Osservatorio Cyber CRIF, nel 2025 aumento furti dati sul dark del 5,8%, +22% gravità media degli allert

L'Osservatorio Cyber di CRIF rileva che nel 2025 i furti di dati sul dark web sono cresciuti del 5,8%, con una gravità media in aumento del 22%. L’ecosistema delle minacce cyber ha subito una trasformazione profonda, guidata da nuovi scenari geopolitici, da tecniche di attacco sempre più automatizzate e dall’arricchimento dei dati scambiati su dark web e public web. Rispetto all’anno precedente, il numero di segnalazioni inviate in merito all’esposizione dei dati sul dark web è aumentato del +5,8%, raggiungendo oltre 2.200.000 alert.  Per quanto riguarda invece il web pubblico, il numero di segnalazioni relative all’esposizione di dati si è attestato a 55.000, in calo (-6,6%) rispetto al 2024.

Nel dark web sono state rilevate informazioni più complete rispetto al 2024, con un conseguente aumento della gravità media degli alert (+22%). Tale aumento è dovuto in particolare all’individuazione di combinazioni di dati più complesse e pericolose, che associano in misura crescente indirizzi e-mail a password e riferimenti precisi agli account compromessi.

Queste alcune delle evidenze dell’Osservatorio Cyber di CRIF, che analizza la vulnerabilità di utenti e aziende agli attacchi informatici, delineando le principali tendenze legate ai dati scambiati sul dark web e sull’open web.

L’evoluzione dello scenario geopolitico globale si riflette anche nella crescita delle minacce informatiche: emblematico il caso dell’Iran, che nel ranking mondiale degli indirizzi e-mail compromessi è passato dal 124° al 3° posto. In questo contesto, l’Italia si conferma particolarmente esposta alle minacce dei cyber criminali classificandosi al 6° posto nella classifica globale per indirizzi e-mail compromessi e messi in circolazione sul dark web e al 23° posto in quella per numero di dati relativi a carte di credito in circolazione. Inoltre, il Bel Paese si colloca al 17° posto nel continente europeo per rilevamento di numeri di telefono, che rappresentano un elemento chiave in molte truffe online.

L’impatto dell’intelligenza artificiale sul cybercrimine

L’Osservatorio dipinge uno scenario in cui i cyberattacchi non solo crescono, ma risultano sempre più difficili da individuare e contrastare, complice la disponibilità di dati senza precedenti e tecniche di compromissione sempre più sofisticate. Tra le minacce in forte aumento spiccano le campagne di smishing, che in Italia hanno assunto forme particolarmente credibili: dai falsi messaggi sui pagamenti autostradali non saldati ai finti avvisi di problemi nella consegna dei pacchi, tutti progettati per sottrarre dati personali e informazioni di pagamento. Parallelamente, phishing, vishing e spear phishing diventano più insidiosi grazie all’intelligenza artificiale, capace di generare e-mail impeccabili e deepfake audio-video, favorendo approcci strutturati come l’omni-phishing, che combina più canali per aumentare la credibilità delle frodi. Cresce inoltre il rischio di account takeover, favorito dalla combinazione di credenziali sottratte e social engineering iper-personalizzato. A completare il quadro è la crescente diffusione degli stealers-as-a-service, in grado di raccogliere pacchetti informativi completi e altamente appetibili per il mercato criminale, esponendo gli utenti a rischi significativi.

L’affinamento delle strategie dei cyber criminali, potenziate dall’intelligenza artificiale, alimenta la circolazione sul dark web di combinazioni di dati estremamente dettagliate che sempre più spesso includono anche informazioni professionali. Infatti, sebbene l’analisi qualitativa dei domini associati agli account e-mail esposti sul dark web mostri una netta prevalenza di indirizzi personali (90,2% del totale), nel 2025 aumentano del +12,7% gli account business compromessi (9,8% del totale). Questa dinamica suggerisce da un lato che gli utenti privati continuano a prestare una protezione insufficiente ai propri dati digitali e, dall’altro, che le imprese, pur dotandosi di controlli sempre più avanzati, restano vulnerabili e quindi sempre più prese di mira.

“Il panorama delle minacce informatiche continua a evolversi rapidamente, nel 2025 abbiamo visto emergere nuove tecnologie e nuovi attori, con attacchi di phishing potenziati dall’AI e contenuti altamente personalizzati che ingannano le vittime con una precisione senza precedenti. Ma il 2025 ha evidenziato con particolare forza un altro fronte: le aziende stanno diventando obiettivi sempre più esposti e appetibili. Nel dark web circolano combinazioni di dati molto più ricche che includono, oltre alle informazioni personali, anche credenziali professionali e riferimenti agli account business. Questi dataset permettono attacchi chirurgici contro processi aziendali e piattaforme operative, trasformando ogni credenziale compromessa in un potenziale punto d’ingresso nei sistemi dell’organizzazione” afferma Beatrice Rubini, Executive Director della linea Mister Credit di CRIF, che prosegue: “Proteggere i propri dati e prestare attenzione a ciò che condividiamo rimane essenziale, ma non basta: oggi è fondamentale riconoscere le nuove tecniche di attacco rese possibili dall’Intelligenza Artificiale, come e-mail generate da modelli linguistici avanzati, deepfake vocali e video, campagne di phishing multi canale sempre più convincenti”.

Le combinazioni di dati più esposte alle frodi

Le tipologie di dati più diffuse e vulnerabili sul dark web risultano, nell’ordine: password, e-mail, nomi utente, indirizzi di residenza, nomi e cognomi. Anche i dati relativi ai numeri di telefono, ai codici identificativi personali e alle carte di credito sono comunemente esposti e a rischio di compromissione.

Analizzando le principali combinazioni di dati esposti si osserva che nel 2025, la combinazione di numeri di carta di credito completa con nome e cognome viene rilevata nel 94,2% dei casi, risultando particolarmente preoccupante a causa del grave rischio di frode finanziaria. La combinazione di e-mail e password rimane estremamente comune, con la password trovata accanto alla e-mail nel 91,5% dei casi, e nell’85,2% dei casi, è anche associata alla username. La combinazione di username e password è principalmente legata agli account aziendali, mettendo in evidenza le potenziali vulnerabilità delle aziende. Questi dati confermano che il furto di account continua a essere una priorità per gli hacker, sottolineando l’importanza di adottare pratiche sicure nella gestione delle password, come l’utilizzo di credenziali uniche, aggiornamenti regolari e l’impiego di password manager.

Molto appetibile per i cybercriminali è anche l'indirizzo residenziale completo, associato al numero di telefono nel 44,5% dei casi. Inoltre, la crescente incidenza della circolazione del numero di passaporto insieme a nome e cognome (64,6%) e, seppur in misura leggermente inferiore, insieme all’indirizzo completo (57,5%), amplifica il rischio di furto d’identità, impersonificazione e scenari di profiling avanzato.

Tipologie di account più frequenti sul dark web

Da un’analisi qualitativa dei contesti in cui i dati circolano è emerso che, escludendo i servizi di posta elettronica, le username trovate sul dark web sono maggiormente associate ai servizi online che occupano il primo posto (53,7%), seguiti dagli account relativi ai social network più diffusi (15%) e a siti Internet (10,4%). Al quarto posto emerge invece il furto gli account di gaming (5,9%), che segnano una crescita del +22,9%, seguiti dagli account legati a enti pubblici o istituzioni (5,2%), mentre i siti di e-commerce scendono al sesto posto (5%). 

Le credenziali rubate possono essere utilizzate per diversi scopi, ad esempio per entrare negli account delle vittime, utilizzare servizi in modo fraudolento, inviare messaggi con richieste di denaro o link di phishing, diffondere malware o ransomware per estorcere o rubare denaro. In questo scenario, il "fattore umano" continua a giocare un ruolo cruciale in questa tipologia di furto di dati: la disattenzione degli utenti e l'uso di password deboli o riutilizzate sono infatti tra le cause più comuni.

A questa dinamica, si aggiunge la crescente diffusione di Account Takeover (ATO), che colpiscono non solo gli account più tradizionali, ma anche servizi di messaggistica come WhatsApp. Inoltre, alcuni tipi di account – come social network, piattaforme di streaming e di gioco – risultano esposti anche per la tendenza degli utenti a fornire le proprie credenziali a servizi apparentemente innocenti che offrono omaggi o funzionalità aggiuntive, ma che spesso si rivelano strumenti per raccogliere credenziali.

I Paesi maggiormente colpiti dal furto di dati

Tra i Paesi maggiormente colpiti dal fenomeno del furto di e-mail e password online, gli USA occupano la prima posizione, seguiti nella classifica da Russia, Iran, Germania e Francia mentre l’Italia si posiziona al 6° posto, precedendo il Regno Unito. L'aumento degli account iraniani può essere attribuito in gran parte alle tensioni geopolitiche in Medio Oriente, con le agenzie governative particolarmente prese di mira.

Per quanto riguarda lo scambio illecito di dati relativi alle carte di credito, la Russia continua ad essere il Paese più colpito, seguita da India e Stati Uniti mentre l’Italia occupa il 23° posto della classifica globale.

La classifica dei continenti più colpiti dallo scambio di dati delle carte di credito rubate vede l’Europa al primo posto (78,3%), con un aumento significativo rispetto al 2024 (+32,1%), seguita dall’Asia (13,1%) e dal Nord America (5,7%).

Focus sulla situazione italiana

Secondo l’Osservatorio Cyber di CRIF, nel 2025 le attività degli hacker hanno continuato a rappresentare una minaccia significativa, con aumento del 4,6% numero di consumatori allertati sul dark web. Complessivamente, il 51,8% degli utenti italiani ha ricevuto almeno un alert, di cui l’85,6% per dati rilevati sul dark web, mentre solo il 14,4% è legato a dati rilevati sul web pubblico.

Tra gli utenti privati italiani avvisati dai servizi di protezione CRIF, le fasce d'età maggiormente coinvolte sono quelle dei 51-60 anni (26,8%), seguite dai 41-50 anni (25,3%) e dagli over 60 (25,2%). Gli uomini rappresentano la maggioranza degli utenti allertati, pari al 64,6%.

Le regioni con il maggior numero di alert sono Lazio (16,3%), Lombardia (15,2%) e Sicilia (9,7%). Tuttavia, analizzando i dati in proporzione alla popolazione, Sardegna, Umbria, Lazio, Calabria e Friuli-Venezia Giulia emergono come le aree con la più alta incidenza di alert. A livello geografico, il Sud (31,8%) e il Centro (26,2%) registrano il numero maggiore di avvisi, ma in proporzione sono gli abitanti del Nord Ovest e del Centro che ricevono più alert.

Per quanto riguarda i dati più frequentemente rilevati sull’open web, ovvero accessibili pubblicamente, nel 2025 sono stati l’e-mail (48,6%) e il codice fiscale (42,2%), seguiti a distanza da numero di telefono (4,2%), indirizzo (3,3%) e username (1,6%). Nel dark web sono state invece le credenziali e-mail ad essere maggiormente rilevate, seguite dal numero di telefono, mentre al terzo posto si colloca il codice fiscale che risulta particolarmente rischioso, facilitando furti d’identità e frodi con impatto economico. Nel 2025 sono stati infatti osservati numerosi codici fiscali scambiati in ambienti pericolosi, classificati per età, genere e area geografica di provenienza delle vittime.

“In un contesto segnato anche da tensioni geopolitiche e da attacchi informatici sempre più automatizzati, misure di sicurezza preventive e risposte rapide diventano indispensabili per proteggere persone, aziende, infrastrutture critiche e istituzioni da minacce mirate. Come CRIF, continuiamo a sensibilizzare gli utenti su questi rischi in evoluzione, incoraggiandoli a salvaguardare i propri dati personali e a rimanere aggiornati sulle nuove tipologie di truffe online, perché la mancanza di consapevolezza resta l’elemento più sfruttato dagli attaccanti” conclude Beatrice Rubini, Executive Director di CRIF.