C'è un'intera economia sommersa che in questo momento sta trattando i tuoi dati, quelli della tua azienda o dei tuoi clienti. Credenziali rubate, documenti interni, vulnerabilità zero-day in vendita, piani di attacco discussi apertamente tra attori malevoli. Il dark web e monitoraggio delle minacce non sono argomenti da film di fantascienza: sono la quotidianità di chi lavora nella sicurezza informatica e nell'intelligence. La differenza tra chi subisce un incidente e chi lo previene si chiama spesso monitoraggio proattivo — e inizia proprio da qui.
Cos'è davvero il dark web (e cosa non è)
Il termine "dark web" viene usato in modo così impreciso da aver perso quasi completamente il suo significato tecnico. Facciamo chiarezza una volta per tutte.
Internet si divide in tre livelli. Il surface web è quello indicizzato dai motori di ricerca tradizionali: quello che vedi quando cerchi qualcosa su Google. Il deep web è tutto ciò che non è indicizzato ma resta accessibile tramite browser normali: webmail, aree riservate, database aziendali, cartelle cliniche. Il dark web è una porzione del deep web accessibile solo tramite reti anonimizzate, in primo luogo Tor (The Onion Router), che maschera l'identità dell'utente facendo rimbalzare il traffico attraverso una serie di nodi cifrati.
Il dark web non è intrinsecamente criminale. Ospita giornalisti che lavorano in paesi con censura di Stato, attivisti, whistleblower, forum di discussione legittima. Ma è anche il luogo in cui proliferano marketplace illegali, forum di hacking, servizi di vendita di dati rubati. Per chi fa intelligence, questa dualità è irrilevante: quello che conta è che il dark web è una fonte di segnali. E i segnali vanno letti.
Perché monitorare il dark web è diventato lavoro da professionisti
Fino a pochi anni fa, il monitoraggio del dark web era prerogativa di agenzie governative e grandi team di sicurezza con budget considerevoli. Oggi non è più così. La diffusione di strumenti open source, la crescita della comunità OSINT e la disponibilità di servizi di threat intelligence accessibili anche alle PMI hanno democratizzato questa disciplina.
Il motivo per cui il monitoraggio è diventato urgente è semplice: gli attaccanti operano nel dark web molto prima che l'attacco si materializzi nel mondo reale. Discutono obiettivi, vendono accessi iniziali alle reti, pubblicano dati come prova di compromissione. Questo intervallo temporale — spesso settimane o mesi — è la finestra in cui l'intelligence fa la differenza. Un analista che monitora i forum giusti può intercettare la menzione del nome della propria organizzazione molto prima che arrivi la richiesta di riscatto.
Le aziende che hanno subito ransomware negli ultimi anni, nella stragrande maggioranza dei casi, erano già state discusse in qualche forum underground prima dell'attacco. Non lo sapevano. Ecco perché il monitoraggio non è più un'opzione avanzata: è un requisito minimo per chi ha responsabilità di sicurezza.
Le minacce che si trovano sul dark web: cosa cercare concretamente
Il dark web non è un unico posto. È un ecosistema frammentato fatto di forum, marketplace, servizi di paste anonimizzati, canali Telegram e siti .onion che cambiano indirizzo continuamente. Per monitorarlo con efficacia devi sapere cosa stai cercando — e dove cercarlo.
Le categorie di minacce più rilevanti sono concrete e specifiche. I credential dump sono raccolte di username e password rubati, spesso risultato di breach su larga scala, che vengono venduti o distribuiti gratuitamente come campioni promozionali. Un'azienda che trova le proprie credenziali in un dump ha un problema immediato: tutti gli account interessati devono essere considerati compromessi. I forum di accesso iniziale ospitano venditori che offrono accesso già stabilito a reti aziendali — VPN compromesse, credenziali RDP, account di Active Directory. I ransomware leak site sono siti gestiti dai gruppi ransomware stessi, dove pubblicano i dati delle vittime che non hanno pagato. Monitorarli consente di rilevare compromissioni proprie o di terze parti (fornitori, partner) in tempo reale. Infine, le discussioni nei forum underground rivelano spesso il nome di un'organizzazione come obiettivo, vulnerabilità specifiche discusse in relazione a un settore, o tecniche di attacco emergenti.
Strumenti OSINT per il monitoraggio del dark web: cosa usano davvero i professionisti
Gli strumenti non mancano. Il punto è usarli con metodo, non in modo caotico.
Tor Browser è il punto di partenza obbligato: senza di esso, i siti .onion non sono semplicemente raggiungibili. Non è uno strumento di monitoraggio in sé, ma è il veicolo. Va usato con accortezza, mai collegato ad account personali o professionali reali, idealmente da un ambiente isolato.
Ahmia e OnionSearch sono motori di ricerca che indicizzano contenuti .onion. Non coprono tutto — nessun motore lo fa — ma sono il modo più rapido per fare una prima ricognizione su parole chiave specifiche: il nome della propria azienda, un dominio, un indirizzo email istituzionale.
DarkSearch offre funzionalità simili con un'interfaccia più strutturata e la possibilità di impostare ricerche ricorrenti su termini specifici, avvicinandosi a un monitoraggio semi-automatizzato.
Hunchly è uno strumento pensato per raccogliere e documentare evidenze durante sessioni di ricerca nel dark web (e non solo). Cattura automaticamente le pagine visitate, le archivia con timestamp e hash, creando una catena documentale che può avere valore anche in contesti investigativi o legali.
Per chi ha bisogno di copertura più ampia, piattaforme di threat intelligence come Recorded Future integrano il monitoraggio del dark web in flussi di intelligence strutturati, con API e alert automatici. Il prezzo di accesso è elevato, ma per certi contesti aziendali o per i SOC è lo standard.
Non bisogna dimenticare i paste site come Pastebin o le repository pubbliche su GitHub: una quantità sorprendente di dati sensibili (chiavi API, credenziali, dump di database) viene caricata per errore o deliberatamente su queste piattaforme, spesso prima ancora di apparire sui forum underground.
Come impostare un flusso di monitoraggio sistematico
Il monitoraggio del dark web senza metodo produce rumore, non intelligence. Un flusso di lavoro efficace si costruisce in cinque passi.
Il primo è la definizione degli asset da proteggere: domini aziendali, indirizzi email istituzionali, range IP pubblici, nomi di prodotti o brand, nomi di dirigenti. Questi diventano le keyword di monitoraggio. Il secondo passo è la selezione delle fonti: non tutti i forum sono rilevanti per tutti i settori. Un'analisi preliminare delle fonti più attive nel proprio verticale consente di concentrare le risorse dove il segnale è più alto.
Il terzo passo è la cadenza di monitoraggio: il dark web cambia velocemente, ma un controllo quotidiano manuale è insostenibile senza automazione. Strumenti come DarkSearch o soluzioni custom basate su API permettono di ricevere alert automatici quando una keyword viene rilevata. Il quarto passo è la verifica e contestualizzazione: ogni segnale va qualificato. Una menzione del nome aziendale in un forum non è necessariamente una minaccia attiva — può essere uno spam, un contenuto vecchio, un falso positivo. L'analista deve distinguere rumore da segnale.
Il quinto e ultimo passo è la documentazione e risposta: quando un segnale viene confermato come rilevante, entra nel processo di incident response. La documentazione deve essere accurata, con screenshot, hash delle pagine, timestamp. Questo vale anche se la minaccia non si concretizza: costruisce un archivio di intelligence che nel tempo diventa un asset.
I limiti legali ed etici del dark web monitoring in Italia
In Italia, come nel resto dell'Unione Europea, il monitoraggio del dark web si muove in un quadro normativo che richiede attenzione. Accedere a contenuti del dark web non è di per sé illegale, ma interagire con determinati servizi — scaricare dati rubati, acquistare informazioni, partecipare a forum che trattano materiale illecito — lo è senza eccezioni.
Per i professionisti della sicurezza che operano in contesti aziendali o investigativi, il principio guida è la passività dell'osservazione: leggere è diverso da partecipare. Raccogliere evidenze di minacce che riguardano i propri asset o quelli dei propri clienti è legittimo; infiltrarsi in organizzazioni criminali, fingersi acquirenti o accedere deliberatamente a materiale illegale non lo è, indipendentemente dalla motivazione dichiarata.
Il GDPR aggiunge un ulteriore livello: anche i dati raccolti nel corso di un'attività di monitoraggio — indirizzi email, informazioni personali trovate in dump — vanno trattati come dati personali, con tutte le implicazioni che ne derivano in termini di conservazione e utilizzo.
Per chi opera in ambito professionale, la regola pratica è semplice: monitora, documenta, segnala. Non agire da solo al di là della tua sfera di autorizzazione.
Dark web e monitoraggio delle minacce: non aspettare che sia troppo tardi
Il dark web e monitoraggio delle minacce sono oggi competenze che non appartengono solo alle grandi organizzazioni. Appartengono a chiunque abbia la responsabilità di proteggere dati, infrastrutture o reputazioni — e che voglia farlo in modo proattivo invece di rincorrere gli eventi.
Il passaggio dall'inconsapevolezza alla competenza richiede metodo, strumenti e pratica. Non è un percorso che si fa leggendo un articolo, ma è un percorso che inizia con le basi giuste.
Se vuoi costruire quella competenza in modo strutturato — imparando a usare gli strumenti, a impostare workflow di monitoraggio reali e a muoverti nel dark web con criterio legale ed etico — Scopri il percorso OSINT di Zuretti. Il corso affronta dark web intelligence, threat monitoring e strumenti pratici con un approccio operativo: non teoria, ma metodi applicabili da subito.