Parliamoci chiaro: il dark web ha una pessima reputazione. Quando la maggior parte delle persone lo sente nominare, pensa a mercati di droga, armi, contenuti illegali. E sì, tutto questo esiste. Ma c'è un altro lato del dark web che è diventato cruciale per chiunque faccia OSINT seriamente: è una miniera d'oro di intelligence.
Nel 2026, il dark web non è più un territorio esotico per hacker incappucciati. È una fonte primaria per threat intelligence, investigazioni su data breach, tracciamento di attori malevoli, monitoraggio di gruppi ransomware, e molto altro. Ignorarlo significa tagliare fuori una fetta enorme del panorama informativo.
Questo post è un'introduzione pratica al dark web intelligence: cos'è, perché è importante, come approcciarsi in modo sicuro e legale, e quali opportunità offre per analisti OSINT.
Il dark web – quella porzione di internet accessibile solo attraverso strumenti specifici come Tor, I2P, Freenet – è cresciuto enormemente negli ultimi anni. Non tanto in termini di utenti attivi (che restano una frazione minuscola rispetto al web normale), quanto in termini di rilevanza per l'intelligence.
Perché? Semplice: è dove si svolge gran parte dell'economia criminale digitale. E dove c'è attività criminale, c'è intelligence da raccogliere.
Prendiamo i marketplace. Dopo l'operazione che ha chiuso RedVDS a gennaio 2026, sappiamo che queste piattaforme facilitavano frodi per oltre 40 milioni di dollari, vendendo infrastrutture virtuali usa-e-getta per attacchi cyber. Ma prima che venisse smantellato, era una fonte preziosa di informazioni: chi vendeva cosa, a che prezzo, quali tecniche venivano pubblicizzate, quali vulnerabilità venivano sfruttate.
O i forum underground. Ce ne sono decine, specializzati in tutto: carding, malware-as-a-service, accessi a reti aziendali compromesse, dataset rubati. Per un'azienda di threat intelligence, monitorare questi forum significa individuare data breach prima che diventino pubblici, identificare actor malevoli prima che colpiscano, capire quali settori sono nel mirino.
A gennaio, le autorità olandesi hanno arrestato l'operatore di AVCheck, un servizio che permetteva ai criminali di testare malware contro antivirus senza farsi scoprire. Prima dell'arresto, AVCheck era una fonte incredibile di informazioni su quali malware erano in circolazione, quali tecniche di evasione venivano testate, quali gruppi erano più attivi.
E poi ci sono i data leak. Credenziali compromesse, database aziendali, documenti interni: tutto finisce su paste sites e forum del dark web. Per un analista OSINT che lavora per aziende, monitorare queste fonti significa poter avvisare un cliente "Ehi, le credenziali dei tuoi dipendenti sono in vendita su questo marketplace" prima che vengano usate per un attacco.
Ma attenzione: navigare il dark web non è come fare una ricerca Google. È più lento, i siti appaiono e scompaiono continuamente, i link cambiano, ci sono truffe ovunque, e soprattutto, ci sono rischi legali e di sicurezza.
Lato legale: accedere al dark web in sé non è illegale nella maggior parte dei paesi (Italia inclusa). Usare Tor è perfettamente legale. Il problema è cosa fai una volta lì. Scaricare materiale illegale, acquistare servizi o prodotti illeciti, interagire con organizzazioni criminali: tutto questo può metterti nei guai. Quindi, regola numero uno: stai dalla parte giusta della legge. Osserva, documenta, analizza, ma non partecipare.
Lato sicurezza: il dark web è pieno di trappole. Siti che tentano di installare malware, phishing, scam. Non puoi accedervi con il tuo computer normale, il tuo IP reale, il tuo browser abituale. Devi usare macchine virtuali dedicate, sistemi operativi hardened (tipo Tails o Whonix), VPN a cascata, e mai, mai rivelare informazioni personali.
Ed è qui che la preparazione tecnica diventa fondamentale. Se non sai configurare correttamente un ambiente sicuro, il dark web intelligence non fa per te. Troppo rischioso.
Quindi, quali sono le applicazioni pratiche del dark web intelligence per un analista OSINT?
- Primo: Threat Intelligence proattiva. Invece di reagire a un attacco dopo che è avvenuto, puoi monitorare discussioni su forum underground, individuare minacce emergenti, capire quali nuove tecniche vengono sviluppate. È intelligence preventiva, non reattiva.
- Secondo: Brand protection. Se lavori per aziende, monitorare il dark web significa scoprire quando credenziali aziendali vengono vendute, quando qualcuno offre accesso alla rete della tua azienda, quando dataset interni finiscono in leak. Puoi intervenire prima che il danno si materializzi.
- Terzo: Investigazioni su frodi. Molte operazioni di frode – carding, riciclaggio, truffe elaborate – hanno componenti sul dark web. Marketplace dove si vendono carte clonate, servizi di "cashing out", guide dettagliate su come aggirare sistemi di sicurezza. Tracciare queste attività può fornire lead preziosi.
- Quarto: Mappatura di network criminali. Chi vende a chi? Chi collabora con chi? Quali gruppi ransomware sono collegati? Analizzando le interazioni sui forum, gli stili di comunicazione, le specializzazioni, puoi costruire mappe di relazioni che aiutano a comprendere l'ecosistema criminale.
- Quinto: Validazione di intelligence. A volte, informazioni che trovi sul web normale trovano conferma o smentita sul dark web. Un presunto data breach è reale? Cerca su Breach Forums. Qualcuno dichiara di avere accesso a un'infrastruttura critica? Controlla i marketplace di initial access brokers.
Ma ci sono anche limiti e challenge. Il dark web è pieno di disinformazione, scam, fanfaronate. Qualcuno che dice di avere dati di milioni di utenti potrebbe mentire per farsi pagare. Qualcuno che offre servizi hack-for-hire potrebbe essere law enforcement sotto copertura. La verifica è ancora più critica qui che sul web normale.
E poi c'è il problema della lingua. Molti forum underground sono in russo, cinese, arabo. Se non parli queste lingue, o non hai strumenti di traduzione affidabili, perdi accesso a intere sezioni del dark web intelligence landscape.
Infine, c'è la questione etica. Quando monitora il dark web, fino a che punto puoi andare? Se trovi informazioni su un imminente attacco, hai il dovere di segnalare? A chi? Se scopri dati personali rubati, cosa fai? Non ci sono risposte facili, ma sono domande che devi porti prima di iniziare.
Il dark web intelligence è un campo avanzato dell'OSINT. Non è per principianti, e non dovresti nemmeno considerarlo se non hai solide basi di sicurezza operativa e conoscenza degli strumenti.
Ma se sei serio riguardo a costruire una carriera nell'intelligence, nel threat intelligence, nella cybersecurity, o se lavori per aziende che gestiscono dati sensibili, ignorare il dark web non è più un'opzione.
Ed è esattamente per questo che nella Zuretti Academy abbiamo costruito un percorso che ti porta dalle fondamenta fino alle tecniche avanzate. I nuovi moduli sulla virtualizzazione e configurazione di ambienti sicuri sono il primo passo essenziale. Prima impari a proteggere te stesso e il tuo sistema, poi puoi esplorare territori più rischiosi.
Abbiamo appena rilasciato guide complete su come configurare macchine virtuali su tutti i sistemi operativi – Windows, macOS, Linux. Ti insegniamo come creare ambienti isolati dove puoi operare senza rischi per il tuo sistema principale. Come configurare Debian Linux con tutti i tool OSINT necessari, come usare browser hardened, come gestire la tua identità digitale in modo sicuro.
E con il modulo in arrivo sulla virtualizzazione di Android su Debian, avrai anche la possibilità di analizzare app mobile, messaging platforms, e altri strumenti in un ambiente completamente controllato – utile anche per alcune applicazioni di dark web intelligence che passano per mobile.
Il dark web non è per tutti, ma le competenze che ti permettono di operarci in sicurezza sono preziose anche fuori da quel contesto. Perché se sai configurare un ambiente OPSEC-proof per il dark web, sai farlo per qualsiasi tipo di indagine sensibile.
Il prezzo attuale della nostra Academy è ancora molto accessibile, e stiamo continuamente aggiungendo contenuti. Chi entra adesso ottiene accesso a tutto – presente e futuro – a una frazione del costo che avrà quando saremo a regime con l'intera libreria di corsi.
Non serve essere esperti. Partiamo dalle basi e ti portiamo, modulo dopo modulo, verso competenze di livello professionale. Con esempi pratici, case study, tutorial step-by-step. Niente teoria astratta: solo skill che userai davvero.
Entra nella Zuretti Academy e inizia a costruire le competenze che ti serviranno nel mondo dell'intelligence del 2026. Perché il lato oscuro di internet non è più un optional – è una necessità.