Un’identità digitale italiana può essere acquistata sul dark web per meno di 100 dollari. È questo uno dei dati più forti che emergono dall’analisi di NordVPN e NordStellar, che ha preso in esame circa 75 mila annunci pubblicati nei mercati illegali online e ha rilevato come le informazioni personali degli utenti italiani siano tra le più richieste a livello globale.
Identità digitale italiana e dark web, quanto valgono davvero i dati rubati
Il quadro che emerge è netto: i dati personali non sono soltanto esposti, ma hanno un prezzo preciso. Una carta di pagamento italiana rubata viene venduta in media a 13,16 dollari, mentre un pacchetto completo di identità, il cosiddetto “fullz”, parte da circa 90 dollari. In questa categoria rientrano informazioni sufficienti a ricostruire il profilo di una persona e ad alimentare frodi, furti d’identità o attività di impersonificazione.
Secondo l’analisi, anche documenti come passaporti e patenti italiane hanno una quotazione definita, attorno ai 35 dollari. Non si tratta quindi di episodi marginali o di dati raccolti in modo casuale, ma di un vero listino clandestino in cui i dati personali vengono trattati come merce standardizzata, acquistabile con estrema facilità.
Marijus Briedis, Chief Technology Officer di NordVPN, sintetizza così il fenomeno: “Ogni account online che possiedi ha un prezzo sul dark web. I tuoi abbonamenti alle piattaforme di streaming, le tue email, le credenziali del tuo home banking, i tuoi profili social. La maggior parte delle persone resterebbe scioccata nello scoprire quanto poco costa a un criminale acquistare la loro intera identità digitale.”
I dati italiani restano appetibili per i cybercriminali
Pur restando il Nord America l’area dominante, con oltre il 70% delle inserzioni complessive, la presenza dell’Italia nella top 10 mondiale segnala che il sistema finanziario e digitale del Paese continua a essere un obiettivo concreto per il cybercrime. L’Italia risulta infatti all’ottavo posto per numero di inserzioni, dietro a Stati Uniti, Spagna, Regno Unito, Singapore, Francia, Canada e Kuwait.
Il dato economico legato alle carte di pagamento italiane è particolarmente interessante perché supera persino quello di molte carte nordamericane. Questo suggerisce che i dati italiani non siano percepiti come materiale di scarsa qualità o di secondaria importanza, ma come asset utili e monetizzabili in modo rapido.
Briedis osserva: “Con il costo di un pieno di benzina, un criminale può acquistare dati personali sufficienti a creare un’identità falsa a nome di qualcun altro.” È una fotografia brutale ma efficace: bastano cifre molto basse per mettere in moto operazioni che possono avere conseguenze pesanti per vittime private, aziende e istituzioni.
Email aziendali e accessi business: il bersaglio più prezioso
Se gli account email personali possono essere venduti in blocco a partire da 1 dollaro, il valore cambia sensibilmente quando si entra nel perimetro aziendale. Le credenziali rubate di Office 365 riconducibili a utenti italiani arrivano a un prezzo mediano di 26,90 dollari. A queste si aggiungono le inserzioni relative a webmail Office GoDaddy e ad altri accessi professionali, per un totale di oltre 300 annunci individuati dai ricercatori.
Il motivo è evidente: un account di lavoro non vale solo per il contenuto della casella email, ma per ciò che può aprire. Un accesso compromesso può diventare la porta d’ingresso per rete aziendale, documenti, workflow interni, relazioni commerciali e strumenti amministrativi. In altri termini, il valore non è nel singolo account, ma nell’effetto leva che quell’accesso può generare.
È qui che entrano in gioco gli initial access broker, figure ormai centrali nell’economia del cybercrime. Questi soggetti si specializzano nel violare i sistemi aziendali e nel rivendere poi l’accesso ad altri gruppi criminali, compresi quelli specializzati in ransomware o furto di dati. Il fatto che colpiscano in massa le infrastrutture di Stati Uniti ed Europa occidentale conferma che il rischio per le imprese italiane non è affatto teorico.
Social, streaming, e-commerce e crypto: ogni account ha un prezzo
L’analisi mostra con chiarezza come il mercato illegale non si limiti a banche, carte o identità civili. Gli account social, per esempio, mantengono quotazioni rilevanti. Un account Facebook rubato vale circa 38 dollari e rappresenta da solo il 40% di tutte le inserzioni legate ai social media. Il motivo è semplice: da Facebook si può spesso risalire ad altri asset collegati, come Instagram, pagine aziendali o strumenti pubblicitari.
Anche TikTok e Snapchat generano interesse, con prezzi che arrivano rispettivamente a 60 e 34,50 dollari. In questi casi il valore dipende sia dal potenziale commerciale del profilo sia dalla possibilità di sfruttarlo per truffe, campagne fraudolente o ingegneria sociale.
Sul fronte consumer, i servizi di streaming risultano molto più economici. Un account Netflix si acquista per 4,55 dollari, mentre Spotify può arrivare a 28 dollari. È il segmento più “banalizzato” del fenomeno: accessi venduti quasi come fossero beni di largo consumo, con formule che imitano il linguaggio del commercio legittimo, tra promesse di accesso “a vita” e sostituzione dell’account sospeso.
Più alto è invece il valore degli account crypto. Un accesso compromesso a Coinbase può arrivare a 107,50 dollari, mentre per Binance si toccano i 160 dollari. Qui la ragione è puramente economica: a differenza delle carte rubate, che richiedono passaggi più complessi per essere monetizzate, un wallet o un account exchange può aprire la strada a fondi immediatamente spendibili o trasferibili.
Anche l’e-commerce mantiene un suo peso. Un account Amazon rubato viene venduto intorno ai 50 dollari, perché può consentire di sfruttare crediti, gift card o metodi di pagamento già associati, facilitando l’acquisto di prodotti da rivendere rapidamente.
Quanto è reale il rischio per gli utenti italiani
Il punto più scomodo è che il furto d’identità digitale resta per molti una minaccia astratta, quasi remota. In realtà, il mercato descritto da questa ricerca dice l’opposto: i dati personali non vengono necessariamente usati subito, ma possono circolare, essere aggregati, rivenduti e riutilizzati più volte, spesso senza che la vittima se ne accorga.
Briedis lo dice in modo diretto: “La maggior parte delle persone è convinta che il furto d’identità non la riguarderà mai o che, se dovesse accadere, se ne accorgerebbe subito. La verità è che i tuoi dati potrebbero già essere in vendita e non avresti alcun modo di saperlo, a meno di non verificarlo attivamente.”
È questa la parte meno rassicurante: il problema non coincide solo con la violazione iniziale, ma con la persistenza dell’esposizione. Una password sottratta mesi prima, un vecchio account dimenticato, un documento caricato su un servizio poco sicuro possono continuare a produrre valore per chi opera nel dark web molto tempo dopo il primo furto.
Come ridurre il rischio di esposizione dei dati personali
Sul piano pratico non esiste una misura unica che metta al riparo in modo definitivo. Esistono però comportamenti che riducono sensibilmente il livello di esposizione. Il primo è usare password diverse per ogni account, evitando il riuso che continua a essere uno dei principali moltiplicatori del danno quando una credenziale viene compromessa.
L’autenticazione a più fattori resta poi una delle difese più concrete, soprattutto per email, home banking, servizi cloud e account professionali. Anche la riduzione delle informazioni personali condivise online ha un peso reale, così come la gestione più selettiva di cookie, tracker e richieste di dati sensibili da parte di piattaforme e servizi.
Infine, c’è un aspetto spesso trascurato: il monitoraggio. Controllare con regolarità movimenti bancari, notifiche di accesso e attività anomale sugli account può fare la differenza tra un problema contenuto e una compromissione più estesa. Il punto non è credere di poter eliminare il rischio, ma capire che oggi l’identità digitale è un patrimonio esposto, con un valore preciso e una filiera criminale pronta a sfruttarlo.
