Il monitoraggio Darknet non è più una disciplina teorica per le aziende svizzere, bensì una necessità operativa. Credenziali rubate, documenti riservati e accessi di rete vengono scambiati ogni giorno su marketplace criminali, spesso prima che l’azienda colpita si accorga dell’incidente. Infostealer‑Malware, Initial Access Broker e mercati automatizzati di credenziali hanno creato un ecosistema che industrializza gli attacchi informatici. In questo contributo spieghiamo come i dati aziendali svizzeri finiscano nel Darknet, quali rischi concreti ne derivino e perché un monitoraggio Darknet sistematico sia oggi indispensabile per CISO e consigli di amministrazione.
📑 Panoramica dei contenuti
Che cos’è il Darknet e perché riguarda le aziende svizzere? · Come i dati aziendali svizzeri finiscono nel Darknet · Scenario delle minacce in Svizzera: cifre e incidenti · Come funziona il monitoraggio Darknet · Perché le misure di protezione classiche non bastano più · Raccomandazioni per CISO e consigli di amministrazione · Domande frequenti
Che cos’è il Darknet e perché riguarda le aziende svizzere?
Internet si può suddividere in tre strati. Il cosiddetto Clear Web comprende tutto ciò che è reperibile tramite i motori di ricerca tradizionali. Il Deep Web indica contenuti dietro login e paywall, ad esempio intranet, banche dati e portali protetti. Il Darknet, infine, è una parte intenzionalmente anonimizzata della rete, accessibile solo tramite reti specializzate come Tor, nella quale prospera un ecosistema per il commercio di dati rubati, credenziali e strumenti d’attacco.
Per le aziende, il Darknet non è rilevante per la sua esistenza, bensì per le minacce concrete che vi hanno origine. Su marketplace criminali si scambiano ogni giorno milioni di credenziali rubate, si mettono all’asta accessi alle reti aziendali e si preparano attacchi Ransomware. Senza monitoraggio Darknet, queste attività restano invisibili alle organizzazioni colpite, finché il danno non si è già materializzato.
I dati aziendali rubati vengono messi in vendita sui marketplace del Darknet nel giro di poche ore
Perché il monitoraggio Darknet è rilevante per ogni azienda svizzera
La Svizzera, in quanto piazza economica fortemente interconnessa con un solido settore finanziario, farmaceutico e tecnologico, è un obiettivo attraente per la criminalità informatica. Nel 2024, in Svizzera sono stati tracciati 175 cyber incident confermati tramite Darknet‑leak‑site e forum underground. Inoltre, secondo Check Point, nel primo trimestre 2025 la Svizzera ha registrato l’aumento percentuale più elevato al mondo degli attacchi informatici: +113 % su base annua.
La realtà è chiara: dati aziendali svizzeri sono già nel Darknet. La domanda non è se, bensì in quale misura. Il monitoraggio Darknet sistematico rende visibile questa esposizione e, di conseguenza, offre alle aziende la possibilità di reagire prima che gli attaccanti utilizzino i dati rubati.
Come i dati aziendali svizzeri finiscono nel Darknet: da Infostealer al marketplace
Il percorso dei dati aziendali verso il Darknet segue un processo sempre più industrializzato. In questo contesto, tre attori e meccanismi svolgono un ruolo centrale. Il loro intreccio spiega perché un monitoraggio Darknet continuo appartenga oggi alle basi di un efficace cyber risk management.
Infostealer‑Malware: il vettore d’attacco dominante
Gli Infostealer sono programmi malevoli specializzati che estraggono password del browser salvate, cookie, dati di autofill, informazioni di carte di credito, credenziali VPN e backup di autenticazione. Il principio è «smash and grab»: i dati vengono sottratti in pochi secondi e trasmessi come «Stealer Logs» a server Command‑and‑Control, bot Telegram o storage cloud. Nel 2024, gli Infostealer hanno rubato 2,1 miliardi di credenziali a livello globale, cioè quasi due terzi dei 3,2 miliardi di credential compromessi nel mondo. IBM X‑Force ha registrato un aumento dell’84 % delle infezioni Infostealer via Phishing, con un’ulteriore triplicazione all’inizio del 2025. Particolarmente allarmante: il 54 % dei dispositivi infetti aveva soluzioni Antivirus o Endpoint Detection and Response installate al momento dell’infezione. Le famiglie più attive sono attualmente Lumma Stealer, RedLine e StealC.
Initial Access Broker: apriporta professionali per i gruppi Ransomware
Gli Initial Access Broker (IAB) si sono affermati come un settore a sé stante nell’ecosistema criminale. Si specializzano nell’accesso iniziale alle reti aziendali e, successivamente, vendono l’accesso a gruppi Ransomware o ad altri Threat Actor. Nel 2025, il mercato IAB ha ricevuto almeno 14 milioni di USD in pagamenti on‑chain. Il prezzo medio per un accesso aziendale è di 2’700 USD, mentre il 71 % delle offerte include credenziali privilegiate, spesso con diritti di Domain Admin. Di conseguenza, l’impatto è misurabile: tra la vendita dell’accesso da parte di un IAB e la comparsa della vittima su una Ransomware‑leak‑site passano tipicamente solo 23-36 giorni.
Marketplace del Darknet: dove i dati rubati diventano merce
Il Russian Market è nel 2025 il marketplace dominante per le credenziali rubate. I dati freschi vi compaiono entro poche ore dal furto. La struttura dei prezzi è articolata: credenziali semplici costano 1-15 USD, accessi Corporate‑VPN o RDP 50-500 USD, Stealer Logs recenti con session cookie 10-100 USD e accessi bancari 500-2’000 USD. Particolarmente pericolosi sono i session cookie, perché consentono di prendere il controllo di sessioni attive e, nel frattempo, di aggirare del tutto la Multi‑Faktor‑Authentifizierung. Per le aziende senza monitoraggio Darknet, queste offerte restano invisibili, mentre gli attaccanti usano le credenziali acquistate per entrare nelle reti.
Scenario delle minacce in Svizzera: perché il monitoraggio Darknet deve diventare una priorità ora
La Svizzera è nel mirino di cybercriminali internazionali e, sempre più spesso, anche di attori sostenuti da Stati. Le cifre e i casi seguenti mostrano perché questo sia il momento giusto per integrare il monitoraggio Darknet nella strategia di sicurezza.
2,9 miliardi di set di credenziali compromesse sono stati identificati nel 2024 nell’underground criminale. Questa cifra include dati di aziende e privati in tutto il mondo, quindi anche di organizzazioni svizzere.
Il 54 % di tutte le vittime di Ransomware, secondo il Verizon DBIR 2025, presentava Infostealer‑credential‑dump nei propri domini prima dell’attacco. Pertanto, il legame tra credenziali esposte nel Darknet e successivi attacchi Ransomware è statisticamente documentato.
Il 49 % delle aziende ha già scoperto nel Darknet dati o credenziali legati alla propria organizzazione. I costi annui dovuti a incidenti insider, spesso riconducibili a credenziali compromesse, si attestano in media a 17,4 milioni di USD per azienda.
26 miliardi di tentativi di Credential Stuffing al mese sono stati registrati da Akamai nel 2024. IBM quantifica il danno medio per breach dovuto a Credential Stuffing in 4,81 milioni di USD.
La reazione a catena che va dalle credenziali rubate agli attacchi reali è illustrata in modo emblematico dal Snowflake‑breach 2024: il Threat Actor UNC5537 ha usato credenziali Infostealer, in parte risalenti al 2020, per compromettere 165 ambienti clienti Snowflake. Tra i colpiti figurano AT&T, con quasi tutti i record dei clienti di telefonia mobile USA, e Ticketmaster con 590 milioni di record. Inoltre, oltre l’80 % degli account compromessi era già stato esposto in dump Infostealer. Nessuno aveva attivato la Multi‑Faktor‑Authentifizierung.
In Svizzera, l’incidente Xplain del 2023 resta l’avvertimento più eloquente. Presso il fornitore IT bernese per autorità federali, il gruppo Play ha sottratto 1,3 milioni di file, tra cui 5’182 file con dati personali e 121 documenti classificati. Nel 2024 e 2025 sono seguiti attacchi a BERNINA International da parte di ALPHV/BlackCat (200 GB di dati rubati), a TAG Aviation da parte di Black Basta (1,5 TB) e campagne DDoS su larga scala del gruppo NoName057(16) contro siti federali, FFS, banche e 318 comuni. Nel complesso, nel 2025 sono già 58 le organizzazioni svizzere confermate come vittime di Ransomware; Akira, Qilin e Play sono i gruppi più attivi nel Paese.
Come funziona il monitoraggio Darknet: dalla copertura delle fonti alla risposta
Il monitoraggio Darknet professionale opera in quattro fasi successive. Insieme, formano un ciclo continuo che rende le minacce nell’underground criminale visibili, valutabili e gestibili.
Fase 1, copertura delle fonti: una soluzione efficace di monitoraggio Darknet sorveglia un ampio spettro di fonti criminali: forum underground aperti e chiusi, community su invito, canali Telegram, marketplace di Stealer Logs, Ransomware‑leak‑site e paste‑site. Piattaforme leader come BitSight coprono oltre 1’000 forum e marketplace underground e raccolgono ogni giorno 7 milioni di intelligence item dall’underground criminale.
Fase 2, raccolta e analisi dei dati: i dati grezzi raccolti vengono filtrati e deduplicati automaticamente, quindi associati all’azienda monitorata. Inoltre, il sistema non riconosce solo coppie username‑password, bensì anche esposizioni di session token, password hashate, idealmente convertite in chiaro, e informazioni di contesto come l’origine dei dati e il momento della compromissione.
Fase 3, alerting e prioritizzazione: non tutte le informazioni esposte comportano lo stesso rischio. Un monitoraggio Darknet professionale prioritizza i riscontri in base al contesto: un accesso VPN recente con session cookie attivi richiede un intervento immediato; una password di tre anni fa per un account inattivo, invece, ha priorità più bassa. Idealmente, il tempo tra la comparsa dei dati sui mercati criminali e l’allerta dovrebbe essere di minuti o poche ore.
Fase 4, risposta e remediation: il monitoraggio Darknet fornisce la base decisionale, non la risposta completa. Tipicamente, la reazione include il reset forzato delle credenziali compromesse, l’invalidazione dei session token esposti, la verifica dei sistemi coinvolti per accessi non autorizzati e l’integrazione delle evidenze nei processi di Incident Response e di difesa dalle minacce.
Il valore del monitoraggio Darknet risiede nell’allerta precoce: non mostra come vedete la vostra IT, bensì cosa gli attaccanti sanno già della vostra azienda. Di conseguenza, questa prospettiva può fare la differenza tra un attacco sventato e uno riuscito.
Perché le misure di protezione classiche per il Darknet non bastano più
Molte aziende si affidano a misure di sicurezza collaudate: firewall, Endpoint Detection and Response, policy password regolari e Multi‑Faktor‑Authentifizierung. Questi strumenti restano indispensabili, tuttavia presentano un punto cieco sistematico: proteggono l’infrastruttura, ma non controllano cosa accade, fuori dal perimetro, ai dati aziendali rubati.
Sicurezza classica vs. monitoraggio Darknet: quattro differenze decisive
Campo visivo: gli strumenti di sicurezza classici proteggono l’infrastruttura nota all’interno della rete aziendale. Il monitoraggio Darknet, invece, osserva l’ecosistema criminale fuori dal perimetro e rileva dati esposti che vengono scambiati.
Tempistica: firewall ed EDR reagiscono ad attacchi già in corso. Il monitoraggio Darknet riconosce la preparazione di un attacco, ad esempio quando credenziali o accessi di rete sono in vendita; quindi permette un intervento preventivo.
Copertura: le policy password e l’MFA proteggono solo account noti e gestiti attivamente dall’azienda. Gli Stealer Logs contengono però spesso credenziali di account dimenticati, ambienti di test o dispositivi personali dei collaboratori che erano connessi a risorse aziendali.
Contesto: i sistemi di sicurezza classici conoscono la propria infrastruttura, ma non le intenzioni degli attori esterni. Il monitoraggio Darknet fornisce Threat Intelligence su attacchi mirati, negoziazioni Ransomware e targeting della supply chain che possono riguardare la vostra azienda o i vostri fornitori.
Ciò non significa che il monitoraggio Darknet sostituisca gli strumenti di sicurezza classici. Al contrario, li completa con una dimensione decisiva: la visibilità su ciò che accade ai vostri dati al di fuori della rete. Solo chi sa quali credenziali sono compromesse e dove vengono scambiate può agire in modo mirato prima che inizi l’attacco.
Raccomandazioni per CISO e consigli di amministrazione
La sorveglianza del Darknet non è un compito puramente tecnico. Essa tocca governance, obblighi regolatori e la domanda su come un’azienda governi strategicamente il proprio cyber rischio. Di conseguenza, le misure seguenti dovrebbero essere prioritarie per i decisori.
Misure raccomandate: dall’analisi iniziale all’integrazione strategica
1) Determinare l’esposizione iniziale nel Darknet: commissionate una prima analisi della vostra esposizione nel Darknet. I fornitori leader possono mostrare in pochi giorni se, e in quale misura, credenziali, documenti o accessi di rete della vostra azienda circolino nell’underground criminale. Questi risultati sono il punto di partenza per ogni passo successivo.
2) Gestire subito le credenziali compromesse: le credenziali esposte identificate vanno resettate senza indugio. Date priorità agli account con privilegi elevati, agli accessi VPN e RDP e alle credenziali con session cookie attivi. In parallelo, verificate se si siano già verificati accessi non autorizzati tramite questi account.
3) Implementare un monitoraggio Darknet continuo: un’analisi una tantum non basta. Gli Stealer Logs compaiono sui marketplace nel giro di ore e nuovi dati vengono pubblicati ogni giorno. Investite quindi in una soluzione che monitori il Darknet in modo continuativo e allerti in tempo reale. Nella scelta del fornitore, considerate ampiezza delle fonti, rapidità dell’allerta e capacità di riconoscere esposizioni di session token.
4) Integrare la Darknet intelligence nei processi esistenti: il monitoraggio Darknet sprigiona il suo valore solo quando le evidenze confluiscono nei workflow di Incident Response, SIEM/SOAR e Third‑Party‑Risk‑Management. Gli alert automatizzati dovrebbero aprire ticket direttamente nel Security Operations Center e, inoltre, alimentare la valutazione del rischio dei fornitori.
5) Sensibilizzare i collaboratori: gli Infostealer arrivano spesso sui dispositivi tramite Phishing, download software compromessi e inserzioni infette. Formate i collaboratori in modo mirato su questi vettori. Inoltre, stabilite regole chiare sull’uso dei password manager e vietate di salvare credenziali aziendali nel browser.
6) Preparare gli obblighi regolatori: l’nDSG richiede la segnalazione immediata delle violazioni della protezione dei dati all’IFPDT. L’obbligo di notifica BACS impone agli operatori di infrastrutture critiche una comunicazione entro 24 ore. Il monitoraggio Darknet fornisce l’allerta precoce che può risultare decisiva per rispettare tali termini.
Conclusione
Il Darknet non è un fenomeno astratto ai margini di Internet. È un ecosistema altamente efficiente, nel quale i dati aziendali svizzeri vengono scambiati attivamente e preparati per attacchi. Gli Infostealer rubano credenziali in pochi secondi, gli Initial Access Broker monetizzano l’accesso alle reti in pochi giorni e i gruppi Ransomware sfruttano questo lavoro preliminare per attacchi che possono costare milioni.
In una Svizzera che nel 2025 registra il più forte aumento mondiale di attacchi informatici, irrigidisce i requisiti regolatori ed entra sempre più nel mirino di attori internazionali, il monitoraggio Darknet non è un’opzione. È un pilastro della cyberdifesa. Inoltre, fornisce un’allerta precoce che gli strumenti classici non possono offrire e consente decisioni fondate a livello di CISO e consiglio di amministrazione.
Conoscere la vostra esposizione nel Darknet
Volete sapere se credenziali, documenti o accessi di rete della vostra azienda vengono già scambiati nel Darknet? In qualità di partner di consulenza per la cyber risk intelligence, vi supportiamo nella prima analisi del Darknet, nella valutazione dell’esposizione e nell’implementazione di una strategia di monitoraggio sostenibile.
🎯 Key take‑aways per decisori
Riepilogo per consiglio di amministrazione, direzione e CISO:
✓ I dati aziendali svizzeri sono già nel Darknet: nel 2024 sono stati identificati 2,9 miliardi di set di credenziali compromesse nell’underground criminale. Inoltre, il 49 % delle aziende ha scoperto propri dati nel Darknet.
✓ Gli Infostealer sono il vettore dominante: nel 2024 sono state rubate 2,1 miliardi di credenziali solo tramite Infostealer. Tuttavia, il 54 % dei dispositivi infetti aveva soluzioni Antivirus o EDR installate.
✓ Le credenziali rubate portano a Ransomware: il 54 % di tutte le vittime di Ransomware aveva in precedenza credential dump nei propri domini. Tra vendita IAB e attacco Ransomware passano tipicamente solo 23-36 giorni.
✓ Il monitoraggio Darknet è un’allerta precoce: rileva credenziali esposte, session token e accessi di rete prima che gli attaccanti li sfruttino, e completa gli strumenti classici con una dimensione decisiva.
✓ La pressione regolatoria aumenta: nDSG, circolari FINMA e l’obbligo di notifica BACS richiedono rilevazione e reazione rapide. Di conseguenza, il monitoraggio Darknet ne fornisce la base.
Domande frequenti: FAQ sul monitoraggio Darknet
Che cos’è il monitoraggio Darknet?
Il monitoraggio Darknet è la sorveglianza sistematica e continuativa di forum criminali, marketplace, canali Telegram e leak‑site nel Darknet alla ricerca di dati aziendali. L’obiettivo è individuare precocemente credenziali rubate, documenti esposti e accessi di rete in vendita, così che le aziende possano reagire prima che gli attaccanti usino i dati.
Come finiscono nel Darknet i dati delle aziende svizzere?
Il percorso più frequente passa da Infostealer‑Malware, che ruba credenziali da browser, client VPN e sistemi di autenticazione. Questi dati vengono venduti come Stealer Logs sui marketplace del Darknet. Gli Initial Access Broker sfruttano le credenziali rubate per entrare nelle reti aziendali e, successivamente, rivendono l’accesso a gruppi Ransomware. Spesso, tra furto e rivendita passano solo poche ore.
Perché Antivirus e firewall non bastano per proteggersi dal Darknet?
Gli strumenti di sicurezza classici proteggono l’infrastruttura interna; tuttavia non controllano cosa accade ai dati rubati al di fuori dell’azienda. Le cifre lo dimostrano: il 54 % dei dispositivi infettati da Infostealer aveva soluzioni Antivirus o EDR installate. Il monitoraggio Darknet completa la protezione perimetrale con una prospettiva esterna e rileva dati esposti nell’underground criminale prima che vengano usati per attacchi.
Il monitoraggio Darknet è rilevante anche per le PMI svizzere?
Sì. Gli Infostealer non distinguono tra grandi imprese e PMI. In particolare, le organizzazioni più piccole hanno spesso meno risorse per controllare credenziali compromesse e, quindi, risultano più esposte. Le PMI svizzere sono sempre più spesso bersaglio di attacchi Ransomware, perché gli attaccanti si aspettano misure di protezione inferiori. Il monitoraggio Darknet consente di identificare le principali esposizioni con un impegno proporzionato e, di conseguenza, di affrontarle in modo mirato.
Che relazione c’è tra monitoraggio Darknet e obbligo di notifica in Svizzera?
Dal 1° aprile 2025, gli operatori di infrastrutture critiche devono notificare gli attacchi informatici al BACS entro 24 ore. L’nDSG richiede la segnalazione immediata delle violazioni della protezione dei dati all’IFPDT. Il monitoraggio Darknet consente di rilevare precocemente compromissioni e crea quindi le condizioni per identificare gli incidenti in tempo utile e notificarli entro i termini. Senza questa sorveglianza, spesso manca la base per una Incident Detection efficace.
