Cos'è il dark web?

By Matthew Kosinski

Definizione di dark web

Il dark web è la parte del web che esiste sulle reti orientate alla privacy, chiamate "darknet". È nascosto dai motori di ricerca e dai browser web standard e richiede strumenti e configurazioni speciali per l'accesso. Sebbene sia più noto per le attività criminali, come i marketplace per i dati rubati, ha anche degli usi legittimi.

Il dark web ospita pagine web, canali di messaggistica, reti di condivisione dei file e altri servizi simili al web tradizionale o "aperto". La differenza è che i contenuti del dark web risiedono nelle darknet, ovvero sottosezioni anonime di internet con particolari requisiti di accesso. Alcune darknet sono solo su invito. Altre possono essere raggiunte con le giuste impostazioni di rete o con un software, come il browser Tor. 

L'anonimato è la principale attrattiva del dark web. Le reti del dark web utilizzano metodi come la crittografia multilivello e il routing indiretto per nascondere l'identità degli utenti. Sia le persone che visitano i siti del dark web, sia le persone che li ospitano, non possono essere facilmente identificate. 

I criminali informatici approfittano di questo anonimato per mascherare le loro attività illegali. Giornalisti, whistleblower e utenti comuni di internet possono usare il dark web per evitare di essere tracciati da governi ostili, grandi aziende, reti pubblicitarie, algoritmi predittivi e altri occhi indiscreti.

I professionisti della cybersecurity monitorano il dark web anche come fonte importante di threat intelligence. Possono vedere cosa stanno facendo gli hacker, rimanere aggiornati sugli obiettivi e sulle tecniche degli attacchi informatici e monitorare le nuove e continue violazioni dei dati.  

Nonostante la sua associazione con attività illecite e contenuti illegali, il semplice accesso al dark web non è necessariamente illegale in molte giurisdizioni.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Cos'è la darknet?

La darknet è l'infrastruttura di rete (computer e altri dispositivi interconnessi) che consente l'accesso ai contenuti del dark web.

I termini "darknet" e "dark web" sono spesso usati come sinonimi, più o meno nello stesso modo in cui "internet" e "web" sono usati in modo intercambiabile. Tecnicamente però Internet è una rete di dispositivi connessi e il web è uno strato di informazioni (siti web, app e altri servizi) a cui le persone possono accedere tramite Internet. 

La stessa distinzione vale per darknet e dark web. Una darknet è l'infrastruttura, mentre il dark web è il contenuto accessibile attraverso quell'infrastruttura.

Esistono molti tipi di darknet, ma la rete Tor è la più famosa. (Per ulteriori informazioni, vedi "Cos'è Tor?") Altre darknet includono Invisible Internet Project (I2P) e Hyphanet. 

La maggior parte delle darknet sono reti overlay, ovvero sottoreti distinte che esistono all'interno di una rete più grande. Questa rete più ampia è, in genere, Internet stesso. 

Tuttavia, le darknet sono isolate dall'internet pubblico e gli utenti non possono raggiungerle facilmente tramite i normali browser, come Google Chrome, Mozilla Firefox o Microsoft Edge. Gli utenti necessitano di software, permessi o configurazioni speciali per accedere a una darknet.

Molte darknet, come Tor, sono gestite da volontari e organizzazioni senza scopo di lucro, con persone che donano liberamente le proprie macchine per fungere da nodi di rete. Altre sono reti peer-to-peer decentralizzate o reti private accessibili solo su invito.

Un'altra cosa rende le darknet diverse da Internet in senso lato e da altre reti overlay. Le darknet nascondono intenzionalmente l'identità degli utenti tramite crittografia multilivello, onion routing e altri metodi. 

Cos'è Tor?

Tor, abbreviazione di "The Onion Router", può riferirsi a una rete, un browser e un'organizzazione.

Rete Tor

La rete Tor è una darknet specifica in esecuzione su migliaia di nodi gestiti da volontari. I siti web sulla rete Tor sono chiamati "servizi nascosti" o "servizi onion" e utilizzano il dominio .onion.
Browser Tor

Il browser Tor è un browser web che preserva la privacy e che può accedere ai contenuti della rete Tor. Il browser Tor può anche accedere ai normali contenuti web rafforzando al contempo l'anonimato degli utenti. 
Tor Project

Project Tor è l'organizzazione no-profit che sviluppa e aiuta a mantenere la rete Tor, il browser Tor e altri strumenti e infrastrutture correlati. 

Il browser Tor è forse il browser più popolare del dark web, ma non è l'unico modo per accedere al dark web. Né la rete Tor è l'unica rete per i contenuti del dark web. A volte le persone trattano Tor e il dark web come la stessa cosa, tuttavia Tor è una darknet tra le tante.

Detto questo, capire come funziona Tor può aiutare a far luce sul funzionamento generale del dark web.

Il principio fondamentale della rete Tor è l'onion routing, che è il modo in cui Tor maschera gli indirizzi IP e mantiene l'anonimato degli utenti. Sviluppato per la prima volta dallo US Naval Research Laboratory negli anni '90, l'onion routing applica più livelli di crittografia al traffico. Questi strati danno alla tecnica il nome di "onion", o "cipolla". 

Invece di indirizzare gli utenti direttamente alla loro destinazione, l'onion routing li indirizza prima attraverso una serie di nodi intermedi. Ogni nodo può decifrare solo un singolo strato della crittografia del traffico, quindi nessun singolo nodo conosce il percorso del traffico dall'inizio alla fine.  

Anche i proprietari di siti darknet non sanno da dove provengano i loro visitatori, né sanno dove siano ospitati questi siti. 

Diagramma che mostra come Tor indirizza il traffico degli utenti
Come funziona l'onion routing

Dark web, deep web e surface web: qual è la differenza?

Il dark web, il deep web e il surface web sono tre parti diverse del web. Il surface web è ciò che gli utenti possono trovare su qualsiasi motore di ricerca. Il deep web è nascosto ai motori di ricerca, ma gran parte di esso è accessibile tramite qualsiasi browser con la giusta autenticazione. I contenuti del dark web richiedono una configurazione speciale.

Cos'è il surface web?

Il surface web, chiamato anche open web, è la parte di Internet che viene indicizzata dai normali motori di ricerca, come Google e Bing. Siti di social media, video su YouTube, blog pubblici e inserzioni su Amazon: tutti questi elementi sono esempi di contenuti di surface web.

Il surface web è una delle parti più piccole del web e rappresenta circa il 5% dei contenuti su Internet. 

Cos'è il deep web?

Il deep web è la parte di internet che i motori di ricerca non indicizzano, quella che comprende la maggior parte dei contenuti web. Il deep web include il dark web, ma la maggior parte è accessibile tramite un normale browser web con configurazioni predefinite (siti web protetti da password, articoli di notizie a pagamento e database privati).

Sebbene il dark web faccia parte del deep web, sono diversi sotto alcuni aspetti importanti.

Il dark web è la parte del deep web che esiste sulle darknet. Per questo motivo, è possibile accedervi solo attraverso browser dark web, proxy appositamente configurati o altri mezzi. La maggior parte dei contenuti del deep web può essere raggiunta dall'internet aperto, tramite le credenziali giuste. Il dark web anonimizza intenzionalmente gli utenti, mentre il deep web non lo fa. 

Com'è il dark web?

Il dark web assomiglia molto all'open web: forum di discussione, siti di notizie, marketplace e molto altro. Alcuni siti del surface web, come Facebook, hanno addirittura versioni ufficiali nel dark web.

I siti del dark web hanno spesso meno funzioni rispetto ai siti web aperti, in parte perché le prestazioni della darknet tendono a essere meno affidabili. Tecniche come l'onion routing preservano l'anonimato, ma al costo di rallentare le connessioni. 

"Possiamo pensare al dark web come a un caotico ecosistema web alternativo", afferma Robert Gates, analista senior di X-Force threat intelligence di IBM. "È una versione semplificata dei siti di e-commerce comunemente presenti su internet, con pagine di prodotto, fornitori e feedback. Esistono anche alcuni servizi di deposito fiduciario e sistemi di valutazione, ma questi sistemi vengono spesso manipolati dai venditori."

I siti del dark web hanno solitamente URL lunghi e complicati, che possono essere difficili da ricordare. Per navigare nel dark web, gli utenti si rivolgono in genere ai motori di ricerca del dark web o agli elenchi di link come Hidden Wiki. 

I tipi comuni di siti del dark web includono:

1. Marketplace

I marketplace del dark web vendono molte cose.

  • Malware, come infostealer, loader, Trojan e ransomware. Molti criminali informatici utilizzano accordi malware-as-a-service (MaaS). Le gang MaaS sviluppano e mantengono strumenti e infrastrutture malware, che vendono ad altri hacker, noti come  "affiliati". Gli affiliati utilizzano il malware per attaccare le vittime, spesso dividendo il bottino con la gang MaaS. Il ransomware as a service (RaaS) è particolarmente popolare. 

  • Altri strumenti e tecniche di attacco informatico, come il noleggio di botnet per DDoS e i kit di phishing.

  • Accesso. I broker di accesso entrano nelle reti, solitamente utilizzando le vulnerabilità e installando backdoor, e poi vendono questi punti di accesso ad altri criminali informatici.

  • Dati come conti bancari rubati, dettagli della carta di credito, credenziali di accesso e altre informazioni sensibili che i criminali possono utilizzare per commettere furti di identità.  

  • Beni illegali, inclusi documenti contraffatti e sostanze illegali.

La maggior parte delle transazioni sui marketplace del dark web utilizza criptovalute come bitcoin per preservare l'anonimato di acquirenti e venditori.

Lanciato nel 2011, Silk Road è ampiamente considerato il primo e più noto marketplace darknet. Nel 2013, l'FBI lo ha sequestrato e chiuso.

2. Forum sul dark web

I criminali informatici professionali e gli hacker amatoriali si incontrano nei forum del dark web, dove condividono suggerimenti, nuove vulnerabilità e informazioni su potenziali obiettivi e si vantano dei propri successi.

Anche gli esperti di cybersecurity seguono questi forum per tenersi aggiornati sul panorama delle minacce informatiche.

3. Siti di fughe di dati

I siti di fughe di dati sono i luoghi in cui gli hacker si vantano dei dati che hanno rubato durante le violazioni. I criminali informatici pubblicano esempi di ciò che possiedono e chiedono alle vittime di pagare un riscatto, altrimenti diffonderanno il resto.

Alcune gang gestiscono i propri siti di fughe di dati. Altre hanno adottato un modello chiamato "extortion as a service", in cui le gang più grandi consentono ad affiliati e alleati di ospitare dati rubati sui loro siti. L'utilizzo di un sito di fughe di dati di più alto profilo da parte di una gang più grande può esercitare una maggiore pressione sulle vittime affinché paghino. Come per altri accordi as-a-service, la gang più grande di solito prende una parte del riscatto.

4. Siti del dark web legittimi

I whistleblower (sia che riportino su aziende, governi o altre istituzioni), spesso utilizzano forum e servizi di messaggistica del dark web per diffondere anonimamente le loro informazioni al pubblico. 

Allo stesso modo, i giornalisti spesso utilizzano servizi del dark web per connettersi con fonti che necessitano di anonimato. Gli attivisti possono usare il dark web per eludere la censura e la sorveglianza dei governi.

Altri siti del dark web sono molto più banali. Sono siti di social media, siti di notizie e altri servizi tipici che utilizzano il dark web per aiutare i loro proprietari e utenti a evitare di essere tracciati.

Dinamiche del dark web

In assenza di qualsiasi controllo legale o normativo, in una rete in cui tutti sono anonimi, il dark web funziona secondo quella che Gates chiama "economia della reputazione". Hacker e rivenditori utilizzano le loro attività passate per generare credibilità. Molti marketplace dispongono di sistemi di recensioni e alcuni offrono servizi di deposito fiduciario per garantire che le persone vengano pagate.

Tuttavia, questa economia della reputazione offre anche ai criminali informatici un incentivo a mentire sia alle vittime che gli uni agli altri. Ad esempio, potrebbero affermare di aver rubato set di dati più importanti di quelli che hanno in realtà, nel tentativo di aumentare il business, fare pressione sulle vittime o sembrare più bravi. 

Con l'avvento dell'AI generativa, possono rendere le loro bugie ancora più convincenti, creando dati falsi per far sembrare le violazioni più grandi di quanto non siano. 

"Possono alimentare un'AI con i documenti e i dati di cui dispongono e dirgli di espandere il set e farlo sembrare una raccolta più ampia", spiega Gates. “Molti dati si rivelano falsi, ma non è possibile distinguerli”. 

Inoltre, i criminali informatici non disdegnano le vere e proprie truffe. 

"Abbiamo visto casi in cui gli amministratori di un particolare forum adottano una sorta di piano di uscita in cui hanno raccolto abbastanza denaro e se ne vanno", afferma Gates. "Il mercato chiude e nessuno sa cos'è successo".

Il risultato di tutti questi affari sporchi e di questo doppio gioco è che il dark web subisce una notevole quantità di abbandoni. I siti web e le gang della criminalità informatica appaiono e scompaiono continuamente. In parte perché le forze dell'ordine li arrestano, ma spesso perché si pugnalano alla schiena.

“Nel dark web, l'equilibrio del potere è in continuo cambiamento,” afferma Gates. Gli affiliati "bruciati" si separano per creare le proprie imprese. L'ego di qualcuno si mette in mezzo, oppure si verifica una sorta di conflitto interpersonale tra di loro".  

Tutto è anonimo nel dark web?

Sebbene l'anonimato sia la principale attrattiva del dark web, ci sono modi per scoprire l'identità di un utente. Ad esempio, correlando il traffico inviato alla rete Tor con il traffico verso un sito specifico basandosi sui timestamp, le forze dell'ordine e i professionisti della sicurezza possono ipoteticamente determinare cosa stia facendo quell'utente. 

I nodi avvelenati, ovvero nodi compromessi su una rete che sorvegliano segretamente il traffico, possono anch'essi creare una falla nell'anonimato. Gli utenti possono anche tradire la propria identità attraverso una configurazione errata o utilizzando in modo improprio un browser o una rete del dark web. 

Perché il dark web è importante per la cybersecurity

Il monitoraggio del dark web è un aspetto fondamentale di molte iniziative di threat intelligence. Tenendo d'occhio i forum e i social network del dark web, gli analisti di threat intelligence possono rimanere aggiornati sui malware più recenti, sulle vulnerabilità utilizzate e su altre tendenze. 

I professionisti di cybersecurity possono anche approfittare delle conseguenze delle rivalità tra gang, che spesso portano gli hacker a deturpare i siti web degli altri, a tradirsi a vicenda o a divulgare il codice sorgente. Ad esempio, nel febbraio 2025, una gang rivale ha fatto trapelare il codice dell'ultima versione del famigerato ransomware del gruppo Lockbit.

"Crea opportunità per i difensori", afferma Gates. "Improvvisamente ci sono molte imitazioni di software, ma magari la loro OPSEC o la loro comprensione di come funziona il malware stesso non sono così avanzate come le persone che lo hanno sviluppato. Quindi forse non lo usano correttamente". 

I difensori possono quindi mettere le mani sul codice sorgente (o su altre informazioni trapelate) e studiarlo personalmente. 

Tenere d'occhio il dark web può anche aiutare i team di cybersecurity a identificare gli attacchi più rapidamente. Tanto prima le organizzazioni sanno che si è verificata una violazione, quanto prima possono agire per contenerla. Ogni secondo conta, poiché ci vogliono in media 241 giorni per identificare e contenere una violazione, secondo il report Cost of a Data Breach di IBM.

Autore

Matthew Kosinski

Staff Editor

IBM Think
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity