Quando si parla di cybercrime, l’errore più comune è immaginarlo come una somma di attacchi isolati, guidati da singoli hacker o da piccoli gruppi improvvisati.
In realtà, ciò che è emerso dal lavoro di osservazione sul dark web è un quadro molto diverso: il cybercrime si è trasformato in un ecosistema economico distribuito, strutturato, specializzato e sempre più simile a un mercato del lavoro globale.
È questa la chiave di lettura proposta nel suo intervento milanese da Fabio Sammartino, Head of Pre-Sales di Kaspersky: non fermarsi ai “grandi numeri” delle statistiche annuali ma guardare cosa c’è dietro. Perché è lì che si capisce come e perché gli attacchi funzionano.
Dai volumi ai meccanismi
L’aumento delle minacce non è solo quantitativo. I dati del Kaspersky Security Bulletin 2025 mostrano, per l’Europa, una crescita significativa di password stealer, spyware e backdoor.
In altre parole, non cresce solo il malware in generale ma crescono soprattutto gli strumenti pensati per entrare in modo silenzioso, restare nascosti e preparare attacchi più complessi.
Fabio Sammartino, Head of Pre-Sales di Kaspersky.
Ciò segnala un cambio di paradigma. L’obiettivo non è più colpire subito ma costruire l’accesso. Non più infettare in massa ma infiltrarsi con credenziali legittime, muovendosi all’interno dei sistemi come utenti autorizzati.
La filiera del cybercrime
Nel dark web non operano gruppi che “fanno tutto”. Al contrario, la filiera è ormai frammentata e altamente specializzata.
Ci sono attori che si occupano esclusivamente di raccogliere credenziali tramite infostealer e password stealer, cioè malware progettati per sottrarre nomi utente, password e altre informazioni sensibili direttamente dai dispositivi delle vittime. È un’attività relativamente poco rischiosa dal punto di vista operativo e molto remunerativa.
Una volta raccolti i dati, questi vengono venduti o scambiati. In alcuni casi, parte delle informazioni finisce persino distribuita gratuitamente all’interno delle community criminali, abbassando ulteriormente la barriera d’ingresso.
Chi acquista od ottiene le credenziali può limitarsi a rivendere l’accesso a gruppi più strutturati, oppure proseguire direttamente con l’attacco.
Il risultato è una catena chiara: furto di credenziali, accesso iniziale, movimento laterale (ossia la propagazione dell’attacco all’interno dell’infrastruttura), esfiltrazione dei dati e, spesso, ransomware.
Il dark web come mercato del lavoro
È a questo punto che emerge un elemento spesso sottovalutato: il cybercrime non è solo un mercato di servizi ma anche un vero e proprio mercato del lavoro.
Nel dark web esistono annunci, collaborazioni continuative e ruoli ben definiti. Alcune attività prevedono compensi regolari, non legati al successo di un singolo attacco ma a prestazioni ricorrenti all’interno della filiera criminale.
Secondo il report “Inside the dark web job market: their talent, our threat” pubblicato da Kaspersky, l’aumento di curriculum e offerte di lavoro osservato tra il 2024 e il 2025 (+45%) è stato favorito anche dai licenziamenti nel settore tecnologico, che hanno ampliato il bacino di competenze disponibili e abbassato la soglia di ingresso verso attività illegali.
Le analisi mostrano come i compensi varino sensibilmente in base al livello di specializzazione. I reverse engineer, figure che analizzano e ‘smontano’ malware e software per comprenderne il funzionamento e individuarne le debolezze, possono superare i 5.000 dollari al mese.
I penetration tester, incaricati di simulare attacchi per individuare falle nei sistemi, si attestano invece intorno ai 4.000 dollari mensili, mentre sviluppatori di malware e strumenti offensivi arrivano mediamente a 2.000 dollari al mese. Altri ruoli operano invece a percentuale sui profitti complessivi.
Non si parla di arricchimento improvviso ma di redditi costanti. Ed è proprio questa stabilità a rendere il sistema resiliente: quando un gruppo viene smantellato, le competenze non spariscono, si spostano. Le persone migrano verso altri gruppi, altri canali e altre piattaforme.
Telegram, Signal e l’evoluzione delle infrastrutture criminali
Per anni Telegram è stato il centro nevralgico della comunicazione criminale relativa a vendita di malware, carding (l’utilizzo fraudolento di dati di carte di pagamento rubate), frodi, doxing (ossia la diffusione di informazioni personali o riservate per intimidire, ricattare o colpire le vittime), e servizi “as-a-service”.
La recente stretta sui contenuti illegali ha però innescato un cambiamento e oggi si assiste a una migrazione verso piattaforme come Signal o, sempre più spesso, verso strumenti di comunicazione proprietari, sviluppati e gestiti direttamente dai gruppi criminali.
Per chi difende, questo complica il lavoro di monitoraggio perché seguire gli attori diventa più difficile e il rapporto Digital Footprint, come sottolinea Sammartino, diventa importante proprio per questo: osservare le conversazioni, gli scambi, i segnali di preparazione di un attacco consente di intervenire prima che il danno si concretizzi.
Dalla detection alla comprensione del contesto
Un altro punto chiave riguarda la selezione delle vittime. Gli attaccanti motivati finanziariamente non scelgono solo in base al potenziale guadagno ma soprattutto in base alla facilità di compromissione.
Vulnerabilità esposte, credenziali deboli e scarsa visibilità sul perimetro (cioè sull’insieme di sistemi, servizi e accessi dell’azienda esposti verso l’esterno, come server, applicazioni e account remoti), rendono un’azienda un bersaglio appetibile.
Questo spiega perché molte intrusioni passano inosservate per mesi, se non anni. E spiega anche perché la difesa puramente reattiva non basta più.
La threat intelligence, in questo scenario, non è uno slogan ma una necessità operativa: è l’insieme delle informazioni raccolte e analizzate sugli attori delle minacce, sulle loro infrastrutture, sulle tecniche utilizzate e sulle fasi di preparazione degli attacchi.
Non si tratta solo di rilevare malware già in esecuzione ma di capire chi sta preparando cosa, con quali strumenti e su quali obiettivi, intercettando i segnali che precedono l’attacco vero e proprio.
Interrompere la catena prima che inizi
Integrare informazioni di contesto negli strumenti di difesa (XDR, firewall di nuova generazione, servizi MDR) consente di intercettare segnali deboli: comunicazioni verso server di command and control (cioè infrastrutture utilizzate dagli attaccanti per controllare a distanza i sistemi compromessi e impartire istruzioni), esposizioni anomale e credenziali che iniziano a circolare nel dark web.
Prima s’intercetta la catena, minore è l’impatto. Ed è qui che il cybercrime, da fenomeno tecnologico, si rivela per quello che è davvero: un sistema economico distribuito che può essere contrastato solo capendone le regole.
Se il cybercrime funziona come un mercato, allora difendersi significa interrompere le sue filiere. Non aspettare l’attacco finale ma agire quando emergono i primi segnali di preparazione. Senza questo cambio di prospettiva, il rischio è sempre lo stesso: accorgersi dell’attacco solo quando l’attacco è già andato a segno.
