
La scoperta dei propri dati personali in circolazione nel dark web è un evento che, sebbene allarmante, non deve sfociare in un senso di impotenza.
È piuttosto un potente richiamo alla necessità di una maggiore consapevolezza e di un impegno proattivo nella gestione della propria sicurezza digitale.
Le strategie e le tattiche discusse in questo articolo, che spaziano dalla reazione immediata a un incidente alla costruzione di una solida postura di difesa preventiva, se implementate con costanza e rigore, possono ridurre in modo significativo la probabilità che le informazioni compromesse vengano sfruttate con successo a danno della vittima.
La sicurezza informatica non è un traguardo da raggiungere una tantum, ma un processo continuo di valutazione del rischio, aggiornamento delle proprie conoscenze tecniche e adozione disciplinata delle best practice.
