Osservatorio Cyber: oltre 1 milione di alert sul dark web e aumentano i casi sull’open web

Nel primo semestre del 2025, il panorama della sicurezza digitale ha mostrato segnali preoccupanti. Sono stati inviati circa 1,2 milioni di alert relativi all’esposizione di dati personali sul web, a conferma della diffusione del fenomeno e delle difficoltà che incontrano gli utenti nel difendersi da attacchi come phishing, smishing, vishing, spear phishing e dall’impiego di infostealer, in grado di colpire i dispositivi senza che la vittima se ne accorga.

La maggior parte degli alert continua a riguardare il dark web, con 1,15 milioni di segnalazioni, a conferma di come questo ambiente resti il principale canale di esposizione dei dati. Tuttavia, preoccupa anche la crescita degli alert relativi al web pubblico, che hanno raggiunto le 33.700 segnalazioni, segnando un aumento del 43% rispetto al secondo semestre 2024. In particolare, tra i dati più frequentemente rilevati sull’open web figurano e-mail, codici fiscali e numeri di telefono. 

Sebbene il quadro normativo sulla privacy sia stato rafforzato a tutela degli utenti, alcuni dati personali continuano dunque ad essere esposti sul web pubblico e, parallelamente, la crescita delle minacce sul dark web impone una protezione ancora più rigorosa e consapevole delle informazioni digitali.

Queste sono alcune delle evidenze dell’Osservatorio Cyber di CRIF, che analizza la vulnerabilità di utenti e aziende agli attacchi informatici, delineando le principali tendenze legate ai dati scambiati sul dark web e sull’open web.

L'Italia non è certo immune dalle minacce dei cyber criminali, classificandosi al 6° posto a livello globale per indirizzi e-mail compromessi e messi in circolazione sul dark web. Inoltre, il Bel Paese è al 22° posto nella classifica globale per numero di dati relativi a carte di credito in circolazione e si colloca al 16° posto nel continente europeo per rilevamento di numeri di telefono, che rappresentano un elemento chiave in molte truffe online, come lo smishing.

I CRIMINALI ESCOGITANO NUOVE TRUFFE, SEMPRE PIU' INSIDIOSE
Secondo l’Osservatorio Cyber, gli attacchi informatici diventano sempre più sofisticati e si diffondono nuove truffe che sfruttano le abitudini digitali degli utenti per colpire in modo ancora più efficace. Tra le più insidiose emerge quella dei QR Code contraffatti, spesso collocati sui parcometri o in luoghi pubblici: una volta scansionati, rimandano a siti malevoli che imitano quelli ufficiali per carpire dati personali o effettuare pagamenti fraudolenti. Diffusa anche la “truffa dei like”, veicolata tramite social e app di messaggistica, che promette guadagni facili in cambio di interazioni online. Per difendersi, è essenziale verificare l’autenticità dei siti, evitare QR Code sospetti e controllare regolarmente i movimenti bancari.

Beatrice Rubini, Executive Director della linea Mister Credit di CRIF, ha sottolineato che i dati raccolti nel primo semestre 2025 confermano un’evoluzione allarmante delle minacce digitali, con attacchi sempre più sofisticati che sfruttano anche strumenti basati sull’intelligenza artificiale per colpire in modo mirato e convincente. Tecniche come deepfake, voice phishing e malware generati da AI permettono ai criminali di creare contenuti iperrealistici e inganni personalizzati, difficili da rilevare e contrastare. Questo rende ancora più urgente l’adozione di strumenti di protezione avanzati e il monitoraggio costante della presenza dei propri dati sul dark web. Un esempio concreto, ha aggiunto, è il recente attacco ad alcuni hotel italiani, dove sono stati sottratti e messi in vendita documenti d’identità degli ospiti su forum nel dark web. Questi dati possono essere utilizzati per frodi mirate e furti d’identità, con conseguenze gravi per le vittime. Episodi come questo dimostrano quanto sia importante rafforzare la sicurezza nei settori più esposti e sensibilizzare gli utenti sui rischi.

LE COMBINAZIONI DI DATI PIU' ESPOSTI ALLE FRODI
I dati personali rappresentano porte d’accesso a identità digitali che, una volta violate, possono essere sfruttate per una vasta gamma di attacchi. Ad esempio, e-mail e numero di telefono sono frequentemente utilizzati per massive campagne di phishing personalizzate, in cui il messaggio appare credibile proprio perché costruito su informazioni reali dell’utente, inducendolo a cliccare su link malevoli più facilmente.
Analizzando le principali combinazioni di dati esposti si osserva che, nel primo semestre 2025, la combinazione di e-mail e password risulta la più frequente, presente nel 91,7% dei casi, mentre nel 84,9% dei casi la password è associata allo username. Un altro dato appetibile per i cyber criminali risulta essere il numero di telefono, associato alla e-mail nel 41,1% dei casi, e al nome e cognome nel 38,2% dei casi. Infine, particolarmente rilevante è la combinazione di numero di carta di credito, rilevata nel 42,1% dei casi con i dati di sicurezza e la data di scadenza, in crescita del +11,9%, dato estremamente preoccupante per il rischio di frodi finanziarie, che evidenzia la necessità di utilizzare protezioni come l’autenticazione a due fattori (2FA) per proteggersi.
Le informazioni personali, se combinate tra loro, permettono ai cybercriminali di costruire profili dettagliati degli individui, aumentando l’efficacia degli attacchi di ingegneria sociale. I dati di contatto, in particolare, possono essere sfruttati per orchestrare frodi mirate come lo spear phishing, una forma di phishing altamente personalizzata e quindi più difficile da individuare. Tra gli esempi più insidiosi rientrano gli attacchi BEC (Business E-mail Compromise), o la cosiddetta “truffa del CEO”, in cui i criminali si spacciano per figure apicali dell’azienda per indurre i dipendenti a trasferire fondi o condividere informazioni riservate.

TIPOLOGIE DI ACCOUNT PIU' FREQUENTI SUL DARK WEB 
Da un’analisi qualitativa dei contesti in cui i dati circolano è emerso che, escludendo i servizi di posta elettronica, le username trovate sul dark web sono maggiormente associate agli account di servizi (portali di offerte di lavoro e portali di news web) che occupano il primo posto (42,0%), seguiti dagli account relativi ai social network più diffusi (17,5%) e a siti Internet (12,9%). Al quarto e quinto posto si evidenziano invece i furti di account legati a servizi finanziari (8,8%) e a enti pubblici o istituzioni (6,3%), mentre i siti di e-commerce scendono al sesto posto (3,9%).
Le credenziali rubate vengono sfruttate per una grande varietà di scopi criminali: accesso abusivo agli account delle vittime, utilizzo illecito di servizi, invio di richieste di denaro o link di phishing, diffusione di malware o ransomware, con l’obiettivo di estorcere o rubare denaro. Anche per questa tipologia di furto di dati possiamo dire che un grande peso ha il “fattore umano”: la disattenzione dell'utente è una delle cause più comuni, così come password deboli o utilizzate per più account.
Attraverso un’analisi qualitativa dei domini degli account e-mail esposti sul dark web, l’osservatorio rileva che nel 90,2% dei casi si tratta di account e-mail personali, mentre nel restante 9,8% dei casi si tratta di account business. Questa tendenza che cresce nel tempo sembra confermare che, da un lato, gli utenti privati prestano ancora un’attenzione limitata alla sicurezza online, continuando così ad essere un bersaglio primario per gli hacker, dall’altro lato, invece, la crescita degli account business ci suggerisce che le aziende sono sempre più un target per gli attacchi dei criminali informatici.

FOCUS SULLA SITUAZIONE ITALIANA

Prendendo in considerazione il nostro paese, si rileva un aumento degli alert inviati sull’open web, nonostante la maggior parte continui a riguardare il furto di dati monitorati sul dark web. Complessivamente, il 36,4% degli utenti ha ricevuto almeno un alert nel primo semestre 2025, di cui l‘86,7% riferito a dati individuati sul dark web, mentre solo il 13,5% è legato a dati rilevati sul web pubblico.
Tra gli utenti privati italiani avvisati dai servizi di protezione CRIF, le fasce d'età maggiormente coinvolte sono quelle dei 51-60 anni (26,7%), seguite dai 41-50 anni (25,6%) a parimerito con gli over 60 (25,6%). Gli uomini costituiscono la maggioranza degli utenti allertati, pari al 64,8%.
Le regioni in cui vengono allertate più persone sono Lazio (17,1%), Lombardia (14,7%), Sicilia (9,3%) e Campania (7,9%), ma in proporzione sono gli abitanti di Molise, Piemonte, Umbria e Valle d’Aosta che ricevono più alert.
Per quanto riguarda i dati più frequentemente rilevati sull’open web, ovvero accessibili pubblicamente, nel primo semestre 2025 sono stati l’e-mail (51,6%) e il codice fiscale (43,8%), seguiti a distanza da numero di telefono (2,2%), username (1,3%) e indirizzo (1%). Seppur rappresentino una quota residuale (0,1%), è interessante notare che sono stati ritrovati anche diversi IBAN. Sul dark web, invece, le informazioni più spesso rilevate nel primo semestre 2025 sono le credenziali e-mail, seguite da numeri di telefono, codici fiscali, domini e-mail e carte di credito.

Beatrice Rubini ha concluso che in un contesto in cui l’intelligenza artificiale è diventata una vera e propria arma nelle mani dei criminali informatici, l’educazione digitale resta una leva strategica per la prevenzione. Ha menzionato progetti di sensibilizzazione, come il gioco Cyberninja per diffondere una maggiore consapevolezza sul phishing o il cortometraggio Il Furto, che racconta le conseguenze del furto d’identità. Oggi più che mai, ha affermato, è necessario promuovere una cultura della sicurezza che coinvolga attivamente ogni persona e azienda. In questo senso, la nuova normativa anti-spoofing introdotta da AGCOM rappresenta un passo importante: obbliga gli operatori a bloccare le chiamate internazionali che utilizzano numeri italiani falsificati, contrastando una delle tecniche più insidiose di truffa telefonica.