Osservatorio Cyber CRIF
- Oltre 2’200’000 alert inviati in merito all’esposizione dei dati sul dark web
- L’Iran passa dalla 124° posizione alla 3° a livello globale per indirizzi e-mail compromessi
- L’Intelligenza Artificiale potenzia gli attacchi, tra cui spiccano le campagne di omni-phishing
- Gli account business compromessi segnano un +12,7%, arrivando a rappresentare quasi il 10% del totale
Bologna, 28 maggio 2026 – Nel 2025 l’ecosistema delle minacce informatiche ha subito una trasformazione profonda, guidata da nuovi scenari geopolitici, da tecniche di attacco sempre più automatizzate e dall’arricchimento dei dati scambiati su dark web e web pubblico. Rispetto all’anno precedente, il numero di alert inviati in merito all’esposizione dei dati sul dark web è aumentato del +5,8%, superando i 2’200’000 casi nel 2025. Per quanto riguarda il web pubblico, il numero di alert si è invece attestato a 55’000, in calo del 6,6% rispetto al 2024.
Nel dark web sono stati rilevati dati più completi rispetto al 2024, con un conseguente aumento della gravità media degli alert pari al +22%. Tale aumento è dovuto principalmente all’individuazione di combinazioni di dati più complesse e pericolose, che associano in misura crescente indirizzi e-mail a password e riferimenti precisi ad account compromessi.
Questi sono alcuni dei rilevamenti dell’Osservatorio Cyber di CRIF, che mira ad analizzare la vulnerabilità di utenti e imprese agli attacchi informatici, nonché a interpretare le tendenze emergenti legate ai dati scambiati negli ambienti di dark web e web pubblico.
L’evoluzione dello scenario geopolitico globale si riflette anche nella crescita delle minacce informatiche: un caso emblematico è quello dell’Iran, salito dal 124° al 3° posto nella classifica globale degli indirizzi e-mail compromessi.
L’impatto dell’Intelligenza Artificiale sulla criminalità informatica
L’Osservatorio conferma che gli attacchi informatici non solo sono in aumento ma risultano anche sempre più difficili da individuare e contrastare, complice la disponibilità di dati senza precedenti e di tecniche di compromissione sempre più sofisticate. Tra le minacce in aumento figurano le campagne di smishing[1], che in Italia sono diventate straordinariamente credibili: dai falsi messaggi relativi a pedaggi autostradali non pagati, ai finti avvisi di problemi nella consegna dei pacchi: tutti ideati per sottrarre dati personali e informazioni di pagamento. Accanto allo smishing, phishing[2], vishing[3] e spear phishing[4] diventano sempre più efficaci grazie all’Intelligenza Artificiale, capace di generare e-mail impeccabili e deepfake audio/video, favorendo approcci strutturati come l’omni-phishing, che combina più canali per aumentare la credibilità delle truffe. Allo stesso tempo è in aumento il rischio di account takeover[5], favorito dalla combinazione di credenziali sottratte e social engineering iper-personalizzato. A completare il quadro assistiamo alla rapida diffusione degli stealers-as-a-service[6], in grado di acquisire pacchetti di dati completi, estremamente appetibili per il mercato criminale, esponendo gli utenti a rischi significativi.
L’affinamento delle strategie dei criminali informatici, potenziate dall’Intelligenza Artificiale, favorisce la circolazione sul dark web di combinazioni di dati estremamente dettagliate, che solitamente includono ulteriori informazioni aziendali. Infatti, sebbene l’analisi quantitativa dei domini associati agli account e-mail esposti sul dark web mostri una netta prevalenza degli account personali (quasi il 90,2% del totale), nel 2025 gli account business compromessi sono aumentati del +12,7% (9,8% del totale). Questa tendenza lascia intendere da un lato che gli utenti privati continuano a prestare scarsa attenzione alla sicurezza online e, dall’altro, che le imprese, pur adottando sempre più misure di sicurezza, sono ancora vulnerabili e molto prese di mira.
Le combinazioni di dati più esposte
Le categorie di dati più esposte e vulnerabili sul dark web risultano password, indirizzi e-mail, username, indirizzi di residenza, e nomi e cognomi. Anche i dati relativi a numeri di telefono, identificativi personali e carte di credito sono comunemente esposti e a rischio di compromissione.
L’analisi delle combinazioni di dati più frequentemente esposte nel 2025 rivela che la combinazione di numeri di carte di credito, insieme a nome e cognome, si riscontra nel 94,2% dei casi, risultando particolarmente preoccupante a causa del grave rischio di truffe finanziarie. La combinazione di password e indirizzo e-mail resta estremamente comune, con la prima che compare accanto al secondo nel 91,5% dei casi. La combinazione di username e password, che rappresenta l’85,2% dei casi, è principalmente correlata agli account aziendali, mettendo in evidenza le potenziali vulnerabilità sottostanti nelle aziende. I dati confermano che il furto di account rimane uno degli obiettivi principali degli hacker, sottolineando la necessità di adottare pratiche sicure per la gestione delle password, come l’uso di una password diversa per ogni account, la modifica frequente delle password e l’utilizzo di un password manager.
Un’altra informazione preziosa per i criminali informatici è l’indirizzo di residenza completo, associato ai numeri di telefono nel 44,5% dei casi. Inoltre, l’elevata incidenza della combinazione di numeri di passaporto e nome e cognome (64,6%) e, sebbene meno comune, di numero di passaporto e indirizzo di residenza completo (57,5%), incrementa il rischio di furto d’identità, sostituzione di persona e profilazione avanzata.
|
Combinazioni principali di dati |
|
2025 |
% rispetto al 2024 |
|
Numero di carta di credito + nome e cognome |
|
94,2% |
+100,0% |
|
E-mail + password |
|
91,5% |
+2,2% |
|
Username + password |
|
85,2% |
-2,6% |
|
Numero di passaporto + nome e cognome |
|
64,6% |
+100,0% |
|
Numero di passaporto + indirizzo di residenza completo |
|
57,5% |
+100,0% |
|
Indirizzo di residenza completo + numero di telefono |
|
44,5% |
-32,1% |
|
Numero di telefono + nome e cognome |
|
44,8% |
-15,2% |
Fonte dei dati: Osservatorio Cyber di CRIF
Tipologie di account più frequenti sul dark web
Da un’analisi qualitativa dei contesti in cui circolano i dati è emerso che, escludendo i servizi di posta elettronica, gli username rinvenuti sul dark web sono per lo più associati a servizi online (53,7%), seguiti dagli account relativi ai social network più diffusi (15%) e ai siti web (10,4%). Al quarto posto emerge il furto di account associati al gaming (5,9%), in aumento del 22,9%, seguito dai servizi pubblici (5,2%), mentre le piattaforme di e-commerce occupano la 6° posizione (5%).
|
|
Tipologia di account più frequenti |
|
2025 |
Variazione % rispetto al 2024 |
|
1 |
Servizi online |
|
53,7% |
+56,6% |
|
2 |
Social network |
|
15,0% |
-37,2% |
|
3 |
Siti web |
|
10,4% |
+4,0% |
|
4 |
Gaming |
|
5,9% |
+22,9% |
|
5 |
Servizi pubblici |
|
5,2% |
-24,6% |
|
6 |
Piattaforme di e-commerce |
|
5,0% |
-35,1% |
|
7 |
Servizi finanziari |
|
4,7% |
+9,3% |
Fonte dei dati: Osservatorio Cyber di CRIF
Le credenziali rubate possono essere utilizzate per una serie di attività, tra cui l’accesso agli account delle vittime, l’uso improprio dei servizi, l’invio di messaggi contenenti richieste di denaro o link di phishing, la diffusione di malware o ransomware e, in generale, l’estorsione o il furto di denaro. In questo tipo di furto di dati, il “fattore umano” gioca un ruolo significativo: la disattenzione degli utenti è una delle cause più comuni, al pari dell’uso di password deboli o riutilizzate su più account.
A questa dinamica si aggiungono gli attacchi di Account Takeover (ATO) che colpiscono non solo gli account tradizionali, ma anche i servizi di messaggistica come WhatsApp. Un altro elemento comune a determinati tipi di account (come social network, piattaforme di streaming e gaming) è la disponibilità degli utenti a fornire le proprie credenziali a servizi apparentemente innocui che offrono omaggi o funzionalità aggiuntive, quando in realtà spesso si tratta semplicemente di strumenti per la raccolta di credenziali.
Svizzera
Se si guarda alle password più comuni in Svizzera trovate sul dark web, in cima alla lista figurano «newsletter», semplici sequenze numeriche come «123456789» e «password».
CRIF Cyber Observatory
CRIF Cyber Observatory analizza la vulnerabilità di singole persone e aziende ad attacchi informatici nell’open e nel dark web e indica quali siano i dati maggiormente esposti, quali informazioni siano reperibili in rete e dove si concentri il traffico dei dati. Questa rilevazione è stata effettuata per il 2025.
[1] Smishing: truffa informatica tramite SMS o app di messaggistica come WhatsApp.
[2] Phishing: truffa informatica che mira a rubare informazioni personali tramite e-mail ingannevoli.
[3] Vishing: truffa informatica che utilizza telefonate o messaggi vocali per rubare dati da vittime specifiche.
[4] Spear phishing: truffa informatica che utilizza messaggi personalizzati per rubare dati da vittime specifiche.
[5] Account takeover: accesso non autorizzato a un account digitale finalizzato a prenderne il controllo o sottrarre dati.
[6] Stealer-as-a-service: malware usato per rubare informazioni, come credenziali e dati finanziari.