Il dark web non è un "mondo misterioso": «È un mercato del crimine organizzato che colpisce le aziende»

L'immagine del Dark Web come un luogo inaccessibile, popolato da hacker solitari e misteriosi, è un mito pericoloso. La realtà, spiegano gli esperti di cybersecurity, è molto più banale e, proprio per questo, più allarmante: il Dark Web è un vero e proprio mercato nero organizzato, dove gli strumenti per distruggere un’azienda sono in vendita a pochi euro, spesso - addirittura - tramite semplici servizi in abbonamento.

Approfondiamo questo fenomeno e le crescenti vulnerabilità a cui è esposto il tessuto imprenditoriale italiano insieme a Giuseppe Anastasio, cofondatore di BAIT Service, realtà di riferimento nel mondo ICT e della cybersecurity che da anni assiste le aziende nel contrasto al crimine informatico.

Anastasio, il Dark Web sembra essere diventato la centrale operativa del cybercrime. Qual è la sua visione dall'interno?

Il Dark Web non è un mondo misterioso: è un enorme mercato nascosto dove finisce di tutto. Non solo password e accessi alle aziende, ma anche cose molto più pesanti: istruzioni per fabbricare armi e ordigni, droghe sintetiche, documenti falsi e identità complete pronte all’uso. E in mezzo a tutto questo ci sono gli strumenti che poi vengono utilizzati negli attacchi informatici contro le imprese. La cosa che stupisce, quando ci entri davvero, è quanto sia tutto “normale”: piattaforme, servizi, abbonamenti… Sembra quasi un mercato legale, solo che invece vende strumenti per colpire le aziende.

Lei ha parlato di una "normalizzazione" dell'attacco. Cosa significa in termini pratici per la sicurezza aziendale?

Significa che oggi non serve essere hacker. Esistono servizi in abbonamento che ti danno tutto già pronto: tu paghi, scarichi il pannello e parti. È incredibile vedere quanto siano fatti bene. Lo dico sinceramente: alcune dashboard criminali sembrano più curate del nostro CRM interno. Hanno la lista delle aziende infettate, lo stato dell’attacco, i messaggi con la vittima… Tutto ordinato, pulito e semplice da usare.

Un modello che sta spingendo l'acceleratore sugli attacchi è il “gratis + percentuale”. Ce lo spiega?

Funziona così: tu non paghi niente, usi un ransomware (ovvero un malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto - ransom, in inglese - per rimuovere questa limitazione) e se la vittima paga, gli sviluppatori si prendono una percentuale. Questo è uno dei motivi per cui gli attacchi stanno esplodendo.

L'emergenza italiana: numeri da crisi

I numeri confermano l'allarme lanciato in questa prima parte di intervista da Anastasio e, in generale, da tutto il settore della sicurezza informatica. I dati italiani sono purtroppo importanti:

• Nel 2025 l’Italia ha registrato oltre 1.500 incidenti informatici seri nei primi sei mesi, con una crescita del +53%;
• Le aziende italiane subiscono quasi 15.000 attacchi l’anno, di cui una fetta importante è costituita da attacchi ransomware;
• In media, un attacco grave può costare oltre 3 milioni di euro tra blocco dei sistemi, ripristino e danni indiretti;
• Alcune aziende italiane si sono viste pubblicare sul Dark Web centinaia di gigabyte di dati rubati.

«E tutto questo succede mentre, nel frattempo, nel Dark Web si vendono password aziendali a 3/10 euro - sottolinea Anastasio - Come detto, l’attacco nasce in modo quasi "banale": comprano tutto pronto, come fosse un software in abbonamento».

Di fronte a questo scenario, qual è la strategia di un team tecnico certificato come BAIT Service?

Stiamo proprio introducendo un nuovo servizio per i nostri clienti. La logica è questa: se i criminali preparano tutto nel Dark Web, allora noi lo guardiamo prima di loro. Con un costo ridicolo di soli pochi euro al mese attiviamo un sistema che controlla in modo continuo se nel Dark Web compare qualcosa che riguarda l’azienda: password, documenti, accessi compromessi, fughe di dati. E appena succede, parte una notifica immediata. È come avere un antifurto puntato non sulla porta dell’azienda, ma sul garage dove i ladri si riforniscono prima di uscire a colpire: questo permette di intervenire quando si è ancora in tempo, non quando il danno è già avvenuto.

BAIT Service: il valore di un intervento tempestivo

L'esperienza sul campo di un team tecnico qualificato è spesso la linea di confine tra un incidente gestibile e un disastro totale. «In questi anni abbiamo visto situazioni che non finiscono sui giornali. Aziende che si sono ritrovate con i server bloccati, reparti fermi, dati presi in ostaggio; oppure fughe di informazioni che circolavano da mesi nel Dark Web senza che nessuno ne sapesse nulla, e quando lo abbiamo mostrato l’interlocutore è rimasto gelato. Dico solo che quando monitori questo mondo ogni giorno, ti rendi conto che spesso gli attacchi più seri non sono quelli che fanno notizia, ma quelli che restano silenziosi», racconta Anastasio.

Il valore decisivo di BAIT Service si misura nella sua capacità di risposta immediata e tecnica. «Ricordo due episodi in cui siamo intervenuti mentre l’attacco era già in corso: qui devo entrare un po’ più nel tecnico. Abbiamo rilevato movimenti laterali anomali nei sistemi: escalation di privilegi, tentativi di cifratura su cartelle condivise, connessioni RDP aperte da IP non autorizzati e script che stavano iniziando a distribuire payload malevoli nella rete interna. In situazioni del genere devi essere velocissimo: isolare i segmenti compromessi, chiudere le sessioni attive, bloccare le credenziali esposte, interrompere i processi sospetti e rigenerare chiavi e token di accesso».

La conclusione è lapidaria: «Fortunatamente siamo riusciti a contenere gli attacchi prima che venisse cifrato anche un solo file critico. Se non fossimo intervenuti in quelle finestre di pochi minuti, alcune aziende avrebbero subito danni enormi. Sul campo capisci una cosa: quando ti accorgi dell’attacco mentre sta avvenendo e riesci a spegnerlo, non hai “risolto un problema”. Hai evitato un disastro».

Affidarsi a un partner come BAIT Service, dunque, non è solo una scelta di prevenzione tecnologica, ma una garanzia di intervento rapido e chirurgico nei momenti cruciali, trasformando la minaccia silente del Dark Web in un rischio monitorato e gestibile.