A126 Corporate Advisors
La Password del Tuo Sito È Già in Vendita sul Dark Web. Costa 3 Euro.
Digital Cybersecurity

La Password del Tuo Sito È Già in Vendita sul Dark Web. Costa 3 Euro.

Sul dark web circolano 15 miliardi di credenziali rubate. Le tue potrebbero essere tra queste. Scopri come proteggerti prima che sia troppo tardi.

A126 Team 4 min di lettura

Non è una domanda di "se". È una domanda di "quando".

Mentre leggi questo articolo, da qualche parte nel mondo qualcuno sta vendendo pacchetti di credenziali rubate. Email, password, numeri di telefono. Forse anche i tuoi.

Il prezzo? Meno di un caffè al bar.

Il listino prezzi del crimine

Secondo l'ultima ricerca di Kaspersky, pubblicata pochi giorni fa, sul dark web i criminali vendono pacchetti di credenziali verificate a partire da 50 dollari per lotti all'ingrosso. Ma se compri al dettaglio, i prezzi scendono ancora: documenti personali a 15 dollari, carte di credito a partire da 6 dollari, account email a pochi euro.

Le carte di pagamento italiane? Secondo NordVPN costano in media 9,34 euro l'una. Siamo tra le più "costose" d'Europa. Un primato di cui fare a meno.

Ma il dato più inquietante è un altro: nel dark web circolano circa 15 miliardi di credenziali rubate. Due per ogni abitante del pianeta.

L'Italia nel mirino

Se pensi che queste cose capitino solo alle grandi aziende americane, i numeri ti sveglieranno in fretta.

Il Rapporto Clusit 2025 è impietoso: l'Italia subisce il 10% degli attacchi informatici globali, nonostante rappresenti meno del 2% del PIL mondiale. Nel primo semestre 2025, gli attacchi gravi sono aumentati del 36%. L'80% degli incidenti viene classificato come "critico" o "grave".

E indovina chi sono i bersagli preferiti?

Le PMI. Il 43% degli attacchi informatici colpisce piccole e medie imprese. Quelle che pensano di essere "troppo piccole per interessare agli hacker". Quelle con il sito WordPress non aggiornato da mesi. Quelle con la password "admin123".

Come ti rubano le credenziali (senza che tu te ne accorga)

Non servono hacker geniali con felpa col cappuccio in scantinati bui. La maggior parte dei furti avviene in modi banali:

Phishing. Nel 2025, in Europa sono stati cliccati oltre 131 milioni di link di phishing. Quella mail della banca che ti chiede di "verificare i dati"? Probabilmente è falsa. Ma il 58% dei dipendenti non sa riconoscerla.

Password riutilizzate. Usi la stessa password per il sito aziendale, l'email e Netflix? Se uno dei tre viene violato, cadono tutti.

Plugin non aggiornati. Quel plugin WordPress che non aggiorni da 8 mesi? È una porta spalancata. I criminali usano scanner automatici che cercano vulnerabilità note 24 ore su 24.

Siti su cui ti sei registrato anni fa. Ti ricordi quel forum del 2018? Quello è stato violato. E tu avevi la stessa password di adesso.

Il conto da pagare

Quando ti bucano il sito, il danno non è solo tecnico.

Secondo il Rapporto Clusit, il costo medio di un attacco per una PMI italiana è di circa 59.000 euro. Ma può salire facilmente oltre i 300.000 euro se hai un e-commerce o gestisci dati sensibili.

E non parliamo solo di soldi:

  • Blocco dell'attività per giorni o settimane
  • Perdita di clienti che non si fidano più
  • Sanzioni GDPR se perdi dati personali
  • Danno reputazionale difficile da recuperare

Il riscatto medio chiesto a una PMI per un attacco ransomware? 35.000 dollari. E pagare non garantisce di riavere i dati.

La verità che nessuno vuole sentire

Solo il 15% delle PMI italiane ha un approccio strutturato alla cybersecurity.

Tradotto: l'85% naviga a vista, sperando che non capiti a loro.

Ma i criminali informatici non scelgono le vittime una per una. Lanciano attacchi automatizzati su migliaia di siti contemporaneamente. Se il tuo ha una falla, la trovano. Non è questione di "se". È questione di "quando".

Cosa puoi fare adesso (sul serio)

Non serve spendere fortune. Servono le basi fatte bene.

1. Controlla se sei già stato violato. Vai su haveibeenpwned.com e inserisci la tua email. Scoprirai in quali data breach è finita. Se la risposta è "nessuno", sei fortunato. Ma cambia comunque le password.

2. Password uniche e complesse. Una password diversa per ogni servizio. Usa un password manager (Bitwarden è gratuito e ottimo). Attiva l'autenticazione a due fattori ovunque possibile.

3. Aggiorna tutto. Subito. WordPress, plugin, temi. Tutto. Oggi. Quel banner arancione che ignori da settimane potrebbe essere l'unica cosa tra te e un disastro.

4. Backup automatici e testati. Un backup non testato è come una polizza assicurativa che non hai mai letto. Fai backup regolari, conservali fuori dal server principale, e ogni tanto prova a ripristinarli.

5. Formazione del personale. Il 35% degli incidenti in Italia è causato da social engineering. Basta un dipendente che clicca sul link sbagliato. Investi in formazione, anche solo mezzora ogni tre mesi.

Non domani. Oggi.

Le tue credenziali potrebbero essere già in vendita mentre leggi queste righe. Il dark web non dorme. Gli scanner automatici non si fermano mai. I criminali non fanno distinzione tra la multinazionale e la piccola azienda di provincia.

L'unica differenza? La multinazionale ha un team di sicurezza. Tu probabilmente no.
Ma puoi avere le basi. E le basi, fatte bene, fermano il 90% degli attacchi.

Il momento migliore per occuparsi della sicurezza del tuo sito era ieri. Il secondo momento migliore è adesso.

Condividi questo articolo

Articoli correlati