Un'identità digitale completa di un cittadino italiano costa 90 dollari sul dark web. L'analisi di 75 mila annunci sui mercati sotterranei rivela che i dati italiani sono tra i più ricercati al mondo.
Autore: Redazione SecurityOpenLab
Novanta dollari: è il prezzo a cui un cyber criminale può acquistare sul dark web un pacchetto completo di dati personali di un cittadino italiano, sufficiente a costruire un'identità falsa a suo nome. Lo rileva la ricerca pubblicata da NordVPN e NordStellar, che ha analizzato circa 75 mila annunci sui mercati sotterranei tra gennaio 2025 e febbraio 2026, con un dataset complessivo di oltre 28 mila inserzioni uniche, classificate in 16 categorie. Il quadro che emerge colloca l'Italia all'ottavo posto nella classifica globale per numero di annunci, preceduta solo da Stati Uniti, Spagna, Regno Unito, Singapore, Francia, Canada e Kuwait, nonostante il Nord America concentri oltre il 70% delle inserzioni totali.
Il cosiddetto fullz è il pacchetto completo che include codice fiscale, data di nascita e indirizzo. Le scansioni digitali di passaporti e patenti di guida si attestano intorno ai 35 dollari ciascuna. Una carta di pagamento rubata viene venduta a un prezzo mediano di 13,16 dollari, che è un valore superiore a quello delle carte nordamericane, a conferma che il sistema finanziario italiano è percepito dai criminali come un target di qualità.
Se gli account email personali vengono venduti in blocco a partire da un dollaro l'uno, le credenziali aziendali seguono una logica di prezzo completamente diversa. Gli account italiani di Office 365 raggiungono un prezzo mediano di 26,90 dollari; i ricercatori hanno individuato oltre 300 annunci relativi a email aziendali italiane sulle sole piattaforme considerate nell'analisi. Il valore è dovuto al fatto che un account aziendale compromesso è un potenziale punto di accesso all'intera infrastruttura di rete dell'organizzazione. Come evidenziato dall'IBM X-Force Threat Intelligence Index 2026, la raccolta di credenziali è stata l'impatto più ricorrente negli incidenti analizzati nel 2025, con mercati sotterranei sempre più specializzati nella rivendita di log rubati.
A rifornire questi mercati sono gli initial access broker, operatori criminali specializzati nelle violazioni di perimetri di sicurezza aziendali per poi rivendere l'accesso ad altri threat actor. Come ricordato anche nell'analisi di Sophos, nel 64% dei casi la compromissione iniziale è riconducibile all'abuso di identità, a sua volta figlio di credenziali rubate già in circolazione nei circuiti criminali, phishing, furto di token di autenticazione.
Del resto, il mercato del dark web segue le stesse regole di qualsiasi mercato legale: prezzi differenziati per qualità e liquidabilità del bene. Gli account dei social media rispecchiano il valore delle reti di relazioni che contengono: un account Facebook rubato vale circa 38 dollari e rappresenta da solo il 40% di tutte le inserzioni di account social, perché un singolo accesso può aprire la strada agli account Instagram collegati, alle pagine aziendali e agli strumenti pubblicitari associati. Gli account TikTok raggiungono i 60 dollari, quelli Snapchat si aggirano sui 34,50 dollari.
I servizi di streaming seguono una logica diversa, legata alla commoditizzazione: un account Netflix costa 4,55 dollari, Spotify arriva a 28 dollari. I venditori gestiscono queste transazioni come attività commerciali strutturate, con accessi a vita e sostituzione degli account sospesi come clausola di garanzia implicita.
La maggior parte delle persone ignora che i propri dati potrebbero già circolare sui mercati illegali senza che vi sia alcun segnale visibile. Per ridurre l'esposizione, i ricercatori indicano alcune azioni concrete, come per esempio usare strumenti di monitoraggio del dark web che allertino tempestivamente in caso di comparsa delle proprie credenziali. Sono consigliate inoltre l'adozione di password univoche per ogni account, gestite attraverso un password manager; l'attivazione dell'autenticazione a più fattori; la limitazione dei dati personali condivisi online; il controllo periodico degli estratti conto con attivazione delle notifiche per ogni transazione, considerato che un piccolo addebito anomalo può essere il primo segnale di un attacco più ampio. Come osservato nell'analisi delle previsioni di cybersecurity per il 2026, l'adozione di soluzioni passwordless e di autenticatori resistenti al phishing è ormai un passaggio obbligato per ridurre la superficie di attacco basata su credenziali rubate o riutilizzate.